KR101382620B1 - SYSTEM AND METHOD FOR DECREASING Power Consumption - Google Patents

SYSTEM AND METHOD FOR DECREASING Power Consumption Download PDF

Info

Publication number
KR101382620B1
KR101382620B1 KR1020100076561A KR20100076561A KR101382620B1 KR 101382620 B1 KR101382620 B1 KR 101382620B1 KR 1020100076561 A KR1020100076561 A KR 1020100076561A KR 20100076561 A KR20100076561 A KR 20100076561A KR 101382620 B1 KR101382620 B1 KR 101382620B1
Authority
KR
South Korea
Prior art keywords
packet
address
private network
hoa
virtual
Prior art date
Application number
KR1020100076561A
Other languages
Korean (ko)
Other versions
KR20110040652A (en
Inventor
홍승우
박종대
노성기
류호용
이경호
문성
박평구
윤호선
고남석
김선철
이순석
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/904,774 priority Critical patent/US20110085552A1/en
Publication of KR20110040652A publication Critical patent/KR20110040652A/en
Application granted granted Critical
Publication of KR101382620B1 publication Critical patent/KR101382620B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상사설망을 구성하는 기술에 관한 것이다.
이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망 게이트웨이는 이동성 지원부, 데이터 보안부 및 가상주소 변환부를 포함한다. 이동성 지원부는 접속노드로부터 패킷이 전달되는 경우, 접속노드의 HoA와 변경된 CoA의 매핑관계를 유지하며 패킷에 대한 이동성 터널을 처리하여 제1 변환 패킷을 생성한다. 데이터 보안부는 이동성 지원부로부터 제1 변환 패킷을 전달받으며, 제1 변환 패킷에 대한 보안성 검사를 수행한다. 가상주소 변환부는 보안성 검사가 완료된 제1 변환 패킷을 수신하여 제1 변환 패킷의 소스 주소인 접속노드의 HoA를 가상사설망에서 사용 가능한 사설망 내부 주소로 변환하여 제2변환 패킷을 생성한다.The present invention relates to a technique for constructing a virtual private network.
The virtual private network gateway that supports mobility to a connection node having a virtual home address (HoA) that does not change during the movement and an IP address (CoA) that constantly changes during the movement includes a mobility support unit, a data security unit, and a virtual address translator. When the packet is delivered from the access node, the mobility support unit maintains a mapping relationship between the HoA of the access node and the changed CoA and processes the mobility tunnel for the packet to generate a first transform packet. The data security unit receives the first translation packet from the mobility support unit and performs a security check on the first translation packet. The virtual address translator receives the first translation packet having completed the security check, and converts the HoA of the access node, which is the source address of the first translation packet, into a private network internal address that can be used in the virtual private network to generate a second translation packet.

Figure R1020100076561
Figure R1020100076561

Description

가상사설망을 구성하는 장치 및 방법{SYSTEM AND METHOD FOR DECREASING Power Consumption}Device and method for configuring virtual private network {SYSTEM AND METHOD FOR DECREASING Power Consumption}

본 발명은 가상사설망을 구성하는 장치 및 방법에 관한 것으로, 특히 원격 접속 노드가 변하지 하는 가상홈주소(Virtual Home Address)를 이용하여 이동성을 지원하는 가상사설망을 구성하는 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for constructing a virtual private network, and more particularly, to an apparatus and method for constructing a virtual private network that supports mobility by using a virtual home address that a remote access node changes.

본사 및 여러 지사가 지리적으로 분산된 기업환경에서 본사와 지사를 연결하기 위해서는 전용회선(Lease Line)을 임대하여 사설망을 구축하는 방법을 사용한다. 하지만 사설망을 구축하기 위한 전용회선의 비용이 상대적으로 비싸므로 보다 저렴하게 사설망을 구축하기 위해 공중망(Public Network)을 이용하기도 한다.In order to connect headquarters and branches in a geographically dispersed corporate environment, headquarters and branch offices use a lease line to build a private network. However, the cost of the leased line to build a private network is relatively high, so a public network may be used to build a private network at a lower cost.

이처럼 공중망을 이용하여 사설망의 기능을 제공하는 것을 가상사설망(Virtual Private Network)이라 하며, 이러한 가상사설망은 기업의 내부 사설통신망과 공중 인터넷과 연결만 하면 되므로 별도의 값비싼 장비나 소프트웨어를 구입하고 관리할 필요가 없어 기존의 사설망 연결방식보다 비용이 대폭 절감되는 효과를 기대할 수 있다. 그리고, 재택 근무자, 출장이 잦은 직원 및 현재 근무자들이 인터넷 서비스 제공자와 인터넷을 통하여 기업 사설망에 연결 할 수 있어 보다 유연하고 저렴하게 본사와 지사, 지사와 지사 및 외부 직원과의 자료 공유를 용이하게 수행할 수 있다. In this way, providing a private network function using a public network is called a virtual private network. Since the virtual private network only needs to be connected to a company's internal private communication network and the public Internet, it purchases and manages additional expensive equipment or software. There is no need to do so, and the cost can be expected to be greatly reduced compared to the existing private network connection method. In addition, telecommuters, employees with frequent business trips, and current employees can connect to corporate private networks through Internet service providers and the Internet, making it easier to share data with headquarters, branch offices, branch offices and branch offices, and external employees. can do.

이러한 가상 사설망을 구축하는 방법으로는 비연결형 네트워크인 인터넷상에서 MPLS L2VPN(Multiprotocol Label Switching Layer 2 Virtual Private Network), L3VPN(Layer 3 Virtual Private Networks), L2TP(Layer 2 Tunneling Protocol) 및 PPTP(Point??to??Point Tunneling Protocol)와 같은 특정 프로토콜을 사용하여 연결성을 제공하거나 또는 IPSec(Internet Protocol Security protocol) 및 SSL(secure sockets layer)과 같은 보안 기능을 추가하여 가상 사설망을 구축한다. Such a virtual private network can be constructed by using the MPLS Multiprotocol Label Switching Layer 2 Virtual Private Network (L2VPN), Layer 3 Virtual Private Networks (L3VPN), Layer 2 Tunneling Protocol (L2TP), and Point ?? Provide connectivity using specific protocols, such as Point Tunneling Protocol, or add security features such as Internet Protocol Security protocol (IPSec) and secure sockets layer (SSL) to build virtual private networks.

하지만 MPLS VPN, L2TP 및 PPTP의 경우는 가상 사설망의 중요한 요소인 데이터 보안에 대한 정의 없이 단순히 연결성만을 제공하며, IPSec 및 SSL의 경우는 종단 대 종단(End-to-End) 간의 보안을 정의하기 때문에 종단 대 망(End-to-Network), 망 대 망(Network-to-Network) 간의 보안을 정의하기에 부족한 점이 많다. 특히 종래의 가상사설망 기술들은 기업사설망에 접속하고 있는 노드가 이동하여 인터넷의 접속포인트가 바뀔 경우 연결성을 전혀 제공하지 못하는 문제점이 있다.However, MPLS VPN, L2TP, and PPTP simply provide connectivity without defining data security, which is an important element of virtual private network, and IPSec and SSL define end-to-end security. There are many deficiencies in defining security between end-to-network and network-to-network. In particular, the conventional virtual private network technologies have a problem in that no connectivity is provided when the access point of the Internet changes due to the movement of a node connected to the corporate private network.

본 발명이 이루고자 하는 기술적 과제는 가상사설망을 이용하는 원격 사용자에게 안전한 보안회선을 제공하며, 원격 사용자의 이동 시에도 끊김 없이 서비스를 제공할 수 있는 가상사설망을 구성하는 장치 및 방법에 관한 것이다.The present invention provides an apparatus and method for configuring a virtual private network that provides a secure security line to a remote user using a virtual private network, and can provide a service seamlessly even when the remote user moves.

상기한 목적을 달성하기 위한 본 발명의 특징에 따른 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 장치에 있어서,An apparatus for configuring a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during a move and an IP address (CoA) that continuously changes during a move according to a feature of the present invention for achieving the above object. In

상기 접속노드로부터 패킷이 전달되는 경우, 상기 접속노드의 HoA와 변경된 상기 CoA의 매핑관계를 유지하며 상기 패킷에 대한 이동성 터널을 처리하여 제1 변환 패킷을 생성하는 이동성 지원부, 상기 이동성 지원부로부터 상기 제1 변환 패킷을 전달받으며, 상기 제1 변환 패킷에 대한 보안성 검사를 수행하는 데이터 보안부, 그리고 상기 보안성 검사가 완료된 상기 제1 변환 패킷을 수신하여 상기 제1 변환 패킷의 소스 주소인 상기 접속노드의 HoA를 상기 가상사설망에서 사용 가능한 사설망 내부 주소로 변환하여 제2변환 패킷을 생성하는 가상주소 변환부를 포함한다.When a packet is transmitted from the access node, the mobility support unit maintains a mapping relationship between the HoA of the access node and the changed CoA and processes a mobility tunnel for the packet to generate a first transform packet. The access node that receives a first translation packet, performs a security check on the first translation packet, and receives the first translation packet on which the security check is completed, and is the source node of the first translation packet. And converts the HoA into a private network internal address usable in the virtual private network to generate a second translation packet.

상기한 목적을 달성하기 위한 본 발명의 다른 특징에 따른 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 장치에 있어서, An apparatus for configuring a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during movement and an IP address (CoA) that continuously changes during movement according to another aspect of the present invention for achieving the above object. To

상기 가상사설망 내부의 서비스 서버에서 상기 접속노드로 패킷을 전달하는경우, 상기 접속노드의 HoA에 대응하는 사설망 내부 주소를 목적지 주소로하는 상기 패킷을 상기 서비스 서버로부터 전달받으며, 상기 사설망 내부 주소를 상기 접속노드의 HoA로 복원하여 제1 복원 패킷을 생성하는 가상주소 변환부, 상기 가상주소 변환부로부터 상기 제1 복원 패킷을 전달받으며, 상기 제1 복원 패킷을 암호화하는 데이터 보안부, 그리고 상기 데이터 보안부로부터 암호화된 상기 제1 복원 패킷을 전달받으며, 상기 제1 복원 패킷으로부터 상기 접속노드의 HoA를 검출하고 이동성 터널을 처리하여 제2 복원 패킷을 생성하는 이동성 지원부를 포함한다.When the packet is delivered from the service server in the virtual private network to the access node, the packet is transmitted from the service server to the private network internal address corresponding to the HoA of the access node as a destination address, and the private network internal address is received. A virtual address translator for restoring a HoA of a connection node to generate a first reconstruction packet, a data security unit for receiving the first reconstruction packet from the virtual address translator, encrypting the first reconstruction packet, and a data security unit And a mobility support unit that receives the encrypted first recovery packet and detects the HoA of the access node from the first recovery packet and processes a mobility tunnel to generate a second recovery packet.

상기한 목적을 달성하기 위한 본 발명의 또 다른 특징에 따른 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 방법에 있어서,According to another aspect of the present invention for achieving the above object to configure a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during the movement and IP address (CoA) constantly changing during the movement In the method,

상기 접속노드로부터 패킷이 전달되는 경우, 상기 패킷에 대한 이동성 터널을 처리하여 제1 변환 패킷을 생성하는 단계, 상기 제1 변환 패킷에 대한 보안성 검사를 수행하는 단계, 그리고 상기 보안성 검사가 완료된 상기 제1 변환 패킷의 소스 주소인 상기 접속노드의 HoA를 상기 가상사설망에서 사용 가능한 사설망 내부 주소로 변환하여 제2변환 패킷을 생성하는 단계를 포함한다.When a packet is delivered from the access node, processing a mobility tunnel for the packet to generate a first translated packet, performing a security check on the first translated packet, and completing the security check And generating a second translated packet by converting the HoA of the access node, which is the source address of the first translated packet, into an internal network address that can be used in the virtual private network.

상기한 목적을 달성하기 위한 본 발명의 또 다른 특징에 따른 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 방법에 있어서, According to another aspect of the present invention for achieving the above object to configure a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during the movement and IP address (CoA) constantly changing during the movement In the method,

상기 가상사설망의 내부 서비스 서버에서 상기 접속노드로 패킷을 전달하는경우, 상기 접속노드의 HoA에 대응하는 사설망 내부 주소를 목적지 주소로하는 상기 패킷을 상기 내부 서비스 서버로부터 전달받는 단계, 상기 패킷의 목적지 주소인 상기 사설망 내부 주소를 상기 접속노드의 HoA로 복원하여 제1 복원 패킷을 생성하는 단계, 상기 제1 복원 패킷을 암호화하고, 암호화된 상기 제1 복원 패킷으로부터 상기 접속노드의 HoA를 검출하는 단계, 그리고 상기 제1 복원 패킷에 상기 접속노드의 HoA에 대한 이동성 터널을 처리하여 제2 복원 패킷을 생성한다.When the packet is delivered from the internal service server of the virtual private network to the access node, receiving the packet from the internal service server using a private network internal address corresponding to a HoA of the access node as a destination address, the destination of the packet Restoring the private network internal address, which is an address, to a HoA of the access node, generating a first recovery packet, encrypting the first recovery packet, and detecting the HoA of the access node from the encrypted first recovery packet. And processing a mobility tunnel for HoA of the access node to the first reconstruction packet to generate a second reconstruction packet.

본 발명의 실시예에 따르면 접속노드의 가상 홈주소에 실제 기업사설망의 내부에서 사용 가능한 사설망 내부 주소가 대응되도록 할당하여 통신을 수행함에 따라 접속노드의 이동 시에도 끊김 없이 서비스를 제공할 수 있으며, 원격 사용자에게 안전한 보안회선을 제공할 수 있다.According to an embodiment of the present invention, a service can be seamlessly provided even when the access node is moved by allocating the virtual home address of the access node to correspond to the internal address of the private network that can be used inside the corporate private network. It can provide a secure line for remote users.

도 1은 본 발명의 실시예에 따른 가상사설망을 개략적으로 나타내는 도면이다.
도 2는 도 1에 도시한 기업사설망의 가상사설망 게이트웨이의 구성을 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 기업사설망으로 패킷이 입력되는 한 예를 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 기업사설망으로 입력된 패킷을 처리하는 순서를 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 기업사설망에서 출력되는 패킷의 한 예를 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 기업사설망으로부터 출력되는 패킷을 처리하는 순서를 나타내는 도면이다.1 is a view schematically showing a virtual private network according to an embodiment of the present invention.
FIG. 2 is a diagram showing the configuration of the virtual private network gateway of the corporate private network shown in FIG.
3 is a diagram illustrating an example in which a packet is input to a corporate private network according to an embodiment of the present invention.
4 is a diagram illustrating a procedure of processing a packet input to a corporate private network according to an embodiment of the present invention.
5 is a view showing an example of a packet output from the private network according to an embodiment of the present invention.
6 is a diagram illustrating a procedure of processing a packet output from a private enterprise network according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, except to exclude other components unless otherwise stated.

도 1은 본 발명의 실시예에 따른 가상사설망을 개략적으로 나타내는 도면이다. 1 is a view schematically showing a virtual private network according to an embodiment of the present invention.

도 1에 도시한 바와 같이, 본 발명의 실시예에 따른 가상사설망은 이동성을 지원하는 기업사설망(10), 인터넷(20) 및 접속노드(30)를 포함한다.As shown in FIG. 1, the virtual private network according to the embodiment of the present invention includes a corporate private network 10, an Internet 20, and a connection node 30 that support mobility.

기업사설망(10)은 방화벽(100), 가상사설망 게이트웨이(200) 및 서비스 서버(300)를 포함한다.The corporate private network 10 includes a firewall 100, a virtual private network gateway 200, and a service server 300.

방화벽(100)은 인터넷(20)을 통해 접속하는 비정상적인 접속노드(도시하지 않음)로부터 내부 기업사설망(10)을 보호한다.The firewall 100 protects the internal corporate private network 10 from abnormal connection nodes (not shown) connected through the Internet 20.

가상사설망 게이트웨이(200)는 접속노드(30)가 인터넷(20)을 통해 기업사설망(10)의 내부로 접속을 시도하는 경우 원격 사용자에게 안전한 보안회선을 제공하며, 원격 사용자의 이동 시에도 끊김없이 접속이 가능하도록 원격이동 서비스를 제공한다. 즉, 가상사설망 게이트웨이(200)는 접속노드(30)가 기업사설망(10) 내부에 있는 서비스 서버(300)에 안전하게 접속되도록 한다.The virtual private network gateway 200 provides a secure security line to the remote user when the access node 30 attempts to access the corporate private network 10 through the Internet 20, and is seamlessly connected even when the remote user moves. Provide remote mobility service to enable access. That is, the virtual private network gateway 200 allows the connection node 30 to be securely connected to the service server 300 inside the corporate private network 10.

서비스 서버(300)는 그룹웨어서버(310), 비디오서버(320) 및 파일서버(330)등과 같이 접속노드(30)에 내부 서비스를 제공하는 서비스 서버들을 포함한다. 본 발명의 실시예에서는 서비스 서버로 그룹웨어서버(310), 비디오서버(320) 및 파일서버(330)를 도시하였으나, 본 발명은 이에 한정되지 않으며, 내부 서비스를 제공할 수 있는 다양한 서버들이 포함될 수 있다. The service server 300 includes service servers that provide internal services to the connection node 30 such as the groupware server 310, the video server 320, the file server 330, and the like. In the exemplary embodiment of the present invention, although the groupware server 310, the video server 320, and the file server 330 are illustrated as service servers, the present invention is not limited thereto, and various servers capable of providing internal services may be included. have.

접속노드(30)는 고정되어 있는 유선접속망을 통해 인터넷(20)에 연결되어 가상사설망 게이트웨이(200)로 접속한다. 또는, 접속노드(30)는 이동이 가능한 무선접속망을 통해 인터넷(20)에 연결되어 가상사설망 게이트웨이(200)로 접속한다. 즉, 접속노드(30)는 이동 중에도 변하지 않는 가상 홈주소(Virtual Home Address, 이하 "HoA"라고 함)와 이동 중에 계속적으로 변하는 IP주소(Care of Address, 이하 "CoA"라고 함)를 이용하여 인터넷(20)을 통해 기업사설망(10)에 접속한다. 여기서, HoA는 접속노드(30)가 가상사설망 게이트웨이(200)에 접속할 때 가상사설망 게이트웨이(200)가 접속노드(30)에 대하여 인증을 수행한 후 접속노드(30)로 할당하는 가상의 주소이다.The connection node 30 is connected to the Internet 20 through a fixed wired access network and connects to the virtual private network gateway 200. Alternatively, the connection node 30 is connected to the Internet 20 via a mobile wireless access network to the virtual private network gateway 200. That is, the connection node 30 uses a virtual home address (hereinafter referred to as "HoA") that does not change even while moving and an IP address (Care of Address (hereinafter referred to as "CoA")) that continuously changes during the movement. The private network 10 is accessed through the Internet 20. Here, the HoA is a virtual address assigned by the virtual private network gateway 200 to the access node 30 after the virtual private network gateway 200 authenticates the access node 30 when the access node 30 accesses the virtual private network gateway 200. .

도 2는 도 1에 도시한 기업사설망의 가상사설망 게이트웨이의 구성을 나타내는 도면이다. FIG. 2 is a diagram showing the configuration of the virtual private network gateway of the corporate private network shown in FIG.

도 2에 도시한 바와 같이, 본 발명의 실시예에 따른 기업사설망(10)의 가상사설망 게이트웨이(200)는 이동성 지원부(210), 데이터 보안부(220) 및 가상주소 변환부(230)를 포함한다.As shown in FIG. 2, the virtual private network gateway 200 of the corporate private network 10 according to the embodiment of the present invention includes a mobility support unit 210, a data security unit 220, and a virtual address translator 230. .

이동성 지원부(210)는 접속노드(30)가 이동 중에 인터넷 접속포인트가 바뀌게 되어 지속적으로 CoA가 변하는 경우에도 원격 사용자에게 안전한 보안회선을 제공한다. 구체적으로, 이동성 지원부(210)는 HoA와 CoA간의 매핑관계(Binding Relation)를 지속적으로 유지하고, HoA를 CoA로 터널링하여 접속노드(30)의 연결이 끊기지 않도록 한다.The mobility support unit 210 provides a secure security line to a remote user even when the connection node 30 changes the Internet access point while the CoA is constantly changing. Specifically, the mobility support unit 210 continuously maintains a mapping relationship between the HoA and the CoA, and tunnels the HoA to the CoA so that the connection node 30 is not disconnected.

예를 들어, 접속노드(30)에 할당된 HoA가 (10.1.11)일 때, 접속노드(30)가 이동하여 인터넷 접속포인트가 바뀌게 되는 경우, 접속노드(30)의 CoA는 이동 전 CoA(192.168.10.1)에서 이동 후 CoA(122.254.10.1)로 변경된다. 이러한 경우 이동성 지원부(210)는 이동 전 CoA(192.168.10.1)와 HoA(10.1.11)간의 매핑관계를 지속적으로 유지하다가 이동 후 변경된 CoA(122.254.10.1)와 HoA(10.1.11)간의 매핑관계를 유지하여 이동 시에도 끊김없이 기업사설망(10)으로 접속할 수 있도록 서비스를 제공한다.For example, when the HoA assigned to the connection node 30 is (10.1.11), when the connection node 30 moves and the Internet connection point is changed, the CoA of the connection node 30 is changed to CoA ( After moving from 192.168.10.1) to CoA (122.254.10.1). In this case, the mobility support unit 210 continuously maintains the mapping relationship between CoA (192.168.10.1) and HoA (10.1.11) before moving, and then changes the mapping relationship between CoA (122.254.10.1) and HoA (10.1.11) changed after moving. It provides a service to be connected to the corporate private network (10) without a break even when moving.

데이터 보안부(220)는 접속노드(30)가 보안이 취약한 인터넷을 통해 전달되므로 접속노드(30)와 가상사설망 게이트웨이(200) 간에 전달되는 데이터를 암호화 및 복호화한다.The data security unit 220 encrypts and decrypts the data transmitted between the access node 30 and the virtual private network gateway 200 because the access node 30 is transmitted through a weak Internet.

가상주소 변환부(230)는 접속노드(30)로 할당된 HoA가 기업사설망(10)의 서비스 서버(300)에서 사용될 수 있도록 하기 위해 접속노드(30)로 할당된 HoA에 대응하는 사설망 내부 주소를 사용한다. 즉, HoA는 가상사설망 게이트웨이(200)만 인식할 수 있는 임의의 주소이므로 가상주소 변환부(230)는 접속노드(30)로부터 전달된 패킷의 HoA를 기업사설망(10)의 내부에서 사용할 수 있도록 대응하는 사설망 내부 주소로 변환한다.The virtual address translator 230 may use a private network internal address corresponding to the HoA assigned to the access node 30 so that the HoA assigned to the access node 30 may be used by the service server 300 of the enterprise private network 10. Use That is, since the HoA is an arbitrary address that can be recognized only by the virtual private network gateway 200, the virtual address translator 230 can use the HoA of the packet transmitted from the access node 30 inside the corporate private network 10. Convert to the corresponding private network internal address.

구체적으로, 접속노드(30)가 인터넷(20)을 통해 외부에서 기업사설망(10)으로 패킷을 전달하는 경우, 가상주소 변환부(230)는 HoA를 기업사설망(10)의 내부에서 사용할 수 있는 HoA에 대응하는 사설망 내부 주소로 변환하여 통신을 수행한다. 반대로, 기업사설망(10)에서 인터넷(20)을 통해 내부에서 접속노드(30)로 패킷을 전달하는 경우, 가상주소 변환부(230)는 접속노드(30)의 사설망 내부 주소에 대응하는 HoA로 변환하여 통신을 수행한다.Specifically, when the access node 30 delivers the packet to the private network 10 from the outside through the Internet 20, the virtual address translation unit 230 can use the HoA inside the private network 10 It performs communication by translating to internal address of private network corresponding to HoA. On the contrary, when the private network 10 transmits the packet from the internal network 10 to the access node 30 from the inside, the virtual address translator 230 is transferred to the HoA corresponding to the internal network address of the access node 30. Convert to perform communication.

도 3은 본 발명의 실시예에 따른 기업사설망으로 패킷이 입력되는 한 예를 나타내는 도면이다. 3 is a diagram illustrating an example in which a packet is input to a corporate private network according to an embodiment of the present invention.

도 2 및 도 3을 참고하면, 본 발명의 실시예에 따른 접속노드(30)에서 기업사설망(10)의 가상사설망 게이트웨이(200)로 전달되는 패킷(500a)은 UDP 터널헤더(Tunnel Header)(510), 아이피 헤더(IP Header)(520) 및 시큐리티 헤더(Security Header)(530)를 포함한다. 2 and 3, the packet 500a transmitted from the access node 30 to the virtual private network gateway 200 of the corporate private network 10 according to an embodiment of the present invention is a UDP tunnel header ( 510, an IP header 520, and a security header 530.

UDP 터널헤더(510)는 접속노드(30)의 CoA 소스 주소(CoA Source Address, 이하 "CoA Src"라고 함) 및 가상사설망 게이트웨이(200)에 대한 목적지 주소(Destination Address, 이하 "Dst Add"라고 함)를 포함한다. 본 발명의 실시예에서는 접속노드(30)의 CoA 소스 주소가 (192.168.0.10)인 것으로 가정하며, 가상사설망 게이트웨이(200)에 대한 목적지 주소가 (129.254.172.64)인 것으로 가정한다.The UDP tunnel header 510 is referred to as a CoA Source Address (hereinafter referred to as "CoA Src") of the access node 30 and a destination address (hereinafter referred to as "Dst Add") for the virtual private network gateway 200. It includes). In the embodiment of the present invention, it is assumed that the CoA source address of the access node 30 is (192.168.0.10), and the destination address for the virtual private network gateway 200 is (129.254.172.64).

아이피 헤더(520)는 접속노드(30)의 HoA 소스 주소(HoA Source Address, 이하 "HoA Src"라고 함) 및 가상사설망 게이트웨이(200) 내부의 서비스 서버(300)에 대한 목적지 주소(Destination Address, 이하 "Dst Add"라고 함)를 포함한다. 본 발명의 실시예에서는 접속노드(30)의 HoA 소스 주소가 (1.1.1.10)인 것으로 가정하며, 서비스 서버(300)에 대한 목적지 주소가 (129.254.8.10)인 것으로 가정한다.The IP header 520 is a HoA source address (hereinafter referred to as HoA Src) of the access node 30 and a destination address (Destination Address) for the service server 300 inside the virtual private network gateway 200. Hereinafter referred to as "Dst Add"). In the embodiment of the present invention, it is assumed that the HoA source address of the access node 30 is (1.1.1.10), and that the destination address for the service server 300 is (129.254.8.10).

시큐리티 헤더(530)는 보안과 관련된 시큐리티 데이터를 포함한다.The security header 530 includes security data related to security.

이러한 패킷(500a)이 접속노드(30)에서 기업사설망(10)의 가상사설망 게이트웨이(200)에 입력되는 경우, 가상사설망 게이트웨이(200)의 이동성 지원부(210)는 최초 입력되는 패킷(500a)의 UDP 터널헤더(510)를 검사하여 터널 패킷인지의 여부를 확인하고 터널을 종단하기 위해 접속노드(30)의 CoA Src(192.168.0.10)와 가상사설망 게이트웨이(200)에 대한 Dst Add(129.254.172.64)를 검출한다. 그리고, 이동성 지원부(210)는 UDP 터널헤더(510)를 제거하여 제1 변환 패킷(500b)을 생성하고, 생성된 제1 변환 패킷(500b)을 데이터 보안부(220)로 전달한다. 즉, 본 발명의 실시예에 따른 제1 변환 패킷(500b)은 아이피 헤더(520)와 시큐리티 헤더(530)를 포함한다. When the packet 500a is input from the access node 30 to the virtual private network gateway 200 of the corporate private network 10, the mobility support unit 210 of the virtual private network gateway 200 may be configured to generate the first packet 500a. Check UDP tunnel header 510 to see if it is a tunnel packet and Dst Add (129.254.172.64) to CoA Src (192.168.0.10) and virtual private network gateway 200 of access node 30 to terminate tunnel. ). The mobility support unit 210 removes the UDP tunnel header 510 to generate the first transform packet 500b, and transfers the generated first transform packet 500b to the data security unit 220. That is, the first translation packet 500b according to the embodiment of the present invention includes an IP header 520 and a security header 530.

데이터 보안부(220)는 이동성 지원부(210)로부터 제1 변환 패킷(500b)을 전달받는다. 그리고, 데이터 보안부(220)는 보안이 취약한 인터넷을 통해 전달되는 패킷에 대해 보안 검사 및 보안 데이터 처리를 수행하여 보안성 검사를 완료한다. 데이터 보안부(220)는 보안성 검사가 완료된 패킷을 가상주소 변환부(230)로 전달한다.The data security unit 220 receives the first translation packet 500b from the mobility support unit 210. The data security unit 220 completes a security check by performing a security check and a security data processing on a packet transmitted through a weak internet. The data security unit 220 transmits the packet whose security check is completed to the virtual address translator 230.

가상주소 변환부(230)는 데이터 보안부(220)로부터 보안성 검사가 완료된 제1 변환 패킷(500b)을 전달받는다. 그리고, 가상주소 변환부(230)는 제1 변환 패킷(500b)의 소스 주소인 접속노드(30)의 HoA Src(1.1.1.10)를 기업사설망(10)의 서비스 서버(300)에서 사용할 수 있도록 주소 변환하여 제2 변환 패킷(500c)을 생성한다. 그리고, 가상주소 변환부(230)는 제2 변환 패킷(500c)을 목적지인 서비스 서버(300)로 전송한다. 즉, 가상주소 변환부(230)는 제1 변환 패킷(500b)의 소스 주소인 접속노드(30)의 HoA Src(1.1.1.10)를 사설망 내부 주소(129.254.198.89)에 대응하도록 변환하여 제2 변환 패킷(500c)을 생성하고, 포트 테이블(600)의 1번 엔트리에 저장한다. 여기서, 포트 테이블(600)에는 접속노드(30)의 HoA Src(1.1.1.10)와 대응하는 기업사설망(10)의 사설망 내부 주소(129.254.198.89) 및 주소 변환에 사용된 엔트리의 번호(1)가 표시된다.The virtual address translation unit 230 receives the first translation packet 500b from which the security check is completed from the data security unit 220. The virtual address translation unit 230 may use the HoA Src 1.1.1.10 of the access node 30, which is the source address of the first translation packet 500b, in the service server 300 of the enterprise private network 10. The second translation packet 500c is generated by address translation. The virtual address translation unit 230 transmits the second translation packet 500c to the service server 300 as a destination. That is, the virtual address conversion unit 230 converts the HoA Src (1.1.1.10) of the access node 30, which is the source address of the first translation packet 500b, to correspond to the private network internal address (129.254.198.89) and the second. A translation packet 500c is generated and stored in entry 1 of the port table 600. Here, the port table 600 includes the private network internal address (129.254.198.89) of the private network 10 corresponding to the HoA Src (1.1.1.10) of the access node 30 and the number (1) of the entry used for address translation. Is displayed.

도 4는 본 발명의 실시예에 따른 기업사설망으로 입력된 패킷을 처리하는 순서를 나타내는 도면이다.4 is a diagram illustrating a procedure of processing a packet input to a corporate private network according to an embodiment of the present invention.

도 3 및 도 4를 참고하면, 본 발명의 실시예에 따른 기업사설망(10)의 가상사설망 게이트웨이(200)는 외부에 위치한 접속노드(30)로부터 패킷(500a)을 전달받는다(S100). 3 and 4, the virtual private network gateway 200 of the corporate private network 10 according to an exemplary embodiment of the present invention receives the packet 500a from an access node 30 located outside (S100).

가상사설망 게이트웨이(200)의 이동성 지원부(210)는 패킷(500a)을 검사하여 터널 패킷인지의 여부를 확인하며, 터널을 종단하여 제1 변환 패킷(500b)을 생성한다. 이동성 지원부(210)는 생성된 제1 변환 패킷(500b)을 데이터 보안부(220)로 전달한다. 그러면, 데이터 보안부(220)는 제1 변환 패킷(500b)을 수신하여 암호화된 패킷에 대한 복호화를 수행하여 보안성 검사를 완료하고, 보안성 검사가 완료된 제1 변환 패킷(500b)을 가상주소 변환부(230)로 전달한다(S101). The mobility support unit 210 of the virtual private network gateway 200 checks whether the packet 500a is a tunnel packet, terminates the tunnel, and generates a first converted packet 500b. The mobility support unit 210 transfers the generated first translation packet 500b to the data security unit 220. Then, the data security unit 220 receives the first translation packet 500b and performs decryption on the encrypted packet to complete the security check, and virtual address translation of the first translation packet 500b after the security check is completed. Transfer to the unit 230 (S101).

가상주소 변환부(230)는 보안성 검사가 완료된 제1 변환 패킷(500b)이 전달되어야 하는 목적지 주소가 기업사설망(10)의 서비스 서버(300)에 해당되는지의 여부를 판단한다(S102).The virtual address translation unit 230 determines whether the destination address to which the first translation packet 500b having completed the security check is transmitted corresponds to the service server 300 of the enterprise private network 10 (S102).

S102 단계의 판단결과 보안성 검사가 완료된 제1 변환 패킷(500b)이 전달되어야 하는 목적지 주소가 기업사설망(10)의 서비스 서버(300)에 해당되는 경우, 가상주소 변환부(230)는 순수 패킷의 소스 주소인 접속노드(30)의 HoA Src(1.1.1.10)를 사설망 내부 주소(129.254.198.89)로 변환하기 전에, 이미 주소 변환되어 포트 테이블(600)에 존재하는 지의 여부를 판단한다(S103).As a result of the determination in step S102, when the destination address to which the first translation packet 500b having completed the security check is transmitted corresponds to the service server 300 of the corporate private network 10, the virtual address translation unit 230 is a pure packet. Before converting the HoA Src (1.1.1.10) of the access node 30, which is the source address of the network, to the internal address of the private network (129.254.198.89), it is determined whether the address has already been translated and exists in the port table 600 (S103). ).

S103 단계의 판단결과 접속노드(30)의 HoA Src(1.1.1.10)가 변환되어 포트 테이블에 존재하는 경우, 가상주소 변환부(230)는 포트 테이블(600)을 이용하여 접속노드(30)의 HoA Src(1.1.1.10)에 대응하는 사설망 내부 주소를 검출하고, 일반적인 IPv4 라우팅을 거쳐 패킷을 전송한다(S104, S105). As a result of the determination in step S103, when the HoA Src (1.1.1.10) of the connection node 30 is converted and exists in the port table, the virtual address conversion unit 230 uses the port table 600 to determine the connection node 30. The private network internal address corresponding to the HoA Src (1.1.1.10) is detected, and the packet is transmitted through general IPv4 routing (S104 and S105).

S103 단계의 판단결과 접속노드(30)의 HoA Src(1.1.1.10)가 주소 변환되어 포트 테이블에 존재하지 않는 경우, 가상주소 변환부(230)는 접속노드(30)의 HoA Src(1.1.1.10)를 사설망 내부 주소(129.254.198.89)로 변환하여 제2 변환 패킷(500c)을 생성하고, 포트 테이블(600)에 저장하여 새로운 엔트리를 추가한다(S106).As a result of the determination in step S103, when the HoA Src (1.1.1.10) of the access node 30 is address-translated and does not exist in the port table, the virtual address translator 230 may determine the HoA Src (1.1.1.10) of the access node 30. ) Is converted into a private network internal address (129.254.198.89) to generate a second translation packet 500c, and stored in the port table 600 to add a new entry (S106).

한편, S102 단계의 판단결과 보안성 검사가 완료된 제1 변환 패킷(500b)이 전달되어야 하는 목적지 주소가 기업사설망(10)의 서비스 서버(300)에 해당되지 않는 경우, 가상주소 변환부(230)는 서비스 서버(300)가 아닌 다른 목적지인 것으로 판단하여 순수 패킷을 폐기하거나 또는 일련의 정책을 정의하여 패킷을 전달할 지의 여부를 결정한다(S107).On the other hand, if the destination address to which the first translation packet 500b, in which the security check is completed, to which the security check is completed in step S102 does not correspond to the service server 300 of the private network 10, the virtual address translation unit 230 Determines whether to discard the pure packet or define a set of policies to determine whether to forward the packet by determining that it is a destination other than the service server 300 (S107).

도 5는 본 발명의 실시예에 따른 기업사설망에서 출력되는 패킷의 한 예를 나타내는 도면이다.5 is a view showing an example of a packet output from the private network according to an embodiment of the present invention.

도 5에서는 본 발명의 실시예에 따른 서비스 서버(300)에서 가상사설망 게이트웨이(200)로 전달되는 패킷(600a)은 도 3에 도시한 서비스 서버(300)로 출력되는 제2 변환 패킷(500c)과 대응되는 구조를 가지며, 제1 복원 패킷(600b)은 제1 변환 패킷(500c)과 대응되는 구조를 가지며, 제2 복원 패킷(600c)은 접속노드(30)로부터 입력되는 패킷(500a)과 대응되는 구조를 가지므로 구조에 대한 구체적인 설명은 생략한다. In FIG. 5, the packet 600a transmitted from the service server 300 to the virtual private network gateway 200 according to the embodiment of the present invention is a second converted packet 500c output to the service server 300 shown in FIG. 3. The first recovery packet 600b has a structure corresponding to the first translation packet 500c, and the second recovery packet 600c has a packet 500a input from the access node 30. Since it has a corresponding structure, a detailed description of the structure is omitted.

도 3 및 도 5를 참고하면, 본 발명의 실시예에 따른 기업사설망(10)의 서비스 서버(300)로 패킷이 전달되었을 때 접속노드(30)의 HoA Src(1.1.1.10)가 기업사설망(10)의 서비스 서버(300)에서 사용 가능한 사설망 내부 주소(129.254.198.89)로 변환 및 1번 엔트리에 저장되어 제2 변환 패킷(500c)이 생성되었으므로, 가상사설망 게이트웨이(200)의 가상주소 변환부(230)는 서비스 서버(300)로부터 패킷을 전달받을 때 사설망 내부 주소(129.254.198.89)를 목적지 주소로 하는 패킷(600a)을 전달받는다. 3 and 5, when a packet is delivered to the service server 300 of the corporate private network 10 according to an embodiment of the present invention, the HoA Src (1.1.1.10) of the access node 30 is connected to the corporate private network ( Since the second translation packet 500c is generated by converting into the private network internal address (129.254.198.89) usable by the service server 300 of 10) and being stored in the first entry, the virtual address translation unit of the virtual private network gateway 200. When receiving the packet from the service server 300, the 230 receives the packet 600a having the private network internal address 129.254.198.89 as the destination address.

가상주소 변환부(230)는 수신된 패킷(600a)의 1번 엔트리가 포트 테이블(600)에 존재하는 지의 여부를 판단한다. 그리고, 가상주소 변환부(230)는 포트 테이블(600)을 이용하여 패킷(600a)의 목적지 주소인 사설망 내부 주소 (129.254.198.89)에 대응하는 접속노드(30)의 HoA Src(1.1.1.10)를 검출한다. 가상주소 변환부(230)는 사설망 내부 주소(129.254.198.89)를 검출된 접속노드(30)의 HoA Src(1.1.1.10)로 복원하여 데이터 보안부(220)로 전달한다. The virtual address translation unit 230 determines whether entry 1 of the received packet 600a exists in the port table 600. In addition, the virtual address translation unit 230 uses the port table 600 to identify the HoA Src (1.1.1.10) of the access node 30 corresponding to the private network internal address (129.254.198.89), which is the destination address of the packet 600a. Detect. The virtual address translation unit 230 restores the internal network address (129.254.198.89) to the detected HoA Src (1.1.1.10) of the access node 30 and transmits it to the data security unit 220.

데이터 보안부(220)는 패킷(600a)의 목적지 주소가 접속노드(30)의 HoA Src(1.1.1.10)로 복원된 제1 복원 패킷(600b)을 전달받는다. 데이터 보안부(220)는 제1 복원 패킷(600b)을 암호화하여 이동성 지원부(210)로 전달한다.The data security unit 220 receives the first recovery packet 600b in which the destination address of the packet 600a is restored to the HoA Src 1.1.1.10 of the access node 30. The data security unit 220 encrypts the first reconstruction packet 600b and transmits the encrypted data to the mobility support unit 210.

이동성 지원부(210)는 암호화가 완료된 제1 변환 패킷(600b)을 데이터 보안부(220)로부터 전달받으며, 제1 변환 패킷(600b)의 목적지 주소인 접속노드(30)의 HoA Src(1.1.1.10)를 검출한다. 그리고, 이동성 지원부(210)는 제1 변환 패킷(600b)에 접속노드(30)의 HoA Src(1.1.1.10)에 대한 UDP 터널헤더를 삽입하여 제2 변환 패킷(600c)을 생성한다. 이동성 지원부(210)는 제2 변환 패킷(600c)을 인터넷(20)을 통해 접속노드(30)로 전달한다.The mobility support unit 210 receives the encrypted first translation packet 600b from the data security unit 220 and the HoA Src (1.1.1.10) of the access node 30 which is the destination address of the first translation packet 600b. Detect. The mobility support unit 210 inserts a UDP tunnel header for the HoA Src (1.1.1.10) of the access node 30 into the first translated packet 600b to generate the second translated packet 600c. The mobility support unit 210 transmits the second translation packet 600c to the access node 30 through the Internet 20.

도 6은 본 발명의 실시예에 따른 기업사설망으로부터 출력되는 패킷을 처리하는 순서를 나타내는 도면이다.6 is a diagram illustrating a procedure of processing a packet output from a private enterprise network according to an embodiment of the present invention.

도 5 및 도 6을 참고하면, 본 발명의 실시예에 따른 기업사설망(10)의 가상사설망 게이트웨이(200)는 기업사설망(10)의 서비스 서버(300)로부터 사설망 내부 주소(129.254.198.89)를 목적지 주소로 하는 패킷(600a)을 전달받는다(S200). 5 and 6, the virtual private network gateway 200 of the corporate private network 10 according to an embodiment of the present invention obtains a private network internal address (129.254.198.89) from the service server 300 of the corporate private network 10. The packet 600a serving as the destination address is received (S200).

가상사설망 게이트웨이(200)의 가상주소 변환부(230)는 패킷(600a)이 기업사설망(10)으로부터 전달되었는지의 여부를 판단한다(S201). The virtual address translation unit 230 of the virtual private network gateway 200 determines whether the packet 600a is transmitted from the corporate private network 10 (S201).

S201 단계의 판단결과 패킷(600a)이 기업사설망(10)으로부터 전달된 경우, 가상주소 변환부(230)는 패킷(600a)을 이용하여 패킷(600a)의 목적지 주소인 사설망 내부 주소(129.254.198.89)가 포트 테이블(600)에 존재하는 지의 여부를 판단한다(S202).As a result of the determination in step S201, when the packet 600a is delivered from the corporate private network 10, the virtual address translation unit 230 uses the packet 600a to designate a private network internal address (129.254.198.89) which is the destination address of the packet 600a. Is determined in the port table 600 (S202).

S202 단계의 판단결과 패킷(600a)의 목적지 주소인 사설망 내부 주소(129.254.198.89)가 포트 테이블(600)에 존재하는 경우, 가상주소 변환부(230)는 포트 테이블(600)을 이용하여 패킷(600a)의 목적지 주소인 사설망 내부 주소 (129.254.198.89)에 대응하는 접속노드(30)의 HoA Src(1.1.1.10)를 검출한다. 가상주소 변환부(230)는 패킷(600a)의 목적지 주소인 사설망 내부 주소 (129.254.198.89)를 검출된 접속노드(30)의 HoA Src(1.1.1.10)로 복원하여 제1 복원 패킷(600b)을 생성하여 데이터 보안부(220)로 전달한다(S203).As a result of the determination in step S202, when the private network internal address (129.254.198.89), which is the destination address of the packet 600a, exists in the port table 600, the virtual address conversion unit 230 uses the port table 600 to generate the packet ( The HoA Src (1.1.1.10) of the connection node 30 corresponding to the private network internal address (129.254.198.89) which is the destination address of 600a) is detected. The virtual address translation unit 230 restores the private network internal address (129.254.198.89), which is the destination address of the packet 600a, to the HoA Src (1.1.1.10) of the detected connection node 30, and then the first reconstruction packet 600b. It generates and delivers to the data security unit 220 (S203).

데이터 보안부(220)는 제1 복원 패킷(600b)를 전달받는다. 데이터 보안부(220)는 제1 복원 패킷(600b)을 암호화하고, 암호화가 완료된 제1 변환 패킷(600b)을 이동성 지원부(210)로 전달한다(S204).The data security unit 220 receives the first reconstruction packet 600b. The data security unit 220 encrypts the first reconstruction packet 600b and transmits the encrypted first converted packet 600b to the mobility support unit 210 (S204).

이동성 지원부(210)는 암호화된 제1 변환 패킷(600b)으로부터 목적지 주소인 접속노드(30)의 HoA Src(1.1.1.10)를 검출한다(S205). 그리고, 이동성 지원부(210)는 제1 복원 패킷(600b)에 접속노드(30)의 HoA Src(1.1.1.10)에 대한 UDP 터널헤더를 삽입하여 제2 복원 패킷(600c)을 생성한다. 이동성 지원부(210)는 제2 복원 패킷(600c)을 인터넷(20)을 통해 접속노드(30)로 전달한다(S206).The mobility support unit 210 detects the HoA Src 1.1.1.10 of the access node 30, which is the destination address, from the encrypted first translation packet 600b (S205). The mobility support unit 210 inserts a UDP tunnel header for the HoA Src (1.1.1.10) of the access node 30 into the first recovery packet 600b to generate the second recovery packet 600c. The mobility support unit 210 transmits the second reconstruction packet 600c to the access node 30 through the Internet 20 (S206).

S202 단계의 판단결과 패킷(600a)의 목적지 주소인 사설망 내부 주소(129.254.198.89)가 포트 테이블(600)에 존재하지 않는 경우, 가상주소 변환부(230)는 패킷(600a)을 폐기한다(S207).If the private network internal address (129.254.198.89), which is the destination address of the packet 600a, does not exist in the port table 600, the virtual address translation unit 230 discards the packet 600a (S207). ).

한편, S201 단계의 판단결과 패킷(600a)이 기업사설망(10)으로부터 전달되지 않은 경우, 가상주소 변환부(230)는 패킷(600a)을 폐기하거나 또는 일련의 정책을 정의하여 패킷을 전달할 지의 여부를 결정한다(S208).On the other hand, if the packet 600a is not delivered from the corporate private network 10 as a result of the determination in step S201, the virtual address translator 230 discards the packet 600a or defines a set of policies to deliver the packet. Determine (S208).

이와 같이, 본 발명의 실시예에 따르면 접속노드의 HoA에 실제 기업사설망의 내부에서 사용 가능한 사설망 내부 주소가 대응되도록 할당하여 통신을 수행함에 따라 접속노드의 이동 시에도 끊김 없이 서비스를 제공할 수 있으며, 원격 사용자에게 안전한 보안회선을 제공할 수 있다. As such, according to an embodiment of the present invention, the service can be seamlessly provided even when the access node moves by allocating the HoA of the access node to correspond to the internal address of the private network that can be used inside the private corporate network. In addition, it can provide a secure security line to remote users.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다. The embodiments of the present invention described above are not implemented only by the apparatus and method, but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (19)

이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 장치에 있어서,
상기 접속노드로부터 패킷이 전달되는 경우, 상기 접속노드의 HoA와 변경된 상기 CoA의 매핑관계를 유지하며 상기 패킷에 대한 이동성 터널을 처리하여 제1 변환 패킷을 생성하는 이동성 지원부,
상기 이동성 지원부로부터 상기 제1 변환 패킷을 전달받으며, 상기 제1 변환 패킷에 대한 보안성 검사를 수행하는 데이터 보안부, 그리고
상기 보안성 검사가 완료된 상기 제1 변환 패킷을 수신하여 상기 제1 변환 패킷의 소스 주소인 상기 접속노드의 HoA를 상기 가상사설망에서 사용 가능한 사설망 내부 주소로 변환하여 제2변환 패킷을 생성하는 가상주소 변환부
를 포함하는 가상사설망 구성 장치.In the apparatus forming a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during movement and an IP address (CoA) that constantly changes during movement,
When a packet is transmitted from the access node, the mobility support unit maintains the mapping relationship between the HoA of the access node and the changed CoA and processes the mobility tunnel for the packet to generate a first converted packet;
A data security unit receiving the first translation packet from the mobility support unit and performing a security check on the first translation packet; and
The virtual address receiving the first translation packet that has completed the security check and converting the HoA of the access node, which is the source address of the first translation packet, into a private network internal address available to the virtual private network, generates a second translation packet. Converter
Virtual private network configuration device comprising a. 제1항에 있어서,
상기 이동성 지원부는,
상기 패킷이 터널 패킷인지의 여부를 확인하고 터널을 종단하여 상기 제1 변환 패킷을 생성하는 가상사설망 구성 장치.The method of claim 1,
The mobility support unit,
And checking whether the packet is a tunnel packet and terminating the tunnel to generate the first converted packet. 제1항에 있어서,
상기 가상주소 변환부는,
상기 접속노드의 HoA가 이미 상기 사설망 내부 주소로 변환되어 테이블에 존재하는 지를 판단한 결과에 따라 상기 제2변환 패킷을 생성하는 가상사설망 구성 장치.The method of claim 1,
The virtual address conversion unit,
And generating the second translation packet according to a result of determining whether the HoA of the access node has already been converted into the private network internal address and exists in the table. 제1항 내지 제3항 중 어느 한 항에 있어서,
상기 패킷은 UDP 터널헤더(Tunnel Header), 아이피 헤더(IP Header) 및 시큐리티 헤더(Security Header)를 포함하는 가상사설망 구성 장치.4. The method according to any one of claims 1 to 3,
The packet comprises a UDP tunnel header (IP Tunnel Header), IP Header (IP Header) and Security Header (Security Header). 제4항에 있어서,
상기 이동성 지원부는,
상기 UDP 터널헤더(Tunnel Header)를 제거하여 상기 제1 변환 패킷을 생성하는 가상사설망 구성 장치.5. The method of claim 4,
The mobility support unit,
And removing the UDP tunnel header to generate the first transform packet. 제5항에 있어서,
상기 제2 변환 패킷은,
상기 사설망 내부 주소가 소스 주소로 설정되며, 상기 가상사설망 내부의 서비스 서버의 주소가 목적지 주소로 설정되는 가상사설망 구성 장치.6. The method of claim 5,
The second transform packet is,
And the private network internal address is set as a source address, and the address of a service server in the virtual private network is set as a destination address. 제6항에 있어서,
상기 가상주소 변환부는,
상기 제2 변환 패킷의 목적지 주소인 상기 서비스 서버로 상기 제2 변환 패킷을 전달하는 가상사설망 구성 장치.The method according to claim 6,
The virtual address conversion unit,
And a virtual private network configured to deliver the second translated packet to the service server which is a destination address of the second translated packet. 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 장치에 있어서,
상기 가상사설망 내부의 서비스 서버에서 상기 접속노드로 패킷을 전달하는경우, 상기 접속노드의 HoA에 대응하는 사설망 내부 주소를 목적지 주소로하는 상기 패킷을 상기 서비스 서버로부터 전달받으며, 상기 사설망 내부 주소를 상기 접속노드의 HoA로 복원하여 제1 복원 패킷을 생성하는 가상주소 변환부,
상기 가상주소 변환부로부터 상기 제1 복원 패킷을 전달받으며, 상기 제1 복원 패킷을 암호화하는 데이터 보안부, 그리고
상기 데이터 보안부로부터 암호화된 상기 제1 복원 패킷을 전달받으며, 상기 제1 복원 패킷으로부터 상기 접속노드의 HoA를 검출하고 이동성 터널을 처리하여 제2 복원 패킷을 생성하는 이동성 지원부
를 포함하는 가상사설망 구성 장치.In the apparatus forming a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during movement and an IP address (CoA) that constantly changes during movement,
When the packet is delivered from the service server in the virtual private network to the access node, the packet is transmitted from the service server to the private network internal address corresponding to the HoA of the access node as a destination address, and the private network internal address is received. A virtual address translator configured to restore the HoA of the access node to generate a first reconstruction packet;
A data security unit for receiving the first restoration packet from the virtual address translation unit and encrypting the first restoration packet; and
The mobility support unit receives the encrypted first recovery packet from the data security unit, detects the HoA of the access node from the first recovery packet, and processes a mobility tunnel to generate a second recovery packet.
Virtual private network configuration device comprising a. 제8항에 있어서,
상기 가상주소 변환부는,
상기 패킷이 상기 서비스 서버로부터 입력되었는지의 여부를 판단한 결과에 따라 상기 패킷을 폐기하거나 또는 정책 적용 가능성을 결정하는 가상사설망 구성 장치.9. The method of claim 8,
The virtual address conversion unit,
And discard the packet or determine a policy applicability according to a result of determining whether the packet is input from the service server. 제8항에 있어서,
상기 가상주소 변환부는,
상기 패킷의 목적지 주소인 상기 사설망 내부 주소가 테이블에 존재하는 지의 여부를 판단한 결과에 따라 상기 제1 복원 패킷의 생성 여부를 결정하는 가상사설망 구성 장치.9. The method of claim 8,
The virtual address conversion unit,
And determining whether to generate the first reconstructed packet according to a result of determining whether the private network internal address, which is the destination address of the packet, exists in a table. 제8항 내지 제10항 중 어느 한 항에 있어서,
상기 패킷은 아이피 헤더(IP Header) 및 시큐리티 헤더(Security Header)를 포함하는 가상사설망 구성 장치.11. The method according to any one of claims 8 to 10,
The packet comprises a private IP network (IP header) and a security header (Security Header). 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 방법에 있어서,
상기 접속노드로부터 패킷이 전달되는 경우, 상기 패킷에 대한 이동성 터널을 처리하여 제1 변환 패킷을 생성하는 단계,
상기 제1 변환 패킷에 대한 보안성 검사를 수행하는 단계, 그리고
상기 보안성 검사가 완료된 상기 제1 변환 패킷의 소스 주소인 상기 접속노드의 HoA를 상기 가상사설망에서 사용 가능한 사설망 내부 주소로 변환하여 제2변환 패킷을 생성하는 단계
를 포함하는 가상사설망을 구성하는 방법.In a method of configuring a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during movement and an IP address (CoA) that continuously changes during movement,
When the packet is delivered from the access node, processing a mobility tunnel for the packet to generate a first translated packet;
Performing a security check on the first translated packet, and
Generating a second translation packet by converting a HoA of the access node, which is a source address of the first translation packet, of which the security check is completed, into an internal network address available to the virtual private network;
How to configure a virtual private network comprising a. 제12항에 있어서,
상기 패킷은 UDP 터널헤더(Tunnel Header), 아이피 헤더(IP Header) 및 시큐리티 헤더(Security Header)를 포함하는 가상사설망을 구성하는 방법.The method of claim 12,
The packet includes a UDP tunnel header, an IP header, and a security header. 제13항에 있어서,
상기 제1 변환 패킷을 생성하는 단계는,
상기 이동성을 처리하기 위해 상기 UDP 터널헤더(Tunnel Header)를 검사하여상기 패킷이 터널 패킷인지의 여부를 확인하는 단계, 그리고
상기 UDP 터널헤더(Tunnel Header)를 제거하여 상기 제1 변환 패킷을 생성하는 단계를 포함하는 가상사설망을 구성하는 방법.14. The method of claim 13,
Generating the first transform packet,
Checking whether the packet is a tunnel packet by examining the UDP tunnel header to process the mobility; and
And generating the first transform packet by removing the UDP tunnel header. 제13항에 있어서,
상기 제2변환 패킷을 생성하는 단계는,
상기 제1 변환 패킷의 소스 주소인 상기 접속노드의 HoA가 상기 사설망 내부 주소로 주소 변환되어 포트 테이블에 저장되어 있는 지의 여부를 판단하는 단계,
상기 주소 변환되어 있지 않은 경우, 상기 제1 변환 패킷의 소스 주소인 상기 접속노드의 HoA를 상기 사설망 내부 주소로 주소로 변환하는 단계, 그리고
상기 주소 변환되어 있는 경우, 상기 포트 테이블을 이용하여 상기 접속노드의 HoA에 대응하는 상기 사설망 내부 주소를 검출하는 단계를 포함하는 가상사설망을 구성하는 방법.14. The method of claim 13,
Generating the second transform packet,
Determining whether the HoA of the access node, which is the source address of the first translation packet, is address-translated into the private network internal address and stored in a port table;
Converting the HoA of the access node, which is the source address of the first translation packet, into an address into the private network internal address if the address is not translated; and
And detecting the private network internal address corresponding to the HoA of the access node using the port table when the address is translated. 이동 중 변하지 않는 가상 홈주소(HoA)와 이동 중 계속적으로 변하는 IP주소(CoA)를 갖는 접속노드로 이동성을 지원하는 가상사설망을 구성하는 방법에 있어서,
상기 가상사설망의 내부 서비스 서버에서 상기 접속노드로 패킷을 전달하는경우, 상기 접속노드의 HoA에 대응하는 사설망 내부 주소를 목적지 주소로하는 상기 패킷을 상기 내부 서비스 서버로부터 전달받는 단계,
상기 패킷의 목적지 주소인 상기 사설망 내부 주소를 상기 접속노드의 HoA로 복원하여 제1 복원 패킷을 생성하는 단계,
상기 제1 복원 패킷을 암호화하고, 암호화된 상기 제1 복원 패킷으로부터 상기 접속노드의 HoA를 검출하는 단계, 그리고
상기 제1 복원 패킷에 상기 접속노드의 HoA에 대한 이동성 터널을 처리하여 제2 복원 패킷을 생성하는 가상사설망을 구성하는 방법.In a method of configuring a virtual private network that supports mobility to a connection node having a virtual home address (HoA) that does not change during movement and an IP address (CoA) that continuously changes during movement,
When the internal service server of the virtual private network delivers the packet to the access node, receiving the packet from the internal service server, using the internal network address corresponding to the HoA of the access node as a destination address,
Generating a first reconstruction packet by restoring the private network internal address, which is a destination address of the packet, to the HoA of the access node;
Encrypting the first recovery packet, detecting the HoA of the access node from the encrypted first recovery packet, and
And constructing a virtual private network that processes the mobility tunnel for the HoA of the access node to the first reconstruction packet to generate a second reconstruction packet. 제16항에 있어서,
상기 전달받는 단계는,
상기 패킷이 상기 서비스 서버로부터 입력되었는지의 여부를 판단하는 단계,
상기 패킷이 상기 서비스 서버로 입력되지 않은 경우, 상기 패킷을 폐기하거나 또는 정책 적용 가능성을 결정하는 단계, 그리고
상기 패킷이 상기 서비스 서버로 입력된 경우, 상기 패킷의 목적지 주소인 상기 사설망 내부 주소가 포트 테이블에 존재하는 지의 여부를 판단하는 단계를 포함하는 가상사설망을 구성하는 방법.17. The method of claim 16,
The receiving step may include:
Determining whether the packet has been input from the service server,
Discarding the packet or determining policy applicability if the packet is not entered into the service server, and
And determining whether the private network internal address, which is a destination address of the packet, exists in a port table when the packet is input to the service server. 제17항에 있어서,
상기 포트 테이블에 존재하는지의 여부를 판단하는 단계는,
상기 패킷의 목적지 주소인 상기 사설망 내부 주소가 상기 포트 테이블에 존재하지 않은 경우, 상기 패킷을 폐기하는 단계, 그리고
상기 패킷의 목적지 주소인 상기 사설망 내부 주소가 상기 포트 테이블에 존재하는 경우, 상기 포트 테이블을 이용하여 상기 사설망 내부 주소에 대응하는 상기 접속노드의 HoA를 검출하는 단계를 포함하는 가상사설망을 구성하는 방법.18. The method of claim 17,
The step of determining whether or not present in the port table,
Discarding the packet if the private network internal address that is the destination address of the packet does not exist in the port table, and
Detecting the HoA of the access node corresponding to the private network internal address using the port table when the private network internal address, which is the destination address of the packet, exists in the port table. . 제16항 내지 제18항 중 어느 한 항에 있어서,
상기 제2 복원 패킷은 UDP 터널헤더(Tunnel Header), 아이피 헤더(IP Header) 및 시큐리티 헤더(Security Header)를 포함하는 가상사설망을 구성하는 방법. 19. The method according to any one of claims 16 to 18,
The second reconstruction packet configures a virtual private network including a UDP tunnel header, an IP header, and a security header.
KR1020100076561A 2009-10-14 2010-08-09 SYSTEM AND METHOD FOR DECREASING Power Consumption KR101382620B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/904,774 US20110085552A1 (en) 2009-10-14 2010-10-14 System and method for forming virtual private network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20090097923 2009-10-14
KR1020090097923 2009-10-14

Publications (2)

Publication Number Publication Date
KR20110040652A KR20110040652A (en) 2011-04-20
KR101382620B1 true KR101382620B1 (en) 2014-04-10

Family

ID=44046983

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100076561A KR101382620B1 (en) 2009-10-14 2010-08-09 SYSTEM AND METHOD FOR DECREASING Power Consumption

Country Status (1)

Country Link
KR (1) KR101382620B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628094B1 (en) * 2014-12-18 2016-06-08 주식회사 시큐아이 Security apparatus and method for permitting access thereof
KR102483463B1 (en) * 2017-10-31 2023-01-02 주식회사 케이티 Virtual private network control system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050122221A (en) * 2003-03-27 2005-12-28 모토로라 인코포레이티드 Communication between a private network and a roaming mobile terminal
KR20090081023A (en) * 2006-11-17 2009-07-27 콸콤 인코포레이티드 Methods and apparatus for implementing proxy mobile ip in foreign agent care-of address mode

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050122221A (en) * 2003-03-27 2005-12-28 모토로라 인코포레이티드 Communication between a private network and a roaming mobile terminal
KR20090081023A (en) * 2006-11-17 2009-07-27 콸콤 인코포레이티드 Methods and apparatus for implementing proxy mobile ip in foreign agent care-of address mode

Also Published As

Publication number Publication date
KR20110040652A (en) 2011-04-20

Similar Documents

Publication Publication Date Title
JP4527721B2 (en) Apparatus and method for improving remote LAN connectivity using tunneling
US9100370B2 (en) Strong SSL proxy authentication with forced SSL renegotiation against a target server
JP5161262B2 (en) Method and system for resolving addressing conflicts based on tunnel information
EP1495621B1 (en) Security transmission protocol for a mobility ip network
JP6028269B2 (en) IP packet processing method and apparatus, and network system
Montenegro et al. Sun's SKIP firewall traversal for mobile IP
JP2007518349A (en) Equipment that facilitates deployment to medium / large enterprise networks of mobile virtual private networks
KR20140099598A (en) Method for providing service of mobile vpn
CN107306198B (en) Message forwarding method, device and system
KR20140122335A (en) Method for constructing virtual private network, method for packet forwarding and gateway apparatus using the methods
JP2005277498A (en) Communication system
Graveman et al. Using ipsec to secure ipv6-in-ipv4 tunnels
KR101382620B1 (en) SYSTEM AND METHOD FOR DECREASING Power Consumption
US11323410B2 (en) Method and system for secure distribution of mobile data traffic to closer network endpoints
JP2011188448A (en) Gateway apparatus, communication method and communication program
KR20090061253A (en) Tunnelling method based udp for applying internet protocol security and system for implementing the method
US20110085552A1 (en) System and method for forming virtual private network
CN104509046B (en) A kind of data communications method, equipment and system
KR100799575B1 (en) Method for providing VPN services to Mobile Node in IPv6 network and gateway using the same
JP2007228383A (en) Radio communication system supporting public wireless internet access service business
CN109361684B (en) Dynamic encryption method and system for VXLAN tunnel
TWI545923B (en) Network device, ipsec system and method for establishing ipsec tunnel using the same
JP6075871B2 (en) Network system, communication control method, communication control apparatus, and communication control program
JP5947763B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
Zhang The solution and management of VPN based IPSec technology

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170327

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee