[go: up one dir, main page]

KR20140099598A - 모바일 vpn 서비스를 제공하는 방법 - Google Patents

모바일 vpn 서비스를 제공하는 방법 Download PDF

Info

Publication number
KR20140099598A
KR20140099598A KR1020130012171A KR20130012171A KR20140099598A KR 20140099598 A KR20140099598 A KR 20140099598A KR 1020130012171 A KR1020130012171 A KR 1020130012171A KR 20130012171 A KR20130012171 A KR 20130012171A KR 20140099598 A KR20140099598 A KR 20140099598A
Authority
KR
South Korea
Prior art keywords
gateway
vpn
information
address
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020130012171A
Other languages
English (en)
Inventor
윤호선
김선철
류호용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130012171A priority Critical patent/KR20140099598A/ko
Priority to US14/083,872 priority patent/US20140223541A1/en
Publication of KR20140099598A publication Critical patent/KR20140099598A/ko
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

모바일 VPN 서비스를 제공하는 방법이 개시된다. 모바일 VPN(Virtual Private Network) 서비스를 제공하기 위한 그룹 및 터널 관리자의 동작방법에서, 게이트웨이로부터 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 수신하는 단계와 제1 메시지를 기초로 하여 그룹 및 터널 관리자와 게이트웨이 사이의 터널정보를 생성하는 단계 및 터널정보를 기초로 하여 패킷을 전달하면, 모바일 VPN에서도 사설주소를 사용하여 공인주소를 사용하기 어려운 환경에서도 VPN 사이트를 구성하거나 융통성 있는 VPN 사이트를 구성할 수 있다.

Description

모바일 VPN 서비스를 제공하는 방법{METHOD FOR PROVIDING SERVICE OF MOBILE VPN}
본 발명은 모바일 VPN 서비스를 제공하는 방법에 관한 것으로 더욱 상세하게는 사설주소를 목적지 주소로 사용할 수 있는 모바일 VPN 서비스를 제공하는 방법에 관한 것이다.
현재 VPN(Virtual Private Network) 기술은 IPSec(Internet Protocol Security Protocol)이나 TLS(Transport Layer Security)와 같은 보안 기법을 이용한 VPN 기술과, MPLS(Multiprotocol Label Switching)와 같은 터널링 기술을 이용하는 VPN 기술이 존재한다. 보안 기법을 이용한 VPN 방식은 보안 측면에서 우수한 특성을 가지고 있기 때문에 단말과 사이트 및 사이트와 사이트 사이의 VPN을 위해서 주로 사용되고 있으며, 터널링 기술을 이용한 VPN 방식은 보안 측면보다는 주로 사이트와 사이트 사이의 VPN 연결을 지원하기 위한 기술로서 이용되고 있다. 특히, MPLS를 이용하는 VPN인 경우에는 사설주소를 이용할 수 있지만 사이트와 사이트 사이의 VPN 서비스만을 지원하고 있다. VPN과 유사한 기술로는 VPC(Virtual Private Cloud) 기술이 있으며 이 기술은 IPSec과 같은 보안 기술을 이용하면서 사설주소를 지원할 수 있는 특징이 있지만 사이트와 사이트 사이의 연결만을 고려하고 있다.
상술한 바와 같은 단점을 극복하기 위한 본 발명의 목적은 사설주소를 목적지 주소로 사용할 수 있으며, 이동성을 가지는 모바일 VPN 서비스를 제공하는 방법을 제공하는 것이다.
상술한 본 발명의 목적을 달성하기 위한 본 발명의 일측면에 따른 모바일 VPN 서비스를 제공하는 방법에 따르면 모바일 VPN(Virtual Private Network) 서비스를 제공하기 위한 그룹 및 터널 관리자의 동작방법에서, 게이트웨이로부터 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 수신하는 단계와 상기 제1 메시지를 기초로 하여 상기 그룹 및 터널 관리자와 상기 게이트웨이 사이의 터널정보를 생성하는 단계 및 상기 터널정보를 기초로 하여 패킷을 전달한다.
여기서, 상기 VPN 그룹의 주소 집합에 포함된 적어도 하나의 주소는 사설주소인 것을 특징으로 할 수 있다.
여기서, 상기 제1 메시지는 상기 게이트웨이 정보, 상기 게이트웨이가 소유하는 VPN 그룹의 이름, 상기 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 터널정보를 생성하는 단계는, 상기 제1 메시지에 포함된 VPN 그룹에 VPN ID를 할당하는 단계와 상기 VPN ID를 포함하는 VPN 그룹의 정보를 생성하고, 상기 VPN 그룹의 정보를 기초로 하여 제2 메시지를 생성하는 단계와 제2 메시지를 상기 제1 메시지를 전송한 상기 게이트웨이를 포함하여 상기 VPN 그룹을 소유하는 게이트웨이에 전송하는 단계 및 상기 그룹 및 터널 관리자와 상기 게이트웨이 사이의 터널정보를 생성하는 단계를 포함할 수 있다.
여기서, 상기 제2 메시지는 상기 그룹 및 터널 관리자 정보, 상기 게이트웨이 주소, 상기 VPN 그룹의 VPN ID, 상기 전송 받는 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 터널정보는 상기 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 중 적어도 하나를 포함하고, 상기 목적지 주소는 사설주소인 것을 특징으로 할 수 있다.
또한, 본 발명의 다른 목적을 달성하기 위한 본 발명의 일측면에 따른 모바일 VPN 서비스를 제공하는 방법에 따르면, 모바일 VPN 서비스를 제공하기 위한 게이트웨이의 동작방법에서, 그룹 및 터널 관리자에게 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 전송하는 단계와 상기 그룹 및 터널 관리자로부터 상기 제1 메시지에 상응하는 VPN ID를 포함하는 상기 VPN 그룹의 정보를 기초로 하여 생성된 제2 메시지를 수신하는 단계와 상기 제2 메시지를 기초로 하여 상기 게이트웨이와 상기 그룹 및 터널 관리자 사이의 터널정보를 생성하는 단계 및 상기 터널정보를 기초로 하여 패킷을 전달하는 단계를 포함한다.
여기서, 상기 VPN 그룹의 주소 집합에 포함된 적어도 하나의 주소는 사설주소인 것을 특징으로 할 수 있다.
여기서, 상기 제1 메시지는 상기 게이트웨이 정보, 상기 게이트웨이가 소유하는 VPN 그룹의 이름, 상기 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 제2 메시지는 상기 그룹 및 터널 관리자 정보, 상기 게이트웨이 주소, 상기 VPN 그룹의 VPN ID, 전송 받는 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 터널정보는 상기 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 중 적어도 하나를 포함하고, 상기 목적지 주소는 사설주소인 것을 특징으로 할 수 있다.
또한, 본 발명의 다른 목적을 달성하기 위한 본 발명의 일측면에 따른 모바일 VPN 서비스를 제공하는 방법에 따르면, 모바일 VPN 서비스를 제공하기 위한 모바일 장치의 동작방법에서, 그룹 및 터널 관리자로부터 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 정보를 획득하는 단계와 상기 획득한 게이트웨이 정보를 기초로 하여 상기 모바일 장치와 상기 게이트웨이 사이의 터널 정보를 생성하는 단계 및 상기 터널정보를 기초로 하여 패킷을 전달하는 단계를 포함한다.
여기서, 상기 VPN 그룹의 주소 집합에 포함된 적어도 하나의 주소는 사설주소인 것을 특징으로 할 수 있다.
여기서, 상기 게이트웨이의 정보를 획득하는 단계는, 상기 그룹 및 터널 관리자에게 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 정보를 획득하기 위해 게이트웨이 정보 요청 메시지를 전송하는 단계 및 상기 요청한 게이트웨이 정보 요청 메시지에 대응하는 게이트웨이 정보 응답 메시지를 수신하는 단계를 포함할 수 있다.
여기서, 상기 게이트웨이 정보 요청 메시지는, 접속을 원하는 VPN 그룹의 이름을 포함할 수 있다.
여기서, 상기 게이트웨이 정보 응답 메시지는, 상기 모바일 장치의 HoA(Home Address) 주소, 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 CoA(Care of Address) 주소, 상기 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 터널 정보를 생성하는 단계는 상기 게이트웨이에 터널생성 요청 메시지를 전송하는 단계와 상기 게이트웨이로부터 터널생성 요청 메시지에 대응하는 터널생성 응답 메시지를 수신하는 단계 및 상기 터널생성 응답 메시지를 기초로 하여 상기 모바일 장치와 상기 게이트웨이 사이의 터널 정보를 생성하는 단계를 포함할 수 있다.
여기서, 상기 터널생성 요청 메시지는, 모바일 장치의 주소 및 접속을 원하는 VPN 그룹의 이름을 포함할 수 있다.
여기서, 상기 터널생성 응답 메시지는, 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 CoA(Care of Address) 주소, 상기 게이트웨이가 소유하는 VPN 그룹의 VPN ID, 상기 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 터널정보는 상기 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 중 적어도 하나를 포함하고, 상기 목적지 주소는 사설주소인 것을 특징으로 할 수 있다.
상술한 바와 같은 모바일 VPN 서비스를 제공하는 방법에 따르면 이동성을 제공하는 모바일 VPN에서도 사설주소를 사용하여 공인주소를 사용하기 어려운 환경에서도 VPN 사이트를 구성하거나 융통성 있는 VPN 사이트를 구성할 수 있다.
도 1은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법의 망 구성 예시도 이다.
도 2는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 GTM과 제1 게이트웨이 사이의 동작 절차 예시도 이다.
도 3은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 GTM과 두 게이트웨이 사이의 동작 절차 예시도 이다.
도 4는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치와 제1 게이트웨이 사이의 동작 절차 예시도 이다.
도 5는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치와 제2 게이트웨이 사이의 동작 절차 예시도 이다.
도 6은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 제2 게이트웨이의 가입자 망 구성 예시도 이다.
도 7은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치와 제2 노드 사이의 패킷 전송 절차 예시도 이다.
도 8은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 제1 노드와 제2 노드 사이의 패킷 전송 절차 예시도 이다.
도 9는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 그룹 및 터널 관리자의 동작 절차 순서도이다.
도 10은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 게이트웨이의 동작 절차 순서도이다.
도 11은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치의 동작 절차 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법의 망 구성 예시도 이다.
도 1을 참조하면 망 구성은 모바일 장치(101), 제1 게이트웨이(102), 제2 게이트웨이(103), 그룹 및 터널 관리자(Group & Tunnel Manager, GTM)(104), 제1 노드(105), 제2 노드(106), VPN 그룹 A의 제1 사이트(107), VPN 그룹 B의 제1 사이트(108), VPN 그룹 A의 제2 사이트(109), 모바일 장치(101)와 게이트웨이(102, 103) 사이의 터널(110, 111), GTM(104)과 게이트웨이(102, 103) 사이의 터널(112, 113), 제1 게이트웨이(102)와 제2 게이트웨이(103) 사이의 터널(114)로 나타낼 수 있다.
모바일 장치(101)는 적어도 하나 이상의 무선 인터페이스를 지원 가능하여, 이동하면서 이기종 망에서 서비스가 가능한 이동 단말이다.
이러한 단말인 모바일 장치(101)는 공중망에서 사용할 CoA(Care of Address)와 단말을 구분하기 위한 ID로써 사용되는 HoA(Home of Address)를 가질 수 있다.
제1 게이트웨이(102)는 VPN 게이트웨이로써 터널링 작업과 보안 작업을 수행하며, VPN 그룹 A를 가입자로 보유하는 것을 가정한다.
제2 게이트웨이(103)는 VPN 게이트웨이로써 터널링 작업과 보안 작업을 수행하며, VPN 그룹 A와 VPN 그룹 B를 가입자로 보유하는 것을 가정한다.
GTM(104)은 VPN 그룹 정보 관리 및 게이트웨이 사이의 패킷 전달을 수행하는 관리장비로 필요에 따라 터널링 작업을 수행할 수 있다.
제1 노드(105)는 VPN 그룹 A의 한 가입자로써 제1 게이트웨이(102)가 서비스하는 망에 존재하며, VPN과 관련된 기능을 포함하지 않고, 사설주소 (Y.Y.Y.1)을 갖는 것으로 가정한다.
제2 노드(106)는 VPN 그룹 A의 한 가입자로써 제2 게이트웨이(103)가 서비스하는 망에 존재하며, VPN과 관련된 기능을 포함하지 않고, 사설주소 (X.X.X.2)을 갖는 것으로 가정한다.
VPN 그룹 A의 제1 사이트(107)는 사설주소 집합(Y.Y.Y.*)를 사용하며, 제1 게이트웨이(102)가 관리한다.
VPN 그룹 B의 제1 사이트(108)는 사설주소 집합(X.X.X.*)를 사용하며, 제2 게이트웨이(103)가 관리한다.
VPN 그룹 A의 제2 사이트(109)는 사설주소 집합(X.X.X.*)를 사용하며, 제2 게이트웨이(103)가 관리한다.
모바일 장치(101)와 제1 게이트웨이(102) 사이의 터널 (110)은 이동 단말과 제1 게이트웨이(102)와의 터널을 나타내며, 이 터널은 다양한 터널 방식들이 사용될 수 있지만 본 발명에서는 IP-in-IP 터널을 기반으로 기술하며 바깥쪽 IP 헤더에는 CoA를 안쪽 IP 헤더에는 HoA를 사용하는 것을 가정한다. 모바일 장치(101)와 게이트웨이(103) 사이의 터널(111)은 이동 단말과 제2 게이트웨이(103)와의 터널을 나타낸다. GTM(104)과 제1 게이트웨이(102) 사이의 터널(112)과 GTM(104)과 제2 게이트웨이(103) 사이의 터널(113)은 게이트웨이 사이에 교환되는 패킷들을 위한 터널로써 게이트웨이(102, 103) 사이에 교환되는 패킷들은 기본적으로 모두 GTM(104)을 거쳐서 교환된다. 다만 게이트웨이(102, 103) 사이에 직접 터널이 설정된 경우에는 해당 터널을 이용할 수 있으며 이러한 경우에는 GTM(104)을 통과하지 않을 수 있다. 제1 게이트웨이(102)와 제2 게이트웨이(103) 사이의 터널(114)은 게이트웨이 사이에 설정된 직접 터널을 나타내며, 이러한 터널을 생성하기 위해서는 NAT Traversal 기술이 필요하다. 본 발명에서는 제1 게이트웨이(102)와 제2 게이트웨이(103) 사이의 터널(114)을 생성하기 위한 구체적인 절차와 방법에 대해서는 언급하지 않는다.
도 2는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 GTM과 제1 게이트웨이 사이의 동작 절차 예시도 이다.
도 2는 GTM(104)과 제1 게이트웨이(102) 사이의 VPN 그룹 정보 교환과 터널 생성 절차를 나타낸다.
도 2를 참조하면, 제1 게이트웨이(102)와 GTM(104)은 서로 간의 인증절차를 수행할 수 있다(S201).
이러한 인증절차는 다양한 방법과 기술들이 사용될 수 있으며, 본 발명에서는 구체적인 방법과 기술에 대해서는 언급하지 않는다.
제1 게이트웨이(102)는 제1 게이트웨이(102)가 관리하는 가입자의 VPN 정보를 포함하는 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 GTM에게 전송할 수 있다(S202).
제1 게이트웨이(102)가 전송하는 제1 메시지 내에는 제1 게이트웨이(102)가 NAT(Network address translation) 뒤에 위치하는지 여부를 판단하기 위한 게이트웨이 주소 정보(GW1_CA)와 VPN 그룹 이름(GA) 및 주소 집합(Y.Y.Y.*)과 같은 VPN 그룹의 정보가 포함될 수 있다.
제1 메시지를 수신한 GTM(104)은 해당 VPN 그룹에 ID(VPN ID)를 할당하고 제1 게이트웨이(102)에 HoA를 할당할 수 있다(S203).
여기서 VPN ID는 VPN 그룹별로 하나만 정의되며 VPN 그룹을 구분하기 위한 구별자로 사용된다. 제1 게이트웨이(102)의 HoA는 게이트웨이 별로 하나만 할당되며 제1 게이트웨이(102)에서 운용자가 직접 입력할 수도 있다.
GTM(104)은 제1 게이트웨이(102)에게 VPN ID를 포함한 VPN 그룹의 정보를 기초로 하여 생성된 제2 메시지를 전송할 수 있다(S204).
GTM(104)이 전송하는 제2 메시지에는 GTM(104)의 HoA 주소, 제1 게이트웨이(102)의 HoA 주소, VPN 그룹 A의 VPN ID 중 적어도 하나가 포함될 수 있다.
제1 게이트웨이(102)는 수신한 제2 메시지에 포함된 VPN ID 정보 및 주소 정보들을 저장할 수 있다(S205).
GTM(104)와 제1 게이트웨이(102)는 GTM(104)과 제1 게이트웨이(102) 사이의 터널정보를 생성하여 터널을 생성할 수 있다(S206).
제1 GTM 터널정보(208)는 GTM(104)이 생성한 터널정보를 나타낸 것이다. 터널정보에는 VID(VPN ID)와 HoA를 이용해서 바깥쪽 IP 헤더에 활용될 주소들의 정보가 포함된다. 예를 들면 VPN ID가 0이고 목적지 주소가 GW1_HA 즉, 제1 게이트웨이(102)의 HoA인 경우에는 바깥쪽 IP 헤더의 출발지 주소(O_SIP)에 GTM_CA 즉, GTM(104)의 CoA를 바깥쪽 IP 헤더의 목적지 주소(O_DIP)에는 GW1_CA 즉, 제1 게이트웨이(102)의 CoA를 넣어서 새로운 IP 헤더를 만들 수 있다.
제1 게이트웨이(102)의 제1 터널정보(209)는 제1 게이트웨이(102)에서 생성된 터널정보를 나타낸다. 터널정보는 VID(VPN ID)와 HoA를 이용해서 바깥쪽 IP 헤더의 출발지 주소와 목적지 주소를 찾기 위해서 사용되며, 바깥쪽 IP 헤더에 포함되는 주소들은 공중망을 통과할 수 있는 CoA 주소를 이용한다. 이때 VPN ID는 VPN 그룹을 구분하기 위한 구분자로 사용되며, 제1 게이트웨이(102)와 GTM(104) 사이의 터널은 사설주소와 연관이 없기 때문에 특정한 VPN 그룹을 의미하지 않는 미리 정의된 값을 이용한다. 본 발명에서는 이 값을 '0'으로 정의하였으며, 이 값은 구현에 따라서 달라질 수 있다.
도 3은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 GTM과 두 게이트웨이 사이의 동작 절차 예시도 이다.
도 3은 도 2의 절차 완료 후에 수행되는 것으로 가정하며, GTM(104)과 두 게이트웨이(102, 103) 사이의 그룹 정보 교환 절차를 나타낸다.
제2 게이트웨이(103)와 GTM(104)은 서로 간의 인증절차를 수행할 수 있다(S301).
도 2에서와 마찬가지로, GTM(104)와 제2 게이트웨이(103) 사이의 인증절차는 본 발명에서 구체적으로 언급하지 않는다.
제2 게이트웨이(103)는 GTM(104)에 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 전송한다(S302).
해당 제1 메시지는 도 2의 단계 S202와 동일한 형태의 정보를 포함하며, 제2 게이트웨이(103)는 VPN 그룹 A와 VPN 그룹 B를 포함하고 있다고 가정하였기 때문에 두 VPN 그룹의 정보들이 전달될 수 있다.
제2 게이트웨이(103)로부터 제1 메시지를 수신한 GTM(104)은 제2 게이트웨이(103)에게 VPN 그룹의 정보를 기초로 하여 생성된 제2 메시지를 전송할 수 있다(S303).
해당 제2 메시지에는 GTM(104)의 HoA, 제2 게이트웨이(103)의 HoA, VPN 그룹 A와 VPN 그룹 B의 VPN ID 정보, 제1 게이트웨이(102)에 속한 VPN 그룹 A 정보 중 적어도 하나가 포함될 수 있다.
제2 게이트웨이(103)로부터 제1 메시지를 수신한 GTM(104)은 제1 게이트웨이(102)에게 제2 메시지를 전송할 수 있다(S304).
제2 메시지에는 제2 게이트웨이(103)에 포함된 VPN 그룹 A의 주소 정보만 포함되며 VPN 그룹 B의 주소 정보는 포함되지 않는다. 이것은 제1 게이트웨이(102)에 VPN 그룹 B에 속하는 사이트가 존재하지 않기 때문이다. 즉, GTM(104)은 최초에 제1 게이트웨이(102)로부터 VPN 그룹 A와 관련된 정보를 수신하고, VPN 그룹 A를 소유하는 게이트웨이가 존재하는지 여부를 확인한다. 만약 존재한다면 해당 게이트웨이로 VPN 그룹 A 정보를 전달하며, 존재하지 않는다면 제1 게이트웨이(102)에게만 VPN 그룹 A 정보를 전달한다(도 2의 단계 S204). 제2 게이트웨이(103)가 GTM(104)에게 제1 메시지를 전송하면 GTM(104)은 VPN 그룹 A와 VPN 그룹 B와 관련된 정보를 소유하는 게이트웨이가 존재하는지 검색을 한다. 본 발명의 실시예에서는 제1 게이트웨이(102)가 VPN 그룹 A 정보를 가지고 있기 때문에 GTM(104)은 해당 정보를 제2 게이트웨이(103)에게 전달하고(S303), 제2 게이트웨이(103)가 등록한 VPN 그룹 A 정보는 제1 게이트웨이(102)에게 전달할 수 있다(S304).
제2 게이트웨이(103)는 GTM(104)로부터 수신한 제2 메시지에 포함된 VPN ID 및 주소 정보를 저장할 수 있다(S305).
제1 게이트웨이(102)은 GTM(104)로부터 수신한 제2 메시지에 포함된 VPN ID 및 주소 정보를 저장할 수 있다(S306).
제1 게이트웨이(102), GTM(104), 제2 게이트웨이(103)는 GTM(104)와 게이트웨이(102, 103) 사이의 터널정보를 생성하여 터널을 생성할 수 있다(S307).
제2 게이트웨이(103)의 제1 터널정보(308)에는 GTM(104)과의 터널정보[VID(VPN ID): 0, IP: GTM_HA]와 VPN 그룹 A를 포함하는 제1 게이트웨이(102)와의 터널정보[VID(VPN ID): 1, IP: Y.Y.Y.*]가 존재한다.
GTM(104)에서 관리하는 제2 GTM 터널정보(309)는 도 2의 제1 GTM 터널정보(208)에 제2 게이트웨이(103)의 터널정보와 VPN 그룹 A와 연관된 두 개의 터널정보(X.X.X.*와 Y.Y.Y.*)가 추가된다.
제1 게이트웨이(102)의 제2 터널정보(310)는 제1 게이트웨이(102)의 제1 터널정보(209)의 터널정보에 X.X.X.*의 주소 집합과 관련된 터널정보가 추가된다.
도 4는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치와 제1 게이트웨이 사이의 동작 절차 예시도 이다.
도 4는 도 3의 절차 완료 후에 수행되는 것으로 가정하며, VPN 그룹 A에 소속된 모바일 장치(101)와 제1 게이트웨이(102) 사이의 터널 설정 절차를 나타낸 것이다.
모바일 장치(101)와 GTM(104)은 서로 간의 인증절차를 수행할 수 있다(S401).
모바일 장치(101)는 GTM(104)에게 VPN 그룹 A와 연관된 사이트를 포함하는 게이트웨이에 대한 정보를 획득하기 위하여 게이트웨이 정보 요청 메시지를 전송할 수 있다(S402).
GTM(104)은 모바일 장치(101)로부터 수신한 게이트웨이 정보 요청 메시지에 대응하여 게이트웨이 정보 응답 메시지를 모바일 장치(101)에게 전송할 수 있다(S403).
전송하는 게이트웨이 정보 응답 메시지에는 VPN 그룹 A와 연관된 게이트웨이 정보와 모바일 장치(101)의 HoA 주소를 포함할 수 있다.
모바일 장치(101)와 제1 게이트웨이(102)는 서로 간의 인증절차를 수행할 수 있다(S404).
모바일 장치(101)가 제1 게이트웨이(102)와 인증절차를 수행하는 것은 단계 S403에서 획득한 게이트웨이 정보를 기반으로 한다.
모바일 장치(101)는 제1 게이트웨이(102)에게 서로 간의 터널을 설정하기 위해 터널생성 요청메시지를 전송할 수 있다(S405).
모바일 장치(101)가 제1 게이트웨이(102)와 터널을 설정하는 것은 단계 S403에서 획득한 게이트웨이 정보를 기반으로 한다.
모바일 장치(101)가 제1 게이트웨이(102)에게 터널 설정을 요청하는 터널생성 요청 메시지에는 터널 설정을 위한 모바일 장치(101)의 HoA와 CoA 정보를 포함하며, 소속된 VPN 그룹을 나타내기 위한 VPN 그룹 A의 이름이 포함될 수 있다.
제1 게이트웨이(102)는 터널생성 요청 메시지에 대응하여 터널 설정을 위한 제1 게이트웨이(102)의 HoA, VPN ID, 그리고 주소 집합(Y.Y.Y.*) 중 적어도 하나를 포함하는 터널생성 응답 메시지를 전송할 수 있다(S406).
제1 게이트웨이(102)와 모바일 장치(101)는 서로 간의 터널을 생성할 수 있다(S407).
여기서 제1 게이트웨이(102)의 제3 터널정보(408)는 제1 게이트웨이(102)의 제2 터널정보(309)에 모바일 장치(101)와의 터널정보[VID(VPN ID): 1, IP: MN_HA]가 추가될 수 있다.
모바일 장치(101)의 제1 터널정보(409)는 목적지 IP가 Y.Y.Y.*인 경우에 대한 터널정보 즉, 바깥쪽 IP의 출발지(MN_CA) 및 목적지 주소(GW1_CA)와 VID(VPN ID) 값, '1'을 포함할 수 있다.
도 5는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치와 제2 게이트웨이 사이의 동작 절차 예시도 이다.
도 5는 도 4의 절차 완료 후에 수행되는 것으로 가정하며, 모바일 장치(101)와 제2 게이트웨이(103) 사이의 터널 설정 절차를 나타낸 것이다.
모바일 장치(101)와 제2 게이트웨이(103)는 서로 간의 인증절차를 수행할 수 있다(S501).
모바일 장치(101)는 제2 게이트웨이(103)에게 모바일 장치(101)의 HoA, CoA, 그룹 정보를 포함하는 터널생성 요청 메시지를 전송할 수 있다(S502).
제2 게이트웨이(103)는 모바일 장치(101)의 요청에 대하여 제2 게이트웨이(103)의 HoA, VPN ID와 주소 집합(X.X.X.*) 중 적어도 하나를 포함하는 터널생성 응답 메시지를 모바일 장치(101)에게 전송할 수 있다(S503).
모바일 장치(101)와 제2 게이트웨이(103)는 서로 간의 터널정보를 생성할 수 있다(S504).
제2 게이트웨이(103)의 제2 터널정보(505)는 제2 게이트웨이(103)의 제1 터널정보(308)에 모바일 장치(101)과 관련된 정보가 추가될 수 있다.
모바일 장치(101)의 제2 터널정보(506)는 모바일 장치(101)의 제1 터널정보(409)에 목적지 IP가 X.X.X.*인 경우에 대한 터널정보 즉, 바깥쪽 IP의 출발지(MN_CA) 및 목적지 주소(GW2_CA)와 VID(VPN ID) 값,'1'이 추가될 수 있다.
도 6은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 제2 게이트웨이의 가입자 망 구성 예시도 이다.
제2 게이트웨이(601)와 VPN 그룹 B의 사이트를 관리하기 위한 스위치 B(602)와 VPN 그룹 A의 사이트를 관리하기 위한 스위치 A(603)는 VLAN(Virtual local Area Network)으로 연결된다.
제2 게이트웨이(601)와 VPN 그룹 B의 사이트를 관리하기 위한 스위치 B(602) 사이와 제2 게이트웨이(601)와 VPN 그룹 A의 사이트를 관리하기 위한 스위치 A(603) 사이에 설정된 VLAN을 통하여 VLAN ID가 포함되거나 포함되지 않은 이더넷 프레임들이 교환된다. 만약 제2 게이트웨이(601)에서 VPN 그룹 B를 위한 인터페이스에 VLAN ID를 "VL2"라고 지정한다면, 제2 게이트웨이(601)는 VPN ID '2'와 VLAN ID "VL2"를 매핑시킨다. 즉, VPN 그룹 B로부터 제2 게이트웨이(601)로 프레임이 전달되면, 제2 게이트웨이(601)는 VLAN ID "VL2"를 이용해서 VPN ID '2'를 얻을 수 있다. 이러한 VPN ID 정보는 추후에 패킷을 제어할 때 사용될 수 있다.
도 7은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치와 제2 노드 사이의 패킷 전송 절차 예시도 이다.
도 7은 도 5의 절차 완료 후에 수행되는 것으로 가정한다.
VPN 그룹 A에 속하는 모바일 장치(101)는 패킷을 제2 게이트웨이(103)에 전달할 수 있다(S701).
패킷의 바깥쪽 IP 헤더의 출발지 주소와 목적지 주소, 그리고 VID(VPN ID)는 도 5의 모바일 장치(101)의 제2 터널정보(506)에서 관리되는 터널정보를 이용해서 얻을 수 있다. 또한 가운데 IP 헤더(출발지 주소: MN_HA, 목적지 주소: GW2_HA)와 가장 안쪽 IP 헤더(출발지 주소: MN_HA, 목적지 주소: X.X.X.2)는 IPSec의 터널 모드에서 사용되는 IP 헤더들이며, 만약 IPSec 터널 모드를 사용하지 않는다면 가장 안쪽의 IP 헤더만 필요하다. 모바일 장치(101)에서 제2 게이트웨이(103)까지 패킷 전달은 가장 바깥쪽 IP 헤더를 이용한다.
제2 게이트웨이(103)는 모바일 장치(101)로부터 전달 받은 패킷에서 터널에 사용된 바깥쪽 IP를 제거할 수 있다(S702).
제2 게이트웨이(103)는 모바일 장치(101)로부터 전달 받은 패킷에 포함된 VID(VPN ID) 값 '1'을 이용해서 이와 대응하는 VLAN ID 값 "VL1"을 얻을 수 있으며(S703), 이 정보를 이용해서 패킷이 전달될 인터페이스 정보를 얻을 수 있다.
제2 게이트웨이(103)는 모바일 장치(101)로부터 전달 받은 IPSec 터널 모드로 암호화된 패킷을 복호화 할 수 있다(S704).
제2 게이트웨이(103)는 복호화 된 패킷에 대한 NAT(Network Address Translation) 절차를 수행하여 제2 노드에 패킷을 전송할 수 있다(S705).
NAT 절차를 수행하지 않는다면, 제2 노드(106)에 모바일 장치(101)의 HoA 정보가 라우팅 되어야만 한다. 이러한 문제를 해결하기 위해서 IP 헤더의 출발지 주소를 제2 게이트웨이(103)의 주소로 변경해서 제2 노드(106)로 전송할 수 있다.
제2 노드(106)에서 모바일 장치(101)로 패킷을 전달하기 위해서 제2 게이트웨이(103)으로 목적지 주소가 제2 게이트웨이(103)의 주소인 패킷을 전송할 수 있다(S706).
제2 게이트웨이(103)은 NAT 절차를 통해서 모바일 장치(101)의 주소를 가지는 패킷을 생성할 수 있다(S707).
제2 게이트웨이(103)는 IPSec 터널 모드로 암호화를 수행할 수 있다(S708).
제2 게이트웨이(103)는 VID(VPN ID)를 추가하고, 터널에 필요한 IP를 추가하여 모바일 장치(101)에 전송할 수 있다(S709).
VPN ID는 도 6에서 언급했듯이 스위치 A(603)과 제2 게이트웨이(103) 사이에 설정된 VLAN ID정보로부터 대응하는 VPN ID 정보를 얻을 수 있으며, 바깥쪽 IP 헤더 정보는 제2 게이트웨이(103)의 제2 터널정보(505)를 이용해서 얻을 수 있다. 또한, VPN ID 정보는 모바일 장치(101)에서 필요 없기 때문에 생략할 수 있다.
도 8은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 제1 노드와 제2 노드 사이의 패킷 전송 절차 예시도 이다.
도 8은 도 5의 절차 완료 후에 수행되는 것으로 가정한다.
제1 노드(105)는 출발지 주소를 제1 노드(105)의 주소로, 목적지 IP는 제2 노드(106)의 주소로 설정하여 패킷을 전송할 수 있다(S801).
이때 제1 게이트웨이(102)에 도달하는 패킷에 VLAN ID가 포함된 경우에는 해당 VLAN ID와 연관된 VPN ID를 얻을 수 있으며, VLAN ID가 포함되지 않은 경우에는 패킷이 수신된 포트에 할당된 VLAN 정보로부터 VLAN ID 값을 얻고 이러한 VLAN ID 값을 이용해서 VPN ID 값을 얻을 수 있다.
제1 게이트웨이(102)는 VLAN ID를 추출하고, 추출된 VLAN ID로부터 VPN ID를 추출하며, IPSec 터널 모드로 암호화 절차를 수행할 수 있다(S802).
제1 게이트웨이(102)는 제1 게이트웨이(102)의 제3 터널정보(408)를 이용해서 VID(VPN ID)와 가장 바깥쪽 IP 헤더를 생성할 수 있다(S803).
이때 가장 바깥쪽 IP 헤더에서 목적지 IP가 GTM의 CoA이기 때문에 패킷은 GTM(104)으로 전달된다.
패킷을 수신한 GTM(104)은 제2 GTM 터널정보(309)를 이용해서 패킷을 생성할 수 있다(S804).
즉, 패킷이 수신되면 GTM(104)은 가장 바깥쪽 IP 헤더를 제거하고, 가운데 IP 헤더의 목적지 주소인 GW2_HA와 특별한 VPN 그룹을 의미하지 않는 VPN ID '0'를 이용해서 제2 GTM 터널정보(309)를 검색한다. 검색 결과 가장 바깥쪽 IP 헤더의 출발지 주소가 GTM(104)의 CoA(GTM_CA)가 되고 목적지 주소는 제2 게이트웨이(103)의 CoA(GW2_CA)가 된다. GTM(104)이 생성한 패킷은 공중망을 통해서 제2 게이트웨이(103)로 전달된다.
제2 게이트웨이(103)는 GTM(104)로부터 수신한 패킷에서 터널에 이용된 부분을 제거하고, VLAN ID를 추출할 수 있다(S805).
제2 게이트웨이(103)는 가장 바깥쪽 IP 헤더와 VPN ID 정보를 제거하고, VPN ID 값 '1'로부터 VLAN ID 값을 얻고, VLAN ID 값을 이용해서 패킷이 전달될 인터페이스 정보를 얻을 수 있다.
제2 게이트웨이(103)는 암호화된 IPSec 터널 모드를 복호화하여 제2 노드(106)으로 패킷을 전송할 수 있다(S806).
패킷에 포함된 VPN ID는 일반적인 IP Layer에서 처리되는 것이 아니고 터널정보를 관리하고 실제 패킷을 처리하는 모듈에서 처리될 수 있다. 터널 제어를 위한 모듈이 소프트웨어로 구현되는 경우에는 터널정보를 관리하고 패킷을 제어하는 기능이 커널에 위치할 수 있으며, 해당 모듈이 하드웨어로 구현되는 경우에는 실제 패킷을 처리하기 위한 하드웨어 모듈에 포함될 수 있다.
즉, VPN ID는 일반적인 IP 패킷 형태가 아니기 때문에 별도의 모듈에서 처리될 필요가 있다.
도 7과 도 8에서는 IPSec 터널 모드로 데이터를 암호화하는 것을 가정했다. 하지만 IPSec을 이용해서 데이터 보안을 수행하기 위해서는 키 교환 프로토콜인 IKE(Internet Key Exchange)가 사설주소를 지원할 필요가 있다. IKE가 사설주소 환경에서 동작하는 방법은 본 발명에서 논의하지 않는다. 다만, IPSec 터널 모드를 이용한 데이터 보안을 적용하지 않는다면 가운데 IP 헤더는 필요하지 않으며 가장 바깥쪽 IP 헤더와 가장 안쪽 IP 헤더만 있으면 전체 동작에 무리가 없다. 또한 데이터 보안 방법은 IPSec 터널 모드 이외에도 다양한 방식들이 적용될 수 있다.
여러 무선 인터페이스를 보유한 이동 단말에게 이기종 망간 끊김 없는 핸드오버를 지원하기 위해서 IP-in-IP 터널링을 이용하는 방법은 여러가지가 있으며, 본 발명에서는 IP-in-IP 터널링을 이용해서 이기종 망간 끊김 없는 핸드오버를 제공하는 구체적인 방법에 대해서는 언급하지 않는다.
본 발명에서는 사설주소를 이용하기 위해서 VPN ID를 활용하는 구체적인 절차와 방법을 제안하며, 실시예에서는 게이트웨이 사이의 패킷 교환은 GTM을 통하도록 가정하였다.
도 9는 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 그룹 및 터널 관리자의 동작 절차 순서도이다.
도 9를 참조하면, 그룹 및 터널 관리자는 게이트웨이로부터 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 수신할 수 있다(S901).
제1 메시지에는 게이트웨이 주소, 게이트웨이가 소유하는 VPN 그룹의 이름, 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보가 포함될 수 있으며, VPN 그룹의 주소는 공인주소 또는 사설주소가 가능하다.
그룹 및 터널 관리자는 수신한 제1 메시지 내의 VPN 그룹에 VPN ID를 할당할 수 있다(S902).
그룹 및 터널 관리자는 VPN ID를 포함하는 VPN 그룹 정보를 생성할 수 있다(S903).
VPN 그룹 정보에는 VPN ID, VPN 그룹의 이름, VPN 그룹의 주소 집합 정보 등이 포함될 수 있다.
그룹 및 터널 관리자는 VPN 그룹 정보를 기초로 하여 제1 메시지를 전송한 게이트웨이에 그룹 및 터널 관리자의 HoA 주소, 게이트웨이의 HoA 주소, 제1 메시지 내의 VPN 그룹의 VPN ID, 게이트웨이가 소유한 VPN 그룹이 속해있는 다른 게이트웨이의 주소 집합 정보 중 적어도 하나를 포함하는 제2 메시지를 전송할 수 있다. 또한, 동일한 VPN 그룹을 소유하는 다른 게이트웨이에 VPN 그룹의 VPN ID, 제1 메시지를 전송한 게이트웨이의 VPN 그룹의 주소 집합 정보를 포함하는 제2 메시지를 전송할 수 있다(S904).
그룹 및 터널 관리자는 VPN ID를 포함하는 VPN 그룹 정보를 기초로 하여 게이트웨이 사이의 터널정보를 생성하여 터널을 생성할 수 있다(S905).
그룹 및 터널 관리자와 게이트웨이 사이의 터널정보에는 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 등을 포함할 수 있으며, 목적지 주소는 사설주소일 수 있다.
도 10은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 게이트웨이의 동작 절차 순서도이다.
도 10을 참조하면, 게이트웨이는 그룹 및 터널 관리자에게 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 전송할 수 있다(S1001).
제1 메시지에는 게이트웨이 주소, 게이트웨이가 소유하는 VPN 그룹의 이름, 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보가 포함될 수 있으며, VPN 그룹에서 사용하는 주소는 공인주소 또는 사설주소가 가능하다.
게이트웨이는 그룹 및 터널 관리자로부터 제1 메시지에 상응하는 VPN 그룹의 정보를 포함하는 제2 메시지를 수신할 수 있다(S1002).
제2 메시지에는 그룹 및 터널 관리자의 HoA 주소, 게이트웨이의 HoA 주소, 제1 메시지 내의 VPN 그룹의 VPN ID, 게이트웨이가 소유한 VPN 그룹이 속해있는 다른 게이트웨이의 주소 집합 정보 중 적어도 하나를 포함될 수 있다.
게이트웨이는 수신한 제2 메시지를 기초로 하여 게이트웨이와 그룹 및 터널 관리자 사이의 터널정보를 생성하여 터널을 생성할 수 있다(S1003).
게이트웨이와 그룹 및 터널 관리자 사이의 터널정보에는 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 등을 포함할 수 있으며, 목적지 주소는 사설주소를 사용할 수 있다.
도 11은 본 발명의 일 실시예에 따른 모바일 VPN 서비스를 제공하는 방법에서 모바일 장치의 동작 절차 순서도이다.
도 11을 참조하면, 모바일 장치는 그룹 및 터널 관리자에게 접속을 원하는 VPN 그룹을 소유하는 게이트웨이 정보를 획득하기 위하여 게이트웨이 정보 요청 메시지를 전송할 수 있다(S1101).
모바일 장치는 그룹 및 터널 관리자로부터 게이트웨이 정보 요청에 대응하는 게이트웨이 정보 응답 메시지를 수신할 수 있다(S1102).
게이트웨이 정보 응답 메시지에는 모바일 장치의 HoA 주소, 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 CoA 주소, 접속을 원하는 VPN 그룹의 주소 집합 정보를 포함할 수 있다.
모바일 장치는 게이트웨이 정보 응답 메시지를 기초로 하여 해당 게이트웨이로 터널생성 요청 메시지를 전송할 수 있다(S1103).
터널생성 요청 메시지에는 모바일 장치의 HoA 주소, 모바일 장치의 CoA 주소, 접속을 원하는 VPN 그룹의 이름 등이 포함될 수 있다.
모바일 장치는 게이트웨이로부터 터널생성 요청 메시지에 상응하는 터널생성 응답 메시지를 수신할 수 있다(S1104).
터널생성 응답 메시지에는 게이트웨이의 CoA 주소, 접속을 원하는 VPN 그룹의 VPN ID, VPN 주소 집합 정보 등이 포함될 수 있다.
모바일 장치는 터널생성 응답 메시지를 기초로 하여 모바일 장치와 게이트웨이 사이의 터널 정보를 생성하여 터널을 생성할 수 있다(S1105).
모바일 장치와 게이트웨이 사이의 터널정보에는 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 등을 포함할 수 있으며, 목적지 주소는 사설주소를 사용할 수 있다.
이상 실시 예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
101 : 모바일 장치
102, 103 : 게이트웨이
104 : 그룹 및 터널 관리자
105, 106 : 노드
107, 108, 109 : VPN 그룹의 사이트
110, 111 : 모바일 장치와 게이트웨이 사이의 터널
112, 113 : 게이트웨이와 그룹 및 터널 관리자 사이의 터널
114 : 게이트웨이 사이의 터널
601 : 게이트웨이
602, 603 : 스위치

Claims (20)

  1. 모바일 VPN(Virtual Private Network) 서비스를 제공하기 위한 그룹 및 터널 관리자의 동작방법에서,
    게이트웨이로부터 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 수신하는 단계;
    상기 제1 메시지를 기초로 하여 상기 그룹 및 터널 관리자와 상기 게이트웨이 사이의 터널정보를 생성하는 단계; 및
    상기 터널정보를 기초로 하여 패킷을 전달하는 단계를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  2. 청구항 1에서,
    상기 VPN 그룹의 주소 집합에 포함된 적어도 하나의 주소는 사설주소인 것을 특징으로 하는 모바일 VPN 서비스를 제공하는 방법.
  3. 청구항 1에서,
    상기 제1 메시지는 상기 게이트웨이 정보, 상기 게이트웨이가 소유하는 VPN 그룹의 이름, 상기 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  4. 청구항 1에서,
    상기 터널정보를 생성하는 단계는,
    상기 제1 메시지에 포함된 VPN 그룹에 VPN ID를 할당하는 단계;
    상기 VPN ID를 포함하는 VPN 그룹의 정보를 생성하고, 상기 VPN 그룹의 정보를 기초로 하여 제2 메시지를 생성하는 단계;
    제2 메시지를 상기 제1 메시지를 전송한 상기 게이트웨이를 포함하여 상기 VPN 그룹을 소유하는 게이트웨이에 전송하는 단계; 및
    상기 그룹 및 터널 관리자와 상기 게이트웨이 사이의 터널정보를 생성하는 단계를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  5. 청구항 4에서,
    상기 제2 메시지는 상기 그룹 및 터널 관리자 정보, 상기 게이트웨이 주소, 상기 VPN 그룹의 VPN ID, 상기 전송 받는 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  6. 청구항 4에서,
    상기 터널정보는 상기 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 중 적어도 하나를 포함하고,
    상기 목적지 주소는 사설주소인 것을 특징으로 하는 모바일 VPN 서비스를 제공하는 방법.
  7. 모바일 VPN(Virtual Private Network) 서비스를 제공하기 위한 게이트웨이의 동작방법에서,
    그룹 및 터널 관리자에게 VPN 그룹의 정보를 등록하기 위한 제1 메시지를 전송하는 단계;
    상기 그룹 및 터널 관리자로부터 상기 제1 메시지에 상응하는 VPN ID를 포함하는 상기 VPN 그룹의 정보를 기초로 하여 생성된 제2 메시지를 수신하는 단계;
    상기 제2 메시지를 기초로 하여 상기 게이트웨이와 상기 그룹 및 터널 관리자 사이의 터널정보를 생성하는 단계; 및
    상기 터널정보를 기초로 하여 패킷을 전달하는 단계를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  8. 청구항 7에서,
    상기 VPN 그룹의 주소 집합에 포함된 적어도 하나의 주소는 사설주소인 것을 특징으로 하는 모바일 VPN 서비스를 제공하는 방법.
  9. 청구항 7에서,
    상기 제1 메시지는 상기 게이트웨이 정보, 상기 게이트웨이가 소유하는 VPN 그룹의 이름, 상기 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  10. 청구항 7에서
    상기 제2 메시지는 상기 그룹 및 터널 관리자 정보, 상기 게이트웨이 주소, 상기 VPN 그룹의 VPN ID, 전송 받는 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  11. 청구항 7에서,
    상기 터널정보는 상기 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 중 적어도 하나를 포함하고,
    상기 목적지 주소는 사설주소인 것을 특징으로 하는 모바일 VPN 서비스를 제공하는 방법.
  12. 모바일 VPN(Virtual Private Network) 서비스를 제공하기 위한 모바일 장치의 동작방법에서,
    그룹 및 터널 관리자로부터 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 정보를 획득하는 단계;
    상기 획득한 게이트웨이 정보를 기초로 하여 상기 모바일 장치와 상기 게이트웨이 사이의 터널 정보를 생성하는 단계; 및
    상기 터널정보를 기초로 하여 패킷을 전달하는 단계를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  13. 청구항 12에서,
    상기 VPN 그룹의 주소 집합에 포함된 적어도 하나의 주소는 사설주소인 것을 특징으로 하는 모바일 VPN 서비스를 제공하는 방법.
  14. 청구항 12에서,
    상기 게이트웨이의 정보를 획득하는 단계는,
    상기 그룹 및 터널 관리자에게 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 정보를 획득하기 위해 게이트웨이 정보 요청 메시지를 전송하는 단계; 및
    상기 요청한 게이트웨이 정보 요청 메시지에 대응하는 게이트웨이 정보 응답 메시지를 수신하는 단계를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  15. 청구항 14에서,
    상기 게이트웨이 정보 요청 메시지는,
    접속을 원하는 VPN 그룹의 이름을 포함하는 모바일 VPN 서비스를 제공하는 방법.
  16. 청구항 14에서,
    상기 게이트웨이 정보 응답 메시지는,
    상기 모바일 장치의 HoA(Home Address) 주소, 접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 CoA(Care of Address) 주소, 상기 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  17. 청구항 12에서,
    상기 터널 정보를 생성하는 단계는
    상기 게이트웨이에 터널생성 요청 메시지를 전송하는 단계;
    상기 게이트웨이로부터 터널생성 요청 메시지에 대응하는 터널생성 응답 메시지를 수신하는 단계; 및
    상기 터널생성 응답 메시지를 기초로 하여 상기 모바일 장치와 상기 게이트웨이 사이의 터널 정보를 생성하는 단계를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  18. 청구항 17에서,
    상기 터널생성 요청 메시지는,
    모바일 장치의 주소 및 접속을 원하는 VPN 그룹의 이름을 포함하는 모바일 VPN 서비스를 제공하는 방법.
  19. 청구항 17에서,
    상기 터널생성 응답 메시지는,
    접속을 원하는 VPN 그룹을 소유하는 게이트웨이의 CoA(Care of Address) 주소, 상기 게이트웨이가 소유하는 VPN 그룹의 VPN ID, 상기 게이트웨이가 소유하는 VPN 그룹의 주소 집합 정보 중 적어도 하나를 포함하는 모바일 VPN 서비스를 제공하는 방법.
  20. 청구항 17에서,
    상기 터널정보는 상기 VPN ID, 목적지 주소, 바깥쪽 출발지 주소, 바깥쪽 목적지 주소 중 적어도 하나를 포함하고,
    상기 목적지 주소는 사설주소인 것을 특징으로 하는 모바일 VPN 서비스를 제공하는 방법.
KR1020130012171A 2013-02-04 2013-02-04 모바일 vpn 서비스를 제공하는 방법 Withdrawn KR20140099598A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130012171A KR20140099598A (ko) 2013-02-04 2013-02-04 모바일 vpn 서비스를 제공하는 방법
US14/083,872 US20140223541A1 (en) 2013-02-04 2013-11-19 Method for providing service of mobile vpn

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130012171A KR20140099598A (ko) 2013-02-04 2013-02-04 모바일 vpn 서비스를 제공하는 방법

Publications (1)

Publication Number Publication Date
KR20140099598A true KR20140099598A (ko) 2014-08-13

Family

ID=51260493

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130012171A Withdrawn KR20140099598A (ko) 2013-02-04 2013-02-04 모바일 vpn 서비스를 제공하는 방법

Country Status (2)

Country Link
US (1) US20140223541A1 (ko)
KR (1) KR20140099598A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016057177A1 (en) * 2014-10-06 2016-04-14 Cryptzone North America, Inc. Systems and methods for protecting network devices
KR20160119549A (ko) 2015-04-06 2016-10-14 주식회사 모바일컨버전스 네트워크 vpn 기반의 네트워크 가상화 시스템
KR20170017860A (ko) 2016-12-30 2017-02-15 주식회사 모바일컨버전스 네트워크 vpn 기반의 네트워크 가상화 시스템
KR20240122239A (ko) 2023-02-03 2024-08-12 리피소프트 주식회사 Vpn 서비스 제공 시스템 및 그 서비스 제공 방법과 이를 위한 컴퓨터 프로그램
KR20250120064A (ko) 2024-02-01 2025-08-08 이건희 가상사설망을 이용한 모바일 응용프로그램 관리 및 과금 처리를 위한 서비스 제공 시스템과 그 서비스 제공방법

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9906497B2 (en) * 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9667538B2 (en) 2015-01-30 2017-05-30 Telefonaktiebolget L M Ericsson (Publ) Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks
US9736120B2 (en) 2015-10-16 2017-08-15 Cryptzone North America, Inc. Client network access provision by a network traffic manager
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US9628444B1 (en) 2016-02-08 2017-04-18 Cryptzone North America, Inc. Protecting network devices by a firewall
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US11496441B2 (en) * 2018-08-11 2022-11-08 Parallel Wireless, Inc. Network address translation with TEID

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100270216B1 (ko) * 1998-07-10 2000-10-16 김영환 Cdma 시스템에서 무선가상 사설망 기능을 구현하는 방법
US6850531B1 (en) * 1999-02-23 2005-02-01 Alcatel Multi-service network switch
CN100399764C (zh) * 1999-02-23 2008-07-02 阿尔卡塔尔互联网运行公司 多业务网络交换机
US6980515B1 (en) * 1999-02-23 2005-12-27 Alcatel Multi-service network switch with quality of access
US7486628B1 (en) * 1999-12-21 2009-02-03 Nortel Networks Limited Wireless network communications
US6829480B1 (en) * 1999-12-30 2004-12-07 Ericsson Inc. Mobile station supported private system roaming
US6823462B1 (en) * 2000-09-07 2004-11-23 International Business Machines Corporation Virtual private network with multiple tunnels associated with one group name
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US7203957B2 (en) * 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US20040093492A1 (en) * 2002-11-13 2004-05-13 Olivier Daude Virtual private network management with certificates
US20040177157A1 (en) * 2003-02-13 2004-09-09 Nortel Networks Limited Logical grouping of VPN tunnels
US7386630B2 (en) * 2003-04-30 2008-06-10 Nokia Corporation Using policy-based management to support Diffserv over MPLS network
US7478427B2 (en) * 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
US7900250B1 (en) * 2003-09-12 2011-03-01 Nortel Networks Limited Method of providing secure groups using a combination of group and pair-wise keying
US20050265308A1 (en) * 2004-05-07 2005-12-01 Abdulkadev Barbir Selection techniques for logical grouping of VPN tunnels
US7509491B1 (en) * 2004-06-14 2009-03-24 Cisco Technology, Inc. System and method for dynamic secured group communication
JP4731876B2 (ja) * 2004-07-08 2011-07-27 パナソニック株式会社 通信システム、無線lan基地局制御装置および無線lan基地局装置
JP4407452B2 (ja) * 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US7447166B1 (en) * 2004-11-02 2008-11-04 Cisco Technology, Inc. Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains
CN100379226C (zh) * 2004-12-14 2008-04-02 华为技术有限公司 一种虚拟路由器方式的虚拟专用网络的组播方法
US7852861B2 (en) * 2006-12-14 2010-12-14 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method
JP4803116B2 (ja) * 2007-05-31 2011-10-26 富士ゼロックス株式会社 仮想ネットワーク接続装置及びプログラム
WO2010068698A2 (en) * 2008-12-09 2010-06-17 Glue Networks, Inc. System and method for providing virtual private networks
US8548171B2 (en) * 2009-02-27 2013-10-01 Cisco Technology, Inc. Pair-wise keying for tunneled virtual private networks
CN101540986B (zh) * 2009-04-16 2011-10-26 中兴通讯股份有限公司 一种预付费业务的计费方法及系统
US9277021B2 (en) * 2009-08-21 2016-03-01 Avaya Inc. Sending a user associated telecommunication address
US8634560B1 (en) * 2010-09-10 2014-01-21 Juniper Networks, Inc. Time-based secure key synchronization
US8442230B1 (en) * 2010-11-23 2013-05-14 Juniper Networks, Inc. Enhanced high availability for group VPN in broadcast environment
US9379970B2 (en) * 2011-05-16 2016-06-28 Futurewei Technologies, Inc. Selective content routing and storage protocol for information-centric network
JP5682782B2 (ja) * 2011-07-11 2015-03-11 村田機械株式会社 中継サーバ及び中継通信システム
JP5797849B2 (ja) * 2011-11-03 2015-10-21 華為技術有限公司Huawei Technologies Co.,Ltd. ホストが仮想プライベートネットワークに参加/離脱するための境界ゲートウェイプロトコルの拡張
US9008118B2 (en) * 2012-05-17 2015-04-14 Cisco Technology, Inc. Multicast data delivery over mixed multicast and non-multicast networks
US20140109171A1 (en) * 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016057177A1 (en) * 2014-10-06 2016-04-14 Cryptzone North America, Inc. Systems and methods for protecting network devices
KR20160119549A (ko) 2015-04-06 2016-10-14 주식회사 모바일컨버전스 네트워크 vpn 기반의 네트워크 가상화 시스템
KR20170017860A (ko) 2016-12-30 2017-02-15 주식회사 모바일컨버전스 네트워크 vpn 기반의 네트워크 가상화 시스템
KR20240122239A (ko) 2023-02-03 2024-08-12 리피소프트 주식회사 Vpn 서비스 제공 시스템 및 그 서비스 제공 방법과 이를 위한 컴퓨터 프로그램
KR20250120064A (ko) 2024-02-01 2025-08-08 이건희 가상사설망을 이용한 모바일 응용프로그램 관리 및 과금 처리를 위한 서비스 제공 시스템과 그 서비스 제공방법

Also Published As

Publication number Publication date
US20140223541A1 (en) 2014-08-07

Similar Documents

Publication Publication Date Title
KR20140099598A (ko) 모바일 vpn 서비스를 제공하는 방법
US10237089B2 (en) Packet tunneling method, switching device, and control device
EP2466985B1 (en) Network based on identity identifier and location separation
CN102907072B (zh) 利用NAT64启用IPv6移动性
KR101653546B1 (ko) 프록시 모바일 ip 네트워크들에서의 사설 어드레싱 방법
US8514864B2 (en) System and method for providing network mobility
EP2465244B1 (en) A method and host node for multiple NAT64 environments
CN101218814B (zh) 用于优化移动vpn通信的方法和装置
CN101043411B (zh) 混合网络中实现移动vpn的方法及系统
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
JP4430091B2 (ja) パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ
JP5876505B2 (ja) 効率的なホーム無しmplsマイクロモビリティのための方法及びシステム
CN101511117B (zh) 一种二层跨网段通信的方法、系统和设备
WO2010100850A1 (ja) 通信方法、通信システム、匿名化装置、サーバ
WO2005006674A1 (ja) 端末及び通信システム
CN106209643A (zh) 报文转发方法及装置
CN101019381A (zh) 在访问广域网期间维持为指定站点中的IPv6节点分配的唯一本地地址的机密性
KR101901341B1 (ko) 사용자 장치의 이동성을 지원하는 네트워크 접속 방법 및 장치
TW202249464A (zh) 使用網際網路協定網路於蜂巢式資料封包路由的方法
JP2007142648A (ja) 通信方法、移動エージェント装置、及びホームエージェント装置
TW202249465A (zh) 使用網際網路協定網路於蜂巢式資料封包路由的裝置
US11323410B2 (en) Method and system for secure distribution of mobile data traffic to closer network endpoints
CN103036761B (zh) 一种隧道服务器和客户端装置
US20090147759A1 (en) Method and apparatus for supporting mobility of node using layer 2/layer 3 addresses
JP3634814B2 (ja) 転送制御方法、サーバ装置及び移動端末装置

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20130204

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid