KR20150034147A - IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 - Google Patents
IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 Download PDFInfo
- Publication number
- KR20150034147A KR20150034147A KR20150023055A KR20150023055A KR20150034147A KR 20150034147 A KR20150034147 A KR 20150034147A KR 20150023055 A KR20150023055 A KR 20150023055A KR 20150023055 A KR20150023055 A KR 20150023055A KR 20150034147 A KR20150034147 A KR 20150034147A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- ipsec
- terminal
- network
- access
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100)은 단말(110)과 IPSec 보안 터널링을 형성하고, 단말(110)이 서버에 접속하도록 제어하는 IPSec 게이트웨이(150), LTE, HSDPA, 모바일 WiMAX 및 WiFi 통신 방식을 사용하는 접속 네트워크 장치 중 적어도 어느 하나를 포함하며, 단말(110)과 IPSec 게이트웨이(150)를 연결하는 접속 네트워크 장치 및 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 IPSec 게이트웨이(150)에 전송하는 단말(110)을 포함한다.
Description
이하 설명하는 기술은 단말이 IPSec 보안 터널링을 통해 게이트웨이에 추가 서비스 정보를 제공하는 네트워크 시스템 내지 추가 서비스 정보 전송 방법에 관한 것이다.
현재 3세대 이동통신 시스템(3G HSDPA), 4세대 이동통신 시스템(LTE 및 LTE-Advanced), 와이파이(WiFi) 시스템, 모바일 와이맥스(WiMAX) 등의 다양한 무선망 접속 기술이 공존하고 있는 환경에서 무선인터넷 사용자는 사용자 선호도 및 주변 무선 환경에 따라 특정한 무선망을 통해 데이터 서비스를 받고 있다.
다양한 이종망 사이에 단말이 이동하는 경우 단말에 끊김 없는 서비스 제공을 위한 기술 및 보안성을 강화하기 위한 기술이 주로 연구되고 있다.
보안성을 제공하는 방식 중에 IPSec 프로토콜을 사용하는 방식이 있다. 네트워크 시스템에서 단말은 IPSec의 IKE 프로토콜을 이용하여 새로운 네트워크 장치에 접속하거나, MOBIKE 프로토콜을 이용하여 이종망 사이를 이동할 수 있다. IPSec 프로토콜을 제안한 표준에서는 새로운 네트워크에 접속하거나, 네트워크를 이동하는 경우에 대한 접속 절차를 정의하고 있다.
종래 기술은 IPSec을 이용하여 서로 다른 이종망 사이에 보안성을 제공하거나, 이동성을 제공하는데 초점이 있다. IPSec 관련 프로토콜을 살펴보면, 기존 IKE 및 MOBIKE 프로토콜은 네트워크 이동시 접속 네트워크 정보, 접속사업자 정보 및 접속 위치 정보를 전송하는 기능이 존재하지 않는다. 따라서, 종래기술은 접속 네트워크 정보, 접속사업자 정보 및 접속 위치 정보를 이용하여 구현할 수 있는 서비스 품질 고도화 및 위치 기반 부가서비스 기능을 제공할 수 없었다.
이하 설명하는 기술은 단말과 게이트웨이 사이에 IPSec 보안 터널링을 형성하는 네트워크 시스템에서 단말이 새로운 접속 네트워크 장치에 접속하거나 다른 접속 네트워크 장치로 접속 경로를 변경하는 경우 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보를 게이트웨이에 전송하고자 한다.
이하 설명하는 기술의 해결과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템은 단말과 IPSec 보안 터널링을 형성하고, 단말이 서버에 접속하도록 제어하는 IPSec 게이트웨이, LTE, HSDPA, 모바일 WiMAX 및 WiFi 통신 방식을 사용하는 네트워크 장치 중 적어도 어느 하나를 포함하며, 단말과 IPSec 게이트웨이를 연결하는 접속 네트워크 장치 및 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 IPSec 게이트웨이에 전송하는 단말을 포함한다.
본 발명의 다른 측면에서 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법은 단말이 IPSec의 IKE 프로토콜을 이용하여 새로운 접속 네트워크 장치에 접속하거나, MOBIKE 프로토콜을 이용하여 다른 접속 네트워크 장치로 이동하는 단계, 단말이 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 접속 네트워크 장치를 경유하여 IPSec 게이트웨이에 전송하는 단계 및 IPSec 게이트웨이가 서비스 정보를 이용하여 부가 서비스를 수행하는 단계를 포함한다.
이하 설명하는 기술은 단말이 IKE 프로토콜을 이용한 네트워크 접속 또는 MOBIKE 프로토콜을 이용한 네트워크 이동하는 경우, 단말이 IPSec 게이트웨이에 접속 네트워크 정보, 접속 사업자 정보, 접속 위치 정보를 전달하여, 차별화된 QoS 제공, 망 위치에 따른 보안성 강화 또는 위치 기반 부가 서비스 제공 등의 기능을 제공한다.
이하 설명하는 기술의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1(a)는 종래의 IKE 프로토콜을 이용한 네트워크 접속 절차의 예이고, 도 1(b)는 종래의 MOBIKE 프로토콜을 이용한 네트워크 이동 절차의 예이다.
도 2는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템에 대한 구성을 개략적으로 도시한 블록도의 예이다.
도 3은 추가 서비스 정보를 전달하기 위한 페이로드의 예를 도시한다.
도 4(a)는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템에서의 단말의 구성을 도시한 블록도의 예이고, 도 4(b)는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템에서의 IPSec 게이트웨이의 구성을 도시한 블록도의 예이다.
도 5(a)는 IKE 프로토콜을 이용한 네트워크 접속 절차의 다른 예이고, 도 5(b)는 MOBIKE 프로토콜을 이용한 네트워크 이동 절차의 다른 예이다.
도 6는 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법에 대한 순서도의 예이다.
도 2는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템에 대한 구성을 개략적으로 도시한 블록도의 예이다.
도 3은 추가 서비스 정보를 전달하기 위한 페이로드의 예를 도시한다.
도 4(a)는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템에서의 단말의 구성을 도시한 블록도의 예이고, 도 4(b)는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템에서의 IPSec 게이트웨이의 구성을 도시한 블록도의 예이다.
도 5(a)는 IKE 프로토콜을 이용한 네트워크 접속 절차의 다른 예이고, 도 5(b)는 MOBIKE 프로토콜을 이용한 네트워크 이동 절차의 다른 예이다.
도 6는 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법에 대한 순서도의 예이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.
도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다. 따라서, 본 명세서를 통해 설명되는 각 구성부들의 존재 여부는 기능적으로 해석되어야 할 것이며, 이러한 이유로 본 발명의 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100)에 따른 구성부들의 구성은 본 발명의 목적을 달성할 수 있는 한도 내에서 도 2 등과는 상이해질 수 있음을 명확히 밝혀둔다.
또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
먼저 종래의 IKE 프로토콜을 이용한 네트워크 접속 절차 및 종래의 MOBIKE 프로토콜을 이용한 네트워크 이동 절차에 대해 설명하고자 한다. 도 1(a)는 종래의 IKE 프로토콜을 이용한 네트워크 접속 절차의 예이고, 도 1(b)는 종래의 MOBIKE 프로토콜을 이용한 네트워크 이동 절차의 예이다.
IKE(Internet Key Exchange) 프로토콜은 IPSec 프로토콜을 위한 SA를 생성, 수정 및 삭제하기 위한 절차 및 패킷 구조를 정의하고 있다. SA(Security Association)는 메시지를 보호하기 위한 일련의 정책과 키의 집합이다. IKE는 IPSec SA를 생성하기 위해서 먼저 메인 모드(Main mode) 또는 어그레시브 모드(Aggressive mode)로 메시지를 교환하여 ISAKMP SA가 설정되는 1 단계 키교환 과정 및 실제 IPSec 프로토콜이 사용할 SA를 정의하는 2단계 키교환 과정을 정의한다.
네트워크는 단말이 특정 서버 등과 데이터 송수신하기 위하여 경유하는 접속 장치를 의미한다. 따라서 네트워크는 통신사업자가 제공하는 3G 또는 4G 등의 이동통신 네트워크, AP를 통해 연결되는 WiFi 네트워크, Wibro 네트워크, 모바일 WiMAX 네트워크 등 다양한 통신 방식을 포함한다.
도 1은 단말(UE, 110)과 IPSec 게이트웨이(IPSec G/W, 150) 사이에 접속 절차를 도시한다. 실제 인증방식의 차이에 따라 다양한 방식이 가능하지만, 도 1에서는 간략하게 단말(110)이 접속하는 절차를 도시하였다.
도 1(a)를 살펴보면, 단말(110)이 IPSec 게이트웨이(150)에 접속을 위한 최초 메시지(IKE-INIT)를 전송하고(201), IPSec 게이트웨이(150)는 이에 대한 응답 메시지(IKE-INIT)를 단말(110)에 전송한다(202). HDR은 IKE 헤더이고, 나머지는 페이로드(payload)이다. SA는 Security Association이고, KE는 Key Exchange이고, Ni은 Nonce이다. 또한 첨자 i는 Initiator를 의미하고, 첨자 r은 Responder를 의미한다.
이후 인증을 위하여 단말(110)은 IKE-AUTH 메시지를 전송하고(203), IPSec 게이트웨이(150)는 이에 대한 응답 메시지(IKE-AUTH)를 단말(110)에 전송한다(204). 여기서, SK는 암호화되고 인증된 메시지(Encrypted and Authenticated)라는 의미이고, Idi는 단말(110)(Initiator)의 ID이고, Idr은 IPSec 게이트웨이(150)(Responder)의 ID이고, CERT는 Certificate이고, AUTH는 Authentication이고, CP는 Configuration이고, TSi는 단말(110)의 Traffic selector이고, TSr은 IPSec 게이트웨이(150)의 Traffic selector이다.
도 1(b)는 접속 네트워크를 이동하는 경우이다. 도 1(b)를 살펴보면, 단말(110)은 IPSec 게이트웨이(150)에 네트워크 이동에 관한 최초 메시지(IKE-INFORM)를 전송하고(301), IPSec 게이트웨이(150)는 이에 대한 응답 메시지(IKE-INFORM)을 전송한다(302). 여기서 N은 통지(notify)라는 의미이고, 괄호안에 있는 변경된 SA의 주소(UPDATE_SA_ADDRESS), NAT에서 인식하는 소스 IP(NAT_DETECTION_SOURCE_IP) 및 NAT가 인식하는 목적 IP(NAT_DETECTION_DESTINATION_IP)를 통지한다는 의미이다.
이후 IPSec 게이트웨이(150)는 추가적인 메시지(IKE-INFORM)을 통해 쿠키(COOKIE2)를 단말(110)에 전송하고(303), 단말(110)은 이에 대한 응답 메지시를 전송한다(304).
도 1에 도시된 바와 같이, 종래에는 단말의 사용자(네트워크 서비스에 대한 가입자)가 새로운 네트워크에 접속하거나, 이종 네트워크 사이를 이동하는 경우 접속 네트워크의 종류, 접속 네트워크의 사업자 정보 및 접속 위치 정보를 IPSec 프로토콜을 통해 전송하지 못한다. 표준에서 이를 정의하고 있지 않기 때문이다.
이하에서는 도면을 참조하면서 본 발명에 따른 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100) 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법에 관하여 구체적으로 설명하겠다.
여기서 추가 서비스 정보란 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보 중 적어도 어느 하나인 정보를 의미한다. 결국 도 1에서 종래의 IKE 프로토콜 및 MOBIKE 프로토콜이 IPSec 게이트웨이(150)에 전송하지 못했던 정보를 전송하기 위한 것이다. 이 추가 서비스 정보를 통해 IPSec 게이트웨이(150)는 부가적인 서비스를 수행할 수 있다.
도 2는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100)에 대한 구성을 개략적으로 도시한 블록도의 예이다. 본 발명은 단말(110)과 IPSec 게이트웨이(150) 사이에 IPSec 보안 터널링을 사용하여 데이터를 송수신하는 경우에 적용된다.
IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100)은 단말(110)과 IPSec 보안 터널링을 형성하고, 단말(110)이 서버에 접속하도록 제어하는 IPSec 게이트웨이(150), LTE, HSDPA, 모바일 WiMAX 및 WiFi 통신 방식을 사용하는 접속 네트워크 장치 중 적어도 어느 하나를 포함하며, 단말(110)과 IPSec 게이트웨이(150)를 연결하는 접속 네트워크 장치 및 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 IPSec 게이트웨이(150)에 전송하는 단말(110)을 포함한다.
접속 네트워크 장치는 2G, LTE(4G), HSDPA(3G), 모바일 WiMAX 또는 WiFi 통신 방식을 따르는 개별 장치를 의미하고, 접속 네트워크 장치는 이들 개별 네트워크 장치를 하나 이상 포함하여 단말(110)과 IPSec 게이트웨이(150)를 연결하는 장치를 포괄적으로 명명한 것이다.
단말(110)은 일반적인 모바일 단말, 스마트폰, 태블릿 PC, 노트북, 퍼스널 컴퓨터 등을 포함한다.
도 2의 상단에 도시된 제1 네트워크 장치(120)는 이동통신사업자가 제공하는 2G, 3G, LTE, LTE-Advanced 등을 이용하는 네트워크를 의미한다. 도 1에서는 대표적으로 4G인 경우를 도시하였다. 4G 이동통신 네트워크는 일반적으로 이동통신 AP(기지국, 121) 및 패킷 데이터 네트워크 게이트웨이(PGW, 122)를 포함한다. PGW(122)는 IPSec 게이트웨이(150)와 연결되는 게이트웨이이다. 도시하지 않았지만, 3G 경우 GGSN(Gateway GPRS Support Node)이 IPSec 게이트웨이(150)와 연결되는 노드이다.
도 2의 중간에 도시된 제2 네트워크 장치(130)는 WiMAX AP(131), ASN 게이트웨이(미도시), HA(Home Agent, 132) 등을 포함하는 모바일 WiMAX 네트워크이다. HA(132)가 IPSec 게이트웨이(150)와 연결되는 노드이다.
도 2의 하단에 도시된 제3 네트워크 장치(140)는 AP(141)를 포함하는 WiFi 네트워크를 의미한다.
본 발명은 단말(110)이 상기 접속 네트워크 장치에 새롭게 접속하거나, 접속 네트워크 장치의 종류를 변경하여 이동하는 경우, 단말(110)이 IPSec 게이트웨이(150)로 추가 서비스 정보를 전송하기 위한 시스템 내지 방법을 제안한다.
도 2에서는 IPSec 게이트웨이(150)가 데이터 서비스를 제공하는 특정 서비스 서버(160)과 연결되는 예를 도시하였다. 정책 서버(170)는 단말(110)의 사용자(가입자)에 대한 서비스 정책을 관리하는 서버를 의미하고, 정책 서버(170)와 연결되는 예로 도시한 가입자 서버(180)는 가입자의 서비스 가입 상황 또는 서비스 가입 옵션 등의 정보를 관리하는 서버를 의미한다. 여기서 정책 서버(180)는 접속 네트워크 서비스(유료 네트워크 서비스)에 대한 개별 가입자에 대한 정보를 관리할 수도 있고, 또는 접속 경로와 관계없이 특정 데이터 서비스에 대한 정책 정보를 관리할 수도 있다.
본 발명은 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보를 IPSec 게이트웨이(150)에 전송하기 위한 것이다. 본 발명에서는 IKE 프로토콜 또는 MOBIKE 프로토콜에서 정의한 페이로드 중 어느 하나를 사용하여 추가 서비스 정보를 전송하고자 한다.
도 3은 추가 서비스 정보를 전달하기 위한 페이로드의 예를 도시한다. 도 3(a)는 IKE 통지 페이로드(IKE Notify Payload)의 포맷이고, 도 3(b)는 IKE 벤더 ID 페이로드(IKE Vendor ID Payload)의 포맷이고, 도 3(c)는 IKE 환경설정 페이로드(IKE Configuration Payload)이다. 도 3은 본 발명에서 이용할 수 있는 페이로드의 예를 든 것에 불과하고, 다른 페이로드를 이용할 수도 있다.
접속 네트워크의 종류 정보는 아래의 표 1과 같이 접속 네트워크의 종류를 의미한다. 표 1은 접속 네트워크의 종류 정보에 대한 일 예이다. 접속 네트워크 코드는 접속 네트워크의 종류에 대응되는 정보이다.
| 접속 네트워크 코드 | 접속 네트워크 종류 |
| 1 | WLAN |
| 2 | HSDPA |
| 3 | Mobile WiMAX |
| 4 | LTE |
| 5 | LTE-A |
접속 사업자 정보는 접속 네트워크를 제공하는 사업자 정보이다. 아래의 표 2는 접속 사업자 정보의 예이다.
| 접속 사업자 코드 | 접속 사업자 종류 |
| 1 | KT |
| 2 | SKT |
| 3 | LGU+ |
| 4 | Hellomobile |
| 5 | CJ |
도 4(a)는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100)에서의 단말(110)의 구성을 도시한 블록도의 예이고, 도 4(b)는 IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템(100)에서의 IPSec 게이트웨이(150)의 구성을 도시한 블록도의 예이다.
도 4(a)를 살펴보면, 단말(110)은 GPS 장치를 포함하여 위치 정보를 생성하는 위치정보 생성부(111), 접속 네트워크 장치와 패킷 송수신을 수행하는 네트워크 접속부(115), 네트워크 접속부(115) 및 위치정보 생성부(111)와 연동하여 서비스 정보를 관리하는 서비스 정보 관리부(112), 접속 네트워크 장치에 대한 접속을 제어하는 IPSec의 IKE 프로토콜 및 네트워크 장치 사이의 이동을 제어하는 MOBIKE 프로토콜을 이용하여 서비스 정보를 암호화하고, 암호화된 서비스 정보를 접속부에 화하는 기능을 갖는다. 또한 보안 프로토콜 제어부(113)는 IKE 프로토콜 및 MOBIKE 프로토콜을 이용하여 네트워크 접속 및 네트워크 이동에 관여하고, 네트워크 접속 또는 네트워크 이동 시 추가 서비스 정보를 IPSec 게이트웨이(150)에 전송하도록 제어하는 기능을 수행한다. 패킷 전송부(114)는 보안 프로토콜 제어부(113)에서 생성한 패킷을 네트워크 접속부(115)에 전송하고, 또한 네트워크 접속부(115)가 수신한 패킷을 보안 프로토콜 제어부(113)에 전송하는 역할을 한다.
도 4(b)를 살펴보면, IPSec 게이트웨이(150)는 IPSec의 IKE 프로토콜 및 MOBIKE 프로토콜을 이용하여 서비스 정보를 수신하는 수신부(151), 서비스 정보를 이용하여 부가 서비스를 수행하거나 부가 서비스를 수행하는 별도의 장치에 서비스 정보를 전송하는 부가 서비스 제공부(153) 및 부가 서비스 제어 정보를 이용하여 부가 서비스 제공부를 제어하는 서비스 정보 제어부(152)를 포함한다. 도 4(b)에서는 접속 위치 정보를 이용하여 부가 서비스를 제공하는 LBS 서버가 부가 서비스 제공부(153)에 연결된 예를 도시하였다. 그러나 추가 서비스 정보를 이용한 다른 다양한 부가서비스 제공 장치가 연결될 수 있음은 자명하다.
부가 서비스 제어 정보는 가입자별로 부가 서비스에 대한 활성화 또는 비활성화 정보가 설정된 가입자 정보 및 부가 서비스 변경에 대한 정책 정보 중 적어도 어느 하나일 수 있다. 도 2에 도시한 가입자 서버(180)가 가입자 정보를 제공하는 장치이고, 정책 서버(170)가 정책 정보를 제공하는 장치이다. 서비스 정보 제어부(152)는 가입자 정보를 통해 해당 부가 서비스를 제공해야 하는 가입자(단말)인지 여부를 판단할 수 있고, 정책 정보를 통해 부가 서비스에 대한 내용이 변경되었는지 여부 등을 판단할 수 있다. 서비스 정보 제어부(152)는 전달받는 다양한 정보를 이용하여 부가 서비스 제공부(153)를 제어한다.
부가 서비스 제공부(153)는 IPSec 게이트웨이(150) 자체적으로 또는 외부 서버와 연동하여 단말(110)에 부가 서비스를 제공하는 장치이다.
부가 서비스는 다양한 서비스가 가능하다. 예컨대, 부가 서비스 제공부(153)는 접속 네트워크의 종류 정보를 이용하여 접속 네트워크에 대한 QoS 보장이 필요한 경우, 외부 서버로부터 QoS 정보를 수신받아 단말(110)에 대한 QoS 서비스를 제공할 수 있다. 이 경우 트래픽 필터(Traffic filter) 정보와 정적 QoS 구성 정보 또는 AAA(Authentication, Authorization, and Accounting)로부터 수신하는 동적 QoS 정보를 이용한다. AAA는 도 2 등에 도시되지 않았다.
또한 부가 서비스 제공부(153)는 접속 사업자 정보를 이용하여 접속 사업자가 해외 사업자인 경우, IKE DPD(Dead Peer Detection) 주기를 시스템 설정에 따라 짧게 변경할 수도 있다. 이는 해외 로밍 시 보안을 강화하기 위한 것이다.
나아가 부가 서비스 제공부(153)는 접속 위치 정보를 이용하여 단말(110)에 위치 정보에 기반한 서비스를 제공하거나, IPSec 게이트웨이(150)에 연결된 LBS 서비스 서버에 접속 위치 정보를 전송하여 LBS 서비스를 제공할 수도 있다.
도 5(a)는 IKE 프로토콜을 이용한 네트워크 접속 절차의 다른 예이고, 도 5(b)는 MOBIKE 프로토콜을 이용한 네트워크 이동 절차의 다른 예이다. 전술한 도 1과 공통된 내용에 대한 설명은 생략한다.
도 5(a)는 도 1(a)와 달리 IKE-AUTH 메시지를 전송하는 과정(403)에서 NCV 페이로드를 이용하여 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보를 IPSec 게이트웨이(150)에 전송한다. 도 5(b)에서도 IKE-INFORM 메시지를 전 먼저 단말(110)이 새로운 접속 네트워크 장치에 접속하는지 또는 접속 네트워크 장치를 이동했는지 여부를 판단한다(901). 새로운 접속 네트워크 장치에 접속하는 경우는 왼쪽 경로이고, 접속 네트워크 장치를 이동한 경우는 오른쪽 경로이다.
새로운 접속 네트워크 장치에 접속하는 경우는 단말(110)이 IPSec의 IKE 프로토콜을 이용하여 새로운 접속 네트워크 장치에 접속하고(902), 단말(110)이 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 접속 네트워크 장치를 경유하여 IPSec 게이트웨이(150)에 전송하고(903) 및 IPSec 게이트웨이(150)가 서비스 정보를 이용하여 부가 서비스를 수행한다(904).
접속 네트워크 장치를 이동한 경우는 단말(110)이 IPSec의 MOBIKE 프로토콜을 이용하여 새로운 접속 네트워크 장치에 접속하고(905), 단말(110)이 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 접속 네트워크 장치를 경유하여 IPSec 게이트웨이(150)에 종류 정보를 이용하여 접속 네트워크에 대한 QoS 보장이 필요한 경우, 외부 서버로부터 QoS 정보를 수신받아 단말(110)에 대한 QoS 서비스를 제공할 수 있다.
수행하는 단계(904 및 907)에서 IPSec 게이트웨이(150)가 접속 사업자 정보를 이용하여 접속 사업자가 해외 사업자인 경우, IKE DPD(Dead Peer Detection) 주기를 시스템 설정에 따라 짧게 변경할 수 있다.
수행하는 단계(904 및 907)에서 IPSec 게이트웨이(150)가 접속 위치 정보를 이용하여 단말(110)에 위치 정보에 기반한 서비스를 제공하거나, IPSec 게이트웨이(150)에 연결된 LBS 서비스 서버에 접속 위치 정보를 전송할 수 있다.
본 실시예 및 본 명세서에 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 본 발명의 권리범위에 포함되는 것이 자명하다고 할 것이다.
100 : 추가 서비스 정보를 제공하는 네트워크 시스템
110 : 단말(UE) 111 : 위치정보 생성부
112 : 서비스 정보 관리부 113 : 보안 프로토콜 제어부
114 : 패킷 전송부 115 : 네트워크 접속부
120: 제1 네트워크 장치 121 : 이동통신 AP
122: PGW 130 : 제2 네트워크 장치
131 : WiMAX AP 132 : HA
140 : 제2 네트워크 장치 141 : AP
150: IPSec 게이트웨이 151 : 수신부
152 : 서비스 정보 제어부 153 : 부가서비스 제공부
160 : 서비스 서버 170 : 정책 서버
180 : 가입자 서버
110 : 단말(UE) 111 : 위치정보 생성부
112 : 서비스 정보 관리부 113 : 보안 프로토콜 제어부
114 : 패킷 전송부 115 : 네트워크 접속부
120: 제1 네트워크 장치 121 : 이동통신 AP
122: PGW 130 : 제2 네트워크 장치
131 : WiMAX AP 132 : HA
140 : 제2 네트워크 장치 141 : AP
150: IPSec 게이트웨이 151 : 수신부
152 : 서비스 정보 제어부 153 : 부가서비스 제공부
160 : 서비스 서버 170 : 정책 서버
180 : 가입자 서버
Claims (1)
- 단말과 게이트웨이 사이에 IPSec 보안 터널링을 형성하여 데이터를 송수신하는 네트워크 시스템에 있어서,
상기 단말과 IPSec 보안 터널링을 형성하고, 상기 단말이 서버에 접속하도록 제어하는 IPSec 게이트웨이;
LTE, HSDPA, 모바일 WiMAX 및 WiFi 통신 방식을 사용하는 네트워크 장치 중 적어도 어느 하나를 포함하며, 상기 단말과 상기 IPSec 게이트웨이를 연결하는 접속 네트워크 장치; 및
IPSec 프로토콜에서 정의한 정보 전송 블록을 통해 접속 네트워크의 종류 정보, 접속 사업자 정보 및 접속 위치 정보로 구성되는 추가 서비스 정보 중 적어도 하나를 상기 IPSec 게이트웨이에 전송하는 단말을 포함하는 IPSec 프로토콜을 통해 추가 서비스 정보를 제공하는 네트워크 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20150023055A KR20150034147A (ko) | 2015-02-16 | 2015-02-16 | IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20150023055A KR20150034147A (ko) | 2015-02-16 | 2015-02-16 | IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130078323A Division KR101575578B1 (ko) | 2013-07-04 | 2013-07-04 | IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20150034147A true KR20150034147A (ko) | 2015-04-02 |
Family
ID=53031130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20150023055A KR20150034147A (ko) | 2015-02-16 | 2015-02-16 | IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20150034147A (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170124510A (ko) * | 2015-11-20 | 2017-11-10 | (주)엔에스비욘드 | 보안 터널 기반 인증 방법 및 장치 |
-
2015
- 2015-02-16 KR KR20150023055A patent/KR20150034147A/ko not_active Application Discontinuation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170124510A (ko) * | 2015-11-20 | 2017-11-10 | (주)엔에스비욘드 | 보안 터널 기반 인증 방법 및 장치 |
| KR20170124511A (ko) * | 2015-11-20 | 2017-11-10 | (주)엔에스비욘드 | 보안 터널을 이용하여 타겟 장치의 보안을 제어하는 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108574969B (zh) | 多接入场景中的连接处理方法和装置 | |
| US20210321257A1 (en) | Unified authentication for integrated small cell and wi-fi networks | |
| JP7262390B2 (ja) | 信頼できないネットワークを用いたインタワーキング機能 | |
| TWI717383B (zh) | 用於網路切分的金鑰層級 | |
| US9253636B2 (en) | Wireless roaming and authentication | |
| EP2750349A1 (en) | Method and device for secure network access | |
| KR20110003796A (ko) | 모바이크 프로토콜을 이용하여 이종무선망 간의 이동성 및 보안을 지원하는 클라이언트 장치 | |
| CN104247505A (zh) | 用于利用anqp服务器能力增强andsf的系统和方法 | |
| WO2008006314A1 (en) | A gateway system and the method for implementing various media accesses | |
| NO342167B1 (no) | Autentisering i mobilsamvirkesystemer | |
| JP2017538345A (ja) | 方法、装置およびシステム | |
| CN113260016B (zh) | 多模终端接入控制方法、装置、电子设备及存储介质 | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| JP4613926B2 (ja) | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム | |
| JPWO2007097101A1 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| US20200169885A1 (en) | Method and system for supporting security and information for proximity based service in mobile communication system environment | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 | |
| KR101480703B1 (ko) | LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법 | |
| US20100118774A1 (en) | Method for changing radio channels, composed network and access router | |
| US20230111913A1 (en) | Non-3gpp handover preparation | |
| CN102740290B (zh) | 一种预认证和预配置方法及其系统 | |
| US7296152B1 (en) | System and method for providing access to a network in a communications environment | |
| KR20150034147A (ko) | IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 | |
| KR101575578B1 (ko) | IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법 | |
| KR20110053320A (ko) | 모바이크 프로토콜을 이용하여 이종무선망 간의 이동성 및 보안을 지원하는 클라이언트 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| WITN | Withdrawal due to no request for examination |