KR101489451B1 - Method and apparatus for implementing multi-path virtual private network - Google Patents
Method and apparatus for implementing multi-path virtual private network Download PDFInfo
- Publication number
- KR101489451B1 KR101489451B1 KR20130167518A KR20130167518A KR101489451B1 KR 101489451 B1 KR101489451 B1 KR 101489451B1 KR 20130167518 A KR20130167518 A KR 20130167518A KR 20130167518 A KR20130167518 A KR 20130167518A KR 101489451 B1 KR101489451 B1 KR 101489451B1
- Authority
- KR
- South Korea
- Prior art keywords
- private network
- virtual private
- path
- information
- multipath
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Abstract
Description
본 발명은 다중 경로 가상 사설망 구성 방법에 관한 것이다. The present invention relates to a multipath virtual private network construction method.
현재 기업의 근무 환경은 많은 정보 공유의 필요성 및 업무의 연속성이 필요한 방향으로 변화하고 있다. 따라서, 근무 위치가 사무실에 국한되지 않고 집이나 업무현장으로까지 확대되고 있다. 이런 변화로 인하여, 기업은 근거리망(Local Area Network; LAN)의 구성에서 벗어나 기업 네트워크를 확대하기 위해 외부와의 네트워크 구성이 필요하게 되었다. 인터넷 망을 사설 망처럼 이용하여 회선 비용을 절감할 수 있는 가상 사설망(Virtual Private Network, VPN)은 특수통신체계와 암호화 기법을 사용하여 기업 본사와 지사 또는 지사간에 전용망을 설치한 것과 같은 기업통신 서비스를 제공한다. At present, the working environment of the company is changing in the direction of necessity of information sharing and continuity of work. Therefore, the working position is not limited to the office, but is extended to the home or work place. Due to these changes, enterprises have to be networked with outside in order to expand the corporate network away from the configuration of local area network (LAN). A virtual private network (VPN), which can reduce the cost of a network by using the Internet as a private network, uses a special communication system and a cryptographic technique to establish a private network between a corporate headquarters and a branch office or a branch office, Lt; / RTI >
IETF 표준에 의한 IPSec은 가상 사설망을 구성할 때 사용되는 대표적인 터널링(tunneling) 프로토콜 중의 하나로 3계층(네트워크 계층)에서 동작한다. IPSec은 AH(Authentication Header)와 ESP(Encapsulation Security Payload)의 두 가지 트래픽 보안 프로토콜을 지원하고 패킷 암호화를 위한 키 교환은 IKE(Internet Key Exchange) 프로토콜을 사용하는데, 현재 IKE 표준은 IKEv1과 IKEv2가 존재한다. IPSEC according to the IETF standard is one of the typical tunneling protocols used when configuring a virtual private network, and operates at Layer 3 (network layer). IPSec supports two traffic security protocols: AH (Authentication Header) and ESP (Encapsulation Security Payload). Key exchange for packet encryption uses IKE (Internet Key Exchange) protocol. Currently, IKEv1 and IKEv2 exist do.
IKEv1는 ISAKMP(Internet Security Association Key Management Protocol) 프로토콜, Oakley 프로토콜 및 SKEME 프로토콜을 혼합한 프로토콜로서 키 교환 및 인증을 위한 프레임워크, 메시지 포맷 및 페이지(phase) 개념은 ISAKMP에서 가져왔으며, Oakley 프로토콜로부터 2가지 키 교환 모드를 가져왔다. IKEv1은 키 교환을 위해 3가지 모드(Main Mode, Aggressive Mode, Quick Mode)를 사용한다.IKEv1 is a protocol that combines Internet Security Association Key Management Protocol (ISAKMP), Oakley protocol, and SKEME protocol. The framework, message format, and phase for key exchange and authentication are derived from ISAKMP. Key exchange mode. IKEv1 uses three modes (Main Mode, Aggressive Mode, Quick Mode) for key exchange.
IKEv2는 2005년도에 RFC 4306으로 표준화되었으며 IKEv1 보다 심플하고 보안성 및 성능이 높도록 설계되었다. 복잡했던 페이지 및 모드 개념을 없애고 Exchange 개념을 도입했으며, 메시지 교환은 request/response 쌍으로 이루어진다.IKEv2 was standardized in RFC 4306 in 2005 and is designed to be simpler, more secure, and more powerful than IKEv1. We removed the complex page and mode concepts and introduced the Exchange concept, and the message exchange consists of a request / response pair.
기본적인 IPSec 가상 사설망은 호스트간에 하나의 경로로만 통신할 수 있다. 이와 비교하여 다중 경로(Multi-Path)를 지원하는 다중 경로 IPSec 가상 사설망 환경은 보다 안정적이고 효율적인 서비스를 제공할 수 있다. 하지만, IKEv2를 통해 양 호스트간에 IPSec 가상 사설망이 구성되었을 때, 기본적으로 하나의 회선 쌍으로만 경로가 생성되어 다중 회선을 지원하는 다중 경로 IPSec 가상 사설망 환경을 지원하지 않는다. 따라서 IKEv2를 사용하여 IPSec SA(Security Association)에 다중 회선을 지원하는 다중 경로 IPSec 가상 사설망 환경을 구성하기 위한 방법이 필요하다. A basic IPSec virtual private network can only communicate with one path between hosts. In comparison, multi-path IPSec virtual private network environment supporting multi-path can provide more stable and efficient service. However, when an IPSec virtual private network is configured between two hosts through IKEv2, the path is basically created in only one pair of lines and does not support a multi-path IPSec virtual private network environment supporting multiple lines. Therefore, there is a need for a method for configuring a multi-path IPSec virtual private network environment with IKEv2 to support multiple lines in the IPSec Security Association (SA).
본 발명은 IKEv2에서 다중 경로 IPSec 가상 사설망 환경을 지원하기 위한 다중 경로 가상 사설망 구성 방법 및 생성된 경로를 효율적으로 사용하는 방법을 제공하는데 그 목적이 있다. It is an object of the present invention to provide a multi-path virtual private network construction method and a method of efficiently using a generated path to support a multi-path IPSec virtual private network environment in IKEv2.
본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성 방법은, 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계, 인증을 위한 인증 메시지(authentication message)를 교환하는 단계, 상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계, 상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계 및 상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 포함하는 것을 특징으로 한다. A method for configuring a multi-path virtual private network according to an exemplary embodiment of the present invention includes exchanging an initial message including support information of a multi-path virtual private network, an authentication message for authentication, Generating a first tunnel based on the initial message and the authentication message, exchanging generation information of the multipath virtual private network, and generating a second tunnel based on the generation information of the multipath virtual private network, And a step of generating the generated signal.
본 발명의 다른 실시예에 따른 다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령들이 저장되는 컴퓨터에 의해 판독 가능한 저장 매체에 있어서, 상기 다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령은, 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계, 인증을 위한 인증 메시지(authentication message)를 교환하는 단계, 상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계, 상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계 및 상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 수행하는 것을 특징으로 한다. In accordance with another aspect of the present invention, there is provided a computer-readable storage medium storing instructions to be executed by a processor for a multi-path virtual private network, the instructions being executed by a processor for multi- Exchanging an initiate message that includes support information of a multipath virtual private network, exchanging an authentication message for authentication, receiving an initial message based on the initial message and the authentication message, A step of generating a tunnel, a step of exchanging generation information of the multipath virtual private network, and a step of generating a second tunnel based on the generation information of the multipath virtual private network.
본 발명에 따르면, IKEv2에서 다중 경로 IPSec 가상 사설망 환경을 지원하여 생성된 경로를 효율적으로 사용할 수 있다.According to the present invention, a multi-path IPSec virtual private network environment is supported in IKEv2, and the created path can be efficiently used.
도 1은 다중 경로(multi-path) IPSec 가상 사설망(VPN) 환경을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성을 위한 키 교환 절차를 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성 방법을 나타내는 순서도이다.
도 4는 본 발명의 일 실시예에 따른 초기 메시지(initiate message)를 교환하는 절차를 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 vendor ID 페이로드(payload) 형식을 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 가상 사설망의 생성 정보를 교환하는 절차를 나타내는 도면이다.
도 7은 본 발명의 일 실시예에 따른 다중 경로 페이로드 형식을 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따른 네트워크 인터페이스 정보의 형식을 나타내는 도면이다.
도 9는 본 발명의 일 실시예에 따른 각 경로 별 사용 비율을 설정하는 방법을 나타내는 순서도이다. 1 is a diagram illustrating a multi-path IPSec virtual private network (VPN) environment.
FIG. 2 is a diagram illustrating a key exchange procedure for a multipath virtual private network according to an embodiment of the present invention. Referring to FIG.
3 is a flowchart illustrating a method of configuring a multipath virtual private network according to an embodiment of the present invention.
4 is a diagram illustrating a procedure for exchanging an initiate message according to an embodiment of the present invention.
5 is a diagram illustrating a vendor ID payload format according to an embodiment of the present invention.
6 is a diagram illustrating a procedure for exchanging generation information of a virtual private network according to an embodiment of the present invention.
7 is a diagram illustrating a multipath payload format according to an embodiment of the present invention.
8 is a diagram illustrating a format of network interface information according to an embodiment of the present invention.
FIG. 9 is a flowchart illustrating a method of setting a usage ratio for each route according to an embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference symbols as possible. Further, the detailed description of well-known functions and constructions that may obscure the gist of the present invention will be omitted.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" between the devices in the middle. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.
도 1은 다중 경로(multi-path) IPSec 가상 사설망(VPN) 환경을 나타내는 도면이다. 1 is a diagram illustrating a multi-path IPSec virtual private network (VPN) environment.
도 1을 참조하면, 지점 단말(110)과 본사 단말(150)은 인터넷(130) 상에서 가상 사설망 장치(120, 140)를 통해 다중 경로가상 사설망을 구성하고 있다. 즉, 지점 단말(110)은 하나의 IPSec SA(Security Association)에 두 개의 경로를 통해 본사 단말(150)과 IPSec 가상 사설망을 구성하고 있다. 했다. 지점 단말(110)과 본사 단말(150)은 두 개의 경로(Path A, Path B)를 이용하여 암호화 된 데이터를 송수신 할 수 있다. Referring to FIG. 1, a
Path A, Path B가 모두 활성(active) 상태인 경우, 지점 단말(110)과 본사 단말(150)은 두 개의 경로(Path A, Path B) 중 하나를 선택하여 암호화 된 데이터를 송수신 할 수 있다. Path A가 활성 상태이고 Path B가 대기(standby) 상태인 경우, 지점 단말(110)과 본사 단말(150)은 Path A를 암호화 된 데이터를 송수신하다가, Path A의 연결성에 문제가 발생하면, Path B를 활성화시켜 Path B를 통해 계속 암호화 된 데이터를 송수신 할 수 있다. 이러한 방법을 통해 다중 경로 가상 사설망은 보다 안정적인 가상 사설망 서비스를 제공할 수 있다. When both Path A and Path B are active, the
도 2는 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성을 위한 키 교환 절차를 나타내는 도면이고, 도 3은 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성 방법을 나타내는 순서도이다. FIG. 2 is a diagram illustrating a key exchange procedure for configuring a multi-path virtual private network according to an embodiment of the present invention. FIG. 3 is a flowchart illustrating a multi-path virtual private network configuration method according to an embodiment of the present invention.
도 2 및 도 3을 참조하면, 먼저, 가상 사설망 장치는 310 단계에서, 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)한다. IKEv2를 이용하는 경우, 메시지 교환은 요청/응답(request/response) 쌍으로 이루어지므로, 초기 메시지 교환 역시, Initiator(201)와 Responder(202) 간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다. 여기서, 다중 경로 가상 사설망은 다중 경로 IPSec 가상 사설망일 수 있다. Referring to FIG. 2 and FIG. 3, the virtual private network device exchanges an initiate message including support information of a multi-path virtual private network at
이 경우, 초기 메시지는 vendor ID(VID) 페이로드(payload)를 포함하고, vendor ID 페이로드는 다중 경로 가상 사설망의 지원 정보를 포함할 수 있다. 도 4 및 도 5를 참조하여 설명한다. In this case, the initial message includes a vendor ID (VID) payload, and the vendor ID payload may include support information of a multipath virtual private network. Will be described with reference to Figs. 4 and 5. Fig.
도 4는 본 발명의 일 실시예에 따른 초기 메시지(initiate message)를 교환하는 절차를 나타내는 도면이고, 도 5는 본 발명의 일 실시예에 따른 vendor ID 페이로드(payload) 형식을 나타내는 도면이다. FIG. 4 is a diagram illustrating a procedure for exchanging an initial message according to an embodiment of the present invention. FIG. 5 is a diagram illustrating a vendor ID payload format according to an embodiment of the present invention.
도 4를 참조하면, Initiator(201)는 Responder(202)로 헤더(header)와 VID, Ni, DH Key, SAi1 등의 페이로드(payload)를 포함하는 초기 메시지 요청을 전송하고, Responder(202)는 이를 수신하여 Initiator(201)로 헤더와 VID, Nr, DH Key, SAi1 등의 페이로드를 포함하는 초기 메시지 응답을 전송한다. 이때, vendor ID 페이로드에 다중 경로 가상 사설망의 지원 정보를 포함하여 해당 가상 사설망 장치가 다중 경로 가상 사설망을 지원한다는 사실을 알릴 수 있는 것이다. 4, the
보다 구체적으로 살펴보면, 도 5에는 vendor ID 페이로드(payload) 형식이 도시되어 있는데, vendor ID의 일 필드에 다중 경로 가상 사설망의 지원 정보가 포함될 수 있다. 일례로, 도 5에서와 같이 다중 경로 가상 사설망을 지원한다는 사실을 알리기 위하여 vendor ID의 일 필드(510)에 ‘multi-path’라는 단어를 md5 해시 값으로 만든 16진수 값이 들어갈 수 있다. More specifically, a vendor ID payload format is shown in FIG. 5, and support information of a multipath virtual private network may be included in one field of a vendor ID. For example, in order to notify the fact that the multi-path virtual private network is supported as shown in FIG. 5, a hexadecimal value obtained by making the word 'multi-path' into the md5 hash value may be included in a
위에 설명한 것과 같이 Initiator(201)와 Responder(202)는 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지의 교환을 통해 상대방 장치의 다중 경로 가상 사설망의 지원 여부를 알 수 있다. As described above, the
다음으로, 가상 사설망 장치는 320 단계에서, 인증을 위한 인증 메시지(authentication message)를 교환한다. 인증 메시지 교환 역시, Initiator(201)와 Responder(202) 간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다.Next, in
그 후, 가상 사설망 장치는 330 단계로 진행하여 초기 메시지와 인증 메시지를 기반으로 제1 터널을 생성한다. 즉, 첫 번째 경로를 생성하는 것이다. 이러한 제1 터널 생성 과정은 초기 메시지를 교환하는 310 단계에서 다중 경로 가상 사설망의 지원 정보를 교환하는 과정을 제외하고는 일반적인 하나의 경로를 통한 가상 사설망의 구성 방법과 동일할 수 있다. 제1 터널이 생성되기 전, 초기 메시지와 인증 메시지의 교환은 공개된 네트워크를 통해서 이루어졌으나, 제1 터널이 생성 후에는 암호화된 데이터를 주고 받을 수 있다. Thereafter, the virtual private network device proceeds to
가상 사설망 장치는 340 단계에서, 다중 경로 가상 사설망의 생성 정보를 교환한다. 다중 경로 가상 사설망의 생성 정보의 교환 역시, Initiator(201)와 Responder(202) 간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다. 이 경우, 다중 경로 가상 사설망의 생성 정보를 교환하는 과정은, 다중 경로 가상 사설망의 위한 정보임을 알리는 다중 경로 notify 페이로드와 다중 경로 가상 사설망의 구성 정보를 포함하는 다중 경로 페이로드를 포함할 수 있다. 도 6을 참조하여 설명한다. In
도 6은 본 발명의 일 실시예에 따른 가상 사설망의 생성 정보를 교환하는 절차를 나타내는 도면이다. 6 is a diagram illustrating a procedure for exchanging generation information of a virtual private network according to an embodiment of the present invention.
도 6을 참조하면, Initiator(201)는 Responder(202)로 헤더(header)와 다중 경로 notify(N(MULTI_PATH)), 다중 경로(MULTPATH) 등의 페이로드(payload)를 포함하는 가상 사설망의 생성 정보 요청을 전송하고, Responder(202)는 이를 수신하여 Initiator(201)로 헤더와 다중 경로 notify(N(MULTI_PATH)), 다중 경로(MULTPATH) 등의 페이로드를 포함하는 가상 사설망의 생성 정보 응답을 전송한다. 6, the
가상 사설망의 생성 정보에 포함되는 다중 경로 페이로드는 로드 밸랜싱(load balancing) 정보, 인바운드(inbound) 정보, 네트워크 인터페이스 정보 중 적어도 하나 이상을 포함할 수 있다. 도 7을 참조하여 설명한다. The multipath payload included in the creation information of the virtual private network may include at least one of load balancing information, inbound information, and network interface information. Will be described with reference to FIG.
도 7은 본 발명의 일 실시예에 따른 다중 경로 페이로드 형식을 나타내는 도면이다. 7 is a diagram illustrating a multipath payload format according to an embodiment of the present invention.
도 7을 참조하면, P 플래그(flag)(710)는 다중 경로의 로드 밸랜싱(load balancing) 방식을 결정하는 플래그로 0이면 Session 방식, 1이면 Round Robin 방식을 의미할 수 있다. SPI(720)는 인바운드(inbound)에 대한 값이 들어가며, Multi-Path Data(730)는 다중 경로 가상 사설망을 위해 사용할 수 있는 자신의 네트워크 인터페이스 정보이다. 네트워크 인터페이스 정보는 IP(Internet Protocol) 버전 정보, 인터페이스 상태 정보, 인터페이스의 우선 순위 정보 중 적어도 하나 이상을 포함할 수 있고, 도 8과 같은 형식을 가질 수 있다. Referring to FIG. 7, a
도 8은 본 발명의 일 실시예에 따른 네트워크 인터페이스 정보의 형식을 나타내는 도면이다. 8 is a diagram illustrating a format of network interface information according to an embodiment of the present invention.
도 8을 참조하면, T 플래그(810)는 IP의 종류(type)를 의미하는 플래그로 0이면 IPv4, 1이면 IPv6를 의미할 수 있다. A 플래그(820)는 인터페이스의 기본 상태를 의미하는 플래그로 0이면 활성(active) 상태, 1이면 대기(standby) 상태를 의미할 수 있다. 즉, A 플래그(820)에 의해 경로 의 활성/대기(active/standby) 상태가 결정된다. Priority(830)는 인터페이스의 우선순위를 뜻하며 이 값을 이용해서 다중 경로의 각 경로 별 사용 비율을 설정할 수 있다. Referring to FIG. 8, the
이와 같은 다중 경로 가상 사설망의 생성 정보를 교환하는 과정은 공개된 네트워크를 통해 이루어질 수도 있고, 제1 터널이 생성된 후 이므로, 제1 터널을 통해 암호화된 데이터를 주고 받을 수도 있다. The process of exchanging the creation information of the multipath virtual private network may be performed through a public network or after the first tunnel is created, the encrypted data may be exchanged through the first tunnel.
나아가, 가상 사설망 장치는 340 단계에서 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성한다. 제2 터널이 생성되면, Initiator(201)와 Responder(202) 사이에는 2개의 경로가 생성되어 있는 바, 다중 경로 가상 사설망 환경이 구성된 것이다. 여기서는 2개의 경로가 생성되는 과정을 예로 들어 설명하였으나, 이는 일례에 불과하며, 이에 한정되지 않고 복수 개의 경로가 생성될 수도 있다. Further, in
위에서 설명한 본 발명의 일 실시예에 따라 IKEv2에서 다중 경로 IPSec 가상 사설망 환경을 제공할 수 있다. According to an embodiment of the present invention described above, a multi-path IPSec virtual private network environment can be provided in IKEv2.
도 9는 본 발명의 일 실시예에 따른 각 경로 별 사용 비율을 설정하는 방법을 나타내는 순서도이다. FIG. 9 is a flowchart illustrating a method of setting a usage ratio for each route according to an embodiment of the present invention.
먼저, 910 단계에서, 가상 사설망 장치는 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 계산한다. 각 경로 별 RTT 값의 평균값(avgRTT)은 다음 수학식 1에 의해 계산될 수 있다. First, in
(수학식 1)(1)
여기서 RTT 값은 DPD(Dead Peer Detection) 메시지를 통해 측정된 RTT 값을 사용할 수 있다. 또한, n은 각 경로 별 RTT(Round Trip Time) 값을 측정한 횟수를 나타내는 바, avgRTTn -1은 이전에 계산되었던 DPD 메시지의 RTT 값의 평균값에 해당한다. α는 조절 가능한 가중치로, 정적인 네트워크 일수록 α를 크게 조절하고 동적인 네트워크 일수록 α를 작게 조절할 수 있다. Here, the RTT value can be the RTT value measured through the DPD (Dead Peer Detection) message. Also, n represents the number of times the round trip time (RTT) value of each path is measured, and avgRTT n -1 corresponds to the average value of the RTT value of the DPD message calculated previously. α is an adjustable weight, and α can be adjusted to a larger value for a static network, and α can be adjusted to be smaller for a dynamic network.
다음으로, 가상 사설망 장치는 920 단계로 진행하여, 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 이용해 각 경로 별 안정성(path safety)를 계산한다. 각 경로 별 안정성(path safety)은 하기 수학식 2에 의해 계산될 수 있다. Next, the virtual private network device proceeds to step 920 and calculates the path safety for each route using the average value (avgRTT) of RTT (Round Trip Time) value for each route. The path safety for each path can be calculated by the following equation (2).
(수학식 2)(2)
RTT 값이 작을수록 안정적인 경로에 해당하는 바, 각 경로 별 안정성은 이를 반영하여 계산된다. 여기서, avgRTT1은 다중 경로 중 첫 번째 경로에 대한 RTT 평균을 의미한다. The smaller the RTT value is, the more stable the path is, and the stability of each path is calculated by reflecting this. Here, avgRTT1 means the RTT average of the first path among the multipaths.
나아가, 930 단계에서 가상 사설망 장치는 각 경로 별 사용 비율을 계산한다. 각 경로 별 사용 비율은 하기 수학식 3에 의해 계산될 수 있다. Further, in
(수학식 3)(3)
MyP: 해당 경로에 속해 있는 자신의 인터페이스에 대한 우선순위 값MyP: Priority value for own interface belonging to the path
OtherP: 수신된 상대방의 인터페이스에 대한 우선순위 값 OtherP: Priority value for the interface of the receiving party
이와 같은 과정을 통해 안정적인 경로를 보다 많이 사용하도록 경로 별 사용 비율을 설정하여 생성된 경로를 보다 효율적으로 사용할 수 있다.Through this process, it is possible to use the generated route more efficiently by setting the usage ratio per route to use more stable route.
지금까지 본 발명의 실시예들을 프로세서에 의해 수행되는 명령들로 구현되어 컴퓨터에 의해 판독 가능한 저장 매체에 저장될 수 있다. 이러한 명령들이 프로세서에 의해 실행되는 경우, 위에서 설명한 흐름도 및/또는 블록도에서 특정된 기능들/동작들을 구현하는 수단을 생성할 수 있다. 흐름도/블록도들에서의 각 블록은 본 발명의 실시예들을 구현하는 하드웨어 및/또는 소프트웨어모듈 또는 로직을 나타낼 수도 있다. 또한, 블록도들에 언급한 기능들은 도면들에서 언급한 순서를 벗어나 발생할 수도 있고, 동시에 발생할 수도 있다. Embodiments of the invention may be embodied in a computer-readable storage medium embodied in instructions for execution by a processor. When these instructions are executed by a processor, they may generate means for implementing the functions / operations specified in the flowcharts and / or block diagrams described above. Each block in the flowcharts / block diagrams may represent hardware and / or software modules or logic that implement embodiments of the present invention. Further, the functions referred to in the block diagrams may occur outside the order mentioned in the drawings, or may occur simultaneously.
컴퓨터에 의해 판독 가능한 매체는 예를 들어, 플로피 디스크, ROM, 플래시 메모리, 디스크 드라이브 메모리, CD-ROM, 및 다른 영구 저장부와 같은 비휘발성 메모리를 포함할 수 있으나, 이에 한정되지 않고 다양한 매체가 사용 가능하다. The computer-readable medium can include, for example, but is not limited to, a non-volatile memory such as a floppy disk, ROM, flash memory, disk drive memory, CD-ROM, and other persistent storage, Available.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.The embodiments of the present invention disclosed in the present specification and drawings are intended to be illustrative only and not intended to limit the scope of the present invention. It will be apparent to those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.
210: 세션 관리 모듈
220: 전송 정책 식별 모듈
230: 보안 기능 모듈210: Session Management Module
220: Transmission Policy Identification Module
230: Security function module
Claims (12)
인증을 위한 인증 메시지(authentication message)를 교환하는 단계;
상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계;
상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계; 및
상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 포함하고,
상기 초기 메시지는,
vendor ID 페이로드(payload)를 포함하고,
상기 vendor ID 페이로드는 상기 다중 경로 가상 사설망의 지원 정보를 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
Exchanging an initiate message including support information of a multipath virtual private network;
Exchanging an authentication message for authentication;
Generating a first tunnel based on the initial message and the authentication message;
Exchanging generation information of the multipath virtual private network; And
And generating a second tunnel based on the generation information of the multipath virtual private network,
The initial message includes:
a vendor ID payload,
Wherein the vendor ID payload includes support information of the multipath virtual private network.
상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계는,
상기 다중 경로 가상 사설망의 위한 정보임을 알리는 다중 경로 notify 페이로드와 다중 경로 가상 사설망의 구성 정보를 포함하는 다중 경로 페이로드를 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method according to claim 1,
Wherein the step of exchanging generation information of the multipath virtual private network comprises:
And a multipath payload including configuration information of a multipath notify payload informing that the information is for the multipath virtual private network and configuration information of the multipath virtual private network.
상기 다중 경로 페이로드는,
로드 밸랜싱(load balancing) 정보, 인바운드(inbound) 정보, 네트워크 인터페이스 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method of claim 3,
The multi-
Wherein the at least one of the load balancing information, the inbound information, and the network interface information includes at least one of load balancing information, inbound information, and network interface information.
상기 네트워크 인터페이스 정보는,
IP(Internet Protocol) 버전 정보, 인터페이스 상태 정보, 인터페이스의 우선 순위 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
5. The method of claim 4,
The network interface information includes:
An IP (Internet Protocol) version information, an interface status information, and an interface priority information.
상기 인터페이스의 우선 순위 정보를 이용하여 각 경로 별 사용 비율을 설정하는 단계를 더 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
6. The method of claim 5,
Further comprising setting a usage ratio for each path using priority information of the interface.
상기 각 경로 별 사용 비율을 설정하는 단계는,
각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 계산하는 단계;
상기 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 이용하여 각 경로 별 안정성(path safety)를 계산하는 단계; 및
상기 각 경로 별 안정성(path safety)을 이용하여 상기 각 경로 별 사용 비율을 계산하는 단계를 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method according to claim 6,
The method of claim 1,
Calculating an average value (avgRTT) of Round Trip Time (RTT) values for each path;
Calculating path safety for each route using an average value (avgRTT) of Round Trip Time (RTT) values for each route; And
And calculating a usage ratio for each path using the path safety for each path.
상기 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 계산하는 단계는,
하기 수학식 1에 의해 계산하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
(수학식1)
8. The method of claim 7,
The step of calculating an average value (avgRTT) of Round Trip Time (RTT)
Wherein the virtual private network is calculated by the following equation (1).
(1)
상기 각 경로 별 안정성(path safety)를 계산하는 단계는,
하기 수학식 2에 의해 계산하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
(수학식2)
8. The method of claim 7,
The step of calculating path safety may include:
(2). ≪ / RTI >
(2)
상기 각 경로 별 사용 비율을 계산하는 단계는,
하기 수학식 3에 의해 계산하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
(수학식3)
MyP: 해당 경로에 속해 있는 자신의 인터페이스에 대한 우선순위 값
OtherP: 수신된 상대방의 인터페이스에 대한 우선순위 값
8. The method of claim 7,
The step of calculating the usage ratio for each route may include:
Wherein the virtual private network is calculated by the following equation (3).
(3)
MyP: Priority value for own interface belonging to the path
OtherP: Priority value for the interface of the receiving party
상기 다중 경로 가상 사설망은,
다중 경로 IPSec 가상 사설망인 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method according to claim 1,
The multi-path virtual private network,
Wherein the multi-path virtual private network is a multi-path IPSec virtual private network.
상기 다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령은,
다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계;
인증을 위한 인증 메시지(authentication message)를 교환하는 단계;
상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계;
상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계; 및
상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 수행하고,
상기 초기 메시지는,
vendor ID 페이로드(payload)를 포함하고,
상기 vendor ID 페이로드는 상기 다중 경로 가상 사설망의 지원 정보를 포함하는 것을 특징으로 하는 저장 매체.A computer-readable storage medium having stored thereon instructions to be executed by a processor for multi-path virtual private network configuration,
Wherein instructions executed by the processor for the multi-path virtual private network configuration comprise:
Exchanging an initiate message including support information of a multipath virtual private network;
Exchanging an authentication message for authentication;
Generating a first tunnel based on the initial message and the authentication message;
Exchanging generation information of the multipath virtual private network; And
Generating a second tunnel based on the generation information of the multipath virtual private network,
The initial message includes:
a vendor ID payload,
Wherein the vendor ID payload includes support information of the multipath virtual private network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130167518A KR101489451B1 (en) | 2013-12-30 | 2013-12-30 | Method and apparatus for implementing multi-path virtual private network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130167518A KR101489451B1 (en) | 2013-12-30 | 2013-12-30 | Method and apparatus for implementing multi-path virtual private network |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101489451B1 true KR101489451B1 (en) | 2015-02-11 |
Family
ID=52591288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20130167518A KR101489451B1 (en) | 2013-12-30 | 2013-12-30 | Method and apparatus for implementing multi-path virtual private network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101489451B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003338843A (en) * | 2002-05-21 | 2003-11-28 | Genetec Corp | Routing apparatus and routing method |
KR20040098093A (en) * | 2003-05-13 | 2004-11-20 | (주)디엔피그룹 | A vpn system supporting a multitunnel ipsec and operation method thereof |
KR100471790B1 (en) | 2003-01-14 | 2005-03-10 | 어울림정보기술주식회사 | Device for sending data using multi-tunneled virtual private network gateway |
-
2013
- 2013-12-30 KR KR20130167518A patent/KR101489451B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003338843A (en) * | 2002-05-21 | 2003-11-28 | Genetec Corp | Routing apparatus and routing method |
KR100471790B1 (en) | 2003-01-14 | 2005-03-10 | 어울림정보기술주식회사 | Device for sending data using multi-tunneled virtual private network gateway |
KR20040098093A (en) * | 2003-05-13 | 2004-11-20 | (주)디엔피그룹 | A vpn system supporting a multitunnel ipsec and operation method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7447901B1 (en) | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network | |
US7676838B2 (en) | Secure communication methods and systems | |
US11122116B2 (en) | Load balancing system, method, and apparatus | |
US9300766B2 (en) | Method and apparatus for initiating and maintaining sessions between endpoints | |
US20200067891A1 (en) | Securing end-to-end virtual machine traffic | |
CN108601043B (en) | Method and apparatus for controlling wireless access point | |
Namal et al. | Enabling secure mobility with OpenFlow | |
Liyanage et al. | Secure communication channel architecture for software defined mobile networks | |
WO2021009554A1 (en) | Method and system for secured information exchange between intermediate and endpoint nodes in a communications network | |
EP1921822A2 (en) | Return routability optimisation | |
CN117714370A (en) | Dynamically separated channel encryption key allocation | |
CN106209401B (en) | A kind of transmission method and device | |
US11006346B2 (en) | X2 service transmission method and network device | |
CN104184646A (en) | VPN data interaction method and system and VPN data interaction device | |
KR101489451B1 (en) | Method and apparatus for implementing multi-path virtual private network | |
Ylitalo et al. | An experimental evaluation of a HIP based network mobility scheme | |
WO2014139646A1 (en) | Communication in a dynamic multipoint virtual private network | |
WO2020048622A1 (en) | A method, apparatus & computer program | |
Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
Campos et al. | HOP: achieving efficient anonymity in MANETs by combining HIP, OLSR, and pseudonyms | |
US11563722B2 (en) | Firewall coordination in a network | |
KR101989147B1 (en) | Method for handshake of MPTCP using asymmetric key exchange | |
KR101401008B1 (en) | Method for detecting connectivity and computer readable recording medium thereof | |
Hoogendoorn | NSX-T VPN | |
Slehat et al. | Securing teredo client from NAT holes vulnerability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20190103 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20200102 Year of fee payment: 6 |