KR101291501B1 - 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 - Google Patents

보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 Download PDF

Info

Publication number
KR101291501B1
KR101291501B1 KR1020067017513A KR20067017513A KR101291501B1 KR 101291501 B1 KR101291501 B1 KR 101291501B1 KR 1020067017513 A KR1020067017513 A KR 1020067017513A KR 20067017513 A KR20067017513 A KR 20067017513A KR 101291501 B1 KR101291501 B1 KR 101291501B1
Authority
KR
South Korea
Prior art keywords
security
network element
secure
network
delete delete
Prior art date
Application number
KR1020067017513A
Other languages
English (en)
Other versions
KR20070017322A (ko
Inventor
징 시앙
스리드하르 시르구르카르
블라디미르 센코브
챔파크 다스
Original Assignee
노오텔 네트웍스 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노오텔 네트웍스 리미티드 filed Critical 노오텔 네트웍스 리미티드
Publication of KR20070017322A publication Critical patent/KR20070017322A/ko
Application granted granted Critical
Publication of KR101291501B1 publication Critical patent/KR101291501B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0019Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Abstract

보안 네트워크 접속을 유지하기 위한 기술이 개시된다. 한 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은 제1 네트워크 요소에 관련된 어드레스의 변경을 검출하는 단계를 포함할 수 있다. 이 방법은 또한 제1 네트워크 요소에서 적어도 하나의 제1 보안 구성을 갱신하는 단계를 포함할 수 있다. 이 방법은 제1 네트워크 요소로부터 제2 네트워크 요소로 적어도 하나의 보안 메시지를 전송하는 단계를 더 포함할 수 있으며, 여기에서 적어도 하나의 보안 메시지는 어드레스의 변경에 관련된 정보를 포함한다. 그리고, 이 방법은, 적어도 하나의 보안 메시지에 적어도 부분적으로 기초하여 제2 네트워크 요소에서 적어도 하나의 제2 보안 구성을 갱신하는 단계를 더 포함할 수 있다.
보안 네트워크 접속, 어드레스 변경, 보안 구성, 보안 메시지

Description

보안 네트워크 접속을 유지하기 위한 방법, 시스템 및 컴퓨터 판독가능 매체{TECHNIQUE FOR MAINTAINING SECURE NETWORK CONNECTIONS}
본 발명은 일반적으로 전자통신에 관한 것이고, 더 상세하게는 보안 네트워크 접속을 유지하는 기술에 관한 것이다.
IP 보안(IP Security, IPSec)는 IP 계층에서 패킷의 안전한 교환을 지원하기 위해 IETF(Internet Engineering Task Force)에 의해 개발된 일련의 프로토콜을 포함하는 인터넷 프로토콜(IP)을 위한 보안 아키텍쳐이다. IPSec는 시스템이 요구되는 보안 프로토콜을 선택하고, 서비스(들)에 사용할 알고리즘(들)을 결정하고, 요청된 서비스를 제공하는 데에 필요한 임의의 암호키를 적소에 배치할 수 있게 함으로써 보안 서비스를 제공한다. IPsec는 트래픽 보안을 제공하기 위하여, 2가지 프로토콜, 즉 AH(Authentication Header) 및 ESP(Encapsulating Security Payload)를 사용한다. IPsec가 제대로 효과를 발휘하도록 하기 위하여, 송신 및 수신 장치는 전형적으로 인터넷 보안 연계 및 키 관리 프로토콜(Internet Security Association and Key Management Protocol, ISAKMP)을 통해 관리되는 공개키를 공유한다.
보안 연계(Security Association, SA)는 해당 보안 프로토콜 위치에서 트래픽을 보호하기 위해 필요한 서비스 및 메커니즘을 완벽하게 정의하는 파라미터들의 보안-프로토콜-특유 세트이다. 전형적으로, 이러한 파라미터들은 알고리즘 식별자, 모드, 암호키 등을 포함한다. SA는 종종 그 관련 보안 프로토콜에 관련지어져 언급되기도 한다 (예를 들어, "ISAKMP SA", "ESP SA").
2개의 네트워크 요소들 간에서 보안 접속이 시작될 때, 그 요소들은 그들의 다른 협상(negotiation)을 보호하기 위하여 먼저 ISAKMP SA를 협상해야 한다. 그 다음, 이러한 ISAKMP SA는 프로토콜 SA를 협상하는 데에 사용된다. 프로토콜 SA의 협상 및 확립 동안, 보안 파라미터 인덱스(Security Parameter Index, SPI)가 각 SA에 대하여 생성된다. 협상된 SA는 전형적으로 보안 연계 데이터베이스(SAD)에 저장되고, SPI는 SA를 고유하게 식별하기 위하여 목적지 IP 어드레스 및 보안 프로토콜과 함께 사용된다. 전형적으로 IPsec-가능형 요소에 의해 유지되는 다른 데이터베이스는 모든 IP 패킷의 디스포지션(disposition)에 관한 정책들을 명시하는 보안 정책 데이터베이스(SPD)이다. 전형적으로, 각각의 IPsec-가능형 인터페이스는 분리된 인바운드(inbound) 및 아웃바운드(outbound) 데이터베이스(SPD 및 SAD)를 보유한다.
점점 더 인기를 얻어가고 있는 무선 근거리 네트워크(WLAN)에서, 모바일 사용자가 상이한 서브넷들 간을 로밍하거나, 한 지역으로부터 다른 IP 어드레스를 사용하는 다른 지역으로 로밍하는 것은 드문 일이 아니다. 모바일 클라이언트가 IP 어드레스의 변경을 경험하는 동안, 데이터의 손실없이 보안 접속을 유지하는 기능을 지원하는 것이 점점 더 필요해지고 있다. 그러나, 현재의 IPsec 아키텍쳐는 본래의 접속을 종료하고 새로운 접속을 재확립하지 않고서는 그러한 IP 어드레스 변 경을 지원하지 않는다. 결과적으로, 로밍 중인 클라이언트는 불가피하게 네트워크 서비스 중단을 겪게 되며, 이것은 클라이언트에게 불편한 것은 물론, 반복적인 보안 협상으로 인한 오버헤드 비용으로 인해 네트워크에도 부담이 된다.
접속 상실 문제에 대한 한가지 솔루션은 IPsec 구현에 모바일 IP를 채용하는 것이다. 이러한 솔루션에 의하면, 모바일 클라이언트는 자신의 홈 네트워크에서 비교적 영구적인 모바일 IP 어드레스를 할당받는다. 외부 네트워크로 로밍할 때, 클라이언트는 외부 에이전트로부터 관리(care-of) IP 어드레스를 획득하고, 그 외부 에이전트를 통해 나머지 세계와 통신한다. 도 1에 도시되어 있는 바와 같이, 네트워크 1로부터 네트워크 2로 로밍할 때, 모바일 클라이언트는 접속을 상실하지 않기 위하여 보안 서버로의 이중 터널링(double tunneling)을 유지해야만 한다. 이중 터널링을 갖는 모바일 IP는 매우 비효율적이며, 자원 제한적인 모바일 유닛에서는 특히 문제가 될 수 있다. 또한, 모바일 IP를 구현하는 데에도 상당한 개발 노력이 필요하다.
이러한 점을 고려할 때, 앞에서 언급한 부적절함과 단점들을 극복하는 모빌리티 솔루션을 제공하는 것이 바람직할 것이다.
<발명의 요약>
본 발명에 따르면, 보안 네트워크 접속을 유지하기 위한 기술이 제공된다. 한 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은 제1 네트워크 요소에 관련된 어드레스의 변경을 검출하는 단계를 포함할 수 있다. 이 방법은 또한 제1 네트워크 요소에서 적어도 하나 의 제1 보안 구성을 갱신하는 단계를 포함할 수 있다. 이 방법은 제1 네트워크 요소로부터 제2 네트워크 요소로 적어도 하나의 보안 메시지를 전송하는 단계를 더 포함할 수 있으며, 여기에서 적어도 하나의 보안 메시지는 어드레스의 변경에 관련된 정보를 포함한다. 그리고, 이 방법은, 적어도 하나의 보안 메시지에 적어도 부분적으로 기초하여 제2 네트워크 요소에서 적어도 하나의 제2 보안 구성을 갱신하는 단계를 더 포함할 수 있다.
본 발명의 본 특정 실시예의 다른 양태에 따르면, 보안 연계의 검색은 어떠한 목적지 어드레스에도 의존하지 않을 수 있다.
본 발명의 본 특정 실시예의 또 다른 양태에 따르면, 제1 네트워크 요소는 모바일 클라이언트일 수 있고, 제2 네트워크 요소는 보안 게이트웨이일 수 있다.
본 발명의 본 특정 실시예의 또 다른 양태에 따르면, 제1 네트워크 요소 및 제2 네트워크 요소는 가상 사설 네트워크(VPN)의 일부일 수 있다.
본 발명의 본 특정 실시예의 추가 양태에 따르면, 제1 네트워크 요소와 제2 네트워크 요소 간의 통신은 인터넷 프로토콜을 위한 보안 아키텍쳐(IPsec)에 기초할 수 있다. 제1 네트워크 요소와 제2 네트워크 요소 간에서의 통신의 적어도 일부는 인터넷 보안 연계 및 키 관리 프로토콜(ISAKMP)에 기초할 수 있다. 제2 네트워크 요소는 적어도 하나의 보안 메시지 내의 적어도 하나의 쿠키 필드에 기초하여 적어도 하나의 보안 연계를 식별할 수 있다.
다른 특정 실시예에서, 이 기술은 적어도 하나의 프로세서에 의해 판독될 수 있고, 또한 그 적어도 하나의 프로세서에 위에서 언급된 방법을 수행하기 위한 컴 퓨터 프로세스를 실행할 것을 명령하도록 구성된 명령어들로 이루어진 컴퓨터 프로그램을 전송하기 위해 적어도 하나의 반송파 내에 구현된 적어도 하나의 신호에 의해 실현될 수 있다.
또 다른 특정 실시예에서, 이 기술은 적어도 하나의 프로세서에 의해 판독될 수 있고, 또한 그 하나의 프로세서에 위에서 설명된 방법을 수행하기 위한 컴퓨터 프로세스를 실행할 것을 명령하는 명령어들로 이루어진 컴퓨터 프로그램을 저장하기 위한 적어도 하나의 프로세서 판독가능 매체에 의해 실현될 수 있다.
또 다른 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은, 제2 네트워크 요소와 제3 네트워크 요소 간에서, 제1 네트워크 요소와 제2 네트워크 요소 간의 보안 네트워크 접속에 관련된 정보를 복제하는 단계를 포함할 수 있으며, 여기에서, 보안 네트워크 접속에 관련된 보안 연계의 검색은 어떠한 목적지 어드레스에도 의존하지 않는다. 이 방법은 제1 네트워크 요소와의 보안 네트워크 접속에서 제2 네트워크 요소를 제3 네트워크 요소로 치환하는 단계도 포함할 수 있다. 이 방법은 제3 네트워크 요소로부터 제1 네트워크 요소로 적어도 하나의 보안 메시지를 송신하는 단계를 더 포함할 수 있다.
또 다른 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 방법으로서 실현될 수 있다. 이 방법은 보안 연계의 검색이 어떠한 목적지 어드레스에도 의존하지 않도록 복수의 보안 게이트웨이를 구성하는 단계를 포함할 수 있다. 이 방법은 복수의 보안 게이트웨이 간에서 적어도 하나의 보안 연계를 공유하 는 단계를 더 포함할 수 있다.
또 다른 특정 실시예에서, 이 기술은 보안 네트워크 접속을 유지하기 위한 시스템으로서 실현될 수 있다. 이 시스템은, 제1 네트워크 요소에 관련된 어드레스의 변경을 검출하기 위한 수단, 제1 네트워크 요소에서 적어도 하나의 제1 보안 구성을 갱신하기 위한 수단, 제1 네트워크 요소로부터 제2 네트워크 요소로 적어도 하나의 보안 메시지를 전송하기 위한 수단(적어도 하나의 보안 메시지는 어드레스의 변경에 관련된 정보를 포함함), 및 적어도 하나의 보안 메시지에 기초하여 제2 네트워크 요소에서 적어도 하나의 제2 보안 구성을 갱신하기 위한 수단을 포함할 수 있다.
이제, 본 발명은 첨부된 도면에 도시되어 있는 실시예들을 참조하여 더욱 상세하게 설명될 것이다. 이하에서는, 본 발명이 실시예들을 참조하여 설명되지만, 본 발명이 거기에 국한되는 것은 아니라는 점을 이해해야 한다. 여기에 개시된 교시에 접근할 수 있는 당업자라면, 여기에 개시되고 청구된 본 발명의 범위 내에 포함되면서 본 발명이 중요한 용도로 사용될 수 있는 추가의 구현, 수정 및 실시예와, 다른 사용 분야들을 알아낼 수 있을 것이다.
본 발명의 보다 더 완전한 이해를 돕기 위하여, 첨부 도면들에 대한 참조가 이루어진다. 첨부 도면들에서 유사한 구성요소는 유사한 참조 번호로 표시된다. 이 도면들은 본 발명을 제한하는 것으로 간주되어서는 안되며, 예시적인 목적으로만 사용된 것이다.
도 1은 종래 기술에서 채용되는 모바일 IP 솔루션의 개략도.
도 2는 본 발명의 일 실시예에 따라 보안 네트워크 접속을 유지하기 위한 예시적인 방법을 나타낸 흐름도.
도 3은 본 발명의 일 실시예에 따른 예시적인 IPsec 패킷의 도면.
도 4는 본 발명의 일 실시예에 따른 보안 네트워크 접속을 유지하기 위한 예시적인 시스템을 나타낸 블럭도.
도 5는 본 발명의 일 실시예에 따른 고가용성의 구현예를 나타낸 블럭도.
도 6은 본 발명의 일 실시예에 따른 그룹 모드 보안의 구현예를 나타낸 블럭도.
이하에서는, 설명을 위하여, 본 발명에 따라 보안 네트워크 접속을 유지하기 위한 기술이 터널 모드의 IPsec를 구체적으로 참조하여 설명될 것이다. 그러나, 이 기술은 동작 모드에 상관없이 어떠한 보안 네트워크 프로토콜에도 적용될 수 있음을 알아야 한다. 이하에서, "보안 게이트웨이"는 IPsec 프로토콜을 구현하는 라우터, 방화벽 또는 서버와 같은 임의의 중간 또는 종단 시스템을 나타낸다. "모바일 클라이언트"는 IPsec 프로토콜을 사용하여 보안 게이트웨이와 통신하는 원격 사용자 또는 유닛을 나타낸다. 하나 이상의 보안 게이트웨이 및 모바일 클라이언트가 보안 네트워크 시스템을 형성할 수 있다.
도 2를 참조하면, 본 발명의 일 실시예에 따라 보안 네트워크 접속을 유지하기 위한 예시적인 방법을 도시한 흐름도가 나타나 있다.
단계(200)에서, 보안 연계(SA) 검색은 목적지 IP 어드레스 시스템 전역에 독립적으로 이루어질 수 있다.
터널 모드의 IPsec에 관련하여, IPsec-처리된 패킷은 전형적으로 도 3에 도시된 것과 같은 포맷을 갖는다. 패킷은 외부 IP 헤더, IPsec 헤더, 내부 IP 헤더 및 다른 데이터를 포함한다. 본래의 발신지 및 목적지 어드레스를 포함하는 내부 IP 헤더 및 다른 데이터(예를 들어, 페이로드)는 암호로 보호된다. 암호 및 인증에 관련된 정보는 IPsec 헤더 내에 포함된다. 외부 IP 헤더는 터널 엔드포인트를 위한 발신지 및 목적지 어드레스를 포함한다. 인바운드 처리에서, 보안 게이트웨이는 IPsec 헤더 내에 표시된 프로토콜의 유형 및 보안 파라미터 인덱스(SPI)와 함께, 외부 IP 헤더 내의 목적지 IP 어드레스를 사용하여, 로컬 SA 데이터베이스(SAD) 내에서 적절한 SA(들)을 검색할 것이다. 그리고, 그 적절한 SA 또는 SA 번들이 패킷의 인증 및 복호화에 사용된다.
SA 검색이 목적지 IP 어드레스에 독립적으로 이루어질 때, 프로토콜 내에서 SA를 고유하게 식별하기 위하여 SPI가 사용될 수 있다. 이러한 시스템-전역적인 변화는 여러 이점을 제공할 수 있다. 예를 들어, 인바운드 처리가 더 이상은 목적지 IP 어드레스에 의존하지 않기 때문에, 외부 IP 어드레스의 변경은 올바른 SA(들)의 위치를 찾는 보안 게이트웨이의 능력에 영향을 주지 않을 것이다. 또한, 목적지 IP 어드레스에 대한 의존성을 제거하면, 다수의 IPsec 터널과 복수의 노드 간에서 동일한 SA가 공유될 수 있다. 이하에서는, 그에 따른 높은 이용가능성과 그룹 모드 보안이 보다 더 상세하게 설명될 것이다.
단계(202)에서, 모바일 클라이언트는 자기 자신의 IP 어드레스 변경을 검출할 수 있다. 모바일 클라이언트가 다른 네트워크 또는 지역으로 이동할 때, 그 모바일 클라이언트의 IP 어드레스는 다른 값으로 변경될 수 있다. 또한, 예를 들어, WLAN으로부터 LAN 카드로의 전환 또는 그 역전환과 같은 네트워크 어댑터의 전환에 의해서도 어드레스가 변경될 수 있다. 모바일 클라이언트는 변경을 검출한 때에, 본래의 어드레스는 물론, 새로운 어드레스의 기록을 유지할 수 있다.
단계(204)에서, 모바일 클라이언트는 새로운 IP 어드레스를 이용하여 자기 자신의 ISAKMP SA 및 IPsec SA를 갱신할 수 있다.
다음으로, 단계(206)에서, 모바일 클라이언트는 현재의 ISAKMP SA를 이용하여, 자신과의 보안 접속을 유지해오고 있는 보안 게이트웨이에 NOTIFY 메시지를 송신한다. NOTIFY 메시지는 적어도 클라이언트의 본래 IP 어드레스 및 새로운 IP 어드레스를 포함할 수 있다. NOTIFY 메시지는 중복 패킷의 신뢰가능한 전달 및 검출을 보장하기 위한 일련번호도 포함할 수 있다. NOTIFY 메시지의 내용은 ISAKMP SA 암호화에 의해 보안 보호될 수 있다. ISAKMP NOTIFY 메시지는 다른 ISAKMP 메시지의 동일한 재시도 및 타임아웃에 속할 수 있다.
단계(208)에서, NOTIFY 메시지를 수신하면, 보안 게이트웨이는 ISAKMP 헤더 내의 쿠키 필드에 기초하여 적절한 ISAKMP SA의 위치를 알아낼 수 있다. 쿠키 필드는 NOTIFY 메시지에 관련된 SA를 고유하게 식별한다. 그 다음, 보안 NOTIFY 메시지를 처리하여 본래의 IP 어드레스 및 새로운 IP 어드레스를 추출하기 위하여, 적절한 SA가 적용될 수 있다.
그 다음, 단계(210)에서, 보안 게이트웨이는 모바일 클라이언트의 본래의 IP 어드레스 및 새로운 IP 어드레스에 기초하여 자신의 SAD를 갱신할 수 있다. 본 발명의 실시예들에 따르면, 새로운 IP 어드레스를 갖는 인바운드 데이터에 기초하기 보다는, 모바일 클라이언트로부터의 보안 NOTIFY 메시지에 기초하여 보안 게이트웨이의 SAD를 갱신하는 것이 더 바람직할 수 있다. 아웃바운드 IP 헤더는 해시 메시지 인증 코드(Hashed Message Authentication Code, HMAC)와 같은 완결성 체크에 의해 보호되지 않기 때문에, 아웃바운드 IP 헤더를 이용하여 아웃바운드 SAD 또는 ISAKMP를 갱신하면, 보안 게이트웨이를 서비스 거부(DoS) 공격에 노출시킬 수 있다. 또한, 보안 게이트웨이는 임의의 인바운드 데이터가 수신되기 전에 클라이언트에게 데이터를 포워드해야 할 필요가 있을 수도 있다.
단계(212)에서, 보안 게이트웨이가 모바일 클라이언트의 새로운 IP 어드레스로 갱신된 후, IPsec 접속은 유지될 수 있다. 그들 간에서의 IP 트래픽은 중단없이 양방향으로 계속하여 흐를 수 있다. 모바일 클라이언트가 새로운 IP 어드레스를 목적지로 하는 데이터 패킷을 수신하고 난 후에는, 그 모바일 클라이언트는 새로운 IP 어드레스의 갱신이 성공했음을 알게 될 것이다.
이제, 도 4를 참조하면, 본 발명의 일 실시예에 따라 보안 네트워크 접속을 유지하기 위한 예시적인 시스템(400)을 나타낸 블럭도가 도시되어 있다. 시스템(400)은 IPsec 프로토콜을 구현하는 임의의 네트워크 요소(예를 들어, 원격 유닛, 라우터 또는 서버)일 수 있다. 시스템(400)은 전형적으로 프로세서 모듈(402), 저장 모듈(404) 및 트랜시버 모듈(406)을 포함한다. 프로세서 모듈(402) 은 중앙 처리 유닛(CPU), 마이크로컨트롤러, 디지탈 신호 처리(DSP) 유닛, 또는 패킷-처리 및 하드웨어-제어 기능을 갖는 컴퓨터일 수 있다. 저장 모듈(404)은 프로세서 모듈(402)에 의해 액세스될 수 있는 반도체 메모리, 불휘발성 메모리, 하드 드라이브 디스크, CD-ROM 또는 그와 유사한 것과 같은 저장 장치일 수 있다. 저장 모듈(404)은 SAD, SPD 및 IP 어드레스 등을 포함하는 데이터 레코드를 보유할 수 있다. 트랜시버 모듈(406)은 데이터 패킷을 전송 및 수신할 수 있다. 동작 시에, 프로세서 모듈(402)은 전술한 바와 같은 예시적인 방법에 따라 ISAKMP를 포함하는 IPsec 프로토콜을 따를 수 있다. 시스템(400)은 모바일 클라이언트 또는 보안 게이트웨이의 전형적인 구성요소들을 나타낸 것이다. 모바일 클라이언트로서, 프로세서 모듈(402)은 자신의 IP 어드레스 변경을 검출하고, 본래의 어드레스와 새로운 어드레스를 저장 모듈(404)에 저장하고, 로컬 SAD를 새로운 어드레스로 갱신하고, ISAKMP NOTIFY 메시지를 트랜시버 모듈(406)을 통하여 보안 게이트웨이에 송신할 수 있다. 보안 게이트웨이로서, 프로세서 모듈(402)은 트랜시버 모듈(402)을 통하여 ISAKMP NOTIFY 메시지를 수신하고, NOTIFY 메시지 내의 쿠키 쌍들에 기초하여 저장 모듈(404) 내에서 ISAKMP SA를 검색하고, ISAKMP SA로 메시지를 복호화하고, 본래의 IP 어드레스 및 새로운 IP 어드레스에 기초하여 로컬 SAD를 갱신할 수 있다.
앞에서 언급한 바와 같이, 목적지 IP 어드레스에 대한 의존성을 제거함으로써, 고 가용성(High Availability)과 그룹 모드 보안(Group Mode Security)을 달성하는 것이 가능해진다. 이들 두가지의 구현은 도 5 및 도 6을 참조하여 설명될 것 이다.
도 5는 본 발명의 일 실시예에 따른 고 가용성의 구현예를 도시한 블럭도이다. 도 5에는, IPsec 터널(52)을 통하여 보안 서버(502)와의 보안 접속을 유지하는 모바일 클라이언트(500)가 도시되어 있다. 모바일 클라이언트(500)와 보안 서버(502) 간에 IPsec 접속이 확립될 때, IPsec SA와 ISAKMP SA의 사본이 보안 경로(56)를 통하여 보안 서버(504)에 송신될 수 있다. 클라이언트(500)와 서버(502) 간의 접속이 유지되는 동안, 그들의 보안 구성에서의 임의의 변경은 서버(504)로 보안 복제될 수 있다. 동시에, 서버(504)는 서버(502)의 동작을 지속적으로 모니터링할 수 있다. 서버(502)가 실패하면, 서버(504)는 자신이 접속을 건네받을 것임을 나타내는 ISAKMP NOTIFY 메시지를 클라이언트(500)에 송신할 수 있다. 서버(504)는 클라이언트(500)와 서버(502) 간의 접속에 관한 모든 보안 정보에 대하여 최신의 상태를 유지하고 있으므로, 클라이언트(500)는 IPsec 접속을 재확립하지 않고서도, NOTIFY 메시지를 복호화하고, 서버(504)로의 트래픽 포워드를 시작할 수 있을 것이다. SA가 목적지 IP 어드레스에 의존하지 않으므로, 서버(504)는 서버(502)와 완전히 동일한 방식으로 IPsec 터널(54)을 통해 클라이언트(500)와 통신할 수 있을 것이다. 그 결과, 클라이언트(500)는 서버(502)의 실패로 인한 충격을 최소한으로 경험할 수 있다.
도 6은 본 발명의 일 실시예에 따른 그룹 모드 보안의 구현예를 나타낸 블럭도이다. 현재의 IPsec는 포인트-투-포인트 모델이다. SA가 목적지 IP 어드레스에 의존하면, 임의의 2 노드 간의 각 접속은 개별적으로 구성되어야 한다. N개의 노 드를 갖는 시스템에 대하여 (N은 정수), 총 N*(N-1)/2개의 접속이 구성되어야 한다. 노드의 개수가 증가함에 따라, 개별적으로 구성되어야 하는 접속의 수도 매우 급속하게 증가할 수 있다. 예를 들어, 도 6에 도시된 바와 같이 4개의 지국을 갖는 조직에 있어서, 4개의 보안 서버(A 내지 D) 간에 총 6 접속이 구성되어야 한다. 8개의 노드를 갖는 시스템에 있어서는 28 접속이 구성되어야 한다. 그러나, 목적지 IP 어드레스에 관한 의존성을 없애면, 한 그룹 내의 다수의 노드 간에서 동일한 SA가 공유될 수 있다. 그룹 노드들 간에 송신된 임의의 트래픽은 동일한 SA를 사용하여 보호될 수 있다. 이에 의해, 다수의 지국의 구성이 훨씬 더 용이해진다.
상기에 설명된 예시적인 방법에 따른 기능들은 기존의 네트워크 하드웨어에 물리적인 수정을 가하지 않고서도 달성될 수 있다. 대신에, 본 발명에 따른 모빌리티 솔루션은 소프트웨어 및/또는 펌웨어 업그레이드를 통해 구현될 수 있다.
이 시점에서, 앞에서 설명된 본 발명에 따른 보안 네트워크 접속을 유지하기 위한 기술은 전형적으로 소정 범위까지 입력 데이터의 처리 및 출력 데이터의 생성을 포함한다는 점에 유의해야 한다. 이러한 입력 데이터 처리 및 출력 데이터 생성은 하드웨어 또는 소프트웨어로 구현될 수 있다. 예를 들어, 앞에서 설명된 본 발명에 따른 모빌리티 솔루션에 관련된 기능들을 구현하기 위하여, 컴퓨터 및/또는 통신 네트워크 또는 그와 유사한 것이나 관련 회로 내에 특정 전자 컴포넌트가 이용될 수 있다. 다르게는, 저장된 명령어에 따라 동작하는 하나 이상의 프로세서가, 앞에서 설명된 본 발명에 따른 보안 네트워크 접속을 유지하는 것에 관련된 기능들을 구현할 수 있다. 그러한 경우, 그러한 명령어들이 하나 이상의 프로세서 판독가능 매체(예를 들어, 자기 디스크)에 저장되는 것, 또는 하나 이상의 신호를 통해 하나 이상의 프로세서에 전송되는 것도 본 발명의 범위 내에 포함된다.
본 발명은 여기에 설명된 특정 실시예들에 의해 그 범위가 제한되지 않는다. 실제로, 당업자라면, 상기의 상세한 설명 및 첨부 도면들로부터, 여기에 개시된 것 이외에 본 발명의 다른 다양한 실시예들 및 수정들을 알 수 있을 것이다. 따라서, 그러한 다른 실시예들 및 수정들도 아래의 특허청구범위 내에 포함되는 것으로 의도된다. 또한, 본 발명이 특정 목적을 위한 특정 환경에서의 특정 구현예와 관련하여 설명되었지만, 당업자라면, 본 발명의 활용성이 거기에만 한정되지 않으며, 또한 본 발명이 어떠한 수의 목적을 위한 어떠한 수의 환경에서도 유용하게 구현될 수 있음을 알 것이다. 따라서, 아래의 특허청구범위는 여기에 개시된 본 발명의 넓은 범위 및 취지에 관련하여 이해되어야 한다.

Claims (29)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 보안 네트워크 접속들을 유지하기 위한 방법으로서,
    제3 네트워크 요소에서, 제1 네트워크 요소와 제2 네트워크 요소 사이의 보안 네트워크 접속과 연관된 보안 연계(security association)를 복제하는 단계 - 상기 보안 네트워크 접속과 연관된 보안 연계의 검색은 어떠한 목적지 어드레스에도 의존하지 않음 -;
    상기 제2 네트워크 요소의 장애(failure)를 검출하는 것에 응답하여, 상기 제1 네트워크 요소와의 상기 보안 네트워크 접속에서 상기 제2 네트워크 요소를 상기 제3 네트워크 요소로 치환하는 단계 - 상기 제1 네트워크 요소와 상기 제3 네트워크 요소 사이의 상기 보안 네트워크 접속은 상기 복제된 보안 연계에 기초함 -; 및
    상기 보안 네트워크 접속이 상기 제3 네트워크 요소에 의해 인계될 것임을 상기 제1 네트워크 요소에 통지하기 위해 상기 제3 네트워크 요소로부터 상기 제1 네트워크 요소로 적어도 하나의 보안 메시지를 전송하는 단계
    를 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
  11. 삭제
  12. 보안 네트워크 접속들을 유지하기 위한 방법으로서,
    보안 연계들의 검색이 어떠한 목적지 어드레스에도 의존하지 않도록, 복수의 보안 게이트웨이를 구성하는 단계;
    상기 복수의 보안 게이트웨이 사이에서 보안 연계를 공유하는 단계;
    제1 보안 게이트웨이들이 네트워크 디바이스와의 보안 접속에서 수반되는 제2 보안 게이트웨이들의 장애를 검출하는 단계 - 상기 보안 네트워크 접속은 상기 보안 연계와 연관됨 -; 및
    상기 장애를 검출하는 단계에 응답하여, 상기 제1 보안 게이트웨이는 상기 네트워크 디바이스로 상기 제1 보안 게이트웨이가 상기 보안 네트워크 접속을 인계받는다는 메시지를 전송하는 단계
    를 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 제10항에 있어서,
    상기 제1 네트워크 요소와 상기 제2 네트워크 요소 사이의 보안 네트워크 접속의 수명 중에, 상기 제3 네트워크 요소는 상기 보안 네트워크 요소로부터의 상기 보안 네트워크 접속의 상기 보안 연계에 관한 정보를 수신하는 단계를 더 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
  21. 제20항에 있어서,
    상기 제1 네트워크 요소는 모바일 클라이언트이고, 상기 제2 네트워크 요소 및 상기 제3 네트워크 요소는 보안 서버들인, 보안 네트워크 접속들을 유지하기 위한 방법.
  22. 제1 보안 서버로서,
    모바일 클라이언트와 제2 보안 서버 사이의 보안 네트워크 접속의 적어도 하나의 보안 연계에 관한 정보를 수신하는 송수신기; 및
    프로세서 모듈
    을 포함하고,
    상기 프로세서 모듈은,
    상기 제2 보안 서버의 동작을 모니터하고,
    상기 제2 보안 서버의 장애를 검출하는 것에 응답하여, 상기 제1 보안 서버가 상기 보안 네트워크 접속을 인계받는다는 메시지를 상기 모바일 클라이언트에 전송하고,
    상기 제1 보안 서버와 상기 모바일 클라이언트 사이의 보안 네트워크 접속을 통해 상기 적어도 하나의 보안 연계를 사용하여 상기 모바일 클라이언트와 통신하는 제1 보안 서버.
  23. 제10항에 있어서,
    상기 제1 네트워크 요소는 모바일 클라이언트이고, 상기 제2 네트워크 요소 및 상기 제3 네트워크 요소는 보안 서버들인, 보안 네트워크 접속들을 유지하기 위한 방법.
  24. 제22항에 있어서,
    상기 적어도 하나의 보안 연계에 관한 정보는 상기 제1 보안 서버 및 상기 제2 보안 서버에서 복제되는 제1 보안 서버.
  25. 제12항에 있어서,
    상기 보안 연계를 공유하는 단계는, 상기 복수의 보안 게이트웨이 중 IPsec 보안 연계를 공유하는 단계를 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
  26. 제10항에 있어서,
    상기 보안 접속 네트워크에서 상기 제2 네트워크 요소를 상기 제3 네트워크 요소로 치환한 후에, 상기 제3 네트워크 요소는 상기 제1 네트워크 요소와의 다른 접속을 재확립하지 않고 상기 제1 네트워크 요소와 통신하는 단계를 더 포함하는, 보안 네트워크 접속들을 유지하기 위한 방법.
  27. 제22항에 있어서,
    상기 프로세서 모듈은, 새로운 접속을 재확립하지 않고 상기 보안 네트워크 접속을 인계받은 후에, 상기 모바일 클라이언트와 통신하도록 구성되는 제1 보안 서버.
  28. 제22항에 있어서, 보안 연계들의 검색은 어떠한 목적지 어드레스에도 의존하지 않는 제1 보안 서버.
  29. 제22항에 있어서, 상기 모바일 클라이언트와 상기 제1 보안 서버 간의 통신들은 인터넷 프로토콜(IPsec)을 위한 보안 아키텍쳐에 기초하는 제1 보안 서버.
KR1020067017513A 2004-03-03 2005-03-03 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 KR101291501B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/791,414 2004-03-03
US10/791,414 US8186026B2 (en) 2004-03-03 2004-03-03 Technique for maintaining secure network connections
PCT/US2005/007377 WO2005084403A2 (en) 2004-03-03 2005-03-03 Technique for maintaining secure network connections

Publications (2)

Publication Number Publication Date
KR20070017322A KR20070017322A (ko) 2007-02-09
KR101291501B1 true KR101291501B1 (ko) 2013-08-01

Family

ID=34911652

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067017513A KR101291501B1 (ko) 2004-03-03 2005-03-03 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체

Country Status (5)

Country Link
US (2) US8186026B2 (ko)
EP (2) EP1867093A4 (ko)
KR (1) KR101291501B1 (ko)
CN (2) CN102843368A (ko)
WO (1) WO2005084403A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USRE46113E1 (en) 2004-03-03 2016-08-16 Rpx Clearinghouse Llc Technique for maintaining secure network connections

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8104081B2 (en) * 2005-11-15 2012-01-24 Avaya Inc. IP security with seamless roaming and load balancing
US8091126B2 (en) * 2006-08-18 2012-01-03 Microsoft Corporation Failure recognition
US8073428B2 (en) * 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
KR100905218B1 (ko) * 2007-04-09 2009-07-01 삼성전자주식회사 애드혹 네트워크에서 콘텐츠 중복 검출 방법
US20080298592A1 (en) * 2007-05-29 2008-12-04 Mohamed Khalid Technique for changing group member reachability information
EP2266286A2 (fr) * 2008-03-31 2010-12-29 France Telecom Procede de commutation d'un terminal mobile d'un premier routeur d'acces vers un deuxieme routeur d'acces
US8209749B2 (en) * 2008-09-17 2012-06-26 Apple Inc. Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
US9292702B2 (en) * 2009-08-20 2016-03-22 International Business Machines Corporation Dynamic switching of security configurations
US8230478B2 (en) 2009-08-27 2012-07-24 International Business Machines Corporation Flexibly assigning security configurations to applications
CN101695071A (zh) * 2009-09-30 2010-04-14 杭州华三通信技术有限公司 一种网际协议电话终端的注册方法及其设备
JP5392034B2 (ja) * 2009-12-01 2014-01-22 富士通株式会社 通信装置および通信方法
US11113299B2 (en) 2009-12-01 2021-09-07 Apple Inc. System and method for metadata transfer among search entities
WO2014143025A1 (en) * 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Secure path determination between devices
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
RU2730601C1 (ru) 2016-10-10 2020-08-24 Хуавэй Текнолоджиз Ко., Лтд. Способ связи, сетевой элемент узла обеспечения безопасности и терминал
CN108574589B (zh) 2017-03-10 2021-09-14 华为技术有限公司 一种互联网协议安全性隧道的维护方法、装置及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010009025A1 (en) * 2000-01-18 2001-07-19 Ahonen Pasi Matti Kalevi Virtual private networks

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3224745B2 (ja) * 1996-07-09 2001-11-05 株式会社日立製作所 高信頼化ネットワークシステム及びサーバ切り替え方法
US6108300A (en) * 1997-05-02 2000-08-22 Cisco Technology, Inc Method and apparatus for transparently providing a failover network device
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
JP3668047B2 (ja) * 1999-05-20 2005-07-06 株式会社東芝 移動通信方法、移動計算機装置及び暗号化通信装置
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US7058973B1 (en) * 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses
GB2366631B (en) * 2000-03-04 2004-10-20 Ericsson Telefon Ab L M Communication node, communication network and method of recovering from a temporary failure of a node
JP2001298449A (ja) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
CA2309398C (en) * 2000-05-24 2012-02-21 Steven P. Meyer A system, computer product and method for providing a private communication portal
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US6966003B1 (en) * 2001-01-12 2005-11-15 3Com Corporation System and method for switching security associations
US7107350B2 (en) * 2001-01-17 2006-09-12 International Business Machines Corporation Methods, systems and computer program products for security processing outbound communications in a cluster computing environment
US6938076B2 (en) * 2001-03-30 2005-08-30 01 Communique Laboratory Inc. System, computer product and method for interfacing with a private communication portal from a wireless device
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7020464B2 (en) * 2001-10-09 2006-03-28 Microsoft Corporation System and method for providing agent-free and no-packet overhead mobility support with transparent session continuity for mobile devices
US7269135B2 (en) * 2002-04-04 2007-09-11 Extreme Networks, Inc. Methods and systems for providing redundant connectivity across a network using a tunneling protocol
US6823461B2 (en) * 2002-06-27 2004-11-23 Nokia Corporation Method and system for securely transferring context updates towards a mobile node in a wireless network
FI20031258A0 (fi) * 2003-09-04 2003-09-04 Nokia Corp Sijainnin yksityisyys viestintäjärjestelmässä
US7623500B2 (en) * 2003-12-22 2009-11-24 Nokia Corporation Method and system for maintaining a secure tunnel in a packet-based communication system
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US8186026B2 (en) 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010009025A1 (en) * 2000-01-18 2001-07-19 Ahonen Pasi Matti Kalevi Virtual private networks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USRE46113E1 (en) 2004-03-03 2016-08-16 Rpx Clearinghouse Llc Technique for maintaining secure network connections

Also Published As

Publication number Publication date
WO2005084403A3 (en) 2007-11-15
US8186026B2 (en) 2012-05-29
EP2528265A1 (en) 2012-11-28
EP1867093A4 (en) 2010-12-08
EP1867093A2 (en) 2007-12-19
WO2005084403A2 (en) 2005-09-15
USRE46113E1 (en) 2016-08-16
CN102843368A (zh) 2012-12-26
KR20070017322A (ko) 2007-02-09
CN101305541A (zh) 2008-11-12
US20050198691A1 (en) 2005-09-08
CN101305541B (zh) 2012-10-10

Similar Documents

Publication Publication Date Title
KR101291501B1 (ko) 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체
EP1774750B1 (en) Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
Frankel et al. Ip security (ipsec) and internet key exchange (ike) document roadmap
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7571463B1 (en) Method an apparatus for providing a scalable and secure network without point to point associations
JP5607655B2 (ja) 非暗号化ネットワーク動作解決策
WO2018161639A1 (zh) 一种互联网协议安全性隧道的维护方法、装置及系统
US20160134606A1 (en) Changing group member reachability information
US8364948B2 (en) System and method for supporting secured communication by an aliased cluster
US20060182083A1 (en) Secured virtual private network with mobile nodes
CN113852552B (zh) 一种网络通讯方法、系统与存储介质
CN100514936C (zh) 移动路由器装置以及本地代理装置
JP4305087B2 (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
JP2003115834A (ja) セキュリティアソシエーション切断/継続方法および通信システム
Li et al. Mobile IPv6: protocols and implementation
Bussooa et al. Performance Evaluation of the Update Messages of Locator Identifier Split Protocols Using an IP Paging Mechanism at the End Networks
KR100596397B1 (ko) 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법
Cano Baños et al. Experimental Tests on SCTP over IPSec

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20111230

Effective date: 20130419

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160629

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180628

Year of fee payment: 6