KR20070097547A - 모바일 노드 간의 저지연성 보안 세션 연속성을 제공하는방법 및 장치 - Google Patents

모바일 노드 간의 저지연성 보안 세션 연속성을 제공하는방법 및 장치 Download PDF

Info

Publication number
KR20070097547A
KR20070097547A KR1020077017105A KR20077017105A KR20070097547A KR 20070097547 A KR20070097547 A KR 20070097547A KR 1020077017105 A KR1020077017105 A KR 1020077017105A KR 20077017105 A KR20077017105 A KR 20077017105A KR 20070097547 A KR20070097547 A KR 20070097547A
Authority
KR
South Korea
Prior art keywords
mobile node
mag
address
tunnel
mip
Prior art date
Application number
KR1020077017105A
Other languages
English (en)
Other versions
KR101165825B1 (ko
Inventor
비노 쿠마르 초이
미쉘 바르보
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20070097547A publication Critical patent/KR20070097547A/ko
Application granted granted Critical
Publication of KR101165825B1 publication Critical patent/KR101165825B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명의 적어도 한 개의 실시예에 따르면, 모바일 노드(MN)들이 멀리 떨어져 위치하고 있을 때라도 동일한 도메인에 속한 한 개 이상의 MN으로의 IP 응용 트래픽과 MN들로부터의 IP 응용 트래픽은 기밀하게 제공될 수 있다. 바람직하게는 모든 시간에서, 통상적으로 기업 환경 내에서 제공되는 것과 유사한 수준의 MN들 사이의 통신에서의 기밀성 및 무결성을 제공하는 것이 가능하다. 기밀하고 효율적인 통신은, 한 개 이상의 MN이 예컨대 보안 인트라넷 외부의 인터넷이나 네트워크와 같은 공중 네트워크로의 접속처럼 본질적으로 기밀한 것으로 추정될 수 없는 접속을 통해 통신하고 있을 때, 제공된다.

Description

모바일 노드 간의 저지연성 보안 세션 연속성을 제공하는 방법 및 장치 {METHOD AND APPARATUS FOR PROVIDING LOW-LATENCY SECURE SESSION CONTINUITY BETWEEN MOBILE NODES}
본 발명은 일반적으로 모바일 네트워킹에 관한 것으로서, 더욱 구체적으로는, 한 개 이상의 모바일 노드를 포함하는 저지연성 보안 네트워킹에 관한 것이다.
무선 통신의 특성은 고정된 (즉, 비무선) 네트워크와 비교해 무선 환경 내에서 안전한 통신 제공의 곤란성을 증대하는데 기여한다. 한편, 주로 회로 전환 음성 네트워크였던, 모바일 통신을 위한 글로벌 시스템 (GSM), 개인 통신 시스템 (PCS), 및 코드 분할 다중 접속 (CDMA)과 같은 무선 네트워크는 통상적으로 완전한 인터넷 접근을 제공하지 않았고, 이에 따라, 인터넷에서 통상적으로 나타나는 취약성을 피해왔었다. 인터넷 프로토콜 (IP) 멀티미디어 서브시스템 (IMS) 솔루션과 관련 기술의 도입으로 인해, 데이터, 음성, 및 비디오는 예컨대 범용 모바일 통신 시스템 (UMTS)과 코드 분할 다중 접속 (CDMA2000, 예컨대, 국제 모바일 통신 (IMT)-CDMA 멀티-캐리어, 페이스 1 라디오 전송 기술 (1xRTT), 혹은 페이스3 라디 오 전송 기술 (3xRTT))과 같은 무선 접속으로 인터넷을 통해 접근될 것이다. 모바일 장비는 이기종 라디오 접속 네트워크를 사용하는 다중 라디오 인터페이스와 함께 동작할 능력이 있다. 모바일 가입자들은 모바일 장비, 네트워크, 및 응용에 의해 제한되지 않으므로 "진정한 모바일"이 되었다. 그러나, 통상적으로 개인들 사이에서 통신되는 정보의 보호에 대한 요청이 남는데, 이것은 전용 및 공중 통신 간의 구분으로 명백해질 수 있다. 사생활 보호는 단지 네트워크 전망에서 뿐만이 아니라 동료간 통신 모델을 따르더라도 도움이 된다.
문제는 동일한 도메인에 속한 모바일 유저들에게 IP 응용 트래픽 기밀성을 제공하는 것이 곤란하다는데 있다. 아마도 모든 시간에서, 지금까지 당면한 하나의 과제는 모바일 노드들 (MNs)(또는 MN과 한 개 이상의 고정 노드) 간의 통신에서 고정된 인트라넷 (예컨대, 고정된 회사 환경이나 고정된 가정 환경) 내에서 제공되는 것과 비슷한 수준의 기밀성과 무결성을 보증하는 것이다.
기밀성과 이동성의 목적은 적절하게 달성되지 않았었다. 한편, 인터넷 키 교환 (IKE) 프로토콜은 가상 전용 네트워크들 (VPNs)의 터널들을 위한 보안 연관들 (SAs)을 협상하는데 사용될 수 있다. 다른 한편, 모바일 IP (MIP) 프로토콜은 IP 노드들의 이동성을 지원하는데 사용될 수 있다. 함께 사용될 때, 다음과 같은 이슈들이 제기된다: VPN 터널 (VPN T)의 SA는 터널의 각 종단점에 대해 각기 하나씩인 두 개의 IP 주소들과 관련된다. MN은 영구 홈 주소 (HoA) 및 임시 보조 주소 (CoA)인 이중 식별을 가지며, 이것은 통상적으로 그것의 지리적 위치와 관련이 있다. HoA는 VPN 터널의 종단점를 식별하는데 사용된다. HoA로부터, 트래픽은 MN의 현재 위치로 재지향될 수 있다. 만약 CoA가 VPN 터널의 종단점으로서 사용된다면, 메커니즘은 CoA가 변할 때마다 SA를 업데이트하도록 제공될 것이다.
보안 범용 이동성 (SUM)으로 지칭된 구조는 기밀성과 이동성 모두를 해결하는 것을 시도한다. 세 개의 구별되는 영역들이 정의된다. 하나의 영역은 방화벽에 의해 보호되는 신뢰 영역인 인트라넷이다. 두 번 째 영역은 비무장 지대 (DMZ)로서, 이것은 비교적 약한 제어로 또 하나의 방화벽을 통해 인트라넷 외부로 접근 가능하다. 세 번 째 영역은 공중 인터넷으로서, 이것은 본질적으로 안전하지 않다고 추측될 것이다. SUM은 MIP 기반이다. 각 MN은 내부 HoA (i-HoA)와 외부 HoA (x-HoA)인 두 개의 HoA들을 가진다. i-HoA는 인트라넷의 전용 주소 공간 내의 식별로서 기능한다. x-HoA는 인터넷의 공중 주소 공간 내의 식별로서 기능한다. 소위 내부 HA (i-HA)와 외부 HA (x-HA)인 두 종류의 홈 에이전트들 (HAs)이 있다. i-HA는 인트라넷 이동성을 취급하고 내부 CoA (i-CoA)에서 내부 HoA (i-HoA) 바인딩을 기억한다. x-HA는 외부 이동성을 취급하고 외부 CoA (i-CoA)에서 외부 HoA (i-HoA) 바인딩을 기억한다. x-HA는 DMZ 내에 위치한다. 인트라넷과 DMZ를 브릿지하는 VPN 게이트웨이 (VPN GW)가 있다. MN이 인터넷 내에 있는 동안, 데이터 트래픽의 기밀성 및 무결성은 IP 보안 (IPSec) 터널을 사용해 제공되며, 이것의 종단점들은 VPN GW의 공중 주소와 MN의 x-HoA이다.
총 세 개의 터널이 외부 네트워크를 방문하는 MN으로의 인트라넷 전용 접근을 제공하도록 설정된다. x-CoA의 획득에 후속하여, MN은 x-CoA를 x-HA에 등록하고, 이에 따라, x-HoA를 x-CoA와 바인딩한다. 이것은 종단점들이 x-HA의 주소 및 MN의 x-CoA인 MIP 터널의 설정으로 귀결된다. 그 후, MN은 x-HoA를 사용해 VPN GW와 함께 IPSec 터널의 설정을 개시한다. 이것은 MN으로의 전용 인트라넷 상의 엔트리 생성으로 귀결된다. 그 후, MN은 MN의 i-HoA와 함께 짝지어진 VPN GW의 인트라넷 주소로 이루어진 바인딩을 등록한다. 이것은 i-HA와 VPN GW 사이에서 MIP 타입의 제3 터널의 생성으로 귀결된다.
MN을 향한 인트라넷 트래픽은 i-HA에 의해 차단된 후 VPN GW로 터널링된다. 후자는 VPN 터널을 사용해 트래픽을 안전하게 MN의 x-HoA로 재지향한다. 트래픽은 x-HA에 의해 차단되고, 이것은 그것을 MN의 현재 위치로 터널링한다.
만약 SA가 x-CoA로 제한된다면, SA들의 재협상은 MN에 의해 새로운 x-CoA가 얻어질 때마다 수행되어야 한다. 설정 시간은 다음과 같이 최소한 4 순회 시간 (RTT)을 포함한다: 내부 등록을 위한 1 RTT, IPSec 터널 설정을 위한 최소한 2 RTT (IKE 프로토콜의 사용이 추정됨), 외부 등록을 위한 1 RTT. MN을 향한 인트라넷 트래픽은 두 개의 HA들을 통과한다. 이 접근은 삼각 네트워크 토폴로지를 복수회 가로지르는 것에 의해 야기되는 네트워크 지연의 네 RTT들을 참조하는 이중 삼각 라우팅을 겪는다.
외부 네트워크를 방문하는 동안, 상대 노드 (CN)로부터 MN으로의 트래픽은 내부 홈 네트워크로 전달된다. 홈 네트워크에서, i-HA는 MN이 부재라는 사실을 인지한다. 이것은 MN을 향한 트래픽을 차단하고 이것을 MN의 현재 위치로 터널링한다. 따라서, MN을 향한 트래픽은 이중 네트워크 지연을 경험한다.
상기 테크닉은 두 개의 MN들이 상호 통신하고 그들이 인트라넷 외부에 있을 때 (예컨대, 보호된 서브 네크워크) 조건을 적절히 해결하지 않는다. 더욱이, 그들은 오직 한 개의 MN이 외부에 있을 때 조건을 위한 소정의 결함들을 부가한다. 또한, 그들은 저지연성 접속을 지원하도록 최적화된 경로를 제공하는데 실패한다. 지연 (및 지연 변화)은 성능에 손상을 줄 수 있다. 따라서, 방법 및 장치는, 한 개 이상의 MN이 본질적으로 안전하다고 이성적으로 추정될 수 없는 접속을 통해 통신하고 있을 때, 안전하고 효율적인 통신을 허용하도록 요구된다.
본 발명은 본 기술 분야에서 숙련된 자가 첨부한 도면을 참조하면 더욱 잘 이해될 수 있고 그 특징은 명백해질 것이다.
도1은 본 발명의 적어도 한 개의 실시예에 따른 장치를 도시한 블록도이다.
도2는 본 발명의 적어도 한 개의 실시예에 따른 모바일 어웨어 게이트웨이(MAG)(105)를 도시한 블록도이다.
도3은 본 발명의 적어도 한 개의 실시예에 따른 MN(103/104) 및CN(110)을 포함하는 구성 요소들 간의 연결을 도시한 다이어그램이다.
도4는 본 발명의 적어도 한 개의 실시예에 따른 MN1 103 및 MN2 104를 포함하는 구성 요소들 간의 연결을 도시한 다이어그램이다.
도5는 본 발명의 적어도 한 개의 실시예에 따른 MN 및 CN 사이의 통신을 포 함하는 방법을 도시한 흐름도이다.
도6은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계(501)를 실행하는 방법을 도시한 흐름도이다.
도7은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계(503)를 실행하는 방법을 도시한 흐름도이다.
도8은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계(506)를 실행하는 방법을 도시한 흐름도이다.
도9는 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계(502)를 실행하는 방법을 도시한 흐름도이다.
도10은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계(505)를 실시하는 방법을 도시한 흐름도이다.
도11은 본 발명의 적어도 한 개의 실시예에 따른 제1 MN 및 제2 MN 간의 통신을 포함하는 방법을 도시한 흐름도이다.
도12는 본 발명의 적어도 한 개의 실시예에 따라 통신되는 정보를 도시한 블록도이다.
서로 다른 도면에서의 동일한 참조 기호의 사용은 유사하거나 동일한 대상을 표시하는 것이다.
본 발명의 적어도 한 개의 실시예에 따르면, 심지어 MN이 예컨대 인터넷과 같은 공중 네트워크로부터 및/또는 공중 네트워크로의 제어된 접근을 제공하는 인트라넷과 같은 기업 혹은 보호된 도메인 외부에 있을 때라도, IP 응용 트래픽은 동일한 도메인에 속하는 한 개 혹은 그 이상의 MN로부터 및 그것으로 기밀하게 제공될 수 있다. 바람직하게는 모든 시간에서, 기업 환경 내에서(예컨대, 보안 인트라넷 내에서) 통상적으로 제공되는 MN들 사이의 통신에서 유사한 레벨의 기밀성 및 무결성을 제공하는 것이 가능하고, 이 기밀성 및 무결성은 기업, 가정, 학교, 정부, 비영리 또는 다른 컨텍스트 내에서 임의 타입의 네트워크를 위해 제공될 수 있다. 한 개 혹은 그 이상의 MN이, 예를 들어, 보안 네트워크 외부의 인터넷이나 네트워크와 같은 공중 네트워크로의 연결과 같은, 본질적으로 안전한 것으로 추정될 수 없는 연결을 통해 통신할 때 기밀하고 효율적인 통신이 제공된다.
본 발명의 적어도 한 개의 실시예는 예컨대 IP 보안 (IPSec)에 기초한 것과 같은 VPN 기술을 사용해 동등 계층 모바일 사이의 보안 연결을 제공하도록 수행될 수 있다. 경로-최적화 (RO)와 함께 모바일 IP (MIP)와 호환되도록 실행될 수 있는 이동성 관리가 제공된다. 본 발명의 적어도 한 개의 실시예에 따르면, 실시간 트래픽에 의해 경험되는 지연은 예컨대 IPSec 및 MIP 터널과 같은 터널들을 가로지를 때 감소될 수 있다.
메커니즘은 인트라넷과 공중 네트워크 간을 가로지를 때 MN들 사이의 기밀하고 무결한 세션 연속성을 제공하도록 기술된다. VPN 터널들의 라우팅은 최적화되고 핸드오프 후의 IPSec 보안 연관 (SAs)의 재협상은 회피된다. 따라서, 삼각 라우팅이 회피된다.
도1은 본 발명의 적어도 한 개의 실시예에 따른 장치를 도시한 블록도이다. 장치는 인트라넷(101), 제1 모바일 노드(MN1)(103) 및/또는 제2 모바일 노드(MN2)(104), 및 MN1(103) 및/또는 MN2(104)를 인트라넷(101)에 연결하는 외부 네트워크(102)을 포함한다. 인트라넷(101)은 모바일 어웨어 게이트웨이(MAG)(105), 제1 내부 홈 에이전트(i-HA1)(108) 및/또는 제2 홈 에이전트(i-HA2)(109), 및 상대 노드(CN)를 포함하는 것이 바람직하다. MAG(105)는 제1 외부 홈 에이전트(x-HA1)(106) 및/또는 제2 외부 홈 에이전트(x-HA2)(107)을 포함하는 것이 바람직하다.
MN1(103)은 네트워크 접속(111)을 통해 외부 네트워크(102)에 연결된다. MN2(104)는 네트워크 접속(112)을 통해 외부 네트워크(102)에 연결된다. MAG(105)는, 예를 들어, 외부 네트워크(102) 및 네트워크 접속(111)을 통해 MN1(103)에 연결될 수 있는 네트워크 접속(113) 및/또는 외부 네트워크(102) 및 네트워크 접속(112)을 통해 MN2(104)에 연결될 수 있는 네트워크 접속(114)를 통해, 외부 네트워크(102)에 연결될 수 있다. 본 발명의 적어도 한 개의 실시예에 따른 외부 네트워크(102)의 예시는, 예컨대 셀룰러 무선 네트워크와 같은 다른 무선 및/또는 유선 네트워크는 물론, 예컨대 인트라넷(101) 외의 다른 인트라넷과 같은 인트라넷에 대한 접근을 제공할 수 있는 다른 네트워크를 포함할 수 있는 인터넷이다.
x-HA1(106)은 인트라넷 접속(115)을 통해 i-HA1(108)에 연결된다. X-HA2(107)은 인트라넷 접속(116)을 통해 i-HA2(109)에 연결된다. i-HA1(108)은 인트라넷 접속(117)을 통해 CN(110)에 연결된다. i-HA2(109)는 인트라넷 접속(118) 을 통해 CN(110)에 연결된다. 바람직하게는, x-HA1(106)는 인트라넷 접속(119)을 통해 CN(110)에 연결될 수 있고, x-HA2(107)은 인트라넷 접속(120)을 통해 CN(110)에 연결될 수 있다. 바람직하게는, x-HA1(106)은 접속(121)을 통해 x-HA1(107)에 연결될 수 있고, 이것은 바람직하게는 MAG(105) 내에서 실행된다.
도2는 본 발명의 적어도 한 개의 실시예에 따른 MAG(105)를 도시한 블록도이다. MAG(105)는 프로세서(201) 및 메모리(202)를 포함하는 것이 바람직하다. 프로세서(201)는 접속(203)을 통해 메모리(202)에 연결된다. 프로세서(201)는 예컨대 한 개 혹은 그 이상의 네트워크 접속(113, 114)과 같은 접속을 통해 외부 네트워크(102)에 연결되는 것이 바람직하다. 프로세서(201)는 예컨대 한 개 혹은 그 이상의 인트라넷 접속(115, 116, 119, 120)과 같은 접속을 통해 인트라넷(101)이나 그 구성 요소에 연결되는 것이 바람직하다. 처리 모듈은 한 개의 처리 장치이거나 혹은 복수 개의 처리 장치가 될 수 있다. 이와 같은 처리 장치는 마이크로프로세서, 마이크로컴퓨터, 마이크로 제어기, 디지털 신호 처리기, 중앙 처리 장치, 상태 기계, 논리 회로, 및/또는 동작 명령에 기초해 신호(아날로그 혹은 디지털)를 취급하는 임의의 장치일 수 있다. 메모리는 한 개의 메모리 장치이거나 혹은 복수 개의 메모리 장치일 수 있다. 이와 같은 메모리 장치는 판독 전용 메모리, 임의 접근 메모리, 자기 테이프 메모리, 플로피 디스크 메모리, 하드 디스크 메모리, DVD 메모리, CD 메모리, 및/또는 동작 및/또는 프로그램 명령을 저장하는 임의의 장치일 수 있다. 만약 처리 모듈이 상태 기계나 논리 회로를 통해 하나 이상의 기능을 수행한다면, 해당 동작 명령들을 포함하는 메모리는 상태 기계 및/또는 논리 회로 를 포함하는 회로에 내장될 것이라는 것을 주목하라. 메모리에 저장되고 처리 모듈에 의해 실행되는 동작 명령들은 아래에서 도3 내지 도11을 참조하여 더욱 상세히 설명될 것이다.
인트라넷으로의 접근을 가지도록 의도된 예컨대 MN1 및 MN2와 같은 두 개의 MN이 주어지면, 몇 가지 시나리오가 존재할 수 있다. 하나의 가능성은 MN1 및 MN2 모두가 인트라넷 (예컨대, 기업 네트워크) 내에 있는 것이다. 또 하나의 가능성은 MN1은 인트라넷 내에 있고 MN2는 인트라넷 외부에 있는 것이다. 또 하나의 가능성은 MN1 및 MN2 모두가 인트라넷 외부에 있는 것이다.
만약 MN들 모두가 인트라넷 내에서 직접 접속되어 있다면, 전용 영역 내에서 MN들 사이의 통신은 방화벽, 네트워크 주소 번역 (NAT) 기술, 및 침입 탐지 및 방지 메커니즘에 의해 보호된다.
한 개의 MN이 인트라넷 외부에 있을 때, 보안 통신은 VPN 게이트웨이(VPN-GW)를 통한 방문된 (즉, 외부의) 네트워크로부터 인트라넷으로의 IPSec 터널을 사용하여 제공될 수 있고, MIP는 이동성을 지원하는데 사용될 수 있다. 시도는 네트워크 계층 핸드오프가 MN에 의해 수행되는 매 시간마다 IPSec SA들의 재협상이 수행되지 않는다는 것을 보증하기 위한 것이다. 본 발명의 적어도 한 개의 실시예에 따르면, 시도만이 충족되는 것이 아니라, 예컨대 경로-최적화 (RO)를 통한 감소된 지연과 같은 다른 이익도 얻어진다.
복수의 MN들이 인트라넷 외부에 있는 시나리오가 한 개의 MN이 인트라넷 외부에 있는 여러 경우들로 취급되지만, 이와 같은 접근이 복수의 MN들 사이의 경로- 최적화되고 저지연의 통신을 반드시 제공하는 것은 아니다. 본 발명의 적어도 한 개의 실시예에 따르면, 이 특징들이 제공될 수 있다.
본 발명의 적어도 한 개의 실시예는 MN이 인트라넷 외부에 있을 때 혹은 복수의 MN들이 인트라넷 외부에 있을 때 안전하고 효율적인 통신을 제공한다. 본 발명의 실시예의 수행은 인트라넷의 존재에 따라 조절되지 않는다는 것을 알아야 한다: MAG는 다른 인트라넷 구성 요소들이 없을 때 사용되어 임의 지점에 위치한 복수 노드들 간에 안전하고 효율적인 통신을 제공할 수 있다. 이 이해는 여기서 인트라넷에 관한 MN을 참조할 때마다 기억되어야 한다. 본 발명의 적어도 한 개의 실시예는 Dutta 등(A. Dutta, T. Zhang, S. Madhani, K. Taniuchi, K. Fujimoto, Y. Katsube, Y. Ohba 및 H. Schulzrinne 저, "무선 인터넷을 위한 보안 범용 이동성", WLAN Spots의 무선 이동 응용 및 서비스에 관한 1차 ACM 국제 워크샵 (WMASH), 필라델피아, pp. 71-80, 2004년 10월)에 의해 설명된 보안 범용 이동성 (SUM) 구조의 특성에 따라 수행될 수 있다. 한 개의 MN이 인트라넷 외부에 있을 때, SUM은 이중 삼각 라우팅 문제를 겪는다. 본 발명의 적어도 한 개의 실시예는 적응된 MIP 경로-최적화 기술을 SUM 구조에 결합함으로써 이 문제를 극복한다.
복수의 MN들이 인트라넷 외부에 있을 때, 이동성 및 VPN 관리는 일정 정도의 최적화를 달성하도록 조정되는 것이 바람직할 수 있다. 따라서, VPN-GW 및 외부 홈 에이전트 (x-HA) 역할은 모바일 어웨어 VPN 게이트웨이 (MAG)로 지칭되는 하나의 객체로 통합되는 것이 바람직하다. 이 통합은 MAG가 VPN 기능과 함께 이동성 관리를 수행하도록 한다. MAG 기능성이 수행될 수 있는 하나의 방식은 두 MN들 사 이의 통신에서 MAG을 완전히 포함하는 것이다. 짧게 말해, MAG은 VPN 터널 및 MIP 터널의 설정 및 동작에 관여한다. 처음 것의 최적화인, MAG 기능성이 수행될 수 있는 또 하나의 방식은 MAG가 키 분포 및 터널 설정에 관여하되 그 후 연속된 MAG 활동에 대한 요구 없이 통신을 허용하는 것이다. 완전한 MAG 관여의 제1 방식과는 대조적으로, 유저 트래픽은 경로-최적화 경로를 통해 흐른다.
본 발명의 적어도 한 개의 실시예에 따르면, VPN-GW 및 x-HA는 모바일 어웨어 VPN 게이트웨이 (MAG)인 단일 장치로 결합될 수 있다. 도3에는 분리된 x-HA 및 MAG가 도시되어 있지만, 도4에는 결합된 MAG가 MN-MN 케이스와, 단말간 보안 터널이 MN들 사이에서 설정되는 케이스 모두에 대해 도시되어 있다는 것을 알아야 한다. 분리된 x-HA 및 MAG는 본 발명이 Dutta 등에 의해 설명된 SUM 구조의 맥락에서 수행될 수 있다는 것을 묘사하도록 도시되어 있다. x-HA 및 MAG는 개별적으로 수행되지만 그 이익은 MAG 내에서 x-HA 기능성을 수행하는 것에 의해 얻어질 수 있다는 것을 이해해야 한다.
모바일 노드 (MN)가 보호된 인트라넷으로부터 나올 때, 몇 개의 단계들이 MN과의 통신을 유지 및 설정하도록 수행될 수 있다. 제1 단계에 따르면, MIP 등록은 외부 홈 에이전트 (x-HA)와 함께 발생한다. MN은 MAG와 함께 그것의 x-CoA를 등록하는데, 이것은 그 내부에서 수행되는 x-HA 기능성을 가지는 것이 바람직하다. 이것은 MAG와 모바일 노드의 x-CoA 사이에서 외부 MIP (x-MIP) 터널 (x-MIP T)을 설정한다. 제2 단계의 제1 양상에 따르면, 보안 VPN이 설정된다. IKE를 사용하여, MN은 x-HoA를 MAG와 함께 터널 종점들 중 하나로 사용해 IPSec SA들을 절충한다; 다른 종점은 MAG의 주소이다. 제2 단계의 제2 양상에 따르면, MIP 등록은 내부 홈 에이전트 (i-HA)와 함께 발생한다. 일단 VPN 터널이 제2 단계에 따라 설정되면, MN은 MAG의 전용 주소를 MN의 i-CoA로 사용해 i-HA와 함께 등록한다. 내부 MIP (i-MIP) 터널 (i-MIP T)은 따라서 i-HA와 MAG 사이에서 설정된다. 제2 단계에서 발생하는 모바일 IP 신호는 MN과 MAG 사이에서 설정되는 보안 VPN 터널을 사용해 전송된다.
MN으로부터 CN으로의 유저 트래픽에 대해, 그 전용 주소 (i-HoA)를 소스 주소로 사용하여 MN에 의해 종착 주소로서의 CN의 내부 (개인) 주소 (i-CN)로 전송되는 트래픽은 먼저 IPSec SA들에 따라 해독되고 무결성 보호된다. 그 후, 보호된 트래픽은 MN의 x-HoA를 사용하는 x-MIP T-1을 사용하여 MAG로 터널링된다. MAG는 데이터그램을 탈캡슐화시킨다. 그 후, MAG는 트래픽의 무결성을 검사하고 또한 데이터그램을 해독한다. 그 후, 데이터그램은 i-CN으로 전달된다.
CN으로부터 MN으로의 트래픽에 대해, CN의 내부 주소 (i-CN)를 소스 주소로 사용하여 CN에 의해 종착으로서의 MN의 전용 주소 (i-HoA)로 전송되는 유저 트래픽은 i-HA에 의해 가로채어 지고 i-MIP T-1을 통해 MAG로 터널링된다. 그 후, MAG는 MN의 적합한 x-HoA로의 i-HoA를 해결하도록 테이블에 자문을 구한다. 암호화 및 무결성 검사는 IPSec SAs에 따라 데이터그램에 적용된다. 그 후, 패킷들은 MN의 x-HoA 주소로 터널링된다. 그 후, MAG의 HA 구성 요소는 패킷을 가로채고 보안 데이터그램을 MN의 x-CoA로 터널링한다. MN은 패킷을 수신하면 데이터그램을 탈캡슐화하고 패킷의 무결성을 검사하고 나중에 특정한 응용에 의해 처리되는 컨텐트를 해독한다.
SUM 구조에서는, 외부 네트워크를 방문하는 MN에 대한 보안 네트워크 접속을 제공하기 위해, 두 개의 MIP 터널들이 사용된다. CN으로부터의 트래픽은 MN에 도달하기 전에 i-HA를 통과한 후 x-HA를 통과하여 진행한다. 본 발명의 적어도 한 개의 실시예에 따르면, 경로-최적화 기술이 MIP 삼각 라우팅과 예컨대 오랜 지연과 같은 이와 관련된 단점들을 회피하는데 사용된다.
본 발명의 적어도 한 개의 실시예에 따르면, i-HA는, MN을 대신해 MN을 향한 i-CN으로부터 패킷을 가로채면, i-CN에게 MN이 홈 네트워크 외부에 있음을 알리고 CN에게 MAG를 통해 MN으로 도달하는 단축 경로의 존재를 알려준다. 이 통신은 Perkins 및 Johnson에 의해 정의된 경로-최적화 메시지 (C. Perkins, D. Johnson, Route Optimization in Mobile IP, Internet Draft, 2001)를 사용해 수행되는 것이 바람직하다. 그 후, i-CN은 i-HoA로 향하는 유저 트래픽을 i-HA로 전송하는 대신에 MAG로 직접 전달한다. 이에 따라, CN과 MAG 사이의 삼각 라우팅은 회피되므로, 패킷은 비교적 빠르게 수신된다.
i-HA는, i-HoA를 향한 패킷을 가로채면, MAG의 내부 주소를 포함하는 i-CN으로 바인딩 업데이트 메시지를 전송한다. 그 후, i-CN은 i-HoA를 향한 패킷들이 MAG로 터널링되도록 MAG의 내부 주소와 짝지어진 i-HoA에 대한 바인딩 엔트리를 생성한다. 그것은 패킷들을 MN1의 내부 홈 네트워크로 전송하는 대신 발생할 수 있다. 그 후, i-CN은 i-MIP 경로-최적화 (i-MIP-RO) 터널 (i-MIP-RO T)을 사용해 유저 패킷들을 MAG로 직접 전달한다. MIP 경로-최적화를 지원하는 i-CN과 MAG의 성 능은 그것들 안에서 경로-최적화 메시지를 이용하는 성능을 수행하는 것에 의해 제공된다.
도3은 본 발명의 적어도 한 개의 실시예에 따른 MN(103/104) 및 CN(110)을 포함한 구성 요소들 사이의 접속을 도시한 다이어그램이다. 이 다이어그램은 CN(110), i-HA(108 또는 109), MAG(105), x-HA(106 또는 107), 및 MN(103 또는 104)를 포함하는 구성 요소들을 표시하는 수직선들을 포함한다. 선택적으로 표현된 상기 구성 요소들 사이의 관계는 개별적으로 이해되도록 의도되어 있다. 따라서, 도1에 도시된 구성 요소들의 접속에 의해 묘사되는 바와 같이, i-HA(108)는 x-HA(106)와 연관되고, 이것은 MN(103)과 연관되며, i-HA(109)는 x-HA(107)와 연관되고, 이것은 MN(104)과 연관된다. CN(110), i-HA(108 또는 109), 및 MAG(105)는 인트라넷(101) 내에 존재하는 것이 바람직하다. 이 다이어그램은 구성 요소들 간의 통신을 표시하는 수평선들을 포함한다.
첫째, 제1 외부 모바일 인터넷 프로토콜 터널 (x-MIP T-1)(301)은 MN(103 또는 104)와 x-HA(106 또는 107) 사이에서 설정된다. 외부 보조 주소 (x-CoA)를 설정하기 위한 외부 모바일 인터넷 프로토콜 (x-MIP) 등록 요구(302)는MN(103 또는 104)으로부터 x-HA(106 또는 107)로 통신된다. 외부 보조 주소(x-CoA)를 설정하기 위한 x-MIP 등록 응답(303)은 x-HA(106 또는 107)로부터 MN(103 또는 104)으로 통신된다.
둘째, VPN 터널(304)은 x-MIP T-1(301)을 따라 MN(103 또는 104)과 MAG(105) 사이에서 설정된다. 예컨대 인터넷 키 교환 (IKE) 협상, 인터넷 프로토콜 보안 (IPSec) 보안 연관 (SA) 설정, 및 주소 할당과 같은 VPN 터널(304)을 설정하기 위한 통신은 MN(103 또는 104)로부터 MAG(105)로의 통신(305)과 MAG(105)로부터 MN(103 또는 104)로의 통신(306)에 따라 발생된다.
셋째, 제1 내부 모바일 인터넷 프로토콜 터널 (i-MIP T-1)(307)은 MAG(105)와 i-HA(108 또는 109) 사이에서 설정되고, 인터넷 프로토콜 (IP) 접속(308)은 제1 i-MIP T-1(307), VPN 터널(304) 및 x-MIP T-1(301)을 따라 MN(103 또는 104)과 상대 노드 (CN)(110) 사이에서 설정된다. 내부 모바일 인터넷 프로토콜 (i-MIP) 등록 요구(309)는MN(103 또는 104)로부터 i-HA(108 또는 109)로 통신한다. i-MIP 등록 응답(310)은 i-HA(108 또는 109)로부터 MN(103 또는 104)로 통신된다.
넷째, 경로-최적화는 삼각 라우팅을 회피하도록 수행된다. x-MIP T-1(301)은 MN(103 또는 104)와 MAG(105) 사이의 x-MIP 경로-최적화 터널 (x-MIP-RO T-1)로 대체된다. x-CoA를 변경하기 위한 경로-최적화 (RO) 바인딩 업데이트(313)는 x-HA(106 또는 107)로부터 MAG(105)로 통신된다. x-CoA를 변경하기 위한 RO 바인딩 확인 응답(314)은MAG(105)로부터 x-HA(106 또는 107)로 통신된다. i-MIP T-1(307)은 MAG(105)와CN(110) 사이의 i-MIP-RO T-1(312)로 대체된다. RO 바인딩 업데이트(315)는 i-HA(108 또는 109)로부터 CN(110)으로 통신된다. RO 바인딩 확인 응답(316)은 CN(110)으로부터 i-HA(108 또는 109)로 통신된다. 따라서, MN(103 또는 104)과 CN(110) 사이의 통신은 MN(103 또는 104)와 MAG(105) 사이에서 x-MIP-RO T-1(311)을 통해서 그리고 MAG(105)와 CN(110) 사이에서 i-MIP-RO T-1(312)을 통해서 발생할 수 있다.
도5는 본 발명의 적어도 한 개의 실시예에 따른 MN과 CN 사이의 통신을 포함하는 방법을 도시하는 흐름도이다. 단계 501에서, 제1 외부 통신 터널은 제1 모바일 노드와 제1 외부 홈 에이전트 사이에서 설정된다. 단계 502에서, 제1 외부 보안 터널은 제1 모바일 노드와 보안 게이트웨이 (예컨대, MAG) 사이에서 설정된다. 보안 게이트웨이는 인트라넷과 외부 네트워크 (예컨대, 인터넷과 같은 공중 네트워크) 사이의 통신을 제어하는 보안 정책을 수행하는 것에 의해 인트라넷의 경계를 설정할 수 있다 (즉, 인트라넷은 보안 게이트웨이에 의해 구속된다). 단계 503에서, 제1 내부 통신 터널은 제1 외부 보안 터널 및/또는 제1 외부 통신 터널을 통해 제1 보안 게이트웨이와 제1 내부 홈 에이전트 사이에서 설정된다. 단계 504에서, 유저 데이터에 대한 제1 경로는 제1 내부 통신 터널을 통해 제1 모바일 노드와 상대 노드 사이에서 설정된다.
단계 505에서, 제1 외부 통신 터널은 제1 모바일 노드와 보안 게이트웨이 (예컨대, MAG(105)) 사이에서 제1 경로-최적화 외부 통신 터널을 형성하도록 대체된다. 단계 506에서, 제1 내부 통신 터널은 보안 게이트웨이(예컨대, MAG(105))와 상대 노드 사이에서 제1 경로-최적화 내부 통신 터널을 형성하도록 대체된다. 단계 507에서, 제1 경로는 모바일 노드와 상대 노드 사이에서 유저 데이터를 통신하도록 제1 경로-최적화 내부 통신 터널을 통해 유저 데이터를 위해 사용된다.
도6은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계 501을 실행하는 방법을 도시한 흐름도이다. 단계 601에서, 제1 외부 보조 주소 등록 요구는 제1 모바일 노드로부터 제1 외부 홈 에이전트로 통신된다. 단계 602, 제1 외부 보조 주소 등록 응답은 제1 외부 홈 에이전트로부터 제1 모바일 노드로 통신된다.
도7은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계 503을 실행하는 방법을 도시한 흐름도이다. 단계 701에서, 제1 내부 보조 주소 등록 요구는 제1 모바일 노드로부터 제1 내부 홈 에이전트로 통신된다. 단계 702에서, 제1 내부 보조 주소 등록 응답은 제1 내부 홈 에이전트로부터 제1 모바일 노드로 통신된다.
도8은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계 506을 실행하는 방법을 도시한 흐름도이다. 단계 801에서, 제1 내부 경로-최적화 바인딩 업데이트는 제1 내부 홈 에이전트로부터 상대 노드로 통신된다. 단계 802에서, 제1 내부 경로-최적화 바인딩 확인 응답은 상대 노드로부터 제1 내부 홈 에이전트로 통신된다.
도9는 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계 502를 실행하는 방법을 도시한 흐름도이다. 단계 901에서, 보안 능력은 교환되고 키들은 보안 게이트웨이와 제1 모바일 노드 사이에서 유도된다. 단계 902에서, 제1 외부 보안 연관은 제1 외부 보안 터널을 위해 생성된다.
도10은 본 발명의 적어도 한 개의 실시예에 따른 도5의 단계 505를 실행하는 방법을 도시한 흐름도이다. 단계 1001에서, 제1 외부 경로-최적화 바인딩 업데이트는 제1 외부 홈 에이전트로부터 보안 게이트웨이로 통신된다. 단계 1002에서, 제1 외부 경로-최적화 바인딩 확인 응답은 보안 게이트웨이로부터 제1 외부 홈 에이전트로 통신된다.
지금까지 적합하게 해결되지 않은 또 하나의 문제는 인트라넷 외부에서 외부 네트워크 내(예컨대, 인터넷 내)에 있는 MN들 사이의 신뢰 가능하고, 안전하고, 효과적인 통신의 문제이다. 지금까지는 MN들 간의 통신이 보안 인트라넷 외부에서 이루어지는 경우를 적절하게 취급하는 해결안이 적절하게 제공되지 않았기 때문에, MN들의 통신은 그들을 향한 데이터 패킷들을 인트라넷 환경의 그것과 비슷한 수준의 기밀성으로 수신하는 것과 비슷한 수준의 접근성을 가지는 것을 보증 받기 어려웠다.
두 개의 통신 모바일들 중 하나가 또한 인트라넷 외부로 나갈 때 (인트라넷 외부에 있는 MN1과 통신하는 인트라넷 안에 있는 MN2는 이제 인트라넷 외부로 나가며, 결과적으로 이제 두 MN들은 모두 인트라넷 외부에 있다), 부가 신호 및 오버헤드가 예상되는데, 왜냐하면 이에 후속하는 접근이 두 개의 분리된 VPN의 필요, 외부 MIP 및 내부 MIP 터널들의 설정을 설명하기 때문이다. 관여된 프로세스 오버헤드와 함께 지연을 저감하는 하나의 방법은 MAG가 MN들로 터널들을 브릿지하는 것이다. 프로세스 오버헤드의 더욱 큰 저감 및/또는 지연의 추가적인 저감을 제공하기 위해, 두 개의 분리된 VPN 터널들 (MN1으로부터 MAG로 그리고 MN2로부터 MAG로)이 한 개의 단말간 VPN 터널로 통합되는 것이 바람직하다.
두 개의 MN들이 모두 인트라넷 (예컨대, 보호된 서브 네트워크) 외부에 있을 때 이들이 서로 통신하는 조건은 아직까지 적합하게 해결되지는 않았다. 여기서 인트라넷 외부에서 두 MN들 간의 보안 통신이 요구될 때 조건을 해결하는 능력을 가진 방법 및 장치가 제공된다. 이것은 VPN-GW와 x-HA를, 우리가 모바일 어웨어 VPN 게이트웨이 (MAG)라 부르는, 하나의 객체로 결합하는 것에 의해 달성된다. MAG는 MN들 사이의 보안 접속을 촉진하기 위해 두 개의 분리된 VPN 터널들과 두 개의 분리된 MIP 터널들을 브릿지한다.
두 개의 MN들이 인트라넷 외부에 있고 이들간 통신이 요구될 때, 수 개의 단계들이 수행될 수 있다. 첫 째, MN들은 x-HA와 함께 (예컨대, MAG와 함께, 여기서 MAG는 x-HA에 기능성을 제공한다) MIP 등록을 수행한다. 둘 째, MN들은 MAG로의 보안 VPN 터널들을 설정한다. 셋 째, MN들은 그들 각각의 i-HA들과 함께 MIP 등록을 수행한다. 이 단계들은 인트라넷 외부의 MN들에 의해 수행되어 인트라넷 내부의 노드들과의 혹은 다른 유사하게 등록된 MN들과의 보안 통신을 촉진한다. MN1과 MN2가 상기 단계들을 수행할 때, 그들은 도4의 x-MIP T-1(401), i-MIP T-1(402), x-MIP T-2(407), 및 i-MIP T-2(408)를 설정할 수 있다. i-MIP-RO T-2(413)는, x-MIP T-2(407)와 함께, 예컨대 도5 내지 도10을 참조해 설명된, 한 개의 MN과 인트라넷 간의 보안 통신을 설정하도록 기술된 단계들에 따라 얻어질 수 있다.
표1은 MAG에 의해 유지되는 정보의 구조를 반영하는 표본 엔트리를 가진 전형적인 테이블이다.
MN id x-HoA i-HoA x-CoA SAiDto -MN SAiDfrom -MN
MN1 MN2 192.1.3.9 192.1.3.13 10.1.10.6 10.4.7.12 198.12.4.8 133.25.1.7 1387 2076 1388 2078
표1: 바인딩 테이블의 예시
바인딩 테이블 엔트리의 업데이트는 MAG에서 수행된다: MAG에 의해 유지되는 테이블은 각 MN이 MAG와 함께 가진 접속을 반영하도록 업데이트된다.
상기 제1 단계가 수행되면, MN 식별자(MN id), x-HoA 및 x-CoA 값들은 표 안에 입력된다. 상기 제2단계 후에, 보안 연관 식별자들(SAiDs)은 x-HoA 및 i-HoA 주소들이 표에 부합하는 특정한 MN에 대한 각각의 방향에 대해 더해진다. SAiDto -MN은 MAG로부터 MN으로의 트래픽에 대해 협상되는 IPSec SA를 위한 식별자이고 SAiDfrom -MN은 MN으로부터 MAG로의 트래픽에 대한 IPSec SA이다. 바람직하게는 표는 x-HoA를 i-HoA로 매핑하는 엔트리를 가진다는 것을 인지하라. x-CoA 및 SAiDs에 대한 값들은 제1 및 제2단계들 후에 입력될 수 있다. 상기 제3 단계는 MAG에서 유지되는 표에 영향을 줄 필요는 없다. x-CoA 필드가 비어 있지 않은 엔트리는 모바일이 인트라넷 외부에 있는 MAG에 대한 것이다.
본 발명의 적어도 한 개의 실시예에 따르면, 이 확장에 관해 토의된 바와 같이, i-HoA를 향한 패킷은 MAG에 의해 수신되면, MAG는 i-HoA가 해당 x-CoA 값과 결합되어 있는지를 확인하도록 검사한다. 만약 x-CoA값이 특정한 i-HoA를 위해 존재한다면, MAG는 전용 주소가 i-HoA인 MN이 인트라넷 외부에 있는지를 결정한다. 따라서, MAG는 그것을 향한 패킷들이 인트라넷 안으로 전달될 필요가 없다는 것을 인식한다. MN1으로부터 MN2로의 트래픽 흐름의 예시는 후술된다.
첫째, MN1은 MN1의 내부 소스 주소인 i-HoA1을 사용하고, 패킷을 i-HoA2 (MN2의 내부 주소)로 전송한다. 둘째, MN1상의 VPN 응용은 요청된다 (패킷은 내부 소스 및 종점 주소를 가짐). 패킷은 단계들(해독, 무결성 값 계산 등)을 경험하고 MAG와 함께 협상된 IPSec SA에 일치한다. 그 후, 패킷은 x-HoA를 소스 주소로 사용해 IP 헤더와 함께 캡슐화된다. MN1과 MAG의 공중 주소의 종점 주소를 가진 MAG 사이에서 X-MIP T-1에 따른 보안 터널은 패킷을 전송하는데 사용된다.
셋째, MN1 상의 MIP 클라이언트 응용은 x-CoA1을 소스 어드레스로 사용해 또 하나의 IP 헤더와 함께 보안 패킷들을 캡슐화한다. MAG의 공중 주소의 종점 주소를 가진 x-MIP T-1 터널은 MIP 패킷을 전송하는데 사용된다. 따라서, 새로운 IP 헤더의 종점 주소는 MAG의 공중 주소이다 (주: 원래의 패킷은 이제 적어도 세 개의 IP 헤더들을 가지는 것이 바람직하다).
가장 외측의 헤더가 MAG를 향하기 때문에, MAG는 패킷을 처음으로 수신하고 MIP 헤더를 처리하고 헤더를 폐기한다. 그 후, MAG는 내부 헤더와 적합한 IPSec SA에 부합하는 패킷을 검사한다. IPSec SA는 소스 MN (이 경우, i-HoA1)에 대한 표1로부터의 적합한 SAiDfrom - MN 값 (1388)을 사용하여 MAG에 의해 얻어진다. SAiDfrom -MN 값은 MAG에 의해 유지되는 보안 연관 데이터베이스로부터 가져오도록 사용된다.
만약 패킷이 무결성 검사 및 암호화를 위한 합의된 IPSec SA에 부합한다면, MAG는IPSec 헤더를 폐기하고 가장 내측의 헤더를 처리한다. 패킷의 종점 주소가 i-HoA2의 그것이므로, MAG는 표에서 i-HoA2에 대한 입력을 기대하고 x-CoA2를 위한 유효한 엔트리가 있는지를 검사한다.
만약 대응하는 x-CoA2가 있다면,
이는 i-HoA2가 기업 네트워크 외부에도 있다는 것을 의미한다. 그 후, SAiDto -MN는 IPSec SA를 얻는데 사용되고, 이것은 패킷에 적용된다. i-HoA2를 위한 SAiDto -MN는 2076이다. SAiDto -MN는 SA를 불러오는데 사용되고 필요한 보안 기능들은 패킷에 적용된다. 소스 주소가 MAG 주소이고 종점 x-HoA2 주소인 새로운 IP 헤더는 첨부된다. MAG와MN2 간의 보안 터널은 패킷을 전송하는데 사용된다. 그 후, 보안 패킷은 소스 주소가 MAG의 그것이고 종점 주소가 x-CoA2인 또 하나의 IP 헤더 (예컨대, MIP 헤더)를 사용하는 x-MIP T-2를 사용해 터널링된다.
본 발명의 적어도 한 개의 실시예에 따르면, 수 개의 특징들이 유리하게 제공될 수 있다. 하나의 예시로서, 패킷을 인트라넷으로 전송할지 여부의 결정은 MAG 자체에서 수행될 수 있고, 이에 의해, 고지연은 물론 높은 패킷 오버헤드를 야기할 수 있는, MN이 인트라넷 외부에 있는지가 결정되기 전에 i-HA로 진행해야 하는 패킷들의 비효율성을 회피한다. 또 하나의 예시로서, 인트라넷 외부에 있고 상호 통신하기를 원하는 MN들은 그것을 저지연으로 안전하고 효율적으로 수행할 수 있다.
복수의 MN들 사이에 보안 통신을 제공하는 것은 도움이 되지만, 두 개의 서로 다른 IPSec SA들에 일치하기 위해 동일한 유저 트래픽을 해독하고 재암호화 해야 한다는 점에서 약간 양의 오버헤드가 MAG에 있을 수 있다. 이 오버헤드는 상호 통신하도록 의도된 MN들 사이의 단말간 (예컨대, 동료간) VPN 접속을 생성하는 것에 의해 저감될 수 있다. 새로운 VPN 접속은 새로운 IPSec SA 협상을 위한 이미 설정된 VPN 터널들을 사용하여 통신 모바일들 사이에서 설정된다.
MN1이 인트라넷을 위해 의도된 데이터그램들을 전송할 때, MN1에서의 VPN 클라이언트 프로세스는 VPN 헤더를 암호화하고 더한다. 그 후, MIP 클라이언트는 MIP 헤더를 더하고 데이터그램들을 MAG로 전달한다. 일단 패킷들이 탈캡슐화되고 해독되면, MAG는 MN2가 인트라넷 내부에 있는지를 확인하도록 검사를 한다. 만약 MN2가 인트라넷 외부에 있다면, MAG는 로밍 데이터베이스를 참조하고, x-HoA를 결정하고, 적합한 IPSec SA를 적용한다. 그 후, HA 객체는 데이터그램들을 x-CoA1으로 캡슐화한다.
MAG에서 패킷들의 해독 및 재암호화와 관련된 오버헤드를 저감하기 위해, 후술하는 것처럼 수 개의 단계들이 실행된다. 첫 째, MAG는 두 통신 모바일들에 의해 공유될 수 있는 키들을 유도한다. MAG에 의해 두 MN들로 전송되는 공유된 키는 두 MN들 사이에서 IKE 및 IPSec SA들을 협상하도록 MN들에 의해서 사용될 수 있고, MAG에 의존하지 않고 두 MN들 사이에서 새로운 단말간 보안 VPN 터널을 직접 생성한다. 둘 째, MAG는 경로-최적화 메시지를 소스와 데이터그램의 종점으로 전송한다. 경로-최적화 메시지들은 키 분포의 일부로서 피기백 방식으로 운반될 수 있다. 셋 째, MN2를 위한 MN1으로부터의 데이터그램들은 단말간 보안 터널을 사용해 전송되고 x-MIP T-3을 사용해 MN2의 x-CoA2로 캡슐화된다. 인트라넷 안의 노드들을 위한 MN1으로부터의 다른 데이터그램들은 x-MIP T-1과 x-MIP T-1을 따라 존재하는 VPN 터널을 사용한다.
본 발명의 적어도 한 개의 실시예에 따른 MN들 사이에 단말간 VPN 터널을 제공하는 몇 가지 양상들은 적어도 어떤 상황에서는 도움이 될 것이다. 첫 째, MAG는 SA에 일치하기 위해 해독 및 재암호화할 필요가 없다. 둘 째, 설정되는 터널은 일반적으로 가능한 최단 경로이고, 삼각 라우팅을 회피한다. 셋 째, MN에 의한 움직임의 경우 (예컨대, x-CoA 주소의 변경) 트래픽의 라우팅을 업데이트하는 것은 순회 시간의 절반 (1/2 RTT) 내에서 발생할 수 있고 실시간 응용을 위해 허용된 지연을 급격히 증가시키지 않는다.
본 발명의 적어도 한 개의 실시예에 따르면, MN1과 MN2 사이의 단말간 VPN 터널과 MN1과 MN2 사이의 대응 단말간 MIP 경로-최적화 터널이 생성된다. 분리된 VPN 터널과 MIP 터널에 대한 향상은 단지 경로-최적화 경로들이 가로지르는 것뿐만 아니라 MAG에서 패킷들이 해독 및 재암호화를 경험할 필요가 없다는 것이다. 또 하나의 장점은 새로운 SA들과 MIP 터널들을 생성하기 위해 메시지를 발신하는 것이 이미 설정된 보안 VPN 터널들 상으로 전송된다는 것이다.
또한, 두 개의 MN들 사이의 통신은 새로운 MIP 터널 x-MIP-RO T-3이 MAG에서 종료되지 않고 이제는 MN1과 MN2 사이에서 진행하도록 경로-최적화된다. 이 최적화는 MAG에 의해 시작되는 것이 바람직하고, 이것은 경로-최적화 단말간 보안 터널을 실행하기 위한 가능성을 아는 위치에 있으며, 이것은 MAG로부터 MN들 각각으로의 보안 터널들의 존재를 알고 있다. MAG는, MN들이 분할된 VPN 터널들을 통해 통신한다는 것을 인지하면, 최적화 과정을 개시한다. 이와 같은 최적화 과정의 일 예는 후술하는 단계들로 표현될 수 있다. 첫 째, MAG는 공유된 키들을 발생한다. 둘 째, MAG는 보안 VPN 터널들을 통해 공유된 키들을 분배하고 또한 MN들이 MN들 사이의 IPSec 협상을 시작할 것을 지시한다. 셋 째, MN들은 새로이 얻어진 키들을 사용해 IKE 과정을 개시하고 IPSec SA들을 설정한다. 넷 째, MAG는 MIP 경로-최적화 메시지를 두 개의 MN들로 전송한다. 다섯 째, 각 MN은 MIP 터널의 종점에서의 변화를 반영하도록 그것의 바인딩 업데이트 테이블을 업데이트한다.
MAG가 MN들이 MAG를 가로지르는 분할된 터널들을 통해 통신하고 있다는 것을 인식할 때, MAG는 MN들 사이의 보안 동료간 VPN 접속을 설정하는데 사용될 수 있는 공유된 키들을 발생한다. 그 후, MAG는 이들 키를 두 개의 MN들로 분배하고 또한 MN들이 MN들 사이에서 IPSec SA들을 생성할 것을 지시한다. MAG는 또한 MN들의 외부 주소들을 서로에게 전송한다. 그 후, MN들은 자신들 사이에서 IKE 과정을 개시하고, 새로운 IPSec SA들이 생성된다. MN들 사이에서 협상되는 이들 SA들은 MAG를 포함하지 않는다. 그 후, MN들 사이의 임의의 통신도 새로운 SA들에 의해 보호된다. 그 후, MAG는 각각의 MN들로 현재 보조 주소를 포함하는 경로-최적화 메시지를 발신한다. MN들은, 경로-최적화 메시지를 수신하면, 그들의 내부 바인딩 엔트리들을 업데이트한다.
MN1과 MN2 사이의 트래픽 흐름의 일 예는 후술된다. 첫 째, MN1은 i-HoA1을 사용해 전용 주소가 i-HoA2인MN2로 패킷을 전송한다. 둘 째, MN1 상의 VPN 적용은 요청되고, 패킷은 MN2와 협상된 새로운 IPSec SA에 일치하는 단계들을 경험한다. 그 후, 패킷은 x-HoA1을 소스 주소로 사용해 IP 헤더와 함께 캡슐화된다. 패킷은, x-HoA1을 x-HoA2의 소스 주소 및 종점 주소로 가지고 있는, x-MIP-RO T-3에 따라 제공된 보안 VPN 터널을 사용해 전송된다. 셋 째, MN1상의 MIP 클라이언트 응용은 x-CoA1을 소스 주소로 사용하여 또 하나의 IP 헤더와 함께 보안 패킷들을 캡슐화한다. 보안 패킷들은 x-MIP-RO T-3를 사용해 전송되는데, 이것은 x-CoA1을 소스 주소로 가진다. 종점 주소가 MAG의 그것인 MAG를 통한 MN-MN 통신의 경우와는 달리, x-MIP-RO T-3터널과 함께 사용되는 새로운 IP 헤더의 종점 주소는 x-CoA2(즉, MN2d의 보조 주소)이다. 넷 째, x-CoA2가 종점이므로, MN2는 패킷들을 수신하고 외측 MIP 헤더를 폐기한다. 다섯 째, 그 후, MN2는 적합한 IPSec SA에 일치하도록 내측 헤더와 패킷을 검사한다. 여섯 째, SA와 일치하면, IPSec 헤더는 또한 폐기되고, i-HoA1을 소스 주소로 가진 원래의 패킷과 i-HoA2의 종점은 응용에 의해 처리된다. MN들 각각은 통신하는 동료들과의 새로운 VPN 접속의 생성에 대해 통보받는다.
본 발명의 적어도 한 개의 실시예에 따르면, 통신중인 MN들 사이에 단말간 보안 터널을 설정한다는 관점에서, 후술하는 한 개 혹은 그 이상의 특징들이 실행될 수 있다. MAG를 통한 MN-MN 통신의 경우와는 달리, MAG는 SA들과 일치하도록 통신을 해독 및 재암호화할 필요가 없다. MAG 상의 부하는, 특히 MAG가 다수의 CN들 및 MN들을 위해 일하는 경우, 현저하게 감소될 수 있다. 또한, MAG에서 패킷들의 해독, 재암호화 및 재터널링으로 인해 유저에 의해 야기되는 지연은 완전히 회피될 수 있다. 더욱이, 설정되는 터널은 (바람직하게는) 삼각 라우팅을 피하는 가능한 최단 경로가 되도록 선택될 수 있다.
도4는 본 발명의 적어도 한 개의 실시예에 따른 MN1(103) 및 MN2(104)를 포함하는 구성 요소들 사이의 접속들을 도시한 다이어그램이다. 이 다이어그램은 MN1(103), CN(110), i-HA2(109), MAG(105), i-HA1(108), 및 MN2(104)를 포함하는 구성 요소들을 표시하는 수직선들을 포함한다. CN(110), i-HA2(109), MAG(105), 및 i-HA1(108)은 인트라넷(101) 내에 존재하는 것이 바람직하다. 이 다이어그램은 구성 요소들 간의 접속을 표시하는 수평선들을 포함한다.
첫 째, VPN과 x-MIP T-1(401)은 MN1(103)과 MAG(105) 사이에서 설정된다. 예컨대 인터넷 키 교환(IKE) 협상, 인터넷 프로토콜 보안(IPSec), 보안 연관(SA) 생성, 및 주소 할당, 및 x-MIP 등록 요구와 같은 VPN 터널을 설정하기 위한 통신은 MN1(103)으로부터 MAG(105)로의 통신(403)에 따라 발생한다. VPN 터널과 x-MIP 등록 응답을 설정하기 위한 다른 통신은 MAG(105)로부터 MN1(103)으로의 통신(404)에 따라 발생한다. i-MIP T-1(402)은 MAG(105)와 i-HA1(108) 사이에서 설정된다. i-MIP 등록 요구(405)는MN1(103)로부터 i-HA1(108)로 통신된다. i-MIP 등록 응답은 i-HA1(108)로부터 MN1(103)로 통신된다.
둘 째, VPN 및 x-MIP T-2(407)은 MN2(104)와 MAG(105) 사이에서 설정된다. 예컨대 인터넷 키 교환(IKE) 협상, 인터넷 프로토콜 보안(IPSec), 보안 연관(SA) 생성, 및 주소 할당, 및 x-MIP 등록 요구와 같은 VPN 터널을 설정하기 위한 통신은 MN2(104)로부터 MAG(105)로의 통신(409)에 따라 발생한다. VPN 터널과 x-MIP 등록 응답을 설정하기 위한 다른 통신은 MAG(105)로부터 MN2(104)으로의 통신(410)에 따라 발생한다. i-MIP T-2(408)은 MAG(105)와 i-HA2(109) 사이에서 설정된다. i-MIP 등록 요구(411)는MN2(104)로부터 i-HA2(109)로 통신된다. i-MIP 등록 응답은 i-HA2(109)로부터 MN2(104)로 통신된다.
셋 째, 경로 최적화는 i-MIP-RO T-s(413)이 MAG(105)와 CN(110) 사이에 존재하도록 i-MIP T-2(408)를 대체하도록 수행된다. RO 바인딩 업데이트(414)는 i-HA2(109)로부터 CN(110)으로 통신된다. RO 바인딩 확인 응답(415)은 CN(110)으로부터 i-HA2(109)로 통신된다.
넷 째, MN1(103)과 MN2(104) 사이의 통신이 요구될 때, MAG(105)는 통신에서 i-HA1(108)과 i-HA2(109)를 관여시키는 비효율성을 인식하고 MN1(103)과 MN2(104) 사이의 저감된 지연과 함께 더욱 효율적인 통신을 촉진하도록 x-MIP T-1(401)과 x-MIP T-2(407) (그리고 그들 각각의 VPN 터널들)을 브릿지한다.
다섯 째, 경로 최적화가 수행되고 단말간 VPN 터널과 경로-최적화 x-MIP-RO T-3(416)이 MN1(103)과 MN2(104) 사이에 설정된다. MAG(105)는 MN1(103)과 MN2(104)가 그들 트래픽이 MAG(105)를 통과해야 할 필요 없이 서로 통신(예컨대, MN1(103)과 MN2(104)는 공동 네트워크를 통해 상호 접근 가능하다)할 수 있었는지를 결정한다. 바람직하게는, 일 예로서, MAG(105)는 MN1(103)과 MN2(104) 사이에서 암호화 보안 링크 (예컨대, 보안 터널)의 설정을 실행하도록 암호화 키를 유도하고 암호화 키를 MN1(103)과 MN2(104) 중 적어도 하나로 분배한다. 또 하나의 예로서, 통신(417)은 MN1(103)과 MN2(104) 사이에서 발생되어 암호화 키 발생과 분배를 수행하여 MN1(103)과 MN2(104) 사이에서 VPN 터널을 설정한다. 통신(418)은 MN1(103)과 MN2(104) 사이에서 발생되어 MN1(103)과 MN2(104) 사이에서 IKE 협상 및 IPSec SA 생성을 수행하여 MN1(103)과 MN2(104) 사이에서 VPN 터널을 설정한다. X-CoA1 (MN1의 외부 보조 주소)을 통신하는 RO 바인딩 업데이트(419)는 MAG(105)로부터 MN2(104)로 통신된다. X-CoA2 (MN2의 외부 보조 주소)을 통신하는 RO 바인딩 업데이트(420)는 MAG(105)에 의해 MN1(103)으로 전송된다. 따라서, MN1(103)과 MN2(104)는 터널 x-MIP-RO T-3(416)을 사용하여 MN1과 MN2의 바로 사이에서 단말간 VPN 터널을 따라 저감된 지연으로 효과적으로 통신할 수 있다. 브릿징에 의해, 보안 게이트웨이 (예컨대, MAG(105))에서, 제1 모바일 노드 (예컨대, MN1(103))와 제2 모바일 노드 (예컨대, MN2(104)) 사이의 통신은 제1 내부 통신 터널 (예컨대, i-MIP T-1(402))과 제2 내부 통신 터널 (예컨대, i-MIP T-2(408))이 제1 모바일 노드와 제2 모바일 노드 사이의 통신을 전달할 필요가 없도록 이루어진다.
도11은 본 발명의 적어도 한 개의 실시예에 따른 제1 MN과 제2 MN 사이의 통신을 포함하는 방법을 도시한 흐름도이다. 단계 1101에서, 제1 내부 통신 터널은 보안 게이트웨이를 통해 제1 모바일 노드와 제1 내부 홈 에이전트 사이에서 설정된다. 단계 1102에서, 제2 내부 통신 터널은 보안 게이트웨이를 통해 제2 모바일 노드와 제2 내부 홈 에이전트 사이에서 설정된다.
단계 1103에서, 제1 내부 통신 터널은 제1 모바일 노드와 상대 노드 사이에서 제1 경로-최적화 내부 통신 터널을 형성하도록 변경된다. 단계 1103은 단계들 1104 및 1105를 포함할 수 있다. 단계 1104에서, 제1 내부 경로-최적화 바인딩 업데이트는 제1 내부 홈 에이전트로부터 상대 노드로 통신된다. 단계 1105, 제1 내부 경로-최적화 바인딩 확인 응답은 상대 노드로부터 제1 내부 홈 에이전트로 통신된다.
단계 1106에서, 제1 내부 통신 터널 및 제2 내부 통신 터널은 보안 게이트웨이에서 브릿지되어 제1 모바일 노드와 제2 모바일 노드 사이의 저지연성 보안 통신을 제공한다. 단계 1106은 단계 1107을 포함할 수 있으며, 여기서 단말간 보안 터널은 제1 모바일 노드와 제2 모바일 노드 사이에서 설정된다. 단계 1107은 단계들 1108, 1109 및 1110을 포함할 수 있다. 단계 1108에서, 암호화 키 정보는 제1 모바일 노드와 제2 모바일 노드 사이에서 통신된다. 단계 1109에서, 보안 연관은 단말간 보안 터널을 위해 생성된다. 단계 1110에서, 경로-최적화 바인딩 업데이트는 보안 게이트웨이로부터 제1 모바일 노드 및 제2 모바일 노드로 통신된다.
실시간 용용을 위해, 삼각 라우팅 및 그 효과, 예컨대 MAG에서의 해독, 재암호화 및 재터널링은 본 발명의 적어도 한 개의 실시예를 따라 회피될 수 있다. 이 지연들을 회피하는 이익은 세션 연속성이 이기종 라디오 접근이나 높은 모바일 환경 사이에서 요구될 때 더욱 증대될 수 있는데, 이는 이 세션 연속성 요건이 이 지연들로부터 야기되는 통신 손실을 악화시킬 수 있기 때문이다.
도12는 본 발명의 적어도 한 개의 실시예에 따라 통신되는 정보를 도시한 블록도이다. 인트라넷(1201)은 MAG(1202), i-HA(1203), 및 CN(1204)을 포함한다. 제1 MN(1205) 및 제2 MN(1206)은 MAG(1202)에 동작 가능하게 접속되어 있다. MN1은 메시지(1219)를 MAG(1202)로 통신한다. 메시지(1219)는 데이터(1207)를 포함한다. 헤더(1208)는 데이터(1207)에 더해졌다. 헤더(1208)는 메시지(1219)가 i-MN1의 소스와 i-MN2의 종점을 가진다고 표시한다. 헤더(1209)는 데이터(1207)와 헤더(1208)에 더해졌다. 헤더(1209)는 메시지(1219)가 x-HoA1의 소스와 i-MAG의 종점을 가진다고 표시한다. 헤더(1210)는 데이터(1207)와 헤더들(1208, 1209)에 더해졌다. 헤더(1210)는 메시지(1219)가 CoA의 소스와 MAG의 종점을 가진다고 표시한다. 가장 외측 헤더로서, 헤더(1210)는 MAG의 종점을 표시하고, 메시지(1219)는 자신의 주소인 MAG(1202)로 전송되고, 이에 따라, MAG(1202)는 다음 헤더를 처리한다. MAG(1202)는 헤더(1210)를 제거하고 헤더(1209)가 자신의 주소인 i-MAG의 종점을 표시하는지를 결정하고, 이에 따라, MAG(1202)는 다음 헤더를 처리한다. MAG(1202)는 메시지(1220)를 얻도록 헤더(1209)를 제거하고 헤더(1208)가 i-MN2의 종점을 표시하는지를 결정한다. MAG(1202)는 테이블을 참조하고 MAG의 소스와 x-CoA2의 종점을 표시하는 헤더(1214)를 메시지(1220)에 더한다. MAG(1202)는 MAG의 소스와x-CoA2의 종점을 표시하는 헤더(1213)를 더하고, 이에 의해, 메시지(1221)를 생성한다. 패킷의 종점이 MN2(1206)의 보조 주소인 x-CoA2이므로, MN2(1206)는 패킷을 수신하고 그 후 헤더(1213)는 MN2에 의해 메시지(1221)로부터 제거된다. 헤더(1214)는 (MN2가 이전에 설정되었던 SA에 따라 메시지의 무결성 및/또는 진실성을 증명한 후) 또한 MN2에 의해 메시지(1221)로부터 제거되어, 데이터(1207) 및 헤더(1208)를 포함하는 메시지(1222)를 생성하는데, 이것은 i-MN1의 소스와 i-MN2의 종점을 표시한다. 따라서, 데이터(1207)는MN2(1206)에서의 용용으로 통신된다.
따라서, 모바일 노드들 사이에 저지연성 보안 세션 연속성을 제공하는 방법 및 장치가 기술된다. 본 발명의 다른 수정과 변형이 다양한 관점에서 해당 기술 분야의 통상의 기술자에게 명백할 것이며, 본 발명은 기술된 특정한 실시예들에 한정되지 않음이 이해되어야 할 것이다. 따라서, 여기서 개시되고 청구된 기본적인 주요 원리들의 정신 및 범위 내에 속하는 임의의 모든 수정, 변경 혹은 균등은 본 발명에 포함되는 것으로 간주된다.

Claims (20)

  1. 보안 게이트웨이를 통해 제1 모바일 노드와 제1 내부 홈 에이전트 사이에 제1 내부 통신 터널을 설정하는 단계와,
    상기 보안 게이트웨이를 통해 제2 모바일 노드와 제2 내부 홈 에이전트 사이에 제2 내부 통신 터널을 설정하는 단계와,
    상기 보안 게이트웨이에서, 상기 제1 내부 통신 터널과 상기 제2 내부 통신 터널이 상기 제1 모바일 노드와 상기 제2 모바일 노드 사이에서 통신을 전달할 필요가 없도록 상기 제1 모바일 노드와 상기 제2 모바일 노드 사이에서 통신을 브릿지하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 제1 모바일 노드로부터의 데이터의 종점이 상기 보안 게이크웨이에 의해 설정된 경계를 가진 인트라넷 외부의 제2 모바일 노드인지 여부를 결정하도록 바인딩 테이블의 바인딩 테이블 엔트리를 검사하는 단계를 더 포함하는 방법.
  3. 제2항에 있어서, 상기 바인딩 테이블 엔트리를 검사하는 단계는,
    상기 바인딩 테이블 내에서, 상기 제2 모바일 노드에 대한 외부 보조 주소 필드(external care-of address field)의 컨텐트를 결정하도록 검사하는 단계를 더 포함하는 방법.
  4. 제3항에 있어서, 상기 바인딩 테이블 내에서, 상기 제2 모바일 노드에 대한 외부 보조 주소 필드의 컨텐트를 결정하도록 검사하는 단계는,
    상기 제2 모바일 노드에 대한 상기 외부 보조 주소 필드가 비어 있지 않을 때, 상기 제2모바일 노드가 상기 인트라넷 외부에 있다고 결정하는 단계를 더 포함하는, 방법.
  5. 제2항에 있어서,
    상기 데이터에 헤더들을 더하는 단계로서, 상기 헤더들은 라우팅 헤더들과 가상 전용 네트워크(VPN) 헤더들을 포함하고, 상기 VPN 헤더들은 상기 바인딩 테이블 내에 저장된 보안 연관 식별자들(SAiDs)로부터 유도되는, 상기 더하는 단계를 더 포함하는 방법.
  6. 제1항에 있어서,
    상기 제1 모바일 노드 및 상기 제2 모바일 노드로부터 선택된 모바일 노드로 통신되는 데이터에 헤더들을 더하는 단계로서, 상기 헤더들은 라우팅 헤더들과 가상 전용 네트워크(VPN) 헤더들을 포함하고, 상기 VPN 헤더들은 상기 바인딩 테이블 내에 저장된 보안 연관 식별자들(SAiDs)로부터 유도되는, 상기 더하는 단계를 더 포함하는 방법.
  7. 제6항에 있어서,
    상기 바인딩 테이블 내에 상기 모바일 노드에 대한 주소 정보를 저장하는 단계를 더 포함하는 방법.
  8. 제7항에 있어서, 상기 바인딩 테이블 내에 상기 모바일 노드에 대한 주소 정보를 저장하는 단계는,
    상기 모바일 노드의 외부 홈 주소, 상기 모바일 노드의 내부 홈 주소, 및 상기 모바일 노드의 외부 보조 주소를 상기 바인딩 데이터 내에 저장하는 단계를 더 포함하는 방법.
  9. 제8항에 있어서,
    바인딩 테이블 내에 저장된 상기 SAiDs는 상기 모바일 노드로부터 상기 보안 게이트웨이로 적용 가능한 제1 SAiDs와 상기 보안 게이트웨이로부터 상기 모바일 노드로 적용 가능한 제2 SAiDs를 포함하는 방법.
  10. 제1항에 있어서, 상기 보안 게이트웨이를 통해 상기 제1 모바일 노드와 상기 제1 내부 홈 에이전트 사이에 상기 제1 내부 통신 터널을 설정하는 단계는,
    제1 내부 홈 에이전트와 함께 상기 제1 모바일 노드의 모바일 인터넷 프로토콜(MIP) 등록을 수행하는 단계를 더 포함하는 방법.
  11. 제10항에 있어서, 상기 제1 모바일 노드와 상기 제1 내부 홈 에이전트의 MIP 등록을 수행하는 단계는,
    상기 보안 게이트웨이의 전용 주소를 상기 제1 모바일 노드의 제1 내부 보조 주소로서 사용하는 단계를 더 포함하는 방법.
  12. 제11항에 있어서,
    상기 제1 모바일 노드와 제1 외부 홈 에이전트 사이에 제1 외부 통신 터널을 설정하는 단계를 더 포함하는 방법.
  13. 제12항에 있어서, 상기 제1 외부 통신 터널을 설정하는 단계는,
    상기 보안 게이트웨이와 상기 제1 모바일 노드의 제1 외부 보조 주소 사이에 상기 제1 외부 통신 터널을 설정하는 단계를 더 포함하는 방법.
  14. 제12항에 있어서, 상기 제1 외부 터널을 설정하는 단계는,
    제1 외부 홈 에이전트와 함께 MIP 등록을 수행하는 단계를 더 포함하는 방법.
  15. 제12항에 있어서,
    상기 제1 모바일 노드와 상기 보안 게이트웨이 사이에 제1 외부 보안 터널을 설정하는 단계를 더 포함하는 방법.
  16. 제15항에 있어서, 상기 제1 외부 보안 터널을 설정하는 단계는,
    상기 보안 게이트웨이와 상기 제1 모바일 노드의 제1 외부 홈 주소 사이에 제1 가상 전용 네트워크(VPN)을 설정하는 단계를 더 포함하는 방법.
  17. 제1 모바일 노드와,
    제1 내부 통신 터널을 통해 상기 제1 모바일 노드에 결합되는 제1 홈 에이전트와,
    제2 모바일 노드와,
    제2 내부 통신 터널을 통해 상기 제2 모바일 노드에 결합되는 제2 홈 에이전트와,
    상기 제1 내부 통신 터널 및 상기 제2 내부 통신 터널에 결합되는 보안 게이트웨이로서, 상기 제1 내부 통신 터널 및 상기 제2 내부 통신 터널이 상기 제1 모바일 노드와 상기 제2 모바일 노드 사이의 통신을 전달할 필요가 없도록 상기 제1 모바일 노드와 상기 제2 모바일 노드 사이의 통신을 브릿지하는 상기 보안 게이트웨이를 포함하는 장치.
  18. 제17항에 있어서,
    상기 보안 게이트웨이는 상기 제1 모바일 노드 및 상기 제2 모바일 노드에 대한 주소 정보를 포함하는 바인딩 테이블 엔트리들을 포함하는 바인딩 테이블을 유지하는 장치.
  19. 제18항에 있어서,
    상기 주소 정보는 상기 제1 모바일 노드에 대한 제1 외부 홈 주소와 상기 제1 모바일 노드에 대한 제1 내부 홈 주소를 포함하는 장치.
  20. 제19항에 있어서,
    상기 제1 모바일 노드는 상기 보안 게이트웨이에 의해 접경되는 인트라넷의 외부에 있고, 상기 주소 정보는 상기 제1 모바일 노드에 대한 제1 외부 보조 주소를 더 포함하는 장치.
KR1020077017105A 2005-01-07 2006-01-06 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치 KR101165825B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US64225505P 2005-01-07 2005-01-07
US60/642,255 2005-01-07
US64269005P 2005-01-10 2005-01-10
US60/642,690 2005-01-10
PCT/IB2006/000375 WO2006072890A1 (en) 2005-01-07 2006-01-06 Method and apparatus for providing low-latency secure session continuity between mobile nodes

Publications (2)

Publication Number Publication Date
KR20070097547A true KR20070097547A (ko) 2007-10-04
KR101165825B1 KR101165825B1 (ko) 2012-07-17

Family

ID=36221517

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077017105A KR101165825B1 (ko) 2005-01-07 2006-01-06 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치

Country Status (5)

Country Link
US (2) US20060268901A1 (ko)
EP (2) EP1839424A1 (ko)
JP (1) JP2008527826A (ko)
KR (1) KR101165825B1 (ko)
WO (2) WO2006072890A1 (ko)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2423448B (en) * 2005-02-18 2007-01-10 Ericsson Telefon Ab L M Host identity protocol method and apparatus
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
US8296437B2 (en) * 2005-12-29 2012-10-23 Logmein, Inc. Server-mediated setup and maintenance of peer-to-peer client computer communications
US7962652B2 (en) * 2006-02-14 2011-06-14 International Business Machines Corporation Detecting network topology when negotiating IPsec security associations that involve network address translation
CN101467138B (zh) * 2006-04-17 2012-01-11 思达伦特网络有限责任公司 用于通信本地化的系统和方法
US8843657B2 (en) * 2006-04-21 2014-09-23 Cisco Technology, Inc. Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site
EP1912400A1 (en) * 2006-10-10 2008-04-16 Matsushita Electric Industrial Co., Ltd. Method and apparatus for mobile IP route optimization
US8171120B1 (en) * 2006-11-22 2012-05-01 Rockstar Bidco Lp Mobile IPv6 route optimization authorization
US7835723B2 (en) * 2007-02-04 2010-11-16 Bank Of America Corporation Mobile banking
CN101247314B (zh) * 2007-02-15 2013-11-06 华为技术有限公司 路由优化方法、代理移动媒体pma及报文传送系统
EP2191386A4 (en) * 2007-08-24 2014-01-22 Cisco Tech Inc PROVIDING VIRTUAL SERVICES WITH A BUSINESS ACCESS GATEWAY
KR100937874B1 (ko) * 2007-12-17 2010-01-21 한국전자통신연구원 센서 네트워크에서의 라우팅 방법
US8942112B2 (en) * 2008-02-15 2015-01-27 Cisco Technology, Inc. System and method for providing selective mobility invocation in a network environment
EP2091204A1 (en) 2008-02-18 2009-08-19 Panasonic Corporation Home agent discovery upon changing the mobility management scheme
US8327017B1 (en) * 2008-03-12 2012-12-04 United Services Automobile Association (Usaa) Systems and methods for an autonomous intranet
WO2010057120A2 (en) * 2008-11-17 2010-05-20 Qualcomm Incorporated Remote access to local network
WO2010108009A1 (en) 2009-03-18 2010-09-23 Cisco Technology, Inc. Localized forwarding
US8743696B2 (en) 2009-08-07 2014-06-03 Cisco Technology, Inc. Mobile transport solution for offloading to an alternate network
US8693367B2 (en) * 2009-09-26 2014-04-08 Cisco Technology, Inc. Providing offloads in a communication network
US9009293B2 (en) 2009-11-18 2015-04-14 Cisco Technology, Inc. System and method for reporting packet characteristics in a network environment
US9015318B1 (en) 2009-11-18 2015-04-21 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
US9148380B2 (en) 2009-11-23 2015-09-29 Cisco Technology, Inc. System and method for providing a sequence numbering mechanism in a network environment
US8792495B1 (en) 2009-12-19 2014-07-29 Cisco Technology, Inc. System and method for managing out of order packets in a network environment
US20110219105A1 (en) * 2010-03-04 2011-09-08 Panasonic Corporation System and method for application session continuity
US9215588B2 (en) 2010-04-30 2015-12-15 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment
US20130104207A1 (en) * 2010-06-01 2013-04-25 Nokia Siemens Networks Oy Method of Connecting a Mobile Station to a Communcations Network
US8787303B2 (en) 2010-10-05 2014-07-22 Cisco Technology, Inc. Methods and apparatus for data traffic offloading at a router
US8526448B2 (en) 2010-10-19 2013-09-03 Cisco Technology, Inc. Call localization and processing offloading
US9003057B2 (en) 2011-01-04 2015-04-07 Cisco Technology, Inc. System and method for exchanging information in a mobile wireless network environment
US9432258B2 (en) 2011-06-06 2016-08-30 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks to reduce latency
US8792353B1 (en) 2011-06-14 2014-07-29 Cisco Technology, Inc. Preserving sequencing during selective packet acceleration in a network environment
US8737221B1 (en) 2011-06-14 2014-05-27 Cisco Technology, Inc. Accelerated processing of aggregate data flows in a network environment
US8948013B1 (en) 2011-06-14 2015-02-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US8743690B1 (en) 2011-06-14 2014-06-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US9386035B2 (en) 2011-06-21 2016-07-05 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks for security
US9027116B2 (en) * 2011-07-08 2015-05-05 Virnetx, Inc. Dynamic VPN address allocation
US10044678B2 (en) 2011-08-31 2018-08-07 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks with virtual private networks
US10123368B2 (en) 2012-02-23 2018-11-06 Cisco Technology, Inc. Systems and methods for supporting multiple access point names for trusted wireless local area network
CN103220203B (zh) * 2013-04-11 2015-12-02 汉柏科技有限公司 一种实现网络设备间多IPsec隧道建立的方法
US20150287295A1 (en) 2014-04-02 2015-10-08 Tyco Fire & Security Gmbh Smart Emergency Exit Signs
US9792129B2 (en) * 2014-02-28 2017-10-17 Tyco Fire & Security Gmbh Network range extender with multi-RF radio support for plurality of network interfaces
US9985799B2 (en) * 2014-09-05 2018-05-29 Alcatel-Lucent Usa Inc. Collaborative software-defined networking (SDN) based virtual private network (VPN)
US10142293B2 (en) * 2015-12-15 2018-11-27 International Business Machines Corporation Dynamically defined virtual private network tunnels in hybrid cloud environments
US9571457B1 (en) * 2015-12-15 2017-02-14 International Business Machines Corporation Dynamically defined virtual private network tunnels in hybrid cloud environments

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6350417B1 (en) * 1998-11-05 2002-02-26 Sharper Image Corporation Electrode self-cleaning mechanism for electro-kinetic air transporter-conditioner devices
US6973057B1 (en) * 1999-01-29 2005-12-06 Telefonaktiebolaget L M Ericsson (Publ) Public mobile data communications network
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
US20020055971A1 (en) * 1999-11-01 2002-05-09 Interdigital Technology Corporation Method and system for a low-overhead mobility management protocol in the internet protocol layer
US6915325B1 (en) * 2000-03-13 2005-07-05 Nortel Networks Ltd Method and program code for communicating with a mobile node through tunnels
US7275262B1 (en) * 2000-05-25 2007-09-25 Bull S.A. Method and system architecture for secure communication between two entities connected to an internet network comprising a wireless transmission segment
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
JP2002223236A (ja) * 2001-01-24 2002-08-09 Matsushita Electric Ind Co Ltd 通信システムにおけるゲートウェイ装置及び通信システムにおけるルート最適化方法
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US7380124B1 (en) * 2002-03-28 2008-05-27 Nortel Networks Limited Security transmission protocol for a mobility IP network
US7587498B2 (en) * 2002-05-06 2009-09-08 Cisco Technology, Inc. Methods and apparatus for mobile IP dynamic home agent allocation
EP1381202B1 (en) * 2002-07-11 2006-03-22 Birdstep Technology ASA Apparatuses and computer software for providing seamless IP mobility across security boundaries
US20060182083A1 (en) * 2002-10-17 2006-08-17 Junya Nakata Secured virtual private network with mobile nodes
US7804826B1 (en) * 2002-11-15 2010-09-28 Nortel Networks Limited Mobile IP over VPN communication protocol
US7428226B2 (en) * 2002-12-18 2008-09-23 Intel Corporation Method, apparatus and system for a secure mobile IP-based roaming solution
US20040120329A1 (en) 2002-12-18 2004-06-24 Wen-Tzu Chung SNMP management with a layer 2 bridge device
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
GB0308980D0 (en) * 2003-04-17 2003-05-28 Orange Personal Comm Serv Ltd Telecommunications
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
US7486951B2 (en) * 2004-09-24 2009-02-03 Zyxel Communications Corporation Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same

Also Published As

Publication number Publication date
EP1839425A1 (en) 2007-10-03
EP1839424A1 (en) 2007-10-03
WO2006072891A1 (en) 2006-07-13
KR101165825B1 (ko) 2012-07-17
US20060268901A1 (en) 2006-11-30
US20060245362A1 (en) 2006-11-02
JP2008527826A (ja) 2008-07-24
WO2006072890A1 (en) 2006-07-13

Similar Documents

Publication Publication Date Title
KR101165825B1 (ko) 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
EP2398263B1 (en) Secure and seamless WAN-LAN roaming
US8437345B2 (en) Terminal and communication system
US7516486B2 (en) Communication between a private network and a roaming mobile terminal
EP1461925B1 (en) Method and network for ensuring secure forwarding of messages
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
US20040037260A1 (en) Virtual private network system
JP5087012B2 (ja) ロケーションプライバシをサポートする経路最適化
JP2003051818A (ja) モバイルipネットワークにおけるipセキュリティ実行方法
WO2002089395A1 (en) Ip security and mobile networking
KR20080026166A (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
EP1466458B1 (en) Method and system for ensuring secure forwarding of messages
JP2010518718A (ja) 経路最適化処理によるデータ・パケットのネットワーク制御オーバーヘッド削減
JP2010515315A (ja) モバイルipプロキシ
TWI502946B (zh) 具身份式加密(ibe)之有效移動網路(nemo)安全性技術
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
CN101091371A (zh) 提供移动节点之间路由优化安全会话连续性的方法和装置
Li et al. Mobile IPv6: protocols and implementation
Choyi et al. Low-latency secure mobile communications
Gayathri et al. Mobile Multilayer IPsec Protocol
FI113597B (fi) Menetelmä viestien lähettämiseksi usean yhteyden läpi
Mun et al. Security in Mobile IP
JP2008072688A (ja) Mipおよびsip統合システムおよびmipおよびsip統合方法、並びに、パケット伝送システムおよびパケット伝送方法
Wang et al. IPSec-based key management in mobile IP networks

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150626

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160705

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee