KR100814988B1 - 모바일 네트워킹을 보안-기반 vpns와 통합하기 위한시스템 및 방법 - Google Patents

모바일 네트워킹을 보안-기반 vpns와 통합하기 위한시스템 및 방법 Download PDF

Info

Publication number
KR100814988B1
KR100814988B1 KR1020057011574A KR20057011574A KR100814988B1 KR 100814988 B1 KR100814988 B1 KR 100814988B1 KR 1020057011574 A KR1020057011574 A KR 1020057011574A KR 20057011574 A KR20057011574 A KR 20057011574A KR 100814988 B1 KR100814988 B1 KR 100814988B1
Authority
KR
South Korea
Prior art keywords
network
mobile node
home agent
mobile
proxy
Prior art date
Application number
KR1020057011574A
Other languages
English (en)
Other versions
KR20050085834A (ko
Inventor
창웬 리우
마이클 앤드류
프라카시 이여
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20050085834A publication Critical patent/KR20050085834A/ko
Application granted granted Critical
Publication of KR100814988B1 publication Critical patent/KR100814988B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

외래(foreign) 네트워크 상의 모바일 노드와 홈 네트워크 상의 대응하는 노드 간에 내부 및 외부 방화벽 쌍을 통해 보안 네트워크 경로를 제공하는 시스템 및 방법이 개시되어 있다. 이 시스템 및 방법의 일 양상은 모바일 노드와 방화벽 내부의 VPN 게이트웨이 간에 모바일 IP 프록시를 제공하는 것을 포함한다. 이 모바일 IP 프록시는 모바일 노드에 대한 대리(surrogate) 홈 에이전트로서 작용하고, 홈 네트워크에 존재하는 홈 에이전트에 대한 대리 모바일 노드로서 작용한다.
Figure R1020057011574
VPN, 보안, 방화벽, 보조 어드레스, 대리 에이전트

Description

모바일 네트워킹을 보안-기반 VPNS와 통합하기 위한 시스템 및 방법{SYSTEM AND METHOD FOR INTEGRATING MOBILE NETWORKING WITH SECURITY-BASED VPNS}
본 발명은 일반적으로 모바일 네트워킹을 제공하기 위한 컴퓨터 시스템 및 방법에 관한 것으로, 특히 모바일 노드와 대응하는 노드 간에 네트워크 데이터를 라우팅하기 위한 보안 메커니즘과 모바일 네트워킹을 통합하는 것에 관한 것이다.
[저작권 공고/사용권한]
이 특허 문서의 개시의 일부는 저작권 보호를 받는 재료를 포함한다. 저작권 소유자는 특허 문서 또는 특허 개시가 특허청 파일 또는 기록에 나타났을 때 어느 누구라도 그 특허 문서 또는 특허 개시를 팩시밀리 복사하는 것에는 이의가 없으나, 다른 경우 무엇이든지 모든 저작권 권리를 유보한다. 다음의 통지 즉, Copyright ⓒ 2002, Intel Corporation는 하기 및 이에 대한 도면에 설명된 바와 같은 소프트웨어 및 데이터에 적용한다. 모든 권리는 유보되었다.
무선 네트워킹의 사용은 계속하여 급속도로 성장하고 있다. 무선 네트워크는 많은 이유로 관심을 모으고 있다. 무선 네트워크는 편리하고, 유연성 및 로밍을 허용하며, 동적 환경을 지원할 수 있다. 또한, 무선 네트워크는 유선 네트워크 와 비교할 때 상대적으로 설치가 용이하다. 일부 경우, 예를 들면 오래된 건물의 경우, 무선 네트워크는 배치가 보다 저렴할 수 있다. 배선 또는 배선 변경이 필요없이 순식간에 완전한 네트워크가 구성될 수 있다. 많은 경우, 무선 네트워크는 유선 LAN 카드의 저렴한 비용에도 불구하고 유선 네트워크보다 소유 비용(cost of ownership)을 낮출 수 있다.
컴퓨팅에 있어 추가 추세로, 개인 및 기업 컴퓨터 자원의 인가되지 않거나 불법적인 이용을 방지하기 위해 보안 메커니즘의 이용이 증가되었다. 예를 들면, 많은 회사 및 개인은 "방화벽(firewall)"을 설치하여, 방화벽 내부의 시스템을 인가되지 않은 접속으로부터 보호해 왔다. 이 기술분야에 공지되어 있는 바와 같이, 방화벽은 하드웨어와 소프트웨어 양쪽 모두, 또는 이 둘의 결합으로 구현될 수 있다. 방화벽은 인가되지 않은 인터넷 사용자가 인터넷, 특히 인트라넷(intranet)에 접속된 사설 네트워크에 접속하지 못하도록 하는데 자주 이용된다. 인트라넷에 들어가거나 나가는 모든 메시지들은 통상적으로 방화벽을 통과하는데, 이 방화벽은 각각의 메시지를 검사하고 특정 보안 기준을 충족하지 않는 메시지를 차단한다.
방화벽은 네트워크 보안성을 증가시키는데 유용한 툴(tool)이지만, 이 방화벽은 방화벽 내부의 시스템에 접속하기 위한 정당한 필요성을 갖는 방화벽 외부의 무선 사용자에 대해서 문제점을 갖는다. 방화벽에 의해 구현된 보안 방식은 종종 IP 어드레스를 사용하며, 네트워크 데이터 패킷이 방화벽을 통과하는 것이 허용되어야 하는지를 결정함에 있어 도움을 주기 위하여 IPSec에 의존한다. 불행하게도, 무선 시스템의 경우에, 사용자가 하나의 무선 네트워크로부터 다른 무선 네트워크 로 로밍함에 따라 모바일 노드의 IP 어드레스가 자주 변할 수 있다. 결과적으로, 보안 메커니즘 예를 들면, IPSec은 사용자가 새로운 네트워크로 로밍할 때마다 재-확립되어야 한다. 새로운 네트워크 접속에 대한 보안 메커니즘의 재-확립은 CPU 사이클 및 사용자가 새로운 보안 접속이 확립되기를 기다려야 하는 경과 시간의 측면에서 비용이 많이 들 수 있다.
전술한 문제점에 비추어 볼 때, 이 기술분야에는 본 발명에 대한 필요성이 존재한다.
도 1A는 본 발명의 예시적인 실시예의 시스템 레벨 개요를 도시한 블록도.
도 1B는 본 발명의 예시적인 대안 실시예의 시스템 레벨 개요를 도시한 블록도.
도 1C는 본 발명의 예시적인 다른 대안 실시예의 시스템 레벨 개요를 도시한 블록도.
도 1D는 본 발명의 예시적인 또다른 대안 실시예의 시스템 레벨 개요를 도시한 블록도.
도 2A는 도 1A에 도시된 바와 같은 본 발명의 예시적인 실시예의 구성요소의 네트워크 계층 간 통신을 도시한 도면.
도 2B는 도 1B에 도시된 바와 같은 본 발명의 예시적인 대안 실시예의 구성요소의 네트워크 계층 간 통신을 도시한 도면.
도 2C는 도 1C에 도시된 바와 같은 본 발명의 예시적인 다른 대안 실시예의 구성요소의 네트워크 계층 간 통신을 도시한 도면.
도 2D는 도 1D에 도시된 바와 같은 본 발명의 예시적인 또다른 대안 실시예의 구성요소의 네트워크 계층 간 통신을 도시한 도면.
도 3은 모바일 노드에 대하여 보안 네트워크 통신을 확립하기 위한 방법을 도시한 흐름도.
도 4A 및 도 4B는 본 발명의 일 실시예에 따라 방화벽을 통해 모바일 노드에 네트워크 패킷을 라우팅하기 위한 본 발명의 실시예에 따른 방법을 도시한 흐름도.
본 발명의 예시적인 실시예에 대한 다음의 상세한 설명에 있어, 설명의 일부를 형성하는 첨부 도면에 대하여 참조가 이루어지며, 이 도면에는 본 발명이 실행될 수 있는 특정 실시예가 예시적으로 도시되어 있다. 이들 실시예는 이 기술분야의 당업자가 본 발명을 실행할 수 있도록 충분히 상세하게 설명되어 있으며, 다른 실시예들도 이용될 수 있고, 본 발명의 범위로부터 벗어남이 없이 논리적, 기계적, 전기적 및 기타 다른 변경이 행해질 수 있음을 이해해야 한다. 따라서, 다음의 상세한 설명은 한정적인 의미로 받아들여져서는 안된다.
이 도면들에서는, 여러 도면에 나타나는 동일한 구성요소를 나타내기 위해 도면 전체에 걸쳐서 동일한 참조 번호가 이용된다. 신호들 및 접속들은 동일한 참조 번호 또는 라벨로 나타낼 수 있고, 실제 의미는 그 설명과 관련하여 그 이용으로부터 명백해질 것이다. 또한, 동일한 기준 참조 번호(예를 들면, 120)는 동일한 구성요소 그룹의 동작 또는 특성을 총칭할 때 명세서 및 도면에 이용된다. 동일한 구성요소 그룹 중에서 특정 구성요소가 소정 동작을 수행하거나 소정 특성을 가질 때에는 소수점으로 표시된 수치 인덱스(numeric index)(예를 들면, 120.1)가 이용된다.
상세한 설명은 여러 부분으로 나뉜다. 제1 부분에서는, 본 발명의 상이한 실시예들의 하드웨어 및 소프트웨어 운영 환경이 설명된다. 제2 부분에서는, 본 발명의 여러 실시예들에 따른 방법이 설명된다. 마지막 부분에서는, 결론이 제공된다.
운영 환경
도 1A는 본 발명의 여러 실시예들을 포함한 하드웨어 및 소프트웨어 운영 환경(100)의 블록도이다. 본 발명의 시스템 및 방법은 모바일 네트워크를 지원하는 임의의 하드웨어 또는 소프트웨어 시스템에 제공될 수 있다. 전형적으로 이러한 하드웨어는 개인용 컴퓨터, 서버 컴퓨터, 메인프레임 컴퓨터, 랩톱 컴퓨터, 휴대용 핸드헬드 컴퓨터, 개인 휴대 정보 단말기(PDA), 네트워크 가능 셀룰러 전화기 및 전술한 장치들의 혼성(hybrid)을 포함한다. 본 발명의 일부 실시예들에 있어서, 운영 환경(100)은 대응하는 노드(110), 홈 에이전트(112), 보안 게이트웨이(104), 모바일 IP 프록시(102), 외래(foreign) 에이전트(122), 모바일 노드(120), 내부 방화벽(106) 및 외부 방화벽(108)을 포함한다. 운영 환경에서 구동하는 소프트웨어 구성요소는 전형적으로 기계-판독가능 매체로부터 판독되고 운영 체계의 제어하에서 구동되고, 이 운영 체계와 인터페이스된다. 이러한 기계-판독가능 매체의 예는, 하드디스크, 플로피 디스크, CD-ROM, DVD-ROM을 포함한다. 또한, 기계-판독가 능 매체는 네트워크를 거쳐서 송신되는 유선 및 무선 신호를 포함한다. 운영 체계의 예는, Microsoft Corporation에 의한 Windows®95, Windows 98®, Windows Me®, Windows CE®, Windows®NT, Windows 2000® 및 Windows XP®를 포함한다. 그러나, 본 발명은 임의의 특정 운영 체계에 한정되지 않으며, 대안적인 실시예에서, 소프트웨어 구성요소는 Palm Inc.로부터의 Palm OS®, UNIX 및 Linux 운영 체계의 변형 및 셀룰러 전화기 운영 체계 내에서 동작할 수 있다.
본 발명의 일부 실시예들에 있어서, 운영 환경(100)은 모바일 노드(120)와 대응하는 노드(110) 간의 네트워크 통신을 지원한다. 모바일 노드(120)는 유선 및/또는 무선 네트워크 통신을 지원하는 임의의 모바일 컴퓨팅 장치가 될 수 있다. 이러한 장치의 예는, 랩톱 컴퓨터, 핸드헬드 컴퓨터, 개인 휴대 정보 단말기 및 네트워크 가능 셀룰러 전화기를 포함한다. 본 발명은 모바일 노드(120)에 대한 임의의 특정 모바일 컴퓨팅 장치로 한정되지 않는다.
모바일 노드(120)는 전형적으로 홈 네트워크(114)를 할당받으며, 그것에 할당되는 영구적인 홈 네트워크 어드레스를 가질 것이다. 홈 네트워크(114)는 임의의 타입의 네트워크가 될 수 있고, 전형적으로 홈 네트워크(114)는 기업 네트워크 또는 캠퍼스 네트워크와 같은 사설 네트워크일 것이다. 그러나, 본 발명은 임의의 특정 타입의 홈 네트워크(114)로 한정되지 않는다. 대응하는 노드(110)는 서버 컴퓨터, 메인프레임 컴퓨터, 개인용 컴퓨터, 라우터, 헨드헬드, 랩톱, PDA, 셀룰러 전화기 등을 포함하여, 모바일 노드(120)로/로부터 데이터를 송신 또는 수신하는 임의의 타입의 네트워크 부착 장치가 될 수 있다. 본 발명은 임의의 특정 타입의 대응하는 노드(110)로 한정되지 않는다.
본 발명의 일부 실시예들에 있어서, 홈 에이전트(112) 및 외래 에이전트(122)는 IETF(Internet Engineering Task Force)의 모바일 IP 작업 그룹에 의해 각각 1996년 10월, 2002년 1월 및 2002년 8월에 공개된, 모바일 IP 통신에 대한 RFC 2002, RFC 3220 및/또는 RFC 3344 표준 트랙 프로토콜에 따라 실질적으로 모바일 네트워크 통신을 용이하게 하는 네트워크 노드이다. 홈 에이전트(112)는 모바일 노드의 홈 서브넷 내의 라우터로서 역할을 하여, 모바일 노드(120)가 그의 홈 서브넷의 외부에 배치될 때, 예를 들면, 모바일 노드(120)가 외래 네트워크(130)에 접속될 때, 트래픽을 모바일 노드(120)로 보낸다. 외래 네트워크(130)는 임의의 타입의 유선 또는 무선 네트워크가 될 수 있다. 일부 실시예들에 있어서, 외래 네트워크(103)는 인터넷을 포함한다.
본 발명의 일부 실시예들에 있어서, 모바일 노드(120.2)가 새로운 네트워크(130)로 이동한 경우, 모바일 노드(120.2)는 외래 에이전트(122)를 이용하여 등록한다. 외래 에이전트(122)는 전형적으로 모바일 노드에 보조(care-of) 네트워크 어드레스를 허여하고, 보조 어드레스의 홈 에이전트를 통지하는 모바일 노드로부터의 요구를 중계한다. 홈 에이전트는 이 요구를 수취하도록 선택할 수 있고, 외래 에이전트를 통해 모바일 노드로 수신확인(acknowledgement)을 다시 전송한다. 그 다음, 홈 에이전트는 모바일 노드로 목적지가 정해진 네트워크 패킷을, 외래 에이전트(122)를 통해 외래 네트워크(130)내의 모바일 노드로 전달한다. 모든 외래 네 트워크(130)가 외래 에이전트를 갖는 것은 아니다. 본 발명의 일부 실시예들에 있어서, 모바일 노드(120.1)는 자신의 외래 에이전트로서 작용할 수 있다. 일부 실시예들에 있어서, 모바일 노드(120)는 DHCP(Dynamic Host Configuration Protocol)를 이용하여, 외래 네트워크(130)에서 사용하기 위한 보조 어드레스를 획득한다.
종종, 기업 및 캠퍼스 네트워크와 같은 사설 네트워크는 사설 네트워크 상의 컴퓨터 및 시스템에 대한 인가되지 않은 접속을 방지하도록 보호된다. 본 발명의 일부 실시예들에 있어서, 홈 네트워크(114)는 내부 방화벽(106) 및 외부 방화벽(108)에 의해 보호된다. 방화벽(106 및 108)은 데이터 패킷 및 메시지를 검사하고, 특정 보안 기준을 충족하지 않는 것을 차단한다. 내부 및 외부 방화벽(106 및 108)은 DMZ(비무장 지대)(160)로서 이 기술분야에 공지되어 있는 것을 형성한다. 전형적으로, DMZ는 웹(HTTP) 서버, FTP 서버, SMTP(이메일) 서버 및 DNS 서버와 같은 인터넷 트래픽에 접속가능한 장치를 포함한다. DMZ를 확립하기 위한 내부 및 외부 방화벽의 사용은 보안 시각에서(security perspective) 바람직하지만, 본 발명의 시스템 및 방법은 하나의 방화벽만 있거나 또는 어떠한 방화벽도 없는 환경에 완전히 적용가능하다.
본 발명의 일부 실시예들에 있어서, DMZ(160)는 VPN(Virtual Private Network) 게이트웨이(104) 및 MIP(모바일 IP) 프록시(102)를 포함한다. VPN 게이트웨이(104)는 내부 네트워크 상의 노드와 외래 네트워크(130)와 같은 외래 네트워크 상의 노드 간에 VPN의 생성을 용이하게 한다. VPN은 공개 IP 기반구조를 통한 보안 네트워크 링크이다. VPN 프로토콜의 예로는, IPSec(IP Security)이 있다. 그러나, 본 발명은 특정 VPN 프로토콜로 한정되지 않는다.
MIP 프록시(102)는 홈 에이전트(112)와 외래 에이전트(122) 간의 중개자 역할을 한다. 본 발명의 일부 실시예들에 있어서, MIP 프록시(102)는 모바일 노드(120)에 대한 대리 홈 에이전트로서 작용하고, 홈 에이전트(114)에 대한 대리 모바일 노드로서 작용한다. 도 1A에 도시된 예시적인 실시예에 있어서, MIP 프록시(102)는 VPN 게이트웨이(104)와 동일한 컴퓨터에서 구동되지 않는다. 이들 실시예에 있어서, MIP 프록시(102)는 VPN 게이트웨이(104)에 대한 대리 외래 에이전트로서 작용한다.
도 1B는, MIP 프록시(102)가 VPN 게이트웨이(104)와 동일한 하드웨어 및 소프트웨어에 구현될 수 있는 본 발명의 여러 실시예들에 따른 시스템의 블록도를 제공한다. 이들 실시예들에 있어서, 통합된 MIP 프록시/VPN 게이트웨이 컴퓨터는 홈 에이전트(112)에 대한 모바일 노드를 에뮬레이트하는 모바일 노드(MN) 모듈(144) 및 모바일 노드(120)(또는 대안적으로, 외래 에이전트(122))에 대한 홈 에이전트를 에뮬레이트하는 홈 에이전트(HA) 모듈(142)을 포함한다.
도 1C는, MIP 프록시(102) 기능 구성요소인 HA 모듈(142)과 MN/FA 모듈(144)이 상이한 컴퓨터에 구현될 수 있는 대안적인 실시예의 블록도를 제공하며, 여기서, HA 모듈(142)은 WAN 사이드 박스(side box) 예를 들면, 외부 계층 방화벽(108) 외부의 WAN 라우터(123)에 구현될 수 있고, MN/FA 모듈(144)은 외부 계층 방화벽 내부의 DMZ 박스(160)에 구현될 수 있고, 외부 계층 방화벽(108)을 거쳐서 HA 모듈(142)을 MN/FA 모듈(144)에 접속하는 보안 패킷 데이터 터널이 존재하며, 이로써 HA 모듈은 MN/FA 모듈로부터 패킷을 송신 및 수신할 수 있다. 다시 말하면, HA 모듈은 추가의 처리를 위해 모든 수신된 모바일 IPv4 패킷을 MN/FA 모듈로 송신할 것이고, MN/FA 모듈은 추가의 처리를 위해 VPN 게이트웨이로부터 수신된 모든 패킷을 HA 모듈로 송신할 것이다. 보안 패킷 데이터 터널은 네트워크 계층, 전송 계층 또는 응용 계층을 포함하여, 네트워크 스택의 임의의 계층에 확립될 수 있다.
도 1D는, MIP 프록시(102)가 상이한 하드웨어 구성요소에 구현될 수 있는 본 발명의 여러 실시예들에 따른 시스템의 다른 블록도를 제공한다. 이 실시예들에 있어서, MIP 프록시는 상이한 컴퓨터에 구현된 HA 모듈(142) 및 MN 모듈(144)을 포함한다. 이 실시예들에 있어서, HA 모듈(142)은 WAN 사이드 박스 예를 들면, 외부 계층 방화벽(108) 외부의 WAN 라우터(123)에 구현될 수 있고, MN 모듈(144)은 VPN 게이트웨이에 구현될 수 있고, 외부 계층 방화벽을 거쳐서 VPN 게이트웨이에서 MN 모듈과 HA 모듈을 접속하는 보안 및 투명 내부 터널(secure and transparent internal tunnel)이 존재하며, 이로써 HA 모듈은 MN 모듈로부터 패킷을 송신 및 수신할 수 있다. 다시 말하면, HA 모듈은 추가의 처리를 위해 모든 수신된 모바일 IPv4 패킷을 MN 모듈로 송신할 것이고, VPN 게이트웨이는 추가의 처리를 위해 모든 암호화 패킷을 HA 모듈로 송신할 것이다. 또한, 보안 패킷 데이터 터널은 네트워크 계층, 전송 계층 또는 응용 계층을 포함하여, 네트워크 스택의 임의의 계층에 확립될 수 있다
도 1A로 돌아가면, 이제, 전술한 시스템의 동작이 일반적인 용어로 설명될 것이고, 본 발명의 여러 실시예들의 동작에 대한 보다 상세한 설명은 하기의 방법 부분에서 제공된다. 모바일 노드(120)가 외래 네트워크에 등록할 때, 일부 실시예들에 있어서 모바일 노드(120)는 MIP 프록시(102)를 이용하여 등록한다. 또한, 모바일 노드(120)와 MIP 프록시(102) 간에 데이터 트래픽 네트워크 터널이 생성된다. 또한, 모바일 노드(120)는 그 노드의 영구적인 홈 어드레스와 VPN 게이트웨이(104) 간에 IPSec SA(Security Association)을 생성한다. SA는 수동으로 생성되거나, 또는 IKE(Internet Key Exchange)와 같은 키 관리 프로토콜을 이용하여 생성될 수 있다. 그 다음, SA는 모바일 노드에 의해 대응하는 노드(110)와 같은 홈 네트워크(114) 내부의 노드로 목적지가 정해진 임의의 네트워크 데이터에 적용될 것이다. 이것은 모바일 노드에 의한 모바일 IP 캡슐화 이전에 IPSec SA 캡슐화를 적용함으로써 달성될 수 있다.
본 발명의 대안적인 실시예들에 있어서, 모바일 노드(120)는 홈 에이전트로서 MIP 프록시(102)를 특정하는, 외래 에이전트(122)를 이용하여 등록한다. 그 다음, 외래 에이전트(122)는, MIP 프록시가 모바일 노드(120)에 대한 실제 홈 에이전트인 것처럼, MIP 프록시(102)와 상호작용한다.
모바일 노드(120)로부터 등록 요구를 수신한 후, MIP 프록시(102)가 VPN 게이트웨이(104)와 별개인 본 발명의 일부 실시예들에 있어서, MIP 프록시(102)는 모바일 노드(120)에 대한 보조 어드레스로서 MIP 프록시를 특정하는 모바일 노드(120)를 대신하여 등록 요구를 송신한다. 또한, MIP 프록시(102)는 모바일 노드 영구적인 홈 네트워크 어드레스에 목적지가 정해진 패킷을 가로채기 시작하고, 그 패킷을 모바일 노드의 외래 에이전트 보조 어드레스로 터널링한다(모바일 노드는 그 자신의 외래 에이전트로서 작용할 수 있음에 주목한다).
등록 요구를 수신한 후, 홈 에이전트(112)는 모바일 노드(120)의 보조 어드레스로서 MIP 프록시 어드레스를 바인딩(bind)한다. MIP 프록시(102)가 VPN 게이트웨이(104)와 별개인 일부 실시예들에 있어서, MIP 프록시는 VPN 게이트웨이(104)에 대한 보조 어드레스로서 MIP 프록시(102)의 어드레스를 특정하는 홈 에이전트(112)로 VPN 게이트웨이(104)를 대신하여 초기 및 별개의 등록을 한번에 송신한다. MIP 프록시(102)로부터 등록 요구를 수신한 후, 홈 에이전트(114)는 VPN 게이트웨이(104)에 대한 보조 어드레스로서 MIP 프록시 어드레스를 바인딩한다. 또한, 홈 에이전트(112)는 VPN 게이트웨이(104)로 IPSec SA을 확립하고, 모바일 노드(120)의 영구적인 홈 네트워크 어드레스로 목적지가 정해진 홈 네트워크(114) 상의 대응하는 노드들로부터 가로채기하는 모든 네트워크 패킷에 이 SA를 적용한다. 일부 실시예들에 있어서, IPSec SA 캡슐화는 적용되는 임의의 모바일 IP 캡슐화 이전에 적용된다.
도 2A는 MIP 프록시가 VPN 게이트웨이(104)와 별개의 컴퓨터 시스템인 본 발명의 일부 실시예들에 있어서 여러 엔티티(entity)의 여러 네트워크 계층들 간의 데이터 전송의 예시를 제공한다. 일부 실시예들에 있어서, 모바일 노드(120), MIP 프록시(102), VPN 게이트웨이(104) 및 홈 에이전트(112)와 같은 주요 노드들 각각은 네트워크 스택(220, 202, 204 및 212)을 각각 갖는다. 네트워크 스택은 전형적으로 TCP/IP 네트워크 스택(230)을 포함할 것이다. TCP/IP 네트워크 스택(230)은 서브-계층들 즉, "정규" IP 서브-계층(232), 보안 서브-계층(234) 및 모바일 IP 서 브-계층(236)으로 세분될 수 있다. 본 발명의 일부 실시예들에 있어서, 보안 계층(234)은 IPSec 서브-계층이다. 모든 노드가 모든 서브-계층을 필요로 하지는 않는다는 것에 주목할 필요가 있다. 접속(240, 242, 244 및 248)은 여러 네트워크 계층들 간의 데이터 통신을 나타낸다.
도 2B는 MIP 프록시가 VPN 게이트웨이와 함께 배치된 본 발명의 실시예에 있어서 여러 엔티티의 여러 네트워크 계층들 간의 데이터 전송의 예시를 제공한다. 모바일 노드(120), MIP 프록시+VPN 게이트웨이(104) 및 홈 에이전트(112)와 같은 주요 노드들 각각은 네트워크 스택(220, 204 및 212)을 각각 갖는다. 전형적으로, 이 네트워크 스택은 TCP/IP 네트워크 스택(230)을 포함할 것이다. TCP/IP 네트워크 스택(230)은 서브-계층들 즉, "정규" IP 서브-계층(232), 보안 서브-계층(234) 및 모바일 IP 서브-계층(236)으로 세분될 수 있다. 본 발명의 이 실시예들에 있어서, 보안 계층(234)은 IPSec 서브-계층이다. 모든 노드가 모든 서브-계층을 필요로 하지는 않는다는 것에 주목할 필요가 있다.
도 2C는 MIP 프록시의 MN/FA 모듈이 DMZ의 VPN 게이트웨이와 별개의 컴퓨터 시스템에 존재하고, HA 모듈이 WAN 라우터와 함께 배치된 본 발명의 실시예들에 있어서, 여러 엔티티의 여러 네트워크 계층들 간의 데이터 전송의 예시를 제공한다. 모바일 노드(120), WAN 라우터(123), VPN 게이트웨이(104), MIP 프록시+FA/MN(102) 및 홈 에이전트(112)와 같은 주요 노드들 각각은 네트워크 스택(220, 223, 204, 202 및 212)을 각각 갖는다. 전형적으로, 이 네트워크 스택은 TCP/IP 네트워크 스택(230)을 포함할 것이다. TCP/IP 네트워크 스택(230)은 서브-계층들 즉, "정규" IP 서브-계층(232), 보안 서브-계층(234) 및 모바일 IP 서브-계층(236)으로 세분될 수 있다. 본 발명의 이들 실시예들에 있어서, 보안 계층(234)은 IPSec 서브-계층이다. 모든 노드가 모든 서브-계층을 필요로 하지는 않는다는 것에 주목할 필요가 있다. HA 모듈과 MN 모듈 간의 보안 패킷 데이터 터널은 이 도면에서 접속(250)으로 표시된다. 상기에서 주목한 바 및 도 2C에 일괄적으로(bracketing) 도시된 바와 같이, 네트워크 계층, 전송 계층 또는 응용 계층과 같은 임의의 계층에 터널이 있을 수 있고, 전형적으로 다른 엔티티에 대해 투명하다.
도 2D는 MIP 프록시의 MN 모듈이 VPN 게이트웨이와 함께 배치되고, MIP 프록시의 HA 모듈이 WAN 라우터와 함께 배치된 본 발명의 실시예에 있어서, 여러 엔티티의 여러 네트워크 계층들 간의 데이터 전송의 예시를 제공한다. 모바일 노드(120), WAN 라우터(123), MIP+VPN 게이트웨이(104) 및 홈 에이전트(112)와 같은 주요 노드들 각각은 네트워크 스택(220, 223, 204 및 212)을 각각 갖는다. 전형적으로, 이 네트워크 스택은 TCP/IP 네트워크 스택(230)을 포함할 것이다. TCP/IP 네트워크 스택(230)은 서브-계층들 즉, "정규" IP 서브-계층(232), 보안 서브-계층(234) 및 모바일 IP 서브-계층(236)으로 세분될 수 있다. 본 발명의 이들 실시예들에 있어서, 보안 계층(234)은 IPSec 서브-계층이다. 모든 노드가 모든 서브-계층을 필요로 하지는 않는다는 것에 주목할 필요가 있다. HA 모듈과 MN 모듈 간의 보안 패킷 데이터 터널은 이 도면에서 접속(250)으로 표시된다. 또한, 네트워크 계층, 전송 계층 또는 응용 계층과 같은 임의의 계층에 터널이 있을 수 있고, 보통, 다른 엔티티에 대해 투명하다.
본 발명의 일부 실시예들에 있어서 계층들 간의 통신은 데이터 경로(240, 242, 244 및 248)로 도시된다. 예를 들면, 홈 에이전트(212)의 IPSec 서브-계층은 MIP 프록시와 VPN 게이트웨이가 별개인 경우에 경로(244)를 통해 VPN 게이트웨이(204)의 IPSec 계층과 통신한다. 이 통신은 직접 통신이 될 수 없다. 예로서, MIP 프록시(102)가 VPN 게이트웨이(104)와 별개인 본 발명의 실시예들에 있어서, IPSec 서브-계층 데이터가 모바일 IP 서브-계층에 캡슐화된다. 모바일 IP 서브-계층 통신은 데이터 경로(240)로 도시된다. 유사하게, 모바일 노드(220)는 VPN 게이트웨이(204)로의 보안 통신 경로(248)를 갖는다. 그러나, 보안 계층 데이터는 모바일 IP 계층에 의해 캡슐화되고, 본 발명의 일부 실시예들에 있어서, 데이터 경로(242)를 통해 MIP 프록시(202)를 관통하여 라우팅된다.
이 부분은 모바일 IP 네트워크를 보안 기반 VPN과 통합하기 위해 제공하는 시스템의 여러 논리 모듈을 설명하였다. 이 기술분야의 당업자이면 알 수 있는 바와 같이, 모듈들을 구현하기 위한 소프트웨어는, 이것으로 한정되는 것은 아니지만, C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada 및 유사한 프로그래밍 언어를 포함하여, 이 기술분야에 공지된 다수의 프로그래밍 언어 중 임의의 것으로 쓰여질 수 있다. 본 발명은 구현을 위해 임의의 특정 프로그래밍 언어로 한정되지 않는다.
본 발명의 예시적인 실시예의 방법들
이전 부분에서는, 본 발명의 예시적인 실시예의 동작의 시스템 레벨 개요가 설명되었다. 이 부분에서는, 예시적인 실시예를 실행하는 운영 환경에 의해 수행 되는 본 발명의 특정 방법이 도 3 및 도 4에 도시된 일련의 흐름도를 참조하여 설명된다. 운영 환경에 의해 수행될 방법은 컴퓨터-실행가능 명령어들로 이루어진 컴퓨터 프로그램을 구성한다. 흐름도를 참조하여 이 방법을 설명함으로써, 이 기술분야의 당업자가, 적절한 컴퓨터(컴퓨터-판독가능 매체로부터의 명령어들을 실행하는 컴퓨터의 프로세서)에서 이 방법을 수행하기 위해 이러한 명령어들을 포함하는 이러한 프로그램을 개발하는 것이 가능하다. 도 3 및 도 4에 예시된 방법은 본 발명의 예시적인 실시예를 실행하는 운영 환경에 의해 수행되는 동작들을 포함한다.
도 3은 모바일 노드와 대응하는 노드 간에 보안 네트워크 경로를 제공하기 위한 방법을 예시한 흐름도이다. 이 방법은, MIP 프록시(102)와 같은, 이 방법을 실행하는 시스템이 모바일 노드로부터 등록 요구를 수신하면 개시한다(블록(305)). 전형적으로, 이 요구는 모바일 노드에 대한 영구적인 네트워크 어드레스를 포함할 것이다. MIP 프록시는 이동성 바인드 리스트(mobility bind list) 내의 모바일 노드의 현재의 보조 어드레스와 모바일 노드의 영구적인 홈 어드레스를 바인딩한다. 또한, MIP 프록시는 홈 에이전트와의 바인딩을 결합할 수 있다.
다음으로, 이 방법을 실행하는 시스템이 모바일 노드에 대한 홈 네트워크 상의 홈 에이전트에 제2 등록 요구를 발행한다(블록(310)). 전형적으로, 제2 요구는 모바일 노드의 영구적인 어드레스 및 MIP 프록시(102)의 프록시 어드레스를 포함할 것이다. 홈 에이전트는 홈 에이전트의 이동성 바인딩 리스트 내의 MIP 프록시의 주소들 중 하나와 모바일 노드의 영구적인 홈 어드레스를 바인딩한다.
본 발명의 일부 실시예들에 있어서, 이 방법을 실행하는 시스템은 홈 에이전트로부터 수신된 응답 코드를, 이 방법을 실행하는 시스템에 의해 모바일 노드로 송신되는 응답 메시지에 복사한다(블록(315)). 전형적으로, 이 응답 코드는 모바일 노드로 목적지가 결정된 홈 네트워크 상의 대응하는 노드들로부터 수신된 네트워크 데이터를 처리하기 위한 홈 에이전트의 능력 또는 의도를 나타낸다.
다음으로, 본 발명의 일부 실시예들에 있어서, 이 시스템은 홈 에이전트(블록(320))와 모바일 노드(블록(325)) 양쪽 모두를 에뮬레이트(emulate)하기 시작한다. 블록들(320 및 325)은 이 블록들의 실행의 잠재적 병렬성을 나타내기 위해 동일한 레벨에 도시된다. 이 시스템은 모바일 노드로 및 모바일 노드로부터 송신된 데이터에 대해서 홈 에이전트를 에뮬레이트한다. 유사하게, 이 시스템은 홈 에이전트로 및 홈 에이전트로부터 송신된 데이터에 대해서 모바일 노드를 에뮬레이트한다.
도 4A는 모바일 노드가 MIP 프록시로 등록한 후에 대응하는 노드로부터 모바일 노드로 향하는 네트워크 데이터를 처리하기 위한 본 발명의 일 실시예에 따른 방법에 대하여 보다 상세한 설명을 제공하는 흐름도이다. 이 방법은 홈 에이전트가 대응하는 노드로부터 모바일 노드를 대신하여 패킷을 수신하면 개시한다(예를 들어, 도 1의 경로 1). MIP 프록시가 VPN 게이트웨이와 별개의 엔티티인 본 발명의 일부 실시예들에 있어서, 홈 에이전트는 전형적으로 IPSec를 통해 VPN 게이트웨이로 패킷을 터널링한다(블록(405)). 다음으로, 홈 에이전트는 모바일 IP를 이용하여 MIP 프록시로 패킷을 터널링한다(블록(410), 예를 들어, 도 1의 경로 2). 그 다음, IPSec 및 모바일 IP 캡슐화를 포함하는 패킷이 MIP 프록시로 송신되는데, 그 이유는, MIP 프록시가 홈 에이전트의 시점으로부터 VPN에 대한 보조 어드레스로서 특정되기 때문이다.
MIP 프록시는 홈 에이전트로부터 패킷을 수신하고, 모바일 IP 계층을 역캡슐화(decapsulation)한다(블록(415)). MIP 프록시가 VPN 게이트웨이와 별개의 엔티티인 실시예들에 있어서, IPSec 계층 데이터는 역캡슐화를 위해 VPN 게이트웨이로 전달된다(블록(420), 예를 들어, 도 1A의 경로 3).
그 다음, VPN 게이트웨이는 모바일 노드의 영구적인 네트워크 어드레스를 이용하여 VPN 게이트웨이와 모바일 노드 간에 IPSec를 이용하여 패킷을 터널링한다(블록(425)). 다음으로, MIP 프록시가 VPN 게이트웨이와 별개인 실시예들에 있어서, 패킷은 모바일 노드로 전달하기 위해 MIP 프록시로 송신된다(예를 들어, 도 1의 경로 4). MIP 프록시는 다수의 방법으로 VPN 게이트웨이로부터 모바일 노드로 향하는 패킷을 캡처할 수 있다. 본 발명의 일 실시예에 있어서, VPN의 라우팅 테이블은 모바일 노드에 대한 패킷이 MIP 프록시를 통해 자동으로 라우팅되도록 조작된다. 본 발명의 대안적인 실시예에 있어서, MIP 프록시는 모바일 노드를 대신하여 ARP(Address Resolution Protocol) 패킷에 응답한다. 또다른 대안적인 실시예에 있어서, MIP 프록시는 처음에, 모바일 노드가 MIP 프록시를 통해 처음 등록을 요구했을 때 VPN 게이트웨이에 대한 보조 어드레스로서 그 자신을 확립한다.
VPN 게이트웨이로부터 데이터 패킷을 수신한 후, MIP 프록시는 외래 네트워크(130)에 대한 모바일 노드의 보조 어드레스를 통해 모바일 IP를 이용하여 모바일 노드로 패킷을 터널링한다(블록(430), 예를 들어, 도 1의 경로 5).
도 4B는 모바일 노드가 MIP 프록시를 이용하여 등록한 후에 모바일 노드로부터 대응하는 노드로 향하는 네트워크 데이터를 처리하기 위한 본 발명의 일 실시예에 따른 방법에 대하여 보다 상세한 설명을 제공하는 흐름도이다. 이 방법은 모바일 노드와 VPN 게이트웨이 간에 IPSec를 이용하여 패킷이 터널링되면 개시한다(블록(450)). 다음으로, 이 패킷은 모바일 IP를 이용하여 모바일 노드와 MIP 프록시 간에 터널링된다(블록(455), 도 1의 경로 6). VPN 게이트웨이가 MIP 프록시와 별개인 실시예들에 있어서, MIP 프록시는 모바일 IP 계층을 역캡슐화하고(블록(460)), VPN 게이트웨이로 패킷을 전달한다(도 1의 경로 7).
VPN 게이트웨이는 IPSec 패킷을 역캡슐화한다(블록(465)). 그 다음, VPN 게이트웨이는 대응하는 노드로 직접 데이터를 송신한다(블록(470), 도 1의 경로 8).
전술된 터널링을 우회하는 것이 바람직할 수 있다는 것에 주목해야 한다. 예를 들면, 본 발명의 일부 실시예들에 있어서, 모바일 노드가 VPN 게이트웨이로 IKE를 수행하는 경우, IKE 데이터는 정규 IP 트래픽으로서 운반된다.
결론
보안 기반 VPN과 모바일 네트워크의 통합을 제공하기 위한 시스템 및 방법이 개시되어 있다. 본 발명의 실시예들은 이전의 시스템에 대하여 장점을 갖는다. 예를 들면, 모바일 노드의 영구적인 네트워크 어드레스를 이용하는 보안 결합(security association)의 생성을 지원함으로써, 본 발명의 시스템 및 방법은 모바일 노드가 하나의 서브넷으로부터 다른 서브넷으로 이동함에 따라 보안 결합을 재 입력(rekey)할 필요가 없기 때문에 이전의 시스템보다 효율적이다. 또한, 이 시스템 및 방법은 기존의 보안 메커니즘 및 모바일 IP 표준에 대하여 약간 변경하거나 전혀 변경하지 않고 지원될 수 있다. 따라서, 사용자는 네트워크 시스템의 주요 구성요소를 갱신할 필요없이 본 발명의 이득을 얻을 수 있다.
비록 특정 실시예들이 본 명세서에 예시되고 설명되었지만, 이 기술분야의 당업자이면, 동일한 목적을 달성할 것으로 기대되는 임의의 구성이, 도시된 특정 실시예들을 대신하여 사용될 수 있다는 것을 알 수 있을 것이다. 이 출원은 본 발명의 임의의 변경 또는 변형을 포함하는 것으로 의도된다.
이 출원에 이용된 용어는 이들 환경 모두를 포함하는 것을 의미한다. 전술한 설명은 비한정적이고 예시적인 것으로 의도된다는 것을 이해해야 한다. 전술한 설명을 검토한 이 기술분야의 당업자에게는 많은 다른 실시예들이 명백해질 것이다. 따라서, 본 발명은 다음의 청구항 및 그 등가물에 의해서만 한정된다는 것이 명백하게 의도된다.

Claims (30)

  1. 네트워크 노드들 간에 보안 네트워크 경로를 제공하기 위한 방법으로서,
    외부 방화벽의 외래 네트워크 사이드(foreign network side) 상의 네트워크 장치 상의 홈 에이전트 모듈을 제공하고, 상기 외부 방화벽과 내부 방화벽에 의해 생성된 네트워크 지대(network zone) 내의 외래 에이전트 모듈을 제공하는 단계 - 상기 홈 에이전트 모듈 및 상기 외래 에이전트 모듈은 모바일 IP 프록시를 생성함 -;
    모바일 노드로부터 제1 등록 요구 - 상기 등록 요구는 상기 모바일 노드에 대한 영구적인 네트워크 어드레스를 포함함 - 를 수신하는 단계;
    상기 영구적인 네트워크 어드레스 및 프록시 보조(care-of) 어드레스를 특정하는 제2 등록 요구를 홈 에이전트로 송신하는 단계;
    대리 홈 에이전트로서 상기 모바일 노드로부터 수신된 네트워크 데이터를, 상기 모바일 IP 프록시에 의해, 처리하는 단계; 및
    대리 모바일 노드로서 상기 홈 에이전트로부터 수신된 네트워크 데이터를, 상기 모바일 IP 프록시에 의해, 처리하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 홈 에이전트로부터 수신된 홈 에이전트 응답 코드를 상기 모바일 노드로 송신하는 단계
    를 더 포함하는 방법.
  3. 제1항에 있어서,
    상기 홈 에이전트로부터 수신된 네트워크 데이터를 처리하는 단계는, 보안 계층에 캡슐화하기 위해 VPN(Virtual Private Network) 게이트웨이로 상기 네트워크 데이터를 송신하는 단계를 포함하는 방법.
  4. 제3항에 있어서,
    보안 계층에 캡슐화하는 것은, IPSec(IP Security) 계층에 캡슐화하는 것과 소스 또는 목적지 어드레스로서 상기 모바일 노드에 대한 상기 영구적인 네트워크 어드레스를 이용하는 것을 포함하는 방법.
  5. 제3항에 있어서,
    상기 VPN 게이트웨이로부터 상기 모바일 노드로 목적지가 정해진 네트워크 데이터를 수신하는 단계; 및
    상기 네트워트 데이터를 상기 모바일 노드로 송신하는 단계
    를 더 포함하는 방법.
  6. 제1항에 있어서,
    상기 모바일 노드와 상기 모바일 IP 프록시 간에 네트워크 데이터 터널을 생성하는 단계;
    상기 모바일 노드와 결합된 영구적인 네트워크 어드레스를 이용하여 상기 모바일 노드와 VPN 게이트웨이 간에 제1 보안 결합(security association)을 생성하는 단계;
    홈 에이전트와 상기 VPN 게이트웨이 간에 제2 보안 결합을 생성하는 단계; 및
    홈 에이전트에 의해, 상기 VPN 게이트웨이에 대한 보조 어드레스로서 모바일 IP 프록시 IP 어드레스를 이용하는 단계
    를 더 포함하는 방법.
  7. 제6항에 있어서,
    상기 홈 에이전트에 의해 대응하는 노드로부터 데이터 패킷을 수신하는 단계;
    상기 데이터 패킷을 상기 MIP 프록시로 라우팅하는 단계;
    상기 MIP 프록시에 의해 상기 데이터 패킷을 상기 VPN 게이트웨이로 라우팅하는 단계;
    상기 VPN 게이트웨이에 의해 보안 계층에 상기 데이터 패킷을 캡슐화하는 단계;
    상기 캡슐화된 데이터를 상기 MIP 프록시에 의해 상기 VPN 게이트웨이로부터 수신하는 단계; 및
    상기 캡슐화된 데이터를 상기 MIP 프록시로부터 상기 모바일 노드로 라우팅하는 단계
    를 더 포함하는 방법.
  8. 제6항에 있어서,
    상기 제1 보안 결합 및 상기 제2 보안 결합은 각각 IPSec 보안 결합인 방법.
  9. 삭제
  10. 삭제
  11. 제1항에 있어서,
    상기 홈 에이전트와 상기 외래 에이전트 모듈 간의 제1 모바일 IP 계층 접속(a first mobile IP layer connection) 및 상기 홈 에이전트 모듈과 상기 모바일 노드 간의 제2 모바일 IP 계층 접속에서 상기 데이터를 터널링하는 단계
    를 더 포함하는 방법.
  12. 제1 홈 에이전트; 및
    외부 방화벽의 외래 네트워크 사이드 상의 네트워크 장치 상의 홈 에이전트 모듈, 및 상기 외부 방화벽과 내부 방화벽에 의해 생성된 네트워크 지대 내의 외래 에이전트 모듈을 포함하는 MIP 프록시
    를 포함하고,
    상기 MIP 프록시의 상기 홈 에이전트 모듈은 제2 홈 에이전트를 모바일 노드로 에뮬레이트하도록 동작할 수 있고, 상기 외래 에이전트 모듈은 상기 모바일 노드를 상기 제1 홈 에이전트로 에뮬레이트하도록 동작할 수 있는
    컴퓨터 시스템.
  13. 제12항에 있어서,
    가상 사설 네트워크(VPN) 게이트웨이
    를 더 포함하는 컴퓨터 시스템.
  14. 제13항에 있어서,
    상기 MIP 프록시의 상기 외래 에이전트 모듈 및 상기 VPN 게이트웨이의 적어도 일부가 단일 유닛으로 통합된 컴퓨터 시스템.
  15. 삭제
  16. 제12항에 있어서,
    상기 네트워크 장치는 상기 외래 네트워크 상의 라우터를 포함하는 컴퓨터 시스템.
  17. 삭제
  18. 제12항에 있어서,
    상기 MIP 프록시는 복수개의 서브넷을 통해 통신할 수 있는 컴퓨터 시스템.
  19. 삭제
  20. 네트워크에서 노드들 간에 보안 네트워크 경로를 제공하기 위한 방법을 수행하기 위한 기계 실행가능 명령어들을 갖는 기계-판독가능 매체로서,
    상기 방법은,
    외부 방화벽의 외래 네트워크 사이드 상의 네트워크 장치 상의 홈 에이전트 모듈을 제공하고, 상기 외부 방화벽과 내부 방화벽에 의해 생성된 네트워크 지대 내의 외래 에이전트 모듈을 제공하는 단계 - 상기 홈 에이전트 모듈 및 상기 외래 에이전트 모듈은 모바일 IP 프록시를 생성함 -;
    모바일 노드로부터 제1 등록 요구 - 상기 등록 요구는 상기 모바일 노드에 대한 영구적인 네트워크 어드레스를 포함함 - 를, 상기 홈 에이전트 모듈에 의해, 수신하는 단계;
    상기 영구적인 네트워크 어드레스 및 프록시 보조 어드레스를 특정하는 제2 등록 요구를 홈 에이전트로, 상기 외래 에이전트 모듈에 의해, 송신하는 단계;
    대리 홈 에이전트로서 상기 모바일 노드로부터 수신된 네트워크 데이터를 상기 모바일 IP 프록시에 의해 처리하는 단계; 및
    대리 모바일 노드로서 상기 홈 에이전트로부터 수신된 네트워크 데이터를 상기 모바일 IP 프록시에 의해 처리하는 단계
    를 포함하는 기계-판독가능 매체.
  21. 제20항에 있어서,
    상기 홈 에이전트로부터 수신된 홈 에이전트 응답 코드를 상기 모바일 노드로 송신하는 단계를 더 포함하는 기계-판독가능 매체.
  22. 제20항에 있어서,
    상기 홈 에이전트로부터 수신된 네트워크 데이터를 처리하는 단계는, 보안 계층에 캡슐화하기 위해 가상 사설 네트워크(VPN) 게이트웨이로 상기 네트워크 데이터를 송신하는 단계를 포함하는 기계-판독가능 매체.
  23. 제22항에 있어서,
    보안 계층에 캡슐화하는 것은, IPSec(IP Security) 계층에 캡슐화하는 것과 소스 또는 목적지 어드레스로서 상기 모바일 노드에 대한 상기 영구적인 네트워크 어드레스를 이용하는 것을 포함하는 기계-판독가능 매체.
  24. 제22항에 있어서,
    상기 VPN 게이트웨이로부터 상기 모바일 노드로 목적지가 정해진 네트워크 데이터를 수신하는 단계; 및
    상기 네트워트 데이터를 상기 모바일 노드로 송신하는 단계
    를 더 포함하는 기계-판독가능 매체.
  25. 제20항에 있어서,
    상기 방법은,
    상기 모바일 노드와 상기 모바일 IP 프록시 간에 네트워크 데이터 터널을 생성하는 단계;
    상기 모바일 노드와 결합된 영구적인 네트워크 어드레스를 이용하여 상기 모바일 노드와 VPN 게이트웨이 간에 제1 보안 결합을 생성하는 단계;
    홈 에이전트와 상기 VPN 게이트웨이 간에 제2 보안 결합을 생성하는 단계; 및
    홈 에이전트에 의해, 상기 VPN 게이트웨이에 대한 보조 어드레스로서 모바일 IP 프록시 IP 어드레스를 이용하는 단계
    를 포함하는 기계-판독가능 매체.
  26. 제25항에 있어서,
    상기 홈 에이전트에 의해 대응하는 노드로부터 데이터 패킷을 수신하는 단계;
    상기 데이터 패킷을 상기 MIP 프록시로 라우팅하는 단계;
    상기 MIP 프록시에 의해 상기 데이터 패킷을 상기 VPN 게이트웨이로 라우팅하는 단계;
    상기 VPN 게이트웨이에 의해 보안 계층에 상기 데이터 패킷을 캡슐화하는 단계;
    상기 캡슐화된 데이터를 상기 MIP 프록시에 의해 상기 VPN 게이트웨이로부터 수신하는 단계; 및
    상기 캡슐화된 데이터를 상기 MIP 프록시로부터 상기 모바일 노드로 라우팅하는 단계
    를 더 포함하는 기계-판독가능 매체.
  27. 제25항에 있어서,
    상기 제1 보안 결합 및 상기 제2 보안 결합은 각각 IPSec 보안 결합인 기계-판독가능 매체.
  28. 삭제
  29. 삭제
  30. 제20항에 있어서, 상기 방법은,
    상기 홈 에이전트와 상기 외래 에이전트 모듈 간의 제1 모바일 IP 계층 접속 및 상기 홈 에이전트 모듈과 상기 모바일 노드 간의 제2 모바일 IP 계층 접속에서 상기 데이터를 터널링하는 단계를 더 포함하는 기계-판독가능 매체.
KR1020057011574A 2002-12-19 2003-12-19 모바일 네트워킹을 보안-기반 vpns와 통합하기 위한시스템 및 방법 KR100814988B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/325,657 2002-12-19
US10/325,657 US7616597B2 (en) 2002-12-19 2002-12-19 System and method for integrating mobile networking with security-based VPNs

Publications (2)

Publication Number Publication Date
KR20050085834A KR20050085834A (ko) 2005-08-29
KR100814988B1 true KR100814988B1 (ko) 2008-03-18

Family

ID=32593843

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057011574A KR100814988B1 (ko) 2002-12-19 2003-12-19 모바일 네트워킹을 보안-기반 vpns와 통합하기 위한시스템 및 방법

Country Status (8)

Country Link
US (2) US7616597B2 (ko)
JP (1) JP4087848B2 (ko)
KR (1) KR100814988B1 (ko)
AU (1) AU2003300268A1 (ko)
DE (1) DE10393628B4 (ko)
GB (1) GB2411092B (ko)
HK (1) HK1075148A1 (ko)
WO (1) WO2004057822A2 (ko)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6217847B1 (en) * 1994-07-01 2001-04-17 The Board Of Trustees Of The Leland Stanford Junior University Non-invasive localization of a light-emitting conjugate in a mammal
US7623497B2 (en) * 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
FR2861934B1 (fr) * 2003-10-30 2006-01-27 Wavecom Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication.
EP1709780A1 (en) * 2004-01-15 2006-10-11 Interactive People Unplugged AB Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks
WO2005094192A2 (en) * 2004-03-31 2005-10-13 Lg Electronics, Inc. Home network system
EP1650924B1 (en) * 2004-09-30 2007-03-21 Alcatel Mobile authentication for network access
US20060130136A1 (en) * 2004-12-01 2006-06-15 Vijay Devarapalli Method and system for providing wireless data network interworking
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
US8031672B2 (en) * 2004-12-28 2011-10-04 Samsung Electronics Co., Ltd System and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network
EP1839425A1 (en) * 2005-01-07 2007-10-03 Societe Anonyme Alcatel Method and apparatus for providing route-optimized secure session continuity between mobile nodes
US20060230445A1 (en) * 2005-04-06 2006-10-12 Shun-Chao Huang Mobile VPN proxy method based on session initiation protocol
US7583662B1 (en) * 2005-04-12 2009-09-01 Tp Lab, Inc. Voice virtual private network
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US7809386B2 (en) * 2005-06-29 2010-10-05 Nokia Corporation Local network proxy for a remotely connected mobile device operating in reduced power mode
US7808970B2 (en) * 2005-06-30 2010-10-05 Motorola, Inc. Method of dynamically assigning mobility configuration parameters for mobile entities
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
KR100799575B1 (ko) * 2005-12-07 2008-01-30 한국전자통신연구원 IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
EP2144416B1 (en) 2005-12-26 2017-05-24 Panasonic Intellectual Property Corporation of America Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
US7693059B2 (en) * 2006-01-30 2010-04-06 International Business Machines Corporation Advanced VPN routing
US7899964B2 (en) * 2006-07-13 2011-03-01 Samsung Electronics Co., Ltd. Method and system for providing universal plug and play resource surrogates
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8561155B2 (en) 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
KR100922939B1 (ko) 2006-08-22 2009-10-22 삼성전자주식회사 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
US8130771B2 (en) * 2006-10-10 2012-03-06 Alcatel Lucent Packet-forwarding for proxy mobile IP
US8196181B2 (en) 2006-10-13 2012-06-05 Quipa Holdings Limited Private network system and method
US20080115202A1 (en) * 2006-11-09 2008-05-15 Mckay Michael S Method for bidirectional communication in a firewalled environment
US8406237B2 (en) * 2006-11-17 2013-03-26 Qualcomm Incorporated Methods and apparatus for implementing proxy mobile IP in foreign agent care-of address mode
WO2008078632A1 (ja) * 2006-12-26 2008-07-03 Panasonic Corporation 通信方法、通信システム、ホームエージェント及びモバイルノード
WO2008080420A1 (en) * 2006-12-28 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Mobile ip proxy
US20100175109A1 (en) * 2007-05-25 2010-07-08 Wassim Haddad Route optimisation for proxy mobile ip
CN101355425A (zh) * 2007-07-24 2009-01-28 华为技术有限公司 组密钥管理中实现新组员注册的方法、装置及系统
US8411866B2 (en) * 2007-11-14 2013-04-02 Cisco Technology, Inc. Distribution of group cryptography material in a mobile IP environment
WO2009094657A1 (en) 2008-01-26 2009-07-30 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
US8385300B2 (en) * 2008-10-03 2013-02-26 Cisco Technology, Inc. Internet protocol address management for communicating packets in a network environment
US8411691B2 (en) * 2009-01-12 2013-04-02 Juniper Networks, Inc. Transfer of mobile subscriber context in cellular networks using extended routing protocol
US8385332B2 (en) * 2009-01-12 2013-02-26 Juniper Networks, Inc. Network-based macro mobility in cellular networks using an extended routing protocol
US20110085552A1 (en) * 2009-10-14 2011-04-14 Electronics And Telecommunications Research Institute System and method for forming virtual private network
AT11799U1 (de) * 2009-12-15 2011-05-15 Plansee Se Formteil
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US8473734B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. Multi-service VPN network client for mobile device having dynamic failover
US8549617B2 (en) * 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8474035B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. VPN network client for mobile device having dynamically constructed display for native access to web mail
US8458787B2 (en) 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US8464336B2 (en) 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
US8862870B2 (en) 2010-12-29 2014-10-14 Citrix Systems, Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
US9021578B1 (en) * 2011-09-13 2015-04-28 Symantec Corporation Systems and methods for securing internet access on restricted mobile platforms
EP2856734A1 (en) * 2012-06-04 2015-04-08 Interdigital Patent Holdings, Inc. Lawful interception for local selected ip traffic offload and local ip access performed at a non-core gateway
DE102013017789A1 (de) 2013-10-25 2015-04-30 LowoTec GmbH System für eine abgesicherte LAN-über-WAN-Übertragung
US9860279B2 (en) * 2015-08-28 2018-01-02 Nicira, Inc. Defining network rules based on remote device management attributes
WO2018069748A1 (en) * 2016-10-12 2018-04-19 Al Hajri Mohammed Hamad Surrogate cellularless roaming
US10491567B2 (en) * 2017-03-17 2019-11-26 Verizon Patent And Licensing Inc. Dynamic firewall configuration based on proxy container deployment
KR102492489B1 (ko) 2020-09-18 2023-01-30 주식회사 애그유니 체계적 생장환경 조성을 위한 식물재배시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2316841A (en) * 1996-08-29 1998-03-04 Kokusai Denshin Denwa Co Ltd Method for controlling a firewall
US20010009025A1 (en) * 2000-01-18 2001-07-19 Ahonen Pasi Matti Kalevi Virtual private networks

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6137791A (en) * 1997-03-25 2000-10-24 Ericsson Telefon Ab L M Communicating packet data with a mobile station roaming within an incompatible mobile network
US5852630A (en) * 1997-07-17 1998-12-22 Globespan Semiconductor, Inc. Method and apparatus for a RADSL transceiver warm start activation procedure with precoding
EP0924913A1 (de) * 1997-12-19 1999-06-23 Siemens Aktiengesellschaft Verfahren zur Unterstützung von Mobilität im Internet
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
FI20000574A (fi) * 2000-03-13 2001-09-14 Nokia Mobile Phones Ltd Kuorman tasaus IP-liikkuvuutta tukevassa tietoliikennejärjestelmässä
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US20030224788A1 (en) * 2002-03-05 2003-12-04 Cisco Technology, Inc. Mobile IP roaming between internal and external networks
US7269173B2 (en) * 2002-06-26 2007-09-11 Intel Corporation Roaming in a communications network
WO2004028053A1 (en) * 2002-09-18 2004-04-01 Flarion Technologies, Inc. Methods and apparatus for using a care of address option
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US6978317B2 (en) * 2003-12-24 2005-12-20 Motorola, Inc. Method and apparatus for a mobile device to address a private home agent having a public address and a private address

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2316841A (en) * 1996-08-29 1998-03-04 Kokusai Denshin Denwa Co Ltd Method for controlling a firewall
US20010009025A1 (en) * 2000-01-18 2001-07-19 Ahonen Pasi Matti Kalevi Virtual private networks

Also Published As

Publication number Publication date
GB0509950D0 (en) 2005-06-22
US20100122337A1 (en) 2010-05-13
JP4087848B2 (ja) 2008-05-21
HK1075148A1 (en) 2005-12-02
US20040120295A1 (en) 2004-06-24
AU2003300268A8 (en) 2004-07-14
WO2004057822A3 (en) 2004-09-10
GB2411092A (en) 2005-08-17
GB2411092B (en) 2007-01-10
AU2003300268A1 (en) 2004-07-14
DE10393628B4 (de) 2012-01-26
DE10393628T5 (de) 2005-08-25
JP2006511169A (ja) 2006-03-30
KR20050085834A (ko) 2005-08-29
WO2004057822A2 (en) 2004-07-08
US7616597B2 (en) 2009-11-10

Similar Documents

Publication Publication Date Title
KR100814988B1 (ko) 모바일 네트워킹을 보안-기반 vpns와 통합하기 위한시스템 및 방법
Srisuresh et al. IP network address translator (NAT) terminology and considerations
EP1578083B1 (en) Virtual private network structure reuse for mobile computing devices
US7685317B2 (en) Layering mobile and virtual private networks using dynamic IP address management
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
EP1575238A1 (en) IP mobility in mobile telecommunications system
US20040266420A1 (en) System and method for secure mobile connectivity
US20020066036A1 (en) System and method for secure network mobility
Srisuresh et al. RFC2663: IP Network Address Translator (NAT) Terminology and Considerations
WO2006072891A1 (en) Method and apparatus for providing route-optimized secure session continuity between mobile nodes
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
Bi et al. IPv4/IPv6 transition technologies and univer6 architecture
Adrangi et al. Problem statement: Mobile IPv4 traversal of virtual private network (VPN) gateways
Singh et al. RAT: A quick (and dirty?) push for mobility support
KR100799575B1 (ko) IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
Arkko et al. Internet protocol version 6 (IPv6) for some second and third generation cellular hosts
Bansal et al. Dual stack implementation of mobile IPv6 software architecture
Li et al. Mobile IPv6: protocols and implementation
Binkley An integrated IPSEC and mobile-IP for freeBSD
Meng et al. Versatile routing and self-certifying features support for secure mobility in expressive internet architecture
Ishiyama et al. Design and implementation of mobile IP system with security consideration
Tsuda et al. Design and implementation of Network CryptoGate-IP-layer security and mobility support
Wang et al. IPSec-based key management in mobile IP networks
Vijay et al. A Secure Gateway Solution for Wireless Ad-Hoc Networks.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20130228

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150227

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160303

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170302

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee