KR101489451B1 - Method and apparatus for implementing multi-path virtual private network - Google Patents

Method and apparatus for implementing multi-path virtual private network Download PDF

Info

Publication number
KR101489451B1
KR101489451B1 KR20130167518A KR20130167518A KR101489451B1 KR 101489451 B1 KR101489451 B1 KR 101489451B1 KR 20130167518 A KR20130167518 A KR 20130167518A KR 20130167518 A KR20130167518 A KR 20130167518A KR 101489451 B1 KR101489451 B1 KR 101489451B1
Authority
KR
South Korea
Prior art keywords
private network
virtual private
path
information
multipath
Prior art date
Application number
KR20130167518A
Other languages
Korean (ko)
Inventor
유현
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR20130167518A priority Critical patent/KR101489451B1/en
Application granted granted Critical
Publication of KR101489451B1 publication Critical patent/KR101489451B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up

Abstract

The present invention relates to a method of implementing a multi-path virtual private network, and the method of implementing the multi-path virtual private network according to an embodiment of the present invention includes exchanging an initial message including multi-path virtual private network support information, exchanging an authentication message for authentication, generating a first tunnel based on the initial message and the authentication message, exchanging multi-path virtual private network implementation information, and generating a second tunnel based on the multi-path virtual private network implementation information. According to the present invention, it is possible to efficiently use a generated path by supporting a multi-path IPSec virtual private network environment under IKEv2.

Description

다중 경로 가상 사설망 구성 {METHOD AND APPARATUS FOR IMPLEMENTING MULTI-PATH VIRTUAL PRIVATE NETWORK}METHOD AND APPARATUS FOR IMPLEMENTING MULTI-PATH VIRTUAL PRIVATE NETWORK [0001]

본 발명은 다중 경로 가상 사설망 구성 방법에 관한 것이다. The present invention relates to a multipath virtual private network construction method.

현재 기업의 근무 환경은 많은 정보 공유의 필요성 및 업무의 연속성이 필요한 방향으로 변화하고 있다. 따라서, 근무 위치가 사무실에 국한되지 않고 집이나 업무현장으로까지 확대되고 있다. 이런 변화로 인하여, 기업은 근거리망(Local Area Network; LAN)의 구성에서 벗어나 기업 네트워크를 확대하기 위해 외부와의 네트워크 구성이 필요하게 되었다. 인터넷 망을 사설 망처럼 이용하여 회선 비용을 절감할 수 있는 가상 사설망(Virtual Private Network, VPN)은 특수통신체계와 암호화 기법을 사용하여 기업 본사와 지사 또는 지사간에 전용망을 설치한 것과 같은 기업통신 서비스를 제공한다. At present, the working environment of the company is changing in the direction of necessity of information sharing and continuity of work. Therefore, the working position is not limited to the office, but is extended to the home or work place. Due to these changes, enterprises have to be networked with outside in order to expand the corporate network away from the configuration of local area network (LAN). A virtual private network (VPN), which can reduce the cost of a network by using the Internet as a private network, uses a special communication system and a cryptographic technique to establish a private network between a corporate headquarters and a branch office or a branch office, Lt; / RTI >

IETF 표준에 의한 IPSec은 가상 사설망을 구성할 때 사용되는 대표적인 터널링(tunneling) 프로토콜 중의 하나로 3계층(네트워크 계층)에서 동작한다. IPSec은 AH(Authentication Header)와 ESP(Encapsulation Security Payload)의 두 가지 트래픽 보안 프로토콜을 지원하고 패킷 암호화를 위한 키 교환은 IKE(Internet Key Exchange) 프로토콜을 사용하는데, 현재 IKE 표준은 IKEv1과 IKEv2가 존재한다. IPSEC according to the IETF standard is one of the typical tunneling protocols used when configuring a virtual private network, and operates at Layer 3 (network layer). IPSec supports two traffic security protocols: AH (Authentication Header) and ESP (Encapsulation Security Payload). Key exchange for packet encryption uses IKE (Internet Key Exchange) protocol. Currently, IKEv1 and IKEv2 exist do.

IKEv1는 ISAKMP(Internet Security Association Key Management Protocol) 프로토콜, Oakley 프로토콜 및 SKEME 프로토콜을 혼합한 프로토콜로서 키 교환 및 인증을 위한 프레임워크, 메시지 포맷 및 페이지(phase) 개념은 ISAKMP에서 가져왔으며, Oakley 프로토콜로부터 2가지 키 교환 모드를 가져왔다. IKEv1은 키 교환을 위해 3가지 모드(Main Mode, Aggressive Mode, Quick Mode)를 사용한다.IKEv1 is a protocol that combines Internet Security Association Key Management Protocol (ISAKMP), Oakley protocol, and SKEME protocol. The framework, message format, and phase for key exchange and authentication are derived from ISAKMP. Key exchange mode. IKEv1 uses three modes (Main Mode, Aggressive Mode, Quick Mode) for key exchange.

IKEv2는 2005년도에 RFC 4306으로 표준화되었으며 IKEv1 보다 심플하고 보안성 및 성능이 높도록 설계되었다. 복잡했던 페이지 및 모드 개념을 없애고 Exchange 개념을 도입했으며, 메시지 교환은 request/response 쌍으로 이루어진다.IKEv2 was standardized in RFC 4306 in 2005 and is designed to be simpler, more secure, and more powerful than IKEv1. We removed the complex page and mode concepts and introduced the Exchange concept, and the message exchange consists of a request / response pair.

기본적인 IPSec 가상 사설망은 호스트간에 하나의 경로로만 통신할 수 있다. 이와 비교하여 다중 경로(Multi-Path)를 지원하는 다중 경로 IPSec 가상 사설망 환경은 보다 안정적이고 효율적인 서비스를 제공할 수 있다. 하지만, IKEv2를 통해 양 호스트간에 IPSec 가상 사설망이 구성되었을 때, 기본적으로 하나의 회선 쌍으로만 경로가 생성되어 다중 회선을 지원하는 다중 경로 IPSec 가상 사설망 환경을 지원하지 않는다. 따라서 IKEv2를 사용하여 IPSec SA(Security Association)에 다중 회선을 지원하는 다중 경로 IPSec 가상 사설망 환경을 구성하기 위한 방법이 필요하다. A basic IPSec virtual private network can only communicate with one path between hosts. In comparison, multi-path IPSec virtual private network environment supporting multi-path can provide more stable and efficient service. However, when an IPSec virtual private network is configured between two hosts through IKEv2, the path is basically created in only one pair of lines and does not support a multi-path IPSec virtual private network environment supporting multiple lines. Therefore, there is a need for a method for configuring a multi-path IPSec virtual private network environment with IKEv2 to support multiple lines in the IPSec Security Association (SA).

본 발명은 IKEv2에서 다중 경로 IPSec 가상 사설망 환경을 지원하기 위한 다중 경로 가상 사설망 구성 방법 및 생성된 경로를 효율적으로 사용하는 방법을 제공하는데 그 목적이 있다. It is an object of the present invention to provide a multi-path virtual private network construction method and a method of efficiently using a generated path to support a multi-path IPSec virtual private network environment in IKEv2.

본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성 방법은, 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계, 인증을 위한 인증 메시지(authentication message)를 교환하는 단계, 상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계, 상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계 및 상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 포함하는 것을 특징으로 한다. A method for configuring a multi-path virtual private network according to an exemplary embodiment of the present invention includes exchanging an initial message including support information of a multi-path virtual private network, an authentication message for authentication, Generating a first tunnel based on the initial message and the authentication message, exchanging generation information of the multipath virtual private network, and generating a second tunnel based on the generation information of the multipath virtual private network, And a step of generating the generated signal.

본 발명의 다른 실시예에 따른 다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령들이 저장되는 컴퓨터에 의해 판독 가능한 저장 매체에 있어서, 상기 다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령은, 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계, 인증을 위한 인증 메시지(authentication message)를 교환하는 단계, 상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계, 상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계 및 상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 수행하는 것을 특징으로 한다. In accordance with another aspect of the present invention, there is provided a computer-readable storage medium storing instructions to be executed by a processor for a multi-path virtual private network, the instructions being executed by a processor for multi- Exchanging an initiate message that includes support information of a multipath virtual private network, exchanging an authentication message for authentication, receiving an initial message based on the initial message and the authentication message, A step of generating a tunnel, a step of exchanging generation information of the multipath virtual private network, and a step of generating a second tunnel based on the generation information of the multipath virtual private network.

본 발명에 따르면, IKEv2에서 다중 경로 IPSec 가상 사설망 환경을 지원하여 생성된 경로를 효율적으로 사용할 수 있다.According to the present invention, a multi-path IPSec virtual private network environment is supported in IKEv2, and the created path can be efficiently used.

도 1은 다중 경로(multi-path) IPSec 가상 사설망(VPN) 환경을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성을 위한 키 교환 절차를 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성 방법을 나타내는 순서도이다.
도 4는 본 발명의 일 실시예에 따른 초기 메시지(initiate message)를 교환하는 절차를 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 vendor ID 페이로드(payload) 형식을 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 가상 사설망의 생성 정보를 교환하는 절차를 나타내는 도면이다.
도 7은 본 발명의 일 실시예에 따른 다중 경로 페이로드 형식을 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따른 네트워크 인터페이스 정보의 형식을 나타내는 도면이다.
도 9는 본 발명의 일 실시예에 따른 각 경로 별 사용 비율을 설정하는 방법을 나타내는 순서도이다. 1 is a diagram illustrating a multi-path IPSec virtual private network (VPN) environment.
FIG. 2 is a diagram illustrating a key exchange procedure for a multipath virtual private network according to an embodiment of the present invention. Referring to FIG.
3 is a flowchart illustrating a method of configuring a multipath virtual private network according to an embodiment of the present invention.
4 is a diagram illustrating a procedure for exchanging an initiate message according to an embodiment of the present invention.
5 is a diagram illustrating a vendor ID payload format according to an embodiment of the present invention.
6 is a diagram illustrating a procedure for exchanging generation information of a virtual private network according to an embodiment of the present invention.
7 is a diagram illustrating a multipath payload format according to an embodiment of the present invention.
8 is a diagram illustrating a format of network interface information according to an embodiment of the present invention.
FIG. 9 is a flowchart illustrating a method of setting a usage ratio for each route according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference symbols as possible. Further, the detailed description of well-known functions and constructions that may obscure the gist of the present invention will be omitted.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" between the devices in the middle. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 다중 경로(multi-path) IPSec 가상 사설망(VPN) 환경을 나타내는 도면이다. 1 is a diagram illustrating a multi-path IPSec virtual private network (VPN) environment.

도 1을 참조하면, 지점 단말(110)과 본사 단말(150)은 인터넷(130) 상에서 가상 사설망 장치(120, 140)를 통해 다중 경로가상 사설망을 구성하고 있다. 즉, 지점 단말(110)은 하나의 IPSec SA(Security Association)에 두 개의 경로를 통해 본사 단말(150)과 IPSec 가상 사설망을 구성하고 있다. 했다. 지점 단말(110)과 본사 단말(150)은 두 개의 경로(Path A, Path B)를 이용하여 암호화 된 데이터를 송수신 할 수 있다. Referring to FIG. 1, a branch office terminal 110 and a head office terminal 150 form a multipath virtual private network through a virtual private network device 120 or 140 on the Internet 130. That is, the branch office 110 configures the IPSec virtual private network with the head office terminal 150 through two routes to one IPSec SA (Security Association). did. The branch office terminal 110 and the head office terminal 150 can transmit and receive the encrypted data using two paths (Path A and Path B).

Path A, Path B가 모두 활성(active) 상태인 경우, 지점 단말(110)과 본사 단말(150)은 두 개의 경로(Path A, Path B) 중 하나를 선택하여 암호화 된 데이터를 송수신 할 수 있다. Path A가 활성 상태이고 Path B가 대기(standby) 상태인 경우, 지점 단말(110)과 본사 단말(150)은 Path A를 암호화 된 데이터를 송수신하다가, Path A의 연결성에 문제가 발생하면, Path B를 활성화시켜 Path B를 통해 계속 암호화 된 데이터를 송수신 할 수 있다. 이러한 방법을 통해 다중 경로 가상 사설망은 보다 안정적인 가상 사설망 서비스를 제공할 수 있다. When both Path A and Path B are active, the branch office terminal 110 and the head office terminal 150 can select one of two paths (Path A and Path B) to transmit and receive the encrypted data . When Path A is active and Path B is in a standby state, the branch office terminal 110 and the head office terminal 150 transmit and receive the encrypted data in the path A, and when there is a problem in the connectivity of the path A, B can be activated to continue sending and receiving encrypted data via Path B. In this way, the multi-path virtual private network can provide a more stable virtual private network service.

도 2는 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성을 위한 키 교환 절차를 나타내는 도면이고, 도 3은 본 발명의 일 실시예에 따른 다중 경로 가상 사설망 구성 방법을 나타내는 순서도이다. FIG. 2 is a diagram illustrating a key exchange procedure for configuring a multi-path virtual private network according to an embodiment of the present invention. FIG. 3 is a flowchart illustrating a multi-path virtual private network configuration method according to an embodiment of the present invention.

도 2 및 도 3을 참조하면, 먼저, 가상 사설망 장치는 310 단계에서, 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)한다. IKEv2를 이용하는 경우, 메시지 교환은 요청/응답(request/response) 쌍으로 이루어지므로, 초기 메시지 교환 역시, Initiator(201)와 Responder(202) 간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다. 여기서, 다중 경로 가상 사설망은 다중 경로 IPSec 가상 사설망일 수 있다. Referring to FIG. 2 and FIG. 3, the virtual private network device exchanges an initiate message including support information of a multi-path virtual private network at step 310. In the case of using IKEv2, since the message exchange is made up of request / response pairs, the initial message exchange can also be performed by exchanging a request message and a response message between the initiator 201 and the responder 202. [ Here, the multipath virtual private network may be a multi-path IPSec virtual private network.

이 경우, 초기 메시지는 vendor ID(VID) 페이로드(payload)를 포함하고, vendor ID 페이로드는 다중 경로 가상 사설망의 지원 정보를 포함할 수 있다. 도 4 및 도 5를 참조하여 설명한다. In this case, the initial message includes a vendor ID (VID) payload, and the vendor ID payload may include support information of a multipath virtual private network. Will be described with reference to Figs. 4 and 5. Fig.

도 4는 본 발명의 일 실시예에 따른 초기 메시지(initiate message)를 교환하는 절차를 나타내는 도면이고, 도 5는 본 발명의 일 실시예에 따른 vendor ID 페이로드(payload) 형식을 나타내는 도면이다. FIG. 4 is a diagram illustrating a procedure for exchanging an initial message according to an embodiment of the present invention. FIG. 5 is a diagram illustrating a vendor ID payload format according to an embodiment of the present invention.

도 4를 참조하면, Initiator(201)는 Responder(202)로 헤더(header)와 VID, Ni, DH Key, SAi1 등의 페이로드(payload)를 포함하는 초기 메시지 요청을 전송하고, Responder(202)는 이를 수신하여 Initiator(201)로 헤더와 VID, Nr, DH Key, SAi1 등의 페이로드를 포함하는 초기 메시지 응답을 전송한다. 이때, vendor ID 페이로드에 다중 경로 가상 사설망의 지원 정보를 포함하여 해당 가상 사설망 장치가 다중 경로 가상 사설망을 지원한다는 사실을 알릴 수 있는 것이다. 4, the initiator 201 transmits an initial message request including a header and a payload such as a VID, Ni, a DH key, and SAi1 to the responder 202, And transmits an initial message response including a header and a payload such as VID, Nr, DH Key, and SAi1 to the initiator 201. [ At this time, the vendor ID payload may include support information of the multipath virtual private network to inform that the virtual private network device supports the multipath virtual private network.

보다 구체적으로 살펴보면, 도 5에는 vendor ID 페이로드(payload) 형식이 도시되어 있는데, vendor ID의 일 필드에 다중 경로 가상 사설망의 지원 정보가 포함될 수 있다. 일례로, 도 5에서와 같이 다중 경로 가상 사설망을 지원한다는 사실을 알리기 위하여 vendor ID의 일 필드(510)에 ‘multi-path’라는 단어를 md5 해시 값으로 만든 16진수 값이 들어갈 수 있다. More specifically, a vendor ID payload format is shown in FIG. 5, and support information of a multipath virtual private network may be included in one field of a vendor ID. For example, in order to notify the fact that the multi-path virtual private network is supported as shown in FIG. 5, a hexadecimal value obtained by making the word 'multi-path' into the md5 hash value may be included in a field 510 of the vendor ID.

위에 설명한 것과 같이 Initiator(201)와 Responder(202)는 다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지의 교환을 통해 상대방 장치의 다중 경로 가상 사설망의 지원 여부를 알 수 있다. As described above, the initiator 201 and the responder 202 can know whether or not the multi-path virtual private network of the counterpart apparatus is supported through exchanging an initial message including support information of the multi-path virtual private network.

다음으로, 가상 사설망 장치는 320 단계에서, 인증을 위한 인증 메시지(authentication message)를 교환한다. 인증 메시지 교환 역시, Initiator(201)와 Responder(202) 간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다.Next, in step 320, the virtual private network device exchanges an authentication message for authentication. The authentication message exchange may also be performed by exchanging a request message and a response message between the initiator 201 and the responder 202.

그 후, 가상 사설망 장치는 330 단계로 진행하여 초기 메시지와 인증 메시지를 기반으로 제1 터널을 생성한다. 즉, 첫 번째 경로를 생성하는 것이다. 이러한 제1 터널 생성 과정은 초기 메시지를 교환하는 310 단계에서 다중 경로 가상 사설망의 지원 정보를 교환하는 과정을 제외하고는 일반적인 하나의 경로를 통한 가상 사설망의 구성 방법과 동일할 수 있다. 제1 터널이 생성되기 전, 초기 메시지와 인증 메시지의 교환은 공개된 네트워크를 통해서 이루어졌으나, 제1 터널이 생성 후에는 암호화된 데이터를 주고 받을 수 있다. Thereafter, the virtual private network device proceeds to step 330 and creates a first tunnel based on the initial message and the authentication message. That is, it creates the first path. The first tunnel generation process may be the same as the method of configuring the virtual private network through one general path, except for exchanging the support information of the multipath virtual private network at step 310 in which the initial message is exchanged. Before the first tunnel is created, the initial message and the authentication message are exchanged through the public network, but the encrypted data can be exchanged after the first tunnel is created.

가상 사설망 장치는 340 단계에서, 다중 경로 가상 사설망의 생성 정보를 교환한다. 다중 경로 가상 사설망의 생성 정보의 교환 역시, Initiator(201)와 Responder(202) 간의 요청 메시지와 응답 메시지의 교환으로 이루어 질 수 있다. 이 경우, 다중 경로 가상 사설망의 생성 정보를 교환하는 과정은, 다중 경로 가상 사설망의 위한 정보임을 알리는 다중 경로 notify 페이로드와 다중 경로 가상 사설망의 구성 정보를 포함하는 다중 경로 페이로드를 포함할 수 있다. 도 6을 참조하여 설명한다. In step 340, the virtual private network device exchanges the creation information of the multipath virtual private network. The creation information of the multipath virtual private network may also be exchanged between a request message and a response message between the initiator 201 and the responder 202. In this case, the process of exchanging the creation information of the multi-path virtual private network may include a multi-path payload including the multi-path notify payload indicating the information for the multi-path virtual private network and a multi-path payload including the configuration information of the multi- . Will be described with reference to FIG.

도 6은 본 발명의 일 실시예에 따른 가상 사설망의 생성 정보를 교환하는 절차를 나타내는 도면이다. 6 is a diagram illustrating a procedure for exchanging generation information of a virtual private network according to an embodiment of the present invention.

도 6을 참조하면, Initiator(201)는 Responder(202)로 헤더(header)와 다중 경로 notify(N(MULTI_PATH)), 다중 경로(MULTPATH) 등의 페이로드(payload)를 포함하는 가상 사설망의 생성 정보 요청을 전송하고, Responder(202)는 이를 수신하여 Initiator(201)로 헤더와 다중 경로 notify(N(MULTI_PATH)), 다중 경로(MULTPATH) 등의 페이로드를 포함하는 가상 사설망의 생성 정보 응답을 전송한다. 6, the initiator 201 generates a virtual private network including a payload such as a header, a multipath notify (N (MULTI_PATH)), and a multipath (MULTPATH) to the responder 202 The responder 202 receives the information request and sends a generation information response of the virtual private network including a payload such as a header, a multipath notify (N (MULTI_PATH)), and a multipath (MULTPATH) to the initiator 201 send.

가상 사설망의 생성 정보에 포함되는 다중 경로 페이로드는 로드 밸랜싱(load balancing) 정보, 인바운드(inbound) 정보, 네트워크 인터페이스 정보 중 적어도 하나 이상을 포함할 수 있다. 도 7을 참조하여 설명한다. The multipath payload included in the creation information of the virtual private network may include at least one of load balancing information, inbound information, and network interface information. Will be described with reference to FIG.

도 7은 본 발명의 일 실시예에 따른 다중 경로 페이로드 형식을 나타내는 도면이다. 7 is a diagram illustrating a multipath payload format according to an embodiment of the present invention.

도 7을 참조하면, P 플래그(flag)(710)는 다중 경로의 로드 밸랜싱(load balancing) 방식을 결정하는 플래그로 0이면 Session 방식, 1이면 Round Robin 방식을 의미할 수 있다. SPI(720)는 인바운드(inbound)에 대한 값이 들어가며, Multi-Path Data(730)는 다중 경로 가상 사설망을 위해 사용할 수 있는 자신의 네트워크 인터페이스 정보이다. 네트워크 인터페이스 정보는 IP(Internet Protocol) 버전 정보, 인터페이스 상태 정보, 인터페이스의 우선 순위 정보 중 적어도 하나 이상을 포함할 수 있고, 도 8과 같은 형식을 가질 수 있다. Referring to FIG. 7, a P flag 710 is a flag for determining a load balancing method of multipath. If it is 0, it means a Session method, and if 1, it means a Round Robin method. The SPI 720 contains a value for inbound and the Multi-Path Data 730 is its own network interface information that can be used for a multipath virtual private network. The network interface information may include at least one of IP (Internet Protocol) version information, interface status information, and interface priority information, and may have a format as shown in FIG.

도 8은 본 발명의 일 실시예에 따른 네트워크 인터페이스 정보의 형식을 나타내는 도면이다. 8 is a diagram illustrating a format of network interface information according to an embodiment of the present invention.

도 8을 참조하면, T 플래그(810)는 IP의 종류(type)를 의미하는 플래그로 0이면 IPv4, 1이면 IPv6를 의미할 수 있다. A 플래그(820)는 인터페이스의 기본 상태를 의미하는 플래그로 0이면 활성(active) 상태, 1이면 대기(standby) 상태를 의미할 수 있다. 즉, A 플래그(820)에 의해 경로 의 활성/대기(active/standby) 상태가 결정된다. Priority(830)는 인터페이스의 우선순위를 뜻하며 이 값을 이용해서 다중 경로의 각 경로 별 사용 비율을 설정할 수 있다. Referring to FIG. 8, the T flag 810 indicates a type of an IP, and may be IPv4 if it is 0 and IPv6 if it is 1. The A flag 820 is a flag indicating the basic state of the interface, which may be an active state if 0 and a standby state if 1. That is, the active / standby state of the path is determined by the A flag 820. Priority (830) indicates the priority of the interface. This value can be used to set the usage ratio of each path of the multipath.

이와 같은 다중 경로 가상 사설망의 생성 정보를 교환하는 과정은 공개된 네트워크를 통해 이루어질 수도 있고, 제1 터널이 생성된 후 이므로, 제1 터널을 통해 암호화된 데이터를 주고 받을 수도 있다. The process of exchanging the creation information of the multipath virtual private network may be performed through a public network or after the first tunnel is created, the encrypted data may be exchanged through the first tunnel.

나아가, 가상 사설망 장치는 340 단계에서 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성한다. 제2 터널이 생성되면, Initiator(201)와 Responder(202) 사이에는 2개의 경로가 생성되어 있는 바, 다중 경로 가상 사설망 환경이 구성된 것이다. 여기서는 2개의 경로가 생성되는 과정을 예로 들어 설명하였으나, 이는 일례에 불과하며, 이에 한정되지 않고 복수 개의 경로가 생성될 수도 있다. Further, in step 340, the virtual private network device generates a second tunnel based on the generation information of the multipath virtual private network. When the second tunnel is created, two paths are created between the initiator 201 and the responder 202, and a multipath virtual private network environment is configured. Here, the process of generating two paths is described as an example, but this is merely an example, and the present invention is not limited to this, and a plurality of paths may be generated.

위에서 설명한 본 발명의 일 실시예에 따라 IKEv2에서 다중 경로 IPSec 가상 사설망 환경을 제공할 수 있다. According to an embodiment of the present invention described above, a multi-path IPSec virtual private network environment can be provided in IKEv2.

도 9는 본 발명의 일 실시예에 따른 각 경로 별 사용 비율을 설정하는 방법을 나타내는 순서도이다. FIG. 9 is a flowchart illustrating a method of setting a usage ratio for each route according to an embodiment of the present invention.

먼저, 910 단계에서, 가상 사설망 장치는 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 계산한다. 각 경로 별 RTT 값의 평균값(avgRTT)은 다음 수학식 1에 의해 계산될 수 있다. First, in step 910, the virtual private network device calculates an average value (avgRTT) of Round Trip Time (RTT) values for each route. The average value (avgRTT) of the RTT values for each path can be calculated by the following equation (1).

(수학식 1)(1)

Figure 112013120744905-pat00001
Figure 112013120744905-pat00001

여기서 RTT 값은 DPD(Dead Peer Detection) 메시지를 통해 측정된 RTT 값을 사용할 수 있다. 또한, n은 각 경로 별 RTT(Round Trip Time) 값을 측정한 횟수를 나타내는 바, avgRTTn -1은 이전에 계산되었던 DPD 메시지의 RTT 값의 평균값에 해당한다. α는 조절 가능한 가중치로, 정적인 네트워크 일수록 α를 크게 조절하고 동적인 네트워크 일수록 α를 작게 조절할 수 있다. Here, the RTT value can be the RTT value measured through the DPD (Dead Peer Detection) message. Also, n represents the number of times the round trip time (RTT) value of each path is measured, and avgRTT n -1 corresponds to the average value of the RTT value of the DPD message calculated previously. α is an adjustable weight, and α can be adjusted to a larger value for a static network, and α can be adjusted to be smaller for a dynamic network.

다음으로, 가상 사설망 장치는 920 단계로 진행하여, 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 이용해 각 경로 별 안정성(path safety)를 계산한다. 각 경로 별 안정성(path safety)은 하기 수학식 2에 의해 계산될 수 있다. Next, the virtual private network device proceeds to step 920 and calculates the path safety for each route using the average value (avgRTT) of RTT (Round Trip Time) value for each route. The path safety for each path can be calculated by the following equation (2).

(수학식 2)(2)

Figure 112013120744905-pat00002
Figure 112013120744905-pat00002

RTT 값이 작을수록 안정적인 경로에 해당하는 바, 각 경로 별 안정성은 이를 반영하여 계산된다. 여기서, avgRTT1은 다중 경로 중 첫 번째 경로에 대한 RTT 평균을 의미한다. The smaller the RTT value is, the more stable the path is, and the stability of each path is calculated by reflecting this. Here, avgRTT1 means the RTT average of the first path among the multipaths.

나아가, 930 단계에서 가상 사설망 장치는 각 경로 별 사용 비율을 계산한다. 각 경로 별 사용 비율은 하기 수학식 3에 의해 계산될 수 있다. Further, in step 930, the virtual private network device calculates the usage ratio for each route. The usage ratio for each route can be calculated by the following equation (3).

(수학식 3)(3)

Figure 112013120744905-pat00003
Figure 112013120744905-pat00003

MyP: 해당 경로에 속해 있는 자신의 인터페이스에 대한 우선순위 값MyP: Priority value for own interface belonging to the path

OtherP: 수신된 상대방의 인터페이스에 대한 우선순위 값 OtherP: Priority value for the interface of the receiving party

이와 같은 과정을 통해 안정적인 경로를 보다 많이 사용하도록 경로 별 사용 비율을 설정하여 생성된 경로를 보다 효율적으로 사용할 수 있다.Through this process, it is possible to use the generated route more efficiently by setting the usage ratio per route to use more stable route.

지금까지 본 발명의 실시예들을 프로세서에 의해 수행되는 명령들로 구현되어 컴퓨터에 의해 판독 가능한 저장 매체에 저장될 수 있다. 이러한 명령들이 프로세서에 의해 실행되는 경우, 위에서 설명한 흐름도 및/또는 블록도에서 특정된 기능들/동작들을 구현하는 수단을 생성할 수 있다. 흐름도/블록도들에서의 각 블록은 본 발명의 실시예들을 구현하는 하드웨어 및/또는 소프트웨어모듈 또는 로직을 나타낼 수도 있다. 또한, 블록도들에 언급한 기능들은 도면들에서 언급한 순서를 벗어나 발생할 수도 있고, 동시에 발생할 수도 있다. Embodiments of the invention may be embodied in a computer-readable storage medium embodied in instructions for execution by a processor. When these instructions are executed by a processor, they may generate means for implementing the functions / operations specified in the flowcharts and / or block diagrams described above. Each block in the flowcharts / block diagrams may represent hardware and / or software modules or logic that implement embodiments of the present invention. Further, the functions referred to in the block diagrams may occur outside the order mentioned in the drawings, or may occur simultaneously.

컴퓨터에 의해 판독 가능한 매체는 예를 들어, 플로피 디스크, ROM, 플래시 메모리, 디스크 드라이브 메모리, CD-ROM, 및 다른 영구 저장부와 같은 비휘발성 메모리를 포함할 수 있으나, 이에 한정되지 않고 다양한 매체가 사용 가능하다. The computer-readable medium can include, for example, but is not limited to, a non-volatile memory such as a floppy disk, ROM, flash memory, disk drive memory, CD-ROM, and other persistent storage, Available.

본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.The embodiments of the present invention disclosed in the present specification and drawings are intended to be illustrative only and not intended to limit the scope of the present invention. It will be apparent to those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.

210: 세션 관리 모듈
220: 전송 정책 식별 모듈
230: 보안 기능 모듈210: Session Management Module
220: Transmission Policy Identification Module
230: Security function module

Claims (12)

다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계;
인증을 위한 인증 메시지(authentication message)를 교환하는 단계;
상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계;
상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계; 및
상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 포함하고,
상기 초기 메시지는,
vendor ID 페이로드(payload)를 포함하고,
상기 vendor ID 페이로드는 상기 다중 경로 가상 사설망의 지원 정보를 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
Exchanging an initiate message including support information of a multipath virtual private network;
Exchanging an authentication message for authentication;
Generating a first tunnel based on the initial message and the authentication message;
Exchanging generation information of the multipath virtual private network; And
And generating a second tunnel based on the generation information of the multipath virtual private network,
The initial message includes:
a vendor ID payload,
Wherein the vendor ID payload includes support information of the multipath virtual private network.
삭제delete 제1항에 있어서,
상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계는,
상기 다중 경로 가상 사설망의 위한 정보임을 알리는 다중 경로 notify 페이로드와 다중 경로 가상 사설망의 구성 정보를 포함하는 다중 경로 페이로드를 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method according to claim 1,
Wherein the step of exchanging generation information of the multipath virtual private network comprises:
And a multipath payload including configuration information of a multipath notify payload informing that the information is for the multipath virtual private network and configuration information of the multipath virtual private network.
제3항에 있어서,
상기 다중 경로 페이로드는,
로드 밸랜싱(load balancing) 정보, 인바운드(inbound) 정보, 네트워크 인터페이스 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method of claim 3,
The multi-
Wherein the at least one of the load balancing information, the inbound information, and the network interface information includes at least one of load balancing information, inbound information, and network interface information.
제4항에 있어서,
상기 네트워크 인터페이스 정보는,
IP(Internet Protocol) 버전 정보, 인터페이스 상태 정보, 인터페이스의 우선 순위 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
5. The method of claim 4,
The network interface information includes:
An IP (Internet Protocol) version information, an interface status information, and an interface priority information.
제5항에 있어서,
상기 인터페이스의 우선 순위 정보를 이용하여 각 경로 별 사용 비율을 설정하는 단계를 더 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
6. The method of claim 5,
Further comprising setting a usage ratio for each path using priority information of the interface.
제6항에 있어서,
상기 각 경로 별 사용 비율을 설정하는 단계는,
각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 계산하는 단계;
상기 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 이용하여 각 경로 별 안정성(path safety)를 계산하는 단계; 및
상기 각 경로 별 안정성(path safety)을 이용하여 상기 각 경로 별 사용 비율을 계산하는 단계를 포함하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method according to claim 6,
The method of claim 1,
Calculating an average value (avgRTT) of Round Trip Time (RTT) values for each path;
Calculating path safety for each route using an average value (avgRTT) of Round Trip Time (RTT) values for each route; And
And calculating a usage ratio for each path using the path safety for each path.
제7항에 있어서,
상기 각 경로 별 RTT(Round Trip Time) 값의 평균값(avgRTT)을 계산하는 단계는,
하기 수학식 1에 의해 계산하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
(수학식1)
Figure 112014097170373-pat00004

8. The method of claim 7,
The step of calculating an average value (avgRTT) of Round Trip Time (RTT)
Wherein the virtual private network is calculated by the following equation (1).
(1)
Figure 112014097170373-pat00004

 제7항에 있어서,
상기 각 경로 별 안정성(path safety)를 계산하는 단계는,
하기 수학식 2에 의해 계산하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
(수학식2)
Figure 112014097170373-pat00005

8. The method of claim 7,
The step of calculating path safety may include:
(2). ≪ / RTI >
(2)
Figure 112014097170373-pat00005

 제7항에 있어서,
상기 각 경로 별 사용 비율을 계산하는 단계는,
하기 수학식 3에 의해 계산하는 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
(수학식3)
Figure 112014097170373-pat00006

MyP: 해당 경로에 속해 있는 자신의 인터페이스에 대한 우선순위 값
OtherP: 수신된 상대방의 인터페이스에 대한 우선순위 값
8. The method of claim 7,
The step of calculating the usage ratio for each route may include:
Wherein the virtual private network is calculated by the following equation (3).
(3)
Figure 112014097170373-pat00006

MyP: Priority value for own interface belonging to the path
OtherP: Priority value for the interface of the receiving party
제1항에 있어서,
상기 다중 경로 가상 사설망은,
다중 경로 IPSec 가상 사설망인 것을 특징으로 하는 다중 경로 가상 사설망 구성 방법.
The method according to claim 1,
The multi-path virtual private network,
Wherein the multi-path virtual private network is a multi-path IPSec virtual private network.
다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령들이 저장되는 컴퓨터에 의해 판독 가능한 저장 매체에 있어서,
상기 다중 경로 가상 사설망 구성을 위해 프로세서에 의해 수행되는 명령은,
다중 경로 가상 사설망의 지원 정보를 포함하는 초기 메시지(initiate message)를 교환(exchange)하는 단계;
인증을 위한 인증 메시지(authentication message)를 교환하는 단계;
상기 초기 메시지와 상기 인증 메시지를 기반으로 제1 터널을 생성하는 단계;
상기 다중 경로 가상 사설망의 생성 정보를 교환하는 단계; 및
상기 다중 경로 가상 사설망의 생성 정보를 기반으로 제2 터널을 생성하는 단계를 수행하고,
상기 초기 메시지는,
vendor ID 페이로드(payload)를 포함하고,
상기 vendor ID 페이로드는 상기 다중 경로 가상 사설망의 지원 정보를 포함하는 것을 특징으로 하는 저장 매체.A computer-readable storage medium having stored thereon instructions to be executed by a processor for multi-path virtual private network configuration,
Wherein instructions executed by the processor for the multi-path virtual private network configuration comprise:
Exchanging an initiate message including support information of a multipath virtual private network;
Exchanging an authentication message for authentication;
Generating a first tunnel based on the initial message and the authentication message;
Exchanging generation information of the multipath virtual private network; And
Generating a second tunnel based on the generation information of the multipath virtual private network,
The initial message includes:
a vendor ID payload,
Wherein the vendor ID payload includes support information of the multipath virtual private network.
KR20130167518A 2013-12-30 2013-12-30 Method and apparatus for implementing multi-path virtual private network KR101489451B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130167518A KR101489451B1 (en) 2013-12-30 2013-12-30 Method and apparatus for implementing multi-path virtual private network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130167518A KR101489451B1 (en) 2013-12-30 2013-12-30 Method and apparatus for implementing multi-path virtual private network

Publications (1)

Publication Number Publication Date
KR101489451B1 true KR101489451B1 (en) 2015-02-11

Family

ID=52591288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130167518A KR101489451B1 (en) 2013-12-30 2013-12-30 Method and apparatus for implementing multi-path virtual private network

Country Status (1)

Country Link
KR (1) KR101489451B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003338843A (en) * 2002-05-21 2003-11-28 Genetec Corp Routing apparatus and routing method
KR20040098093A (en) * 2003-05-13 2004-11-20 (주)디엔피그룹 A vpn system supporting a multitunnel ipsec and operation method thereof
KR100471790B1 (en) 2003-01-14 2005-03-10 어울림정보기술주식회사 Device for sending data using multi-tunneled virtual private network gateway

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003338843A (en) * 2002-05-21 2003-11-28 Genetec Corp Routing apparatus and routing method
KR100471790B1 (en) 2003-01-14 2005-03-10 어울림정보기술주식회사 Device for sending data using multi-tunneled virtual private network gateway
KR20040098093A (en) * 2003-05-13 2004-11-20 (주)디엔피그룹 A vpn system supporting a multitunnel ipsec and operation method thereof

Similar Documents

Publication Publication Date Title
US7447901B1 (en) Method and apparatus for establishing a dynamic multipoint encrypted virtual private network
US7676838B2 (en) Secure communication methods and systems
US11122116B2 (en) Load balancing system, method, and apparatus
US9300766B2 (en) Method and apparatus for initiating and maintaining sessions between endpoints
US20200067891A1 (en) Securing end-to-end virtual machine traffic
CN108601043B (en) Method and apparatus for controlling wireless access point
Namal et al. Enabling secure mobility with OpenFlow
Liyanage et al. Secure communication channel architecture for software defined mobile networks
WO2021009554A1 (en) Method and system for secured information exchange between intermediate and endpoint nodes in a communications network
EP1921822A2 (en) Return routability optimisation
CN117714370A (en) Dynamically separated channel encryption key allocation
CN106209401B (en) A kind of transmission method and device
US11006346B2 (en) X2 service transmission method and network device
CN104184646A (en) VPN data interaction method and system and VPN data interaction device
KR101489451B1 (en) Method and apparatus for implementing multi-path virtual private network
Ylitalo et al. An experimental evaluation of a HIP based network mobility scheme
WO2014139646A1 (en) Communication in a dynamic multipoint virtual private network
WO2020048622A1 (en) A method, apparatus & computer program
Jara et al. Secure mobility management scheme for 6lowpan id/locator split architecture
Campos et al. HOP: achieving efficient anonymity in MANETs by combining HIP, OLSR, and pseudonyms
US11563722B2 (en) Firewall coordination in a network
KR101989147B1 (en) Method for handshake of MPTCP using asymmetric key exchange
KR101401008B1 (en) Method for detecting connectivity and computer readable recording medium thereof
Hoogendoorn NSX-T VPN
Slehat et al. Securing teredo client from NAT holes vulnerability

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 6