KR100434357B1 - IP Security in Packet Data Service Node system - Google Patents

IP Security in Packet Data Service Node system Download PDF

Info

Publication number
KR100434357B1
KR100434357B1 KR10-2001-0085719A KR20010085719A KR100434357B1 KR 100434357 B1 KR100434357 B1 KR 100434357B1 KR 20010085719 A KR20010085719 A KR 20010085719A KR 100434357 B1 KR100434357 B1 KR 100434357B1
Authority
KR
South Korea
Prior art keywords
security
encryption
information
level
security level
Prior art date
Application number
KR10-2001-0085719A
Other languages
Korean (ko)
Other versions
KR20030055674A (en
Inventor
윤지욱
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2001-0085719A priority Critical patent/KR100434357B1/en
Publication of KR20030055674A publication Critical patent/KR20030055674A/en
Application granted granted Critical
Publication of KR100434357B1 publication Critical patent/KR100434357B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices

Abstract

본 발명은 홈 IP 네트워크상에서 PDSN 시스템과 홈 에이전트간에 모바일 IP 프로토콜에 따른 IPSec 기능을 이용하여 자료의 안전한 송/수신이 이루어지도록 한 패킷데이터서비스노드 시스템의 아이피 보안 방법을 제공하기 위한 것으로, PDSN 시스템에 모바일 IP 프로토콜 중에서 IPSec 프로토콜을 탑재하여 인터넷 구간의 전 단계인 PDSN 시스템과 홈 에이전트 시스템 사이의 구간에서 정보를 암호화하여 공중 IP를 사용하는 공중망으로 전송하는 단계와; 공중망을 통해 암호화되어 들어오는 정보를 들어오는 암호화 방식에 대응되는 방식으로 복호화하여 사설 IP를 사용하는 홈 IP 네트워크상의 각 노드에 전달하는 단계를 포함하여 이루어지며, PDSN 시스템과 홈 에이전트간의 패킷 전송시 해당 패킷을 모바일 IP 프로토콜의 IPSec 기능에 따라 암호화하여 전송할 수 있게 되어 패킷 전송의 보안성을 확보할 수 있게 된다.An object of the present invention is to provide an IP security method of a packet data service node system that enables secure transmission / reception of data using an IPSec function according to a mobile IP protocol between a PDSN system and a home agent on a home IP network. Encrypting the information in a section between the PDSN system and the home agent system, which is a previous stage of the Internet section, by transmitting the IPSec protocol among the mobile IP protocols and transmitting it to a public network using a public IP; And decrypting the incoming information encrypted through the public network in a manner corresponding to the incoming encryption method, and transmitting it to each node on the home IP network using the private IP. The packet is transmitted when the packet is transmitted between the PDSN system and the home agent. Can be encrypted and transmitted according to the IPSec function of the mobile IP protocol, thereby securing the security of packet transmission.

Description

패킷데이터서비스노드 시스템의 아이피 보안 방법 {IP Security in Packet Data Service Node system}IP security method of packet data service node system {IP Security in Packet Data Service Node system}

본 발명은 패킷데이터서비스노드(Packet Data Service Node, 또는 PDSN) 시스템의 아이피(Internet Protocol, 또는 IP) 보안에 관한 것으로, 보다 상세하게는 홈 IP 네트워크상에서 PDSN 시스템과 홈 에이전트간 자료의 안전한 송/수신에 적당하도록 한 패킷데이터서비스노드 시스템의 아이피 보안 방법에 관한 것이다.The present invention relates to IP (Internet Protocol, or IP) security of a Packet Data Service Node (PDSN) system, and more particularly, secure transmission / transmission of data between a PDSN system and a home agent in a home IP network. The present invention relates to an IP security method of a packet data service node system suitable for reception.

도1은 일반적인 PDSN 시스템의 적용 블록도를 보인 것으로, 이에 따르면 PDSN망의 데이터 전송과 관련하여 사용자의 노트북 컴퓨터에 이동 단말기(Mobile Station)(110)를 연결하여 데이터 전송을 시도하는 경우, 이동 단말기(110)에서 무선망 제어기(Radio Network Controller, 또는 RNC)(120)로 신호를 보내고, 이 신호를 PDSN(130)에서 받아 처리하는 절차를 거친다. 그리고 이렇게 PDSN(130)에서 처리된 데이터는 홈 IP 네트워크(150)를 통하여 외부의 웹 서버나 FTP 서버와 같은 애플리케이션 서버에 접속하여 무선으로 서비스 받을 수 있게 된다.1 is a block diagram of a typical PDSN system, and accordingly, when a mobile terminal 110 is connected to a user's notebook computer in connection with data transmission of a PDSN network, a mobile terminal 110 attempts to transmit data. In step 110, a signal is sent to a radio network controller (or RNC) 120, and the signal is processed by the PDSN 130. The data processed by the PDSN 130 may be connected to an external web server or an FTP server such as an FTP server through the home IP network 150 to be wirelessly serviced.

PDSN(130)은 홈 IP 네트워크(150)상에서 외부 에이전트가 되며, 가입자 인증과 과금을 위하여 가입자 정보를 관리하도록 된 AAA와 연결된다. PDSN(130)은 홈 IP 네트워크(150)를 기준으로 하여 홈 IP 네트워크(150)의 안쪽에 위치한 홈 에이전트(160)에 비해 상대적으로 공중망 쪽에 위치하고 있다.The PDSN 130 becomes an external agent on the home IP network 150 and is connected to the AAA configured to manage subscriber information for subscriber authentication and billing. The PDSN 130 is located on the public network side relative to the home agent 160 located inside the home IP network 150 based on the home IP network 150.

홈 IP 네트워크(150)상에서 홈 에이전트(160)는 홈 에이전트 매니저(도시되지 않음)에 의해 관리되며, 통상 이더넷 라인을 통해 홈 IP 네트워크(150)에 접속되어 가입자의 이동 단말기(110)에 대해 IP 어드레스를 할당해 주는 기능을 한다. 가입자는 선택적으로 홈 에이전트(160)가 접속되는 홈 IP 네트워크(150)에 접속하여 패킷 서비스를 받거나 외부망에서 외부 에이전트인 PDSN(130)을 통해 홈 IP 네트워크(150)에 접속하여 서비스를 받을 수도 있다.On the home IP network 150, the home agent 160 is managed by a home agent manager (not shown), and is usually connected to the home IP network 150 through an Ethernet line to IP the subscriber's mobile terminal 110. It assigns an address. The subscriber may selectively access the home IP network 150 to which the home agent 160 is connected to receive packet service, or access the home IP network 150 through the PDSN 130 as an external agent from an external network to receive the service. have.

한편, PDSN 시스템(130)과 연결된 AAA(Administration, Authorization, and Authentication)(140)를 이용하여 가입자 정보를 관리, 인증 및 과금을 수행한다.On the other hand, by using the AAA (Administration, Authorization, and Authentication) 140 connected to the PDSN system 130, the subscriber information is managed, authenticated and billed.

이러한 PDSN 시스템에 적용되는 프로토콜로 심플 IP와 모바일 IP 프로토콜 등이 있다. 심플 IP 프로토콜의 경우에는 PDSN에서 홈 IP 네트워크에 접속된 엔드 호스트 또는 홈 에이전트측으로 암호화되지 않은 IP 패킷을 전송한다. 따라서 이 경우에는 홈 IP 네트워크를 통한 IP 패킷의 보안을 보장하기가 용이하지 않다.Protocols applied to such PDSN systems include simple IP and mobile IP protocol. In the case of the simple IP protocol, the PDSN transmits unencrypted IP packets to the end host or home agent connected to the home IP network. Therefore, in this case, it is not easy to guarantee the security of the IP packet through the home IP network.

그런데 종래기술에 따른 PDSN 시스템에서는 대표적인 공중망인 인터넷 구간에서 흘러다니는 모든 자료가 공유될 수 있고, 누구든지 이 자료를 얻을 수 있다. 이처럼 전송되는 패킷의 보안성이 낮은 경우에는 안전한 데이터 전송을 보장하기가 어려워 그 해결 방안이 요구된다.However, in the PDSN system according to the prior art, all data flowing in the Internet section, which is a representative public network, can be shared, and anyone can obtain this data. When the security of the transmitted packet is low, it is difficult to guarantee the secure data transmission and a solution is required.

본 발명은 상기와 같은 종래의 문제점을 해소하기 위해 창출된 것으로, 본 발명의 목적은 홈 IP 네트워크상에서 PDSN 시스템과 홈 에이전트간에 모바일 IP 프로토콜에 따른 IPSec 기능을 이용하여 자료의 안전한 송/수신이 이루어지도록 한 패킷데이터서비스노드 시스템의 아이피 보안 방법을 제공하는 것이다.The present invention was created to solve the above-mentioned conventional problems, and an object of the present invention is to securely transmit / receive data using an IPSec function according to a mobile IP protocol between a PDSN system and a home agent on a home IP network. To provide IP security method of packet data service node system.

상기 목적을 달성하기 위한 본 발명은 모바일노드를 포함하여 PDSN 시스템과 홈 에이전트시스템간의 호처리과정중 보안유대 검색을 수행하여 그 검색결과에 따라 해당 선택정보를 사용자 인증서버로 전달하여 보안레벨과 공개키 정보를 수신하는 보안레벨 수신단계와, 상기 보안레벨 수신단계에 의해 수신된 보안레벨을 이용하여 보안 폴리시정보 및 보안레벨을 갱신하고 해당 보안레벨이 암호화를 요구하는 지를 확인하는 보안레벨 암호화 확인단계와, 상기 보안레벨 암호와 확인단계에 의해 해당 보안레벨이 암호화를 요구하지 않음이 확인될 경우 보안유대 협상없이 즉시 해당 모바일노드의 등록요청을 처리하는 등록요청처리단계와, 상기 보안레벨 암호화 확인단계에 의해 해당 보안레벨이 암호화를 요구할 경우 보안 폴리시를 검색하여 해당 보안레벨과 보안 폴리시에 적합한 단계로 갱신한 후 공중망의 홈에이전트와 보안유대 협상을 수행하는 다단계 암호화단계와, 상기 다단계 암호화단계중에 보안유대 설립이 수락되고 기 존재하는 보안유대가 없을 경우 보안유대 동기화를 수행한 후 해당 모바일노드를 등록시키는 등록단계로 구성되는 암호화전송단계로 이루어지는 패킷데이터서비스노드 시스템의 아이피 보안 방법을 제공한다.In order to achieve the above object, the present invention performs a security association search during a call processing process between a PDSN system and a home agent system including a mobile node, and transmits the selected information to the user authentication server according to the search result. A security level encryption checking step of updating security policy information and security level by using a security level receiving step of receiving key information and a security level received by the security level receiving step, and confirming whether the corresponding security level requires encryption And a registration request processing step of processing a registration request of the mobile node immediately without negotiating a security bond when it is confirmed that the security level does not require encryption by the security level password and verification step, and the security level encryption verification step. If the security level requires encryption by Multi-level encryption phase to update security level and security policy to the appropriate level, and negotiate security ties with the home agent of public network; and if the security association is accepted during the multi-level encryption phase and there is no existing security ties, It provides an IP security method of a packet data service node system consisting of an encryption transmission step consisting of a registration step of registering the mobile node after performing the operation.

도1은 일반적인 PDSN 시스템의 적용 블록도.1 is an application block diagram of a typical PDSN system.

도2는 본 발명에 따른 패킷데이터서비스노드 시스템의 아이피 보안 방법의 보안레벨1,2,및3에서의 적용 흐름도.2 is a flow chart of application at security levels 1, 2, and 3 of the IP security method of the packet data service node system according to the present invention;

도3은 본 발명에 따른 패킷데이터서비스노드 시스템의 아이피 보안 방법의 보안레벨4에서의 바이패스 흐름도.Figure 3 is a bypass flow diagram at security level 4 of the IP security method of a packet data service node system according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

110, 210 : 이동 단말기 120 : 무선망 제어기(RNC)110, 210: mobile terminal 120: radio network controller (RNC)

130, 300 : PDSN 140, 220 : AAA130, 300: PDSN 140, 220: AAA

150 : 홈 IP 네트워크 160, 230 : 홈 에이전트150: home IP network 160, 230: home agent

231, 373 : IKE 240 : 인터넷231, 373: IKE 240: Internet

300 : PDSN300: PDSN

310 : PDSN 제어 프로세서(PCP)310: PDSN control processor (PCP)

320 : Pi 링크 제어 기능부(PLCF)320: Pi link control function (PLCF)

330, 370 : IP 보안 모듈(IPSM)330, 370: IP Security Module (IPSM)

331, 371 : IP 보안 기능부(IPSF)331, 371: IP Security Function Unit (IPSF)

332, 372 : 보안 폴리시 데이터베이스(SPDB)332, 372: Security Policy Database (SPDB)

350 : 고속 링크 프로세서(HLP)350: High Speed Link Processor (HLP)

360 : Pi 링크 인터페이스 기능부(PLIF)360: Pi link interface function (PLIF)

이하, 첨부도면을 참조하여 본 발명에 따른 바람직한 실시예를 설명한다.Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.

도2는 본 발명에 따른 패킷데이터서비스노드 시스템의 아이피 보안 방법의 보안레벨1,2,및3에서의 적용 흐름도이며, 도3은 본 발명에 따른 패킷데이터서비스노드 시스템의 아이피 보안 방법의 보안레벨4에서의 바이패스 흐름도이다.2 is a flowchart illustrating the security level 1, 2, and 3 of the IP security method of the packet data service node system according to the present invention, and FIG. 3 is a security level of the IP security method of the packet data service node system according to the present invention. The bypass flow chart at 4.

이하에서 사용되는 주요 용어들을 정의하면 다음과 같다.The main terms used below are defined as follows.

-AAA(Authorization, Authentication and Accounting ) : 사용자 인증, 사용자 프로파일 정보, 과금정보 등에 관한 내용을 PDSN과 교환하는 모듈.AAA (Authorization, Authentication and Accounting): Module that exchanges information about user authentication, user profile information, billing information, etc. with PDSN.

-HA(Home Agent) : 홈 에이전트, 홈 IP 네트워크의 게이트웨이(Gateway) 역할 수행.-HA (Home Agent): Home Agent, acts as a gateway (Gateway) of the home IP network.

-HLP(High Speed Link Processor) : 고속 링크 프로세서, Pi 링크 정합 기능을 담당하는 PLIF와 PCP 내부 블록의 PRCF(Packet Routing Control Function)와 연동하여 패킷의 라우팅 기능을 담당하도록 된 PRCF(Packet Routing Control Function)로 구성됨.-HLP (High Speed Link Processor): A Packet Linking Control Function (PRCF) that is in charge of the packet routing function in conjunction with the High Speed Link Processor, the PLIF responsible for Pi link matching, and the Packet Routing Control Function (PRCF) of the PCP inner block. )

-IKE(Internet Key Exchange) : 인터넷 키 교환기, 보안유대를 만들기 위한 모든 암호화 키의 초기 생성 및 키들에 대한 계속적인 갱신을 위한 표준화된 방법 제공.IKE (Internet Key Exchange): Provides a standardized method for Internet key exchanges, initial generation of all encryption keys to create security bonds, and continuous renewal of keys.

-IPSF(IP Security Function) : IPSec를 적용하기 위한 관리 모듈.-IPSF (IP Security Function): Management module for applying IPSec.

-PCP(PDSN Control Processor) : PDSN 제어 프로세서.PDSN Control Processor (PCP): PDSN Control Processor.

-PLCF(Pi Link Control Function) : Pi 링크 제어 수단, PDSN이 인터넷, 인트라넷과 정합 하는 Pi 링크의 데이터 링크 계층 관리 수행.Pi Link Control Function (PLCF): Pi link control means, to perform data link layer management of Pi links that the PDSN matches with the Internet and intranets.

-PLIF(Pi Link Interface Function) : Pi 링크 인터페이스 수단, Pi 링크 정합 기능 담당.-PLIF (Pi Link Interface Function): Pi link interface means, Pi link matching function.

-SA(Security Association) : 보안유대, IPSec 프로토콜의 구체적인 설정 정보(라이트 타임, 암호화 방법 등).-SA (Security Association): Security ties, specific configuration information of IPSec protocol (light time, encryption method, etc.).

-SADB(Security Association Database) : 보안유대(SA) 정보 저장하는 공간.-SADB (Security Association Database): a space for storing security association (SA) information.

-SP(Security Policy) : 보안 폴리시, IPSec 적용여부 결정 정보(원천지 어드레스, 목적지 어드레스, 보안레벨 등).-SP (Security Policy): Security policy, IPSec application decision information (source address, destination address, security level, etc.).

-SPDB(Security Policy Database) : 보안 폴리시 데이터베이스, 보안 폴리시(SP) 정보 저장 공간.-SPDB (Security Policy Database): security policy database, security policy (SP) information storage space.

이상의 용어를 사용하여 설명을 계속한다.Continue the description using the above terms.

RFC2002의 표준에 따른 모바일 IP 프로토콜의 경우에는 전송계층의 연결 유지와 IP 계층의 올바른 라우팅이 이루어지도록 하기 위해 모바일 노드가 2개의 IP 주소를 가지도록 되어 있다. 한 주소는 홈 어드레스로 일반 IP(Internet Protocol) 주소와 마찬가지로 고정된 것으로, TCP(Transmission Control Protocol) 연결을 구별하는 등의 목적으로 사용된다. 다른 한 주소는 COA(Care-Of Address)로 새로운 연결 지점마다 변경되는 것으로, 노트북 컴퓨터 등과 같이 이동통신용 단말기에 접속된 모바일 노드의 실제적인 위치를 반영하는 주소이다.In the case of the mobile IP protocol according to the RFC2002 standard, the mobile node has two IP addresses in order to maintain connection of the transport layer and correct routing of the IP layer. One address is a home address, which is fixed like a general Internet Protocol (IP) address, and is used to distinguish a Transmission Control Protocol (TCP) connection. The other address is a care-of address (COA), which is changed at each new connection point, and reflects the actual location of the mobile node connected to the mobile communication terminal such as a notebook computer.

모바일 노드는 홈 IP 네트워크로부터 홈 어드레스를 부여 받는다. 홈 IP 네트워크는 홈 에이전트 노드를 포함한 네트워크로, 보통 모바일 노드가 등록된 사설 네트워크 또는 사업자 네트워크이다. 노드가 이동해 홈 IP 네트워크에 연결되어 있지 않고 다른 네트워크(외부 네트워크)에 연결되어 있을 때, 홈 에이전트는 모바일 노드를 목적지로 한 모든 패킷을 받아 모바일 노드가 현재 연결된 외부 네트워크로 패킷을 전달한다.The mobile node is given a home address from the home IP network. A home IP network is a network including a home agent node, which is usually a private network or a provider network to which a mobile node is registered. When a node moves and is not connected to a home IP network but is connected to another network (external network), the home agent receives all packets destined for the mobile node and forwards the packets to the external network to which the mobile node is currently connected.

모바일 IP에서 홈 에이전트 시스템은 리다이렉션(Redirection)을 위해 모바일 노드의 COA를 목적지로 하는 IP 패킷 헤더를 생성한다. 생성된 헤더는 원래의 패킷을 감싸는 새로운 IP 패킷의 헤더로 사용된다. 즉, 원래 패킷의 헤더에 들어있던 목적지 주소인 모바일 노드의 홈 어드레스는 새로운 패킷의 페이로드에 포함되어, COA까지 라우팅 되는 동안 이 패킷을 처리하는 라우터들에게 아무런 영향을 주지 못하게 된다. 이처럼 원래의 패킷을 새로운 패킷으로 감싸 전송하는 것이 터널링이다.In mobile IP, the home agent system generates an IP packet header destined for the COA of the mobile node for redirection. The generated header is used as the header of the new IP packet that wraps the original packet. In other words, the mobile node's home address, which is the destination address in the header of the original packet, is included in the payload of the new packet, and has no effect on the routers that process the packet while routing to the COA. In this way, the original packet is wrapped in a new packet for transmission.

그리고 IPSec 기능은 네트워크 레이어에서의 보안성을 보장하여 상위 레이어 모두에 대해 보안성을 보장하기 위한 프로토콜이며, 이에 관련한 기술사항은 인터넷 문서인 RFC(Request For Comment) 계열의 RFC2401, RFC2402, RFC2406, RFC2407, RFC2409 등이 있다.IPSec is a protocol to ensure security at the upper layer by ensuring security at the network layer. The technical details are related to RFC2401, RFC2402, RFC2406, RFC2407 of RFC (Request For Comment) series , RFC2409, and the like.

이처럼 IPSec 기능에 의해 전송되는 패킷의 보안성이 보장될 수 있으므로, PDSN 시스템에 IPSec 프로토콜을 탑재하여 인터넷 구간의 전 단계인 PDSN 시스템과 홈 에이전트 시스템 사이의 구간에서 자료를 암호화하여 인터넷 구간으로 전송하고, 또 암호화되어 들어오는 자료를 다시 복호화하는 과정을 거치도록 함으로써 자료의 안전한 송/수신을 보장할 수 있을 것이다. 따라서 본 실시예는 이러한 모바일 IP 프로토콜에 따른 IPSec 기능을 PDSN 시스템에서 구현하도록 된 것으로, 일반적인 모바일 IP 프로토콜에 따른 호처리 흐름에서 일부 절차를 추가하여 이후에 IPSec 기능이 구현되어지도록 한다. 즉, 본 실시예는 PDSN 시스템과 홈 에이전트 사이에서 IPSec 기능이 구현되어지도록 하기 위한 전 단계의 수행절차를 실현하는 것이다.Since the security of the packet transmitted by the IPSec function can be guaranteed, the IPSec protocol is installed in the PDSN system so that data is encrypted in the section between the PDSN system and the home agent system, which is the previous stage of the Internet section, and transmitted to the Internet section. In addition, it will be able to guarantee the safe transmission and reception of data by re-encrypting the encrypted data. Therefore, the present embodiment is to implement the IPSec function according to the mobile IP protocol in the PDSN system, and adds some procedures in the call processing flow according to the general mobile IP protocol so that the IPSec function can be implemented later. In other words, the present embodiment implements the previous steps for the IPSec function to be implemented between the PDSN system and the home agent.

이하에서는 모바일 IP 프로토콜의 IPSec 기능이 PDSN 시스템에서 구현되어져 수행되는 절차를 설명하기로 한다.Hereinafter, a procedure in which the IPSec function of the mobile IP protocol is implemented and performed in the PDSN system will be described.

PDSN 시스템을 통한 전송 패킷의 보안과 관련된 구성을 보면, 도2에 도시된 바와 같이, 이동성을 갖고 홈 IP 네트워크상의 IP를 할당받아 홈 에이전트(230)에 등록되는 이동 단말기(210), 과금 및 가입자 인증을 위한 AAA(220), 홈 에이전트(230), PDSN 시스템(300)을 통해 서비스되는 공중망인 인터넷(240) 등이있다.Referring to the configuration related to the security of the transport packet through the PDSN system, as shown in Figure 2, the mobile terminal 210, billing and subscriber registered with the home agent 230 is assigned to the IP on the home IP network with mobility AAA 220 for authentication, home agent 230, the Internet 240 is a public network serviced through the PDSN system 300 and the like.

여기서 홈 에이전트는 모바일 IP에 따른 보안 관련 암호 처리를 위한 IKE(231)를 구비한다.Here, the home agent includes an IKE 231 for processing security-related cryptography according to mobile IP.

더불어 PDSN 시스템(300)의 경우에는 크게 PDSN 제어 프로세서(PCP)(320)와 고속 링크 프로세서(HLP)(350)가 관여한다. PDSN 제어 프로세서(320)에서는 다시 PDSN 시스템(300)이 정합하는 인터넷(240) 또는 인트라넷과 정합하는 Pi 링크의 데이터 링크 계층 관리를 위한 Pi 링크 제어 기능부(PLCF)(320), 그리고 IP 보안 기능부(IPSF)(331)와 보안 폴리시 데이터베이스(SPDB)(332)를 구비한 IP 보안 모듈(IPSM)(330)이 사용된다.In addition, in the case of the PDSN system 300, the PDSN control processor (PCP) 320 and the high speed link processor (HLP) 350 are largely involved. In the PDSN control processor 320, the Pi link control function unit (PLCF) 320 for managing the data link layer of the Pi link that matches the Internet 240 or the intranet that the PDSN system 300 matches, and the IP security function. An IP Security Module (IPSM) 330 having a Part (IPSF) 331 and a Security Policy Database (SPDB) 332 is used.

한편, 고속 링크 프로세서(350)의 경우에는 IP 보안 기능부(IPSF)(371)와 보안 폴리시 데이터베이스(SPDB)(332) 및 IKE(373)를 구비한 IP 보안 모듈(IPSM)(370), 그리고 Pi 링크 인터페이스 기능부(PLIF)(360)가 사용된다.On the other hand, in the case of the high-speed link processor 350, an IP security module (IPSM) 370 having an IP security function (IPSF) 371, a security policy database (SPDB) 332, and an IKE 373, and Pi link interface function (PLIF) 360 is used.

본 실시예는 PDSN 시스템(300)과 홈 에이전트(230)간 자료의 안전한 송/수신을 위해 네트워크 레이어에서 보안성을 보장함으로써 상위 레이어에 모두에 대하여 자료의 안전을 보장하고자 한 것이다. IP 패킷의 암호화를 통하여 네트워크 보안을 보장하고자 하는 IPSec 프로토콜에는 ESP 프로토콜과 AH 프로토콜이 있으며, AH 프로토콜은 키 해쉬 알고리즘(Keyed Hashing Algorithm)을 사용하여 데이터의 무결성, 인증과 함께 응답 공격을 막는 기능을 제공한다. ESP 프로토콜은 AH 프로토콜의 기능 위에 기밀성을 제공한다.This embodiment is to ensure the security of the data for all at the upper layer by ensuring the security at the network layer for the secure transmission / reception of data between the PDSN system 300 and the home agent 230. The IPSec protocol, which wants to guarantee network security through the encryption of IP packets, includes the ESP protocol and the AH protocol. The AH protocol uses a key hash algorithm to prevent response attacks with data integrity and authentication. to provide. The ESP protocol provides confidentiality over the functionality of the AH protocol.

IPSec 프로토콜의 터널 모드와 트랜스포트 모드의 두 가지 모드로 구현된다.트랜스포트 모드는 통신하는 양단 호스트에서 IPSec 프로세싱을 하는 것이고, 터널 모드는 호스트뿐만 아니라 중간에 위치한 라우터를 포함하여 양 존재 사이에 IPSec 프로토콜을 처리하는 것으로, 새로운 IP 헤더를 삽입하여 원래의 IP 헤더를 숨기는 기능을 포함한다.It is implemented in two modes: tunnel mode and transport mode of IPSec protocol. Transport mode is to perform IPSec processing at both ends of communicating hosts, and tunnel mode is to control IPSec between both entities including host and intermediate router. Processing the protocol involves inserting a new IP header to hide the original IP header.

이러한 구성에 따른 IPSec 처리 동작을 설명하는데, 보안레벨 1, 2 또는 3에서 IPSec 기능이 적용되는 경우의 동작을 도2를 참조하여 우선 설명한다.An IPSec processing operation according to such a configuration will be described. An operation when the IPSec function is applied at security level 1, 2 or 3 will first be described with reference to FIG.

먼저, 기 설명한 바와 같이 일반적인 PDSN 시스템(300)과 이동 단말기(또는 모바일 노드)(210)간에 모바일 IP 호처리 과정이 수행된다. 이에 대한 설명은 생략한다.First, as described above, the mobile IP call processing process is performed between the general PDSN system 300 and the mobile terminal (or mobile node) 210. Description thereof will be omitted.

이동 단말기(210)와의 모바일 IP 호처리 과정이 이루어지면, Pi 링크 제어 기능부(320)가 외부의 이동 단말기(210)측의 클라이언트 제어 기능을 담당하는 AAA(또는 MCMF)(220)로부터 모바일 IP 인증 응답(예: MipAuthAck_MC2PL)을 수신한다(S11).When the mobile IP call processing process is performed with the mobile terminal 210, the Pi link control function 320 receives the mobile IP from the AAA (or MCMF) 220, which is responsible for the client control function on the external mobile terminal 210 side. Receive an authentication response (eg MipAuthAck_MC2PL) (S11).

Pi 링크 제어 기능부(320)는 호 개설시 반드시 PDSN 제어 프로세서(320)내 IP 보안 기능부(331)의 Pi 링크 제어 기능부(320) 보안 폴리시 구조체(예:PLCF_SSP_info)를 인수로 하는 IP 보안 모듈(330)의 보안유대 검색(예 : ipsm_SA_LookUp(PLCF_SSP_info)) 함수를 호출하여 선택 정보를 PDSN 제어 프로세서(320)내 IP 보안 기능부(331)에 전달한다. IP 보안 모듈(330)의 보안유대 검색(ipsm_SA_LookUp()) 함수는 IPSec 프로토콜의 구체적인 설정 사항(예: 라이프 타임, 암호화 방법 등) 즉, 보안유대(SA)의 검색 전에 IPSec의 적용 여부를 결정(원천지 주소, 목적지 주소, 보안레벨 등으로 결정됨) 하기 위해 보안 폴리시(SP)를 검색하여 해당 보안 폴리시가 존재하지 않으면 보안 폴리시를 입력한다. 이때 보안레벨에 대한 정보가 없으므로 보안 폴리시와 보안레벨 정보는 입력되지 않는다(S12).When the call is established, the Pi link control function 320 takes IP security as an argument of the Pi link control function 320 security policy structure (eg, PLCF_SSP_info) of the IP security function 331 in the PDSN control processor 320. The security association search (eg, ipsm_SA_LookUp (PLCF_SSP_info)) function of the module 330 is called to transfer the selection information to the IP security function unit 331 in the PDSN control processor 320. The security association search (ipsm_SA_LookUp ()) function of the IP security module 330 determines specific settings of the IPSec protocol (eg, life time, encryption method, etc.), that is, whether IPSec is applied before the security association (SA) is searched ( To determine the source address, destination address, security level, etc.) and search for the security policy (SP) and enter the security policy if the security policy does not exist. At this time, since there is no information on the security level, the security policy and the security level information are not input (S12).

PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 IP 보안 모듈(330)의 보안유대 검색(ipsm_SA_LookUp()) 함수는 목적지, 원천지 어드레스 정보를 이용하여 보안유대 정보를 검색한다(S13).The security bond search (ipsm_SA_LookUp ()) function of the IP security module 330 of the PDSN control processor 320 and the IP security function unit 331 searches for security bond information using destination and source address information (S13). .

보안유대 검색 결과를 Pi 링크 제어 기능부(320)에 전달한다(S14).The security bond search result is transmitted to the Pi link control function 320 (S14).

Pi 링크 제어 기능부(320)는 보안유대 검색 결과를 AAA(220)에 전달한다(S15).Pi link control function unit 320 transmits the security bond search results to the AAA (220) (S15).

Pi 링크 제어 기능부(320)는 보안유대가 존재하면 AAA(MCMF)(220)로부터 보안레벨 값만을 수신하며, 보안유대가 존재하지 않으면 보안레벨과 공개키(PresharedKey) 정보를 수신한다(S16).The Pi link control function 320 receives only the security level value from the AAA (MCMF) 220 if the security bond exists, and receives the security level and public key information (PresharedKey) information if the security bond does not exist (S16). .

Pi 링크 제어 기능부(320)는 PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 PLCF 보안 폴리시 정보를 갖는 구조체(PLCF_SSP_Info)를 인수로 하는 IP 보안 모듈(330)의 보안 폴리시 정보 업데이트 요청 함수(예: ipsm_request_Update_SPInfo(PLCF_SSP_Info))를 호출한다. PDSN 제어 프로세서(320)-IP 보안 기능부(331)는 전달받은 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)에서 목적지, 원천지 어드레스 정보를 이용하여 해당 보안 폴리시를 검색하여 보안레벨을 이용한 폴리시(Policy) 정보 갱신과 더불어 보안레벨 정보를 갱신한다(S17~S18).The Pi link control function 320 requests the security policy information update of the IP security module 330 that takes a structure (PLCF_SSP_Info) having the PLCF security policy information of the PDSN control processor 320-the IP security function 331. Call a function (eg ipsm_request_Update_SPInfo (PLCF_SSP_Info)). The PDSN control processor 320-the IP security function unit 331 retrieves the corresponding security policy using the destination and source address information from the received PLCF security policy structure (PLCF_SSP_Info) and updates the policy information using the security level. In addition, the security level information is updated (S17 to S18).

이 갱신 결과 값을 리턴값으로 하여 Pi 링크 제어 기능부(320)로 전달한다(S19).This update result value is transmitted to the Pi link control function unit 320 as a return value (S19).

Pi 링크 제어 기능부(320)는 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)에 추가된 보안유대 존재 필드(nSAExistence, 단 nSAExistence = 0: 보안 폴리시가 존재하지 않는 경우, nSAExistence = 1 : 보안 폴리시가 존재하는 경우)에 보안 폴리시 존재여부 값을 저장하여 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)를 인수로 하는 Pi 링크 보안유대 열기 요청 함수(예: PiSaOpenReq_P2H(PLCF_SSP_Info))의 메시지를 이용하여 Pi 링크 인터페이스 기능부(360)로 전달한다(S20).Pi link control function 320 is a security bond presence field added to the PLCF security policy structure (PLCF_SSP_Info) (nSAExistence, nSAExistence = 0: when there is no security policy, nSAExistence = 1: when there is security policy) The value of the security policy presence in the file and passed it to the Pi link interface function unit 360 using a message of a Pi link security bond open request function (eg PiSaOpenReq_P2H (PLCF_SSP_Info)) that takes a PLCF security policy structure (PLCF_SSP_Info) as an argument. (S20).

Pi 링크 인터페이스 기능부(360)는 수신한 정보를 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)로 캐스팅하여 보안레벨과 Pi 링크 포트(예:nPiPort) 정보를 필터링하여 저장한다. Pi 링크 포트(nPiPort) 정보는 추후 등록요청(Registration Request, RRQ) 또는 데이터 암호화 시 사용된다. 보안레벨 값이 1,2 또는 3인 경우 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)를 인수로 하는 IP 보안 모듈(330)의 보안 폴리시 정보 생성 요청 함수(예:ipsm_request_SAInfo_Creation(PLCF_SSP_Info *) HLP-IPSF)를 호출한다(S21).The Pi link interface function unit 360 casts the received information into a PLCF security policy structure (PLCF_SSP_Info) to filter and store the security level and Pi link port (eg nPiPort) information. Pi link port (nPiPort) information is used for later registration request (RRQ) or data encryption. If the security level value is 1, 2, or 3, the security policy information generation request function (eg, ipsm_request_SAInfo_Creation (PLCF_SSP_Info *) HLP-IPSF) of the IP security module 330, which takes a PLCF security policy structure (PLCF_SSP_Info) as an argument, is called. (S21).

Pi 링크 인터페이스 기능부(360)는 수신한 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)에서 목적지, 원천 어드레스를 검색조건으로 하여 보안 폴리시를 검색하고, 보안 폴리시가 존재하지 않으면 보안 폴리시를 입력한 후 보안유대 존재 필드(nSAExistence)를 조사한다. 보안유대 존재 필드가 1이면, 보안레벨을 이용하여 폴리시와 보안레벨만을 갱신한다. 보안유대 존재 필드가 0이면 보안 폴리시 데이터베이스(372)의 보안레벨과 폴리시를 갱신하고, 보안유대 협상을 수행한다(S22).The Pi link interface function unit 360 retrieves the security policy from the received PLCF security policy structure (PLCF_SSP_Info) using the destination and source address as a search condition.If the security policy does not exist, the Pi link interface function unit 360 inputs the security policy and then enters the security bond present field. Investigate nSAExistence. If the security association present field is 1, only the policy and security level are updated using the security level. If the security association present field is 0, the security level and policy of the security policy database 372 are updated, and a security association negotiation is performed (S22).

그리고 고속 링크 프로세서(350)-IKE(373)와 원격 HA-IKE(231)간의 협상을 통해 보안유대를 설립한다(S23).The secure link is established through negotiation between the high speed link processor 350 and the IKE 373 and the remote HA-IKE 231 (S23).

이처럼 설립된 보안유대를 이용하여 SADB를 갱신한다(S24).The SADB is updated using the thus established security bond (S24).

고속 링크 프로세서(350)-IP 보안 기능부(331)의 IP 보안 모듈 보안 폴리시 정보 생성 요청 함수(ipsm_request_SAInfo_Creation())는 보안유대가 존재하는 경우(nSAExistence=1), 메시지 타입이 Pi 링크 보안유대 열기 요청에 대해 보안유대가 존재함을 나타내는 응답을 전송한다. 반면에 보안유대가 존재하지 않는 경우(nSAExistence=0), 이에 해당하는 메시지를 전송한다(S25).The IP security module security policy information generation request function (ipsm_request_SAInfo_Creation ()) of the high speed link processor 350 and the IP security function 331 may open the Pi link security association when the security association exists (nSAExistence = 1). Send a response indicating that a security association exists for the request. On the other hand, if there is no security association (nSAExistence = 0), the corresponding message is transmitted (S25).

Pi 링크 인터페이스 기능부(360)는 메시지 타입이 보안유대 존재를 나타내는 응답 메시지를 수신하면 보안유대가 이미 존재하는 경우이므로 PDSN 제어 프로세서(320)-IP 보안 기능부(331) 함수 호출이나 배포를 하지 않고 바로 등록요청을 수행하고, 메시지 타입이 보안유대가 존재하지 않음을 나타내는 응답 메시지를 수신하는 경우에는 PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 함수인 보안유대 정보 구조체(예:SA_Info)를 인수로 하는 IP 보안 모듈(330)의 보안유대 정보 동기화 요청 함수(예:ipsm_request_sync_SAInfo(SA_Info))를 호출하여 보안유대 정보를 저장하고 PDSN 제어 프로세서(320)-SADB 동기화를 수행한다(S26~S27).When the Pi-Link interface function 360 receives a response message indicating that the security tie exists, the Pi-link interface function 360 does not call or distribute the PDSN control processor 320 to the IP security function 331 because the security tie already exists. If the registration request is performed immediately without receiving a response message indicating that the security association does not exist, the security association information structure (eg, a function of the PDSN control processor 320-IP security function 331) (eg, A security bond information synchronization request function (eg, ipsm_request_sync_SAInfo (SA_Info)) of the IP security module 330 having SA_Info as an argument is called to store the security bond information, and the PDSN control processor 320 performs SADB synchronization (S26). ~ S27).

SADB를 갱신한 결과를 리턴값으로 하여 Pi 링크 제어 기능부(320)로 전달한다(S28).The result of updating the SADB is transmitted as the return value to the Pi link control function unit 320 (S28).

이때 보안유대가 존재하지 않는 경우이므로 긍정적인 응답을 수신한 Pi 링크 제어 기능부(320)는 각 고속 링크 프로세서(350)로 보안유대 정보(SAInfo)를 보안유대 정보를 인수로 하는 Pi 링크 보안유대 배포 요청 함수(예:PiSaDistReq_P2H(SA_Info))의 메시지 타입을 이용하여 배포한다(S29).In this case, since there is no security association, the Pi link control unit 320 that receives a positive response receives the Pi link security association that takes the security association information SAInfo as the security association information to each of the high speed link processors 350. Distribution is performed using the message type of the distribution request function (eg, PiSaDistReq_P2H (SA_Info)) (S29).

Pi 링크 인터페이스 기능부(360)는 고속 링크 프로세서(350)-IP 보안 기능부(371)의 IP 보안 모듈(370)의 보안유대 정보 동기화 요청 함수(예:ipsm_request_sync_SAInfo(char *))를 호출한다. 이 함수는 목적지, 원천지 어드레스를 이용하여 우선 해당 보안 폴리시가 존재하는지 검색하고, 보안 폴리시가 존재하지 않으면 보안 폴리시 정보를 입력하게 된다. 이때 보안레벨 정보와 폴리시 정보는 제공되지 않으므로 디폴트(Default) 정보를 저장하게 된다. 이는 보안유대 정보(SA_Info)를 인수로 하는 IP 보안 모듈(370)의 보안유대 정보 동기화 요청 함수( ipsm_request_sync_SAInfo(SA_Info))에서는 보안레벨을 이용하여 폴리시나 보안레벨을 갱신하지 않고 보안유대 정보만 저장하므로, 어차피 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)를 인수로 하는 IP 보안 모듈(370)의 보안유대 정보 생성 요청 함수(ipsm_request_SAInfo_Creation(PLCF_SSP_Info)) 호출시 해당 세션마다 새로운 보안레벨을 검사하여 그것으로 폴리시와 보안레벨을 적용하고 갱신하기 때문이다. 그리고 보안유대 정보를 저장한다(S30~S31).The Pi link interface function unit 360 calls a security association information synchronization request function (eg, ipsm_request_sync_SAInfo (char *)) of the IP security module 370 of the high speed link processor 350-IP security function 371. This function first searches whether the security policy exists using the destination and source address, and inputs the security policy information if the security policy does not exist. In this case, since security level information and policy information are not provided, default information is stored. This is because the security bond information synchronization request function (ipsm_request_sync_SAInfo (SA_Info)) of the IP security module 370 taking the security bond information SA_Info as an argument stores only the security bond information without updating the policy or the security level using the security level. At the time of invoking the security bond information generation request function (ipsm_request_SAInfo_Creation (PLCF_SSP_Info)) of the IP security module 370, which takes the PLCF security policy structure (PLCF_SSP_Info) as an argument, it checks the new security level for each session and sets the policy and security level with it. Because it applies and updates. And stores the security bond information (S30 ~ S31).

Pi 링크 제어 기능부(320)에서 등록요청을 수행한다(S32).The Pi link control function unit 320 performs a registration request (S32).

이후에 Pi 링크 인터페이스 기능부(360)는 수신된 등록요청의 Pi 링크포트(PiPort) 정보와 해당 보안레벨 정보를 검색하여 보안레벨이 1 또는 3 이면 IP 헤더를 포함한 데이터그램을 인수로 하는 고속 링크 프로세서(350)-IP 보안 기능부(371)의 암호화 함수를 호출하여 홈 에이전트(230)로 송신하고, 보안레벨이 2 또는 4인 경우는 바로 홈 에이전트(230)로 송신한다.Thereafter, the Pi link interface function unit 360 retrieves the Pi link port information and the corresponding security level information of the received registration request, and if the security level is 1 or 3, the high speed link that takes a datagram including an IP header as an argument. The encryption function of the processor 350-the IP security function 371 is called and transmitted to the home agent 230. When the security level is 2 or 4, the processor 350 directly transmits the encryption function to the home agent 230.

이상의 과정으로 보안레벨 1, 2 또는 3에서 IPSec 프로세스 절차를 설명하였다. 이어서는 보안레벨 4 즉, IPSec를 적용하지 않는 경우의 바이패스 과정을 도3을 참조하여 설명한다. 이하에서 설명되는 절차의 이전 단계에서 수행되는 절차는 일반적인 PDSN 시스템(300) 과 이동 단말기(210)간의 모바일 IP 호처리 과정이므로 생략한다.In the above process, the IPSec process procedure is described at security level 1, 2 or 3. Next, the bypass process when the security level 4, that is, IPSec is not applied will be described with reference to FIG. The procedure performed in the previous step of the procedure described below is omitted since it is a mobile IP call processing process between the general PDSN system 300 and the mobile terminal 210.

도3에 따르면, Pi 링크 제어 기능부(320)가 MCMF(또는 AAA)로부터 모바일 IP 인증 응답(MipAuthAck_MC2PL)을 수신한다(S51)3, the Pi link control function 320 receives a mobile IP authentication response (MipAuthAck_MC2PL) from the MCMF (or AAA) (S51).

Pi 링크 제어 기능부(320)는 호 개설시 반드시 PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 PLCF 보안 폴리시 구조체(PLCF_SSP_info)를 인수로 하는 IP 보안 모듈(330)의 보안유대 검색 함수(ipsm_SA_LookUp(PLCF_SSP_info))를 호출하여 선택 정보를 PDSN 제어 프로세서(320)-IP 보안 기능부(331)에 전달한다. IP 보안 모듈(330)의 보안유대 검색 함수(ipsm_SA_LookUp())는 보안유대(SA)의 검색 전 보안 폴리시(SP)를 검색하여 해당 보안 폴리시가 존재하지 않으면 보안 폴리시를 입력한다. 이때 보안레벨에 대한 정보가 없으므로 보안 폴리시와 보안레벨 정보는 입력되지 않는다(S52).Pi link control function 320 is a security association search function of IP security module 330, which takes a PLCF security policy structure (PLCF_SSP_info) of PDSN control processor 320-IP security function 331 at the time of call establishment. (ipsm_SA_LookUp (PLCF_SSP_info)) is called to pass the selection information to the PDSN control processor 320-IP security function 331. The security bond search function ipsm_SA_LookUp () of the IP security module 330 searches for a security policy SP before the security bond SA and inputs a security policy if the security policy does not exist. At this time, since there is no information on the security level, the security policy and the security level information are not input (S52).

PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 IP 보안 모듈(330)의 보안유대 검색 함수(ipsm_SA_LookUp())는 목적지, 원천지 어드레스 정보를 이용하여 보안유대 정보를 검색한다(S53).The security association search function (ipsm_SA_LookUp ()) of the IP security module 330 of the PDSN control processor 320 and the IP security function unit 331 searches for the security association information by using the destination and source address information (S53). .

보안유대 검색 결과를 Pi 링크 제어 기능부(320)에 전달한다(S54).The security bond search result is transmitted to the Pi link control function unit 320 (S54).

Pi 링크 제어 기능부(320)는 보안유대 검색 결과를 AAA(220)에 전달한다(S55).The Pi link control function unit 320 transmits the security bond search result to the AAA 220 (S55).

Pi 링크 제어 기능부(320)는 보안유대가 존재하면 AAA(MCMF)(220)로부터 보안레벨 값만을 수신하며, 보안유대가 존재하지 않으면 보안레벨과 공개키(PresharedKey) 정보를 수신한다(S56).The Pi link control function 320 receives only the security level value from the AAA (MCMF) 220 if the security bond exists, and receives the security level and public key information (PresharedKey) information if the security bond does not exist (S56). .

Pi 링크 제어 기능부(320)는 PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 PLCF 보안 폴리시 정보를 갖는 구조체(PLCF_SSP_Info)를 인수로 하는 IP 보안 모듈(330)의 보안 폴리시 정보 업데이터 요청 함수(ipsm_request_Update_SPInfo(PLCF_SSP_Info))를 호출한다. PDSN 제어 프로세서(320)-IP 보안 기능부(331)는 전달받은 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)에서 목적지, 원천지 어드레스 정보를 이용하여 해당 보안 폴리시를 검색하여 보안레벨을 이용한 폴리시(Policy) 정보 갱신과 더불어 보안레벨 정보를 갱신한다(S57~S58).The Pi link control function 320 requests the security policy information updater of the IP security module 330 that takes a structure (PLCF_SSP_Info) having the PLCF security policy information of the PDSN control processor 320-the IP security function 331. Call the function ipsm_request_Update_SPInfo (PLCF_SSP_Info). The PDSN control processor 320-the IP security function unit 331 retrieves the corresponding security policy using the destination and source address information from the received PLCF security policy structure (PLCF_SSP_Info) and updates the policy information using the security level. In addition, the security level information is updated (S57 to S58).

보안 폴리시 및 보안레벨 정보 갱신에 따른 결과 값을 리턴값으로 하여 Pi 링크 제어 기능부(320)로 전달한다(S59).The result value according to the security policy and the security level information update is returned as the return value to the Pi link control function unit 320 (S59).

Pi 링크 제어 기능부(320)는 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)에 추가된 보안유대 존재 필드(nSAExistence)에 보안 폴리시 존재여부 값을 저장하여PLCF 보안 폴리시 구조체(PLCF_SSP_Info)를 인수로 하는 Pi 링크 보안유대 열기 요청 함수(예: PiSaOpenReq_P2H(PLCF_SSP_Info))의 메시지를 이용하여 Pi 링크 인터페이스 기능부(360)로 전달한다(S60).The Pi link control function 320 stores the security policy presence value in the security association existence field (nSAExistence) added to the PLCF security policy structure (PLCF_SSP_Info) and takes the Pi link security bond as the argument to the PLCF security policy structure (PLCF_SSP_Info). Using the message of the open request function (for example, PiSaOpenReq_P2H (PLCF_SSP_Info)), the message is transmitted to the Pi link interface function unit 360 (S60).

Pi 링크 인터페이스 기능부(360)는 수신한 정보를 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)로 캐스팅하여 보안레벨과 Pi 링크 포트(nPiPort) 정보를 필터링하여 저장한다. Pi 링크 포트(nPiPort) 정보는 추후 등록요청(Registration Request, RRQ) 또는 데이터 암호화 시 사용된다. 보안레벨 값이 1,2 또는 3인 경우 PLCF 보안 폴리시 구조체(PLCF_SSP_Info)를 인수로 하는 IP 보안 모듈(330)의 보안 폴리시 정보 생성 요청 함수(예:ipsm_request_SAInfo_Creation(PLCF_SSP_Info *) HLP-IPSF)를 호출하는 한편, 보안레벨이 4인 경우에는 바이패스이므로 메시지 타입이 바이패스를 나타내는 응답 메시지를 구성하여 Pi 링크 제어 기능부(320)로 전달한다(S61~S62).The Pi link interface function unit 360 casts the received information into a PLCF security policy structure (PLCF_SSP_Info) to filter and store the security level and Pi link port (nPiPort) information. Pi link port (nPiPort) information is used for later registration request (RRQ) or data encryption. When the security level value is 1,2 or 3, the security policy information generation request function of the IP security module 330, which takes a PLCF security policy structure (PLCF_SSP_Info) as an argument, for example, ipsm_request_SAInfo_Creation (PLCF_SSP_Info *) HLP-IPSF) is called. On the other hand, when the security level is 4, since the bypass, the message type is configured to send a response message indicating the bypass to the Pi link control function unit (320) (S61 to S62).

Pi 링크 인터페이스 기능부(360)는 수신한 응답 메시지의 타입을 필터링하여 그 타입이 바이패스를 나타내는 경우에는 PDSN 제어 프로세서(320)-IP 보안 기능부(331)의 함수를 호출하거나 배포하지 하는 동작 없이 바로 등록요청을 수행한다(S63).The Pi link interface function unit 360 filters the type of the received response message and calls or distributes a function of the PDSN control processor 320 to the IP security function unit 331 when the type indicates a bypass. Immediately perform the registration request without (S63).

Pi 링크 인터페이스 기능부(360)는 수신한 메시지의 Pi 링크 포트(PiPort)를 이용하여 해당 세션이나 데이터의 보안레벨이 4라는 것을 알고 IP 보안 기능부(371)의 암호화 모듈을 호출함이 없이 바로 홈 에이전트(230)로 등록요청 메시지를 송신한다(S64~S65).The Pi link interface function 360 knows that the security level of the session or data is 4 using the Pi link port (PiPort) of the received message, without calling the encryption module of the IP security function 371 directly. The registration request message is transmitted to the home agent 230 (S64 to S65).

이후의 과정은 홈 에이전트(230)의 일반적인 동작에 따른다.Subsequent processes depend on the general operation of the home agent 230.

이상 설명한 실시예는 본 발명의 다양한 변화, 변경 및 균등물의 범위에 속한다. 따라서 실시예에 대한 기재내용으로 본 발명이 한정되지 않는다.The embodiments described above are within the scope of various changes, modifications, and equivalents of the present invention. Therefore, the present invention is not limited to the description of the examples.

본 발명의 패킷데이터서비스노드 시스템의 아이피 보안 방법에 따르면, PDSN 시스템과 홈 에이전트간의 패킷 전송시 해당 패킷을 모바일 IP 프로토콜의 IPSec 기능에 따라 암호화하여 전송할 수 있게 되어 패킷 전송의 보안성을 확보할 수 있게 된다.According to the IP security method of the packet data service node system of the present invention, when transmitting a packet between the PDSN system and the home agent, the packet can be encrypted and transmitted according to the IPSec function of the mobile IP protocol, thereby securing the security of packet transmission. Will be.

Claims (11)

모바일노드를 포함하여 PDSN 시스템과 홈 에이전트시스템간의 호처리과정중 보안유대 검색을 수행하여 그 검색결과에 따라 해당 선택정보를 사용자 인증서버로 전달하여 보안레벨과 공개키 정보를 수신하는 보안레벨 수신단계와, 상기 보안레벨 수신단계에 의해 수신된 보안레벨을 이용하여 보안 폴리시정보 및 보안레벨을 갱신하고 해당 보안레벨이 암호화를 요구하는 지를 확인하는 보안레벨 암호화 확인단계와, 상기 보안레벨 암호와 확인단계에 의해 해당 보안레벨이 암호화를 요구하지 않음이 확인될 경우 보안유대 협상없이 즉시 해당 모바일노드의 등록요청을 처리하는 등록요청처리단계와, 상기 보안레벨 암호화 확인단계에 의해 해당 보안레벨이 암호화를 요구할 경우 보안 폴리시를 검색하여 해당 보안레벨과 보안 폴리시에 적합한 단계로 갱신한 후 공중망의 홈에이전트와 보안유대 협상을 수행하는 다단계 암호화단계와, 상기 다단계 암호화단계중에 보안유대 설립이 수락되고 기 존재하는 보안유대가 없을 경우 보안유대 동기화를 수행한 후 해당 모바일노드를 등록시키는 등록단계로 구성되는 암호화전송단계로 이루어지는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.Security level reception step of receiving security level and public key information by performing security association search during call processing between PDSN system and home agent system including mobile node and transmitting the corresponding selection information to user authentication server according to the search result A security level encryption checking step of updating security policy information and security level by using the security level received by the security level receiving step and confirming whether the corresponding security level requires encryption, and the security level encryption and checking step If it is confirmed that the security level does not require encryption by the registration request processing step of processing the registration request of the mobile node immediately without negotiating security association, and the security level encryption request by the security level encryption verification step The security policy is retrieved and the appropriate level for that security level and security policy. After renewing, multi-level encryption stage for negotiating security ties with home agent of public network, and if the establishment of security ties is accepted during the multi-level encryption phase, and there is no existing security ties, the mobile node is registered after synchronizing security ties. IP security method of a packet data service node system, characterized in that consisting of an encryption transmission step consisting of a registration step. 삭제delete 제 1항에 있어서, 상기 암호화전송단계중에 상기 공중망을 통해 암호화되어 전송되는 데이터정보를 상기 암호화 방식에 대응되는 방식으로 복호화하여 사설 IP를 사용하는 홈 IP 네트워크상의 각 노드에 전달하는 복호화단계를 더 포함하는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.The method of claim 1, further comprising: decrypting data information encrypted and transmitted through the public network during the encryption transmission step in a manner corresponding to the encryption method, and transmitting the decrypted data information to each node on a home IP network using a private IP. IP security method of a packet data service node system comprising a. 제1항에 있어서, 상기 보안레벨 수신단계중에는 보안유대 검색이 수행 전에 IPSec의 적용 여부를 결정하기 위해 보안 폴리시를 검색하는 검색단계와, 상기 검색단계에 의해 보안 폴리시가 존재하지 않음이 확인될 경우 보안 폴리시를 입력하는 보안폴리시 입력단계를 더 포함하고;The method of claim 1, wherein, during the security level reception step, a search step for searching for a security policy to determine whether to apply IPSec before performing a security tie search, and when it is confirmed that no security policy exists by the search step A security policy input step of inputting a security policy; 상기 다단계 암호화단계중에는 보안유대 정보가 존재하지 않을 경우 보안 폴리시가 입력되어지도록 하는 보안 폴리시입력단계를 더 포함하는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.The IP security method of the packet data service node system, characterized in that the multi-step encryption step further comprises a security policy input step so that the security policy is input when there is no security bond information. 제1항에 있어서, 상기 보안레벨 수신단계의 보안유대 검색은 패킷의 목적지 및 원천지 어드레스 정보를 이용하여 검색되도록 하고, 상기 검색 결과 보안유대가 존재하는 경우에는 상기 사용자 인증서버로부터 보안레벨 값만을 수신하고, 상기 검색 결과 보안유대가 존재하지 않는 경우에는 보안레벨과 공개키 정보를 수신하는 수신단계를 더 포함하는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.2. The security association search of the security level receiving step is to be searched using the destination and source address information of the packet. When the security association exists, only the security level value is obtained from the user authentication server. And a receiving step of receiving a security level and public key information when there is no security association as a result of the search. 제1항에 있어서, 보안레벨 수신단계후에는 그 처리된 보안레벨과 설정된 링크 포트 정보를 필터링하여 저장하는 필터링단계와, 상기 저장된 링크 포트 정보가 추후의 모바일 노드 등록요청 또는 데이터 암호화시 사용되어지는 링크포트 정보처리단계를 더 포함하는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.2. The method of claim 1, wherein after the security level reception step, a filtering step of filtering and storing the processed security level and the set link port information, and the stored link port information is used in a subsequent mobile node registration request or data encryption. IP security method of a packet data service node system, characterized in that it further comprises a link port information processing step. 삭제delete 제1항에 있어서, 상기 암호화전송단계후에는 보안유대 협상의 결과 보안유대 수락이 결정될 경우 보안유대 설립 요청을 배포하는 요청배포단계와, 상기 보안유대 설립 요청이 배포될 경우 해당 보안 폴리시가 존재하는지 여부를 판단하는 보안폴리시 판단단계와,상기 보안폴리시 판단단계에 의해 판단한 결과 보안 폴리시가 존재하지 않는 경우 디폴트로 설정된 보안 폴리시 정보를 입력하는 디폴트 입력단계와, 상기 디폴트 입력단계후에 상기 보안유대 정보를 저장하여 보안유대 정보를 동기화시키는 동기화단계를 더 포함하는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.The method according to claim 1, wherein after the encryption transmission step, a request distribution step of distributing a request for establishing a security bond is determined if acceptance of the security bond is determined as a result of the security association negotiation, and if the security policy exists if the security association establishment request is distributed. A security policy determination step of determining whether the security policy is determined, a default input step of inputting security policy information set as a default when no security policy exists as a result of the security policy determination step, and the security bond information after the default input step. And a synchronization step of storing and synchronizing security association information. 제1항에 있어서, 상기 암호화전송단계에는 상기 보안유대가 설립되어 해당 모바일 노드가 등록된 이후, 그 수신된 등록요청의 상기 설정된 링크 포트 정보와 해당 패킷의 헤더에 적재된 보안레벨 정보를 검색하여 보안레벨이 암호화를 요구하는지 판단하는 암호화요구 판단단계와,The method of claim 1, wherein in the encryption transmission step, after the security association is established and the corresponding mobile node is registered, the set link port information of the received registration request and the security level information loaded in the header of the packet are retrieved. An encryption request determination step of determining whether the security level requires encryption, 상기 암호화요구 판단단계에 의해 보안레벨이 암호화를 요구하는 것으로 판단될 경우 상기 패킷헤더를 포함한 데이터그램을 암호화하여 홈 에이전트로 송신하는 암호화전송단계와,An encryption transmission step of encrypting a datagram including the packet header and transmitting it to a home agent when it is determined that the security level requires encryption by the encryption request determination step; 상기 암호와요구 판단단계에 의해 판단한 결과 상기 보안레벨이 암호화를 요구하지 않을 경우 상기 데이터그램을 암호화하지 않은 채 상기 홈 에이전트로 송신하는 비암호화전송단계를 더 포함하는 것을 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.And a non-encrypted transmission step of transmitting the datagram to the home agent without encrypting the datagram when the security level does not require encryption as determined by the encryption and request determination step. How to secure your system's IP. 삭제delete 제1항에 있어서, 상기 암호화전송단계에는 기 존재하는 보안유대가 있는 경우 해당 모바일노드의 등록요청을 수락하여 등록시키는 등록단계를 더 포함하는 것을 특징으로 하는 특징으로 하는 패킷데이터서비스노드 시스템의 아이피 보안 방법.The IP of the packet data service node system according to claim 1, wherein the encryption transmission step further includes a registration step of registering and accepting a registration request of a corresponding mobile node when there is an existing security bond. Security method.
KR10-2001-0085719A 2001-12-27 2001-12-27 IP Security in Packet Data Service Node system KR100434357B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0085719A KR100434357B1 (en) 2001-12-27 2001-12-27 IP Security in Packet Data Service Node system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0085719A KR100434357B1 (en) 2001-12-27 2001-12-27 IP Security in Packet Data Service Node system

Publications (2)

Publication Number Publication Date
KR20030055674A KR20030055674A (en) 2003-07-04
KR100434357B1 true KR100434357B1 (en) 2004-06-04

Family

ID=32213937

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0085719A KR100434357B1 (en) 2001-12-27 2001-12-27 IP Security in Packet Data Service Node system

Country Status (1)

Country Link
KR (1) KR100434357B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190035056A (en) * 2017-09-26 2019-04-03 한양대학교 산학협력단 Flying apparatus and data transmission method thereof

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102096610B1 (en) * 2017-11-28 2020-04-02 주식회사 안랩 Apparatus and method for managing communication of internet of things

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001160828A (en) * 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd Vpn communication method in security gateway device
KR20020061826A (en) * 2001-01-18 2002-07-25 주식회사 하이닉스반도체 Method of controlling management for network element integration on communication system
KR20030035587A (en) * 2001-10-31 2003-05-09 주식회사 케이티 The processing apparatus and method for providing internet protocol virtual private network service on mobile communication
KR20030050550A (en) * 2001-12-19 2003-06-25 엘지전자 주식회사 Simple IP virtual private network service in PDSN system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001160828A (en) * 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd Vpn communication method in security gateway device
KR20020061826A (en) * 2001-01-18 2002-07-25 주식회사 하이닉스반도체 Method of controlling management for network element integration on communication system
KR20030035587A (en) * 2001-10-31 2003-05-09 주식회사 케이티 The processing apparatus and method for providing internet protocol virtual private network service on mobile communication
KR20030050550A (en) * 2001-12-19 2003-06-25 엘지전자 주식회사 Simple IP virtual private network service in PDSN system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190035056A (en) * 2017-09-26 2019-04-03 한양대학교 산학협력단 Flying apparatus and data transmission method thereof
KR102024991B1 (en) * 2017-09-26 2019-11-04 한양대학교 산학협력단 Flying apparatus and data transmission method thereof

Also Published As

Publication number Publication date
KR20030055674A (en) 2003-07-04

Similar Documents

Publication Publication Date Title
US6976177B2 (en) Virtual private networks
US7181012B2 (en) Secured map messages for telecommunications networks
JP4159328B2 (en) Network, IPsec setting server device, IPsec processing device, and IPsec setting method used therefor
US8108677B2 (en) Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
Aboba et al. Extensible authentication protocol (EAP) key management framework
USRE46113E1 (en) Technique for maintaining secure network connections
EP1374533B1 (en) Facilitating legal interception of ip connections
US20160080335A1 (en) Method and system for traffic engineering in secured networks
US20070006296A1 (en) System and method for establishing a shared key between network peers
US20030211842A1 (en) Securing binding update using address based keys
US20050063352A1 (en) Method to provide dynamic Internet Protocol security policy service
US20070271606A1 (en) Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US20060020787A1 (en) Secure communication methods and systems
US20100268935A1 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
JP4636401B2 (en) IPSec processing device
US20050102514A1 (en) Method, apparatus and system for pre-establishing secure communication channels
JP2004201288A (en) High speed interlayer authentication or re-authentication for network communication
KR100434357B1 (en) IP Security in Packet Data Service Node system
Xenakis et al. On demand network-wide VPN deployment in GPRS
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
CN115567208A (en) Fine-grained transparent encryption and decryption method and system for network session data stream
FI112756B (en) Processing of data packets in a network element cluster
Xenakis et al. Alternative Schemes for Dynamic Secure VPN Deployment in UMTS
KR20030050550A (en) Simple IP virtual private network service in PDSN system
Rose et al. Network Working Group T. Pauly Internet-Draft Apple Inc. Intended status: Informational C. Perkins Expires: January 1, 2019 University of Glasgow

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130417

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140416

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee