[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR100737140B1 - Internet protocol virtual private network service processing apparatus and method in mobile communication - Google Patents

Internet protocol virtual private network service processing apparatus and method in mobile communication Download PDF

Info

Publication number
KR100737140B1
KR100737140B1 KR1020010067700A KR20010067700A KR100737140B1 KR 100737140 B1 KR100737140 B1 KR 100737140B1 KR 1020010067700 A KR1020010067700 A KR 1020010067700A KR 20010067700 A KR20010067700 A KR 20010067700A KR 100737140 B1 KR100737140 B1 KR 100737140B1
Authority
KR
South Korea
Prior art keywords
gvsn
gfa
mobile terminal
mobile
virtual private
Prior art date
Application number
KR1020010067700A
Other languages
Korean (ko)
Other versions
KR20030035587A (en
Inventor
임형묵
정종명
김이한
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020010067700A priority Critical patent/KR100737140B1/en
Publication of KR20030035587A publication Critical patent/KR20030035587A/en
Application granted granted Critical
Publication of KR100737140B1 publication Critical patent/KR100737140B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치 및 방법에 관한 것으로서, 이동통신에서 가설 사설망 서비스를 위해 전송데이터를 암호화 시켜 패킷에 대한 인증, 신뢰성 및 무결성을 제공하는 인터넷 보안 프로토콜(IP security protocol, IPSec)과 함께 이동단말의 이동성을 지원하도록 이동 인터넷 프로토콜을 이용하고, 홈 에이전트와 외부 에이전트간의 망대망 터널링 방식 대신에 다중 프로토콜 라벨 스위칭(multi protocol label switching, MPLS) 교환방식으로 터널링을 수행하도록 함으로써, 고속 패킷 라우팅을 할 수 있다. The present invention relates to an apparatus and method for processing an Internet protocol virtual private network service in a mobile communication. The present invention relates to an Internet security protocol that provides authentication, reliability, and integrity for a packet by encrypting transmission data for a temporary private network service in a mobile communication. protocol, IPSec) and mobile Internet protocol to support mobility of mobile terminal, and tunneling is performed by multi protocol label switching (MPLS) exchange instead of network tunneling between home agent and external agent. By doing so, high-speed packet routing can be achieved.

IPSec 프로토콜, 이동 IP, 인트라 넷, 기지국, 이동단말, 가상 사설망, 다중 프로토콜 라벨 스위칭(MPLS)IPSec protocol, mobile IP, intranet, base station, mobile terminal, virtual private network, multiprotocol label switching (MPLS)

Description

이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치 및 방법{THE PROCESSING APPARATUS AND METHOD FOR PROVIDING INTERNET PROTOCOL VIRTUAL PRIVATE NETWORK SERVICE ON MOBILE COMMUNICATION} Internet protocol virtual private network service processing apparatus and method in mobile communication {THE PROCESSING APPARATUS AND METHOD FOR PROVIDING INTERNET PROTOCOL VIRTUAL PRIVATE NETWORK SERVICE ON MOBILE COMMUNICATION}             

도 1은 본 발명 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치의 구성을 간략하게 보인 구성도.1 is a block diagram showing the configuration of an apparatus for processing an internet protocol virtual private network service in a mobile communication of the present invention.

도 2는 본 발명에 따른 가상 사설망 서비스 처리를 위한 이동 IP 등록 및 터널 형성 과정을 보인 흐름도.2 is a flowchart illustrating a mobile IP registration and tunnel formation process for processing a virtual private network service according to the present invention.

도 3은 본 발명에 따른 이동 IP 내부등록과 터널설정 흐름을 보인 예시도.3 is an exemplary view illustrating a flow of mobile IP registration and tunnel setup according to the present invention;

도 4는 본 발명에 따른 인트라넷 접속 흐름을 보인 예시도.4 is an exemplary view showing an intranet connection flow according to the present invention.

도 5는 본 발명에 따른 데이터그램 전송 과정을 보인 흐름도.5 is a flowchart illustrating a datagram transmission process according to the present invention.

도 6은 본 발명에 따른 FA 이동 시 데이터그램 전송 과정을 보인 흐름도.6 is a flowchart illustrating a datagram transmission process during FA movement according to the present invention.

도 7은 본 발명에 따른 GFA 이동 시 데이터그램 전송 과정을 보인 흐름도.
7 is a flowchart illustrating a datagram transmission process when a GFA moves according to the present invention.

********** 도면의 주요 부분에 대한 부호 설명 ******************** Symbol description of the main parts of the drawing **********

11 : 이동단말 12 : 기지국(또는 AP, Access Point)11: mobile terminal 12: base station (or AP, Access Point)

13 : 서비스 가상 사설망 지원노드/외부 에이전트(SVSN/FA) 13: Service virtual private network support node / external agent (SVSN / FA)                 

14 : 게이트웨이 가상 사설망 지원노드/게이트웨이 외부 에이전트 (GVSN/GFA)14: Gateway Virtual Private Network Support Node / Gateway External Agent (GVSN / GFA)

15 : 게이트웨이 가상 사설망 지원노드/홈 에이전트(GVSN/HA)15: Gateway virtual private network support node / home agent (GVSN / HA)

16 : 인트라넷 서버 17 : 상대 이동단말(Correspond Node)
16: Intranet server 17: Correspond Node

본 발명은 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치 및 방법에 관한 것으로서, 특히 이동통신에서 가상 사설망 서비스를 위해 전송데이터를 암호화 시켜 패킷에 대한 인증, 신뢰성 및 무결성을 제공하는 인터넷 보안 프로토콜(IP security protocol, IPSec)과 함께 이동단말의 이동성을 지원하도록 이동 인터넷 프로토콜을 이용하고, 홈 에이전트와 외부 에이전트간의 망대망 터널링 방식 대신에 다중 프로토콜 라벨 스위칭(multi protocol label switching, MPLS) 교환방식으로 터널링을 수행하도록 함으로써, 고속 패킷 라우팅을 할 수 있도록 하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for processing an internet protocol virtual private network service in a mobile communication, and more particularly, to an Internet security protocol (IP) that provides authentication, reliability, and integrity of a packet by encrypting transmission data for a virtual private network service in a mobile communication. Mobile Internet protocol is used to support mobile terminal mobility along with security protocol (IPSec), and tunneling is performed by multi-protocol label switching (MPLS) exchange instead of network tunneling between home agent and external agent. An apparatus and a method for enabling high speed packet routing by performing the same.

일반적으로 기존의 이동통신에서 가상 사설망 서비스 처리방법은 이동단말에 IPSec을 탑재하여 서비스를 제공하는데, 사설 주소를 공인 주소로 변경하는 망 주소 변환기능(Network Address Translation, NAT)과 함께 단대단 인증을 사용하는 경우, 인증 헤더(Authentication Header, AH) 프로토콜에서 제공하는 데이터 무결 성에 위배되어 데이터인증을 할 수 없게 되고, 이동단말의 이동성을 제대로 지원 못하는 단점이 있어, 이동통신 환경 하에서 최적화가 되지 않아 IPSec만을 이용하여 가상 사설망 서비스를 제공하기에 문제점이 있었다.
In general, in the conventional mobile communication, the virtual private network service processing method is provided with IPSec in the mobile terminal, which provides a service, which performs end-to-end authentication along with a network address translation (NAT) that changes a private address into a public address. In case of use, there is a disadvantage that data authentication cannot be performed due to violation of data integrity provided by Authentication Header (AH) protocol, and it does not support mobility of mobile terminal properly. There was a problem in providing a virtual private network service using a bay.

따라서, 본 발명은 상기 종래 기술의 문제점을 해결하기 위하여 창안한 것으로서, 이동통신에서 가설 사설망 서비스를 위해 전송데이터를 암호화 시켜 패킷에 대한 인증, 신뢰성 및 무결성을 제공하는 인터넷 보안 프로토콜(IP security protocol, IPSec)과 함께 이동단말의 이동성을 지원하도록 이동 인터넷 프로토콜을 이용하고, 홈 에이전트와 외부 에이전트간의 망대망 터널링 방식 대신에 다중 프로토콜 라벨 스위칭(multi protocol label switching, MPLS) 교환방식으로 터널링을 수행하도록 함으로써, 고속 패킷 라우팅을 할 수 있도록 하는 장치 및 방법을 제공하는데 그 목적이 있다.
Accordingly, the present invention has been made to solve the problems of the prior art, the Internet security protocol (IP security protocol, which provides authentication, reliability and integrity for packets by encrypting the transmission data for the provisional private network service in mobile communication) IPSec), using the mobile Internet protocol to support mobility of mobile terminals, and performing tunneling by multi-protocol label switching (MPLS) exchange instead of network-to-network tunneling between home agent and external agent. It is an object of the present invention to provide an apparatus and method for enabling high-speed packet routing.

이와 같은 목적을 달성하기 위한 본 발명은 이동통신 가입자에게 패킷에 대한 인증, 신뢰성 및 무결성과 이동단말의 이동성을 제공하는 가상 사설망 서비스 처리장치에 있어서, 무선망(CDMA, GSM, WLAN 등)에서 기업 내 인트라넷 서버에 접속할 수 있도록 인터넷 보안 프로토콜(IPSec) 클라이언트 소프트웨어를 탑재하여 가상 사설망 서비스를 제공하는 이동단말과; 패킷 데이터 처리를 위한 이동단말의 루팅 정보관리, 인증 및 접근 제어 기능을 수행하고, 방문 망에서 이동단말에게 임시(care-of) 주소를 할당하며, 타 서브넷에서 통신하려는 상기 이동단말에게 원래 소속된 자신의 서브넷으로 접근할 수 있도록 하는 서비스 가상 사설망 지원노드/외부 에이전트(SVSN/FA)와; 가상 사설망 게이트웨이로 외부 패킷 교환망과 논리적 인터페이스를 담당하고, 사설 주소를 공인 주소로 변경하는 망 주소변환(NAT) 기능을 수행하며, 상기 이동단말과 IPSec 터널링을 위한 루팅 정보 및 이동단말과 외부 에이전트(FA)가 할당한 임시 주소 리스트를 관리하는 게이트웨이 가상 사설망 지원노드/게이트웨이 외부 에이전트(GVSN/GFA)와; VPN 게이트웨이로 외부 패킷 교환망과 논리적 인터페이스를 담당하고, 상기 GVSN/GFA로 다중 프로토콜 라벨 스위칭(MPLS) 터널링을 위한 루팅 정보 및 이동단말과 GFA가 할당한 임시 주소 리스트를 관리하는 기능 및 이동단말의 이동성을 지원하기 위한 이동단말의 주소와 GFA 주소 쌍인 이동성 결합(Mobility Binding)을 유지하는 게이트웨이 가상 사설망 지원노드/홈 에이전트(GVSN/HA)로 구성한 것을 특징으로 한다.In order to achieve the above object, the present invention provides a virtual private network service processing apparatus that provides mobile subscribers with authentication, reliability, integrity, and mobility of a mobile terminal, and provides an enterprise in a wireless network (CDMA, GSM, WLAN, etc.). A mobile terminal equipped with an Internet Security Protocol (IPSec) client software for accessing an intranet server to provide a virtual private network service; It performs routing information management, authentication and access control functions of the mobile terminal for packet data processing, assigns a care-of address to the mobile terminal in the visited network, and originally belongs to the mobile terminal to communicate in another subnet. A service virtual private network support node / external agent (SVSN / FA) that allows access to its own subnet; It is a virtual private network gateway that takes charge of the logical interface with the external packet switching network, performs a network address translation (NAT) function to change the private address to the public address, routing information for the mobile terminal and IPSec tunneling, and the mobile terminal and the external agent ( A gateway virtual private network support node / gateway foreign agent (GVSN / GFA) that manages a temporary address list allocated by the FA); It is a VPN gateway, which handles logical interface with external packet switching network, and manages routing information for multi-protocol label switching (MPLS) tunneling with GVSN / GFA, and manages mobile terminal and temporary address list assigned by GFA. A gateway virtual private network support node / home agent (GVSN / HA) that maintains mobility binding (Mobility Binding), which is an address of a mobile terminal and a GFA address pair, is configured.

그리고, 본 발명의 방법에 있어서는, 새로운 이동단말이 무선망에 도착하면 그 이동단말의 무선정보를 브로드캐스트(broadcast)한 후, 방문망에 이동하였을 때 홈 에이전트(HA)에게 이동 IP 등록을 수행하며, 가상 사설망을 형성하기 위해 이동 단말과 GVSN/GFA 간에 보안연계(SA) 협상 및 키 교환을 한 후 SA를 설정하고, GVSN/GFA와 GVSN/HA 간에 MPLS 터널을 형성하도록 하는 단계와; 이동 IP 등록과정에서 이동단말이 같은 방문망에서 외부 에이전트(FA)로 이동하였을 때 GVSN/GFA에게 이동 IP 내부 등록을 수행하고, 이동단말과 GVSN/GFA 간에 SA 협상 및 키 교환 을 한 후, SA를 설정하는 단계와; 이동단말이 인터넷 보안 프로토콜(IPSec), MPLS 가상 사설망을 통해 인트라넷에 접속하는 단계와; 통신하고자 하는 상대 이동단말이 요청 이동단말로 데이터그램 전달 시 요청 이동단말과 GVSN/GFA 간은 IPSec 가상 사설망, GVSN/GFA와 GVSN/HA 간에는 MPLS 가상 사설망을 통해 패킷 데이터 서비스를 제공하는 단계와; 이동단말이 같은 방문망에서 다른 FA로 이동하였을 경우 IPSec 및 MPLS 가상 사설망을 통해 루팅 최적화하는 제1 루팅 최적화단계와; 이동단말이 다른 GFA로 이동하였을 경우에 IPSec 및 MPLS 가상 사설망을 통해 루팅 최적화하는 제2 루팅 최적화단계로 이루어진 것을 특징으로 한다.
In the method of the present invention, when a new mobile terminal arrives at the wireless network, the wireless information of the mobile terminal is broadcasted, and when the mobile terminal moves to the visited network, mobile IP registration is performed to the home agent HA. And establishing an SA after establishing security association (SA) negotiation and key exchange between the mobile terminal and the GVSN / GFA to form a virtual private network, and establishing an MPLS tunnel between the GVSN / GFA and the GVSN / HA; In the mobile IP registration process, when the mobile station moves to the external agent (FA) from the same visited network, the mobile IP internal registration is performed to the GVSN / GFA, and SA negotiation and key exchange between the mobile terminal and the GVSN / GFA are performed. Setting up; The mobile terminal accessing the intranet through an Internet Security Protocol (IPSec), an MPLS virtual private network; Providing a packet data service between an IPSec virtual private network between the requesting mobile terminal and the GVSN / GFA and an MPLS virtual private network between the GVSN / GFA and the GVSN / HA between the requesting mobile terminal and the GVSN / GFA; A first routing optimization step of optimizing routing through IPSec and MPLS virtual private networks when the mobile station moves from the same visited network to another FA; When the mobile terminal moves to another GFA, it characterized in that the second routing optimization step for optimizing the routing through the IPSec and MPLS virtual private network.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치의 구성을 간략하게 보인 구성도로서, 이에 도시한 바와 같이 무선망(CDMA, GSM, WLAN 등)에서 기업 내 인트라넷 서버에 접속할 수 있도록 인터넷 보안 프로토콜(IPSec) 클라이언트 소프트웨어를 탑재하여 가상 사설망 서비스를 제공하는 이동단말(11, 17)과; 상기 이동단말(11, 17)과의 통신 또는 이동 중계국의 중계에 의한 통신을 하기 위하여 육상에 개설하여 한 곳에 고정되어 있는 기지국(Access Point, 12)과; 패킷 데이터 처리를 위한 이동단말의 루팅 정보관리, 인증 및 접근 제어 기능을 수행하고, 방문 망에서 이동단말에게 임시(care-of) 주소를 할당하며, 타 서브넷에서 통신하려는 상기 이동단말(11, 17)에게 원래 소속된 자신의 서브넷으로 접근할 수 있도록 하는 서비스 가상 사설망 지원노드/외부 에이전트(SVSN/FA, 13)와; 가상 사설망 게이트웨이로 외부 패킷 교환망과 논리적 인터페이스를 담당하고, 사설 주소를 공인 주소로 변경하는 망 주소변환(NAT) 기능을 수행하며, 상기 이동단말(11, 17)과 IPSec 터널링을 위한 루팅 정보 및 이동단말과 외부 에이전트(FA)가 할당한 임시 주소 리스트를 관리하는 게이트웨이 가상 사설망 지원노드/게이트웨이 외부 에이전트(GVSN/GFA 14)와; VPN 게이트웨이로 외부 패킷 교환망과 논리적 인터페이스를 담당하고, 상기 GVSN/GFA로 다중 프로토콜 라벨 스위칭(MPLS) 터널링을 위한 루팅 정보 및 이동단말(11, 17)과 GFA가 할당한 임시 주소 리스트를 관리하는 기능 및 이동단말(11, 17)의 이동성을 지원하기 위한 이동단말(11, 17)의 주소와 GFA 주소 쌍인 이동성 결합(Mobility Binding)을 유지하는 게이트웨이 가상 사설망 지원노드/홈 에이전트(GVSN/HA, 15)와; 인터넷 기술을 응용해서 홈페이지나 전자 우편 시스템, 전자 게시판 등의 서비스를 제공하는 기업 내 통신망을 위한 인트라넷 서버(16)로 구성한다.1 is a block diagram showing the configuration of the Internet protocol virtual private network service processing apparatus in the mobile communication of the present invention, as shown in the figure so that the wireless network (CDMA, GSM, WLAN, etc.) can be connected to the intranet server in the enterprise A mobile terminal (11, 17) for providing a virtual private network service with an Internet security protocol (IPSec) client software; A base station (Access Point, 12) fixed to a ground and opened in a land for communication with the mobile terminals (11, 17) or with a relay of a mobile relay station; Routing information management, authentication, and access control functions of a mobile terminal for packet data processing, assigning a care-of address to the mobile terminal in a visited network, and communicating with other subnets (11, 17) A service virtual private network support node / external agent (SVSN / FA, 13), which provides access to its own subnet to which it belongs; It is a virtual private network gateway that takes charge of the logical interface with the external packet switching network, performs a network address translation (NAT) function to change the private address to the public address, routing information and movement for the mobile station (11, 17) and IPSec tunneling A gateway virtual private network support node / gateway external agent (GVSN / GFA 14) managing a temporary address list allocated by the terminal and the external agent (FA); Function to manage logical interface with external packet switching network as VPN gateway, and manage routing information for multi-protocol label switching (MPLS) tunneling and temporary address list assigned by mobile stations (11, 17) and GFA with GVSN / GFA. And a gateway virtual private network support node / home agent (GVSN / HA) that maintains Mobility Binding, which is an address and GFA address pair of mobile terminals 11 and 17 to support mobility of mobile terminals 11 and 17. )Wow; An intranet server 16 for an intra-company communication network that provides services such as a homepage, an e-mail system, an electronic bulletin board, etc. by applying Internet technology is configured.

또한, 본 발명에서 사용되는 '이동 IP 등록요청'과 '이동 IP 등록응답' 메시지는 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force, IETF) 알에프씨(Request for Comments, RFC) 2002 문서의 규격을 따르고, '라벨 요청'과 '라벨 응답' 메시지는 IETF RFC 3036 문서의 규격을 따르며, 표 1 ~ 표 5를 통해 각각 이동단말이 현재 연결(attachment)된 위치를 판단하는 '에이전트 통지' 메시지 형식과, '이동 IP 등록 요청' 메시지 형식, '이동 IP 등록응답' 메시지 형식 및 터널을 형성하기 위한 '라벨 요청'과 '라벨 응답' 메시지 형식을 설명한다. In addition, the 'mobile IP registration request' and 'mobile IP registration response' messages used in the present invention comply with the specifications of the Internet Engineering Task Force (IETF) Request for Comments (RFC) 2002 document, The 'Request Label' and 'Label Response' messages follow the specifications of the IETF RFC 3036 document, and the 'Agent Notification' message format, which determines the location of the mobile terminal is currently attached through Tables 1 to 5, and Mobile IP registration request 'message format,' Mobile IP registration response 'message format, and' label request 'and' label response 'message formats to form a tunnel are described.                     

먼저, [표 1]에서와 같이 '에이전트 통지' 메시지 형식은 형태(type), 길이(length), 시퀀스 번호, 수명(life time), 플래그(flags) 및 임시주소로 이루어지며, 이중 형태 필드는 인터넷 제어 메시지 프로토콜(ICMP) 라우터 통지에 대해서 사용되는 여러 가지 확장자를 구분하기 위하여 이동단말에게 허용한 필드로 FA 또는 HA가 ICMP 라우터 통지에서 사용하고 있다는 것을 의미하며(일반적으로 이동 에이전트 통지 확장자의 형태는 '3'이다), 길이 필드는 얼마나 많은 임시주소가 통지되는가에 달려 있고(6 비트 + 4 * N, N은 통지된 임시주소의 개수), 수명 필드는 등록요청을 받아들일 시간(초 단위)을 의미하며, 시퀀스 번호 필드는 에이전트가 초기화 이후 '에이전트 통지' 메시지 전송수이고, 플래그 필드는 통지의 특징에 관해 이동단말에게 알리는데 사용하는데, [표 1]에서 'RBHFMGVL' 중 'R'은 등록요구(Registration Required)를 의미하며, 'B'는 외부 에이전트 비지(busy : 추가적인 이동단말로부터 등록을 받아들이지 않겠다)를 의미하고, 'H'는 에이전트는 HA 서비스를 해주겠다는 의미이며, 'F'는 에이전트는 FA 서비스를 해주겠다는 의미이고, 'M'은 최소 캡슐화(minimal encapsulation) 구현(RFC 2004 : 터널된 데이터그램을 최소 캡슐화로 구현)을 의미하며, 'G'는 GRE 캡슐화 구현(RFC 1701 : 터널된 데이터그램을 GRE 캡슐화로 구현)을 의미하고, 'V'는 반 자콥슨 헤더 요약(van jacobson header compression) 구현(RFC 1144)을 의미하며, 'L'은 지역 터널 관리(local tunnel management : 내부등록을 허용)를 의미한다. 여기서 'F'와 'H'는 서로 배타적이 아니고, 'F' 비트가 설정되지 않는다면 'B' 비트는 설정되지 않으며, 또한 FA는 새로운 이동단말에 대해서 서비스를 제공하지 못할 만큼 바쁘더 라도 '에이전트 통지' 메시지를 이동단말에게 전송하며, 임시주소 필드에서 통지된 FA 임시주소는 상기 FA에 의해 제공되고, 만약 'F' 비트가 설정되어 있는 경우에는 최소 한 개 이상의 임시주소가 있어야 한다.First, as shown in [Table 1], the 'agent notification' message format is composed of type, length, sequence number, life time, flags, and temporary address. A field allowed for mobile terminals to distinguish the various extensions used for Internet Control Message Protocol (ICMP) router notifications, meaning that the FA or HA is using them in ICMP router notifications (usually in the form of mobile agent notification extensions). Is '3'), the length field depends on how many temporary addresses are reported (6 bits + 4 * N, N is the number of temporary addresses notified), and the lifetime field is the number of seconds to accept the registration request. The sequence number field is the number of 'agent notification' messages sent by the agent after initialization, and the flag field is used to inform the mobile station about the characteristics of the notification. In the 'RBHFMGVL', 'R' means Registration Required, 'B' means external agent busy (busy: will not accept registration from additional mobile terminal), and 'H' means HA service. 'F' means agent will provide FA service, 'M' means minimal encapsulation implementation (RFC 2004: tunneled datagram with minimal encapsulation), G 'means GRE encapsulation implementation (RFC 1701: Tunneled datagrams are implemented with GRE encapsulation),' V 'means van jacobson header compression implementation (RFC 1144), and' L ' 'Means local tunnel management (allow internal registration). Here, 'F' and 'H' are not mutually exclusive, 'B' bit is not set if 'F' bit is not set, and 'Agent' notification is not available even if FA is too busy to service new mobile terminal. Message is sent to the mobile station, and the FA temporary address notified in the temporary address field is provided by the FA, and if the 'F' bit is set, there must be at least one temporary address.

Figure 112001028326512-pat00001
Figure 112001028326512-pat00001

'이동 IP 등록요청' 메시지는 [표 2]에서와 같이 형태, 플래그, 수명, 홈 주소, 홈 에이전트, 임시주소, 식별자(identification) 및 확장자(extensions)로 이루어지는데, 형태 필드는 등록요청을 나타내며(값은 '1'), 플래그 필드는 'SBDMGV(rsv)'로 이루어지며, 이중 'S'는 동시결합(simultaneous bindings : S 비트가 '1'로 설정되어 있으면 HA에게 이동단말의 이전 이동성결합을 유지해달라고 요청한다)을 의미하고, 'B'는 브로드캐스트 데이터그램(broadcast datagrams : B 비트는 이동단말이 브로드캐스트 데이터그램을 HA에게 달라고 요청하는데 사용한다)을 의미하며, 'D'는 이동 노드의 디캡슐화(de-capsulation by mobile node : 이동단말이 임시주소로 전송하는 데이터그램을 캡슐해제 하는데 사용된다)를 의미하고, 나머지 'M'~'V'는 상기 표 1의 설명과 동일하다. 그리고 수명 필드는 등록 만료되기 전까지의 시간(초 단위)을 의미하며, 홈 주소 필드는 이동단말의 IP 주소이고, 홈 에이전트 필드는 HA 이동단말의 IP 주소이며, 임시주소 필드는 터널의 끝을 가리키는 IP 주소이고, 확인 필드는 이동단말에 의해 만들어진 64비트 번호로 등록 요청과 등록 응답이 매치(match)되는지 여부 즉, 재방지 보안(replay protection)에 사용하며, 확장자 필드는 하나 또는 이상의 확장자들이 있다는 것을 의미하고, 모든 등록요청(registration request)에는 반드시 이동 홈 인증 확장자가 포함되어야 한다.The 'Mobile IP Registration Request' message consists of a form, flag, lifetime, home address, home agent, temporary address, identification and extensions as shown in [Table 2]. The form field indicates a registration request. (Value is '1'), flag field is 'SBDMGV (rsv)', and 'S' is simultaneous coupling (simultaneous bindings: previous mobility coupling of mobile terminal to HA if S bit is set to '1') 'B' means broadcast datagrams (the B bit is used by the mobile station to request the broadcast datagram to the HA), and 'D' means De-capsulation by mobile node (used to decapsulate a datagram sent by a mobile station to a temporary address), and the remaining 'M' to 'V' are the same as described in Table 1 above . The lifetime field is the number of seconds before the registration expires, the home address field is the mobile station's IP address, the home agent field is the HA mobile station's IP address, and the temporary address field is the end of the tunnel. It is an IP address, and the confirmation field is a 64-bit number generated by the mobile station. It is used for registration request and registration response, that is, for replay protection. The extension field indicates that there is one or more extensions. All registration requests must include a mobile home authentication extension.

Figure 112001028326512-pat00002
Figure 112001028326512-pat00002

'이동 IP 등록응답' 메시지 형식은 [표 3]에 도시한 바와 같이 형태, 코드, 수명, 홈 주소, 홈 에이전트, 확인 및 확장자로 이루어지는데, 이중 형태 필드는 요청응답이고(값은 '3'), 코드 필드는 등록요청의 결과를 가리키며, 결과에 따른 값들로 나타내는데, 그 값들이 의미하는 것은 다음과 같다.The 'Mobile IP Registration Response' message format consists of the form, code, lifetime, home address, home agent, acknowledgment and extension as shown in Table 3. The dual form field is request response (value is '3' ), The code field indicates the result of the registration request and indicates the values according to the result.

즉, '0'인 경우에는 등록 인정(registration accepted)을 의미하며, FA에 의해 등록이 거부될 때 '66'은 부족한 자원(insufficient resources)을 의미하고, '69'는 통지 한정(lifetime request > advertised limited)을 의미하며, '70'은 장애 형태 요구(poorly formed request)를 의미하고, '71'은 장애 형태 응답(poorly formed reply)을 의미하며, '88'은 홈 에이전트 도착불능을 의미하고, HA에 의해 등록이 거부될 때 '130'은 부족한 자원(insufficient resources)을 의미하며, '131'은 이동노드 실패 인증(mobile node failed authentication)을 의미하고, '133'은 등록 확인 부정합(registration identification mismatch)을 의미하며, '134'는 장애 형태 요구(poorly formed request)를 의미하고, '136'은 홈 에이전트 주소(unknown home agent address)를 의미한다.In other words, '0' means registration accepted. When registration is rejected by the FA, '66' means insufficient resources, and '69' means limited notification. advertised limited, '70' means a poorly formed request, '71' means a poorly formed reply, '88' means a home agent's inability to reach For example, when registration is rejected by HA, '130' means insufficient resources, '131' means mobile node failed authentication, and '133' means registration verification mismatch. identification mismatch, '134' means a poorly formed request, and '136' means a home agent address (unknown home agent address).

또한, 수명 필드는 만약 등록이 받아들여졌다면 등록이 만료되기 전까지의 남은 시간(초)을 의미하며, '0'인 경우에는 이동단말이 등록취소(deregistered) 되었음을 나타내고, 등록이 거절되었다면 이 영역은 무시된다. 홈 주소 필드는 이동단말의 IP 주소이고, 홈 에이전트 필드는 이동단말 HA의 IP 주소이며, 혹인 필드는 재방지 보안에 사용한다.The lifetime field also indicates the number of seconds before registration expires if registration has been accepted. If '0', this indicates that the mobile station has been deregistered. Ignored The home address field is the IP address of the mobile station, the home agent field is the IP address of the mobile station HA, and the hump field is used for replay prevention security.

Figure 112001028326512-pat00003
Figure 112001028326512-pat00003

'라벨 요청' 메시지 형식은 [표 4]에 도시한 바와 같이 메시지 형태, 메시지 길이, 메시지 ID, 포워딩 등가등급(forwarding equivalence classes, FEC) 형태 길이 값(type length value, TLV) 및 임의의 파라미터(optional parameters)로 이루 어지는데, 이중 메시지 형태 필드는 '0x0401' 이면 '라벨 요청' 메시지임을 나타내며, 메시지 길이 필드는 메시지의 길이를 나타내고, 메시지 ID 필드는 이 메시지를 식별하기 위한 식별자이며, 라벨은 FEC와 결합하고 FEC TVL은 FEC 항목을 인코드하며, 임의의 파라미터 필드는 홉(hop) 카운트 TLV, 경로 TLV를 포함한다.The 'label request' message format includes the message type, message length, message ID, forwarding equivalence classes (FEC) type length value (TLV), and optional parameters (see Table 4). The dual message type field indicates 'label request' message, the message length field indicates the length of the message, the message ID field indicates an identifier for identifying the message, and the label Combined with FEC and FEC TVL encodes the FEC item, and any parameter field includes hop count TLV, path TLV.

Figure 112001028326512-pat00004
Figure 112001028326512-pat00004

마지막으로, '라벨 응답' 메시지 형태는 [표 5]에 도시한 바와 같이 메시지 형태, 메시지 길이, 메시지 ID, FEC TLV, 임의의 파라미터 및 라벨 TLV로 이루어지는데, 이중 메시지 형태 필드는 '0x0400' 이면 '라벨 응답' 메시지임을 나타내며, 라벨 TLV 필드는 FEC 라벨 매핑의 라벨 구성 요소를 명시한다.Finally, the 'label response' message type consists of message type, message length, message ID, FEC TLV, optional parameter and label TLV as shown in [Table 5]. If the dual message type field is '0x0400', Indicates that this is a 'label response' message, the label TLV field specifies the label component of the FEC label mapping.

Figure 112001028326512-pat00005
Figure 112001028326512-pat00005

이상에서와 같이 구성한 본 발명에 따른 일실시예의 동작 과정을 설명하면 다음과 같다.Referring to the operation of the embodiment according to the present invention configured as described above are as follows.

도 2는 본 발명에 따른 가상 사설망 서비스 처리를 위한 이동 IP 등록 및 터널 형성 과정을 보인 흐름도로서, 이에 도시한 바와 같이 이동단말(11)이 새로운 무선망에 도착하면 기지국(12)으로부터 브로드캐스트 받은 후, 이동단말(11)은 '접근점 이름(Access Point Name, APN)', '요구 패킷 데이터 프로토콜(Packet Data Protocol, PDP) 주소' 파라미터 등을 포함한 'PDP 문맥 요구 활성화' 메시지를 SVSN/FA(13)로 전송한다.2 is a flowchart illustrating a mobile IP registration and tunnel formation process for processing a virtual private network service according to the present invention. As shown in FIG. 2, when a mobile station 11 arrives at a new wireless network, the mobile station 11 receives a broadcast from a base station 12. Afterwards, the mobile terminal 11 transmits a 'PDP context request activation' message including an 'Access Point Name (APN)', a 'Packet Data Protocol (PDP) address' parameter, and the like to SVSN / FA. Transfer to (13).

상기 SVSN/FA(13)은 이동단말(11)이 전송한 'APN'을 가지고 해당되는 GVSN/GFA(14)로 'PDP 문맥 요구 작성' 메시지를 전송하며, PDP 문맥이 성공적으로 생성되었다는 'PDP 문맥 응답 작성' 메시지를 SVSN/FA(13)으로 전송한다.The SVSN / FA 13 sends a 'PDP context request creation' message to the corresponding GVSN / GFA 14 with the 'APN' transmitted by the mobile terminal 11, and the 'PDP' indicates that the PDP context was successfully created. Send context response 'message to the SVSN / FA (13).

이에 따라 상기 SVSN/FA(13)는 상기 이동단말(11)에게 요청한 PDP 문맥이 승인되었다는 'PDP 문맥 수용 활성화' 응답메시지를 전송하고, 정기적으로 '에이전트 통지' 메시지를 브로드캐스트한다.Accordingly, the SVSN / FA 13 transmits a 'PDP context acceptance activation' response message to the mobile terminal 11 that the requested PDP context has been approved, and periodically broadcasts an 'agent notification' message.

이후, 상기 이동단말(11)이 등록 방문망에 처음 이동하였을 때 SVSN/FA(13)에게 '이동 IP 등록요청' 메시지를 보낸 다음 GVSN/GFA(14)에게 '이동 IP 등록요청' 메시지를 포워딩(forwarding)한다.Then, when the mobile terminal 11 first moves to the registration visit network, it sends a 'mobile IP registration request' message to the SVSN / FA 13 and then forwards a 'mobile IP registration request' message to the GVSN / GFA 14. (forwarding)

만일, GVSN/GFA(14)는 FA에게 얻은 임시주소가 라우팅할 수 없는 주소이면 홈망과 연결성을 잃어버리기 때문에 'NAT'를 통해 라우팅이 가능한 주소로 변환하여 홈망에 있는 HA에게 '이동 IP 등록요청' 메시지를 전송하여 이동단말(11)의 IP 주소와 GFA의 주소를 HA에게 등록한다. 그러면 HA는 GVSN/GFA(14)에게 이동 IP 등록이 성공적으로 수행되었다는 '이동 IP 등록응답' 메시지를 포워딩시키고, '이동 IP 등록응답' 메시지를 받은 상기 SVSN/FA(13)는 이동단말(11)에게 포워드시킴으로써, 이동 IP 등록절차를 완료한다.If the temporary address obtained from the FA is a non-routable address, the GVSN / GFA 14 loses connectivity with the home network. Therefore, the GVSN / GFA 14 converts the address into a routable address through the NAT, and requests the mobile IP registration to the HA in the home network. 'Register the HA with the IP address of the mobile terminal 11 and the address of the GFA by sending a message. The HA then forwards a 'mobile IP registration response' message to the GVSN / GFA 14 that the mobile IP registration has been successfully performed, and the SVSN / FA 13 receiving the 'mobile IP registration response' message transmits to the mobile terminal 11. Forwards the mobile IP registration procedure.

이후, 가상 사설망을 형성하기 위해 IPSec과 MPLS 프로토콜을 이용하여 이동단말(11)이 GVSN/GFA(14) 간 IPSec 터널을 형성하기 위해 SA 협상 및 키교환을 한 후 SA 설정을 수행하는데, SA 협상 및 키교환 과정은 이동단말(11)이 SA와 함께 난수, 자신의 식별자, 디피-헬만(Diffie-Hellman) 공개값을 GVSN/GFA(14)에게 전송하면 이 GVSN/GFA(14)는 이동단말(11)의 식별자로 인증받고, 이동단말(11)이 SA에서 제시한 것 중에서 선택한 SA와 이동단말(11)이 보냈던 난수로 서명한 값 및 디피-헬만 공개값을 전송해 이동단말(11)이 GVSN/GFA(14)의 신원을 검증한다. 이후 SA 설정 과정은 이동단말(11)이 해쉬와 제안 사항들과 함께 난수를 상기 GVSN/GFA(14)로 전송하면 GVSN/GFA(14)는 확인을 위해 이동단말(11)이 전송한 난수의 해쉬를 구하고, 자신의 난수를 만들어 전송하면, 이동단말(11)은 두 난수의 해쉬값을 GVSN/GFA(14)에게 전송하여 이동단말(11)과 두 난수값을 모두 알게 하며, 두 개의 난수(Security Parameter Index, SPI)와 이동단말이 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약(Internet Security Association & Key Management Protocol, ISAKMP) 헤더에 포함시켜 보낸 프로토콜 값들을 결합한 값의 해쉬를 SA 협상 및 키교환 과정에서 얻은 유도키를 이용하여 IPSec 가상 사설망을 위한 사항을 협상하고 키를 재생성한다(상기 SA는 IP에서 가상 사설망을 제공하기 전에 송신자와 수신자 사이의 보안 협상하는 것으로, 해당 가설 사설망과 매카니즘을 정의하는 파라미터의 집합이다).Subsequently, the mobile station 11 performs SA setup and SA exchange to form an IPSec tunnel between the GVSN / GFA 14 using the IPSec and MPLS protocols to form a virtual private network. And the key exchange process, when the mobile terminal 11 transmits a random number, its identifier, and a Diffie-Hellman public value to the GVSN / GFA 14 together with the SA, the mobile terminal 11 transmits the GVSN / GFA 14 to the mobile terminal. Authenticated with the identifier of (11), and the mobile terminal 11 transmits the signed value and the Diffie-Hellman public value signed by the SA selected from the SA and the mobile terminal 11 selected from the SA, and the mobile terminal 11 The identity of this GVSN / GFA 14 is verified. After the SA setup process, if the mobile station 11 transmits a random number together with the hash and the suggestions to the GVSN / GFA 14, the GVSN / GFA 14 checks the random number transmitted by the mobile station 11 for confirmation. When the hash is obtained and its own random number is generated and transmitted, the mobile terminal 11 transmits the hash values of the two random numbers to the GVSN / GFA 14 to know the mobile terminal 11 and both random values, and the two random numbers. SA is a hash of the combined values of the protocols sent by the Security Parameter Index (SPI) and the mobile terminal included in the Internet Security Association & Key Management Protocol (ISAKMP) header for the communication parties to authenticate each other and exchange cryptographic keys. Negotiate and regenerate the key for the IPSec virtual private network using the derived key obtained during the negotiation and key exchange process. (The SA is a security negotiation between the sender and the receiver before providing the virtual private network in IP. Is a set of parameters that define the delirium and mechanism).

이후, GVSN/HA(15)는 터널을 형성하기 위해 상기 GVSN/GFA(14)로 '라벨 요청' 메시지를 전송하면, GVSN/GFA(14)는 '라벨 요청' 메시지를 수신하여 라벨을 할당한 후 상기 GVSN/HA(15)에게 '라벨 응답' 메시지를 전송한다.
Then, the GVSN / HA 15 transmits a 'label request' message to the GVSN / GFA 14 to form a tunnel, and the GVSN / GFA 14 receives a 'label request' message and assigns a label. Thereafter, the GVSN / HA 15 transmits a 'label response' message.

도 3은 본 발명에 따른 이동 IP 내부등록과 터널설정 흐름을 보인 예시도로서, 이에 도시한 바와 같이 이동단말(11)이 새로운 무선망에 도착하면 기지국(12)으로부터 무선정보를 브로드캐스트 받은 후, 'APN', PDP 주소 요구' 파라미터 등을 포함한 'PDP 문맥요구 활성화' 메시지를 SVSN/FA(13)로 전송하면, SVSN/FA(13)는 이동단말(11)이 전송한 'APN'을 가지고 해당되는 GVSN/GFA(14)에게 'PDP 문맥요구 작성' 메시지를 전송한다. 3 is an exemplary view illustrating a flow of internal IP registration and tunnel setup according to the present invention. As shown in FIG. 3, when the mobile terminal 11 arrives at a new wireless network, the mobile station 11 receives the radio information from the base station 12. When the 'PDP context request activation' message including the 'APN', 'PDP address request' parameter, etc. is transmitted to the SVSN / FA 13, the SVSN / FA 13 transmits the 'APN' transmitted by the mobile terminal 11. And sends a 'PDP Context Request' message to the corresponding GVSN / GFA (14).

이후, 상기 GVSN/GFA(14)로부터 PDP 작성이 성공적으로 생성되었다는 'PDP 문맥응답 작성' 메시지가 SVSN/FA(13)로 전송되면 SVSN/FA(13)는 이동단말(11)에게 요청한 PDP 작성이 승인되었다는 'PDP 작성승인 활성화' 응답 메시지를 전송하고, 정기적으로 '에이전트 통지' 메시지를 브로드캐스트 한다. Subsequently, when the 'PDP context response creation' message indicating that the PDP creation was successfully generated from the GVSN / GFA 14 is transmitted to the SVSN / FA 13, the SVSN / FA 13 requests the mobile terminal 11 to create the PDP. It sends a 'Activate PDP Authorization' response message that it has been approved, and periodically broadcasts an 'Agent Notification' message.

이동단말(11)이 같은 방문망에서 FA 간 이동하였을 경우에 GVSN/GFA(14)는 SVSN/FA(13)에게 '이동 IP 내부등록 요청' 메시지를 전송하고, 이에 따라 SVSN/FA(13)는 상기 GVSN/GFA(14)로 포워드 시킴으로써, 이동단말(11)의 IP 주소와 FA의 주소를 GFA에게 등록한다. 이후 GVSN/GFA(14)는 이동 IP 내부등록이 성공적으 로 수행되었다는 '이동 IP 내부등록 응답' 메시지를 SVSN/FA(13)에게 전송하며, 이에 따라 SVSN/FA(13)은 이동단말(11)에게 '이동 IP 내부등록 응답' 메시지를 포워드 시킴으로써, 이동 IP 내부 등록 과정을 수행한다.When the mobile station 11 moves between FAs in the same visited network, the GVSN / GFA 14 transmits a 'mobile IP internal registration request' message to the SVSN / FA 13 and, accordingly, the SVSN / FA 13 Forwards the GVSN / GFA 14 to register the IP address of the mobile station 11 and the FA address with the GFA. Thereafter, the GVSN / GFA 14 transmits a 'mobile IP internal registration response' message to the SVSN / FA 13 indicating that the mobile IP internal registration has been successfully performed. Accordingly, the SVSN / FA 13 transmits the mobile terminal 11 to the mobile terminal 11. ) By forwarding the message 'Mobile IP internal registration response' to the mobile IP internal registration process.

만일, FA에게 얻은 임시주소가 라우팅할 수 없는 주소이면 홈망과 연결성을 잃어버리기 때문에 'NAT'를 통해 라우팅이 가능한 주소로 변환하여 이동 IP 내부등록 과정을 수행한 후, 가상 사설망을 형성하기 위해 IPSec 프로토콜을 이용하는데, 이동단말(11)이 GVSN/GFA(14) 간 IPSec 터널을 형성하기 위해 SA 협상 및 키 교환 후에 SA 설정 과정을 수행한다. 이 SA 협상 및 키 교환 과정은 이동단말(11)이 SA와 함께 난수, 자신의 식별자, 디피-헬만 공개값을 GVSN/GFA(14)로 전송하면 GVSN/GFA(14)는 이동단말의 식별자로 인증받고, 이동단말이 SA에서 제시한 것 중에서 선택한 SA와 이동단말이 전송한 난수로 서명한 값과 디피-헬만 공개값을 전송해 이동단말(11)이 GVSN/GFA(14)의 신원을 검증하도록 한다.If the temporary address obtained from the FA is a non-routable address, the connection with the home network is lost. Therefore, the IPSec is converted to a routable address through 'NAT' to perform an internal IP registration process, and then to form a virtual private network. Using the protocol, the mobile station 11 performs the SA setup process after SA negotiation and key exchange to form an IPSec tunnel between the GVSN / GFA 14. In this SA negotiation and key exchange process, when the mobile station 11 transmits a random number, its identifier, and a Diffie-Hellman public value to the GVSN / GFA 14 together with the SA, the GVSN / GFA 14 uses the identifier of the mobile terminal. The mobile terminal 11 verifies the identity of the GVSN / GFA 14 by transmitting the signed value and the Diffie-Hellman public value signed by the selected SA and the random number transmitted by the mobile terminal among those presented by the SA. Do it.

또한, SA 설정 과정은 이동단말이 해쉬와 제안사항들과 함께 난수를 GVSN/GFA(14)으로 전송하면 GVSN/GFA(14)는 확인을 위해 이동단말이 전송한 난수의 해쉬를 구하고, 자신의 난수를 만들어 전송하면 이동단말(11)은 두 난수의 해쉬값을 GVSN/GFA(14)에게 전송하여 이동단말(11)과 GVSN/GFA(14) 모두 두 난수값을 알게 하며, 두 개의 난수(Security Parameter Index, SPI)와 이동단말이 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약(ISAKMP) 헤더에 포함시켜 보낸 프로토콜 값들을 결합한 값의 해쉬를 SA 협상 및 키교환 과정에서 얻은 유도키를 이용하여 IPSec 가상 사설망을 위한 사항을 협상하고 키를 재생성한다. In addition, the SA setup process sends a random number to the GVSN / GFA 14 along with the hash and suggestions, and the GVSN / GFA 14 obtains a hash of the random number transmitted by the mobile terminal for confirmation. When the random number is generated and transmitted, the mobile terminal 11 transmits the hash values of the two random numbers to the GVSN / GFA 14 so that the mobile terminal 11 and the GVSN / GFA 14 both know the random numbers. Security Parameter Index (SPI) and the mobile terminal derive a hash of the combined values of protocols sent from the communication protocol (ISAKMP) header for communication parties to authenticate and exchange cryptographic keys. Negotiate and regenerate the key for the IPSec virtual private network.                     

상기에서 '이동 IP 내부등록 요청' 메시지와 '이동 IP 내부등록 응답' 메시지의 형식은 [표 6], [표 7]에 각각 나타내었는데, 이중 '이동 IP 내부등록 요청' 메시지 형식은 표 6에 도시한 바와 같이 형태, 길이, GFA IP 주소 및 확장자로 이루어지는데, 형태 필드는 이동 IP 내부등록 요청이고, 길이 필드는 GFA 주소에 따라 크기가 결정되며, GFA IP 필드는 GFA의 IP 주소를 가리키며, 확장자 필드는 하나 또는 이상의 확장자들이 있다는 것을 의미한다.The format of the 'mobile IP internal registration request' message and the 'mobile IP internal registration response' message are shown in [Table 6] and [Table 7], respectively. As shown, the form, length, GFA IP address and extension, the form field is a mobile IP internal registration request, the length field is determined according to the GFA address, the GFA IP field indicates the IP address of the GFA, The extension field means that there is one or more extensions.

Figure 112001028326512-pat00006
Figure 112001028326512-pat00006

그리고, '이동 IP 내부등록 응답' 메시지 형식은 [표 7]에 도시한 바와 같이 형태, 길이, 재방지 보안 스타일과 초기 식별자로 이루어지는데, 재방지 보안 스타일 필드는 이동단말(11)이 바라는 응답 보호 형태를 가리키는 숫자이고, 초기 식별자 필드는 응답 과정을 위해 초기 동기화에 사용하는 타이머-스탬프(timer-stamp) 또는 난수이다.In addition, the 'mobile IP internal registration response' message format includes a form, a length, an anti-security security style and an initial identifier as shown in [Table 7]. The anti-security security style field includes a response desired by the mobile terminal 11. A number indicating the type of protection, and the initial identifier field is a timer-stamp or random number used for initial synchronization for the response process.

Figure 112001028326512-pat00007
Figure 112001028326512-pat00007

도 4는 본 발명에 따른 인트라넷 접속 흐름을 보인 예시도로서, 이에 도시한 바와 같이 이동단말(11)이 SA 협상을 통해 미리 형성된 IPSec 터널로 GVSN/GFA(14)와 가상 사설망 접속을 하면 GVSN/GFA(14)는 이동단말(11)이 홈망에서 접속했는지 또는 외부망에서 접속했는지 여부를 판단하여 이 판단결과 홈망에서 이동단말이 접속한 경우에는 바로 인트라넷에 접속을 시도하고, 만약 외부망에서 접속을 했을 경우에는 GVSN/GFA(14)와 GVSN/HA(15) 간에 미리 형성된 MPLS 터널을 통해 MPLS 가상 사설망 접속을 한 후 인트라넷에 접속을 시도한다.
4 is an exemplary diagram illustrating an intranet access flow according to the present invention. As shown in FIG. 4, when the mobile terminal 11 accesses a virtual private network with the GVSN / GFA 14 through a preconfigured IPSec tunnel through SA negotiation, the GVSN / The GFA 14 determines whether the mobile terminal 11 is connected from the home network or from an external network. If the mobile terminal is connected from the home network as a result of the determination, the GFA 14 immediately attempts to connect to the intranet. In this case, an MPLS virtual private network connection is made through a pre-formed MPLS tunnel between the GVSN / GFA 14 and the GVSN / HA 15, and then an intranet is attempted.

도 5는 본 발명에 따른 데이터그램 전송 과정을 보인 흐름도로서, 이에 도시한 바와 같이 이동단말(11), SVSN/FA(13), GVSN/GFA(14) 및 GVSN/HA(14) 사이에 IPSec 와 MPLS 프로토콜을 통해 터널이 형성된 상태에서 상대 이동단말(17)이 데이터그램을 이동단말(11)에게 전송하려면 우선 이동단말(11)의 현재 위치를 파악하기 위해 IPSec 터널된 데이터그램을 전송하면 GVSN/HA(15)는 IPSec 터널된 데이터그램을 디터널링 한 후, GFA의 임시주소와 이동단말(11)의 IP 주소로 구성된 이동성결합을 검색하여 현재 위치하고 있는 GVSN/GFA(14)에게 MPLS 터널된 데이터그램을 전송한다. MPLS 터널된 데이터그램을 수신한 GVSN/GFA(14)는 MPLS 터널된 데이터그램을 디터널링 한 후, FA 임시주소와 이동단말(11)의 IP 주소로 구성된 이동성결합을 검색하여 이동단말(11)이 위치하고 있는 SVSN/FA(13)에게 IPSec 터널된 데이터그램을 전송하며, SVSN/FA(13)는 페이징을 통해 현재의 이동단말(11)의 위치를 파악하 고, IPSec 터널된 데이터그램을 이동단말(11)에게 전송한다.
5 is a flowchart illustrating a datagram transmission process according to the present invention. As shown therein, an IPSec between a mobile terminal 11, an SVSN / FA 13, a GVSN / GFA 14, and a GVSN / HA 14 is illustrated. In order to transmit the datagram to the mobile station 11 while the tunnel is formed through the MPLS protocol, the IPSec tunneled datagram is first transmitted to determine the current position of the mobile station 11 and the GVSN is performed. After detuning the IPSec tunneled datagram, / HA (15) retrieves the mobility association consisting of the GFA temporary address and the mobile station (11) IP address and MPLS tunneled to the currently located GVSN / GFA (14) Send the datagram. After receiving the MPLS tunneled datagram, the GVSN / GFA 14 detunates the MPLS tunneled datagram, and then searches for a mobile combination composed of the FA temporary address and the IP address of the mobile terminal 11 and then the mobile terminal 11. The IPSec tunneled datagram is transmitted to the SVSN / FA 13 which is located, and the SVSN / FA 13 locates the current mobile terminal 11 through paging and moves the IPSec tunneled datagram. Send to the terminal (11).

도 6은 본 발명에 따른 FA 이동 시 데이터그램 전송 과정을 보인 흐름도로서, 이에 도시한 바와 같이 이동단말(11), SVSN/FA(13), GVSN/GFA(14) 및 GVSN/HA(15) 사이에 IPSec와 MPLS 프로토콜을 통해 터널이 형성된 상태에서 상대 이동단말(17)이 데이터그램을 이동단말(11)에게 전송하려면 먼저 IPSec 터널된 데이터그램을 GVSN/HA(15)에게 전송하면 GVSN/HA(15)는 IPSec 터널된 데이터그램을 디터널링 한 후, GVSN/GFA(14)로 MPLS 터널된 데이터그램을 전송하며, GVSN/GFA(14)는 MPLS 터널된 데이터그램을 디터널링하여 IPSec 터널된 데이터그램을 SVSN/FA(13)로 전송한다. 이때 이동단말(11)이 같은 방문망에서 다른 SVSN/FA로 이동하였다는 것을 감지한 이전 SVSN/FA는 이동한 SVSN/FA에게 IPSec 터널된 데이터그램을 포워드시키고, 이전 SVSN/FA는 GVSN/GFA(14)에게 이동성결합이 변경되었다는 메시지인 '바인딩 갱신' 메시지를 전송하며, 이동단말(11)에게 IPSec 터널된 데이터그램을 전송한다.FIG. 6 is a flowchart illustrating a datagram transmission process during FA movement according to the present invention. As shown therein, a mobile terminal 11, an SVSN / FA 13, a GVSN / GFA 14, and a GVSN / HA 15 are illustrated in FIG. When the mobile station 17 transmits the datagram to the mobile station 11 while the tunnel is formed through the IPSec and MPLS protocols, the IPSec tunneled datagram is first transmitted to the GVSN / HA 15. 15, after detuning the IPSec tunneled datagram, the MPLS tunneled datagram is transmitted to the GVSN / GFA 14, and the GVSN / GFA 14 detunates the MPLS tunneled datagram to IPSec tunneled. The datagram is sent to the SVSN / FA 13. At this time, the previous SVSN / FA which detects that the mobile terminal 11 has moved to another SVSN / FA in the same visited network forwards the IPSec tunneled datagram to the moved SVSN / FA, and the previous SVSN / FA is GVSN / GFA. It transmits a 'binding update' message, which is a message that the mobility coupling has been changed, to the 14, and transmits an IPSec tunneled datagram to the mobile terminal 11.

상기 '바인딩 갱신' 메시지를 수신한 GVSN/GFA(14)는 FA 임시주소와 이동단말(11)의 주소로 구성된 이동성결합을 갱신하고, 이동단말(11)과 GVSN/GFA(14) 간 IPSec 터널을 형성하기 위해 SA 협상 및 키교환을 한 후 SA 설정 과정을 수행하여 이동단말(11)과 GVSN/GFA(14) 간에 터널을 새로 형성한다. 이후 상대 이동단말(17)이 IPSec 터널된 데이터그램을 GVSN/HA(15)에게 전송하면 GVSN/HA(15)는 IPSec 터널된 데이터그램을 디터널링 한 후, GVSN/GFA(14)에게 MPLS 터널된 데이터그램을 전송하며, GVSN/GFA(14)는 MPLS 터널된 데이터그램을 디터널링 하고, 이동성결합을 검색한 후 이동한 SVSN/FA에게 IPSec 터널된 데이터그램을 전송하며, 해당 SVSN/FA(13)는 이동단말(11)에게 IPSec 터널된 데이터그램을 포워드 시킨다. Receiving the 'Binding Update' message, the GVSN / GFA 14 updates the mobility association consisting of the FA temporary address and the address of the mobile terminal 11, and the IPSec tunnel between the mobile terminal 11 and the GVSN / GFA 14. After SA negotiation and key exchange are performed to form the SA, a process of establishing an SA is performed to newly form a tunnel between the mobile station 11 and the GVSN / GFA 14. Thereafter, when the mobile station 17 transmits the IPSec tunneled datagram to the GVSN / HA 15, the GVSN / HA 15 detunels the IPSec tunneled datagram and then sends an MPLS tunnel to the GVSN / GFA 14. GVSN / GFA 14 detunnels the MPLS tunneled datagram, retrieves the mobility association, and sends the IPSec tunneled datagram to the moved SVSN / FA. 13) forwards the IPSec tunneled datagram to the mobile station (11).

상기에서 '바인딩 갱신' 메시지는 IETF RFC 3031 문서의 규격을 따르며, 메시지 형식은 [표 8]에 도시한 바와 같다. In the above, the 'binding update' message follows the standard of the IETF RFC 3031 document, and the message format is as shown in [Table 8].

즉, 형태, 플래그, 수명, 홈 주소, 임시주소, 식별자 및 확장자로 이루어지는데, 형태 필드는 바인딩 갱신을 의미하고(값은 '18'), 프래그 필드는 'AIMG'로 구성되며, 이중 'A' 비트는 바인딩 확인을 요청하기 위해 '바인딩 갱신' 메시지를 보내는 노드에 의해 설정되며, 'I' 비트는 식별자 필드에 존재하면 '바인딩 갱신' 메시지를 보내는 노드에 의해 설정되고, 'M' 비트는 설정되어 있으면 최소 캡슐화 방법으로 구현을 의미하고, 'G' 비트는 설정되어 있으면 GRE 캡슐화 방법으로 구현을 의미한다. 그리고 수명 필드는 바인딩 캐쉬 목록(binding cache entry)이 만료되기 전까지의 남은 시간(초)을 의미하고, '0'이면 이동단말(11)을 위해 바인딩 캐쉬 목록에 없다는 것을 의미하며, 홈 주소 필드는 바인딩 갱신과 관련된 이동단말의 IP 주소이며, 임시주소 필드는 이동단말의 현재 임시주소이고, 식별자 필드는 재방지 보안에 사용한다. That is, it consists of form, flag, lifetime, home address, temporary address, identifier, and extension. The form field means binding update (value is' 18 '), and the frag field is composed of' AIMG 'and double' A 'bit is set by the node sending a' bind update 'message to request binding confirmation,' I 'bit is set by the node sending a' bind update 'message if present in the identifier field,' M 'bit If set, means implementation with minimal encapsulation. If the 'G' bit is set, implementation means implementation with GRE encapsulation. The lifetime field indicates the time remaining in seconds before the binding cache entry expires. If the value is '0', it means that it is not in the binding cache list for the mobile terminal 11, and the home address field is The IP address of the mobile terminal associated with the binding update, the temporary address field is the current temporary address of the mobile terminal, and the identifier field is used for replay security.                     

Figure 112001028326512-pat00008
Figure 112001028326512-pat00008

도 7은 본 발명에 따른 GFA 이동 시 데이터그램 전송 과정을 보인 흐름도로서, 이에 도시한 바와 같이 이동단말(11), SVSN/FA(13), GVSN/GFA(14) 및 GVSN/HA(15) 사이에 IPSec과 MPLS 프로토콜을 통해 터널이 형성된 상태에서 상대 이동단말(17)이 데이터그램을 이동단말(11)에게 전송하려면 먼저 IPSec 터널된 데이터그램을 GVSN/HA(15)에게 전송하면 GVSN/HA(15)는 IPSec 터널된 데이터그램을 디터널링 한 후, GVSN/GFA(14)로 MPLS 터널된 데이터그램을 전송하며, 이때 이동단말(11)이 다른 GVSN/GFA로 이동하였다는 것을 감지한 이전 GVSN/GFA는 이동한 GVSN/GFA에게 MPLS 터널된 데이터그램을 포워드 시키고, 이전 GVSN/GFA는 GVSN/HA(15)에게 이동성결합이 변경되었다는 '바인딩 갱신' 메시지를 보내고, 이동한 GVSN/GFA는 해당 SVSN/FA(13)을 검색하여 MPLS 터널된 데이토그램을 디터널링 한 후, IPSec 터널된 데이터그램을 전송한다. IPSec 터널된 데이터그램을 수신한 SVSN/FA(13)는 이동단말(11)에게 IPSec 터널된 데이터그램을 포워드 시키는 한편, 이전 GVSN/GFA는 GFA 임시 주소와 이동단말(11)의 주소로 구성된 이동성결합을 갱신하라는 '바인딩 갱신' 메시지를 수신받은 GVSN/HA(15)는 GFA 임시 주소와 이동단말의 주소로 구성된 이동성 결합을 갱신하고, 이동한 GVSN/GFA에게 '라벨 요청' 메시지를 송신하고, GVSN/GFA은 라벨을 할당하여 '라벨 응답' 메시지를 송신함으로써, GVSN/GFA(14)와 GVSN/HA(15) 간에 MPLS 터널을 새로 형성한다. 이후 터 이동단말(17)이 IPSec 터널된 데이터그램을 GVSN/HA(15)로 전송하면 IPSec 터널된 데이터그램을 수신한 GVSN/HA(15)는 IPSec 터널된 데이터그램을 디터널링 하고, 새로 형성된 MPLS 터널로 이동성결합을 검색한 후, 이동한 GVSN/GFA(14)에게 MPLS 터널된 데이터그램을 전송한다. GVSN/GFA(14)는 MPLS 터널된 데이터구램을 디 터널링 한 후, SVSN/FA(13)에게 IPSec 터널된 데이터그램을 전송하며, 해당 SVSN/FA(13)는 이동단말(11)에게 IPSec 터널된 데이터그램을 포워드 시킨다.
7 is a flowchart illustrating a datagram transmission process when a GFA moves according to the present invention. As shown in FIG. 7, a mobile terminal 11, an SVSN / FA 13, a GVSN / GFA 14, and a GVSN / HA 15 are illustrated. When the mobile station 17 transmits the datagram to the mobile station 11 while the tunnel is formed through the IPSec and MPLS protocols, the IPSec tunneled datagram is first transmitted to the GVSN / HA 15. (15) transmits the MPLS tunneled datagram to the GVSN / GFA 14 after detuning the IPSec tunneled datagram, where the mobile terminal 11 detects that the mobile terminal 11 has moved to another GVSN / GFA. The GVSN / GFA forwards the MPLS tunneled datagram to the moved GVSN / GFA, the previous GVSN / GFA sends a 'bind update' message to the GVSN / HA (15) that the mobility binding has changed, and the moved GVSN / GFA Search for the appropriate SVSN / FA (13) to detunnel the MPLS tunneled datagram, and then The emitter sends a gram. Receiving the IPSec tunneled datagram, the SVSN / FA 13 forwards the IPSec tunneled datagram to the mobile station 11, while the former GVSN / GFA is composed of the GFA temporary address and the mobile station 11's address. Receiving a 'bind update' message to update the binding, the GVSN / HA 15 updates the mobility binding composed of the GFA temporary address and the mobile station's address, sends a 'Request Label' message to the moved GVSN / GFA, The GVSN / GFA assigns a label and transmits a 'label response' message, thereby forming a new MPLS tunnel between the GVSN / GFA 14 and the GVSN / HA 15. Afterwards, when the mobile station 17 transmits the IPSec tunneled datagram to the GVSN / HA 15, the GVSN / HA 15 receiving the IPSec tunneled datagram detunates the IPSec tunneled datagram, and newly formed. After retrieving the mobility association through the MPLS tunnel, the MPLS tunneled datagram is transmitted to the moved GVSN / GFA 14. The GVSN / GFA 14 de-tunels the MPLS tunneled data structure, and then transmits an IPSec tunneled datagram to the SVSN / FA 13, and the SVSN / FA 13 transmits an IPSec tunnel to the mobile terminal 11. Forward the datagram.

본 발명이 바람직한 실시예를 참조하여 특별히 도시되고 기술되었지만, 본 발명 분야의 당업자는 본 발명 사상과 범위를 벗어남이 없이 다양한 변경이 가능하다는 것을 이해할 수 있을 것이다. 따라서, 본 발명은 특허청구범위에 의해서만 제한된다.
Although the invention has been particularly shown and described with reference to the preferred embodiments, those skilled in the art will appreciate that various modifications are possible without departing from the spirit and scope of the invention. Accordingly, the invention is limited only by the claims.

이상에서 설명한 바와 같이, 본 발명 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치 및 방법은 IPSec 프로토콜과 이동 IP를 이용하여 이동단말 의 이동성을 지원하고, 이동 IP에서 홈 에이전트와 외부 에이전트 간에 망대망 터널링 방법 대신 MPLS 라벨 교환방식으로 터널링을 수행하여 고속 패킷 라우팅을 할 수 있는 등의 효과가 있다. As described above, the apparatus and method for processing an Internet protocol virtual private network service in a mobile communication according to the present invention supports mobility of a mobile terminal using an IPSec protocol and a mobile IP, and network network tunneling between a home agent and an external agent in a mobile IP. Instead of the method, it is possible to perform fast packet routing by tunneling using MPLS label exchange.

Claims (7)

이동통신 가입자에게 패킷에 대한 인증, 신뢰성 및 무결성과 이동단말의 이동성을 제공하는 가상 사설망 서비스 처리장치에 있어서, A virtual private network service processor for providing mobile subscribers with authentication, reliability, and integrity of packets and mobility of a mobile terminal, 무선망(CDMA, GSM, WLAN 등)에서 기업 내 인트라넷 서버에 접속할 수 있도록 인터넷 보안 프로토콜(IPSec) 클라이언트 소프트웨어를 탑재하여 가상 사설망 서비스를 제공하는 이동단말과; A mobile terminal equipped with an Internet Security Protocol (IPSec) client software for accessing an intranet server in an enterprise in a wireless network (CDMA, GSM, WLAN, etc.) to provide a virtual private network service; 패킷 데이터 처리를 위한 이동단말의 루팅 정보관리, 인증 및 접근 제어 기능을 수행하고, 방문 망에서 이동단말에게 임시(care-of) 주소를 할당하며, 타 서브넷에서 통신하려는 상기 이동단말에게 원래 소속된 자신의 서브넷으로 접근할 수 있도록 하는 서비스 가상 사설망 지원노드/외부 에이전트(SVSN/FA)와; It performs routing information management, authentication and access control functions of the mobile terminal for packet data processing, assigns a care-of address to the mobile terminal in the visited network, and originally belongs to the mobile terminal to communicate in another subnet. A service virtual private network support node / external agent (SVSN / FA) that allows access to its own subnet; 가상 사설망 게이트웨이로 외부 패킷 교환망과 논리적 인터페이스를 담당하고, 사설 주소를 공인 주소로 변경하는 망 주소변환(NAT) 기능을 수행하며, 상기 이동단말과 IPSec 터널링을 위한 루팅 정보 및 이동단말과 외부 에이전트(FA)가 할당한 임시 주소 리스트를 관리하는 게이트웨이 가상 사설망 외부 에이전트(GVSN/GFA)와; It is a virtual private network gateway that takes charge of the logical interface with the external packet switching network, performs a network address translation (NAT) function to change the private address to the public address, routing information for the mobile terminal and IPSec tunneling, and the mobile terminal and the external agent ( A gateway virtual private network external agent (GVSN / GFA) for managing a temporary address list allocated by the FA); VPN 게이트웨이로 외부 패킷 교환망과 논리적 인터페이스를 담당하고, 상기 GVSN/GFA로 다중 프로토콜 라벨 스위칭(MPLS) 터널링을 위한 루팅 정보 및 이동단말과 GFA가 할당한 임시 주소 리스트를 관리하는 기능 및 이동단말의 이동성을 지원하기 위한 이동단말의 주소와 GFA 주소 쌍인 이동성 결합(Mobility Binding)을 유지하는 게이트웨이 가상 사설망 지원노드/홈 에이전트(GVSN/HA)로 구성하는 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리장치.It is a VPN gateway, which handles logical interface with external packet switching network, and manages routing information for multi-protocol label switching (MPLS) tunneling with GVSN / GFA, and manages mobile terminal and temporary address list assigned by GFA. Internet protocol virtual private network service in a mobile communication, comprising a gateway virtual private network support node / home agent (GVSN / HA) that maintains a mobility binding, which is an address of a mobile terminal and a GFA address pair, to support the Processing unit. 이동통신 가입자에게 패킷에 대한 인증, 신뢰성 및 무결성과 이동단말의 이동성을 제공하는 가상 사설망 서비스 방법에 있어서, A virtual private network service method for providing a mobile subscriber with authentication, reliability and integrity of a packet and mobility of a mobile terminal, 새로운 이동단말이 무선망에 도착하면 그 이동단말의 무선정보를 브로드캐스트(broadcast)한 후, 방문망에 이동하였을 때 홈 에이전트(HA)에게 이동 IP 등록을 수행하며, 가상 사설망을 형성하기 위해 이동 단말과 GVSN/GFA 간에 보안연계(SA) 협상 및 키 교환을 한 후 SA를 설정하고, GVSN/GFA와 GVSN/HA 간에 MPLS 터널을 설정하는 단계와; When a new mobile station arrives on the wireless network, it broadcasts the wireless information of the mobile terminal, and when the mobile terminal moves to the visited network, performs mobile IP registration with the home agent (HA) and moves to form a virtual private network. Establishing a SA after negotiating a security association (SA) and key exchange between the UE and the GVSN / GFA, and establishing an MPLS tunnel between the GVSN / GFA and the GVSN / HA; 이동 IP 등록과정에서 이동단말이 같은 방문망에서 외부 에이전트(FA) 이동하였을 때 GVSN/GFA에게 이동 IP 내부 등록을 수행하고, 이동단말과 GVSN/GFA 간에 SA 협상 및 키 교환을 한 후, SA를 설정하는 단계와; When the mobile station moves a foreign agent (FA) in the same visited network during mobile IP registration process, it performs internal IP registration with the GVSN / GFA, performs SA negotiation and key exchange between the mobile station and GVSN / GFA, and then executes the SA. Setting up; 이동단말이 인터넷 보안 프로토콜(IPSec), MPLS 가상 사설망을 통해 인트라넷에 접속하는 단계와; The mobile terminal accessing the intranet through an Internet Security Protocol (IPSec), an MPLS virtual private network; 통신하고자 하는 상대 이동단말이 요청 이동단말로 데이터그램 전달 시 요청 이동단말과 GVSN/GFA 간은 IPSec 가상 사설망, GVSN/GFA와 GVSN/HA 간에는 MPLS 가상 사설망을 통해 패킷 데이터 서비스를 제공하는 단계와; Providing a packet data service between an IPSec virtual private network between the requesting mobile terminal and the GVSN / GFA and an MPLS virtual private network between the GVSN / GFA and the GVSN / HA between the requesting mobile terminal and the GVSN / GFA; 이동단말이 같은 방문망에서 다른 FA로 이동하였을 경우 IPSec 및 MPLS 가상 사설망을 통해 루팅 최적화하는 제1 루팅 최적화단계와; A first routing optimization step of optimizing routing through IPSec and MPLS virtual private networks when the mobile station moves from the same visited network to another FA; 이동단말이 다른 GFA로 이동하였을 경우에 IPSec 및 MPLS 가상 사설망을 통해 루팅 최적화하는 제2 루팅 최적화단계로 이루어진 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리방법.And a second routing optimization step of optimizing routing through IPSec and MPLS virtual private networks when the mobile terminal moves to another GFA. 제 2항에 있어서, 상기 이동 IP 등록과 터널설정 과정은, The method of claim 2, wherein the mobile IP registration and tunnel setup process comprises: 이동단말이 등록 방문망에 처음 이동하였을 때 SVSN/FA와 GVSN/GFA를 통해 홈 망에 있는 HA에게 '이동 IP 등록요청' 메시지를 보내는 제1 단계와; A first step of sending a 'mobile IP registration request' message to the HA in the home network through SVSN / FA and GVSN / GFA when the mobile station first moves to the registration visit network; 이동단말의 IP 주소와 GFA의 주소를 HA에게 등록하는 제2 단계와; Registering the IP address of the mobile station and the address of the GFA with the HA; 상기 HA로부터 GVSN/GFA와 SVSN/FA를 통해 이동 IP 등록이 성공적으로 수행되었다는 '이동 IP 등록응답' 메시지를 상기 이동단말에 보내는 제3 단계와; A third step of sending a 'mobile IP registration response' message to the mobile terminal that mobile IP registration has been successfully performed from the HA through GVSN / GFA and SVSN / FA; 상기 이동 IP 등록절차를 수행한 후, 이동단말과 GVSN/GFA 간 신원을 인증하기 위해 'SA협상 및 키교환' 절차를 수행하는 제4 단계와; A fourth step of performing a 'SA negotiation and key exchange' procedure to authenticate the identity between the mobile terminal and the GVSN / GFA after performing the mobile IP registration procedure; 이동단말과 GVSN/GFA 간 데이터 보안을 위해 어떤 보안 프로토콜을 이용하여 수행할 것인가에 대한 SA를 설정하여 IPSec 터널을 형성하는 제5 단계와; A fifth step of establishing an IPSec tunnel by setting an SA for which security protocol is to be used for data security between the mobile terminal and the GVSN / GFA; MPLS 터널을 형성하기 위해 GVSN/GFA, GVSN/HA 간에 '라벨 요청'과 '라벨 응답' 메시지를 통해 MPLS 라벨교환 절차를 수행하는 제6 단계를 더 포함하는 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리방법.And a sixth step of performing an MPLS label exchange procedure through a 'label request' and a 'label response' message between the GVSN / GFA and the GVSN / HA to form an MPLS tunnel. How to handle virtual private network service. 제 2항에 있어서, 상기 이동 IP 내부등록과 터널설정 과정은, The method of claim 2, wherein the mobile IP internal registration and tunnel setup process comprises: 이동단말이 같은 방문망에서 FA 간 이동하였을 때 SVSN/FA를 통해 '이동 IP 내부등록 요청' 메시지를 GVSN/GFA에게 보내는 제1 단계와; A first step of sending a 'mobile IP internal registration request' message to the GVSN / GFA through the SVSN / FA when the mobile station moves between FAs in the same visited network; 상기 이동단말의 IP 주소와 FA가 할당한 임시 주소를 GFA에게 등록하는 제2 단계와; Registering the mobile station's IP address and a temporary address assigned by the FA to a GFA; 상기 GVSN/GFA는 이동 IP 내부등록이 성공적으로 수행되었다는 '이동 IP 내부등록응답' 메시지를 SVSN/FA를 통해 이동단말에게 보내는 제3 단계와; The GVSN / GFA sends a 'mobile IP internal registration response' message to the mobile terminal via SVSN / FA indicating that mobile IP internal registration has been successfully performed; 상기 제3 단계의 동작 수행이 완료된 후, 이동단말과 GVSN/GFA 간 신원을 인증하기 위해 SA 협상 및 키교환 절차를 수행하는 제4 단계와; A fourth step of performing SA negotiation and key exchange procedure to authenticate the identity between the mobile terminal and the GVSN / GFA after the operation of the third step is completed; 이동단말과 GVSN/GFA 간 데이터 보안을 위해 어떤 보안 프로토콜을 이용하여 수행할 것인가에 대한 SA를 설정하여 IPSec 터널을 형성하는 제5 단계를 더 포함하는 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리방법.Internet protocol virtual private network in a mobile communication further comprising a fifth step of establishing an IPSec tunnel by setting an SA for which security protocol to use to secure data between the mobile terminal and the GVSN / GFA. How to handle the service. 제 2항에 있어서, 상기 인트라넷 접속단계는 The method of claim 2, wherein the intranet connection step 이동단말이 SA 협상을 통해 미리 형성한 IPSec 가상 사설망에 접속하는 제1 단계와; A first step of the mobile terminal accessing a previously formed IPSec virtual private network through SA negotiation; GVSN/GFA에서 이동단말이 홈 망에서 접속했는지 또는 외부망에서 접속했는지를 판단하는 제2 단계와; A second step of determining whether the mobile terminal is connected from the home network or the external network in the GVSN / GFA; 상기 제2 단계의 판단결과 홈 망에서 접속한 경우에는 바로 인트라넷에 접속을 시도하는 제3 단계와; A third step of immediately attempting to connect to the intranet when the second step is determined in the home network; 상기 제2 단계의 판단결과 이동단말이 외부망에 접속을 한 경우에는 GVSN/GFA와 GVSN/HA 간에 미리 형성된 MPLS 터널을 통해 MPLS 가상사설망에 접속을 한 후, 인트라넷에 접속을 시도하는 제4 단계를 더 포함하여 이루어진 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리방법.As a result of the determination of the second step, when the mobile terminal accesses the external network, the fourth step of accessing the intranet MPLS through the pre-formed MPLS tunnel between the GVSN / GFA and the GVSN / HA and attempting to access the intranet. Internet protocol virtual private network service processing method in a mobile communication, characterized in that further comprises. 제 2항에 있어서, 상기 제1 루팅 최적화 단계는 The method of claim 2, wherein the first routing optimization step is 이동단말이 같은 방문망에서 다른 FA 이동 시 데이터그램 전달을 위해 SVSN/FA에서 GVSN/GFA에게 이동성결합이 변경되었다는 메시지인 '바인딩 갱신' 메시지를 전송하는 제1 단계와; A first step of the mobile terminal transmitting a 'binding update' message, which is a message that mobility coupling has been changed from SVSN / FA to GVSN / GFA for datagram transfer when another FA moves in the same visited network; 상기 '바인딩 갱신' 메시지를 받은 GVSN/GFA에서 FA 임시 주소와 이동단말의 주소로 구성된 이동성결합을 갱신하는 제2 단계와; Updating, by the GVSN / GFA receiving the 'binding update' message, a mobility association consisting of an FA temporary address and an address of a mobile terminal; 상기 이동단말과 GVSN/GFA 간 IPSec 터널을 형성하기 위해 SA 협상 및 키교환을 한 후, SA 설정 절차를 수행하는 제3 단계와; Performing a SA setup procedure after performing SA negotiation and key exchange to form an IPSec tunnel between the mobile terminal and the GVSN / GFA; 상대 이동단말과 GVSN/HA, GVSN/GFA와 GVSN/FA, SVSN/FA와 이동한 이동단말간은 IPSec 터널을 이용하여 각각 데이터그램을 전달하는 제4 단계와; Transmitting a datagram between the counterpart mobile station and the GVSN / HA, GVSN / GFA and GVSN / FA, SVSN / FA and the mobile station by using an IPSec tunnel; 상기 GVSN/HA와 GVSN/GFA 간은 MPLS 터널을 이용하여 데이터그램을 전송하는 제5 단계를 포함하여 이루어진 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리방법.And a fifth step of transmitting the datagram between the GVSN / HA and the GVSN / GFA using an MPLS tunnel. 제 2항에 있어서, 상기 제2 루팅 최적화 단계는 The method of claim 2, wherein the second routing optimization step is 이전 GVSN/GFA에서 GVSN/HA로 GFA 임시주소와 이동단말의 주소로 구성된 이 동성결합을 갱신하라는 '바인딩 갱신' 메시지를 전송하는 제1 단계와; A first step of transmitting a 'bind update' message to update a mobile coupling composed of a GFA temporary address and a mobile terminal address from a previous GVSN / GFA to a GVSN / HA; 상기 메시지에 따라 GVSN/HA에서 GFA 임시주소와 이동단말의 주소로 구성된 이동성결합을 갱신하는 제2 단계와; A second step of updating a mobility association consisting of a GFA temporary address and an address of a mobile terminal in GVSN / HA according to the message; 상기 제2 단계의 수행을 완료하고, 이동한 GVSN/HA와 GVSN/GFA 간 터널을 형성하기 위해 '라벨 요청' 메시지와 '라벨 응답' 메시지를 송수신하여 MPLS 터널을 형성하는 제3 단계와; A third step of completing an execution of the second step and transmitting and receiving a 'label request' message and a 'label response' message to form a tunnel between the moved GVSN / HA and GVSN / GFA; 상대 이동단말과 GVSN/HA, GVSN/GFA와 SVSN/FA, SVSN/FA와 이동한 이동단말 간에 IPSec 터널을 통해 다른 GFA로 이동한 이동단말로 데이터그램을 전송하는 제4 단계와; Transmitting a datagram between the counterpart mobile terminal and GVSN / HA, GVSN / GFA and SVSN / FA, SVSN / FA, and the mobile terminal to a mobile terminal moved to another GFA through an IPSec tunnel; 상기 제4 단계에서 데이터그램 전송 시 GVSN/HA와 GVSN/GFA 간은 상기 제3 단계에서 형성한 MPLS 터널을 이용하여 데이터그램을 전송하는 제5 단계를 포함하여 이루어진 것을 특징으로 하는 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스 처리방법.In the fourth step, when the datagram is transmitted, the GVSN / HA and the GVSN / GFA include a fifth step of transmitting the datagram using the MPLS tunnel formed in the third step. Internet protocol virtual private network service processing method.
KR1020010067700A 2001-10-31 2001-10-31 Internet protocol virtual private network service processing apparatus and method in mobile communication KR100737140B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010067700A KR100737140B1 (en) 2001-10-31 2001-10-31 Internet protocol virtual private network service processing apparatus and method in mobile communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010067700A KR100737140B1 (en) 2001-10-31 2001-10-31 Internet protocol virtual private network service processing apparatus and method in mobile communication

Publications (2)

Publication Number Publication Date
KR20030035587A KR20030035587A (en) 2003-05-09
KR100737140B1 true KR100737140B1 (en) 2007-07-06

Family

ID=29567408

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010067700A KR100737140B1 (en) 2001-10-31 2001-10-31 Internet protocol virtual private network service processing apparatus and method in mobile communication

Country Status (1)

Country Link
KR (1) KR100737140B1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100450973B1 (en) * 2001-11-07 2004-10-02 삼성전자주식회사 Method for authentication between home agent and mobile node in a wireless telecommunications system
KR100416233B1 (en) * 2001-12-21 2004-01-31 한국전자통신연구원 Apparatus of cryptosystem for a confidentiality algorithm f8 and an integrity algorithm f9 of imt-2000 system
KR100416235B1 (en) * 2001-12-27 2004-01-24 한국전자통신연구원 Cryptography processing apparatus for a high speed radio network switch
KR100434357B1 (en) * 2001-12-27 2004-06-04 엘지전자 주식회사 IP Security in Packet Data Service Node system
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
KR100727061B1 (en) * 2004-12-15 2007-06-12 주식회사 케이티프리텔 Method and apparatus for providing wireless data service using near field communication
US8185935B2 (en) 2005-06-14 2012-05-22 Qualcomm Incorporated Method and apparatus for dynamic home address assignment by home agent in multiple network interworking
KR101480706B1 (en) * 2013-09-04 2015-01-09 (주)엔텔스 Network system for providing security to intranet and method for providing security to intranet using security gateway of mobile communication network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998043446A2 (en) * 1997-03-25 1998-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Communicating packet data with a mobile station roaming within an incompatible mobile network
KR20010057104A (en) * 1999-12-18 2001-07-04 이계철 Internet VPN service provisioning method using service gateway
KR20010064053A (en) * 1999-12-24 2001-07-09 오길록 Apparatus and Method for Assignment and Control of Label Switched Link
JP2001345865A (en) * 2000-06-02 2001-12-14 Hitachi Ltd Packet transfer device, packet transfer control method and setting method for the packet transfer device
KR20030033558A (en) * 2001-10-24 2003-05-01 엘지전자 주식회사 Method of L2TP packet fast receive to improve the performance of L2TP network server in virtual private network router

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998043446A2 (en) * 1997-03-25 1998-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Communicating packet data with a mobile station roaming within an incompatible mobile network
KR20010057104A (en) * 1999-12-18 2001-07-04 이계철 Internet VPN service provisioning method using service gateway
KR20010064053A (en) * 1999-12-24 2001-07-09 오길록 Apparatus and Method for Assignment and Control of Label Switched Link
JP2001345865A (en) * 2000-06-02 2001-12-14 Hitachi Ltd Packet transfer device, packet transfer control method and setting method for the packet transfer device
KR20030033558A (en) * 2001-10-24 2003-05-01 엘지전자 주식회사 Method of L2TP packet fast receive to improve the performance of L2TP network server in virtual private network router

Also Published As

Publication number Publication date
KR20030035587A (en) 2003-05-09

Similar Documents

Publication Publication Date Title
US7616615B2 (en) Packet forwarding apparatus for connecting mobile terminal to ISP network
Liebsch et al. Candidate access router discovery (CARD)
Perkins IP mobility support for IPv4, revised
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
JP5166525B2 (en) Access network-core network trust relationship detection for mobile nodes
EP1735963B1 (en) Identification method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes
US20050195780A1 (en) IP mobility in mobile telecommunications system
CN101300889B (en) Method and server for providing a mobile key
CN101331716B (en) Method for transmission of data packets based on the Ethernet transmission protocol between at least one mobile communication unit and a communication system
JP4755203B2 (en) Method and apparatus for host identity protocol
EP2151142B1 (en) Methods and apparatus for sending data packets to and from mobile nodes
EP1466458B1 (en) Method and system for ensuring secure forwarding of messages
US20120271965A1 (en) Provisioning mobility services to legacy terminals
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
WO2010088957A1 (en) Host identity protocol server address configuration
EP1634424B1 (en) Methods and apparatuses for optimizing resource management in cdma2000 wireless ip networks
KR100737140B1 (en) Internet protocol virtual private network service processing apparatus and method in mobile communication
Perkins RFC 5944: IP mobility support for IPv4, Revised

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20011031

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20061016

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20011031

Comment text: Patent Application

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20070626

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20070702

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20070702

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20100701

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20100701

Start annual number: 4

End annual number: 4

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee