KR101097389B1 - 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법 - Google Patents

멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법 Download PDF

Info

Publication number
KR101097389B1
KR101097389B1 KR1020090094648A KR20090094648A KR101097389B1 KR 101097389 B1 KR101097389 B1 KR 101097389B1 KR 1020090094648 A KR1020090094648 A KR 1020090094648A KR 20090094648 A KR20090094648 A KR 20090094648A KR 101097389 B1 KR101097389 B1 KR 101097389B1
Authority
KR
South Korea
Prior art keywords
mobile node
router
routers
packet
nics
Prior art date
Application number
KR1020090094648A
Other languages
English (en)
Other versions
KR20110037273A (ko
Inventor
박종태
천승만
Original Assignee
경북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경북대학교 산학협력단 filed Critical 경북대학교 산학협력단
Priority to KR1020090094648A priority Critical patent/KR101097389B1/ko
Publication of KR20110037273A publication Critical patent/KR20110037273A/ko
Application granted granted Critical
Publication of KR101097389B1 publication Critical patent/KR101097389B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

멀티 NIC 이동 노드를 포함하는 네트워크 시스템 및 보안 방법이 제공된다. 본 발명에 의한 멀티 NIC(Network Interface Card) 이동 노드를 포함하는 네트워크 시스템의 보안 방법은 서로 상이한 AP(Access Point)에 접속하는 둘 이상의 이동 노드 NIC(Network Interface Card)들과 상기 AP들의 관할 라우터들 간에 맺은 보안 연관(Security Association)에 기초하여 해석 될 수 있는 IPsec(IP security) 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 단계 및 대응 노드에 의해 송신 된 IP 패킷을 상기 관할 라우터들에 분산하여 전달하고, 상기 이동 노드에 의해 상기 관할 라우터들을 통해 분산되어 송신된 IP 패킷을 취합하여 상기 대응 노드에 전달하는 분산 라우터와 상기 관할 라우터 간에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 관할 라우터 간에 송수신 하는 단계를 포함한다.
WiFi, 무선랜, 보안, IPsec, SA

Description

멀티 NIC이동 노드를 포함하는 네트워크 시스템 및 보안 방법{Network system including multi network interface card equipped mobile node and security method thereof}
본 발명은 멀티 NIC 이동 노드를 포함하는 네트워크 시스템 및 보안 방법에 관한 것이다. 더욱더 자세하게는, 모바일 IP 기술과 관련된 이동성 관리방법 중 복수 개의 네트워크 인터페이스 카드를 이용하여 병렬적으로 통신 세션을 생성하여 서비스 품질(QoS)을 보장하는 병렬 이동성 관리 방법에 적용되는 보안 방법 및 시스템에 관한 것이다.
이동성 관리(Mobility management)는 GSM, CDMA 등과 같은 이동통신 네트워크에서 이동 노드의 통신 기능을 가능하게 하는 주요 기능 중 하나이다. 이동성 관리의 목적은 가입 단말이 이동통신 망의 어느 위치에 있는지 지속적으로 관리하여 음성통화, 단문 메시지(SMS), 또는 다른 이동 통신 서비스 기능이 단말까지 전달될 수 있도록 하는 것이다. 상기 이동성 관리 기술을 IP 통신 기술에 접목시킨 것이 모바일 IP(Mobile IP) 기술이다
기존의 IP 구조에서는 두 노드간의 통신 중에 하나의 노드가 이동하게 되면 네트워크가 변경이 되어 IP주소가 바뀌게 된다. 이때 이동한 노드간의 통신을 중단시켜야 하며, 새로운 주소를 받은 후 재 부팅하는 과정을 수행해야 하고 재부팅 하는 과정으로 인해 통신이 끊어지게 된다. 다시 말해 기존 네트워크 도메인 내부에서 통신중인 이동 노드가 이동할 경우 범위 내에서 움직이므로 통신을 계속 이어질 수 있지만, 네트워크 도메인 영역을 벗어나게 되면 범위가 닿지 않으므로 이동 노드간의 통신이 지원하지 못하게 된다. 이동 노드의 이동성을 보장하지 못하게 되면 이동 노드는 통신을 하기 위해 새로운 통신 경로를 검색할 것이다. 이 과정을 통해 노드는 새로운 IP 주소를 얻을 수 있게 되지만 통신이 단절된 시각부터 새롭게 네트워크를 구성하는 과정 사이에는 노드간의 통신이 수초 간 단절되는 문제점을 안고 있다. 모바일 IP 기술은 네트워크에 포함된 노드에 네트워크 도메인 간 이동성을 부여할 수 있도록 끊김 없는 통신 서비스를 제공하는 것을 목표로 한다.
한편, Mobile IP 기술을 적용하여 이동 노드에 이동성을 제공하더라도, 전파의 세기는 거리에 반비례하여 감소하기 때문에 WiFi 및 WiMAX 시스템에서 이동 노드가 액세스 포인트(Access Point; AP)에서 멀어질수록 대역폭(즉 데이터 전송률)도 감소하게 되는 문제점이 있다. 즉, 이동 노드가 이동 중에도 다양한 유비쿼터스 응용에 필요한 보장된 서비스 품질(Quality of Service; QoS)을 제공 받기 위해서는 이러한 거리에 따른 데이터 전송률의 감소문제와 더불어 이동 노드가 고속으로 여러 셀을 이동 할 때 발생할 수 있는 핸드오버 시간지연(latency time) 및 패킷손실(packet loss) 문제가 해결되어야 서비스 품질이 보장되는 완전한 이동성을 제공할 수 있을 것이다.
이동성 및 서비스 품질이 보장되는 IP 네트워크를 제공하기 위하여 복수개의 네트워크 인터페이스를 가지는 이동 노드를 이용해 복수개의 AP(Access Point) 혹은 AR(Access Router)와 복수의 통신 채널을 확보하는 방안을 고려할 수 있을 것이다.
그런데, 무선 통신의 경우, 유선 통신과 달리 보안에 취약하여 데이터의 훼손 및 해킹의 가능성이 크나, 상기 복수의 네트워크 인터페이스를 가지는 이동 노드를 포함하는 네트워크 시스템에 대한 보안 기술은 존재하지 않는 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로서, 둘 이상의 NIC(Network Interface Card)를 구비한 이동 노드가 복수의 통신 채널을 확보하여 서비스 품질(Quality of Service)를 보장하는 네트워크에 대하여, 상기 이동 노드가 송수신하는 데이터의 무결성, 신뢰성 및 인증을 보장하기 위한 보안 방법 및 상기 보안 방법이 적용된 시스템을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해 될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 일 태양에 따른 멀티 NIC(Network Interface Card) 이동 노드를 포함하는 네트워크 시스템의 보안 방법은 서로 상이한 AP(Access Point)에 접속하는 둘 이상의 이동 노드 NIC(Network Interface Card)들과 상기 AP들의 관할 라우터들 간에 맺은 보안 연관(Security Association)에 기초하여 해석 될 수 있는 IPsec(IP security) 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 단계 및 대응 노드에 의해 송신 된 IP 패킷을 상기 관할 라우터들에 분산하여 전달하고, 상기 이동 노드에 의해 상기 관할 라우터들을 통해 분산되어 송신된 IP 패킷을 취 합하여 상기 대응 노드에 전달하는 분산 라우터와 상기 관할 라우터 간에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 관할 라우터 간에 송수신 하는 단계를 포함한다.
상기 기술적 과제를 달성하기 위한 본 발명의 다른 태양에 따른 네트워크 시스템은 서로 상이한 AP(Access Point)에 접속하는 이동 노드 NIC(Network Interface Card)들과 상기 AP들의 관할 라우터들 간에 맺은 보안 연관(Security Association)에 기초하여 해석 될 수 있는 IPsec(IP security) 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 둘 이상의 이동 노드 NIC를 구비하는 이동 노드 및 대응 노드에 의해 송신 된 IP 패킷을 상기 관할 라우터들에 분산하여 전달하고, 상기 이동 노드에 의해 상기 관할 라우터들을 통해 분산되어 송신된 IP 패킷을 취합하여 상기 대응 노드에 전달하되, 상기 관할 라우터와의 사이에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 관할 라우터와의 사이에 송수신 하는 분산 라우터를 포함한다.
상기와 같은 본 발명에 따르면, 둘 이상의 NIC(Network Interface Card)를 구비한 이동 노드가 복수의 통신 채널을 확보하여 서비스 품질(Quality of Service)를 보장하는 네트워크에 대하여, 상기 이동 노드가 송수신하는 데이터의 무결성, 신뢰성 및 인증을 보장할 수 있는 효과가 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
먼저, 이하 사용되는 몇 가지 용어를 정의한다.
'HoA'는 Home Address의 줄임말으로, 이동 노드가 최초 홈 네트워크에 접속할 때 할당 받은 IP 주소를 의미한다.
'CoA'는 Care of Address의 줄임말으로, 이동 노드가 홈 네트워크에서 외부 네트워크(Foreign Network)로 이동할 때, 상기 외부 네트워크에서 사용할 수 있도록 할당 받은 IP 주소를 의미한다.
'대응 노드(Correspondence Node)'는 상기 이동 노드와 데이터를 송수신하는 호스트(host)를 의미한다.
'홈 에이전트(Home Agent; HA)'는 상기 대응 노드로부터 상기 HoA를 목적지 주소로 하여 수신된 IP 패킷을 대신 수신하여 상기 이동 노드가 현재 접속된 상기 외부 네트워크에 전달해주는 역할을 하는 장치이다.
이하, 본 발명의 실시예들에 의하여 멀티 NIC 이동 노드를 포함하는 네트워 크 시스템 및 보안 방법을 설명하기 위한 블록도 또는 처리 흐름도에 대한 도면들을 참고하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재 되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
먼저, 둘 이상의 NIC(Network Interface Card)를 구비한 이동 노드의 이동성(mobility) 관리 구조를 도 1을 참조하여 설명하기로 한다. 상기 NIC는 예를 들어 IEEE(Institute of Electrical and Electronics Engineers) 802.11 무선랜(Wireless LAN; WLAN) 표준에 기반한 것일 수 있다.
도 1에 도시된 '인터페이스'는 NIC를 의미할 수 있으며, 상기 NIC는 동일한 네트워크 인터페이스를 지원하는 것일 수 있다. 또한, NIC는 OSI 모델(Open Systems Interconnection Reference Model)의 제 1 계층인 물리 레이어 및 제 2계층인 데이터 링크 레이어의 프로토콜 처리를 담당할 수 있다.
또한, 도 1에 도시된 '2계층 이동성관리' 및 '3계층 이동성관리'는 각각 OSI 모델의 제 2 계층 및 제 3 계층에 해당하는 프로토콜에 대한 핸드오버 처리 등의 이동성관리를 뜻한다. 이동 노드가 고속으로 이동 시에도 보장된 서비스 품질을 제공하고 핸드오버로 인한 시간지연 및 패킷손실을 방지하기 위하여 이동 노드는 확장 가능한 다수의 동일한 인터페이스와 연계된 2계층 이동성관리 시스템 및 3계층 이동성관리 시스템으로 구성되어 있다.
IEEE 802.21 WG(Working Group)에서 제시한 MIH(Media Independent Handover)는 상기 2계층 이동성관리와 상기 3계층 이동성관리의 동 기(Synchronization)를 위해 인터페이스이다. MIH 외에 비슷한 기능을 가진 전용(Proprietary) 인터페이스도 사용될 수 있음을 유의하여야 한다. 상기 3계층 이동성관리 시스템은 명령서비스를 사용하여 상기 2계층 이동성관리 시스템에 핸드오버 실행 등을 지시할 수 있고, 상기 2계층 이동성관리 시스템은 이벤트 서비스를 사용하여 수신 전파세기의 감소에 따른 2계층 핸드오버의 시급성 등을 상기 3계층 이동성관리 시스템에 통보할 수 있다.
상기 이동 노드는 이동 중에 다수의 인터페이스를 사용하여 인근 액세스 포인트 들로부터의 이동성 패턴을 파악할 수 있다. 이동성 패턴은 액세스 포인트의 위치나, 이동단말기의 이동 속도, 인접 액세스 포인트들로부터의 전파세기나 관련 데이터 전송률 등을 종합적으로 수집하고 판단하여 파악된다. 이러한 정보 수집은 단일 네트워크 인터페이스로 수행하는 것은 매우 어려우므로 도 1에 도시된 바와 같이 다수의 인터페이스를 사용하는 것이 바람직하다. 또한 이동 노드는 다수의 인터페이스를 사용하여 이동 노드가 기존에 연결된 액세스 포인트로부터 멀어질 경우 발생할 수 있는 가용 데이터 대역폭의 감소를 보충하기 위해 현재 연결된 인터페이스 외에 다른 인터페이스를 사용하여 부근의 다른 액세스 포인트들에 연결을 시도하여 패킷을 병렬로 전송 받음으로써 데이터 대역폭을 증가 시킬 수 있다. 그리고 핸드오버가 필요한 경우 기존에 연결된 NAR(Next Access Router)/NAP(Next Access Point)중에서 적절한 것을 선택하여 핸드오버 시간 지연이나 패킷 손실 없이 고속의 이동성관리 기능을 수행할 수 있다.
이하, 도 1에 도시된 이동성관리 구조를 포함하는 이동 노드에 통신 서비스 를 제공하는 네트워크를 도 2를 참조하여 설명하기로 한다. 도 2는 본 발명의 일 실시예에 따른 둘 이상의 NIC를 구비한 이동 노드를 포함하는 시스템의 구성도이다. 도 2에 도시된 모바일 IP 기술의 바인딩(binding) 기술과 관련된 표현 중, 순방향 바인딩은 대응 노드(Correspondent Node; CN)로부터 이동 노드로 전송 되는 패킷을 위한 IP 주소의 매칭을 의미하고, 역방향 바인딩은 상기 순방향 바인딩과 반대 방향, 즉, 이동 노드로부터 상기 대응 노드로 전송되는 패킷을 위한 IP 주소의 매칭을 의미한다.
도 2는 이동 노드(212)가 4개의 인터페이스(2121, 2122, 2123, 2124)를 통하여 대응 노드(200)와의 사이에 IP 패킷을 분산 라우터(204) 또는 액세스 라우터(206, 208, 210)을 통하여 병렬로 송수신하는 동작을 도시한다.
홈 에이전트(202)는 대응 노드(200)로부터 수신자 주소가 이동 노드(212)의 HoA로 설정 된 IP 패킷들을 대신 수신한다.
홈 에이전트(202)는 터널링 입구가 자신의 IP 주소(HA_Addr)로 설정 되고, 터널링 출구는 분산 라우터(204)의 IP 주소로 설정된 터널링 IP 헤더를 상기 수신된 IP 패킷에 부가한 터널링 패킷을 생성함으로써 순방향 터널을 구축하여 분산 라우터(204)에 상기 터널링 패킷을 송신한다. 즉, 모바일 IP 표준 방식에 따르면, 상기 홈 에이전트(202)와 분산 라우터(204) 간의 터널링 동작은 홈 에이전트(202)에 UDP(User Datagram Protocol) 434 포트로 모바일 IP 등록 패킷을 송신하여, 홈 에이전트(202)에 저장된 모바일 IP 등록 테이블에 이동 노드(212)의 HoA와 분산 라우터(204)의 IP 주소를 매칭함으로써 수행될 수 있을 것이다. 상기 모바일 IP 등록 테이블은 도 2에 '순방향 바인딩(HoA, DAR_Addr)'로 도시되어 있다. 홈 에이전트(202)는 홈 에이전트(202)가 포함된 홈 네트워크의 게이트웨이 또는 라우터로 구성될 수 있다.
분산 라우터(204)는 홈 에이전트(202)로부터 수신된 상기 터널링 패킷을 탈캡슐화(De-Capsulation)하여 오리지널 IP 헤더에 포함된 수신자 주소를 확인한 뒤 그 주소가 HoA인 패킷들을 병렬 분산 바인딩 캐쉬 내의 내용을 참조하여 AR1(206), AR2(208), AR3(210)로 구축된 순방향 터널로 분산하여 병렬로 동시에 전달할 수 있다. 보다 자세하게는, 분산 라우터(204)는 터널링 입구가 자신의 IP 주소(DAR_Addr)로 설정 되고, 터널링 출구는 각각의 액세스 라우터(206, 208, 210)의 IP 주소로 설정된 터널링 IP 헤더를 상기 탈캡슐화 되어 추출된 오리지널 IP 패킷에 부가한 터널링 패킷을 생성함으로써 순방향 터널을 구축하여 상기 터널링 패킷을 송신할 수 있다.
분산 라우터(204)는 AP의 기능을 포함한 액세스 라우터(Access Router)로 구성될 수 있다. 도 2에 분산 라우터(204)의 약자로 도시된 'DAR'은 Distribution Access Router를 의미한다. 이 경우, 분산 라우터(204)는 라우터를 거치지 않고 곧바로 이동 노드(212)의 NIC에 할당된 IP 주소(CoA4)로 상기 탈캡슐화 되어 추출된 오리지널 IP 패킷 중 일부를 분산하여 전달할 수 있다.
분산 라우터(204)는 AR1(206), AR2(208), AR3(210)와 사이에 구축된 터널의 현재 트래픽 부하(load)를 고려하여 홈 에이전트(202)로부터 수신된 패킷을 분산할 수 있다. AR1(206), AR2(208) 및 AR3(210)는 AP의 기능을 포함한 액세스 라우터로 구성될 수도 있으나, AP의 기능을 포함하지 않은 라우터로 구성되는 경우, 별도로 존재하는 AP를 통하여 이동 노드(212)의 각 NIC와 통신할 수도 있음을 유의해야 한다.
AR1(206), AR2(208) 혹은 AR3(210)이 분산 라우터(204)로부터 수신한 상기 터널링 패킷들은 탈캡슐화 과정을 거친 뒤, 도 2에서 도시된 순방향 바인딩 테이블의 엔트리를 참조하여 이동 노드(212)의 연결된 NIC(2121, 2122, 2123, 2124)에 상기 탈캡슐화 되어 추출된 오리지널 IP 패킷을 전달한다.
이동노드의 각 NIC(2121, 2122, 2123, 2124)는 각각 CoA1, CoA2, CoA3, CoA4를 수신자 주소로 하여 수신된 패킷들을 모아서 상위 전송계층(Transport Layer)로 전달한다. 상기 전송계층은 OSI 모델의 3번째 계층인 전송계층을 의미할 수 있다.
상기 병렬분산 패킷전송은 동시 바인딩(Simultaneous Binding)을 사용한 멀티캐스트 전송과는 달리 액세스 라우터에 입력된 다수의 패킷들에 대해 개개의 패킷이 각각 다른 출력 채널로 부하(Load)를 분산하여 동시에 전송함으로써 이동노드에게 유효대역폭을 증가시키는 효과가 있다.
이동 노드(212)는 대응 노드(200)로 IP 패킷을 전송하는 경우, 먼저 상부 전송계층(transport layer)에서 받은 패킷들을 NIC(2121, 2122, 2123, 2124)의 CoA IP 주소로 병렬 분산하여 해당 목적지로 동시에 송신한다. 도 2의 경우 이동 노드는 대응 노드(200)로 패킷을 전송할 때 발신지 주소를 각 NIC(2121, 2122, 2123, 2124)의 CoA IP 주소로 하여 분산하여 분산 라우터(204)에 송신한다.
예를 들어, 일부 패킷은 NIC2(2122)가 접속된 AR2(208)를 통해 대응 노드(200)에 송신 될 수 있다. NIC2(2122)는 AR2(208)를 향해 생성된 역방향 터널을 이용하여 AR2(208)를 통해 IP 패킷을 대응 노드(200)에 송신할 수도 있다. 상기 역방향 터널을 이용하는 경우, NIC2(2122)는 송신자 주소를 이동 노드(212)의 HoA로 설정하고, 수신자 주소를 대응 노드(200)의 IP 주소로 설정한 오리지널 IP 패킷에 터널링 용 외부 IP 헤더를 부가한 IP 패킷을 송신할 수도 있다.
AR2(208)는 NIC2(2122)로부터 수신된 IP 패킷의 수신자가 이동 노드(200)의 IP 주소인 경우, 도 2에 도시된 역방향 바인딩 테이블을 참조하여 터널링 입구가 자신의 IP 주소(AR2_Addr)로 설정 되고, 터널링 출구는 분산 라우터(204)의 IP 주소(DAR_Addr)로 설정된 터널링 IP 헤더를 상기 NIC2(2122)로부터 수신된 IP 패킷에 부가한 터널링 패킷을 생성함으로써 역방향 터널을 구축하여 상기 NIC2(2122)로부터 수신된 IP 패킷을 분산 라우터(204)에 송신할 수 있다. 다음으로, 분산 라우터(204)는 상기 터널링 패킷을 AR2(208)로부터 수신하여 오리지널 IP 패킷의 수신자 주소를 탈캡슐화 과정을 통하여 확인한 뒤, 오리지널 IP 패킷의 수신자 주소가 대응 노드(200)의 IP 주소이므로, 도 2에 도시된 분산 라우터(204)의 역방향 바인딩 테이블을 확인하여, 터널 출구인 홈 에이전트(202)에 역방향 터널을 구축하여 상기 NIC2(2122)로부터 수신된 IP 패킷을 분산 라우터(204)에 송신할 수 있다. 마지막으로 홈 에이전트(202)는 분산 라우터(204)로부터 수신된 상기 터널링 패킷을 탈캡슐화 하여 추출된 오리지널 IP 패킷을 일반 라우팅 방법을 이용하여 대응 노드(200)에 전달한다.
도 2에 도시된 방식으로 이동 노드(212)가 대응 노드(200)와 IP 패킷을 송수신 하는 경우, 이동 노드(212)가 송수신하는 데이터의 무결성, 신뢰성 및 인증을 보장하기 위한 보안 방법이 적용된 네트워크 시스템의 동작에 대하여 도 3을 참조하여 설명하기로 한다.
도 3에 도시된 바와 같이, 홈 에이전트(202)와 분산 라우터(204) 간, 분산 라우터(204)와 AR1(206), AR2(208), AR3(210) 간에는 IPsec 프로토콜의 터널 모드가 적용된 IP 패킷이 송수신 되고, AR1(206), AR2(208), AR3(210)와 이동 노드(212) 간에는 IPsec 프로토콜의 전송 모드가 적용된 IP 패킷이 송수신 됨을 알 수 있다. AR1(206), AR2(208), AR3(210)은 AP 기능을 구비하는 액세스 라우터로 구성될 수도 있으나, AP 기능은 연결된 별도의 AP 장치를 이용하여 구비할 수도 있으므로, 이하 이해의 편의를 위하여 AP 관할 라우터로 지칭하기로 한다.
이동 노드(212)는 서로 상이한 AP(Access Point)에 접속하는 이동 노드 NIC(2121, 2122, 2123)들과 상기 AP들의 관할 라우터(206, 208, 210)들 간에 맺은 보안 연관(Security Association)에 기초하여 해석 될 수 있는 IPsec(IP security) 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 둘 이상의 이동 노드 NIC를 구비한다.
이동 노드 NIC(2121, 2122, 2123, 2124)는 이동 노드에 구비된 통신 인터페이스로, 무선 통신 인터페이스인 것이 바람직하다. 이동 노드(212)는 동일한 무선 통신 인터페이스를 지원하는 NIC를 둘 이상 구비하는 것이 바람직하다. 이동 노드 NIC(2121, 2122, 2123, 2124)는 예를 들어 IEEE 802.11 표준에 기반한 무선 랜을 지원하는 것일 수 있다.
이동 노드 NIC(2121, 2122, 2123, 2124)는 각각 서로 상이한 AP에 접속하는 것이 바람직하다. 하나의 AP가 제공할 수 있는 트래픽 대역폭은 한계가 있으므로, 이동 노드(212)에 구비된 이동 노드 NIC(2121, 2122, 2123, 2124)가 서로 다른 AP에 접속함으로써, 이동 노드(212)는 충분한 대역폭을 확보할 수 있다. 이동 노드(212)가 이동하게 됨으로써, 이동 노드 NIC(2121, 2122, 2123, 2124)가 각각 접속한 AP 중 적어도 하나의 셀에서 이탈하게 되는 경우라도, 다른 AP와는 접속을 유지하게 될 수 있어, 핸드오버 시 발생할 수 있는 지연 시간(handover latency)를 최소하여 실시간 서비스의 제공이 필요한 응용 서비스, 예를 들어, VoIP(Voice over IP) 서비스의 제공에 필요한 이동성을 제공할 수 있는 효과가 있다.
도 4에 도시된 바와 같이, 상기 관할 라우터는 상기 AP의 역할 또한 수행하는 무선 라우터일 수 있다. 상기 관할 라우터 뿐만 아니라, 분산 라우터(204) 역시 무선 라우터일 수 있다. 상기 무선 라우터는 액세스 라우터로도 지칭될 수 있음을 유의해야 한다. 도 3은 이동 노드 NIC(2121, 2122, 2123)가 AP를 통해 AP 관할 라우터(206, 208, 210)에 연결 되는 경우를 상정하고 있으나, 도 4에 도시된 바와 같이 이동 노드 NIC(2121, 2122, 2123)가 액세스 라우터(206, 208, 210)에 접속할 수도 있음을 유의해야 한다. 액세스 라우터(206, 208, 210)는 라우팅 기능을 구비하고 있어, 분산 라우터(204)와 이동 노드 NIC(2121, 2122, 2123) 간에 송수신 되는 패킷을 중계할 수 있다.
이동 노드의 각 NIC(2121, 2122, 2123)는 새로운 관할 라우터(206, 208, 210)에 연결하는 경우, 연결되는 관할 라우터(206, 208, 210)와 보안 연관(Security Association)을 맺어야 한다. 상기 보안 연관은 IKE(Internet Key Exchange) 프로토콜에 의해 맺어질 수 있다. 상기 보안 연관은 IKE 프로토콜 중 Oakley 프로토콜, SKEME 프로토콜, ISAKMP 프로토콜 중 적어도 하나를 이용하여 맺어질 수 있다.
하나의 보안 연관은 한 방향의 통신에 대하여만 설정되므로, 양방향의 통신을 위하여는 각각 2개씩의 보안 연관을 맺어야 함을 알 수 있다. 도 3에 도시된 이동 노드(212)는 4개의 NIC를 구비하고 있으므로, 4개의 NIC 모두가 관할 라우터와 연결되어 통신하고자 하는 경우에는 총 8개의 보안 연관을 맺어야 할 것이다.
또한, 도 3 및 도 4에 도시된 바와 같이, 분산 라우터(204)가 무선 라우터인 경우, 분산 라우터(204) 역시 이동 노드의 NIC4(2124)와 무선 통신이 가능하므로, 분산 라우터(204)와 이동 노드의 NIC4(2124)가 연결되는 경우에는 이동 노드의 NIC4(2124)와 분산 라우터(204) 역시 상기 보안 연관을 맺어야 한다.
대응 노드(200)가 이동 노드(212)에 송신하여 관할 라우터(206, 208, 210)를 경유하여 수신 되는 IPsec 패킷은 상기 이동 노드의 각 NIC(2121, 2122, 2123)와 관할 라우터(206, 208, 210)간의 보안 연관을 기초로 하여 해석될 수 있다. 또한, 대응 노드(200)가 이동 노드(212)에 송신하여 분산 라우터(204)를 경유하여 수신 되는 IPsec 패킷은 분산 라우터(204)와 연결된 이동 노드의 NIC(2124)와 분산 라우터(204) 간의 보안 연관을 기초로 하여 해석될 수 있다.
반대로, 이동 노드(212)가 대응 노드(200)에 송신하고자 하는 IP 패킷은 상 기 이동 노드의 각 NIC(2121, 2122, 2123)와 관할 라우터(206, 208, 210)간의 보안 연관을 기초로 하여 해석될 수 있는 IPsec 패킷으로 변환되어 관할 라우터(206, 208, 210)를 통해 대응 노드(200)에 송신될 수 있다. 또한, 무선 라우터 방식의 분산 라우터(204)와 직접 연결된 이동 노드 NIC4(2124)를 통해 분산 라우터(204)를 통해 대응 노드(200)에 송신 되는 IP 패킷은 이동 노드 NIC4(2124)와 분산 라우터(204) 간에 맺어진 상기 보안 연관을 기초로 하여 해석될 수 있는 IPsec 패킷으로 변환되어 분산 라우터(204)를 통해 대응 노드(200)에 송신 될 수 있다.
관할 라우터(206, 208, 210)와 이동 노드 NIC(2121, 2122, 2123) 간에 송수신 되는 상기 IPsec 패킷은 IPsec 프로토콜의 전송 모드인 것이 바람직하나, 터널 모드 역시 적용 될 수 있다. 분산 라우터(204)와 이동 노드 NIC4(2124) 간에 송수신 되는 상기 IPsec 패킷 역시 IPsec 프로토콜의 전송 모드인 것이 바람직하나, 터널 모드 역시 적용될 수 있다. 관할 라우터(206, 208, 210)와 이동 노드 NIC(2121, 2122, 2123) 간에 송수신 되는 상기 IPsec 패킷이 전송 모드인 경우, AH 헤더 및 ESP 헤더 중 적어도 하나가 포함될 수 있다.
분산 라우터(204)는 대응 노드(200)에 의해 송신 된 IP 패킷을 관할 라우터(206, 208, 210)들에 분산하여 전달하고, 이동 노드(212)에 의해 관할 라우터(206, 208, 210)들을 통해 분산되어 송신된 IP 패킷을 취합하여 대응 노드(200)에 전달하되, 관할 라우터(206, 208, 210)와의 사이에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 관할 라우터(206, 208, 210)와의 사이에 송수신 한다.
분산 라우터(204)는 관할 라우터(206, 208, 210)와 보안 연관을 맺는다. 상기 보안 연관 역시 IKE 프로토콜을 통해 맺어질 수 있다. 분산 라우터(204)와 관할 라우터(206, 208, 210)간에 생성된 양방향 터널을 통해 송수신 되는 IPsec 패킷은 분산 라우터(204)와 관할 라우터(206, 208, 210)간에 맺어진 상기 보안 연관에 기초하여 해석될 수 있다. 분산 라우터(204)와 관할 라우터(206, 208, 210)간에 생성된 양방향 터널을 통해 송수신 되는 IPsec 패킷은 터널 모드에 의한 것이 바람직하다.
분산 라우터(204)는 다른 라우터를 통하지 않고 직접 연결된 상기 이동 노드 NIC 중 하나의 이동 노드 NIC4(2124)와의 사이에 맺은 보안 연관에 기초하여 해석될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 이동 노드 NIC4(2124)와의 사이에 송수신 할 수 있다.
분산 라우터(204)는 홈 에이전트(202)와의 사이에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 홈 에이전트(202)와의 사이에 송수신한다.
이하, 본 발명의 다른 실시예에 따른 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법에 대하여 도 5 및 도 6을 참조하여 설명하기로 한다. 도 5 및 도 6에 도시된 이동 노드는 3개의 이동 노드 NIC를 구비한 것으로 가정한다.
먼저, 도 5를 참조하여 이동 노드가 대응 노드에 IP 패킷을 송신하는 동작에 대하여 적용되는 보안 방법에 대하여 설명하기로 한다.
이동 노드는 홈 네트워크에서 사용자 인증을 통과하여 홈 네트워크에 접속 된 후, 접속 된 상태로 이동 하여 외부 네트워크 관할 영역으로 이동한 것으로 가정한다.
이동 노드는 탐지된 AP를 통해 AP 관할 라우터 1, 2 및 분산 라우터에 연결된다. 다음으로, 이동 노드는 관할 라우터 1, 2 및 분산 라우터와 각각 보안 연관 1, 2, 3을 설립한다(S500, S502, S503). 보안 연관 1, 2, 3을 설립하는 동작은 도 5에 도시된 바와 달리 그 순서가 달라질 수 있음을 유의해야 한다. 즉, 보안 연관 2가 보안 연관 1보다 더 먼저 설립될 수도 있다.
관할 라우터 1 및 관할 라우터 2는 분산 라우터와 각각 보안 연관 4, 5를 설립한다(S504, S506). 상기 관할 라우터 1 및 상기 관할 라우터 2와 상기 분산 라우터 간에 이미 보안 연관이 설립되어 있었다면 상기 보안 연관의 설립 동작은 생략 될 수 있다.
분산 라우터는홈 에이전트와 보안 연관 6을 설립한다(S508). 상기 분산 라우터와 상기 홈 에이전트 간에 이미 보안 연관이 설립되어 있었다면, 상기 보안 연관의 설립 동작 역시 생략될 수 있다.
이동 노드는 대응 노드에 송신하고자 하는 IP 패킷을 관할 라우터 1, 관할 라우터 2 및 분산 라우터에 분산하여 송신한다(S510, S514, S518). 이동 노드가 송신한 상기 IP 패킷은 각각 보안 연관 1(S510), 보안 연관 2(S514) 및 보안 연관 3(S518)을 기초로 해석될 수 있도록 한 IPSec 프로토콜의 전송 모드에 따른 AH 프로토콜 및 ESP 프로토콜 중 적어도 하나를 적용하여 생성한 IPsec 패킷 형태인 것이 바람직하다.
관할 라우터 1 및 관할 라우터 2는 상기 이동 노드에 의해 송신 된 상기 IPsec 패킷을 각각 보안 연관 1 및 보안 연관 2를 기초로 해석한 후, 각각 보안 연관 4 및 보안 연관 5를 기초로 해석 될 수 있는 IPsec 패킷을 생성하여 분산 라우터에 송신한다(S512, S516).
분산 라우터는 관할 라우터 1, 관할 라우터 2 및 이동 단말로부터 수신한 상기 IPsec 패킷(S512, S516, S518)을 각각 보안 연관 4, 보안 연관 5 및 보안 연관 3을 기초로 해석한 후, 보안 연관 6을 기반으로 해석 될 수 잇는 IPsec 패킷을 생성하여 홈 에이전트에 송신한다(S520).
홈 에이전트는 보안 연관 6을 기반으로 분산 라우터로부터 수신 한 상기 IPsec 패킷을 해석하여 일반적인 라우팅 기술을 이용해 대응 노드에 전달한다.
상기 IPsec 패킷의 해석은 보안 연관을 이용하여 IPsec 패킷에 포함된 AH 헤더 및 ESP 헤더 중 적어도 하나의 각각의 필드 값을 기초로, 해당 IPsec 패킷의 데이터 인증, 복호화 등을 수행하여 원본 IP 패킷을 추출하는 동작을 지칭하는 것으로 이해될 수 있을 것이다.
다음으로, 도 6을 참조하여 대응 노드가 이동 노드에 IP 패킷을 송신하는 동작에 대하여 적용되는 보안 방법에 대하여 설명하기로 한다.
먼저, 보안 연관을 설립하는 단계(S500, S502, S503, S504, S506, S508)는 도 5에 도시된 바와 같으므로 자세한 설명을 생략한다.
홈 에이전트는 보안 연관 6을 기반으로 대응 노드로부터 송신된 HoA를 수신자 주소로 하는 IP 패킷을 인터셉트 하여, 저장된 Mobile IP 등록 테이블에 상기 HoA에 매칭 되는 것으로 저장된 분산 라우터의 주소로 역방향의 터널을 설립하여, 보안 연관 6을 기초로 해석될 수 있는 IPsec 패킷을 생성하여 분산 라우터에 송신한다(S600).
상기 분산 라우터는 상기 IPsec 패킷을 수신 하여 보안 연관 6을 기초로 하여 해석한 후, 각각 보안 연관 4, 보안 연관 5 보안 연관 3을 기반으로 해석 할 수 있는 IPsec 패킷을 생성하여 각각 관할 라우터 1, 관할 라우터 2 및 이동 단말에 송신한다(S602, S606, S610).
관할 라우터 1 및 관할 라우터 2는 상기 분산 라우터로부터 상기 IPsec 패킷을 수신 하여 보안 연관 4, 보안 연관 5를 기초로 하여 각각 해석한 후, 보안 연관 1, 보안 연관 2를 기초로 해석 될 수 있는 IPsec 패킷을 생성하여 이동 단말에 송신한다(S604, S608).
이동 단말은 관할 라우터 1, 관할 라우터 2 및 분산 라우터로부터 수신된 IPsec 패킷을 각각 보안 연관 1, 보안 연관 2 및 보안 연관 3을 기초로 해석하여 대응 노드가 송신한 원본 IP 패킷을 추출한 후, 상기 원본 IP 패킷을 처리한다.
상기 보안 연관은 IKE(Internet Key Exchange) 프로토콜에 의해 맺어질 수 있으며, 상기 관할 라우터는 상기 AP의 역할 또한 수행하는 무선 라우터일 수 있고, 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 되는 상기 IPsec 패킷은 IPsec 프로토콜의 전송 모드에 의한 것일 수 있고, 상기 분산 라우터와 상기 관할 라우터간에 송수신 되는 상기 IPsec 패킷은 IPsec 프로토콜의 터널 모드에 의한 것일 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
도 1은 둘 이상의 NIC를 구비한 이동 노드의 이동성 관리 구조의 개념도이다.
도 2는 본 발명의 일 실시예에 따른 둘 이상의 NIC를 구비한 이동 노드를 포함하는 시스템의 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 네트워크 시스템의 동작을 나타내는 제 1 개념도이다.
도 4는 본 발명의 일 실시 예에 따른 네트워크 시스템의 동작을 나타내는 제 2 개념도이다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 시스템의 보안 방법의 제 1 순서도이다.
도 6은 본 발명의 일 실시 예에 따른 네트워크 시스템의 보안 방법의 제 2 순서도이다.

Claims (14)

  1. 서로 상이한 AP(Access Point)에 접속하는 둘 이상의 이동 노드 NIC(Network Interface Card)들과 상기 AP들의 관할 라우터들 간에 맺은 보안 연관(Security Association)에 기초하여 해석 될 수 있는 IPsec(IP security) 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 생성된 복수의 IPsec 터널을 통해 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 단계; 및
    대응 노드에 의해 송신 된 IP 패킷을 상기 관할 라우터들에 분산하여 전달하고, 상기 이동 노드에 의해 상기 관할 라우터들을 통해 분산되어 송신된 IP 패킷을 취합하여 상기 대응 노드에 전달하는 분산 라우터와 상기 관할 라우터 간에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 관할 라우터들 간에 생성된 복수의 IPsec 터널을 통해 상기 분산 라우터와 상기 관할 라우터들 간에 송수신 하는 단계를 포함하되,
    상기 둘 이상의 이동 노드 NIC는 하나의 이동 노드에 구비된 것인 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  2. 제 1 항에 있어서,
    상기 보안 연관은,
    IKE(Internet Key Exchange) 프로토콜에 의해 맺어지는 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  3. 제 1 항에 있어서,
    상기 관할 라우터는 상기 AP의 역할 또한 수행하는 무선 라우터인 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  4. 제 1 항에 있어서,
    상기 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 단계는,
    IPsec 프로토콜의 전송 모드에 의한 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 단계를 포함하는 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  5. 제 1 항에 있어서,
    상기 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 관할 라우터 간에 송수신 하는 단계는,
    IPsec 프로토콜의 터널 모드에 의한 IP 패킷을 상기 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 관할 라우터 간에 송수신 하는 단계를 포함하는 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  6. 제 1 항에 있어서,
    상기 분산 라우터와 홈 에이전트(Home Agent; HA) 간에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우 터와 상기 홈 에이전트 간에 송수신 하는 단계를 더 포함하는 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  7. 제 1 항에 있어서,
    상기 분산 라우터와 다른 라우터를 통하지 않고 직접 연결된 상기 이동 노드 NIC 중 하나의 이동 노드 NIC와 상기 분산 라우터 간에 맺은 보안 연관에 기초하여 해석될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 이동 노드 NIC 간에 송수신 하는 단계를 더 포함하는 멀티 NIC 이동 노드를 포함하는 네트워크 시스템의 보안 방법.
  8. 서로 상이한 AP(Access Point)에 접속하는 이동 노드 NIC(Network Interface Card)들과 상기 AP들의 관할 라우터들 간에 맺은 보안 연관(Security Association)에 기초하여 해석 될 수 있는 IPsec(IP security) 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 생성된 복수의 IPsec 터널을 통해 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 둘 이상의 이동 노드 NIC를 구비하는 이동 노드; 및
    대응 노드에 의해 송신 된 IP 패킷을 상기 관할 라우터들에 분산하여 전달하고, 상기 이동 노드에 의해 상기 관할 라우터들을 통해 분산되어 송신된 IP 패킷을 취합하여 상기 대응 노드에 전달하되, 상기 관할 라우터와의 사이에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 분산 라우터와 상기 관할 라우터들 간에 생성된 복수의 IPsec 터널을 통해 상기 관할 라우터들과의 사이에 송수신 하는 분산 라우터를 포함하는 네트워크 시스템.
  9. 제 8 항에 있어서,
    상기 보안 연관은,
    IKE(Internet Key Exchange) 프로토콜에 의해 맺어지는 네트워크 시스템.
  10. 제 8 항에 있어서,
    상기 관할 라우터는 상기 AP의 역할 또한 수행하는 무선 라우터인 네트워크 시스템.
  11. 제 8 항에 있어서,
    상기 이동 노드는,
    IPsec 프로토콜의 전송 모드에 의한 IP 패킷을 상기 이동 노드 NIC들과 상기 관할 라우터들 간에 송수신 하는 네트워크 시스템.
  12. 제 8 항에 있어서,
    상기 분산 라우터는,
    IPsec 프로토콜의 터널 모드에 의한 IP 패킷을 상기 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 관할 라우터와의 사이에 송수신 하는 네트워크 시스템.
  13. 제 8 항에 있어서,
    상기 분산 라우터는,
    홈 에이전트(Home Agent; HA)와의 사이에 맺은 보안 연관에 기초하여 해석 될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 홈 에이전트와의 사이에 송수신 하는 네트워크 시스템.
  14. 제 8 항에 있어서,
    상기 분산 라우터는,
    상기 분산 라우터와 다른 라우터를 통하지 않고 직접 연결된 상기 이동 노드 NIC 중 하나의 이동 노드 NIC와의 사이에 맺은 보안 연관에 기초하여 해석될 수 있는 IPsec 프로토콜 그룹 기반의 IP 패킷을 상기 이동 노드 NIC와의 사이에 송수신 하는 네트워크 시스템.
KR1020090094648A 2009-10-06 2009-10-06 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법 KR101097389B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090094648A KR101097389B1 (ko) 2009-10-06 2009-10-06 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090094648A KR101097389B1 (ko) 2009-10-06 2009-10-06 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법

Publications (2)

Publication Number Publication Date
KR20110037273A KR20110037273A (ko) 2011-04-13
KR101097389B1 true KR101097389B1 (ko) 2011-12-23

Family

ID=44044781

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090094648A KR101097389B1 (ko) 2009-10-06 2009-10-06 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법

Country Status (1)

Country Link
KR (1) KR101097389B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111800436B (zh) * 2020-07-29 2022-04-08 郑州信大捷安信息技术股份有限公司 IPSec隔离网卡设备及安全通信方法

Also Published As

Publication number Publication date
KR20110037273A (ko) 2011-04-13

Similar Documents

Publication Publication Date Title
EP1875670B1 (en) Method, system and apparatus for creating an active client list to support layer 3 roaming in wireless area networks (wlans)
CN104919766B (zh) 用于设备到设备通信的路径切换方法和设备
US7443809B2 (en) Method, system and apparatus for creating a mesh network of wireless switches to support layer 3 roaming in wireless local area networks (WLANs)
EP1884089B1 (en) METHOD, SYSTEM AND APPARATUS FOR LOAD BALANCING OF WIRELESS SWITCHES TO SUPPORT LAYER 3 ROAMING IN WIRELESS LOCAL AREA NETWORKS (WLANs)
US20060245393A1 (en) Method, system and apparatus for layer 3 roaming in wireless local area networks (WLANs)
US20060268834A1 (en) Method, system and wireless router apparatus supporting multiple subnets for layer 3 roaming in wireless local area networks (WLANs)
KR100879985B1 (ko) 비손실 모바일 ip 패킷 전달 방법 및 그 시스템
US8325672B2 (en) Method and system for seamless handover between WLAN and WWAN
JP2009500918A (ja) 無線ローカルエリアネットワークにおいて無線クライアント用ipアドレスの割当て及び管理を行う方法、システム、及び装置
WO2015075569A1 (en) Method and system for providing data access to mobile network nodes of a data network
Leu et al. S-PMIPv6: An intra-LMA model for IPv6 mobility
KR20150074220A (ko) 고속 핸드오프 전이 동안 이동성 액세스 게이트웨이 간의 터널링을 위한 시스템 및 프로토콜들
Céspedes et al. On achieving seamless IP communications in heterogeneous vehicular networks
US8824353B2 (en) Mobility route optimization in a network having distributed local mobility anchors
US20100046558A1 (en) Header reduction of data packets by route optimization procedure
KR101480703B1 (ko) LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법
KR100811308B1 (ko) 무선망에서 다자간 실시간 멀티미디어 서비스를 위한단대단 고속 이동성관리 시스템 및 방법
KR101097389B1 (ko) 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법
US8588177B2 (en) Method of performing session handover between terminals, network system, and program
AT&T FutureCellularArch_FM
Choi et al. Cost analysis of integrated HIP-PMIPv6 handoff scheme in multicasting-based mobile networks
Salman et al. Minimizing handoff latency and packet loss in NEMO
Rahman et al. Low-latency handoff inter-WLAN IP mobility with broadband network control
Céspedes Umaña et al. On Achieving Seamless IP Communications in Heterogeneous Vehicular Networks
Kazuya et al. Integration of mobile IPv6 into mobile ad-hoc network systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141125

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151125

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161123

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171110

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181126

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191204

Year of fee payment: 9