[go: up one dir, main page]

KR100617315B1 - 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치 - Google Patents

인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치 Download PDF

Info

Publication number
KR100617315B1
KR100617315B1 KR1020040094406A KR20040094406A KR100617315B1 KR 100617315 B1 KR100617315 B1 KR 100617315B1 KR 1020040094406 A KR1020040094406 A KR 1020040094406A KR 20040094406 A KR20040094406 A KR 20040094406A KR 100617315 B1 KR100617315 B1 KR 100617315B1
Authority
KR
South Korea
Prior art keywords
ipsec
mipv6
tunnel mode
processing
ipv6
Prior art date
Application number
KR1020040094406A
Other languages
English (en)
Other versions
KR20060055085A (ko
Inventor
이형규
나재훈
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040094406A priority Critical patent/KR100617315B1/ko
Publication of KR20060055085A publication Critical patent/KR20060055085A/ko
Application granted granted Critical
Publication of KR100617315B1 publication Critical patent/KR100617315B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/06Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동 인터넷 프로토콜 버전 6(MIPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷을 안전하게 전달하기 위한 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치에 관한 것이다. 이를 위한 방법은 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법으로서, 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용하는 단계, 및 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증하는 단계를 포함한다. 이로써, 본 발명에 따르면 IPsec 터널 모드 처리 절차를 단말의 이동성이 존재하는 환경에서도 잘 동작할 수 있도록 MIPv6 모듈과 연계함으로써, 보다 단순하고 명확한 IPsec 처리 절차를 제공할 수 있고, 향후 무선 및 이동 네트워크 환경에서 IPsec 보안 기능을 가지는 장비의 구현에 보다 쉽고 빠른 방법을 제공할 수 있다.

Description

인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치{Method and apparatus for performing internet security protocol tunneling}
도 1은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치를 나타내는 블록도이다.
도 4는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치를 나타내는 블록도이다.
도 5는 보안 정책 및 보안 연계 조회 절차를 나타내는 도면이다.
도 6은 아웃바운드 패킷 처리 절차를 나타내는 도면이다.
도 7은 인바운드 패킷 처리 절차를 나타내는 도면이다.
<도면의 주요 부분에 대한 부호의 설명>
2...IPsec 터널 모드 적용부, 3...검증부,
10...IPsec 모듈, 20...MIPv6 모듈,
30...IPv6 모듈, 40...IPv6-IPv6 터널링 모듈,
50...보안 정책 모듈, 60...보안 연계 모듈.
본 발명은 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치에 관한 것으로, 특히 이동 인터넷 프로토콜 버전 6(MIPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷을 안전하게 전달하기 위한 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치에 관한 것이다.
인터넷을 이용하여 정보를 송수신하는 경우, 송수신되는 정보의 보호가 필요하다. 따라서, 인터넷 프로토콜(IP) 보안 프로토콜(IPsec; IP security protocol)이 규정되어 사용되고 있다. IPsec는 안전에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약으로서, 인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지하기 위한 통신 규약이다. 이 통신 규약은 사용자 측 단말기에 탑재할 수 있으며, 인터넷을 거쳐 특정 클라이언트와 서버만이 IPsec로 데이터를 주고받을 수 있다.
한편, 통신 규약인 인터넷 프로토콜 버전 4(IPv4; Internet protocol version 4)가 현재 널리 이용되고 있다. 또한 IPv4의 차세대 버전인 인터넷 프로토콜 버전 6(IPv6; Internet protocol version 6)이 규정되어있다. IPv6는 IP 주소 공간을 128비트로 늘려, 망 확장성이 더욱 향상된 것이 특징이며 차세대 인터넷 통신 규약(IPng)이라고도 한다.
일반적으로 IPsec 서비스는 IP패킷의 아웃바운드(Outbound) 처리와 인바운드(Inbound) 처리로 나누어진다. IP 패킷의 아웃바운드 처리는 송수신 주소와 프로토콜의 식별자를 통해 보안 정책을 검색하고 이에 해당하는 보안연계를 IP 패킷에 적용하는 방식으로 이루어진다. IP 패킷의 인바운드 처리는 먼저 보안연계의 처리 후, 목적지 주소, 보안 파라미터 인덱스(SPI; Security Parameter Index), IPsec 프로토콜을 이용하여 해당 정책이 올바르게 적용되었는지를 검사하게 된다. 하지만, 이러한 일반적인 IPsec적용 방법은 이동 IPv6(MIPv6; Mobile IPv6)에서는 상이한 방식을 요구하게 된다. 왜냐하면, MIPv6에서는 이동 노드가 새로운 네트워크로 이동할 때 새로운 주소를 할당받아야 하기 때문이다. 따라서 이러한 이동 주소와 보안정책을 검색하기 위한 식별자를 구분할 수 있어야 올바른 IPsec 서비스를 제공할 수 있다. 결과적으로, 이러한 처리 방식은 MIPv6의 안전한 이동성 제공을 위한 IPsec 적용에 있어서 매우 중요한 역할을 수행한다.
MIPv6는 이동 단말의 이동시, 홈 에이전트와 이동노드사이의 메시지를 보호하기 위해 IPsec 터널 모드와 트랜스포트 모드의 사용을 정의하고 있는데 이 때 보호할 메시지에 대한 정확한 IPsec 정책을 얻는 것이 IPsec의 적용에 있어서 무엇보다도 중요하다.
본 발명이 이루고자 하는 기술적 과제는, 상기와 같은 단점들을 해결하기 위하여, 이동 IPv6(MIPv6; Mobile IPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷의 전달을 위해 사용되는 이동 노드와 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜 터널 모드 처리 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 상기와 같은 단점들을 해결하기 위하여, 이동 IPv6(MIPv6; Mobile IPv6)에서 라우팅 최적화를 위한 MIPv6 신호 및 사용자 패킷의 전달을 위해 사용되는 이동 노드와 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜 터널 모드 처리 장치를 제공하는 데 있다.
본 발명은 상기한 기술적 과제를 달성하기 위하여, 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법에 있어서,
(a) 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용하는 단계; 및
(b) 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증하는 단계를 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 방법을 제공한다.
본 발명은 상기한 기술적 과제를 달성하기 위하여, 이동 인터넷 프로토콜 버전 6(Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법에 있어서,
홈 에이전트에서 대응 노드로부터 수신한 MIPv6 신호로부터 보안 정책 식별 자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드 처리하여 이동 노드로 전달하는 단계; 및
홈 에이전트에서 이동 노드로부터 수신한 IPsec 터널 모드 처리된 MIPv6 신호로부터 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 MIPv6 신호에서 IPsec 터널을 제거한 후 대응 노드로 전달하는 단계를 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 방법을 제공한다.
본 발명은 상기한 다른 기술적 과제를 달성하기 위하여, 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 장치에 있어서,
이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용하는 적용 수단; 및
이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증하는 검증 수단을 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 장치를 제공한다.
이하, 첨부한 도면을 참조하면서 본 발명에 따른 바람직한 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명에 사용되는 용어는 다음과 같이 정의한다.
IPv6 : 인터넷 프로토콜 버전 6(Internet Protocol version 6)
MIPv6 : 이동 IPv6(Mobile IPv6)
SPDB : 보안 정책 데이터베이스(security policy database)
SADB : 보안 연계 데이터베이스(security association database)
HoA : 이동 노드의 홈 주소
HA : 홈에이전트의 주소
CoA : 이동 노드의 이동 주소
CN : 대응 노드 주소
ESP : 캡슐화 보안 페이로드(Encapsulating Security Payload)
AH : 인증 헤더(Authentication Header)
MH : 이동 헤더(Mobility Header)
HoTI : Mobile IPv6에서 홈 테스트 시작 메시지
HoT : Mobile IPv6에서 홈 테스트 메시지
sa, sp : 송신지 주소 및 포트
da, dp : 목적지 주소 및 포트
x_ptc : IPsec 변환 프로토콜로서 ESP, AH가 해당됨
Sa_ref : 보안정책과 보안연계를 논리적으로 연계시키기 위한 정보
도 1은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.
도 1을 참조하여 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법을 설명한다. 우선, 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용한다(단계 S10). 또한, 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정책과 IPsec 처리가 부합하는지를 검증한다(단계 S12).
바람직하기로는, 상기 단계 S10 및 S12는 보안 정책 조회 식별자로서 IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형이 선정되는 단계를 포함할 수 있다.
또한, 상기 단계 S10은 상기 보안 정책 조회 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가하는 단계를 포함할 수 있다.
한편, 상기 단계 S12는 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거하는 단계를 포함할 수 있다.
도 2는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법을 나타내는 흐름도이다.
도 2를 참조하여, 이동 인터넷 프로토콜 버전 6(Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법을 설명한다. 우선, 홈 에이전트에서 대응 노드로부터 수신한 MIPv6 신호로부터 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드 처리하여 이동 노드로 전달한다(단계 S20). 또한, 홈 에이전트에서 이동 노드로부터 수신한 IPsec 터널 모드 처리된 MIPv6 신호로부터 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 MIPv6 신호에서 IPsec 터널을 제거한 후 대응 노드로 전달한다(단계 S22).
도 3은 본 발명의 일 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)를 나타내는 블록도이다.
도 3을 참조하면, 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 장치(1)는 IPsec 터널 모드 적용부(2) 및 검증부(3)를 포함한다. IPsec 터널 모드 적용부(2)는 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 IPsec 터널 모드를 적용할 수 있다. 검증부(3)는 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 보안 정책 조회 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 조회된 보안 정 책과 IPsec 처리가 부합하는지를 검증할 수 있다.
상기 IPsec 터널 모드 적용부(2) 및 검증부(3)는 보안 정책 조회 식별자로서 IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형을 선정할 수 있다.
또한, 상기 IPsec 터널 모드 적용부(2)는 상기 보안 정책 조회 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가할 수 있다.
한편, 상기 검증부(3)는 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거할 수 있다.
도 4는 본 발명의 다른 실시예에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)를 나타내는 블록도이다.
도 4를 참조하면, 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)는 IPsec 모듈(10), MIPv6 모듈(20), IPv6 모듈(30), IPv6-IPv6 터널링 모듈(40), 보안 정책 모듈(50), 및 보안 연계 모듈(60)을 포함한다.
본 발명이 제공하는 MIPv6 IPsec 터널 모드 적용 절차는 아웃바운드(Outbound) 패킷 처리 절차와 인바운드(Inbound) 패킷 처리 절차로 나누어진다. 이러한 절차는 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)에 의해 수행될 수 있다.
IPsec 모듈(10)은 IPsec 처리를 담당하고, MIPv6 모듈(20)은 노드의 이동성 과 관련된 처리를 수행한다. IPv6 모듈(30)은 IPv6 패킷 처리 절차를 담당하고, IPv6-IPv6 터널링 모듈(40)은 IPv6 터널링 헤더를 제공한다. 보안 정책 모듈(50)은 IPsec을 적용할 패킷에 대한 정보와 IPsec 보안 정책 관리를 담당하고, 보안 연계 모듈(60)은 보안 연계의 관리를 담당한다.
상술된 바와 같은 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 장치(1)는 이동 노드 및 홈 에이전트에 포함될 수 있다.
이제, 도 4 내지 도 7을 참조하여 본 발명에 따른 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치를 설명한다. 도 5는 보안 정책 및 보안 연계 조회 절차를 나타내는 도면이고, 도 6은 MIPv6 IPsec 터널 모드에서의 아웃바운드 패킷 처리 절차를 나타내는 도면이며, 도 7은 MIPv6 IPsec 터널 모드에서의 인바운드 패킷 처리 절차를 나타내는 도면이다.
우선, 이동 노드에 있어서, MIPv6에서의 아웃바운드 IPsec 터널 모드 처리를 설명한다. 아웃바운드 IPsec 터널 모드 처리는 HoTI 메시지를 홈 에이전트를 경유하여 대응 노드로 전달하는 경우 이용될 수 있다. 우선, IPv6 모듈(30)과 MIPv6 모듈(20)은 도 6의 참조번호 100과 같이 IPv6 헤더, MH 헤더 및 데이터를 갖는 패킷을 생성한다.
그 다음, MIPv6 사양에 따라 도 6의 참조번호 102와 같은 패킷을 얻기 위해 IPv6-IPv6 터널링 모듈(40)에게 터널링 작업을 요청한다. IPv6-IPv6 터널링 작업이 완료되면 도 5의 IPsec 보안 정책 조회 절차와 같이 sa와 da 및 프로토콜(MH)을 이용하여 보안 정책 모듈(50)에 해당 IPsec정책을 문의한다. 이 때 정책 조회를 위한 식별자로 sa와 da 및 다음 헤더 정보인 프로토콜 타입은 내부 IPv6 헤더의 정보인 (HoA, CN, MH)를 선정하게 된다. 여기서, 우선 외부 IPv6 헤더의 다음 헤더를 조사한 후, 다음 헤더가 IPv6 헤더일 경우, 상기 내부헤더의 정보를 정책 식별자로 사용하도록 하는 절차가 수행되도록 한다. 즉, 다음 헤더가 IPv6 헤더라는 것은 IPv6-IPv6 터널링된 패킷임을 나타내므로 정책조회를 위한 식별자를 그 내부 IPv6 헤더로부터 취하도록 한다. 따라서, 해당 정책이 조회됨과 동시에 해당 보안 연계를 얻을 수 있는 논리적 구조를 이용하여 도 5와 같이 보안 연계 모듈(60)로부터 보안연계를 얻을 수 있다. 결과적으로, IPsec ESP 처리가 수행된 후 도 6의 참조번호 104와 같은 최종적인 IPv6 패킷을 얻을 수 있다.
또한 유사하게, 예를 들어, 대응 노드로부터 홈 에이전트를 경유하여 이동 노드로 전달되는 HoT 메시지의 경우와 같이, sa가 CN이고 da가 HoA인 도 6의 참조번호 100과 비슷한 패킷을 수신하는 홈 에이전트의 경우에 있어서, 처리 절차는 이동 노드의 아웃바운드 IPsec 터널 모드 처리의 경우와 동일하게 진행된다.
한편, 이동 노드에 있어서, 인바운드 IPsec 터널 모드 처리를 설명한다. 우선, 이동 노드는 도 7의 참조번호 200과 같은 IPv6 패킷을 수신한다. 이때, IPsec 모듈(10)은 외부 IPv6헤더와 IPsec 헤더를 보고 도 5의 인바운드 처리와 같이 (da, spi, x_ptc) 정보를 얻고 이를 이용하여 보안 연계 모듈(60)에게 해당 보안 연계 정보를 요청한다. 보안 연계가 조회되면, 이에 따라 IPsec 모듈(10)이 IPsec 처리를 수행하고 도 7의 참조번호 202와 같이 ESP 헤더를 제거한다.
성공적으로 IPsec 처리가 수행되고 나면 IPsec 처리가 해당 보안 정책과 부 합하는지에 대한 검증 작업을 수행하게 된다. 이 때 사용되는 보안정책 조회 식별자로는 IPv6 내부헤더의 (sa, da, next header) 정보가 된다. 이것은 아웃바운드 처리 시와 마찬가지로 외부 IPv6의 다음 헤더 정보가 IPv6 헤더일 경우에만 내부 IPv6 헤더 정보를 사용하는 절차를 수행하도록 한다. 따라서 내부 IPv6 헤더로부터 (CN, HoA, MH)를 식별자로 선정하게 되고 조회된 정책과 IPsec 처리가 일치하는지를 검증하게 된다. 검증이 완료되면 IPv6 모듈(30)이 터널 헤더를 도 7의 참조번호 204와 같이 제거한 후, MIPv6 신호 처리를 위해 MIPv6 모듈(20)로 패킷을 넘기게 된다.
한편, sa가 CoA이고 da가 HA인 이동 노드로부터의 IPsec 터널 메시지를 받은 홈 에이전트의 경우도 마찬가지로, 상기 이동 노드 인바운드 IPsec 터널 처리 절차에 따라 수행될 수 있다. 결과적으로, 터널 헤더를 제거한 IPv6 패킷은 내부 헤더의 목적지 주소로 전달된다.
또한, 본 발명은 MIPv6상에서 사용자 패킷의 전달을 위한 IPsec 터널 모드의 사용에도 그대로 적용될 수 있다.
본 발명은 IPv6망을 이용하여 단말의 이동성을 안전하고 효율적으로 제공하기 위한 통신서비스에 사용될 수 있다.
이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 있어서 통상의 지식을 가진 사람이라면, 첨부된 청구범위에 정의된 본 발명의 정신 및 범위를 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시 예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
상술한 바와 같이, 본 발명에 따르면 IPsec 터널 모드 처리 절차를 단말의 이동성이 존재하는 환경에서도 잘 동작할 수 있도록 MIPv6 모듈과 연계함으로써, 보다 단순하고 명확한 IPsec 처리 절차를 제공한다. 따라서, 향후 무선 및 이동 네트워크 환경에서 IPsec 보안 기능을 가지는 장비의 구현에 보다 쉽고 빠른 방법을 제공할 수 있다.

Claims (9)

  1. 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법에 있어서,
    (a) 이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형을 포함하는 보안 정책 조회 식별자를 선정하고, 상기 보안 정책 조회 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가하여 IPsec 터널 모드를 적용하는 단계; 및
    (b) 이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 상기 보안 정책 조회 식별자를 선정하고, 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 상기 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거하는 단계를 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 이동 인터넷 프로토콜 버전 6(Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 방법에 있어서,
    홈 에이전트에서 대응 노드로부터 수신한 MIPv6 신호로부터 IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형을 포함하는 보안 정책 식별자를 선정하고, 선정된 보안 정책 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가하여 이동 노드로 전달하는 단계; 및
    홈 에이전트에서 이동 노드로부터 수신한 IPsec 터널 모드 처리된 MIPv6 신호로부터 상기 보안 정책 식별자를 선정하고, 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 상기 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거하여 대응 노드로 전달하는 단계를 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 방법.
  6. 이동 인터넷 프로토콜 버전 6(MIPv6; Mobile IPv6) 상에서 이동 노드 및 홈 에이전트 간에 설정되는 인터넷 보안 프로토콜(IPsec) 터널 모드 처리를 위한 장치에 있어서,
    이동 노드에서 MIPv6 패킷의 아웃바운드(Outbound) IPsec 터널 모드 처리를 위하여, IPv6 헤더의 송신지 주소, 목적지 주소, 및 다음 헤더 정보인 프로토콜 유형을 포함하는 보안 정책 조회 식별자를 선정하고, 상기 선정된 보안 정책 식별자를 이용하여 송신지 주소 및 목적지 주소를 포함하는 IPv6 터널 헤더를 상기 MIPv6 패킷에 추가하여 IPsec 터널 모드를 적용하는 적용 수단; 및
    이동 노드에서 MIPv6 패킷의 인바운드(Inbound) IPsec 터널 모드 처리를 위하여, 상기 보안 정책 조회 식별자를 선정하고, 상기 보안 정책 조회 식별자를 이용하여 조회된 정책과 IPsec 처리가 부합하는 경우, 상기 IPv6 터널 헤더를 상기 MIPv6 패킷으로부터 제거하는 검증 수단을 포함하는 것을 특징으로 하는 인터넷 보안 프로토콜 터널 모드 처리 장치.
  7. 삭제
  8. 삭제
  9. 삭제
KR1020040094406A 2004-11-18 2004-11-18 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치 KR100617315B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040094406A KR100617315B1 (ko) 2004-11-18 2004-11-18 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040094406A KR100617315B1 (ko) 2004-11-18 2004-11-18 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20060055085A KR20060055085A (ko) 2006-05-23
KR100617315B1 true KR100617315B1 (ko) 2006-08-30

Family

ID=37151306

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040094406A KR100617315B1 (ko) 2004-11-18 2004-11-18 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100617315B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150116170A (ko) 2014-04-07 2015-10-15 한국전자통신연구원 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20060055085A (ko) 2006-05-23

Similar Documents

Publication Publication Date Title
EP1463257B1 (en) Communication between a private network and a roaming mobile terminal
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
KR100847167B1 (ko) 단말기 및 통신 시스템
US20060182083A1 (en) Secured virtual private network with mobile nodes
US8413243B2 (en) Method and apparatus for use in a communications network
EP2061200B1 (en) Method and device for binding update between mobile node and correspondent node
US20070186100A1 (en) Packet communication system
EP2151142B1 (en) Methods and apparatus for sending data packets to and from mobile nodes
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
US7623500B2 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
US8805329B2 (en) Method and system for assigning home agent
Korhonen et al. Local mobility anchor (LMA) discovery for proxy mobile IPv6
US8514777B1 (en) Method and apparatus for protecting location privacy of a mobile device in a wireless communications network
US8761007B1 (en) Method and apparatus for preventing a mobile device from creating a routing loop in a network
KR100617315B1 (ko) 인터넷 보안 프로토콜 터널 모드 처리 방법 및 장치
KR20090065023A (ko) 인터넷 보안 프로토콜 터널 모드 처리방법
Korhonen et al. RFC 6097: Local Mobility Anchor (LMA) Discovery for Proxy Mobile IPv6

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20041118

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20060427

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20060731

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20060822

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20060823

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee