KR100948524B1 - 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어 - Google Patents

패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어 Download PDF

Info

Publication number
KR100948524B1
KR100948524B1 KR1020087026709A KR20087026709A KR100948524B1 KR 100948524 B1 KR100948524 B1 KR 100948524B1 KR 1020087026709 A KR1020087026709 A KR 1020087026709A KR 20087026709 A KR20087026709 A KR 20087026709A KR 100948524 B1 KR100948524 B1 KR 100948524B1
Authority
KR
South Korea
Prior art keywords
monitoring
communication session
node
signaling message
data packet
Prior art date
Application number
KR1020087026709A
Other languages
English (en)
Other versions
KR20080113092A (ko
Inventor
아룬군드람 씨 마헨드란
레이몬드 타-성 수
쥔 왕
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20080113092A publication Critical patent/KR20080113092A/ko
Application granted granted Critical
Publication of KR100948524B1 publication Critical patent/KR100948524B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

암호화 데이터 패킷을 갖는 데이트 흐름이 데이터 트래픽 제어를 위해 모니터링 중개기를 통과하는 통신 세션에서. 암호화 데이터 패킷은 데이터 복호화를 위하여 보안 연관 (SA) 을 식별하는 데 이용되는 보안 매개변수 인덱스 (SPI) 를 포함한다. 통신 세션을 위한 초기 시그널링 프로세스 동안에, 통신 세션을 구하는 노드는 시그널링 메시지에 SPI 를 포함하고 교대로 시그널링 메시지의 SPI 를 데이터 패킷으로부터 추출된 대응 SPI 에 일치시키는 모니터링 중개기를 통하여 시그널링 메시지를 송신한다. 데이터 트래픽 제어를 시행할 때, 모니터링 중개기는 만일 SPI 에서 비교 일치가 발견되면, 데이터 흐름으로 하여금 통과하게 용인한다. 그렇지 않으면, 데이터 흐름은 거절된다.
암호화, 복호화, 모니터링 중개기, 보안 연관, 보안 매개변수 인덱스

Description

패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어{BEARER CONTROL OF ENCRYPTED DATA FLOWS IN PACKET DATA COMMUNICATIONS}
Ⅰ. 35 U.S.C §119 에 따른 우선권 주장
본 특허 출원은, 발명의 명칭이 "모바일 IP 인접 보조 어드레스에 대한 서비스 기반 베어러 제어" 로 2004년 7월 15일자로 출원되어 본 발명의 양수인에게 양도되어 있으며, 여기서 참조로서 명백하게 포함되는 가출원 제 60/588,664 호를 우선권 주장한다.
본 발명은 일반적으로 패킷 데이터 통신, 더 상세하게는, 패킷 데이터 통신 중에 패킷 데이터 흐름을 모니터링 및 제어하는 것에 관한 것이다.
지구적인 네트워크의 상호연결로 인해 지리적 위치에 관계없이 정보가 신속히 접근된다. 도 1 은 참조 숫자 (20) 로 나타내어지는 통상 인터넷으로 불려지는, 지구적인 네트워크 연결의 간단한 개략도를 나타낸다. 인터넷 (20) 은 본질상 상호 링크된 다른 레벨의 계층을 수반하는 많은 네트워크이다. 인터넷 (20) 은 IETF (Internet Engineering Task Force) 에 의해 보급되는 IP (Internet Protocol) 에 따라서 동작한다. IP 에 대한 상세는 IETF 에 의해 발행되는 RFC (Request For Comments ; 791) 에서 볼 수 있다.
때때로 네트워크 사이즈에 따라서 근거리 통신망 (LAN ; Local Area Network) 또는 광역 통신망 (WAN ; Wide Area Network) 으로 불려지는 다양한 개별 네트워크는 인터넷 (20) 에 연결된다. 도 1 에는, 그러한 네트워크 (22, 24, 및 26) 중 일부가 도시된다.
각각의 네트워크 (22, 24, 및 26) 안에, 서로 연결되고 통신하는 다양한 이큅먼트가 있을 수 있다. 예로써 컴퓨터, 프린터, 및 서버, 등이 있다. 각각의 이큅먼트는 통상, 매체 접근 제어 (MAC ; Media Access Control) 어드레스로 불려지는 유일한 하드웨어 어드레스를 가진다. MAC 어드레스를 가지는 장치는 때때로 노드라고 불려진다. 노드가 인터넷 (20) 을 통하여 그 자신의 네트워크를 벗어나 통신할 때, IP 어드레스는 그 노드에 할당될 필요가 있다.
IP 어드레스의 할당은 수동 또는 자동일 수 있다. IP 어드레스의 수동 할당은 예를 들어, 네트워크 관리자에 의해 수행될 수 있다. 더 자주, IP 어드레스는 자동으로 할당된다. 예를 들어, LAN 에서, IP 어드레스는 노드의 LAN 안에 상주하는 동적 호스트 제어 프로토콜 (DHCP ; Dynamic Host Control Protocol) 서버 (미도시) 로 불리는 서버에 의해 할당될 수 있다. 또한, 무선 기술을 지원하는 WAN 에서, IP 어드레스는 자동으로 또는 원격으로 할당될 수 있다.
이제 도 1 로 돌아가, 예로서, 네트워크 (22) 에서의 노드 (30) 가 네트워크 (24) 에서의 다른 노드 (34) 로 데이터 패킷을 송신하려고 시도한다고 가정해보자. IP 에 따라서, 각 데이터 패킷은 발신지 어드레스와 수신지 어드레스를 가질 필요가 있다. 이 경우에, 발신지 어드레스는 네트워크 (22) 에서의 노드 (30) 의 어드레스이다. 수신지 어드레스는 네트워크 (24) 에서의 노드 (34) 의 어드레스이다. 그런 방식으로 동작하여, 노드 (30) 및 노드 (34) 는, IP 에 부합하기 위해 노드 (30) 및 노드 (34) 모두가 데이터 패킷의 교환으로 단순히 그들 자신의 IP 어드레스를 사용하는 간이 IP 전송 모드에 따라서 통신한다고 말해진다.
무선 기술의 도래로 노드가 원시 등록된 네크워크에서 다른 네트워크로 이동할 수 있게 되었다. 예를 들어, 도 1 로 돌아가, 영구적으로 네트워크 (22) 에 고정되는 대신에, 노드 (30) 는 개인 휴대 정보 단말기 (PDA ; Personal Digital Assistant), 셀룰러 폰, 또는 이동 컴퓨터 같은 무선 디바이스일 수 있다. 무선 노드 (30) 는 홈 네트워크 (22) 의 경계를 넘어서 트레블할 수 있다. 따라서, 노드 (30) 은 홈 네트워크 (22) 로부터 떨어져 외부 네트워크 (26) 로 로밍할 수도 있다. 그러한 시나리오에 따라서, 노드 (30) 에 할당된 원시 어드레스는 더 이상 노드 (30) 에 적용가능하지 않을 것이다. 마찬가지로, 노드 (30) 의 어드레스로 향하는 데이터 패킷은 노드 (30) 에 도달할 수 없을 수도 있다.
IETF 에 의해 발행된 모바일 IP (Mobile Internet Protocol) 는 노드 이동성 문제를 다루도록 의도되었다. IETF 에 의해 발행된 RFC 2002 에 따라서, 홈 네트워크 (22) 로부터 떨어져서 다른 네트워크에서 로밍할 때마다, 노드 (30) 는 CoA (Care-of Address) 로 압축되는 "보조 어드레스" 를 할당받는다.
RFC 2002 에 따라서, 2 개의 타입의 CoA, 즉 외부 에이전트 보조 어드레스 (FA CoA ; Foreign Agent Care-of Address) 및 인접 보조 어드레스 (CCoA ; Co-located Care-of Address) 가 있다.
FA CoA 는, 본질상 노드 (30) 가 위치한 외부 네트워크에서 지정된 서버인 외부 에이전트 (FA) 의 어드레스이다. FA CoA 의 이용은 IPv4 에서 적용가능하다.
CCoA 는 외부 네트워크에 의해 노드 (30) 에 할당된 개별이지만 임시 어드레스이다. CCoA 의 이용은 IPv4 및 IPv6 모두에서 적용된다.
어느 경우나, 노드 (30) 가 외부 영역에 있을 때마다, 노드 (30) 는 홈 네트워크에, FA CoA 또는 CCoA 일 수 있는, CoA 를 등록해야만 하는데, 홈네트워크 (22) 가 항상 노드 (30) 의 소재를 알 수 있게 하기 위함이다. 등록 후에, CoA 는 홈 네트워크 (22) 의 HA (Home Agent ; 25) 로 불리는 지정된 서버에 의해 유지되는 루트 테이블에 저장된다.
도해 설명을 위해 몇가지 예를 보자.
FA CoA 의 경우에 대해, 노드 (30) 가 외부 네트워크 (26) 내로 로밍한다고 가정하자. 외부 네트워크 (26) 의 영역 한계에 도달한 때에, 노드 (30) 는 노드 (30) 에 외부 영역 안의 존재를 통보하는 외부 네트워크 (26) 로부터 광고 메시지를 수신한다. 광고 메시지로부터, 노드 (30) 는 외부 네트워크 (26) 의 FA (36) 의 어드레스를 인지한다. 노드 (30) 는 이후 홈 네트워크 (22) 에서의 HA (25) 에 FA CoA 를 등록한다.
외부 네트워크 (26) 에 있는 노드 (30) 가 네트워크 (24) 에 있는 노드 (34) 로 데이터 패킷을 송신할 때, 예를 들어, 네트워크 (24) 에 있는 노드 (34) 의 어드레스를 알고 있다면, 데이터 패킷은 직접적으로 송신될 수 있다. 즉, IP 에 따라서, 데이터 패킷에서, 발신지 어드레스는 노드 (30) 의 HoA 에 설정될 수 있고 수신지 어드레스는 네트워크 (24) 에 있는 노드 (34) 의 어드레스에 설정될 수 있다. 데이터 패킷의 방향은 도 1 에서 도시되는 데이터 경로 (38) 로 나타내어진다.
역 데이터 트래픽에 대해서는, 직접적이지 않다. 역 데이터 경로에서, 네트워크 (24) 의 노드 (34) 가 이제 외부 네트워크 (26) 에 있는, 노드 (30) 에게 데이터 패킷을 송신하려고 시도할 때, 상기 언급한 대로, IP 에 부합하여, 발신지 및 수신지 어드레스 모두 데이터 패킷에 특정되어야만 한다. 이 경우에, 발신지 어드레스는 네트워크 (24) 에 있는 노드 (34) 의 IP 어드레스이다. 수신지 어드레스에 대해서, 노드 (30) 로부터 임의의 업데이트된 공지 없이, 노드 (34) 는 노드 (30) 의 FA CoA 가 아니라, 오직 노드 (30) 의 HoA 만을 인지한다. 따라서, 수신지 어드레스는 노드 (30) 의 HoA 에 설정될 것이다. 그럼에도 불구하고, 노드 (30) 의 FA CoA 는 홈 네트워크 (22) 에 있는 HA (25) 의 경로 테이블에 저장되기 때문에, 데이터 패킷이 홈 네트워크 (22) 에 도달할 때, 네트워크 (22) 의 HA (25) 는 저장된 FA CoA 로 수신된 데이터 패킷을 캡슐화하여 그것을 외부 네트워크 (26) 에 있는 노드 (30) 로 송신한다. 즉, 캡슐화된 데이터 패킷은 FA CoA 를 수신지 어드레스로서 이용한다. 일단 외부 네트워크 (26) 가 캡슐화된 데이터 패킷을 수신하면, FA (36) 는 단지 캡슐화된 FA CoA 를 벗겨서 원시 패킷을 모바일 노드 (30) 에 전달한다. 데이터 패킷의 루트는 도 1 에서 데이터 경로 (40) 으로 도시된다.
경로 (38) 및 경로 (40) 같은, 데이터 경로는 실제로 여러번 인터넷 (20) 을 통과한다는 것은 또한 주목되어야 한다. 도 1 을 모호하지 않고, 명백하게 하기 위해서, 경로는 단지 HA (25) 및 FA (36) 같은, 관련 서버를 통과하는 것으로 도시된다. 즉, 데이터 경로 (38) 및 (40) 는 도 1 에서 도시된 바와 같이 논리 경로로서 도시된다.
상기 설명한 방식으로 동작하여, 모바일 노드 (30) 는 FA CoA 를 이용하는 모바일 IP 터널링 모드에 따라서 상대 노드 (34) 와 통신한다고 말해진다.
상기 예에서, 모바일 노드 (30) 가 상대 노드 (90) 로부터 직접적으로 데이터 패킷을 수신하는 것처럼 보인다 할지라도, HA (25) 를 통하여 노드 (30) 및 노드 (34) 사이에 데이터 터널이 존재한다고 말해진다. 터널링 모드를 이용하는 장점은, 모바일 노드 (30) 가 다른 외부 네트워크로 이주할 때, 홈 네트워크 (22) 에 업데이트된 공지 이외에, 모바일 노드 (30) 가 상대 노드 (34) 에 유사한 공지를 보낼 필요가 없다는 것이다. 따라서, 상대 노드 (34) 에 송수신된 데이터는 인터럽트되지 않는 것처럼 보인다.
CCoA 의 경우에 대해서, 노드 (30) 가 FA CoA 를 요구하는 대신에, 홈 네트워크 (22) 로부터 떨어져 로밍할 때 노드 (30) 는 대신에 외부 네트워크로부터 CCoA 를 요구한다. 예를 들어, 네트워크 (26) 가 통신 산업 협회/전기 공업 협회 (TIA/EIA ; Telecommunications Industry Association/Electronic Industries Association) 및 제 3 세대 파트너쉽 프로젝트 2 (3GPP2 ; 3rd Generation Partnership Project 2) 에 의해 공표된 cdma2000 표준 같은 무선 기술을 지원하는 WAN 이라면, CCoA 는, 예를 들어, 패킷 데이터 서빙 노드 (PDSN ; Packet Data Serving Node ; 41) 와 모바일 노드 (30) 사이에 점-대-점 통신 프로토콜 (PPP ; Point-to-Point Protocol) 을 통하여 외부 네트워크 (26) 에 의해 원격으로 요구되고 할당될 수 있다. PDSN (41) 은 기본적으로 네트워크 (26) 의 무선 부분에서 데이터 트래픽을 서빙하고 프로세싱하는 네트워크 (36) 에 있는 서버이다. 그러나, 외부 네트워크 (26) 에 의한 CCoA 의 할당 이외에, 노드 (30) 는 상기 언급하였듯이 FA (36) 같은 외부 에이전트의 모든 기능을 수행한다. 다시, 모바일 노드 (30) 는 홈 네트워크 (22) 에 CCoA 를 등록할 필요가 있다.
예를 들어, 네트워크 (24) 에 있는 노드 (34) 와 교신하기 위해, 노드 (30) 는 2 레이어의 어드레스를 가진 데이터 패킷을 송신한다. 외부 레이어에서, 발신지 어드레스는 CCoA 에 설정되고, 수신지 어드레스는 HA (25) 에 설정된다. 내부 레이어에서, 발신지 어드레스는 노드 (30) 의 HoA 이고 수신지 어드레스는 외부 네트워크 (24) 에 있는 노드 (34) 의 어드레스이다. 로밍하는 노드 (30) 로부터 데이터 패킷을 수신할 때, HA (25) 는 외부 어드레스 레이어를 벗기고 내부 어드레스 레이어를 가진 노드 (34) 에 데이터 패킷을 송신한다. 데이터 패킷의 논리 경로는 도 1 에서 데이터 경로 (42) 로 도시된다.
역 데이터 경로에서, 즉, 노드 (34) 가 데이터 패킷을 노드 (30) 에 송신할 때, 데이터 패킷은 노드 (34) 에 설정된 발신지 어드레스 및 노드 (30) 의 HoA 에 설정된 수신지 어드레스를 가진 오직 하나의 어드레스 레이어를 가지게 된다. 데이터 패킷을 수신할 때, HA (25) 는 수신지 어드레스로서의 CCoA 및 발신지 어드레스로서의 HA (25) 의 어드레스로 데이터 패킷을 캡슐화하여 캡슐화된 데이터 패킷을 노드 (30) 에 송신한다. 노드 (30) 는 FA (36) 를 통과하지 않고 스스로 디-캡슐화를 수행한다. 데이터 패킷의 방향은 도 1 에서 데이터 경로 (44) 로서 도시된다.
상기 설명된 방식으로 동작하여, 로밍하는 노드 (30) 는 CCoA 를 이용하는 모바일 IP 터널링 모드에 따라서 상대 노드 (34) 와 통신한다고 말해진다.
아주 종종, 노드 사이에서의 데이터 통신은 다른 이유 때문에 모니터링 및 제어될 필요가 있다. 예를 들어, 모바일 노드 (30) 및 상대 노드 (34) 가 VoIP (Voice over IP) 세션에 있을 때, 참가자, 이 경우에 모바일 노드 (30) 및 상대 노드 (34) 가 인증될 것을 확실히 할 필요가 있다. 각 데이터 패킷을 위한, 다른 것들 사이에서, 발신지 어드레스, 수신지 어드레스, 및 수신지 포트는 확인될 필요가 있다. 만약 세션이 과금형이라면, 계산을 위해 트래킹하는 수단이 구현되어야 한다. 보안 및 프라이버시 이유 때문에, 노드 간 데이터 패킷 교환은 암호화되는 것이 통상이다. 전송 모드 및 터널링 모드에 따른 패킷 데이터를 위한 암호화 구조는 상이하다. 암호화 데이터 패킷을 모니터링하는 것은 따라서 특별한 검사를 취한다. 그러나 공유 네트워크 상에서 보안 및 개인 통신에 대한 수요가 증가하고 있다.
따라서, 암호화 데이터 흐름을 가진 패킷 데이터 통신에 대한 보안된 모니터링 구조를 제공할 필요가 있다.
보안 및 신용 이유 때문에, 아주 종종, 데이터 흐름은 암호화된 통신 데이터 패킷으로 안전하게 송신된다. 때때로, 데이터 흐름은 데이터 트래픽 제어를 위 해 모니터링 중개기를 통하여 모니터링 될 필요가 있다. 암호화 데이터 패킷은 데이터 복호화를 위해 보안연관 (SA ; Security Association) 을 식별하는데 사용되는 보안 매개변수 인덱스 (SPI ; Security Parameter Indexes) 를 포함한다. 발명의 대표적인 실시형태에 따라서, 서로 간에 통신을 구하는 노드는 임의의 형식적인 데이터 트래픽을 구축하기 전에 먼저 모니터링 중개기를 통하여 시그널링 메시지에 SPI 를 송신한다. 이후, 모니터링 중개기는 시그널링 메시지로부터의 SPI 를 데이터 패킷으로부터 추출된 SPI 와 일치한다. 데이터 트래픽 제어 중에, 모니터링 중개기는 SPI 에서 일치가 발견되면 데이터 흐름으로 하여금 통과하도록 한다. 그렇지 않다면, 데이터 흐름은 거절된다.
예정된 대로 동작하여, 모니터링 중개기는 그것에 의하여 비교적 신속하게 데이터 트래픽 제어를 시행할 수 있다.
이러한 및 다른 특성, 및 장점은 첨부된 도면과 함께 취해졌을 때 아래에 기술된 상세한 설명으로부터 당업자에게 명백하게 될 것이며, 도면에서, 동일한 참조 부호는 동일한 대상을 나타낸다.
본 발명에 따르면 암호화 데이터 흐름을 가진 패킷 데이터 통신에 대한 보안된 모니터링 구조를 제공한다.
이하의 설명은 당업자에게 본 발명을 이용하게 하기 위해 제공된다. 상세는 설명을 위하여 이하 기술한다. 당업자는 본 발명이 이 상세한 설명의 이 용 없이도 실시될 수도 있다는 것을 깨달을 것이라는 것은 평가되어야 한다. 다른 경우에, 공지된 구조 및 프로세스는 불필요한 상세한 설명으로 본 발명의 설명을 모호하게 하지 않도록 부연하지 않는다. 따라서, 본 발명은 나타난 실시형태에만 한정되도록 의도되지 않았고, 여기에서 개시된 원칙 및 특성과 일치하는 최대의 범위와 조화되도록 의도되었다.
이하 설명되는 실시형태는 제 3 세대 파트너쉽 프로젝트 (3GGP) 및 제 3 세대 파트너쉽 프로젝트 2 (3GPP2) 에 의해 공표된 IP 멀티미디어 서브시스템/멀티미디어 도메인 (IMS/MMS) 표준에 따라서 동작한다. IMS/MMD 에 대한 일반적인 논의는 "3rd Generation Partnership Project: Technical Specification Group Services and System Aspects, IP Multimedia Subsystem (IMS), Stage 2" 3GPP TS 23.228 "3rd Generation Partnership Project: Technical Specification Group Core Network, End-to-end Quality of Service (QoS) Signaling Flows," 3GPP TS 29.208; 및 "IP Multimedia System, Stage 2," 3GPP2 X.S0013-002 및 3GPP2 X.P0013-012 라고 표제를 붙인, 발간된 문서에서 발견될 수 있다.
IMS 는 cdma2000, 광대역 코드 분할 다중 접속 (WCDMA), 범용 패킷 무선 서비스 (GPRS), 및 다양한 다른 WANs 같은 다양한 표준에서 적용가능하다.
이제 본 발명의 대표적인 실시형태를 개략적으로 도시하는 도 2 를 참조한다. 전반적인 시스템은 일반적으로 인트라넷 또는 인터넷 같은, 기간 (基幹) 네트워크 (52) 를 포함하는 참조 숫자 (50) 로 나타내어진다.
예로써, 도 2 에서 도시되는 대로, 다른 네트워크 중에서, 홈 네트워크 (HN ; 54), 외부 네트워크 (FN ; 56), 및 원격 네트워크 (RN ; 58) 는 기간 네트워크 (52) 에 연결된다.
HN (54) 에서, HN (54) 내에 데이터 트래픽을 관리하고 또한 인바운드 및 아웃바운드 경로에 대해 HN (54) 의 데이터 트래픽을 제어하는 임무를 맡는 HA (Home Agent) 가 있다. 만일 HN (54) 이 무선 기술을 지원한다면, 보통 RAN (Radio Access Network ; 55) 이 설치되고 PDSN (Packet Data Serving Node ; 64) 에 연결된다. 예를 들어, 만일 RAN (55) 이 cdma2000 표준에서 동작한다면, RAN (55) 은 통상 적어도 BSC (Base Station Controller) 및 복수의 BS (Base station) 을 포함한다. PDSN (64) 은 본질상 기간 네트워크 (52) 와 RAN (55) 사이의 접근 게이트웨이이다.
다양한 IMS/MMD 기능 및 특성을 실행하기 위해, 서비스 제공자는 HN (54) 에 다른 서버를 설치했다. 그러한 서버의 예는 P-CSCF (Proxy Call State Session Function ; 70), 및 S-CSCF (Serving Call State Session Function ; 72) 를 포함한다. 이러한 서버의 기능적 설명은 시스템 (50) 의 동작 설명과 함께 후에 기술될 것이다.
상기 설명된 노드 이외에, 명료함을 목적으로 도시되지는 않았으나 HN (54) 안에 다른 노드가 있다. 그러한 노드는 다양한 타입의 컴퓨터, 프린터, 및 이동가능 또는 이동불가능할 수 있는 임의의 다른 디바이스일 수 있다.
도 2 에서, 기간 네트워크 (52) 에 링크된 FN (56) 및 RN (58) 이 도시된다. 또한, 명료하고 설명을 쉽게 하기 위해, FN (56) 및 RN (58) 은 HN (54) 과 다소 유사한 것으로 도시된다. 사용에 따라서, FN (56) 및 RN (58) 은 매우 다르게 구성될 수 있다는 것은 평가되어야 한다. 따라서, 이 경우에 FN (56) 은 또한 다른 것들 중에서, FA (외부 에이전트 ; 66), RAN (76), PDSN (68), P-CSCF (71) 및 PCRF (Policy and Charging Rules Function ; 75) 을 포함한다. 마찬가지로, RN (58) 은 또한 다른 것들 중에서, PDSN (78), P-CSCF (80), S-CSCF (82), 및 PCRF (84) 를 포함한다.
도 2 에서, FN (56) 의 FA (66) 및 PDSN (68) 은 분리된 개체로서 도시된다. 매우 종종, FA (66) 및 PDSN (68) 은 하나의 유닛으로 통합된다.
시스템 (50) 에서, HoA (홈 어드레스) 를 가진 HN (54) 의 HA (62) 에 원시 등록된 MN (모바일 노드 ; 60) 이 있다. MN (60) 은 FN (56) 같은 다른 외부 네트워크로 이동할 수 있고, FN (56) 또는 모바일 IP (Mobile Internet Protocol) 하의 다른 네트워크를 통하여, 기간 네트워크 (52) 에 접근할 수 있다. MN (60) 은 실시상 예를 들어, 개인 휴대정보 단말기 (PDA), 랩탑 컴퓨터, 또는 모바일 폰일 수 있다.
MN (60) 이 FN (56) 에서 로밍한다고 가정하자. 이런 특정 실시예에서, MN (60) 의 사용자는 RN (58) 안에서 CN (상대노드 ; 90) 을 동작하는 다른 사용자와 비디오 회의 세션을 하길 원한다고 가정하자. 노드 (90) 는 이동가능 또는 이동불가능일 수 있다.
FN (56) 의 영역에 도달할 때, MN (60) 은 FN (56) 에 의한 광고에 의하여 FA (66) 의 어드레스를 얻을 수도 있다. MN (60) 은 이후 HA (62) 가 MN (60) 의 위치를 추적할 수 있도록 HN (54) 에서의 HA (62) 에 FA CoA 를 등록한다. 다른 실시형태로서, MN (60) 은 FA (66) 로부터 CCoA 를 요구할 수도 있다. MN (60) 은 이후 또한 같은 이유, 즉, HA (62) 로 하여금 MN (60) 과 접촉을 유지하도록 HA (62) 에 CCoA 를 등록한다.
임의의 통신 트래픽을 구축하기 전에, MN (60) 은 시그널링 프로세스를 통과할 필요가 있다. 이 목표를 달성하기 위해, MN (60) 은 이하 설명될 중개기를 통하여 CN (90) 에 요구 메시지를 송신한다. 마찬가지로, CN (90) 은 그 요구 메시지에 응답 시그널링 프로세스로 응답할 필요가 있다.
이 예에서, MN (60) 은 HN (54) 안에 S-CSCF (72) 를 포함하는 세션 개시 프로토콜 (SIP ; Session Initiation Protocol) 네트워크에 접근을 위해 HN (54) 에서의 HA (62) 에 의해 원시 할당된 HoA 를 이용하여 HN (54) 에서의 S-CSCF (72) 에 등록한다.
MN (60) 은 이후 HN (54) 에서의 P-CSCF (70) 에 SIP INVITE 메시지를 송신한다. 실제 동작에서, 다른 모든 데이터 트래픽과 마찬가지로, SIP INVITE 메시지는 P-CSCF (70) 에 도달하기 전에 먼저 RAN (76), PDSN (68), FA (66), 기간 네트워크 (52), 및 HA (62) 를 통과한다. 또한, 널리 공지된 대로, 데이터 트래픽은 시스템 (50) 을 통하여 트래블링하는 시그널 캐리어에 의한, 전기 신호의 형태이다. 상기 유사하게 기술한 방식으로 명료함을 위해, 데이터 트래픽은 간단하게 논리 경로로 나타내어 진다. 즉, 이하 설명에서, 특히 강조되지 않는다 면, 오직 데이터 트래픽의 논리적 경로만이 설명된다.
MN (60) 은 다른 실시형태로서 회의 세션을 개시하기 위해 FN (56) 의 P-CSCF (71) 에게 SIP INVITE 메시지를 보낼 수 있다는 것은 또한 주목되어야 한다. 즉, 시그널링을 위해 HN (54) 에서 SIP 네트워크를 이용하는 대신에, MN (60) 은 다른 실시형태로서 FN (56) 에서 SIP 네트워크를 이용할 수 있다. 설명의 일관성 및 명료함을 위해, 이하 설명에서, HN (54) 에서 SIP 네트워크는 시그널링 프로세스를 위해 이용된다.
비디오 회의 세션이 사설 세션으로 의도되었다고 가정하자. MN (60) 과 CN (90) 사이에서 교환된 데이터 패킷은 통상 실시되는 대로, 암호화된다.
이 때에, 여담으로 일반적으로 IP 보안 및 또한 특히 비암호화 및 암호화 데이터 패킷 사이의 차이를 상세하게 설명한다.
IP 에 따라서, 데이터 패킷은 참가자들 사이에 데이터 신용, 무결성, 및 인증을 취급하는 다양한 표준을 가진 보안 프로토콜인 IPSec (Internet Protocol Security) 에 따라서 암호화된다. IPSec 에 대한 상세는 RFCs 2401, 2412, 및 2451 에서 발견될 수 있다.
IPSec 에 따라서, 보안된 통신을 찾는 통신 노드는 먼저 보안 연관 (SA) 으로 불리는 일 세트의 보안 매개변수에 동의할 필요가 있다. SA 는 다른 것들 중에서, 암호화 알고리즘, 인증 알고리즘, 암호화 키, 및 인증 키를 포함할 수도 있다. 따라서, 합의 후에, SA 는 보안 통신 세션을 요구하는 각각의 노드에 저장된다. 통상의 SA 는 매 데이터 패킷과 함께 송신되는 보안 매개변수 인덱스 (SPI) 에 의해 식별가능하다. 임의의 보안 통신 세션 중에, 수신 노드는 언제나 임의의 데이터 패킷으로부터 SPI 를 추출하고 복호화를 위해 저장된 SA 를 인보크한다. 통상의 암호화 알고리즘 및 키를 가진 SA 는 수신 노드로 하여금 암호화 데이터 패킷을 복호화하도록 한다.
암호화 및 비암호화 데이터 패킷의 다른 형태는 도 3 에서 도시된다.
참조 숫자 (100) 는 통상의 사전-암호화 데이터 패킷을 나타낸다. 데이터 패킷 (100) 은 IP 에 따라서 요구되는 대로, 패킷 (100) 의 발신지 및 수신지 어드레스 같은 정보를 저장하는 IP 헤더 (102) 를 포함한다. 레이어-4 헤더 (104) 는 IP 헤더 (102) 에 인접한다. 레이어 4 는 데이터 패킷 (100) 이 전송 제어 프로토콜 (TCP ; Transport Control Protocol) 또는 사용자 데이터그램 프로토콜 (UDP ; User Dataram Protocol) 하에 있는지에 관한 정보를 포함하는 전송 레이어이다. TCP 및 UDP 에 대한 상세는 RFC (793) 및 RFC (768) 에서 각각 발견된다. 레이어-4 헤더 (104) 는 따라서 패킷 (100) 이 TCP 또는 UDP 패킷인지 최소한 식별하고, 또한 발신지 및 수신지 포트의 위치를 포함한다. 수신지 포트에 관한 정보는 모니터링 중개기가 데이터 모니터링 임무를 수행하는 데 필수적이다. 데이터 패킷 (100) 에 의해 운반된 페이로드 데이터 (106) 는 레이어-4 헤더 (104) 에 인접한다.
참조 숫자 (108) 는 전송 모드에 따라서 암호화 데이터 패킷을 나타낸다. 음영으로 표시된 부분은 암호화 데이터 영역을 나타낸다. 암호화 데이터 패킷 (108) 은 또한 비암호화 패킷 (100) 의 그것과 동일한 IP 헤더 (102) 를 포함한다. 그러나, 암호화 패킷 (100) 의 레이어-4 헤더 (104A) 및 페이로드 데이터 (106A) 는 비암호화 데이터 패킷 (100) 의 대응하는 레이어-4 헤더 (104) 및 페이로드 데이터 (106) 의 암호화 상대물이다. 데이터 패킷 (108) 에서, 보안 페이로드 캡슐화 (ESP ; Encapsulating Security Payload) 헤더 (110) 는 IP 헤더 (102) 와 레이어-4 헤더 (104A) 사이에 설정된다. ESP 헤더 (110) 는 상기 언급한 대로 데이터 패킷 (108) 을 복호화 하기 위한 예정된 알고리즘을 가진 SA 를 식별하는 데 이용될 수 있는 SPI 를 포함한다. 데이터 패킷 (108) 의 말미에는 ESP 트레일러 (112) 및 인증 데이터 (114) 가 있다. 다른 것들 중에서, ESP 트레일러 (112) 는 다음의 ESP 헤더를 식별하는 정보를 포함한다. 임의의 인증 프로토콜이 실행되면, 인증 데이터 세그먼트 (114) 는 그런 목적에 대한 정보를 갖는다.
참조 숫자 (118) 는 IPSec 에 따라서 터널링 모드 하에서 암호화 데이터 패킷을 지정한다. 데이터 패킷 (118) 에서, 기본적으로, 사전-암호화 패킷 (100) 은 패킷 (118) 내로 암호화 및 캡슐화된다. 따라서, 패킷 세그먼트 IP 헤더 (102B), 레이어-4 헤더 (104B), 및 페이로드 데이터 (106B) 는 대응하는 원시 패킷 (110) 세그먼트의 정보를 포함한다. 패킷 (118) 의 전단 IP 헤더 (102) 는 그러나 IP 헤더 (102B) 와는 다른 내용을 가진다. 예를 들어, IP 헤더 (120) 는 터널의 외부 레이어 어드레스를 포함하고, IP 헤더 (102B) 는 터널의 내부 레이어 어드레스를 가진다. 데이터 패킷 (108) 안의 ESP 헤더의 그것과 본질상 동일한 ESP 헤더 (110) 는 IP 헤더 (120) 에 인접한다. 즉, ESP 헤더 (110) 는 데이터 패킷 (118) 을 복호화하기 위한 예정된 알고리즘을 가진 SA 를 식별하기 위해 SPI 를 포함한다. ESP 트레일러 (112) 및 인증 데이터 (114) 는 패킷 (108) 의 그것과 실질적으로 유사하다.
IPv6 에 따라서, 각각의 패킷 (108, 100 및 118) 안의 IP 헤더 (102) 뒤에, 데이터 패킷 (108, 100 또는 118) 이 오디오 또는 비디오 패킷인지 식별하는 정보를 포함하는 "흐름 레이블" 로 불리는 옵션 헤더가 있다는 것은 주목되어야 한다. 흐름 레이블 헤더는 간결함을 위해 도 3 에서 도시하지 않는다.
도 3 에서 볼수 있듯이, 데이터 패킷 (108) 에서, 레이어-4 헤더(104A) 는 암호화된다. 예를 들어, 모니터링 중개기는 예를 들어, 패킷 (108) 이 TCP 패킷 또는 UDP 패킷인지 식별할 수 없다. 무엇보다도, 레이어-4 헤더 (104A) 는 수신지 포트 역시 용이하게 이용가능하지 않다는 것에 관한 정보를 포함한다. 임의의 모니터링 중개기는, 수신지 포트에 관한 임의의 정보없이는, 임의의 데이터 모니터링을 수행할 수 없다.
마찬가지로, 데이터 패킷 (118) 에서, 레이어-4 헤더 (104B) 의 암호화에 더하여, IP 헤더 (102B) 는 또한 암호화된다. 예를 들어, IP 헤더 (104B) 로부터 정보없이는, 모니터링 중개기는 또한 데이터 패킷 (118) 의 내부 레이어 어드레스를 알지 못한다. 결과적으로, 데이터 패킷 (118) 은 도저히 모니터링 될 수 없다.
앞서 언급했듯이, 데이터 암호화에 관한 관련 SA 를 식별하는데 이용될 수도 있는 SPI 는 데이터 패킷 (108) 및 (118) 중 각각에 삽입된다. 그러나, 본 실 시형태에서, SPI 는 또한 암호화 데이터 패킷 (108) 또는 (118) 과 관련된 특정 수신지 포트를 식별하고 교신하는 데 명백히 이용된다. 더 상세하게, 암호화 데이터 패킷 (108) 또는 (118) 에서, 각각의 ESP 헤더 (110) 에 각각의 SPI 는 교대로, 흐름이 오디오 흐름 또는 비디오 흐름인지, 및 수신지 포트의 식별에 따라 특정지워지는 특정 데이터 흐름에 대응한다. 대표적인 실시형태에 따라서, SPI 는 직접 송신되고 궁극적으로는 초기 시그널링 프로세스 중에 모니터링 중개기에 도달한다. 데이터 모니터링 중에, 모니터링 중개기는 단지 시그널링 프로세스 중에 획득된 SPI 를 암호화 데이터 패킷으로부터 추출된 대응하는 SPI 에 일치시켜야한다. 만일 일치가 발견되면, 특정 흐름, 즉, 그 흐름이 암호화 데이터 패킷의 수신지 포트와 함께 오디오 또는 비디오 인지 간에 따라서 명백히 식별될 수 있다.
이제 도 2 를 참조한다. 비디오 회의 세션을 시작하기 위해, MN (60) 은 SIP INVITE 메시지를 상기 기술한 대로 SIP 네트워크를 통하여 송신한다. SIP INVITE 메시지는 본질상 요구된 비디오 회의 세션의 적절한 실행을 위한 기초 요구물을 설명하는 세션 설명 프로토콜 (SDP ; Session Description Protocol) 이라고 불리는 설명 부분을 포함한다. 예를 들어, MN (60) 의 IP 어드레스 및 포트 숫자, 및 세션에 대한 코덱 상세한 설명이 SDP 에 포함된다. 더 중요하게, 이 실시형태에서, SDP 는 MN (60) 에 의해 이용되는 SPIs 를 포함한다. 통신 세션이 비디오 회의 세션인 이 예에서, 2 개의 SPIs 가 필요한데, 즉, 하나는 비디오 흐름을 위한 것이고 다른 하나는 오디오 흐름을 위한 것이다. 앞서 언급하였듯이, 각각의 SPI 는 교대로 고유하게 특정 수신 포트와 관련하는 특정 데이터 흐름에 대응한다. 반복하여, 데이터 모니터링 동안에, 만일 SIP INVITE 메시지 안에 포함된 SPI 가 베어러 트래픽의 데이터 패킷으로부터 추출된 SPI 와 일치한다면, 수신지 포트는 명백히 식별될 수 있다. 베어러 트래픽은 회의 세션의 오디오 및 비디오 시그널의 내용 흐름이다. 발신지 및 수신지 어드레스와 함께, 수신지 포트 어드레스의 식별로, 데이터 모니터링 중개기는 데이터 모니터링의 임무를 다 할 수 있다.
이제 도 2 로 돌아가, HN (54) 에서의 P-CSCF (70) 는 콜 세션 관리 임무를 수행하는 노드이다. SIP INVITE 메시지를 수신한 때, P-CSCF (70) 는 SIP INVITE 메시지를 HN (52) 에서의 S-CSCF (72) 에 포워딩한다. C-CSCF (72) 는수락을 요구하기 위해 RN (58) 에 SIP INVITE 메시지를 교대로 송신한다.
HN (54) 에서의 S-CSCF (72) 에 의해 세션을 승인하고 RN (58) 에서의 CN (90) 에 의해 회의 세션을 수락한 때, P-CSCF (70) 는 이후 과금화 규칙 같은 정책 관련 정보, 공인된 서비스 품질 (QoS ; Quality of Service) 및 흐름 식별자를 HN (54) 에서의 PCRF (74) 에 송신한다.
동시에, 즉, CN (90) 에 의해 수락된 후에, MN (60) 은 요구된 QoS 와 함께, 트래픽 흐름 탬플릿 (TFT ; Traffic Flow Template) 을 베어러 트래픽을 구축하기 위해 FN (56) 에서의 PDSN (68) 에 송신한다.
PDSN (68) 은 이후 상기 언급한 대로 동일한 정책 관련 정보, 즉, 공인된 QoS, 과금화 규칙, 및 FN (56) 에서의 PCRF (75) 로부터 회의 세션을 위한 흐름 식 별자를 요구한다. PCRF (75) 는 이후 HN (54) 에서의 PCRF (75) 에 요구를 중계하고 그 흐름에 대한 앞서 언급한 매개변수를 획득한다. PCRF (75) 에 의해 나타내어진 임의의 매개변수는 어떤 명령된 정책과 일치해야한다. 그러한 정책은 IMS/MMD 표준에 따라서 지도된 규칙을 포함하고, FN (56) 에만 유일한 정책과 같은 특정 네트워크에 대한 정책, 베어러 트래픽을 핸들링하는 것과 관련된 HN (54) 와 FN (56) 사이에서의 합의 같은 네트워크 간의 특정 합의를 포함한다. 요구된 회의 세션이 과금형이라면, 정책은 숫자세기 목적을 위한 어떤 트래킹 절차를 포함한다. 무엇보다도, 비공인된 트래픽은 차단될 것이다. 정책의 시행은 IMS/MMD 표준하의 SBBC (service based bearer control) 라고 불려진다.
SBBC 의 동작 상세는 "3GPP2 MMD Service Based Bearer Control Document, Work in Progress," 3GPP2 X.P0013-012 로 명명된 문서에서 발견될 수 있다. SDP 에 대한 설명은 "IP Multimedia Call Control Protocol Based on SIP and SDP, Stage 3" 3GPP2-X.S0013-0004 로 명명된 문서에서 발견될 수 있다.
FN (56) 에서의 PCRF (75) 는 모든 부가된 정책의 결정을 위해 설치된다. 결정 프로세스에서, PCRF (75) 는 HN (54) 에서의 PCRF (74) 와 FN (56) 에서의 PDSN (68) 사이에 삽입된다. 또한, PDSN (68) 과 PCRF (75) 사이에 삽입된 Ty 인터페이스 (92) 가 있다. 또한 PCRF (74) 와 P-CSCF (70) 사이에 도 2 에서 도시된 대로 Tx 인터페이스 (94) 가 있다. 앞서 말한 Ty 및 Tx 인터페이스는 회의 세션과 베어퍼 트래픽 사이에 정책 제어를 위해 이용된다. Ty 및 Tx 인터페이스의 상세는 3GPP 에 의해 발행된 3GPP TS 23.107, 및 3GPP2 에 의해 발행된 3GPP2 X.P0013-012 문서에서 발견될 수 있다.
이제 도 2 로 돌아가, SIP INVITE 메시지에서 나타난 요구된 세션 매개변수는, 공인되었다면, HN (54) 에서의 PCRF (74) 및 FN (56) 에서의 PCRF (75) 에 의하여 P-CSCF (70) 로부터 PDSN (68) 에 전해진다.
본 실시형태에서, CN (90) 은 RN (58) 에 의해 할당된 CCoA 를 갖는 것으로 추정된다. 따라서, SIP INVITE 메시지를 받은 때, CN (90) 은 SIP 200 OK 메시지로 응답한다. SIP 200 OK 메시지는 기본적으로 원시 SIP INVITE 메시지의 매개변수를 재확인한다. 추가로, 본 실시형태에서, CN (90) 은 또한 SIP 200 OK 메시지의 SDP 에 베어러 트래픽을 위한 CN (90) 에 의해 이용되는 SPI 를 포함한다. SIP 200 OK 는 SIP INVITE 메시지와 동일한 데이터 경로를 따르나 역순이다.
MN (60) 은 이후 원시 SIP INVITE 메시지와 동일한 데이터 경로를 따라 확인 메시지 (ACK) 를 보냄으로써 SIP 200 OK 메시지의 수신을 확인한다.
베어러 트래픽은 이후 SIP INVITE 메시지에서 보여진 공인된 매개변수에 따라서 FN (56) 에서의 PDSN (68) 에 의해 구축될 준비가 된다.
전에 언급한 대로, IMS/MMD 표준에 따라서, 베어러 트래픽은 SBBC 에 의하여 네트워크에 의해 모니터링되고 제어될 필요가 있다. 이 예에서, FN (56) 에서의 PCRF (75) 에 의해 지도된 PDSN (68) 은 전에 언급한 대로 정책에 따르기 위해 SBBC 를 시행하는 임무를 맡는다.
SBBC 시행 중에, 각각의 데이터 패킷은 통과하도록 용인되기 전에 스크린 될 필요가 있다. 베어러 트래픽의 데이터 패킷은 일찍이 언급하였듯이 암호화되기 때문에, 수신지 포트 식별과 같은 몇몇의 본질적인 정보는 용이하고 간편하게 이용가능할 수 없다. 이 실시형태에서, 상기 언급한 대로, PDSN (68) 은 초기 시그널링 프로세스 중에 SIP INVITE 메시지 및 SIP 200 OK 메시지로부터 앞서 데이터 흐름의 SPIs 에 관한 정보를 가진다. 동작에서, PDSN (68) 은 SBBC 를 위해 필요한 본질적인 정보를 발신지 및 수신지 어드레스 같은 각 데이터 패킷 및 데이트 흐름을 명백히 식별하는 SPI 로부터 추출하고, 정보가 시그널링 프로세스로부터 획득된 대응 정보와 일치한다면, 데이터 패킷은 SBBC 시행의 일부로서 통과하도록 용인된다. 반면에, 불일치하다면, 데이터 패킷은 SBBC 를 실패하고 드롭된다고 말한다.
상기 설명한 대로 동작하여, 즉, 시그널링 메시지의 SDPs 에 포함된 SPIs 로, PDSN (68) 은 요구된 비디오 회의 세션의 암호화 데이터 트래픽을 위한 SBBC 를 신속히 시행한다. SBBC 의 시행은 MN (60) 과 CN (90) 사이의 세션이 끝날 때까지 계속된다.
상기 보여진 프로세스는 도 4 의 플로우차트에서 도시된다.
도 5 는 본 발명에 따라서 참조 숫자 (121) 로 나타내어진 모바일 노드 장치의 하드웨어 구현의 부분을 도시한다. 장치 (121) 는 예를 들어, 랩탑 컴퓨터, PDA, 또는 이동 전화기와 같은 다양한 디바이스로 구축되고 구성될 수 있다.
장치 (121) 는 여러 개의 회로를 함께 연계하는 중앙 데이터 버스를 포함한다. 회로는 CPU (중앙 프로세싱 유닛) 및 제어기 (124), 수신 회로 (126), 송 신 회로 (128), 및 메모리 유닛 (130) 을 포함한다.
수신 및 송신 회로 (126) 및 (128) 는 RF (라디오 주파수) 회로에 연결될 수 있으나 도면에는 도시하지 않는다. 수신 회로 (126) 는 데이터 버스 (122) 에 송신하기 전에 수신된 시그널을 프로세싱 및 버퍼링한다. 반면에, 송신 회로 (128) 는 디바이스 (121) 밖으로 송신하기 전에 데이트 버스 (122) 로부터 데이터를 프로세싱 및 버퍼링한다. CPU/컨트롤러 (124) 는 데이터 버스 (122) 의 데이터 관리 기능을 수행하고 또한 메모리 유닛 (130) 의 명령 내용 실행을 포함하는 일반적인 데이터 프로세싱 기능을 수행한다.
메모리 유닛 (130) 은 일반적으로 참조 숫자 (131) 로 나타내어지는 일 세트의 명령을 포함한다. 이 실시형태에서, 명령은 다른 것들 중에서, 모바일 IP 클라이언트 (132) 및 SIP 클라이언트 (134) 같은 부분을 포함한다. SIP 클라이언트 (134) 는 이전에 설명한 대로 본 발명에 따른 명령 집합을 포함한다. 모바일 IP 클라이언트 (132) 는 장치 (121) 로 하여금 또한 상기 설명한 대로, 다양한 모드의 통신에 대한 다양한 타입의 어드레스를 획득하는 것과 같은, IP 및 모바일 IP 에 따라서 동작하도록 하는 명령 집단을 포함한다.
이 실시형태에서, 메모리 유닛 (130) 은 RAM (Random Access Memory) 회로이다. 대표적인 명령 부분 (132) 및 (134) 은 소프트웨어 루틴 또는 모듈이다. 메모리 유닛 (130) 은 휘발성 또는 비휘발성 타입 중의 하나일 수 있는 다른 메모리 유닛 (미도시) 에 결합될 수 있다. 다른 실시형태로서, 메모리 유닛 (130) 은 EEPROM (Electrically Erasable Programmable Read Only Memory), EPROM (Electrical Programmable Read Only Memory), ROM (Read Only Memory), 마그네틱 디스크, 광 디스크, 및 공지된 다른 것과 같은 다른 회로 타입으로 만들어질 수 있다.
도 6 은 본 발명에 따라서 PDSN 장치의 하드웨어 구현의 부분을 도시하고 참조 숫자 (140) 로 나타내어진다. PDSN 장치 (140) 는 여러 개의 회로를 서로 연계하는 중앙 데이터 버스 (142) 를 포함한다. 회로는 CPU (Central Processing Unit) 또는 컨트롤러 (144), 수신 회로 (146), 송신 회로 (148), 데이터베이스 저장 유닛 (149), 및 메모리 유닛 (150) 을 포함한다.
수신 및 송신 회로 (146) 및 (148) 는 PDSN 장치 (140) 가 연계되어 있는 네트워크 데이터 버스 (미도시) 에 연결될 수 있다. 수신 회로 (146) 는 내부 데이터 버스 (12) 에 루팅하기 전에 네트워크 데이터 버스 (미도시) 로부터 수신된 시그널을 프로세싱 및 버퍼링한다. 송신 회로 (148) 는 장치 (140) 밖으로 송신하기 전에 데이트 버스 (142) 로부터 데이터를 프로세싱 및 버퍼링한다. CPU/컨트롤러 (144) 는 데이터 버스 (142) 의 데이터 관리 임무를 수행하고 메모리 유닛 (150) 의 명령 내용의 실행을 포함하는 일반적인 데이터 프로세싱 기능을 위한 임무를 수행한다. 데이터베이스 저장 유닛 (149) 은 다양한 매개변수를 가진 SA 같은 데이터 기록을 저장한다.
메모리 유닛 (150) 은 일반적으로 참조 숫자 (154) 로 나타내어지는 일 세트의 명령을 포함한다. 이 실시형태에서, 명령은 부분, 다른 것들 중에서, PDSN 기능 (156) 및 SBBC 기능 (158) 을 포함한다. 메모리 유닛은 상기 언급하고 더 이상 반복하지 않을, 메모리 회로 타입으로 만들어질 수 있다. PDSN 및 SBBC 기능 (156) 및 (158) 은 이전에 설명한 대로 본 발명에 따라서 명령 집단을 포함한다.
마지막으로, CCoA 를 이용하는 모바일 IP 에 따라서 동작하는 MN (60) 은 본 실시형태에서 설명된다. 전에 언급한 대로, MN (60) 은 통신의 다른 모드에 따라서 잘 동작할 수 있고 다른 타입의 어드레스를 취한다. 예를 들어, 많은 실시형태 중에서 한 예로서, MN (60) 은 FA CoA 를 이용할 수 있고 모바일 IP 터널링 모드에 따라서 CN (90) 과 통신할 수 있다. 추가로, MN (60) 과 CN (90) 사이에서 쌍방향으로 적용된 암호화는 본 실시형태에서 설명된다. 데이터 암호화는 쌍방향 대신에 오직 하나의 방향으로만 적용되는 것도 또한 가능하다. 또한, 설명된 대로, 노드 (60) 는 외부 네트워크로 이동하는 모바일 디바이스로서 기술된다. 노드 (60) 는 매우 잘 고정일 수 있다는 것은 이해되어야 한다. 추가로, 실시형태와 관련하여 설명된 임의의 로직 블록, 회로, 및 알고리즘 단계는 하드웨어, 소프트웨어, 펌웨어, 또는 상기 조합으로 구현될 수 있다. 본 발명의 범위와 사상을 벗어남이 없이 행해지는 형식이나 상세에 있어서의 변화는 당업자에게 이해될 것이다.
도 1 은 네트워크의 지구적 연결의 개략도이다.
도 2 는 본 발명의 실시형태를 도시하는 개략도이다.
도 3 은 다양한 형태의 비암호화 및 암호화 데이터 패킷의 개략도이다.
도 4 는 본 발명의 실시형태에 따라서 초기 시그널링 및 컨텐츠 트래픽 구축을 위한 단계를 도시하는 플로우차트이다.
도 5 는 본 발명에 따라서 구성되는 모바일 노드의 회로에 대한 개략도이다.
도 6 은 본 발명에 따른, 모니터링 중개기의 회로에 대한 개략도이다.

Claims (23)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 제 1 노드 및 제 2 노드를 포함하는 통신 시스템에서 모니터링 중개기를 통한, 암호화 데이터 패킷을 갖는 통신 세션을 모니터링하는 방법으로서,
    상기 통신 시스템은 IP (Internet Protocol) 에 의해 지원되고,
    상기 제 1 노드가, SIP INVITE 메시지 및 SIP 200 OK 메시지로 구성된 그룹으로부터 선택된 시그널링 메시지에, SA (보안 연관 ; Security Association) 을 식별하는 SPI (보안 매개 변수 인덱스 ; Securuty Parameter Index) 를 포함시키는 단계; 및
    상기 모니터링 중개기로 하여금 패킷 데이터 모니터링을 위한 상기 SPI 를 사용하도록 하기 위해, 상기 제 1 노드가 상기 모니터링 중개기를 통하여 상기 SPI 를 갖는 상기 시그널링 메시지를 상기 제 2 노드로 송신하는 단계를 포함하는, 모니터링 방법.
  5. 모니터링 중개기를 통해 암호화 데이터 패킷을 갖는 통신 세션을 모니터링하는 방법으로서,
    상기 모니터링 중개기가 제 1 시그널링 메시지 및 제 2 시그널링 메시지로 구성된 그룹으로부터 선택된 시그널링 메시지로부터 암호화 프로세스를 식별하는 제 1 인덱스를 수신하는 단계;
    상기 모니터링 중개기가 상기 통신 세션의 상기 데이터 패킷으로부터 제 2 인덱스를 수신하는 단계; 및
    상기 모니터링 중개기가 상기 제 1 및 제 2 인덱스의 비교를 포함함으로써 상기 통신 세션에 일 세트의 정책을 시행하는 단계를 포함하는, 모니터링 방법.
  6. 제 5 항에 있어서,
    상기 제 1 및 제 2 인덱스의 상기 비교의 결과가 비교 일치인 때에 상기 통신 세션의 상기 데이터 패킷으로 하여금 통과하도록 하고 상기 제 1 및 제 2 인덱스의 비교의 결과가 비교 불일치인 때에 상기 통신 세션의 데이터 패킷의 통과를 거절하는 단계를 더 포함하는, 모니터링 방법.
  7. 제 5 항에 있어서,
    상기 제 1 시그널링 메시지는 상기 통신 세션에 대한 요구 메시지이고, 상기 제 2 시그널링 메시지는 상기 요구 메시지에 대한 응답 메시지인, 모니터링 방법.
  8. 암호화 데이터 패킷을 갖는 통신 세션을 모니터링하는 장치로서,
    제 1 시그널링 메시지 및 제 2 시그널링 메시지로 구성된 그룹으로부터 선택된 시그널링 메시지로부터 복호화 프로세스를 식별하는 제 1 인덱스를 수신하는 수단;
    상기 통신 세션의 상기 데이터 패킷으로부터 제 2 인덱스를 수신하는 수단; 및
    상기 제 1 및 제 2 인덱스의 비교를 포함함으로써 상기 통신 세션에 일 세트의 정책을 시행하는 수단을 포함하는, 모니터링 장치.
  9. 제 8 항에 있어서,
    상기 제 1 및 제 2 인덱스의 상기 비교의 결과가 비교 일치인 때에 상기 통 신 세션의 상기 데이터 패킷으로 하여금 통과하도록 하는 수단 및 상기 제 1 및 제 2 인덱스의 비교의 결과가 비교 불일치인 때에 상기 통신 세션의 데이터 패킷의 통과를 거절하는 수단을 더 포함하는, 모니터링 장치.
  10. 제 8 항에 있어서,
    상기 제 1 시그널링 메시지는 상기 통신 세션에 대한 요구 메시지이고, 상기 제 2 시그널링 메시지는 상기 요구 메시지에 대한 응답 메시지인, 모니터링 장치.
  11. 암호화 데이터 패킷를 갖는 통신 세션을 모니터링하는 장치로서,
    제 1 시그널링 메시지 및 제 2 시그널링 메시지로 구성된 그룹으로부터 선택된 시그널링 메시지로부터 복호화 프로세스를 식별하는 제 1 인덱스를 수신하고, 상기 통신 세션의 상기 데이터 패킷으로부터 제 2 인덱스를 수신하며, 상기 제 1 및 제 2 인덱스의 비교를 포함함으로써 상기 통신 세션에 일 세트의 정책을 시행하는 컴퓨터 판독가능 명령들을 갖는 메모리 유닛; 및
    상기 컴퓨터 판독가능 명령들을 프로세싱하기 위하여 상기 메모리 유닛에 결합된 프로세서 회로를 포함하는, 모니터링 장치.
  12. 제 11 항에 있어서,
    상기 제 1 및 제 2 인덱스의 상기 비교의 결과가 비교 일치인 때에 상기 통신 세션의 상기 데이터 패킷으로 하여금 통과하도록 하는 컴퓨터 판독가능 명령들 및 상기 제 1 및 제 2 인덱스의 상기 비교의 결과가 비교 불일치인 때에 상기 통신 세션의 상기 데이터 패킷의 통과를 거절하는 수단을 더 포함하는, 모니터링 장치.
  13. 제 11 항에 있어서,
    상기 제 1 시그널링 메시지는 상기 통신 세션에 대한 요구 메시지이고, 상기 제 2 시그널링 메시지는 상기 요구 메시지에 대한 응답 메시지인, 모니터링 장치.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 노드를 포함하는 통신 시스템에서 모니터링 중개기를 통한, 암호화 데이터 패킷을 갖는 통신 세션을 모니터링하는 장치로서,
    상기 통신 시스템은 IP (Internet Protocol) 에 의해 지원되고,
    SIP INVITE 메시지 및 SIP 200 OK 메시지로 구성된 그룹으로부터 선택된 시그널링 메시지에 SA (보안 연관 ; Security Association) 를 식별하는 SPI (보안 매개 변수 인덱스 ; Security Parameter Index) 를 포함시키는 수단; 및
    상기 모니터링 중개기로 하여금 패킷 데이터 모니터링을 위한 상기 SPI 를 사용하도록 하기 위해 상기 모니터링 중개기를 통하여 상기 SPI 를 갖는 상기 시그널링 메시지를 상기 노드로 송신하는 수단을 포함하는, 모니터링 장치.
  19. 삭제
  20. 삭제
  21. 삭제
  22. 노드를 포함하는 통신 시스템에서 모니터링 중개기를 통한, 암호화 데이터 패킷을 갖는 통신 세션을 모니터링하는 장치로서,
    상기 통신 시스템은 IP (Internet Protocol) 에 의해서 지원되고,
    SA (보안 연관 ; Security Association) 를 식별하는 SPI (보안 매개변수 인덱스 ; Security Parameter Index) 를 SIP INVITE 메시지 및 SIP 200 OK 메시지로 구성된 그룹으로부터 선택된 시그널링 메시지에 포함시키며, 상기 모니터링 중개기로 하여금 패킷 데이터 모니터링을 위해 상기 SPI 를 사용하도록 하기 위해 상기 모니터링 중개기를 통하여 상기 SPI 를 갖는 상기 시그널링 메시지를 상기 노드로 송신하기 위한 컴퓨터 판독가능 명령들을 갖는 메모리 유닛; 및
    상기 컴퓨터 판독가능 명령들을 프로세싱하기 위하여 상기 메모리 유닛에 결합된 프로세서 회로를 포함하는, 모니터링 장치.
  23. 통신 세션을 모니터링하는 컴퓨터-판독가능 명령들을 포함하는 프로그램을 저장한 컴퓨터-판독가능 매체로서,
    상기 컴퓨터-판독가능 명령들은,
    시그널링 메시지로부터 복호화 프로세스를 식별하는 제 1 인덱스를 수신하고,
    상기 통신 세션의 데이터 패킷으로부터 제 2 인덱스를 수신하며,
    상기 제 1 및 제 2 인덱스의 비교를 포함함으로써 상기 통신 세션에 일 세트의 정책을 시행하는, 컴퓨터-판독가능 매체.
KR1020087026709A 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어 KR100948524B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US58866404P 2004-07-15 2004-07-15
US60/588,664 2004-07-15
US11/180,131 US8042170B2 (en) 2004-07-15 2005-07-12 Bearer control of encrypted data flows in packet data communications
US11/180,131 2005-07-12

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020077003501A Division KR100899960B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020097022378A Division KR100996405B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어

Publications (2)

Publication Number Publication Date
KR20080113092A KR20080113092A (ko) 2008-12-26
KR100948524B1 true KR100948524B1 (ko) 2010-03-23

Family

ID=35169843

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020077003501A KR100899960B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어
KR1020097022378A KR100996405B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어
KR1020087026709A KR100948524B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020077003501A KR100899960B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어
KR1020097022378A KR100996405B1 (ko) 2004-07-15 2005-07-14 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어

Country Status (8)

Country Link
US (1) US8042170B2 (ko)
EP (1) EP1766496B1 (ko)
JP (2) JP5112864B2 (ko)
KR (3) KR100899960B1 (ko)
BR (1) BRPI0513342A (ko)
CA (1) CA2573917A1 (ko)
MX (1) MX2007000588A (ko)
WO (1) WO2006020014A1 (ko)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8265060B2 (en) 2004-07-15 2012-09-11 Qualcomm, Incorporated Packet data filtering
US8042170B2 (en) 2004-07-15 2011-10-18 Qualcomm Incorporated Bearer control of encrypted data flows in packet data communications
US20070067387A1 (en) * 2005-09-19 2007-03-22 Cisco Technology, Inc. Conferencing system and method for temporary blocking / restoring of individual participants
US8635450B2 (en) * 2005-12-28 2014-01-21 Intel Corporation IP encapsulation with exposed classifiers
KR100738567B1 (ko) * 2006-02-01 2007-07-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
KR100656481B1 (ko) * 2006-02-03 2006-12-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
JP4864797B2 (ja) 2006-09-11 2012-02-01 Kddi株式会社 P−cscf高速ハンドオフシステム及びp−cscf高速ハンドオフ方法
JP4866802B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 セキュリティ最適化システムおよびセキュリティ最適化方法
US7899161B2 (en) 2006-10-11 2011-03-01 Cisco Technology, Inc. Voicemail messaging with dynamic content
US20080109517A1 (en) * 2006-11-08 2008-05-08 Cisco Technology, Inc. Scheduling a conference in situations where a particular invitee is unavailable
US8116236B2 (en) * 2007-01-04 2012-02-14 Cisco Technology, Inc. Audio conferencing utilizing packets with unencrypted power level information
US7720919B2 (en) * 2007-02-27 2010-05-18 Cisco Technology, Inc. Automatic restriction of reply emails
US8706091B2 (en) * 2007-03-23 2014-04-22 Cisco Technology, Inc. Attachment of rich content to a unified message left as a voicemail
KR101409456B1 (ko) * 2007-06-12 2014-06-24 삼성전자주식회사 IP converged 시스템에서의 패킷 처리 방법 및그 시스템
US8620654B2 (en) * 2007-07-20 2013-12-31 Cisco Technology, Inc. Text oriented, user-friendly editing of a voicemail message
US20090063747A1 (en) * 2007-08-28 2009-03-05 Rohati Systems, Inc. Application network appliances with inter-module communications using a universal serial bus
CN101505296A (zh) * 2008-02-05 2009-08-12 华为技术有限公司 隧道业务数据流的控制方法和装置
US8270404B2 (en) * 2008-02-13 2012-09-18 International Business Machines Corporation System, method, and computer program product for improved distribution of data
US20090300207A1 (en) * 2008-06-02 2009-12-03 Qualcomm Incorporated Pcc enhancements for ciphering support
US10116493B2 (en) 2014-11-21 2018-10-30 Cisco Technology, Inc. Recovering from virtual port channel peer failure
KR102240727B1 (ko) * 2015-01-28 2021-04-15 삼성전자주식회사 통신 시스템에서 보안 연계를 설정하기 위한 장치 및 방법
US10333828B2 (en) 2016-05-31 2019-06-25 Cisco Technology, Inc. Bidirectional multicasting over virtual port channel
US11509501B2 (en) * 2016-07-20 2022-11-22 Cisco Technology, Inc. Automatic port verification and policy application for rogue devices
US10193750B2 (en) 2016-09-07 2019-01-29 Cisco Technology, Inc. Managing virtual port channel switch peers from software-defined network controller
US10367752B2 (en) * 2016-11-18 2019-07-30 International Business Machines Corporation Data packet management in a memory constrained environment
US10547509B2 (en) 2017-06-19 2020-01-28 Cisco Technology, Inc. Validation of a virtual port channel (VPC) endpoint in the network fabric
EP3422657A1 (de) * 2017-06-26 2019-01-02 Siemens Aktiengesellschaft Verfahren und sicherheits-steuerungseinrichtungen zum senden und empfangen kryptographisch geschützter netzwerkpakete

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030018908A1 (en) * 2001-07-23 2003-01-23 Mercer Chad W. Method for establishing a security association between two or more computers communicating via an interconnected computer network
WO2003085904A1 (en) * 2002-04-09 2003-10-16 Nokia Corporation Transfer of packet data to wireless terminal

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5081678A (en) * 1989-06-28 1992-01-14 Digital Equipment Corporation Method for utilizing an encrypted key as a key identifier in a data packet in a computer network
JP3597756B2 (ja) * 2000-06-09 2004-12-08 日本電信電話株式会社 ネットワークアドレス変換装置およびvpnクライアント多重化システム
GB2371186A (en) 2001-01-11 2002-07-17 Marconi Comm Ltd Checking packets
KR100510434B1 (ko) 2001-04-09 2005-08-26 니폰덴신뎅와 가부시키가이샤 Ofdm신호전달 시스템, ofdm신호 송신장치 및ofdm신호 수신장치
DE10142959A1 (de) * 2001-09-03 2003-04-03 Siemens Ag Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
US7580424B2 (en) * 2001-09-25 2009-08-25 Hughes Network System, Llc System and method for providing real-time and non-real-time services over a communications system
US20030097584A1 (en) * 2001-11-20 2003-05-22 Nokia Corporation SIP-level confidentiality protection
US7277455B2 (en) * 2002-06-10 2007-10-02 Qualcomm Incorporated Packet flow processing in a communication system
CN1675909B (zh) 2002-06-10 2011-01-26 高通股份有限公司 通信系统中的分组流处理
US7120930B2 (en) * 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
AU2003240506A1 (en) * 2002-06-13 2003-12-31 Nvidia Corporation Method and apparatus for enhanced security for communication over a network
US20040109459A1 (en) * 2002-07-25 2004-06-10 Lila Madour Packet filter provisioning to a packet data access node
US7562393B2 (en) * 2002-10-21 2009-07-14 Alcatel-Lucent Usa Inc. Mobility access gateway
GB0226289D0 (en) 2002-11-11 2002-12-18 Orange Personal Comm Serv Ltd Telecommunications
JP2004180155A (ja) 2002-11-28 2004-06-24 Ntt Docomo Inc 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法
US7539186B2 (en) * 2003-03-31 2009-05-26 Motorola, Inc. Packet filtering for emergency service access in a packet data network communication system
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
JP3944182B2 (ja) * 2004-03-31 2007-07-11 キヤノン株式会社 セキュリティ通信方法
US8042170B2 (en) 2004-07-15 2011-10-18 Qualcomm Incorporated Bearer control of encrypted data flows in packet data communications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030018908A1 (en) * 2001-07-23 2003-01-23 Mercer Chad W. Method for establishing a security association between two or more computers communicating via an interconnected computer network
WO2003085904A1 (en) * 2002-04-09 2003-10-16 Nokia Corporation Transfer of packet data to wireless terminal

Also Published As

Publication number Publication date
US20060078120A1 (en) 2006-04-13
KR20070030328A (ko) 2007-03-15
JP2011091833A (ja) 2011-05-06
KR20090125842A (ko) 2009-12-07
WO2006020014A1 (en) 2006-02-23
JP2008507209A (ja) 2008-03-06
KR100996405B1 (ko) 2010-11-24
KR100899960B1 (ko) 2009-05-28
EP1766496A1 (en) 2007-03-28
JP5112864B2 (ja) 2013-01-09
US8042170B2 (en) 2011-10-18
CA2573917A1 (en) 2006-02-23
KR20080113092A (ko) 2008-12-26
BRPI0513342A (pt) 2008-05-06
MX2007000588A (es) 2007-03-30
EP1766496B1 (en) 2012-05-30

Similar Documents

Publication Publication Date Title
KR100948524B1 (ko) 패킷 데이터 통신에서 암호화된 데이터 흐름의 베어러 제어
KR100904168B1 (ko) 패킷 데이터 필터링
US7554949B2 (en) Filtering data packets at a network gateway working as a service-based policy (sblp) enforcement point
JP4511529B2 (ja) 電気通信システム及び方法
KR100896620B1 (ko) 함께 배치된 임시 주소를 이용한 멀티미디어 통신
US20060294363A1 (en) System and method for tunnel management over a 3G-WLAN interworking system
US20050165917A1 (en) Method to support mobile IP mobility in 3GPP networks with SIP established communications
US20070287417A1 (en) Mobile Network Security System
US20100299446A1 (en) Method and apparatus for controlling service data flows transmitted in a tunnel
TWI378694B (en) Bearer control of encrypted data flows in packet data communications
KR100403953B1 (ko) 무선통신 시스템에서의 망요소 통합을 위한 제어 관리 방법
KR20020061826A (ko) 통신시스템에서의 망요소 통합을 위한 제어 관리 방법
US8554178B1 (en) Methods and systems for efficient deployment of communication filters
WG et al. Internet-Draft Kudelski Security Intended status: Informational S. Gundavelli, Ed. Expires: September 14, 2016 Cisco March 13, 2016
Makaya Mobile Virtual Private Networks Architectures: Issues and Challenges

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
A107 Divisional application of patent
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130227

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140227

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150227

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20151230

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161229

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 10