KR101291501B1 - 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 - Google Patents
보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 Download PDFInfo
- Publication number
- KR101291501B1 KR101291501B1 KR1020067017513A KR20067017513A KR101291501B1 KR 101291501 B1 KR101291501 B1 KR 101291501B1 KR 1020067017513 A KR1020067017513 A KR 1020067017513A KR 20067017513 A KR20067017513 A KR 20067017513A KR 101291501 B1 KR101291501 B1 KR 101291501B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- network element
- secure
- network
- delete delete
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000004891 communication Methods 0.000 claims description 4
- 230000003362 replicative effect Effects 0.000 claims description 2
- 230000008859 change Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 235000014510 cooky Nutrition 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
보안 네트워크 접속을 유지하기 위한 기술이 개시된다. 한 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은 제1 네트워크 요소에 관련된 어드레스의 변경을 검출하는 단계를 포함할 수 있다. 이 방법은 또한 제1 네트워크 요소에서 적어도 하나의 제1 보안 구성을 갱신하는 단계를 포함할 수 있다. 이 방법은 제1 네트워크 요소로부터 제2 네트워크 요소로 적어도 하나의 보안 메시지를 전송하는 단계를 더 포함할 수 있으며, 여기에서 적어도 하나의 보안 메시지는 어드레스의 변경에 관련된 정보를 포함한다. 그리고, 이 방법은, 적어도 하나의 보안 메시지에 적어도 부분적으로 기초하여 제2 네트워크 요소에서 적어도 하나의 제2 보안 구성을 갱신하는 단계를 더 포함할 수 있다.
보안 네트워크 접속, 어드레스 변경, 보안 구성, 보안 메시지
Description
본 발명은 일반적으로 전자통신에 관한 것이고, 더 상세하게는 보안 네트워크 접속을 유지하는 기술에 관한 것이다.
IP 보안(IP Security, IPSec)는 IP 계층에서 패킷의 안전한 교환을 지원하기 위해 IETF(Internet Engineering Task Force)에 의해 개발된 일련의 프로토콜을 포함하는 인터넷 프로토콜(IP)을 위한 보안 아키텍쳐이다. IPSec는 시스템이 요구되는 보안 프로토콜을 선택하고, 서비스(들)에 사용할 알고리즘(들)을 결정하고, 요청된 서비스를 제공하는 데에 필요한 임의의 암호키를 적소에 배치할 수 있게 함으로써 보안 서비스를 제공한다. IPsec는 트래픽 보안을 제공하기 위하여, 2가지 프로토콜, 즉 AH(Authentication Header) 및 ESP(Encapsulating Security Payload)를 사용한다. IPsec가 제대로 효과를 발휘하도록 하기 위하여, 송신 및 수신 장치는 전형적으로 인터넷 보안 연계 및 키 관리 프로토콜(Internet Security Association and Key Management Protocol, ISAKMP)을 통해 관리되는 공개키를 공유한다.
보안 연계(Security Association, SA)는 해당 보안 프로토콜 위치에서 트래픽을 보호하기 위해 필요한 서비스 및 메커니즘을 완벽하게 정의하는 파라미터들의 보안-프로토콜-특유 세트이다. 전형적으로, 이러한 파라미터들은 알고리즘 식별자, 모드, 암호키 등을 포함한다. SA는 종종 그 관련 보안 프로토콜에 관련지어져 언급되기도 한다 (예를 들어, "ISAKMP SA", "ESP SA").
2개의 네트워크 요소들 간에서 보안 접속이 시작될 때, 그 요소들은 그들의 다른 협상(negotiation)을 보호하기 위하여 먼저 ISAKMP SA를 협상해야 한다. 그 다음, 이러한 ISAKMP SA는 프로토콜 SA를 협상하는 데에 사용된다. 프로토콜 SA의 협상 및 확립 동안, 보안 파라미터 인덱스(Security Parameter Index, SPI)가 각 SA에 대하여 생성된다. 협상된 SA는 전형적으로 보안 연계 데이터베이스(SAD)에 저장되고, SPI는 SA를 고유하게 식별하기 위하여 목적지 IP 어드레스 및 보안 프로토콜과 함께 사용된다. 전형적으로 IPsec-가능형 요소에 의해 유지되는 다른 데이터베이스는 모든 IP 패킷의 디스포지션(disposition)에 관한 정책들을 명시하는 보안 정책 데이터베이스(SPD)이다. 전형적으로, 각각의 IPsec-가능형 인터페이스는 분리된 인바운드(inbound) 및 아웃바운드(outbound) 데이터베이스(SPD 및 SAD)를 보유한다.
점점 더 인기를 얻어가고 있는 무선 근거리 네트워크(WLAN)에서, 모바일 사용자가 상이한 서브넷들 간을 로밍하거나, 한 지역으로부터 다른 IP 어드레스를 사용하는 다른 지역으로 로밍하는 것은 드문 일이 아니다. 모바일 클라이언트가 IP 어드레스의 변경을 경험하는 동안, 데이터의 손실없이 보안 접속을 유지하는 기능을 지원하는 것이 점점 더 필요해지고 있다. 그러나, 현재의 IPsec 아키텍쳐는 본래의 접속을 종료하고 새로운 접속을 재확립하지 않고서는 그러한 IP 어드레스 변 경을 지원하지 않는다. 결과적으로, 로밍 중인 클라이언트는 불가피하게 네트워크 서비스 중단을 겪게 되며, 이것은 클라이언트에게 불편한 것은 물론, 반복적인 보안 협상으로 인한 오버헤드 비용으로 인해 네트워크에도 부담이 된다.
접속 상실 문제에 대한 한가지 솔루션은 IPsec 구현에 모바일 IP를 채용하는 것이다. 이러한 솔루션에 의하면, 모바일 클라이언트는 자신의 홈 네트워크에서 비교적 영구적인 모바일 IP 어드레스를 할당받는다. 외부 네트워크로 로밍할 때, 클라이언트는 외부 에이전트로부터 관리(care-of) IP 어드레스를 획득하고, 그 외부 에이전트를 통해 나머지 세계와 통신한다. 도 1에 도시되어 있는 바와 같이, 네트워크 1로부터 네트워크 2로 로밍할 때, 모바일 클라이언트는 접속을 상실하지 않기 위하여 보안 서버로의 이중 터널링(double tunneling)을 유지해야만 한다. 이중 터널링을 갖는 모바일 IP는 매우 비효율적이며, 자원 제한적인 모바일 유닛에서는 특히 문제가 될 수 있다. 또한, 모바일 IP를 구현하는 데에도 상당한 개발 노력이 필요하다.
이러한 점을 고려할 때, 앞에서 언급한 부적절함과 단점들을 극복하는 모빌리티 솔루션을 제공하는 것이 바람직할 것이다.
<발명의 요약>
본 발명에 따르면, 보안 네트워크 접속을 유지하기 위한 기술이 제공된다. 한 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은 제1 네트워크 요소에 관련된 어드레스의 변경을 검출하는 단계를 포함할 수 있다. 이 방법은 또한 제1 네트워크 요소에서 적어도 하나 의 제1 보안 구성을 갱신하는 단계를 포함할 수 있다. 이 방법은 제1 네트워크 요소로부터 제2 네트워크 요소로 적어도 하나의 보안 메시지를 전송하는 단계를 더 포함할 수 있으며, 여기에서 적어도 하나의 보안 메시지는 어드레스의 변경에 관련된 정보를 포함한다. 그리고, 이 방법은, 적어도 하나의 보안 메시지에 적어도 부분적으로 기초하여 제2 네트워크 요소에서 적어도 하나의 제2 보안 구성을 갱신하는 단계를 더 포함할 수 있다.
본 발명의 본 특정 실시예의 다른 양태에 따르면, 보안 연계의 검색은 어떠한 목적지 어드레스에도 의존하지 않을 수 있다.
본 발명의 본 특정 실시예의 또 다른 양태에 따르면, 제1 네트워크 요소는 모바일 클라이언트일 수 있고, 제2 네트워크 요소는 보안 게이트웨이일 수 있다.
본 발명의 본 특정 실시예의 또 다른 양태에 따르면, 제1 네트워크 요소 및 제2 네트워크 요소는 가상 사설 네트워크(VPN)의 일부일 수 있다.
본 발명의 본 특정 실시예의 추가 양태에 따르면, 제1 네트워크 요소와 제2 네트워크 요소 간의 통신은 인터넷 프로토콜을 위한 보안 아키텍쳐(IPsec)에 기초할 수 있다. 제1 네트워크 요소와 제2 네트워크 요소 간에서의 통신의 적어도 일부는 인터넷 보안 연계 및 키 관리 프로토콜(ISAKMP)에 기초할 수 있다. 제2 네트워크 요소는 적어도 하나의 보안 메시지 내의 적어도 하나의 쿠키 필드에 기초하여 적어도 하나의 보안 연계를 식별할 수 있다.
다른 특정 실시예에서, 이 기술은 적어도 하나의 프로세서에 의해 판독될 수 있고, 또한 그 적어도 하나의 프로세서에 위에서 언급된 방법을 수행하기 위한 컴 퓨터 프로세스를 실행할 것을 명령하도록 구성된 명령어들로 이루어진 컴퓨터 프로그램을 전송하기 위해 적어도 하나의 반송파 내에 구현된 적어도 하나의 신호에 의해 실현될 수 있다.
또 다른 특정 실시예에서, 이 기술은 적어도 하나의 프로세서에 의해 판독될 수 있고, 또한 그 하나의 프로세서에 위에서 설명된 방법을 수행하기 위한 컴퓨터 프로세스를 실행할 것을 명령하는 명령어들로 이루어진 컴퓨터 프로그램을 저장하기 위한 적어도 하나의 프로세서 판독가능 매체에 의해 실현될 수 있다.
또 다른 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은, 제2 네트워크 요소와 제3 네트워크 요소 간에서, 제1 네트워크 요소와 제2 네트워크 요소 간의 보안 네트워크 접속에 관련된 정보를 복제하는 단계를 포함할 수 있으며, 여기에서, 보안 네트워크 접속에 관련된 보안 연계의 검색은 어떠한 목적지 어드레스에도 의존하지 않는다. 이 방법은 제1 네트워크 요소와의 보안 네트워크 접속에서 제2 네트워크 요소를 제3 네트워크 요소로 치환하는 단계도 포함할 수 있다. 이 방법은 제3 네트워크 요소로부터 제1 네트워크 요소로 적어도 하나의 보안 메시지를 송신하는 단계를 더 포함할 수 있다.
또 다른 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은 보안 연계의 검색이 어떠한 목적지 어드레스에도 의존하지 않도록 복수의 보안 게이트웨이를 구성하는 단계를 포함할 수 있다. 이 방법은 복수의 보안 게이트웨이 간에서 적어도 하나의 보안 연계를 공유하 는 단계를 더 포함할 수 있다.
또 다른 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 시스템으로서 실현될 수 있다. 이 시스템은, 제1 네트워크 요소에 관련된 어드레스의 변경을 검출하기 위한 수단, 제1 네트워크 요소에서 적어도 하나의 제1 보안 구성을 갱신하기 위한 수단, 제1 네트워크 요소로부터 제2 네트워크 요소로 적어도 하나의 보안 메시지를 전송하기 위한 수단(적어도 하나의 보안 메시지는 어드레스의 변경에 관련된 정보를 포함함), 및 적어도 하나의 보안 메시지에 기초하여 제2 네트워크 요소에서 적어도 하나의 제2 보안 구성을 갱신하기 위한 수단을 포함할 수 있다.
이제, 본 발명은 첨부된 도면에 도시되어 있는 실시예들을 참조하여 더욱 상세하게 설명될 것이다. 이하에서는, 본 발명이 실시예들을 참조하여 설명되지만, 본 발명이 거기에 국한되는 것은 아니라는 점을 이해해야 한다. 여기에 개시된 교시에 접근할 수 있는 당업자라면, 여기에 개시되고 청구된 본 발명의 범위 내에 포함되면서 본 발명이 중요한 용도로 사용될 수 있는 추가의 구현, 수정 및 실시예와, 다른 사용 분야들을 알아낼 수 있을 것이다.
본 발명의 보다 더 완전한 이해를 돕기 위하여, 첨부 도면들에 대한 참조가 이루어진다. 첨부 도면들에서 유사한 구성요소는 유사한 참조 번호로 표시된다. 이 도면들은 본 발명을 제한하는 것으로 간주되어서는 안되며, 예시적인 목적으로만 사용된 것이다.
도 1은 종래 기술에서 채용되는 모바일 IP 솔루션의 개략도.
도 2는 본 발명의 일 실시예에 따라 보안 네트워크 접속을 유지하기 위한 예시적인 방법을 나타낸 흐름도.
도 3은 본 발명의 일 실시예에 따른 예시적인 IPsec 패킷의 도면.
도 4는 본 발명의 일 실시예에 따른 보안 네트워크 접속을 유지하기 위한 예시적인 시스템을 나타낸 블럭도.
도 5는 본 발명의 일 실시예에 따른 고가용성의 구현예를 나타낸 블럭도.
도 6은 본 발명의 일 실시예에 따른 그룹 모드 보안의 구현예를 나타낸 블럭도.
이하에서는, 설명을 위하여, 본 발명에 따라 보안 네트워크 접속을 유지하기 위한 기술이 터널 모드의 IPsec를 구체적으로 참조하여 설명될 것이다. 그러나, 이 기술은 동작 모드에 상관없이 어떠한 보안 네트워크 프로토콜에도 적용될 수 있음을 알아야 한다. 이하에서, "보안 게이트웨이"는 IPsec 프로토콜을 구현하는 라우터, 방화벽 또는 서버와 같은 임의의 중간 또는 종단 시스템을 나타낸다. "모바일 클라이언트"는 IPsec 프로토콜을 사용하여 보안 게이트웨이와 통신하는 원격 사용자 또는 유닛을 나타낸다. 하나 이상의 보안 게이트웨이 및 모바일 클라이언트가 보안 네트워크 시스템을 형성할 수 있다.
도 2를 참조하면, 본 발명의 일 실시예에 따라 보안 네트워크 접속을 유지하기 위한 예시적인 방법을 도시한 흐름도가 나타나 있다.
단계(200)에서, 보안 연계(SA) 검색은 목적지 IP 어드레스 시스템 전역에 독립적으로 이루어질 수 있다.
터널 모드의 IPsec에 관련하여, IPsec-처리된 패킷은 전형적으로 도 3에 도시된 것과 같은 포맷을 갖는다. 패킷은 외부 IP 헤더, IPsec 헤더, 내부 IP 헤더 및 다른 데이터를 포함한다. 본래의 발신지 및 목적지 어드레스를 포함하는 내부 IP 헤더 및 다른 데이터(예를 들어, 페이로드)는 암호로 보호된다. 암호 및 인증에 관련된 정보는 IPsec 헤더 내에 포함된다. 외부 IP 헤더는 터널 엔드포인트를 위한 발신지 및 목적지 어드레스를 포함한다. 인바운드 처리에서, 보안 게이트웨이는 IPsec 헤더 내에 표시된 프로토콜의 유형 및 보안 파라미터 인덱스(SPI)와 함께, 외부 IP 헤더 내의 목적지 IP 어드레스를 사용하여, 로컬 SA 데이터베이스(SAD) 내에서 적절한 SA(들)을 검색할 것이다. 그리고, 그 적절한 SA 또는 SA 번들이 패킷의 인증 및 복호화에 사용된다.
SA 검색이 목적지 IP 어드레스에 독립적으로 이루어질 때, 프로토콜 내에서 SA를 고유하게 식별하기 위하여 SPI가 사용될 수 있다. 이러한 시스템-전역적인 변화는 여러 이점을 제공할 수 있다. 예를 들어, 인바운드 처리가 더 이상은 목적지 IP 어드레스에 의존하지 않기 때문에, 외부 IP 어드레스의 변경은 올바른 SA(들)의 위치를 찾는 보안 게이트웨이의 능력에 영향을 주지 않을 것이다. 또한, 목적지 IP 어드레스에 대한 의존성을 제거하면, 다수의 IPsec 터널과 복수의 노드 간에서 동일한 SA가 공유될 수 있다. 이하에서는, 그에 따른 높은 이용가능성과 그룹 모드 보안이 보다 더 상세하게 설명될 것이다.
단계(202)에서, 모바일 클라이언트는 자기 자신의 IP 어드레스 변경을 검출할 수 있다. 모바일 클라이언트가 다른 네트워크 또는 지역으로 이동할 때, 그 모바일 클라이언트의 IP 어드레스는 다른 값으로 변경될 수 있다. 또한, 예를 들어, WLAN으로부터 LAN 카드로의 전환 또는 그 역전환과 같은 네트워크 어댑터의 전환에 의해서도 어드레스가 변경될 수 있다. 모바일 클라이언트는 변경을 검출한 때에, 본래의 어드레스는 물론, 새로운 어드레스의 기록을 유지할 수 있다.
단계(204)에서, 모바일 클라이언트는 새로운 IP 어드레스를 이용하여 자기 자신의 ISAKMP SA 및 IPsec SA를 갱신할 수 있다.
다음으로, 단계(206)에서, 모바일 클라이언트는 현재의 ISAKMP SA를 이용하여, 자신과의 보안 접속을 유지해오고 있는 보안 게이트웨이에 NOTIFY 메시지를 송신한다. NOTIFY 메시지는 적어도 클라이언트의 본래 IP 어드레스 및 새로운 IP 어드레스를 포함할 수 있다. NOTIFY 메시지는 중복 패킷의 신뢰가능한 전달 및 검출을 보장하기 위한 일련번호도 포함할 수 있다. NOTIFY 메시지의 내용은 ISAKMP SA 암호화에 의해 보안 보호될 수 있다. ISAKMP NOTIFY 메시지는 다른 ISAKMP 메시지의 동일한 재시도 및 타임아웃에 속할 수 있다.
단계(208)에서, NOTIFY 메시지를 수신하면, 보안 게이트웨이는 ISAKMP 헤더 내의 쿠키 필드에 기초하여 적절한 ISAKMP SA의 위치를 알아낼 수 있다. 쿠키 필드는 NOTIFY 메시지에 관련된 SA를 고유하게 식별한다. 그 다음, 보안 NOTIFY 메시지를 처리하여 본래의 IP 어드레스 및 새로운 IP 어드레스를 추출하기 위하여, 적절한 SA가 적용될 수 있다.
그 다음, 단계(210)에서, 보안 게이트웨이는 모바일 클라이언트의 본래의 IP 어드레스 및 새로운 IP 어드레스에 기초하여 자신의 SAD를 갱신할 수 있다. 본 발명의 실시예들에 따르면, 새로운 IP 어드레스를 갖는 인바운드 데이터에 기초하기 보다는, 모바일 클라이언트로부터의 보안 NOTIFY 메시지에 기초하여 보안 게이트웨이의 SAD를 갱신하는 것이 더 바람직할 수 있다. 아웃바운드 IP 헤더는 해시 메시지 인증 코드(Hashed Message Authentication Code, HMAC)와 같은 완결성 체크에 의해 보호되지 않기 때문에, 아웃바운드 IP 헤더를 이용하여 아웃바운드 SAD 또는 ISAKMP를 갱신하면, 보안 게이트웨이를 서비스 거부(DoS) 공격에 노출시킬 수 있다. 또한, 보안 게이트웨이는 임의의 인바운드 데이터가 수신되기 전에 클라이언트에게 데이터를 포워드해야 할 필요가 있을 수도 있다.
단계(212)에서, 보안 게이트웨이가 모바일 클라이언트의 새로운 IP 어드레스로 갱신된 후, IPsec 접속은 유지될 수 있다. 그들 간에서의 IP 트래픽은 중단없이 양방향으로 계속하여 흐를 수 있다. 모바일 클라이언트가 새로운 IP 어드레스를 목적지로 하는 데이터 패킷을 수신하고 난 후에는, 그 모바일 클라이언트는 새로운 IP 어드레스의 갱신이 성공했음을 알게 될 것이다.
이제, 도 4를 참조하면, 본 발명의 일 실시예에 따라 보안 네트워크 접속을 유지하기 위한 예시적인 시스템(400)을 나타낸 블럭도가 도시되어 있다. 시스템(400)은 IPsec 프로토콜을 구현하는 임의의 네트워크 요소(예를 들어, 원격 유닛, 라우터 또는 서버)일 수 있다. 시스템(400)은 전형적으로 프로세서 모듈(402), 저장 모듈(404) 및 트랜시버 모듈(406)을 포함한다. 프로세서 모듈(402) 은 중앙 처리 유닛(CPU), 마이크로컨트롤러, 디지탈 신호 처리(DSP) 유닛, 또는 패킷-처리 및 하드웨어-제어 기능을 갖는 컴퓨터일 수 있다. 저장 모듈(404)은 프로세서 모듈(402)에 의해 액세스될 수 있는 반도체 메모리, 불휘발성 메모리, 하드 드라이브 디스크, CD-ROM 또는 그와 유사한 것과 같은 저장 장치일 수 있다. 저장 모듈(404)은 SAD, SPD 및 IP 어드레스 등을 포함하는 데이터 레코드를 보유할 수 있다. 트랜시버 모듈(406)은 데이터 패킷을 전송 및 수신할 수 있다. 동작 시에, 프로세서 모듈(402)은 전술한 바와 같은 예시적인 방법에 따라 ISAKMP를 포함하는 IPsec 프로토콜을 따를 수 있다. 시스템(400)은 모바일 클라이언트 또는 보안 게이트웨이의 전형적인 구성요소들을 나타낸 것이다. 모바일 클라이언트로서, 프로세서 모듈(402)은 자신의 IP 어드레스 변경을 검출하고, 본래의 어드레스와 새로운 어드레스를 저장 모듈(404)에 저장하고, 로컬 SAD를 새로운 어드레스로 갱신하고, ISAKMP NOTIFY 메시지를 트랜시버 모듈(406)을 통하여 보안 게이트웨이에 송신할 수 있다. 보안 게이트웨이로서, 프로세서 모듈(402)은 트랜시버 모듈(402)을 통하여 ISAKMP NOTIFY 메시지를 수신하고, NOTIFY 메시지 내의 쿠키 쌍들에 기초하여 저장 모듈(404) 내에서 ISAKMP SA를 검색하고, ISAKMP SA로 메시지를 복호화하고, 본래의 IP 어드레스 및 새로운 IP 어드레스에 기초하여 로컬 SAD를 갱신할 수 있다.
앞에서 언급한 바와 같이, 목적지 IP 어드레스에 대한 의존성을 제거함으로써, 고 가용성(High Availability)과 그룹 모드 보안(Group Mode Security)을 달성하는 것이 가능해진다. 이들 두가지의 구현은 도 5 및 도 6을 참조하여 설명될 것 이다.
도 5는 본 발명의 일 실시예에 따른 고 가용성의 구현예를 도시한 블럭도이다. 도 5에는, IPsec 터널(52)을 통하여 보안 서버(502)와의 보안 접속을 유지하는 모바일 클라이언트(500)가 도시되어 있다. 모바일 클라이언트(500)와 보안 서버(502) 간에 IPsec 접속이 확립될 때, IPsec SA와 ISAKMP SA의 사본이 보안 경로(56)를 통하여 보안 서버(504)에 송신될 수 있다. 클라이언트(500)와 서버(502) 간의 접속이 유지되는 동안, 그들의 보안 구성에서의 임의의 변경은 서버(504)로 보안 복제될 수 있다. 동시에, 서버(504)는 서버(502)의 동작을 지속적으로 모니터링할 수 있다. 서버(502)가 실패하면, 서버(504)는 자신이 접속을 건네받을 것임을 나타내는 ISAKMP NOTIFY 메시지를 클라이언트(500)에 송신할 수 있다. 서버(504)는 클라이언트(500)와 서버(502) 간의 접속에 관한 모든 보안 정보에 대하여 최신의 상태를 유지하고 있으므로, 클라이언트(500)는 IPsec 접속을 재확립하지 않고서도, NOTIFY 메시지를 복호화하고, 서버(504)로의 트래픽 포워드를 시작할 수 있을 것이다. SA가 목적지 IP 어드레스에 의존하지 않으므로, 서버(504)는 서버(502)와 완전히 동일한 방식으로 IPsec 터널(54)을 통해 클라이언트(500)와 통신할 수 있을 것이다. 그 결과, 클라이언트(500)는 서버(502)의 실패로 인한 충격을 최소한으로 경험할 수 있다.
도 6은 본 발명의 일 실시예에 따른 그룹 모드 보안의 구현예를 나타낸 블럭도이다. 현재의 IPsec는 포인트-투-포인트 모델이다. SA가 목적지 IP 어드레스에 의존하면, 임의의 2 노드 간의 각 접속은 개별적으로 구성되어야 한다. N개의 노 드를 갖는 시스템에 대하여 (N은 정수), 총 N*(N-1)/2개의 접속이 구성되어야 한다. 노드의 개수가 증가함에 따라, 개별적으로 구성되어야 하는 접속의 수도 매우 급속하게 증가할 수 있다. 예를 들어, 도 6에 도시된 바와 같이 4개의 지국을 갖는 조직에 있어서, 4개의 보안 서버(A 내지 D) 간에 총 6 접속이 구성되어야 한다. 8개의 노드를 갖는 시스템에 있어서는 28 접속이 구성되어야 한다. 그러나, 목적지 IP 어드레스에 관한 의존성을 없애면, 한 그룹 내의 다수의 노드 간에서 동일한 SA가 공유될 수 있다. 그룹 노드들 간에 송신된 임의의 트래픽은 동일한 SA를 사용하여 보호될 수 있다. 이에 의해, 다수의 지국의 구성이 훨씬 더 용이해진다.
상기에 설명된 예시적인 방법에 따른 기능들은 기존의 네트워크 하드웨어에 물리적인 수정을 가하지 않고서도 달성될 수 있다. 대신에, 본 발명에 따른 모빌리티 솔루션은 소프트웨어 및/또는 펌웨어 업그레이드를 통해 구현될 수 있다.
이 시점에서, 앞에서 설명된 본 발명에 따른 보안 네트워크 접속을 유지하기 위한 기술은 전형적으로 소정 범위까지 입력 데이터의 처리 및 출력 데이터의 생성을 포함한다는 점에 유의해야 한다. 이러한 입력 데이터 처리 및 출력 데이터 생성은 하드웨어 또는 소프트웨어로 구현될 수 있다. 예를 들어, 앞에서 설명된 본 발명에 따른 모빌리티 솔루션에 관련된 기능들을 구현하기 위하여, 컴퓨터 및/또는 통신 네트워크 또는 그와 유사한 것이나 관련 회로 내에 특정 전자 컴포넌트가 이용될 수 있다. 다르게는, 저장된 명령어에 따라 동작하는 하나 이상의 프로세서가, 앞에서 설명된 본 발명에 따른 보안 네트워크 접속을 유지하는 것에 관련된 기능들을 구현할 수 있다. 그러한 경우, 그러한 명령어들이 하나 이상의 프로세서 판독가능 매체(예를 들어, 자기 디스크)에 저장되는 것, 또는 하나 이상의 신호를 통해 하나 이상의 프로세서에 전송되는 것도 본 발명의 범위 내에 포함된다.
본 발명은 여기에 설명된 특정 실시예들에 의해 그 범위가 제한되지 않는다. 실제로, 당업자라면, 상기의 상세한 설명 및 첨부 도면들로부터, 여기에 개시된 것 이외에 본 발명의 다른 다양한 실시예들 및 수정들을 알 수 있을 것이다. 따라서, 그러한 다른 실시예들 및 수정들도 아래의 특허청구범위 내에 포함되는 것으로 의도된다. 또한, 본 발명이 특정 목적을 위한 특정 환경에서의 특정 구현예와 관련하여 설명되었지만, 당업자라면, 본 발명의 활용성이 거기에만 한정되지 않으며, 또한 본 발명이 어떠한 수의 목적을 위한 어떠한 수의 환경에서도 유용하게 구현될 수 있음을 알 것이다. 따라서, 아래의 특허청구범위는 여기에 개시된 본 발명의 넓은 범위 및 취지에 관련하여 이해되어야 한다.
Claims (29)
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 보안 네트워크 접속들을 유지하기 위한 방법으로서,제3 네트워크 요소에서, 제1 네트워크 요소와 제2 네트워크 요소 사이의 보안 네트워크 접속과 연관된 보안 연계(security association)를 복제하는 단계 - 상기 보안 네트워크 접속과 연관된 보안 연계의 검색은 어떠한 목적지 어드레스에도 의존하지 않음 -;상기 제2 네트워크 요소의 장애(failure)를 검출하는 것에 응답하여, 상기 제1 네트워크 요소와의 상기 보안 네트워크 접속에서 상기 제2 네트워크 요소를 상기 제3 네트워크 요소로 치환하는 단계 - 상기 제1 네트워크 요소와 상기 제3 네트워크 요소 사이의 상기 보안 네트워크 접속은 상기 복제된 보안 연계에 기초함 -; 및상기 보안 네트워크 접속이 상기 제3 네트워크 요소에 의해 인계될 것임을 상기 제1 네트워크 요소에 통지하기 위해 상기 제3 네트워크 요소로부터 상기 제1 네트워크 요소로 적어도 하나의 보안 메시지를 전송하는 단계를 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
- 삭제
- 보안 네트워크 접속들을 유지하기 위한 방법으로서,보안 연계들의 검색이 어떠한 목적지 어드레스에도 의존하지 않도록, 복수의 보안 게이트웨이를 구성하는 단계;상기 복수의 보안 게이트웨이 사이에서 보안 연계를 공유하는 단계;제1 보안 게이트웨이들이 네트워크 디바이스와의 보안 접속에서 수반되는 제2 보안 게이트웨이들의 장애를 검출하는 단계 - 상기 보안 네트워크 접속은 상기 보안 연계와 연관됨 -; 및상기 장애를 검출하는 단계에 응답하여, 상기 제1 보안 게이트웨이는 상기 네트워크 디바이스로 상기 제1 보안 게이트웨이가 상기 보안 네트워크 접속을 인계받는다는 메시지를 전송하는 단계를 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 제10항에 있어서,상기 제1 네트워크 요소와 상기 제2 네트워크 요소 사이의 보안 네트워크 접속의 수명 중에, 상기 제3 네트워크 요소는 상기 보안 네트워크 요소로부터의 상기 보안 네트워크 접속의 상기 보안 연계에 관한 정보를 수신하는 단계를 더 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
- 제20항에 있어서,상기 제1 네트워크 요소는 모바일 클라이언트이고, 상기 제2 네트워크 요소 및 상기 제3 네트워크 요소는 보안 서버들인, 보안 네트워크 접속들을 유지하기 위한 방법.
- 제1 보안 서버로서,모바일 클라이언트와 제2 보안 서버 사이의 보안 네트워크 접속의 적어도 하나의 보안 연계에 관한 정보를 수신하는 송수신기; 및프로세서 모듈을 포함하고,상기 프로세서 모듈은,상기 제2 보안 서버의 동작을 모니터하고,상기 제2 보안 서버의 장애를 검출하는 것에 응답하여, 상기 제1 보안 서버가 상기 보안 네트워크 접속을 인계받는다는 메시지를 상기 모바일 클라이언트에 전송하고,상기 제1 보안 서버와 상기 모바일 클라이언트 사이의 보안 네트워크 접속을 통해 상기 적어도 하나의 보안 연계를 사용하여 상기 모바일 클라이언트와 통신하는 제1 보안 서버.
- 제10항에 있어서,상기 제1 네트워크 요소는 모바일 클라이언트이고, 상기 제2 네트워크 요소 및 상기 제3 네트워크 요소는 보안 서버들인, 보안 네트워크 접속들을 유지하기 위한 방법.
- 제22항에 있어서,상기 적어도 하나의 보안 연계에 관한 정보는 상기 제1 보안 서버 및 상기 제2 보안 서버에서 복제되는 제1 보안 서버.
- 제12항에 있어서,상기 보안 연계를 공유하는 단계는, 상기 복수의 보안 게이트웨이 중 IPsec 보안 연계를 공유하는 단계를 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
- 제10항에 있어서,상기 보안 접속 네트워크에서 상기 제2 네트워크 요소를 상기 제3 네트워크 요소로 치환한 후에, 상기 제3 네트워크 요소는 상기 제1 네트워크 요소와의 다른 접속을 재확립하지 않고 상기 제1 네트워크 요소와 통신하는 단계를 더 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
- 제22항에 있어서,상기 프로세서 모듈은, 새로운 접속을 재확립하지 않고 상기 보안 네트워크 접속을 인계받은 후에, 상기 모바일 클라이언트와 통신하도록 구성되는 제1 보안 서버.
- 제22항에 있어서, 보안 연계들의 검색은 어떠한 목적지 어드레스에도 의존하지 않는 제1 보안 서버.
- 제22항에 있어서, 상기 모바일 클라이언트와 상기 제1 보안 서버 간의 통신들은 인터넷 프로토콜(IPsec)을 위한 보안 아키텍쳐에 기초하는 제1 보안 서버.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/791,414 | 2004-03-03 | ||
US10/791,414 US8186026B2 (en) | 2004-03-03 | 2004-03-03 | Technique for maintaining secure network connections |
PCT/US2005/007377 WO2005084403A2 (en) | 2004-03-03 | 2005-03-03 | Technique for maintaining secure network connections |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070017322A KR20070017322A (ko) | 2007-02-09 |
KR101291501B1 true KR101291501B1 (ko) | 2013-08-01 |
Family
ID=34911652
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020067017513A KR101291501B1 (ko) | 2004-03-03 | 2005-03-03 | 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 |
Country Status (5)
Country | Link |
---|---|
US (2) | US8186026B2 (ko) |
EP (2) | EP1867093A4 (ko) |
KR (1) | KR101291501B1 (ko) |
CN (2) | CN102843368A (ko) |
WO (1) | WO2005084403A2 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
USRE46113E1 (en) | 2004-03-03 | 2016-08-16 | Rpx Clearinghouse Llc | Technique for maintaining secure network connections |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8104081B2 (en) * | 2005-11-15 | 2012-01-24 | Avaya Inc. | IP security with seamless roaming and load balancing |
US8091126B2 (en) * | 2006-08-18 | 2012-01-03 | Microsoft Corporation | Failure recognition |
US8073428B2 (en) * | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
US7853691B2 (en) * | 2006-11-29 | 2010-12-14 | Broadcom Corporation | Method and system for securing a network utilizing IPsec and MACsec protocols |
GB2444514A (en) * | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
KR100905218B1 (ko) * | 2007-04-09 | 2009-07-01 | 삼성전자주식회사 | 애드혹 네트워크에서 콘텐츠 중복 검출 방법 |
US20080298592A1 (en) * | 2007-05-29 | 2008-12-04 | Mohamed Khalid | Technique for changing group member reachability information |
EP2266286A2 (fr) * | 2008-03-31 | 2010-12-29 | France Telecom | Procede de commutation d'un terminal mobile d'un premier routeur d'acces vers un deuxieme routeur d'acces |
US8209749B2 (en) * | 2008-09-17 | 2012-06-26 | Apple Inc. | Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement |
US9292702B2 (en) * | 2009-08-20 | 2016-03-22 | International Business Machines Corporation | Dynamic switching of security configurations |
US8230478B2 (en) | 2009-08-27 | 2012-07-24 | International Business Machines Corporation | Flexibly assigning security configurations to applications |
CN101695071A (zh) * | 2009-09-30 | 2010-04-14 | 杭州华三通信技术有限公司 | 一种网际协议电话终端的注册方法及其设备 |
JP5392034B2 (ja) * | 2009-12-01 | 2014-01-22 | 富士通株式会社 | 通信装置および通信方法 |
US11113299B2 (en) | 2009-12-01 | 2021-09-07 | Apple Inc. | System and method for metadata transfer among search entities |
WO2014143025A1 (en) * | 2013-03-15 | 2014-09-18 | Hewlett-Packard Development Company, L.P. | Secure path determination between devices |
US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
RU2730601C1 (ru) | 2016-10-10 | 2020-08-24 | Хуавэй Текнолоджиз Ко., Лтд. | Способ связи, сетевой элемент узла обеспечения безопасности и терминал |
CN108574589B (zh) | 2017-03-10 | 2021-09-14 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010009025A1 (en) * | 2000-01-18 | 2001-07-19 | Ahonen Pasi Matti Kalevi | Virtual private networks |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3224745B2 (ja) * | 1996-07-09 | 2001-11-05 | 株式会社日立製作所 | 高信頼化ネットワークシステム及びサーバ切り替え方法 |
US6108300A (en) * | 1997-05-02 | 2000-08-22 | Cisco Technology, Inc | Method and apparatus for transparently providing a failover network device |
US6502135B1 (en) * | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US6418130B1 (en) * | 1999-01-08 | 2002-07-09 | Telefonaktiebolaget L M Ericsson (Publ) | Reuse of security associations for improving hand-over performance |
US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
JP3668047B2 (ja) * | 1999-05-20 | 2005-07-06 | 株式会社東芝 | 移動通信方法、移動計算機装置及び暗号化通信装置 |
US7882247B2 (en) * | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
US7058973B1 (en) * | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
GB2366631B (en) * | 2000-03-04 | 2004-10-20 | Ericsson Telefon Ab L M | Communication node, communication network and method of recovering from a temporary failure of a node |
JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
CA2309398C (en) * | 2000-05-24 | 2012-02-21 | Steven P. Meyer | A system, computer product and method for providing a private communication portal |
US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
US6966003B1 (en) * | 2001-01-12 | 2005-11-15 | 3Com Corporation | System and method for switching security associations |
US7107350B2 (en) * | 2001-01-17 | 2006-09-12 | International Business Machines Corporation | Methods, systems and computer program products for security processing outbound communications in a cluster computing environment |
US6938076B2 (en) * | 2001-03-30 | 2005-08-30 | 01 Communique Laboratory Inc. | System, computer product and method for interfacing with a private communication portal from a wireless device |
US7061899B2 (en) * | 2001-05-01 | 2006-06-13 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing network security |
US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
US7020464B2 (en) * | 2001-10-09 | 2006-03-28 | Microsoft Corporation | System and method for providing agent-free and no-packet overhead mobility support with transparent session continuity for mobile devices |
US7269135B2 (en) * | 2002-04-04 | 2007-09-11 | Extreme Networks, Inc. | Methods and systems for providing redundant connectivity across a network using a tunneling protocol |
US6823461B2 (en) * | 2002-06-27 | 2004-11-23 | Nokia Corporation | Method and system for securely transferring context updates towards a mobile node in a wireless network |
FI20031258A0 (fi) * | 2003-09-04 | 2003-09-04 | Nokia Corp | Sijainnin yksityisyys viestintäjärjestelmässä |
US7623500B2 (en) * | 2003-12-22 | 2009-11-24 | Nokia Corporation | Method and system for maintaining a secure tunnel in a packet-based communication system |
US7895648B1 (en) * | 2004-03-01 | 2011-02-22 | Cisco Technology, Inc. | Reliably continuing a secure connection when the address of a machine at one end of the connection changes |
US8186026B2 (en) | 2004-03-03 | 2012-05-29 | Rockstar Bidco, LP | Technique for maintaining secure network connections |
-
2004
- 2004-03-03 US US10/791,414 patent/US8186026B2/en not_active Ceased
-
2005
- 2005-03-03 CN CN2012103021496A patent/CN102843368A/zh active Pending
- 2005-03-03 KR KR1020067017513A patent/KR101291501B1/ko active IP Right Grant
- 2005-03-03 EP EP05724836A patent/EP1867093A4/en not_active Withdrawn
- 2005-03-03 WO PCT/US2005/007377 patent/WO2005084403A2/en active Application Filing
- 2005-03-03 EP EP12165152A patent/EP2528265A1/en not_active Withdrawn
- 2005-03-03 CN CN2005800138862A patent/CN101305541B/zh not_active Expired - Fee Related
-
2014
- 2014-05-29 US US14/290,404 patent/USRE46113E1/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010009025A1 (en) * | 2000-01-18 | 2001-07-19 | Ahonen Pasi Matti Kalevi | Virtual private networks |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
USRE46113E1 (en) | 2004-03-03 | 2016-08-16 | Rpx Clearinghouse Llc | Technique for maintaining secure network connections |
Also Published As
Publication number | Publication date |
---|---|
WO2005084403A3 (en) | 2007-11-15 |
US8186026B2 (en) | 2012-05-29 |
EP2528265A1 (en) | 2012-11-28 |
EP1867093A4 (en) | 2010-12-08 |
EP1867093A2 (en) | 2007-12-19 |
WO2005084403A2 (en) | 2005-09-15 |
USRE46113E1 (en) | 2016-08-16 |
CN102843368A (zh) | 2012-12-26 |
KR20070017322A (ko) | 2007-02-09 |
CN101305541A (zh) | 2008-11-12 |
US20050198691A1 (en) | 2005-09-08 |
CN101305541B (zh) | 2012-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101291501B1 (ko) | 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 | |
EP1774750B1 (en) | Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations | |
US7937581B2 (en) | Method and network for ensuring secure forwarding of messages | |
Frankel et al. | Ip security (ipsec) and internet key exchange (ike) document roadmap | |
US6839338B1 (en) | Method to provide dynamic internet protocol security policy service | |
US7571463B1 (en) | Method an apparatus for providing a scalable and secure network without point to point associations | |
JP5607655B2 (ja) | 非暗号化ネットワーク動作解決策 | |
WO2018161639A1 (zh) | 一种互联网协议安全性隧道的维护方法、装置及系统 | |
US20160134606A1 (en) | Changing group member reachability information | |
US8364948B2 (en) | System and method for supporting secured communication by an aliased cluster | |
US20060182083A1 (en) | Secured virtual private network with mobile nodes | |
CN113852552B (zh) | 一种网络通讯方法、系统与存储介质 | |
CN100514936C (zh) | 移动路由器装置以及本地代理装置 | |
JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
JP2003115834A (ja) | セキュリティアソシエーション切断/継続方法および通信システム | |
Li et al. | Mobile IPv6: protocols and implementation | |
Bussooa et al. | Performance Evaluation of the Update Messages of Locator Identifier Split Protocols Using an IP Paging Mechanism at the End Networks | |
KR100596397B1 (ko) | 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법 | |
Cano Baños et al. | Experimental Tests on SCTP over IPSec |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application | ||
J201 | Request for trial against refusal decision | ||
J301 | Trial decision |
Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20111230 Effective date: 20130419 |
|
S901 | Examination by remand of revocation | ||
GRNO | Decision to grant (after opposition) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160629 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170629 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180628 Year of fee payment: 6 |