KR20040001211A - The VPN for remote user mobility and method for processing service using that - Google Patents

The VPN for remote user mobility and method for processing service using that Download PDF

Info

Publication number
KR20040001211A
KR20040001211A KR1020020036344A KR20020036344A KR20040001211A KR 20040001211 A KR20040001211 A KR 20040001211A KR 1020020036344 A KR1020020036344 A KR 1020020036344A KR 20020036344 A KR20020036344 A KR 20020036344A KR 20040001211 A KR20040001211 A KR 20040001211A
Authority
KR
South Korea
Prior art keywords
datagram
mip
ipsec
field
mobile terminal
Prior art date
Application number
KR1020020036344A
Other languages
Korean (ko)
Inventor
임형묵
이경근
김이한
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020020036344A priority Critical patent/KR20040001211A/en
Publication of KR20040001211A publication Critical patent/KR20040001211A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A VPN(Virtual Private Network) for securing remote user mobility and a service processing method using the same are provided to prevent the modification of IPSec(IP(Internet Protocol) security protocol) data when the IPSec data pass an NAPT(Network Address Port Translator) by modifying a conventional mobile IP method, applying the modified mobile IP method, and encapsulating the IPSec data as a UDP(User Datagram Protocol). CONSTITUTION: A mobile terminal(10) inserts a UDP port number into a registration request message when registering a current position in an HA(Home Agent)(50), encapsulates the registration request message, and transmits the encapsulated registration request message. The mobile terminal(10) inserts the UDP port number into an ESP(Encapsulation Security Payload) header of an MIP(Mobility for IP)-IPSec datagram transmitted to an object-side node, and transmits the MIP-IPSec datagram. The HA(50) changes a datagram received from the object-side node to the MIP-IPSec datagram including the UDP port number, and transmits the MIP-IPSect datagram to the mobile terminal(10).

Description

원격사용자 이동성을 보장하는 가상사설망 및 이를 이용한 서비스 처리방법{The VPN for remote user mobility and method for processing service using that}The VPN for remote user mobility and method for processing service using that}

본 발명은 가상사설망(VPN: Virtual Private Network)에 관한 것으로, 특히, 원격 사용자(remote user)의 이동성과 로밍(roaming)을 보장할 수 있게 하는 가상사설망 서비스 처리 방법에 관한 것이다.The present invention relates to a virtual private network (VPN), and more particularly, to a method for processing a virtual private network service that can guarantee the mobility and roaming of a remote user.

일반적으로, 인터넷 주소 체계인 IPv4와 IPv6는 IPsec 프로토콜을 사용하여 보안서비스를 제공하고 있다. IPsec 프로토콜은 IP 보안 구조, 인터넷 키 교환(Internet Key Exchange: IKE), IP AH(Authentication Header), 그리고 IP ESP(Encapsulating Security Payload) 등으로 구성되는데, AH와 ESP로서 인증, 무결성, 그리고 비밀성 서비스를 제공한다.In general, IPv4 and IPv6, which are Internet address systems, provide security services using the IPsec protocol. The IPsec protocol consists of IP security architecture, Internet Key Exchange (IKE), IP Authentication Header (AH), and IP Encapsulating Security Payload (ESP) .AH and ESP provide authentication, integrity, and confidentiality services. To provide.

이러한 보호 메카니즘의 구성(AH, ESP)은 전송자와 수신자간에 키, 인증 알고리즘, 암호 알고리즘, 그리고 이러한 알고리즘에 필요한 부가적인 파라메트 집합들에 대한 협의가 필요하다. 여기서, 키, 인증 알고리즘 등 이들 각각을 보호 속성이라하며, 이러한 보호 속성들의 집합을 보호연관(SA: Security Association)이라 한다. 이하, 보호연관을 SA라 칭한다.The construction of these protection mechanisms (AH, ESP) requires consultation between the sender and the receiver on keys, authentication algorithms, cryptographic algorithms, and additional sets of parameters required for these algorithms. Here, each of the keys, the authentication algorithm, and the like are called protection attributes, and the set of such protection attributes is called a security association (SA). Hereinafter, the protection association is referred to as SA.

일반적으로, 가상사설망이란 인터넷과 같은 공중망(public network)을 사용하여 사설망(private network)을 구축하게 해주는 기술 혹은 통신망을 일컫는데, 도 1에 도시된 바와 같이, 방문자망(N1)에 위치하는 FA(12)와, 내부망(N2)에 위치하는 주소변환기(13)와 게이트웨이(14)와 HA(15)를 포함하여 구성된다.In general, a virtual private network refers to a technology or a communication network that allows a private network to be established using a public network such as the Internet. As illustrated in FIG. 1, an FA located in the visitor network N1 is illustrated. (12), the address translator 13, the gateway 14, and the HA 15 located in the internal network N2.

상기와 같이 구성된 종래의 가상사설망에서의 IPsec 데이터그램은 이동단말(11)에서 FA(12), 주소변환기(13), 게이트웨이(14), HA(15)와 상대측 노드(16)로 전송되거나, 상대측 노드(16)에서 HA(15), 게이트웨이(14), NAT(13), FA(12)와 이동단말(11)로 전송된다.In the conventional virtual private network configured as described above, the IPsec datagram is transmitted from the mobile terminal 11 to the FA 12, the address translator 13, the gateway 14, the HA 15, and the counterpart node 16, It is transmitted from the partner node 16 to the HA 15, the gateway 14, the NAT 13, the FA 12, and the mobile terminal 11.

이때, 상기 주소변환기(13)는 가상사설망에서의 임시 IP 주소를 공인된 하나의 IP 주소로 바꾸는 역할을 수행하여, 외부인이 공인된 IP 주소를 추적할 수 있게 하지만 임시 IP 주소에 대해서는 추적할 수 없게 함으로써 보안성을 높이는 역할을 한다.At this time, the address translator 13 changes the temporary IP address in the virtual private network to a single authorized IP address, so that an outsider can track the authorized IP address, but can track the temporary IP address. It increases the security by eliminating it.

이러한 주소변환기(13)로는 NAT(Network Address Translator)와, NAPT(Network Address Port Translator)가 있다.The address translator 13 includes a network address translator (NAT) and a network address port translator (NAPT).

그런데, 가상사설망에서의 IPsec 데이터그램은 도 2의 a와 같이 트랜스포트 모드 ESP에서의 데이터 그램과, 도 2의 b와 같이 터널 모드 ESP에서의 데이터그램이 인증영역(A)과 암호화 영역(B)이 IP 헤더(*표로 표시한 부분)를 포함하지 않는다.However, the IPsec datagram in the virtual private network has a datagram in the transport mode ESP as shown in FIG. 2A and a datagram in the tunnel mode ESP as shown in FIG. 2B. ) Does not include an IP header (parts marked with an asterisk).

이러한 이유로 인해, IPsec 데이터그램은 이동성 보장 기능을 가지는 가상사설망에서 주소변환기를 NAT로 하였을 경우에는 무결성이 보장되나, NAPT로 하였을 경우에는 무결성이 위배되는 문제점을 발생시킨다.For this reason, IPsec datagrams are guaranteed integrity when NAT is used as a translator for NAT in a virtual private network that has mobility guarantee function. However, when NAPT, integrity is violated.

이러한 이유는, NAT는 IP 헤더에 포함된 DUP(User Datagram Protocol) 포트 넘버를 이용하지 않기 때문이고, NAPT는 오리지널 IP 헤더에 포함된 DUP 포트 넘버를 사용하기 때문이다. 여기서, 데이터그램의 인증영역()과 암호화 영역()에는 DUP 포트 넘버 정보가 포함되어 있지 않다.This is because NAT does not use the User Datagram Protocol (DUP) port number included in the IP header, and NAPT uses the DUP port number included in the original IP header. Here, the authentication area () and encryption area () of the datagram do not include the DUP port number information.

현재, 가상사설망을 요구하는 기업 또는 사업장들의 대부분은 주소변환기로서 NAPT를 사용하고 있는 실정이며, 이 경우에는 상기와 같은 이유로 인해 이동성 보장이 되지 못하고 있다.Currently, most of companies or businesses that require a virtual private network use NAPT as an address translator, and in this case, mobility cannot be guaranteed due to the above reasons.

따라서, 가입자의 이동성을 보장하고 IPsec 데이터가 NAPT와 함께 사용할 수 있는 가상사설망 서비스가 요구되고 있다.Therefore, there is a need for a virtual private network service that guarantees subscriber mobility and enables IPsec data to be used with NAPT.

본 발명은 종래의 문제점을 해결하기 위한 것으로, 가상 사설망 서비스를 제공받은 가입자에게 이동성을 지원하기 위해 기존 Mobile IP 방법을 변형하여 적용하고 IPSec 데이터를 UDP(User Datagram Protocol)로 캡슐화시킴으로써 IPSec 데이터가 NAPT를 통과할 때 변형되지 않게 하는 것을 목적으로 한다.The present invention is to solve the conventional problem, IPSec data NAPT by modifying and applying the existing Mobile IP method to support mobility to subscribers provided with the virtual private network service and encapsulating IPSec data into UDP (User Datagram Protocol) It is aimed not to be deformed when passing through.

도 1은 일반적인 가상사설망의 구성도.1 is a block diagram of a general virtual private network.

도 2는 IPsec 프로토콜의 ESP에서의 데이터그램 구조도.2 is a datagram structure diagram in the ESP of the IPsec protocol.

도 3은 본 발명이 적용되는 가상사설망의 구성도.3 is a configuration diagram of a virtual private network to which the present invention is applied.

도 4는 본 발명의 실시예에 따른 가상사설망에서의 전체적인 서비스 처리 동작 흐름도.4 is a flowchart illustrating an overall service processing operation in a virtual private network according to an embodiment of the present invention.

도 5는 본 발명에 의한 Mobile IP 등록하는 절차 및 SA(Security Association) 협상을 설명하는 데이터 흐름도.5 is a data flow diagram illustrating a Mobile IP registration procedure and a Security Association (SA) negotiation according to the present invention.

도 6은 본 발명에서 사용되는 Agent Advertisement 메시지 구조도.6 is a structure diagram of an Agent Advertisement message used in the present invention.

도 7은 본 발명에 따른 Mobile IP 등록 요청 메시지 구조도.7 is a structure diagram of a Mobile IP registration request message according to the present invention;

도 8은 본 발명에 따른 Mobile IP 등록 응답 메시지 구조도.8 is a structure diagram of a Mobile IP registration response message according to the present invention;

도 9는 본 발명에 따른 이동을 하지 않은 상태에서 이동단말과 상대측 노드간의 데이터그램 교환 과정을 보인 데이터 흐름도.9 is a data flow diagram illustrating a datagram exchange process between a mobile terminal and a counterpart node in a non-moving state according to the present invention.

도 10은 본 발명에 따른 이동한 이동단말과 상대측 노드간의 데이터그램 교환 과정을 보인 데이터 흐름도.10 is a data flow diagram illustrating a datagram exchange process between a mobile terminal and a counterpart node according to the present invention.

도 11은 본 발명에 따른 바인딩 갱신 메시지 구조도.11 is a structure diagram of a binding update message according to the present invention;

상기한 기술적 과제를 달성하기 위한 특징으로서 본 발명의 가상사설망은,Virtual private network of the present invention as a feature for achieving the above technical problem,

IPsec 소프트웨어가 탑재된 이동단말과, FA, NAPT, 게이트웨이 및 HA를 포함하여 구성되는데, 이때, 상기 이동단말은 상기 HA에 현재 위치등록시 등록요구 메시지에 UDP 포트 번호를 포함하고 캡슐화한 후 전송하고, 상대측 노드로 전송하는 MIP-IPsec 데이터그램의 ESP 헤더에 상기 UDP 포트 번호를 포함하여 전송하는 것을 특징으로 하여, 원격사용자의 이동성을 보장한다.It includes a mobile terminal equipped with IPsec software, FA, NAPT, gateway and HA, wherein the mobile terminal includes the UDP port number in the registration request message when the current location is registered in the HA, encapsulated and transmitted The UDP port number is included in the ESP header of the MIP-IPsec datagram transmitted to the other node, thereby ensuring the mobility of the remote user.

상기한 기술적 과제를 달성하기 위한 다른 특징으로서 본 발명의 방법은,As another feature for achieving the above technical problem, the method of the present invention,

IPsec 소프트웨어가 탑재된 이동단말, 다수의 FA, NAPT, 게이트웨이 및 HA를 포함하여 구성된 가상사설망에서 원격사용자의 이동성을 보장하는 가상사설망 서비스 처리방법에 있어서,In the virtual private network service processing method for guaranteeing mobility of remote users in a virtual private network including a mobile terminal equipped with IPsec software, a plurality of FA, NAPT, gateway and HA,

이동단말에서 UDP(User Datagram Port) 넘버가 포함된 MIP 등록요청 메시지를 제1 FA, 상기 NAPT, 게이트웨이를 통해 상기 HA로 전송하여 현재 위치를 등록하는 제1 단계와, 상기 HA로부터 등록응답 메시지를 수신하면, 상기 이동단말과 상기 게이트웨이간 IPSec 터널을 형성하기 위해 SA 협상 및 키 교환과 SA설정 절차를 수행하는 제2단계와, 상기 SA 설정이 이루어지면, 상기 이동단말에서 상대측 노드와의 데이터 교환을 위해 ESP 헤더에 상기 UDP 포트 넘버가 포함된 MIP-IPsec 데이터그램을 생성하고 전송하는 제3 단계 및, 상기 이동단말에서 전송되는 MIP-IPsec 데이터그램의 상기 UDP 포트 넘버가 상기 NAPT에 이용되어 통과되고 상기 IPSec 터널을 통해 상기 게이트웨이에 전달되어 디캡슐화된 데이터그램으로 상대측 노드로 전송되는 제4 단계를 포함하는 것을 특징으로 한다.The mobile terminal transmits a MIP registration request message including a User Datagram Port (UDP) number to the HA through a first FA, the NAPT, and a gateway to register a current location, and registers a registration response message from the HA. And upon receiving, a second step of performing SA negotiation, key exchange, and SA setup procedure to form an IPSec tunnel between the mobile station and the gateway; and when the SA setup is made, the mobile station exchanges data with a counterpart node. A third step of generating and transmitting a MIP-IPsec datagram including the UDP port number in an ESP header, and the UDP port number of the MIP-IPsec datagram transmitted from the mobile terminal is used for the NAPT to pass through And a fourth step of transmitting the decapsulated datagram to the counterpart node through the IPSec tunnel to the gateway. .

이하, 첨부된 도면을 참고하여 본 발명의 실시예에 따른 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법을 설명한다. 후술하는 발명의 상세한 설명을 통해 본 발명의 장점 내지 특징이 보다 명확히 이해될 수 있을 것이며, 발명의 설명에 있어서 본 발명의 요지와 직접 관련되지 않은 공지 기술에 대한 상세한 설명은 생략한다.Hereinafter, a virtual private network service processing method for guaranteeing remote user mobility according to an embodiment of the present invention will be described with reference to the accompanying drawings. Advantages and features of the present invention will be more clearly understood through the following detailed description, and detailed descriptions of well-known techniques not directly related to the gist of the present invention will be omitted in the description of the present invention.

도 3은 본 발명이 적용되는 가상사설망의 구성도이다. 도 3에 도시된 바와같이, 본 발명의 가상사설망은 방문자망(N1)으로 이동한 이동단말(10)과, 방문자망(N1)에 설치된 FA(20), 내부자망(N2)을 구성하는 NAPT(30), 게이트웨이(40)와 HA(50)로 구성되며, HA(50)에 상대측 노드(60)가 연결되어 있다.3 is a configuration diagram of a virtual private network to which the present invention is applied. As shown in FIG. 3, the virtual private network of the present invention includes a mobile terminal 10 moved to the visitor network N1, and a NAPT constituting the FA 20 and the insider network N2 installed in the visitor network N1. 30, the gateway 40 and the HA 50, and the partner node 60 is connected to the HA (50).

이하, 도 4를 참조로 하여 본 발명의 실시예에 따른 가상사설망에서의 전체적인 서비스 처리 동작을 설명하다. 도 4는 본 발명의 실시예에 따른 가상사설망에서의 전체적인 서비스 처리 동작 흐름도이다. 도 4에 도시된 바와 같이, 이동단말(10)이 내부자망(N1) 또는 방문자망에서 다른 방문자망(N2)으로 이동하면(S410), 이동단말(10)은 방문자망(N2)에 위치하는 FA(20)로부터 임시 IP 주소를 부여받고, FA(20)의 고유 주소 정보를 제공받는다(S410).Hereinafter, an overall service processing operation in a virtual private network according to an embodiment of the present invention will be described with reference to FIG. 4. 4 is a flowchart illustrating an overall service processing operation in a virtual private network according to an embodiment of the present invention. As shown in FIG. 4, when the mobile terminal 10 moves from the insider network N1 or the visitor network to another visitor network N2 (S410), the mobile terminal 10 is located in the visitor network N2. The temporary IP address is provided from the FA 20, and unique address information of the FA 20 is provided (S410).

상기 임시 IP 주소는 방문자망(N2)내에 이동단말(10)의 위치 정보로 이용되고, 사설가설망내에 이동단말(10)이 현재 방문한 망의 위치 정보로 이용된다.The temporary IP address is used as location information of the mobile terminal 10 in the visitor network N2, and is used as location information of a network currently visited by the mobile terminal 10 in the private temporary network.

따라서, 이동단말(10)은 외부와의 데이터 교환이 가능하도록 하기 위해 자신의 현재 위치를 등록하기 위해 임시 IP 주소 정보와 FA 주소 정보가 포함된 MIP 등록요청 메시지를 생성하고, MIP 등록요청 메시지의 무결성을 보장하기 위해 MIP 등록요청 메시지를 UDP(User Datagram Protocol) 번호로 캡슐화한다(S412). 그런 다음, 이동단말(10)은 캡슐화한 MIP 등록요청 메시지를 FA(20)로 전송하고, FA(20)는 이를 NAPT(30), 게이트웨이(40)를 통해 HA(50)에 전송한다(S413).Accordingly, the mobile terminal 10 generates a MIP registration request message including temporary IP address information and FA address information to register its current location in order to enable data exchange with the outside, and the MIP registration request message is generated. In order to ensure integrity, the MIP registration request message is encapsulated into a User Datagram Protocol (UDP) number (S412). Then, the mobile terminal 10 transmits the encapsulated MIP registration request message to the FA 20, and the FA 20 transmits it to the HA 50 through the NAPT 30 and the gateway 40 (S413). ).

HA(50)는 MIP 등록요청 메시지를 수신하면 이를 저장하여 이동단말(10)의 현재 위치가 등록되도록 한 다음, 등록 완료에 해당하는 메시지를 이동단말(10)측으로 전송한다(S414).When receiving the MIP registration request message, the HA 50 stores the current location of the mobile terminal 10 to be registered and then transmits a message corresponding to the registration completion to the mobile terminal 10 (S414).

현재위치가 등록되면, 이동단말(10)은 게이트웨이(40)와 SA 협상 및 키 교환을 수행하여 신원 검증 및 게이트웨이(40)와의 프로토콜 및 동작 알고리즘이 동기화되게 한다(S415).When the current location is registered, the mobile terminal 10 performs SA negotiation and key exchange with the gateway 40 to verify identity and protocol and operation algorithm with the gateway 40 (S415).

상기와 같이 SA 협상 및 키 교환이 이루어지게 되면, 이동단말(10)와 게이트웨이(40)는 키 교환을 통해 생성된 IKE(Internet Key Exchange) 키를이용하여 SA 설정을 하여(S415), 통화로가 설정되게 한다(S416).When the SA negotiation and key exchange are made as described above, the mobile terminal 10 and the gateway 40 set the SA using the IKE (Internet Key Exchange) key generated through the key exchange (S415). Is set (S416).

상기와 같이 통화로가 설정되면, 이동단말(10)은 상대측 노드로 전송될 데이터 그램을 UDP 포트 번호를 이용하여 MIP-IPsec 데이터그램으로 캡슐화하여 상대측 노드(60)로 전송하고(S417), 게이트웨이(40)는 캡슐화된 MIP-IPsec 데이터그램을 상대측 노드(60)로 전송한다(S419).When the call path is established as described above, the mobile terminal 10 encapsulates the datagram to be transmitted to the opposite node as the MIP-IPsec datagram using the UDP port number and transmits it to the opposite node 60 (S417). 40 transmits the encapsulated MIP-IPsec datagram to the counterpart node 60 (S419).

이때, 게이트웨이(40)는 상대측 노드(16)로부터 캡슐화된 MIP-IPsec 데이터그램이 수신되면, 이를 이동단말(10)로 전송하여 상호간의 통화가 이루어지게 한다(S420).At this time, when the gateway 40 receives the encapsulated MIP-IPsec datagram from the opposite node 16, the gateway 40 transmits it to the mobile terminal 10 to make a mutual call (S420).

이하, 도 5를 참조로 하여 본 발명의 본 발명의 실시예에 따른 가상사설망 서비스 처리를 위한 MIP 등록과정 및 SA 협상하는 과정을 상세히 설명한다.Hereinafter, the MIP registration process and SA negotiation process for virtual private network service processing according to an embodiment of the present invention will be described in detail with reference to FIG. 5.

FA(12)는 주기적으로 현재 위치등록을 요구하는 AAM(Agent Advertisement Massage) 신호를 망 내에 브로드캐스팅(broadcasting)한다(S501).The FA 12 periodically broadcasts an AAM (Agent Advertisement Massage) signal in the network requesting registration of the current location (S501).

여기서, AAM 신호는 도 6에 도시된 바와 같은 구조로 이루어져 있다. 도 6에 도시된 바와 같이, AAM 신호는 타입(type), 길이(length), 시퀀스번호(sequence number), 수명(lifetime), 플래그(flags) 및 임시 주소(Care-of address) 필드(field)로 구성된다.Here, the AAM signal has a structure as shown in FIG. As shown in FIG. 6, the AAM signal includes a type, a length, a sequence number, a lifetime, flags, and a care-of address field. It consists of.

타입 필드는 ICMP(Internet Control Message Protocol) 라우터 광고에 대해 사용된 여러 가지 확장(extension)을 구분하기 위해 이동단말(10)에게 허용된 필드로서, FA(12) 또는 HA(15)가 ICMP 라우터 광고에서 사용하고 있다는 것을 의미한다. 일 예로, 이동성 에이전트 광고 확장의 타입은 "3"이다. 길이 필드는 얼마나 많은 임시(Care-of) 주소가 광고되는지에 따라 그 값이 달라진다. 예를 들어, 6비트 + 4N인 경우, N 은 광고된 임시 주소 갯수가 된다. 시퀀스 번호 필드는 에이전트가 초기화 이후의 상기 AAM의 전송수이고, 수명 필드는 등록 요청을 받아들일 시간(초 단위)을 의미한다. 플래그 필드는 광고의 특징에 관해 아래와 같이 이동단말(10)에게 알리는데 사용된다.The type field is a field allowed for the mobile terminal 10 to distinguish various extensions used for the Internet Control Message Protocol (ICMP) router advertisement, and the FA 12 or the HA 15 allows the ICMP router advertisement. Means that you are using. As an example, the type of mobility agent advertisement extension is "3". The length field depends on how many care-of addresses are advertised. For example, if 6 bits + 4 N , N is the number of advertised temporary addresses. The sequence number field is the number of transmissions of the AAM after the agent is initialized, and the lifespan field means the time (in seconds) to accept the registration request. The flag field is used to inform the mobile terminal 10 about the characteristics of the advertisement as follows.

R : 등록이 요청됨, B : FA가 사용중임, H : 에이전트는 HA 임, F : 에이전트는 FA 임, M : 터널된 데이터그램을 최소 암호화로 구현, G : 터널된 데이터그램을 GRE 암호화로 구현, V : "Van Jacobson" 헤더 압축 구현, L : 로컬 터널 관리(내부 등록을 허용함), 여기서, 상기 F 와 H 비트는 서로 배타적이 아니고, F 비트가 설정되지 않는다면 B 비트는 설정되지 않는다. 또한, FA(20) 는 새로운 이동단말(10)에 대해 서비스를 제공하지 못할 만큼 바쁜 경우라도 상기 AAM을 이동단말(10)에게 보낸다. 임시 주소 필드는 이동단말(10)에 제공될 임시 IP 주소를 가지고 있다.R: Registration is requested, B: FA is in use, H: Agent is HA, F: Agent is FA, M: Tunneled datagram with minimal encryption, G: Tunneled datagram with GRE encryption Implementation, V: "Van Jacobson" header compression implementation, L: local tunnel management (allowing internal registration), where the F and H bits are not mutually exclusive, and the B bit is not set unless the F bit is set . In addition, the FA 20 sends the AAM to the mobile terminal 10 even if it is too busy to provide service for the new mobile terminal 10. The temporary address field has a temporary IP address to be provided to the mobile terminal 10.

따라서, 방문자망(N2)으로 이동한 이동단말(10)은 FA(20)로부터 AAM 신호를 수신하여(S301), AAM에 포함된 다수의 임시 IP 주소중 하나를 선택하고 FA(20)의 고유 주소를 파악한 후, 임시 IP 주소와 HA(15)의 주소가 포함된 MIP 등록요청 메시지를 생성한다(S502).Accordingly, the mobile terminal 10 moving to the visitor network N2 receives an AAM signal from the FA 20 (S301), selects one of a plurality of temporary IP addresses included in the AAM, and uniquely identifies the FA 20. After determining the address, a MIP registration request message including the temporary IP address and the address of the HA 15 is generated (S502).

그런 다음, 이동단말(10)은 생성된 MIP 등록요청 메시지에 UDP 포트 번호(port number)를 추가하여 MIP 등록요청 메시지를 캡슐화한다(S503).Then, the mobile terminal 10 encapsulates the MIP registration request message by adding a UDP port number to the generated MIP registration request message (S503).

이렇게 캡슐화된 MIP 등록요청 메시지는 도 7에 도시되어 있다. 도 7에 도시된 바와 같이, 본 발명의 실시예에 따른 MIP 등록요청 메시지는 타입(type), 플래그(flags), 수명(lifetime), 홈 주소(Home Address), 홈에이전트(Home Agent), 임시 주소(Care-of Address), 식별(Identification), UDP 포트 번호 및 확장(Extensions)으로 이루어진다.This encapsulated MIP registration request message is shown in FIG. As shown in FIG. 7, the MIP registration request message according to an embodiment of the present invention may include a type, a flag, a lifetime, a home address, a home agent, and a temporary message. It consists of a Care-of Address, Identification, UDP Port Number, and Extensions.

타입 필드는 등록요청에 관련된 필드로서 값은 "1"이고, 플래그필드는 기존 MIP에서 사용하는 6비트와 기존에 사용하지 않았던 2비트 중 1비트를 UDP포트 사용 여부를 나타내는 플래그로 사용한다. 이 때의 플래그로는 S, B, D, M, G, V 그리고, U가 있다.The type field is a field related to the registration request. The value is "1", and the flag field uses 1 bit among 6 bits used in the existing MIP and 2 bits not used as the flag indicating whether to use the UDP port. Flags at this time include S, B, D, M, G, V, and U.

S는 동시 결합(simultaneous bindings)으로, S 비트가 "1"로 설정되어 있으면 HA(15) 에게 이동단말(10)의 이전 이동성 결합(mobility bindings)을 유지해달라고 요청한다. B는 브로드캐스트 데이터그램으로, 이동단말(10)이 방송 데이터그램을 HA(15)에게 달라고 요청하는데 사용된다. D는 이동 노드에 의한 디캡슐레이션(decapsulation by mobile node)으로, 이동단말(10)이 임시주소로 보내는 데이터그램을 디캡슐레이션 하는데 사용된다. 즉, 공동 위치한(co-located) 임시주소를 사용한다는 의미이다. M은 최소 암호화 구현이고, G는 GRE(Generic Routing Encapsulation) 암호화 구현이며, V는 자콥슨(Jacobson) 헤더 압축 구현이고, U는 UDP 포트 넘버 사용 여부이다.S is simultaneous binding, and if the S bit is set to '1', the HA 15 is requested to maintain the previous mobility bindings of the mobile terminal 10. B is a broadcast datagram, which is used by the mobile terminal 10 to request the broadcast datagram to the HA 15. D is a decapsulation by mobile node, which is used to decapsulate a datagram sent by the mobile terminal 10 to a temporary address. This means using co-located temporary addresses. M is the minimum encryption implementation, G is the Generic Routing Encapsulation (GRE) encryption implementation, V is the Jacobson header compression implementation, and U is the UDP port number.

수명 필드는 등록 만료되기 전까지의 시간(초단위)이 기록되며, 홈 주소 필드는 이동단말(10)의 IP 주소가 기록되고, 홈 에이전트 필드는 HA(50)의 주소가 기록되며, 임시 주소 필드는 터널의 끝을 가리키는 IP 주소가 기록된다. 그리고, 식별 필드는 이동단말(10)에 의해 만들어진 64비트 번호로 등록 요청과 등록 응답이 일치되는지 여부, 즉 응답 보호(replay protection)에 사용한다. UDP 포트번호 필드는 16비트로 IPSec 데이터가 NAPT(30)를 통과할 때 무결성을 보장받기 위해 추가된 NAPT(30)의 입력 포트 넘버가 기록된다. 이때 사용할 UDP 포트 번호에 서비스 정보를 포함한다. 확장 필드는 하나 또는 그 이상의 확장이 있다는 것을 의미하고, 모든 등록요청에는 반드시 이동-홈 인증 확장(Mobile-Home Authentication Extension)이 포함되어야 한다.The lifetime field records the time (in seconds) before the registration expires, the home address field records the IP address of the mobile terminal 10, the home agent field records the address of the HA 50, and the temporary address field. Is the IP address pointing to the end of the tunnel. The identification field is a 64-bit number generated by the mobile terminal 10 and is used for whether the registration request and the registration response match, that is, for replay protection. The UDP port number field is 16 bits in which the input port number of the NAPT 30 added to ensure the integrity when IPSec data passes through the NAPT 30 is recorded. Service information is included in the UDP port number to be used. The extension field means that there is one or more extensions, and all registration requests must include the Mobile-Home Authentication Extension.

상기와 같이 캡슐화된 MIP 등록요청 메시지를 만들고 나면, 이동단말(10)은 FA(20)로 캡슐화된 MIP 등록요청 메시지를 전송하고(S503), FA(20)는 MIP 등록요청 메시지를 NAPT(30)과 게이트웨이(40)를 통해 HA(50)로 캡슐화된 MIP 등록요청 메시지를 전송한다(S504).After creating the encapsulated MIP registration request message as described above, the mobile terminal 10 transmits the encapsulated MIP registration request message to the FA 20 (S503), and the FA 20 NAPT (30) the MIP registration request message. And the MIP registration request message encapsulated to the HA 50 through the gateway 40 (S504).

FA(20)에서 전송된 캡슐화된 MIP 등록요청 메시지는 NAPT(30)에 수신되고, NAPT(30)는 이동단말의 이동 IP 주소를 자신이 가진 공식화된 IP 주소로 변환시킨다(S305). 이때, NAPT(30)는 UDP 포트 넘버와 도 2에 도시된 암호영역(A)과 인증영역(B)의 데이터를 이용하여 IP 주소 변경을 하게 됨으로써 무결성이 보장된다.The encapsulated MIP registration request message transmitted from the FA 20 is received by the NAPT 30, and the NAPT 30 converts the mobile IP address of the mobile terminal into its own formulated IP address (S305). At this time, the NAPT 30 changes the IP address by using the UDP port number and data of the encryption area A and the authentication area B shown in FIG. 2, thereby ensuring integrity.

NAPT(30)는 임시 IP 주소를 공식화된 IP 주소로 변화시킨 후 변화된 상태로 MIP 등록요청 메시지를 게이트웨이(40)로 전송하고(S506), 게이트웨이(40)는 NAPT(30)로부터 수신되는 MIP 등록요청 메시지를 HA(50)로 전달한다(S507).The NAPT 30 changes the temporary IP address to the official IP address and then transmits the MIP registration request message to the gateway 40 in the changed state (S506), and the gateway 40 registers the MIP received from the NAPT 30. The request message is delivered to the HA 50 (S507).

그러면, HA(50)는 이동단말(10)의 공식 IP 주소와 FA(12)의 주소쌍을 등록하여 이동단말(10)의 위치 등록이 이루어지게 한 후, 위치등록 성공을 알리는 위치등록 응답 메시지를 발생하여 게이트웨이(40)로 전송한다(S508, 509).Then, the HA 50 registers the official IP address of the mobile terminal 10 and the address pair of the FA 12 so that location registration of the mobile terminal 10 is performed, and then a location registration response message indicating the location registration success. Is generated and transmitted to the gateway 40 (S508, 509).

상기 HA(50)에서 발생된 위치등록 응답 메시지의 구조는 도 8에 도시되어 있다. 도 8에 도시된 바와 같이, 위치등록 메시지는, 타입(type), 코드(Code), 수명(Lifetime), 홈 주소(Home address), 홈 에이전트(Home Agent), 식별(Identification), UDP 포트 번호 및 확장(Extension)으로 이루어진다.The structure of the location registration response message generated in the HA 50 is shown in FIG. As shown in FIG. 8, the location registration message includes a type, a code, a lifetime, a home address, a home agent, an identification, a UDP port number. And Extension.

타입 필드는 요청 응답에 관한 필드로서 값은 "3"이고, 코드 필드는 등록 요청의 결과를 나타내는 값이 기록되는데, 각각의 값은 다음과 같다.The type field is a field related to the request response. The value field is "3", and the code field is recorded with a value indicating the result of the registration request.

0 : 등록 허용됨,0: registration allowed,

FA(20)에 의해 등록이 거부되는 경우If registration is denied by FA 20

66 : 불충분한 리소스66: insufficient resources

69 : 수명 요청 > 광고된 제한값(요청된 수명이 너무 긴 경우)69: Lifetime Request> Advertised Limits (if requested lifetime is too long)

70 : 불완전 요청70: Incomplete Request

71 : 불완전 응답71: incomplete response

88 : 홈 에이전트 도달 불가능88: Home Agent Unreachable

HA(15)에 의해 등록이 거부되는 경우If registration is denied by HA 15

130 : 불충분한 자원130: insufficient resources

131 : 이동 노드 인증 실패131: Mobile node authentication failed

133 : 등록 식별 불일치133: registration identification mismatch

134 : 불완전 요청134: incomplete request

136 : 알려지지 않은 홈 에이전트 주소136: Unknown home agent address

수명 필드는 만약 등록이 받아들여졌다면 등록이 만료되기 전까지의 남은 시간(초)이 기록되는데 "0"이면 이동단말(10)이 등록해제(deregistered) 되었음을 나타낸다. 만약, 등록이 거절되었다면 이 영역은 무시된다.The lifetime field indicates the number of seconds remaining before registration expires if registration has been accepted and " 0 " indicates that the mobile terminal 10 has been deregistered. If registration is denied, this field is ignored.

홈 주소 필드는 이동단말(10)의 IP 주소가 기록되고, 홈 에이전트 필드는 HA의 주소가 기록되며, 임시 주소 필드는 터널의 끝을 가리키는 IP 주소가 기록된다. 식별 필드는 응답 보호에 사용된다. UDP 포트번호 필드는 16비트로 IPSec 데이터가 NAPT(13)를 통과할 때 무결성을 보장받기 위해 추가된 NAPT(30)의 입력 포트 넘버가 기록된다.The home address field records the IP address of the mobile station 10, the home agent field records the HA address, and the temporary address field records the IP address indicating the end of the tunnel. The identification field is used for response protection. The UDP port number field is 16 bits in which the input port number of NAPT 30 added to ensure the integrity when IPSec data passes through NAPT 13 is recorded.

게이트웨이(40)는 HA(50)로부터 상기와 같은 위치등록 응답 메시지를 수신하면 위치등록 응답 메시지를 NAPT(30)로 전달하고(S510), NAPT(30)는 공식화된 IP 주소를 이동단말(10)의 임시 IP 주소로 변경한 후(S511), FA(20)로 전송하며(S512), FA(12)는 이동단말로 위치등록 응답 메시지를 전송하고(S513), 이에 이동단말(10)은 위치등록 성공을 확인한다(S514).When the gateway 40 receives the location registration response message as described above from the HA 50, the gateway 40 transmits the location registration response message to the NAPT 30 (S510), and the NAPT 30 transfers the official IP address to the mobile terminal 10. After changing to a temporary IP address of (S511), and transmits to the FA 20 (S512), FA 12 transmits a location registration response message to the mobile terminal (S513), the mobile terminal 10 is Check the location registration success (S514).

이동단말(10)은 MIP 등록절차를 수행하고 나면, 가상사설망을 형성하기 위해 어그레시브 모드(Aggressive mode)에 따라 게이트웨이(40)와 SA 협상 및 키 교환을 수행한다(S515).After performing the MIP registration procedure, the mobile terminal 10 performs SA negotiation and key exchange with the gateway 40 according to an aggressive mode to form a virtual private network (S515).

즉, 이동단말(10)은 SA와 함께 난수, 자신의 식별자, 디피헬말(Diffie-Hellman) 공개값을 발생하여 게이트웨이(40)로 전송하고, 게이트웨이(40)는 이동단말(10)에서 전송한 SA, 난수, 자신의 식별자, 디피헬만 공개값을 수신하여 이동단말(10)의 식별자를 인증하며, 이동단말(10)이 SA에서 제시한 값 중에서 하나를 선택하고, 선택한 SA와 이동단말(10)이 보냈던 난수로 서명한 값 및 Diffie-Hellman 공개값을 이동단말(10)에게 보냄으로써 이동단말(10)과 가상사설망 게이트웨이(40)간의 신원을 검증한다.That is, the mobile terminal 10 generates a random number, its identifier, and a Diffie-Hellman public value together with the SA and transmits it to the gateway 40, and the gateway 40 transmits the mobile terminal 10. The SA, the random number, its own identifier, and the Diffelmann public value are received to authenticate the identifier of the mobile terminal 10, the mobile terminal 10 selects one of the values presented by the SA, and the selected SA and the mobile terminal 10 The identity between the mobile station 10 and the virtual private network gateway 40 is verified by sending the signed value and the Diffie-Hellman public value to the mobile station 10.

그리고, 이동단말(10)은 Aggressive 모드를 사용하여 SA 협상 및 키 교환을 통해 IKE(Internet Key Exchange)키를 생성하면 Quick Mode를 사용하여 IPSec 보안 서비스를 위한 사항을 협상하고 키를 재생성한다. 한편, Quick 모드 해쉬값, 제안사항들과 난수를 이동단말(10)로부터 받은 게이트웨이(14)는 확인을 위해 이동단말(10)이 보낸 난수의 Quick 모드 해쉬값을 구하고 자신의 난수를 만들어 이동단말(10)에게 보낸다.In addition, when the mobile terminal 10 generates an IKE (Internet Key Exchange) key through SA negotiation and key exchange using Aggressive mode, the mobile terminal 10 uses Quick Mode to negotiate a matter for the IPSec security service and regenerate the key. Meanwhile, the gateway 14 receiving the quick mode hash value, the suggestions and the random number from the mobile terminal 10 obtains the quick mode hash value of the random number sent by the mobile terminal 10 and checks the random number of the mobile terminal. Send to (10).

이동단말(10)은 두 난수의 Quick모드의 해쉬값을 게이트웨이(40)에게 전송하며, 이에 따라 이동단말(10)과 가상사설망 게이트웨이(40)는 두 난수값을 모두 알게 되고, 두개의 난수, SPI(Security Parameter Index), 이동단말(10)이 키관리 프로토콜인 ISAKMP(Internet Security Association and Key Management Protocol)헤더에 포함시켜 보낸 프로토콜 값과 결합한 해쉬값을 SA 협상 및 키 교환 단계에서 얻은 IKE 키를 이용하여 각자 수행함으로써 SA를 설정한다(S516).The mobile terminal 10 transmits the hash value of the two random numbers Quick mode to the gateway 40. Accordingly, the mobile terminal 10 and the virtual private network gateway 40 know both the random numbers, two random numbers, Security Parameter Index (SPI) and the IKE key obtained from the SA negotiation and key exchange phase are combined with the hash value combined with the protocol value sent by the mobile terminal 10 in the Internet Security Association and Key Management Protocol (ISAKMP) header. SA is set by performing each operation (S516).

상기에서, 도 7과 도 8에 도시된 MIP 등록요청 메시지 및 MIP 등록응답 메시지는 IETF(Internet Engineering Task Force) RFC(Request For Comments) 2002 문서 규격을 따른다.In the above, the MIP registration request message and the MIP registration response message shown in FIGS. 7 and 8 comply with the IETF (Internet Engineering Task Force) Request For Comments (RFC) 2002 document standard.

이하, 도 9를 참조로 하여 이동을 하지 않은 상태에서 이동단말과 상대측 노드간 데이터그램의 교환 과정을 설명한다.Hereinafter, a process of exchanging datagrams between the mobile terminal and the counterpart node without moving will be described with reference to FIG. 9.

도 9는 본 발명에 따른 이동을 하지 않은 상태에서 이동단말과 상대측 노드간의 데이터그램 교환 과정을 보인 데이터 흐름도이다. 도 9에 도시된 바와 같이, 이동단말(10)이 타 망으로 이동하지 않은 상황에서 발생되어 상대측 노드(60)로 전송되는 MIP-IPsec 데이터그램의 전송 경로는 도 5에 도시된 경로와 거의 유사하며, 그 목적지가 상대측 노드(60)라는 것만이 차이이다.9 is a data flow diagram illustrating a datagram exchange process between a mobile terminal and a counterpart node without moving according to the present invention. As shown in FIG. 9, the transmission path of the MIP-IPsec datagram generated in a situation where the mobile terminal 10 does not move to another network and transmitted to the opposite node 60 is almost similar to the path shown in FIG. 5. The only difference is that the destination is the opposite node 60.

즉, 이동단말(10)은 현재 위치등록를 수행하고, 게이트웨이(40)와 SA를 설정하여 게이트간 통화 터널이 설정되면 상대측과 통화를 하기 위해 MIP-IPsec 데이터그램을 생성하고(S901), NAPT(30) 통과시 무결성이 보장되도록 도 2에 도시된 ESP 헤더에 UDP 포트 넘버를 추가하고 캡슐화하여 전송한다(S902, S903).That is, the mobile terminal 10 performs the current location registration, sets up the SA with the gateway 40, and when the gate-to-gate call tunnel is established, generates a MIP-IPsec datagram to make a call with the other party (S901) and NAPT ( 30) The UDP port number is added to the ESP header shown in FIG. 2 and encapsulated so as to ensure integrity when passing (S902 and S903).

이동단말(10)에서 전송된 MIP-IPsec 데이터그램은 FA(20)에 수신되고, FA(20)는 MIP-IPsec 데이터그램을 NAPT(30)로 전달하고(S904), NAPT(30)는 MIP-IPsec 데이터그램에 포함된 UDP 포트 넘버와 인증 및 암호화 영역의 데이터를 이용하여 임시 IP 주소를 공인된 IP 주소로 변경한 후, 게이트웨이(40)로 포워드한다(S905, S906).The MIP-IPsec datagram transmitted from the mobile terminal 10 is received by the FA 20, and the FA 20 transfers the MIP-IPsec datagram to the NAPT 30 (S904), and the NAPT 30 receives the MIP. The temporary IP address is changed to an authorized IP address by using the UDP port number included in the IPsec datagram and data of the authentication and encryption area, and then forwarded to the gateway 40 (S905 and S906).

그러면, 게이트웨이(40)는 MIP-IPSec 데이터그램을 디캡슐화한 후, 디캡슐화된 데이터그램을 상대측 노드(60)로 전송한다(S907).Then, the gateway 40 decapsulates the MIP-IPSec datagram and then transmits the decapsulated datagram to the opposite node 60 (S907).

만약, 이동단말(10)에서 전송한 데이터그램이 상대측 노드(60)에 전달되면, 상대측 노드(60)에서도 통화를 위해 데이터그램을 발생하여 이동단말(10)로 전송하게 된다(S908, S909).If the datagram transmitted from the mobile terminal 10 is transmitted to the counterpart node 60, the counterpart node 60 also generates a datagram for the call and transmits the datagram to the mobile station 10 (S908, S909). .

따라서, 상대측 노드(60)에서 데이터그램을 전송하면 HA(50)는 데이터그램을 수신하게 되고(S910), 데이터그램을 MIP 데이터그램으로 만든 후 게이트웨이(40)에게 보낸다(S911).Therefore, when the partner node 60 transmits the datagram, the HA 50 receives the datagram (S910), converts the datagram into a MIP datagram, and sends the datagram to the gateway 40 (S911).

그러면, 게이트웨이(14)는 MIP 데이터그램을 MIP-IPsec 데이터그램으로 만들고 이를 NAPT(30)에게 전송하며(S912), NAPT(13)는 MIP-IPsec 데이터그램에 기록된 공인 IP주소를 비공인 IP주소로 변경한 후 FA(12)에게 MIP-IPSec데이터그램을 전달한다(S913, S914). FA(12)는 MIP-IPSec데이터그램에서 MIP을 디캡슐화시킨 후에 IPSec데이터그램을 이동단말(10)에게 전송한다(S915).Then, the gateway 14 converts the MIP datagram into a MIP-IPsec datagram and transmits it to the NAPT 30 (S912), and the NAPT 13 transmits the public IP address recorded in the MIP-IPsec datagram to the private IP. After changing to the address, M12 transmits the MIP-IPSec datagram to the FA 12 (S913 and S914). The FA 12 decapsulates the MIP from the MIP-IPSec datagram and then transmits the IPSec datagram to the mobile terminal 10 (S915).

이하, 도 10을 참조로 하여 본 발명에 따른 가상사설망 서비스 처리를 위해 이동단말(11)이 같은 방문 망에서 다른 망으로 이동하였을 때 데이터그램을 전달하는 방법을 설명한다.Hereinafter, a method of delivering a datagram when the mobile terminal 11 moves from the same visited network to another network for processing of the virtual private network service according to the present invention will be described with reference to FIG. 10.

도 10은 본 발명에 따른 이동한 이동단말과 상대측 노드간의 데이터그램 교환 과정을 보인 데이터 흐름도이다. 도 10에 도시된 바와 같이, 이동단말(10)이 게이트웨이(40)간에 터널이 형성된 상태에서, 상대측 노드(60)가 데이터그램을 받은 HA(50)로 전송하면(S101), HA(50)은 데이터그램을 MIP로 캡슐화시킨 후 게이트웨이(40)에게 보낸다(S102).10 is a data flow diagram illustrating a datagram exchange process between a mobile terminal and a counterpart node according to the present invention. As shown in FIG. 10, when the mobile node 10 transmits a datagram to the HA 50 receiving the datagram in a state in which a tunnel is formed between the gateways 40 (S101), the HA 50. Encapsulates the datagram in a MIP and sends it to the gateway 40 (S102).

그러면, 게이트웨이(40)는 MIP 데이터그램을 MIP-IPsec 데이터그램으로 만든 후 FA(17)로 포워드 시킨다(S103). 이때, 이동단말(10)이 FA(21)이 위치한 방문 망에서 FA(20)가 위치한 다른 방문망으로 이동하였다면, FA(21)는 이전 FA가 되고 FA(20)는 현재 FA가 되며, FA(21)은 HA(50)로부터 이동단말(10)이 이동한 사실을 전달받게 된다. 따라서, 이전 FA(21)은 현재 FA(20)에게 MIP-IPSec 데이터그램을 포워드시킨다(S104).Then, the gateway 40 makes the MIP datagram into the MIP-IPsec datagram and forwards it to the FA 17 (S103). At this time, if the mobile terminal 10 moves from the visited network in which the FA 21 is located to another visited network in which the FA 20 is located, the FA 21 becomes the previous FA and the FA 20 becomes the current FA. 21 receives the fact that the mobile terminal 10 has moved from the HA 50. Therefore, the previous FA 21 forwards the MIP-IPSec datagram to the current FA 20 (S104).

이전 FA(21)로부터 MIP-IPSec 데이터그램을 받은 FA(20)는 MIP를 디캡슐화시킨 후 IPSec데이터그램을 이동단말(10)에게 보내고(S105), 이전 FA(21)는 HA(15)에게 이동성결합이 변경되었다는 메시지인 바인딩 갱신 메시지를 전송한다(S106).The FA 20 receiving the MIP-IPSec datagram from the previous FA 21 sends the IPSec datagram to the mobile terminal 10 after decapsulating the MIP (S105), and the previous FA 21 sends the HA 15 to the HA 15. The binding update message, which is a message that the mobility coupling has been changed, is transmitted (S106).

상기 HA(50)는 이동단말(10)이 다른 망으로 이동한 FA(20)주소와 이동단말(10)의 주소로 이동성결합을 갱신 절차를 수행한 후, 도 5를 참조로 하여 설명한 SA 협상 및 키 교환 과 SA 설정 절차를 수행함으로써 다른 망으로 이동한 이동단말(10)과 게이트웨이(40)간에 터널을 새로 형성한다.The HA 50 performs the update procedure for the mobility combining to the address of the mobile station 10 and the FA 20 where the mobile station 10 moves to another network, and then the SA negotiation described with reference to FIG. 5. And a new tunnel is formed between the mobile station 10 and the gateway 40 moved to another network by performing a key exchange and SA setup procedure.

이렇게, 이동단말(10)과 게이트웨이(40)간에 터널을 새로 형성되면, 이후 상대측 노드(60)에서 전송되는 데이터그램은 HA(50)에 의해 MIP로 캡슐화된 MIP데이터그램이 되어 게이트웨이(40)에게 전달된다(S109, S110).As such, when a tunnel is newly established between the mobile terminal 10 and the gateway 40, the datagram transmitted from the partner node 60 is a MIP datagram encapsulated in MIP by the HA 50 and thus the gateway 40. It is transmitted to (S109, S110).

그러면, 게이트웨이(14)는 MIP 데이터그램을 IPSec으로 캡슐화시킨 후 MIP-IPSec데이터그램을 새로 형성된 터널로 FA(20)에게 포워드 시키고(S211), 게이트웨이(14)로부터 MIP-IPSec 데이터그램을 받은 FA(20)는 MIP로 디캡슐화시킨 후 IPSec데이터그램을 이동단말(10)로 전송한다(S112).Then, the gateway 14 encapsulates the MIP datagram into IPSec and then forwards the MIP-IPSec datagram to the FA 20 in the newly formed tunnel (S211), and the FA receives the MIP-IPSec datagram from the gateway 14. 20 decapsulates the MIP and transmits the IPSec datagram to the mobile terminal 10 (S112).

상기에서, 바인딩 갱신 메시지는 IETF RFC 2002 문서 규격을 따르고, IPSec 데이터가 NAPT(30)를 통과할 때 무결성을 보장받기 위해 UDP 캡슐화 방법을 사용하는데, 이때 사용할 UDP 포트 번호에 정보를 포함한 바인딩 갱신 절차를 수행한다.In the above, the binding update message conforms to the IETF RFC 2002 document standard and uses the UDP encapsulation method to ensure the integrity when IPSec data passes through the NAPT 30, wherein the binding update procedure including information in the UDP port number to be used. Perform

도 11에 도시된 바와 같이, 상기 바인딩 갱신 메시지는, 타입(Type), 플래그(Flag), 수명(Lifetime), 홈 주소(Home Address), 임시 주소(Care-of Address), 식별(Identification), UDP 포트번호 및 확장(Extensions)으로 이루어져 있다.As shown in FIG. 11, the binding update message includes a type, a flag, a lifetime, a home address, a care-of address, an identification, It consists of UDP port number and extensions.

먼저, 타입 필드는 바인딩 갱신을 의미하며 값은 '18'이고, 플래그필드는 기존 MIP에서 사용하는 4비트와 기존에 사용하지 않았던 4비트 중 1비트를 UDP포트 사용 여부를 나타내는 플래그로 사용한다.First, the type field means binding update. The value is '18', and the flag field uses 1 bit among 4 bits used in the existing MIP and 4 bits not used previously as a flag indicating whether to use a UDP port.

A : 바인딩 확인을 요청하기 위해 바인딩 갱신 메시지를 보내는 노드에 의해 설정.A: Set by the node sending the binding update message to request binding confirmation.

I : 식별 필드에 존재하면 바인딩 갱신 메시지를 보내는 노드에 의해 설정.I: If present in the identifying field, set by the node sending the binding update message.

M : 본 비트가 설정되어 있으면, 최소 암호화 방법으로 구현.M: If this bit is set, it is implemented by the minimum encryption method.

G : 본 비트가 설정되어 있으면, GRE 암호화 방법으로 구현.G: If this bit is set, implemented by GRE encryption method.

U : UDP 포트 사용.U: Use UDP port.

수명 필드는 바인딩 캐쉬 목록(Binding Cache Entry)이 완료되지 전까지 남은 시간(초)이 기록되는데, "0"이면 이동단말(11)을 위해 바인딩 캐쉬 목록에 없다는 것을 의미한다.The lifetime field records the number of seconds remaining before the binding cache entry is completed. If "0", the lifetime field is not included in the binding cache list for the mobile terminal 11.

홈 주소 필드는 바인딩 갱신과 관련된 이동단말(10)의 IP 주소가 기록되며, 임시 주소 필드는 이동단말(10)의 현재 임시(Care-of) 주소가 기록되고, 식별 필드는 응답 보호에 사용한다. UDP포트번호 필드는 16비트로 IPSec 데이터가 NAPT(30)를 통과할 때 무결성을 보장받기 위한 NAPT(30)의 입력 포트 넘버가 기록된다.The home address field records the IP address of the mobile station 10 associated with the binding update, the temporary address field records the current care-of address of the mobile station 10, and the identification field is used for response protection. . The UDP port number field is 16 bits in which the input port number of the NAPT 30 for ensuring the integrity when IPSec data passes through the NAPT 30 is recorded.

상기 도 11을 참조로 한 설명에서는 NAPT(30)를 도시하지 않았지만, 상술한 도 5와 도 9를 통해 충분히 NAPT의 동작을 이해할 수 있을 것이다.Although the NAPT 30 is not illustrated in the description with reference to FIG. 11, the operation of the NAPT may be sufficiently understood through FIGS. 5 and 9.

지금까지 설명은 본 발명의 이해를 위해 본 발명의 구체적 실시예를 들어 본 발명의 원리 및 특징을 설명하였으나 본 발명의 범위는 이러한 실시예에 의하여 제한되지 않는다. 당 기술분야의 통상의 지식을 가진 자에게는 첨부한 특허 청구범위의 범주 및 정신을 벗어나지 않고 본 발명은 다양하게 수정 및 변형될 수 있다.The description so far has described the principles and features of the present invention by taking specific embodiments of the present invention for the purpose of understanding the present invention, but the scope of the present invention is not limited by these embodiments. Those skilled in the art can make various changes and modifications without departing from the scope and spirit of the appended claims.

본 발명에 따른 기존 MIP 방법을 변형 및 IPSec데이터를 UDP캡슐화 방법을 적용한 가상사설망 서비스 제공방법을 사용하면, IPSec 소프트웨어를 탑재한 원격 사용자에게 이동성을 지원하고 종래 IPSec데이터가 NAPT를 통과할 때 IP헤더가 변형되어 무결성이 위배되는 문제점을 해결함으로써 이동성을 보장하는 가상 사설망 서비스를 제공할 수 있다는 효과가 있다.When the virtual private network service providing method applying the method of modifying the existing MIP method and UDP encapsulation of IPSec data according to the present invention is used, it supports mobility to remote users equipped with IPSec software and when the IPSec data passes through NAPT, the IP header Is modified to solve the problem of violating integrity, thereby providing a virtual private network service that guarantees mobility.

Claims (10)

IPsec 소프트웨어가 탑재된 이동단말, 다수의 FA, NAPT, 게이트웨이 및 HA를 포함하여 구성된 가상사설망에서 원격사용자의 이동성을 보장하는 가상사설망 서비스 처리방법에 있어서,In the virtual private network service processing method for guaranteeing mobility of remote users in a virtual private network including a mobile terminal equipped with IPsec software, a plurality of FA, NAPT, gateway and HA, 이동단말에서 UDP(User Datagram Port) 넘버가 포함된 MIP 등록요청 메시지를 제1 FA, 상기 NAPT, 게이트웨이를 통해 상기 HA로 전송하여 현재 위치를 등록하는 제1 단계;A first step of registering a current location by transmitting a MIP registration request message including a User Datagram Port (UDP) number from the mobile station to the HA through a first FA, the NAPT, and a gateway; 상기 HA로부터 등록응답 메시지를 수신하면, 상기 이동단말과 상기 게이트웨이간 IPSec 터널을 형성하기 위해 SA 협상 및 키 교환과 SA설정 절차를 수행하는 제2단계;Receiving a registration response message from the HA, and performing a SA negotiation, key exchange, and SA establishment procedure to form an IPSec tunnel between the mobile station and the gateway; 상기 SA 설정이 이루어지면, 상기 이동단말에서 상대측 노드와의 데이터 교환을 위해 ESP 헤더에 상기 UDP 포트 넘버가 포함된 MIP-IPsec 데이터그램을 생성하고 전송하는 제3 단계; 및Generating, by the mobile station, a MIP-IPsec datagram including the UDP port number in an ESP header for data exchange with a counterpart node; And 상기 이동단말에서 전송되는 MIP-IPsec 데이터그램의 상기 UDP 포트 넘버가 상기 NAPT에 이용되어 통과되고 상기 IPSec 터널을 통해 상기 게이트웨이에 전달되어 디캡슐화된 데이터그램으로 상대측 노드로 전송되는 제4 단계를 포함하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.And a fourth step in which the UDP port number of the MIP-IPsec datagram transmitted from the mobile terminal is used for the NAPT, passed through, passed to the gateway through the IPSec tunnel, and transmitted to the counterpart node as a decapsulated datagram. A virtual private network service processing method that guarantees remote user mobility. 제 1항에 있어서,The method of claim 1, 상기 MIP 등록요청 메시지는,The MIP registration request message, 등록요청에 관계하는 값을 기록하는 타입 필드와, MIP에서 사용하는 6비트와 나머지 2비트 중 1비트를 UDP 포트 사용 여부를 나타내는 플래그가 기록되는 플래그 필드와, 등록 만료일을 기록하는 수명 필드와, 상기 이동단말의 IP 주소를 기록하는 홈주소 필드와, 상기 HA의 주소 정보를 기록하는 HA 필드, 현재의 임시 IP 주소를 기록하는 임시 주소 필드,와, 응답 보호용의 식별 필드와, UDP 포트 번호를 기록하는 UDP 포트 번호 필드 및, 확장 개수를 기록하는 확장 필드로 이루어진 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.A type field for recording a value related to a registration request, a flag field for recording a flag indicating whether to use a UDP port for 6 bits used in the MIP and one of the remaining 2 bits, a lifetime field for recording an expiration date of registration, A home address field for recording the IP address of the mobile terminal, an HA field for recording the address information of the HA, a temporary address field for recording a current temporary IP address, an identification field for response protection, and a UDP port number. And a UDP port number field to record and an extension field to record the number of extensions. 제 1항에 있어서,The method of claim 1, 상기 제1 FA는,The first FA is, 상기 이동단말이 현재 자신의 망에서 타 망으로 이동하면, 상기 이동단말의 이동을 알리는 바인딩 갱신 메시지를 생성하여 상기 HA로 전송하는 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.When the mobile terminal currently moves from its own network to another network, a virtual private network service processing method of guaranteeing remote user mobility, characterized in that to generate a binding update message indicating the movement of the mobile terminal to transmit to the HA. 제 3항에 있어서,The method of claim 3, 상기 바인딩 갱신 메시지는The binding update message is 바인딩 갱신을 의미하는 값을 기록하는 타입 필드와, MIP에서 사용되는 플래그가 기록되는 4비트와 UDP 포트 사용 여부를 나타내는 플래그가 기록되는 4비트로 구성된 플래그 필드와, 바인딩 캐쉬 목록(Binding Cache Entry)이 완료되지 전까지 남은 시간을 기록하는 수명 필드와, 바인딩 갱신과 관련된 이동단말의 IP 주소를 기록하는 홈주소 필드와, 이동단말의 현재 임시 IP 주소를 기록하는 임시 주소(Care-of Address) 필드와, 응답 보호용의 식별 필드와, UDP 포트 번호를 기록하는 UDP 포트번호 필드 및, 확장 개수를 기록하는 확장 필드로 이루어진 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.A type field for recording a value indicating a binding update, a 4-bit flag field for recording a flag used in a MIP, a 4-bit flag field for a flag indicating whether a UDP port is used, and a binding cache entry A lifetime field that records the time remaining before completion, a home address field that records the mobile station's IP address associated with the binding update, a care-of address field that records the mobile's current temporary IP address, A method for processing a virtual private network service assuring remote user mobility, comprising an identification field for response protection, a UDP port number field for recording a UDP port number, and an extension field for recording an extension number. 제 1항에 있어서,The method of claim 1, 상기 등록응답 메시지는,The registration response message, 요청 응답에 관계하는 값을 기록하는 타입 필드와, 등록요청 결과 값을 기록하는 코드 필드와, 등록이 만료되기 전까지의 남은 시간을 기록하는 수명 필드와, 이동단말의 IP 주소를 기록하는 홈주소 필드와, 상기 HA의 주소가 기록되는 홈 에이전트 필드와, 응답 보호용의 식별(Identification) 필드와, UDP 포트 번호를 기록하는 UDP 포트 번호 필드 및, 확장 개수를 기록하는 확장(Extensions) 필드로 이루어진 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.A type field for recording a value related to the request response, a code field for recording a registration request result value, a lifetime field for recording the time remaining before the registration expires, and a home address field for recording the IP address of the mobile terminal. And a home agent field for recording the HA address, an identification field for response protection, a UDP port number field for recording a UDP port number, and an Extensions field for recording the number of extensions. Virtual private network service processing method to ensure the mobility of remote users. 제 1항에 있어서,The method of claim 1, 상기 제4 단계는,The fourth step, 상기 이동단말로부터 전송된 MIP-IPSec데이터그램을 상기 FA에서 MIP헤더의 소스주소를 변경하여 상기 NAPT로 전송하는 단계, 상기 NAPT에서 상기 UDP 포트 넘버를 이용하여 비공인 IP 주소를 공인된 IP 주소로 변경하여 상기 게이트웨이로 전송하는 단계 및, 상기 게이트웨이에서 상기 MIP-IPsec 데이터그램을 디캡슐화하여 데이터그램으로 상대측 노드로 전송하는 단계를 포함하는 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.Transmitting the MIP-IPSec datagram transmitted from the mobile terminal to the NAPT by changing the source address of the MIP header at the FA, and converting an unauthorized IP address to the authorized IP address using the UDP port number in the NAPT. Modifying and transmitting to the gateway; and decapsulating the MIP-IPsec datagram at the gateway and transmitting the data packet to a counterpart node as a datagram. . 제 1항에 있어서,The method of claim 1, 상기 이동단말과 상기 게이트웨이간에 통화 터널이 형성된 상태에서, 상대측 노드로부터 데이터그램이 전송되면, 상기 게이트웨이에서 UDP 포트 번호 정보가 ESP 헤더에 포함된 MIP-IPsec 데이터그램으로 만들어 상기 이동단말로 전송하는 제5 단계를 더 포함하는 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.When a datagram is transmitted from the opposite node in a state where a call tunnel is formed between the mobile station and the gateway, the gateway converts the UDP port number information into a MIP-IPsec datagram included in an ESP header and transmits the datagram to the mobile station. The virtual private network service processing method for guaranteeing remote user mobility, characterized in that it further comprises five steps. 제 7항에 있어서,The method of claim 7, wherein 상기 제5 단계는,The fifth step, 상대측 노드에게 전송한 데이터그램을 상기 HA에서 수신하여 MIP로 캡슐화시킨 후 MIP데이터그램을 상기 게이트웨이로 전송하는 단계, 상기 게이트웨이에서 상기 MIP데이터그램을 상기 UDP 포트 번호가 포함된 MIP-IPsec으로 캡슐화시켜 MIP-IPsec 데이터그램을 상기 NAPT로 전송하는 단계, 상기 NAPT에서 공인화된 IP 주소를 전달된 이동단말의 임시 IP 주소로 변경하여 상기 FA로 전송하는 단계 및, 상기 FA에서 상기 MIP-IPsec 데이터그램을 MIP을 디캡슐화시켜 IPSec데이터그램으로 만든 후 상기 이동단말로 전송하는 단계를 포함하는 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망 서비스 처리방법.Receiving the datagram transmitted to the other node from the HA and encapsulating it with MIP, and then transmitting the MIP datagram to the gateway, and encapsulating the MIP datagram with MIP-IPsec including the UDP port number at the gateway. Transmitting a MIP-IPsec datagram to the NAPT, changing an authorized IP address in the NAPT to a temporary IP address of a transferred mobile terminal, and transmitting the MIP-IPsec datagram to the FA; and in the FA, the MIP-IPsec datagram Decapsulating the MIP to an IPSec datagram, the virtual private network service processing method comprising the step of transmitting to the mobile terminal comprising the step of transmitting to the mobile terminal. IPsec 소프트웨어가 탑재된 이동단말과, FA, NAPT, 게이트웨이 및 HA를 포함하여 구성된 가상사설망에 있어서,In a mobile terminal equipped with IPsec software and a virtual private network including FA, NAPT, gateway, and HA, 상기 이동단말은 상기 HA에 현재 위치등록시 등록요구 메시지에 UDP 포트 번호를 포함하고 캡슐화한 후 전송하고, 상대측 노드로 전송하는 MIP-IPsec 데이터그램의 ESP 헤더에 상기 UDP 포트 번호를 포함하여 전송하는 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망.When the mobile station registers the current location with the HA, the mobile terminal includes the UDP port number in the registration request message, encapsulates the data, and transmits the encapsulated UDP message. Virtual private network that guarantees remote user mobility. 제9항에 있어서,The method of claim 9, 상기 HA는 상대측 노드로부터 수신되는 데이터그램을 상기 UDP 포트 넘버가 포함된 MIP-IPsec 데이터그램으로 변경하여 상기 이동단말측으로 전송하는 것을 특징으로 하는 원격사용자 이동성을 보장하는 가상사설망.The HA changes the datagram received from the opposite node into a MIP-IPsec datagram including the UDP port number and transmits the datagram to the mobile terminal.
KR1020020036344A 2002-06-27 2002-06-27 The VPN for remote user mobility and method for processing service using that KR20040001211A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020036344A KR20040001211A (en) 2002-06-27 2002-06-27 The VPN for remote user mobility and method for processing service using that

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020036344A KR20040001211A (en) 2002-06-27 2002-06-27 The VPN for remote user mobility and method for processing service using that

Publications (1)

Publication Number Publication Date
KR20040001211A true KR20040001211A (en) 2004-01-07

Family

ID=37312982

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020036344A KR20040001211A (en) 2002-06-27 2002-06-27 The VPN for remote user mobility and method for processing service using that

Country Status (1)

Country Link
KR (1) KR20040001211A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100776308B1 (en) * 2005-12-12 2007-11-13 한국전자통신연구원 method and apparatus for scheduling to guarantee QoS of VoIP service in portable internet system
KR100957355B1 (en) * 2005-08-25 2010-05-12 삼성전자주식회사 System and method for fast paging in a wireless mobile communication system based on internet protocol
KR101042112B1 (en) * 2004-09-20 2011-06-16 주식회사 케이티 Method for processing portable internet using satellite and system thereof
CN101902386B (en) * 2009-05-31 2012-07-11 北京中京创原通信技术有限公司 Packing method of virtual private network control message in IP telecommunication network system
US11064017B2 (en) 2019-09-24 2021-07-13 Amazon Technologies, Inc. Peripheral device enabling virtualized computing service extensions
US11469964B2 (en) 2018-11-20 2022-10-11 Amazon Technologies, Inc. Extension resource groups of provider network services
US11520530B2 (en) 2019-09-24 2022-12-06 Amazon Technologies, Inc. Peripheral device for configuring compute instances at client-selected servers
US11569997B1 (en) 2020-03-09 2023-01-31 Amazon Technologies, Inc. Security mechanisms for data plane extensions of provider network services

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101042112B1 (en) * 2004-09-20 2011-06-16 주식회사 케이티 Method for processing portable internet using satellite and system thereof
KR100957355B1 (en) * 2005-08-25 2010-05-12 삼성전자주식회사 System and method for fast paging in a wireless mobile communication system based on internet protocol
US7986677B2 (en) 2005-08-25 2011-07-26 Samsung Electronics Co., Ltd System and method for fast paging in a wireless mobile communication system based on internet protocol
KR100776308B1 (en) * 2005-12-12 2007-11-13 한국전자통신연구원 method and apparatus for scheduling to guarantee QoS of VoIP service in portable internet system
CN101902386B (en) * 2009-05-31 2012-07-11 北京中京创原通信技术有限公司 Packing method of virtual private network control message in IP telecommunication network system
US11469964B2 (en) 2018-11-20 2022-10-11 Amazon Technologies, Inc. Extension resource groups of provider network services
US11064017B2 (en) 2019-09-24 2021-07-13 Amazon Technologies, Inc. Peripheral device enabling virtualized computing service extensions
US11520530B2 (en) 2019-09-24 2022-12-06 Amazon Technologies, Inc. Peripheral device for configuring compute instances at client-selected servers
US11563799B2 (en) 2019-09-24 2023-01-24 Amazon Technologies, Inc. Peripheral device enabling virtualized computing service extensions
US11569997B1 (en) 2020-03-09 2023-01-31 Amazon Technologies, Inc. Security mechanisms for data plane extensions of provider network services

Similar Documents

Publication Publication Date Title
JP4431112B2 (en) Terminal and communication system
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
KR100679882B1 (en) Communication between a private network and a roaming mobile terminal
US7401216B2 (en) Addressing mechanisms in mobile IP
US8218484B2 (en) Methods and apparatus for sending data packets to and from mobile nodes in a data network
US20120151212A1 (en) Securing home agent to mobile node communication with HA-MN key
US8259649B2 (en) Route optimization with location privacy support
Koodli et al. Mobile Inter-networking with IPv6: Concepts, principles and practices
JP2008543198A (en) Mobile IPv6 route optimization in different address spaces
JP2008537429A (en) Providing anonymity to mobile nodes in session with supported nodes
US20050177722A1 (en) Method and system for ensuring secure forwarding of messages
US7623500B2 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US20100284400A1 (en) Provisioning mobility services to legacy terminals
KR20040001211A (en) The VPN for remote user mobility and method for processing service using that
WO2005069557A1 (en) Mobile router device and home agent device
US7953081B2 (en) Mobile communication control method, mobile communication system, routing device, management device, and program
EP2022229B1 (en) Delegation based mobility management
US20090300217A1 (en) Method and apparatus for dynamically assigning unique addresses to endpoints
KR100737140B1 (en) The processing apparatus and method for providing internet protocol virtual private network service on mobile communication
JP5225384B2 (en) Method and apparatus for generating an IP address for use by a mobile host in a proxy mobile IP communication network
EP2471247B1 (en) Method and network nodes for generating cryptographically generated addresses in mobile IP networks
JP2003115834A (en) Security association cutting/continuing method and communication system
JP5193797B2 (en) Mobile communication network system, home agent, access gateway and partner node
JP2009225158A (en) Mobile communication system
Mun et al. Security in Mobile IP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application