WO2014185638A1

WO2014185638A1 - LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법

Info

Publication number: WO2014185638A1
Application number: PCT/KR2014/003699
Authority: WO
Inventors: 심재희; 홍후표
Original assignee: 주식회사 엔텔스
Priority date: 2013-05-15
Filing date: 2014-04-28
Publication date: 2014-11-20

Abstract

단말(110)의 IPSec 이동성을 제공하는 네트워크 시스템(100)은 데이터 서비스를 제공하는 서비스 서버(150), 이동통신 AP 및 패킷 데이터 네트워크 게이트웨이(PGW,123)를 포함하는 LTE 네트워크(120), 와이파이 AP(131)를 포함하는 WLAN(130), 단말(110)과 IPSec 보안 터널링을 형성하고, 단말(110)이 LTE 네트워크(120) 또는 WLAN(130)을 통해 서비스 서버(150)에 접속하도록 제어하는 IPSec 게이트웨이(140) 및 LTE 네트워크(120)에서 WLAN(130)으로 접속 경로를 변경하거나, WLAN(130)에서 LTE 네트워크(120)로 접속 경로를 변경하는 경우, 접속 경로 변경 전에 IPSec 게이트웨이(140)로부터 수신한 제1 단말 IP를 패킷의 해더에 추가하는 단말(110)을 포함한다.

Description

LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법

이하 설명하는 기술은 LTE 네트워크와 WLAN 사이에 이동성을 갖는 단말에 대해 IPSec 보안 서비스가 끊김 없이 지원되는 네트워크 시스템 및 패킷전송방법에 관한 것이다.

이동 단말의 IP 이동성 기능을 제공하는 기술은 1990년대부터 활발하게 연구가 진행되어 왔다. 이러한 이동 단말의 IP 이동성 지원 기술에 대한 연구 방향은 크게 두 가지로서, 단말 기반의 IP 이동성 지원 기술과 네트워크 기반의 IP 이동성 지원 기술로 구분할 수 있다.

단말 기반의 IP 이동성 지원 기술은 단말에 특정 프로토콜 스택이나 프로그램을 설치해야 하는 기술로서, CMIP(Client Mobile IP) 기술이나, 모바이크(MOBIKE) 기술 등이 있다.

사용자가 무선랜을 사용하여 데이터 서비스를 받는 도중에 무선랜 이상 또는 사용자의 의도에 의하여 LTE 네트워크로 접속 경로를 변환하면, 서비스가 진행되고 있는 IPSec 보안 서비스를 해제하고 LTE 네트워크에서 PGW가 할당한 IP를 이용하여 IPSec 보안 서비스를 재개(IKE 프로토콜 이용)한다.

단말이 무선랜(WLAN), LTE 등 이종망을 이동하는 경우 기존 IPSec 서비스 연결을 해제하고 다시 설정하는 과정으로 인하여 IPSec 보안 서비스의 연속적인 제공이 불가능하였다.

한국공개특허 제2011-0003796호는 이종망 사이의 핸드오버 시에도 초기 설정된 IPSec 보안 터널을 유지하는 기술이 개시되었으나, 이는 MOBIKE를 사용하여 초기 보안 설정(SA) 방식을 그대로 사용한다는 의미이다.

이하 설명하는 기술은 IPSec 보안 터널링을 사용하여 데이터를 송수신하는 단말이 WLAN 및 LTE 등으로 구성된 이종망을 이동하는 경우에도 단말이 기존 IPSec 게이트웨이(Security gateway)로부터 수신한 IP를 그대로 사용하면서 끊김 없는 보안 서비스를 제공하고자 한다.

LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템은 데이터 서비스를 제공하는 서비스 서버, 이동통신 AP 및 패킷 데이터 네트워크 게이트웨이(PGW)를 포함하는 LTE 네트워크, 와이파이 AP를 포함하는 WLAN, 단말과 IPSec 보안 터널링을 형성하고, 단말이 LTE 네트워크 또는 WLAN을 통해 서비스 서버에 접속하도록 제어하는 IPSec 게이트웨이 및 LTE 네트워크에서 WLAN으로 접속 경로를 변경하거나, WLAN에서 LTE 네트워크로 접속 경로를 변경하는 경우, 접속 경로 변경 전에 IPSec 게이트웨이로부터 수신한 제1 단말 IP를 패킷의 해더에 추가하는 단말을 포함한다.

단말은 LTE 네트워크에서 WLAN으로 접속 경로를 변경하는 경우, 단말이 제1 단말 IP가 소스 IP이고, 서비스 서버의 IP가 목적 IP인 제1 IP 헤더 및 WLAN의 AP가 단말에 할당한 제2 단말 IP가 소스 IP이고, IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 추가한다. 이때 IPSec 게이트웨이는 제2 IP 헤더를 제거하고, 제1 IP 헤더를 이용하여 서비스 서버에 패킷을 전송한다.

단말은 WLAN에서 LTE 네트워크로 접속 경로를 변경하는 경우, 제1 단말 IP가 소스 IP이고, 서비스 서버의 IP가 목적 IP인 제1 IP 헤더 및 LTE 네트워크의 PGW가 단말에 할당한 제2 단말 IP가 소스 IP이고, IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 패킷에 추가한다. 이때 IPSec 게이트웨이는 제2 IP 헤더를 제거하고, 제1 IP 헤더를 이용하여 서비스 서버에 패킷을 전송한다.

IPSec 게이트웨이는 LTE 네트워크에서 WLAN으로 접속 경로가 변경되는 경우, 서비스 서버의 IP가 소스 IP이고, 제1 단말 IP가 목적 IP인 제1 IP 헤더 및 IPSec 게이트웨이의 IP가 소스 IP이고, WLAN의 AP가 단말에 할당한 제2 단말 IP가 목적 IP인 제2 IP 헤더를 추가한다.

IPSec 게이트웨이는 WLAN에서 LTE 네트워크로 접속 경로를 변경하는 경우, 서비스 서버의 IP가 소스 IP이고, 제1 단말 IP가 목적 IP인 제1 IP 헤더 및 IPSec 게이트웨이의 IP가 소스 IP이고, LTE 네트워크의 PGW가 단말에 할당한 제2 단말 IP가 목적 IP인 제2 IP 헤더를 추가한다.

단말의 IPSec 이동성을 제공하는 패킷전송방법은 단말이 WLAN을 통해 IPSec 게이트웨이와 IPSec 보안 터널링을 형성하면서 단말이 IPSec 게이트웨이로부터 제1 단말 IP를 수신하는 단계, 단말의 네트워크 경로가 WLAN에서 LTE 네트워크로 변경되는 단계, 단말이 제1 단말 IP가 헤더에 추가된 패킷을 IPSec 게이트웨이에 전송하는 단계 및 IPSec 게이트웨이가 제1 단말 IP를 이용하여 단말과 목적 노드 사이에 IPSec 암호화된 패킷을 송수신하도록 제어하는 단계를 포함한다.

전송하는 단계는 단말이 제1 단말 IP가 소스 IP이고, 수신자 IP가 목적 IP인 제1 IP 헤더를 패킷에 추가하는 단계, 단말이 패킷에 LTE 네트워크의 PGW가 단말에 할당한 제2 단말 IP가 소스 IP이고, IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 추가하는 단계 및 제1 IP 헤더 및 제2 IP 헤더가 추가된 패킷이 PGW를 경유하여 IPSec 게이트웨이에 전송되는 단계를 포함한다.

전송하는 단계는 단말이 제1 IP 헤더와 제2 IP 헤더 사이에 IPSec 암호화를 위한 ESP 헤더를 추가하는 단계를 더 포함한다.

본 발명의 다른 측면에서 단말의 IPSec 이동성을 제공하는 패킷전송방법은 단말이 LTE 네트워크를 통해 IPSec 게이트웨이와 IPSec 보안 터널링을 형성하면서 단말이 IPSec 게이트웨이로부터 제1 단말 IP를 수신하는 단계, 단말의 네트워크 경로가 LTE 네트워크에서 WLAN으로 변경되는 단계, 단말이 제1 단말 IP가 헤더에 추가된 패킷을 IPSec 게이트웨이에 전송하는 단계 및 IPSec 게이트웨이가 제1 단말 IP를 이용하여 단말과 목적 노드 사이에 IPSec 암호화된 패킷을 송수신하도록 제어하는 단계를 포함한다.

전송하는 단계는 단말이 제1 단말 IP가 소스 IP이고, 수신자 IP가 목적 IP인 제1 IP 헤더를 패킷에 추가하는 단계, 단말이 패킷에 WLAN의 AP가 단말에 할당한 제2 단말 IP가 소스 IP이고, IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 추가하는 단계 및 제1 IP 헤더 및 제2 IP 헤더가 추가된 패킷이 AP를 경유하여 IPSec 게이트웨이에 전송되는 단계를 포함한다.

이하 설명하는 기술은 단말이 이종망 사이를 이동하는 경우에도 IPSec 보안 서비스 연결을 해제하지 않기 때문에 사용자는 보안성 높은 데이터 서비스를 끊김 없이 제공받을 수 있다.

이하 설명하는 기술의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.

도 1은 단말의 IPSec 이동성을 제공하는 네트워크 시스템에 대한 구성을 도시한 블록도의 예이다.

도 2는 IPSec 이동성을 제공하는 네트워크 시스템에서 패킷을 송신하는 과정에 대한 순서도의 예이다.

도 3은 IPSec 이동성을 제공하는 네트워크 시스템에서 패킷을 수신하는 과정에 대한 순서도의 예이다.

도 4는 단말이 접속 경로를 LTE 네트워크로 변경하고, PGW가 공인 IP를 단말에 할당한 경우에 패킷을 서비스 서버에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 5는 단말이 접속 경로를 LTE 네트워크로 변경하고, PGW가 공인 IP를 단말에 할당한 경우에 패킷을 단말에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 6은 단말이 접속 경로를 LTE 네트워크로 변경하고, PGW가 사설 IP를 단말에 할당한 경우에 패킷을 서비스 서버에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 7은 단말이 접속 경로를 LTE 네트워크로 변경하고, PGW가 사설 IP를 단말에 할당한 경우에 패킷을 단말에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 8은 단말이 접속 경로를 WLAN으로 변경하고 AP가 공인 IP를 단말에 할당한 경우에 패킷을 서비스 서버에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 9는 단말이 접속 경로를 WLAN으로 변경하고 AP가 사설 IP를 단말에 할당한 경우에 패킷을 서비스 서버에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.

도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다. 따라서, 본 명세서를 통해 설명되는 각 구성부들의 존재 여부는 기능적으로 해석되어야 할 것이며, 이러한 이유로 본 발명의 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템(100)에 따른 구성부들의 구성은 본 발명의 목적을 달성할 수 있는 한도 내에서 도 1과는 상이해질 수 있음을 명확히 밝혀둔다.

또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.

본 발명은 WLAN 또는 LTE 네트워크를 통해 데이터 서비스를 받는 단말이 자신의 접속 경로를 변경하는 경우, IPSec 보안 서비스가 끊김 없이 진행되는 네트워크 시스템 및 패킷전송방법에 관한 것이다.

단말을 사용하는 사용자는 데이터 서비스를 받기 위한 경로를 선택할 수 있다. 예컨대, 집이나 사무실에서는 비용이 저렴한 WiFi 네트워크를 통해 데이터 서비스를 제공받기 위하여, 사용자는 LTE 네트워크에서 WLAN으로 접속 경로를 변경할 수 있다. 또는 사용자가 WLAN에 접속할 수 없거나, WLAN 장치가 고장이 발생한 경우 사용자는 WLAN에서 LTE 네트워크로 접속 경로를 변경할 수도 있다.

이와 같이 사용자가 접속 경로를 변경하는 것인 기본적으로 전혀 별개의 네트워크 시스템을 통해 데이터 서비스를 받는 것이기 때문에, 단말은 한쪽 네트워크의 연결을 끊고 다른 네트워크와 접속을 수행한다.

이때 단말이 특정 데이터 서비스를 제공하는 서버 또는 해당 서버를 중계하는 게이트웨이까지 IPSec 터널링을 사용하여 접속한 경우, 어떠한 원인 또는 사용자의 선택에 의해 접속 경로가 변경되면 새로운 네트워크 시스템(100)을 통해 단말은 다시 상기 게이트웨이와 IPSec 터널링을 형성해야 한다. 이때의 게이트웨이는 단말과 IPSec 터널링을 형성하기 때문에, 이하 IPSec 게이트웨이라고 명명한다.

IPSec 게이트웨이는 단말과 IPSec 터널링을 형성하면서 단말에 특정한 IP를 부여한다. 단말의 접속 경로가 변경되어 다시 단말과 IPSec 게이트웨이 사이에 IPSec 터널링이 형성되면, IPSec 게이트웨이는 단말에 새로운 IP를 부여한다.

본 발명은 접속 경로가 변경되어도 IPSec 게이트웨이가 기존에 단말에 부여한 IP주소를 계속 유지하여, IPSec 보안 서비스가 끊김 없이 진행되도록 한다. 접속 경로가 변경되기 전에 IPSec 게이트웨이가 단말에 부여한 IP를 제1 단말 IP라고 명명한다.

이하에서는 도면을 참조하면서 LTE 네트워크(120)와 WLAN(130) 사이에 단말(110)의 IPSec 이동성을 제공하는 네트워크 시스템(100) 및 단말(110)의 IPSec 이동성을 제공하는 패킷전송방법에 관하여 구체적으로 설명하겠다.

도 1은 단말(110)의 IPSec 이동성을 제공하는 네트워크 시스템(100)에 대한 구성을 도시한 블록도의 예이다.

서비스 서버(150)는 단말(110)에 콘텐츠 또는 서비스를 제공하는 서버이다. 서비스 서버(150)는 BYOD(Bring Your Own Device) 서비스와 같이 개인 단말을 통해 업무용 서비스를 제공하는 서버일 수도 있다. 도 1은 서비스 서버(150)가 방화벽을 갖는 특정한 시스템 내부에 위치하는 것으로 도시하였다.

단말(110)은 일반적인 모바일 단말, 스마트폰, 태블릿 PC, 노트북, 퍼스널 컴퓨터 등을 포함한다. 이동통신사업자가 제공하는 네트워크 또는 WiFi 네트워크에 접속할 수 있는 장치는 모두 본 발명의 단말(110)에 포함된다. 이동통신사업자가 제공하는 네트워크는 일반적으로 2G, 3G, LTE, LTE-Advanced 등을 이용하는 네트워크를 의미한다. 이하 설명의 편의를 위해 이동통신사업자가 제공하는 네트워크는 LTE(4G, 4G-Advanced)라고 전제한다.

LTE 네트워크(120)는 기지국(eNB, 121), SGW(Serving Gateway, 122) 및 PGW(Packet Data Network Gateway)를 포함한다. WLAN(130)은 와이파이 AP(131)를 포함한다. 물론 각 네트워크는 다른 구성요소도 포함하지만, 도 1은 발명의 설명에 필요한 구성만을 예시적으로 도시한 것이다. LTE 네트워크(120) 및 WLAN(130)에 대한 구성 및 자세한 동작은 해당 분야의 통상의 지식을 가진 자에게 널리 알려진 것이므로, 자세한 설명은 생략한다.

단말(110)은 LTE 네트워크(120)를 통해 서비스 서버(150)에 접속하는 경우 단말(110)은 LTE 네트워크(120)를 경유하여 IPSec 게이트웨이(140)와 IPSec 터널링을 형성한다. 단말(110)이 WLAN(130)을 통해 서비스 서버(150)에 접속하는 경우 단말(110)은 WLAN(130)을 경유하여 IPSec 게이트웨이(140)와 IPSec 터널링을 형성한다. 서비스 서버(150)가 위치하는 시스템은 별도의 보안 프로토콜을 사용하는 것으로 가정한다.

도 2는 IPSec 이동성을 제공하는 네트워크 시스템(100)에서 패킷을 송신하는 과정(200)에 대한 순서도의 예이다. 도 2는 단말(110)이 IPSec 게이트웨이(140)를 통해 서비스 서버(150)에 패킷을 전송하는 경우에 단말(110)에서 수행되는 과정이다. 또한 서비스 서버(150)가 IPSec 게이트웨이(140)를 통해 단말(110)에 패킷을 전송하는 경우 서비스 서버(150) 또는 IPSec 게이트웨이(140)에서도 유사한 과정이 수행될 수 있다.

이하 단말(110)에서 패킷을 송신하는 과정이라고 가정하고 설명하고자 한다. 단말(110)은 특정한 패킷을 생성하고(201), 패킷에 IP, TCP, UDP 헤더를 추가한다(202). 이때 IP해더는 소스 IP(Scr IP)가 제1 단말 IP이고, 목적 IP(Dst IP)가 서비스 서버(150)의 IP이다. 제1 단말 IP는 전술한 바와 같이, 접속 경로가 변경되기 전에 IPSec 게이트웨이(140)가 단말(110)에 부여한 IP이다. 202 단계에서 추가되는 IP 헤더를 제1 IP 헤더라고 명명한다.

이후 단말(110)은 생성된 패킷이 IPSec 보안이 필요한지 여부를 판단한다. IPSec 보안이 필요하지 않다면, 단말(110)은 일반적인 패킷 처리 방법에 따라 생성한 패킷을 처리한다(204).

IPSec 보안이 필요하다고 판단하면, 단말(110)은 패킷에 ESP 헤더를 추가하여 패킷을 IPSec 암호화한다(205). 이후 단말(110)은 변경된 접속 경로가 WLAN(130) 인지 또는 LTE 네트워크(120)인지 여부를 판단한다(206). 이 과정은 단말(110)이 네트워크로부터 수신하는 고유의 정보를 통해 확인 가능하다.

현재 변경된 접속 경로가 WLAN(130)이라면, 단말(110)은 UDP 캡슐화(encapsulation)이 필요한지 여부를 판단한다(207). UDP 캡슐화는 단말(110)이 WLAN(130)에서 부여한 사설 IP를 사용하는 경우 필요하다. WLAN(130)에서 사설 IP를 사용하는 경우 NAT 장비에 의해 IP가 변조되는 상황이 발생하고, NAT에서 ESP 헤더에 대한 NAT 서비스가 불가능하게 된다. 따라서, 단말(110)은 NAT 연동을 위해 패킷에 UDP 헤더를 추가한다(208).

WLAN(130)이 사용되는 경우, WLAN(130)에서 패킷 처리를 위해서 IPSec 암호화된 패킷에 별도의 외부(outer) 헤더가 추가되어야 한다. 이를 위해 단말(110)은 제1 IP 헤더와는 별개인 새로운 IP 헤더를 추가한다(209). 이를 제2 IP 헤더라고 명명한다. 제2 IP 헤더는 소스 IP(Scr IP)가 WLAN(130)의 와이파이 AP(131)이 단말(110)에 할당한 IP이고, 목적 IP(Dst IP)가 IPSec 게이트웨이(140)의 IP이다. 와이파이 AP(131)가 단말(110)에 할당한 IP는 제2 단말 IP라고 명명한다. 이후 단말(110)은 WLAN(130)을 경유하여 패킷을 전송한다(210).

현재 변경된 접속 경로가 LTE 네트워크(120)라면, 단말(110)은 UDP 캡슐화(encapsulation)이 필요한지 여부를 판단한다(211). UDP 캡슐화는 단말(110)이 PGW(123)에서 제공한 사설 IP를 사용하는 경우 필요하다. LTE 네트워크(120)에서 사설 IP를 사용하는 경우 NAT 장비에 의해 IP가 변조되는 상황이 발생하고, NAT에서 ESP 헤더에 대한 NAT 서비스가 불가능하게 된다. 따라서, 단말(110)은 NAT 연동을 위해 패킷에 UDP 헤더를 추가한다(212).

LTE 네트워크(120)가 사용되는 경우, LTE 네트워크(120)에서 패킷 처리를 위해서 IPSec 암호화된 패킷에 별도의 외부(outer) 헤더가 추가되어야 한다. 이를 위해 단말(110)은 제1 IP 헤더와는 별개인 새로운 IP 헤더를 추가한다(213). 이를 제2 IP 헤더라고 명명한다. 제2 IP 헤더는 소스 IP(Scr IP)가 LTE 네트워크(120)의 PGW(123)가 단말(110)에 할당한 IP이고, 목적 IP(Dst IP)가 IPSec 게이트웨이(140)의 IP이다. PGW(123)가 단말(110)에 할당한 IP는 제2 단말 IP라고 명명한다. 이후 단말(110)은 WLAN(130)을 경유하여 패킷을 전송한다(214).

단말(110)이 WLAN(130)을 사용하는 경우 및 LTE 네트워크(120)를 사용하는 경우가 각각 생성되는 제2 IP 헤더의 내용은 차이가 있지만, 제2 IP 헤더는 제1 IP 헤더의 바깥쪽에 위치하면서 제1 IP 헤더가 드러나지 않도록 하고, 현재 패킷이 와이파이 AP(131) 또는 PGW(123)로부터 전송된 것이라고 인식되게 한다는 점에서 기능이 동일 내지 유사하다.

도 3은 IPSec 이동성을 제공하는 네트워크 시스템(100)에서 패킷을 수신하는 과정에 대한 순서도의 예이다. 도 3은 도 2와 같은 과정을 거친 패킷을 수신하는 과정이다. 도 3의 과정은 단말(110) 또는 IPSec 게이트웨이(140)에서 수행된다.

설명의 편의를 위해 IPSec 게이트웨이(140)가 송신한 패킷을 단말(110)이 처리하는 과정이라고 전제하고 설명한다. 단말(110)은 WLAN(130) 또는 LTE 네트워크(120)를 통해 패킷을 수신한다(301). 단말(110)은 현재 수신한 패킷이 IPSec 암호화된 패킷인지 여부를 판단하고(302), IPSec 암호화된 패킷이 아니라면(no) 일반적인 패킷을 처리하는 방식에 따라 패킷을 처리한다(303).

현재 수신한 패킷이 IPSec 암호화된 패킷이라면(yes), 수신한 패킷이 정상적인 IPSec 패킷인지 여부를 판단한다. 단말(110)은 프로토콜에 의해 정해진 포맷 인지 또는 오류가 없는지를 판단하고(303), 정상적인 IPSec 패킷이 아니라고 판단하면 해당 패킷을 폐기한다(304).

정상적인 IPSec 패킷이라면, 단말(110)은 제2 IP 헤더를 제거한다(305). 도 2에서 UDP 캡슐화된 것이라면 UDP 헤더도 추가적으로 제거한다(305). 이후 단말(110)은 수신 패킷을 IPSec 프로토콜에 따라 복호화하고(306), 복호화된 패킷(데이터)을 목적에 맞게 처리한다(307).

도 4는 단말(110)이 접속 경로를 LTE 네트워크(120)로 변경하고, PGW(123)가 공인 IP를 단말(110)에 할당한 경우에 패킷을 서비스 서버(150)에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

단말(110)은 패킷을 생성하고, TCP/UDP 헤더를 추가하고, 제1 IP 헤더를 추가한다. 제1 IP 헤더는 소스 IP(S-IP)가 접속 경로 변경 전에 IPSec 게이트웨이(140)가 단말(110)에 할당한 IP(IP1)이고, 목적 IP(D-IP)가 수신자인 서비스 서버(150)의 IP이다.

단말(110)은 제1 헤더 추가 이후에 ESP 헤더를 추가할 수도 있다. 단말(110)은 제1 헤더 추가 이후에 반드시 제2 IP 헤더를 추가해야 한다. 제2 IP 헤더를 추가한 패킷은 IPSec 게이트웨이(140) 입장에서는 마치 PGW(123)로부터 전송되는 패킷이라고 인식된다. 제2 IP헤더는 소스 IP(S-IP)가 PGW(123)가 현재 단말(110)에 할당한 제2 단말 IP이고, 목적 IP(D-IP)가 IPSec 게이트웨이(140)의 IP이다.

단말(110)은 제2 IP 헤더까지 추가된 패킷을 기지국(eNB, 121)에 전송하고, 기지국(121)은 GTP, UDP, IP 헤더를 추가한다. 기지국(121)이 추가한 IP 헤더는 소스 IP가 기지국(IP5)이고, 목적 IP가 SGW(IP6)이다. 기지국(121)이 추가한 IP 헤더를 제3 IP 헤더라고 명명한다.

기지국(121)은 패킷을 SGW(122)에 전달하고, SGW(122)는 다음 경로인 PGW(123)로 패킷을 전송하기 위하여 제3 IP 헤더에 소스 IP를 SGW(122)의 IP(IP7)로 설정하고, 목적 IP를 다음 경로인 PGW(123)의 IP(IP8)로 설정한다.

PGW(123)는 SGW(122)로부터 전달받은 패킷에서 제3 IP 헤더, GTP 헤더 및 UDP 헤더를 제거한다. 패킷에 남은 제2 IP 헤더의 정보에 따라 패킷은 PGW(123)에서 IPSec 게이트웨이(140)로 전달된다.

IPSec 게이트웨이(140)는 제2 헤더를 제거하고, IPSec 복호화를 통해 제1 IP 헤더, TCP/UDP 헤더만을 남기게 된다. 이후 남아있는 패킷은 서비스 서버(150)에 전달된다.

도 5 내지 도 9에 대한 설명 중 도 4에 대한 설명과 중복되거나, 해당 분야의 통상의 지식을 가진 자가 도 4에 대한 설명으로부터 당연히 유추할 수 있는 내용은 간략하게 언급하거나 생략하기로 한다.

도 5는 단말(110)이 접속 경로를 LTE 네트워크(120)로 변경하고, PGW(123)가 공인 IP를 단말(110)에 할당한 경우에 패킷을 단말(110)에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 5는 서비스 서버(150)가 생성한 패킷에 제1 IP 헤더를 추가하고, 이후 IPSec 게이트웨이(140)에서 제2 IP 헤더를 추가하여 단말(110)까지 패킷을 전달하는 경우이다. 도 4와는 경로가 반대이기 때문에 제1 IP 헤더는 소스 IP를 서비스 서버(150)의 IP로 설정하고, 목적 IP를 접속 경로 변경 전에 IPSec 게이트웨이(140)가 단말(110)에 할당한 IP로 설정한다. 일반적으로 단말(110)이 서비스를 요청하고, 서비스 요청을 수신하는 최종 목적 노드가 서비스 서버(150)이기 때문에, 도 5에서 IP1에 대한 설명을 수신자 IP라고 기재한 것이다. 이는 이하 도 6 내지 도 9에서도 동일하다. 즉 수신자 IP는 서비스 서버(150)의 IP를 의미한다.

도 6은 단말(110)이 접속 경로를 LTE 네트워크(120)로 변경하고, PGW(123)가 사설 IP를 단말(110)에 할당한 경우에 패킷을 서비스 서버(150)에 전송하는 과정 및 패킷의 구성을 도시한 예이다.

도 6은 PGW(123)가 사설 IP를 단말(110)에 할당한 경우이다. 전술한 바와 같이, 사설 IP 사용에 따라 NAT 장비에 의해 IP가 변조되는 상황이 발생하게 되고 NAT에서 ESP 헤더에 대한 NAT 서비스가 불가능하게 된다. 따라서, 단말(110)에서 제2 IP 헤더 전에 UDP 헤더를 또 추가한 것이다. 도 6에서 대용량 NAT에서 해당 UDP 헤더의 포트가 변경된 것을 볼 수 있다. 변경된 UDP 헤더 및 제2 IP헤더는 IPSec 게이트웨이(140)에서 제거된다.

도 7은 단말(110)이 접속 경로를 LTE 네트워크(120)로 변경하고, PGW(123)가 사설 IP를 단말(110)에 할당한 경우에 패킷을 단말(110)에 전송하는 과정 및 패킷의 구성을 도시한 예이다. 도 7은 도 6과 패킷의 흐름이 반대인 경우이다.

도 8은 단말(110)이 접속 경로를 WLAN(130)으로 변경하고 AP가 공인 IP를 단말(110)에 할당한 경우에 패킷을 서비스 서버(150)에 전송하는 과정 및 패킷의 구성을 도시한 예이다. 도 8은 LTE 네트워크(120)에서 WLAN(130)으로 접속 경로가 변경된 경우에 단말(110)에서 서비스 서버(150)로 패킷이 전달되는 과정이다.

단말(110)은 제1 헤더 추가 이후에 ESP 헤더를 추가할 수도 있다. 단말(110)은 제1 헤더 추가 이후에 반드시 제2 IP 헤더를 추가해야 한다. 제2 IP 헤더를 추가한 패킷은 IPSec 게이트웨이(140) 입장에서는 마치 와이파이 AP(131)로부터 전송되는 패킷이라고 인식된다. 제2 IP헤더는 소스 IP(S-IP)가 와이파이 AP(131)가 현재 단말(110)에 할당한 제2 단말 IP이고, 목적 IP(D-IP)가 IPSec 게이트웨이(140)의 IP이다.

단말(110)은 제2 IP 헤더까지 추가된 패킷을 와이파이 AP(131)에 전송하고, 기지국(121)은 패킷을 IPSec 게이트웨이(140)에 전달한다.

도 9는 단말(110)이 접속 경로를 WLAN(130)으로 변경하고 AP가 사설 IP를 단말(110)에 할당한 경우에 패킷을 서비스 서버(150)에 전송하는 과정 및 패킷의 구성을 도시한 예이다. 도 8과 달리 단말(110)은 제2 IP 헤더 전에 UDP 헤더를 더 추가한다. 와이파이 AP(131)는 GTP, UDP 및 제3 IP 헤더를 추가한다. 도 9는 와이파이 AP(131)에서 사설 IP 사용에 따라 NAT 장비에 의해 IP가 변조되는 상황을 추가적으로 도시하였다(UDP 헤더의 포트가 변경되었고, 제2 IP헤더가 변경되었음). 이후 IPSec 게이트웨이(140)는 전달된 패킷에서 UDP 헤더 및 제2 IP 헤더를 제거하고, IPSec 복호화한 후 패킷을 서비스 서버(150)에 전달한다.

본 실시예 및 본 명세서에 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 본 발명의 권리범위에 포함되는 것이 자명하다고 할 것이다.

[부호의 설명]

100 : 단말의 IPSec 이동성을 제공하는 네트워크 시스템

110 : 단말 120 : LTE 네트워크

121 : 기지국 122 : SGW

123 : PGW 130 : WLAN

131 : 와이파이 AP 140 : IPSec 게이트웨이

150: 서비스 서버

Claims

LTE 네트워크와 WLAN 간에 이동성을 갖는 단말을 포함하는 네트워크 시스템에 있어서,

데이터 서비스를 제공하는 서비스 서버;

이동통신 AP 및 패킷 데이터 네트워크 게이트웨이(PGW)를 포함하는 LTE 네트워크;

와이파이 AP를 포함하는 WLAN;

상기 단말과 IPSec 보안 터널링을 형성하고, 상기 단말이 상기 LTE 네트워크 또는 상기 WLAN을 통해 상기 서비스 서버에 접속하도록 제어하는 IPSec 게이트웨이; 및

상기 LTE 네트워크에서 상기 WLAN으로 접속 경로를 변경하거나, 상기 WLAN에서 상기 LTE 네트워크로 접속 경로를 변경하는 경우, 접속 경로 변경 전에 상기 IPSec 게이트웨이로부터 수신한 제1 단말 IP를 패킷의 해더에 추가하는 단말을 포함하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제1항에 있어서,

상기 단말은

상기 LTE 네트워크에서 상기 WLAN으로 접속 경로를 변경하는 경우,

단말이 상기 제1 단말 IP가 소스 IP이고, 서비스 서버의 IP가 목적 IP인 제1 IP 헤더 및 WLAN의 AP가 상기 단말에 할당한 제2 단말 IP가 소스 IP이고, 상기 IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 추가하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제2항에 있어서,

상기 IPSec 게이트웨이는 상기 제2 IP 헤더를 제거하고, 상기 제1 IP 헤더를 이용하여 상기 서비스 서버에 상기 패킷을 전송하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제2항에 있어서,

상기 단말은

상기 제2 단말 IP가 사설 IP인 경우 상기 제1 IP 헤더와 상기 제2 IP 헤더 사이에 UDP 헤더를 추가하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제1항에 있어서,

상기 단말은

상기 WLAN에서 상기 LTE 네트워크로 접속 경로를 변경하는 경우,

상기 제1 단말 IP가 소스 IP이고, 상기 서비스 서버의 IP가 목적 IP인 제1 IP 헤더 및 LTE 네트워크의 PGW가 상기 단말에 할당한 제2 단말 IP가 소스 IP이고, 상기 IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 상기 패킷에 추가하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제5항에 있어서,

상기 IPSec 게이트웨이는 상기 제2 IP 헤더를 제거하고, 상기 제1 IP 헤더를 이용하여 상기 서비스 서버에 상기 패킷을 전송하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제5항에 있어서,

상기 단말은

상기 제2 단말 IP가 사설 IP인 경우 상기 제1 IP 헤더와 상기 제2 IP 헤더 사이에 UDP 헤더를 추가하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제1항에 있어서,

상기 IPSec 게이트웨이는

상기 LTE 네트워크에서 상기 WLAN으로 접속 경로가 변경되는 경우,

상기 서비스 서버의 IP가 소스 IP이고, 상기 제1 단말 IP가 목적 IP인 제1 IP 헤더 및 상기 IPSec 게이트웨이의 IP가 소스 IP이고, WLAN의 AP가 상기 단말에 할당한 제2 단말 IP가 목적 IP인 제2 IP 헤더를 추가하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
제1항에 있어서,

상기 IPSec 게이트웨이는

상기 WLAN에서 상기 LTE 네트워크로 접속 경로를 변경하는 경우,

상기 서비스 서버의 IP가 소스 IP이고, 상기 제1 단말 IP가 목적 IP인 제1 IP 헤더 및 상기 IPSec 게이트웨이의 IP가 소스 IP이고, LTE 네트워크의 PGW가 상기 단말에 할당한 제2 단말 IP가 목적 IP인 제2 IP 헤더를 추가하는 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템.
LTE 네트워크와 WLAN 간에 이동성을 갖는 단말에 대한 패킷전송방법에 있어서,

단말이 WLAN을 통해 IPSec 게이트웨이와 IPSec 보안 터널링을 형성하면서 단말이 상기 IPSec 게이트웨이로부터 제1 단말 IP를 수신하는 단계;

단말의 네트워크 경로가 상기 WLAN에서 상기 LTE 네트워크로 변경되는 단계;

단말이 상기 제1 단말 IP가 헤더에 추가된 패킷을 상기 IPSec 게이트웨이에 전송하는 단계; 및

상기 IPSec 게이트웨이가 상기 제1 단말 IP를 이용하여 상기 단말과 목적 노드 사이에 IPSec 암호화된 패킷을 송수신하도록 제어하는 단계를 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제10항에 있어서,

상기 전송하는 단계는

단말이 상기 제1 단말 IP가 소스 IP이고, 수신자 IP가 목적 IP인 제1 IP 헤더를 패킷에 추가하는 단계;

단말이 상기 패킷에 LTE 네트워크의 PGW가 상기 단말에 할당한 제2 단말 IP가 소스 IP이고, 상기 IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 추가하는 단계; 및

상기 제1 IP 헤더 및 상기 제2 IP 헤더가 추가된 패킷이 상기 PGW를 경유하여 상기 IPSec 게이트웨이에 전송되는 단계를 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제11항에 있어서,

상기 제어하는 단계는

상기 IPSec 게이트웨이가 상기 제2 IP 헤더를 제거하고, 상기 제1 IP 헤더를 이용하여 상기 목적 노드에 상기 패킷을 전송하는 단계를 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제11항에 있어서,

상기 전송하는 단계는

상기 단말이 상기 제1 IP 헤더와 상기 제2 IP 헤더 사이에 IPSec 암호화를 위한 ESP 헤더를 추가하는 단계를 더 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제11항에 있어서,

상기 전송하는 단계는

상기 제2 단말 IP가 사설 IP인 경우

상기 제1 IP 헤더와 상기 제2 IP 헤더 사이에 UDP 헤더를 추가하는 단계를 더 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
LTE 네트워크와 WLAN 간에 이동성을 갖는 단말에 대한 패킷전송방법에 있어서,

단말이 LTE 네트워크를 통해 IPSec 게이트웨이와 IPSec 보안 터널링을 형성하면서 단말이 상기 IPSec 게이트웨이로부터 제1 단말 IP를 수신하는 단계;

단말의 네트워크 경로가 상기 LTE 네트워크에서 상기 WLAN으로 변경되는 단계;

단말이 상기 제1 단말 IP가 헤더에 추가된 패킷을 상기 IPSec 게이트웨이에 전송하는 단계; 및

상기 IPSec 게이트웨이가 상기 제1 단말 IP를 이용하여 상기 단말과 목적 노드 사이에 IPSec 암호화된 패킷을 송수신하도록 제어하는 단계를 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제15항에 있어서,

상기 전송하는 단계는

단말이 상기 제1 단말 IP가 소스 IP이고, 수신자 IP가 목적 IP인 제1 IP 헤더를 패킷에 추가하는 단계;

단말이 상기 패킷에 WLAN의 AP가 상기 단말에 할당한 제2 단말 IP가 소스 IP이고, 상기 IPSec 게이트웨이의 IP가 목적 IP인 제2 IP 헤더를 추가하는 단계; 및

상기 제1 IP 헤더 및 상기 제2 IP 헤더가 추가된 패킷이 상기 AP를 경유하여 상기 IPSec 게이트웨이에 전송되는 단계를 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제16항에 있어서,

상기 제어하는 단계는

상기 IPSec 게이트웨이가 상기 제2 IP 헤더를 제거하고, 상기 제1 IP 헤더를 이용하여 상기 목적 노드에 상기 패킷을 전송하는 단계를 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제16항에 있어서,

상기 전송하는 단계는

상기 단말이 상기 제1 IP 헤더와 상기 제2 IP 헤더 사이에 IPSec 암호화를 위한 ESP 헤더를 추가하는 단계를 더 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.
제16항에 있어서,

상기 전송하는 단계는

상기 제2 단말 IP가 사설 IP인 경우

상기 제1 IP 헤더와 상기 제2 IP 헤더 사이에 UDP 헤더를 추가하는 단계를 더 포함하는 단말의 IPSec 이동성을 제공하는 패킷전송방법.