KR20220130438A - Method for 5g lan service - Google Patents

Method for 5g lan service Download PDF

Info

Publication number
KR20220130438A
KR20220130438A KR1020210035324A KR20210035324A KR20220130438A KR 20220130438 A KR20220130438 A KR 20220130438A KR 1020210035324 A KR1020210035324 A KR 1020210035324A KR 20210035324 A KR20210035324 A KR 20210035324A KR 20220130438 A KR20220130438 A KR 20220130438A
Authority
KR
South Korea
Prior art keywords
terminal
authentication
emg
primary terminal
primary
Prior art date
Application number
KR1020210035324A
Other languages
Korean (ko)
Other versions
KR102558364B1 (en
Inventor
신태영
강성균
김일용
이진근
이현송
차정환
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020210035324A priority Critical patent/KR102558364B1/en
Publication of KR20220130438A publication Critical patent/KR20220130438A/en
Application granted granted Critical
Publication of KR102558364B1 publication Critical patent/KR102558364B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

Provided is an operation method of an enterprise mobile gateway (EMG) which provides a 5G local area network (LAN) service. The method comprises the steps of: receiving, from a primary terminal, an authentication request including information on a secondary terminal connected to the primary terminal through a LAN; performing authentication to determine whether the information on the secondary terminal is valid; and if the authentication is successful, transmitting an authentication result including an authentication key to the primary terminal. The authentication key is used to generate a dedicated internet protocol security (IPSec) tunnel for the secondary terminal between the primary terminal and the EMG. The present invention provides fixed IP mobility for the secondary terminal.

Description

5G LAN 서비스 제공 방법{METHOD FOR 5G LAN SERVICE}How to provide 5G LAN service {METHOD FOR 5G LAN SERVICE}

본 발명은 5G LAN(Local Area Network) 서비스 제공 방법에 관한 것이다.The present invention relates to a method for providing a 5G local area network (LAN) service.

사용자는 네트워크에 접속된 1차(Primary) 단말에 2차(Secondary) 단말을 연결하여, 인터넷 등의 네트워크 서비스를 이용할 수 있다. A user may use a network service such as the Internet by connecting a secondary terminal to a primary terminal connected to the network.

종래에 기업 전용 5G를 통해 기업 인트라넷으로 접속되는 1차 단말은 기업 고정 아이피에 대한 이동성 제공이 가능하다. 하지만, 2차 단말은 특정 고정 IP 주소를 할당받는 1차 단말에 포트 포워딩 방식으로, 제한적인 고정 IP 주소 사용이 가능할 뿐 이동성은 제공할 수 없다.Conventionally, the primary terminal connected to the corporate intranet through 5G dedicated to the enterprise can provide mobility to the enterprise fixed IP. However, the secondary terminal is able to use a limited fixed IP address by a port forwarding method to the primary terminal that is assigned a specific static IP address, but cannot provide mobility.

또한, 종래의 1차 단말은 1차 단말 별로 1개의 보안 터널을 이용해 모든 2차 단말의 트래픽을 수용함으로써, 2차 단말 별 트래픽 경로가 분류되지 못하였다. 따라서, 1차 단말, 2차 단말간 암호화키가 동일하게 적용되어 WiFi와 같은 LAN 구간의 보안 침해 가능성이 있다.In addition, since the conventional primary terminal accommodates the traffic of all secondary terminals using one secure tunnel for each primary terminal, traffic paths for each secondary terminal could not be classified. Therefore, since the encryption key between the primary terminal and the secondary terminal is equally applied, there is a possibility of security infringement in a LAN section such as WiFi.

해결하고자 하는 과제는 무선 사설망 환경에서 1차 단말과 EMG(Enterprise Mobile Gateway)간 터널링을 통해 LAN을 구성함으로써, 2차 단말에 대한 고정 IP 이동성을 제공하는 5G LAN 서비스 방법을 제공하는 것이다.The task to be solved is to provide a 5G LAN service method that provides fixed IP mobility to a secondary terminal by configuring a LAN through tunneling between the primary terminal and an Enterprise Mobile Gateway (EMG) in a wireless private network environment.

한 특징에 따르면, 5G LAN(Local Area Network) 서비스를 제공하는 EMG(Enterprise Mobile Gateway)의 동작 방법으로서, 1차 단말로부터 상기 1차 단말과 LAN을 통해 연결된 2차 단말의 정보를 포함하는 인증 요청을 수신하는 단계, 상기 2차 단말의 정보가 유효한지 판단하는 인증을 수행하는 단계, 그리고 상기 인증에 성공하면, 인증키를 포함하는 인증 결과를 상기 1차 단말에게 전송하는 단계를 포함하고, 상기 인증키는, 상기 1차 단말과 상기 EMG 간에 상기 2차 단말을 위한 전용 IPSec(Internet Protocol Security) 터널을 생성하는데 사용된다.According to one feature, as an operation method of an Enterprise Mobile Gateway (EMG) providing a 5G Local Area Network (LAN) service, an authentication request including information of a secondary terminal connected to the primary terminal through a LAN from a primary terminal Receiving a, performing authentication to determine whether the information of the secondary terminal is valid, and if the authentication succeeds, transmitting an authentication result including an authentication key to the primary terminal, The authentication key is used to create a dedicated Internet Protocol Security (IPSec) tunnel for the secondary terminal between the primary terminal and the EMG.

상기 인증 결과는, 상기 EMG가 상기 2차 단말에게 할당한 IP 주소를 포함하고, 상기 2차 단말에게 할당한 IP 주소는, 상기 1차 단말에 저장되고, DHCP(Dynamic Host Configuration Protocol) 방식으로 상기 1차 단말이 상기 2차 단말에게 할당할 수 있다.The authentication result includes an IP address allocated to the secondary terminal by the EMG, and the IP address allocated to the secondary terminal is stored in the primary terminal, and the DHCP (Dynamic Host Configuration Protocol) method The primary terminal may allocate to the secondary terminal.

상기 1차 단말은, 상기 1차 단말에 연결된 복수의 2차 단말 각각에 대한 상기 인증을 수행하여 상기 EMG로부터 획득한 각각의 인증키를 토대로 전용 IPSec 터널들을 생성하고, 2차 단말로부터 수신한 데이터로부터 획득한 IP 주소 및 인증키를 토대로, 상기 전용 IPSec 터널들 중에서 해당하는 전용 IPSec 터널을 식별하여, 식별한 전용 IPSec 터널을 통해 상기 수신한 데이터를 라우팅할 수 있다.The primary terminal performs the authentication for each of a plurality of secondary terminals connected to the primary terminal, creates dedicated IPSec tunnels based on each authentication key obtained from the EMG, and receives data from the secondary terminal Based on the IP address and authentication key obtained from , a corresponding dedicated IPSec tunnel may be identified from among the dedicated IPSec tunnels, and the received data may be routed through the identified dedicated IPSec tunnel.

상기 인증키는, IKE(Internet Key Exchange) 프로토콜을 통하여 상기 EMG에서 상기 1차 단말로 전달되고, EAP(Extensible Authentication Protocol)를 통하여 상기 1차 단말에서 상기 2차 단말로 전달될 수 있다.The authentication key may be transmitted from the EMG to the primary terminal through an Internet Key Exchange (IKE) protocol, and may be transmitted from the primary terminal to the secondary terminal through an Extensible Authentication Protocol (EAP).

상기 EMG는, IKE v2 Responder로 동작하는 EMG-U, 그리고 RADIUS(Remote Authentication Dial In User Service) AAA(Authentication Authorization Accounting) 서버로 동작하는 EMG-C를 포함하고, 상기 인증키는, RADIUS 패킷을 통해 상기 EMG-C에서 상기 EMG-U로 전달되고, 상기 IKE 프로토콜을 통하여 상기 EMG-U에서 상기 1차 단말로 전달될 수 있다.The EMG includes an EMG-U operating as an IKE v2 responder, and an EMG-C operating as a Remote Authentication Dial In User Service (RADIUS) Authentication Authorization Accounting (AAA) server, and the authentication key is through a RADIUS packet. It may be transmitted from the EMG-C to the EMG-U, and may be transmitted from the EMG-U to the primary terminal through the IKE protocol.

실시예에 따르면, 1차 단말에서 2차 단말 별로 독립된 보안 터널을 생성함으로써 2차 단말 별로 인증 경로와 데이터 경로가 분리된다. 따라서, 1차 단말과 EMG-U 간의 네트워크 보안을 강화할 뿐만 아니라 별도의 인증에 따른 보안키 생성으로 WiFi 구간의 보안도 강화할 수 있다.According to the embodiment, the authentication path and the data path are separated for each secondary terminal by creating an independent secure tunnel for each secondary terminal in the primary terminal. Therefore, it is possible not only to strengthen the network security between the primary terminal and the EMG-U, but also to strengthen the security of the WiFi section by generating a security key according to a separate authentication.

도 1은 한 실시예에 따른 5G LAN 서비스 시스템을 도시한다.
도 2는 일반적인 EAP(Extensible Authentication Protocol) 인증 구조를 도시한다.
도 3은 일반적인 IKE(Internet Key Exchange) 인증 구조를 나타낸다.
도 4는 실시예에 따른 인증 구조를 도시한다.
도 5는 종래의 터널링 구조를 도시한다.
도 6은 실시예에 따른 터널링 구조를 도시한다.
도 7a 및 도 7b는 실시예에 따른 5G LAN 서비스 방법을 나타낸 일련의 흐름도이다.1 illustrates a 5G LAN service system according to an embodiment.
2 shows a general Extensible Authentication Protocol (EAP) authentication structure.
3 shows a general Internet Key Exchange (IKE) authentication structure.
4 shows an authentication structure according to an embodiment.
5 shows a conventional tunneling structure.
6 shows a tunneling structure according to an embodiment.
7A and 7B are a series of flowcharts illustrating a 5G LAN service method according to an embodiment.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, the embodiments of the present invention will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement them. However, the present invention may be embodied in various different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated.

또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In addition, terms such as “…unit”, “…group”, “…module”, etc. described in the specification mean a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software. can

본 발명에서 설명하는 장치들은 적어도 하나의 프로세서, 메모리 장치, 통신 장치 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도면들을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서와 메모리 장치 등의 하드웨어와 결합하여 본 발명을 실행한다.The devices described in the present invention are composed of hardware including at least one processor, a memory device, a communication device, and the like, and a program executed in combination with the hardware is stored in a designated place. The hardware has the configuration and capability to implement the method of the present invention. The program includes instructions for implementing the method of operation of the present invention described with reference to the drawings, and is combined with hardware such as a processor and a memory device to execute the present invention.

본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것 뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.As used herein, "transmission or provision" may include not only direct transmission or provision, but also transmission or provision indirectly through another device or using a detour path.

본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.In this specification, expressions described in the singular may be construed as singular or plural unless an explicit expression such as “a” or “single” is used.

본 명세서에서 도면에 관계없이 동일한 도면번호는 동일한 구성요소를 지칭하며, "및/또는" 은 언급된 구성 요소들의 각각 및 하나 이상의 모든 조합을 포함한다.In this specification, the same reference numbers refer to the same components regardless of the drawings, and "and/or" includes each and every combination of one or more of the referenced components.

본 명세서에서, 제1, 제2 등과 같이 서수를 포함하는 용어들은 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를들어, 본 개시의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.In this specification, terms including an ordinal number such as first, second, etc. may be used to describe various elements, but the elements are not limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present disclosure, a first component may be referred to as a second component, and similarly, a second component may also be referred to as a first component.

본 명세서에서 도면을 참고하여 설명한 흐름도에서, 동작 순서는 변경될 수 있고, 여러 동작들이 병합되거나, 어느 동작이 분할될 수 있고, 특정 동작은 수행되지 않을 수 있다. In the flowchart described with reference to the drawings in this specification, the order of operations may be changed, several operations may be merged, some operations may be divided, and specific operations may not be performed.

명세서에서 단말(Terminal/User equipment)은 접속망(Access Network)/무선 접속망(Radio Access network, RAN)의 기지국에 접속하여 코어망(Core Network)의 네트워크 기능들(Network Functions, NFs)를 이용한다. 여기서, 기지국은 접속망에 따라 eNB, gNB, AP 등을 포함할 수 있다. 단말은 휴대 단말, IoT 단말, 차량 단말(vehicle), 디스플레이 단말, 방송 단말, 게임 단말 등 다양한 형태 및 용도의 단말일 수 있다. 네트워크를 구성하는 장치들은 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In the specification, a terminal (Terminal/User Equipment) accesses a base station of an Access Network/Radio Access Network (RAN) and uses Network Functions (NFs) of the Core Network. Here, the base station may include an eNB, a gNB, an AP, etc. according to an access network. The terminal may be a terminal of various types and uses, such as a portable terminal, an IoT terminal, a vehicle terminal, a display terminal, a broadcasting terminal, and a game terminal. The devices constituting the network may be implemented by hardware or software or a combination of hardware and software.

본 발명의 실시예들은 3GPP(3rd Generation Partnership Project) LTE(Long Term Evolution), LTE-A, 3GPP2, IEEE(Institute of Electrical and Electronics Engineers) 시스템, FS_NextGen(Study on Architecture for Next Generation System)과 같은 3GPP 5G 시스템 중 적어도 하나와 관련된 표준 문서에 의해 뒷받침될 수 있다. 즉, 본 발명의 실시예들 중 본 발명의 기술적 사상을 명확히 드러내기 위해 설명하지 않은 단계들 또는 부분들은 상기 문서에 의해 뒷받침될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준 문서에 의해 설명될 수 있다.Embodiments of the present invention are 3GPP (3rd Generation Partnership Project) Long Term Evolution (LTE), LTE-A, 3GPP2, IEEE (Institute of Electrical and Electronics Engineers) system, 3GPP such as FS_NextGen (Study on Architecture for Next Generation System). It may be supported by standard documents related to at least one of the 5G systems. That is, steps or parts not described in order to clearly reveal the technical spirit of the present invention among the embodiments of the present invention may be supported by the document. In addition, all terms disclosed in this document may be described by the standard document.

본 개시에서, 사용자 단말(User equipment, UE), 에지 컴퓨팅 시스템, 각종 장치, 각종 모듈은 적어도 하나의 프로세서에 의해 동작하고, 하나 이상의 프로세서, 프로세서에 의하여 실행되는 컴퓨터 프로그램을 로드하는 메모리, 컴퓨터 프로그램 및 각종 데이터를 저장하는 저장 장치, 통신 인터페이스를 포함할 수 있다. 컴퓨터 프로그램은 메모리에 로드될 때 프로세서로 하여금 본 개시의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 명령어들(instruction)을 포함할 수 있다. 즉, 프로세서는 명령어들을 실행함으로써, 본 개시의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다. 명령어는 기능을 기준으로 묶인 일련의 컴퓨터 판독가능 명령어들로서 컴퓨터 프로그램의 구성 요소이자 프로세서에 의해 실행되는 것을 가리킨다. In the present disclosure, a user equipment (UE), an edge computing system, various devices, and various modules are operated by at least one processor, and one or more processors, a memory for loading a computer program executed by the processor, and a computer program and a storage device for storing various data and a communication interface. A computer program may include instructions that, when loaded into memory, cause a processor to perform methods/operations according to various embodiments of the present disclosure. That is, the processor may perform the method/operations according to various embodiments of the present disclosure by executing the instructions. An instruction refers to a set of computer readable instructions grouped on the basis of a function, which is a component of a computer program and is executed by a processor.

명세서에서, 네트워크에 직접 연결된 단말을 1차(Primary) 단말 또는 상위 단말이라고 부르고, 1차 단말에 연결되어 네트워크에 접속하는 단말을 2차(Secondary) 단말 또는 하위 단말이라고 부를 수 있다. 2차 단말은 1차 단말에 직접 연결된 하위 단말로만 한정되지 않고, 1차 단말을 통해 통신하는 하위 단말을 의미하며, n차 단말일 수 있다. 1차 단말은 무선 에그와 같은 모바일 라우터, 또는 모바일 라우팅 기능이 탑재된 모바일 단말(라우팅 단말)일 수 있다. 2차 단말은 1차 단말에 연결될 수 있는 비-3GPP 단말로서, WiFi, USB(Universal Serial Bus), LAN(Local Area Network) 등으로 1차 단말에 연결될 수 있다. In the specification, a terminal directly connected to the network may be referred to as a primary terminal or an upper terminal, and a terminal connected to the primary terminal to access the network may be referred to as a secondary terminal or a lower terminal. The secondary terminal is not limited to a lower-order terminal directly connected to the primary terminal, but refers to a lower-order terminal communicating through the primary terminal, and may be an n-th terminal. The primary terminal may be a mobile router such as a wireless egg, or a mobile terminal (routing terminal) equipped with a mobile routing function. The secondary terminal is a non-3GPP terminal that can be connected to the primary terminal, and can be connected to the primary terminal through WiFi, Universal Serial Bus (USB), Local Area Network (LAN), or the like.

1차 단말이 접속된 네트워크는 3G 네트워크, LTE(Long Term Evolution) 네트워크, 또는 5G 네트워크일 수 있는데, 설명에서는 5G 네트워크를 예로 들어 설명한다. The network to which the primary terminal is connected may be a 3G network, a Long Term Evolution (LTE) network, or a 5G network. In the description, a 5G network will be described as an example.

5G 네트워크는 1차 단말이 무선 접속하는 접속망(Radio Access network, RAN), 그리고 복수의 네트워크 기능들(Network Functions)로 구성되는 코어망(Core Network)을 포함한다. 코어망은 접속 및 이동성 관리 기능(Access and Mobility Management Function, AMF), 세션 관리 기능(Session Management Function, SMF), SMF에 의해 PDU 세션을 생성하고 데이터 네트워크(Data Network, DN)에 연결되어 트래픽을 처리하는 사용자 플레인 기능(User Plane Function, UPF), 과금 및 서비스 품질 정책을 제어하는 정책 제어 기능(Policy Control Function, PCF), 가입자 정보를 관리하는 통합 데이터 관리 기능(Unified Data Management, UDM) 및 통합 데이터 저장소(Unified Data Repository, UDR), 네트워크 노출 기능(Network Exposure function, NEF) 등을 포함할 수 있다.The 5G network includes a core network composed of a radio access network (RAN) to which a primary terminal wirelessly accesses, and a plurality of network functions. The core network creates a PDU session by the Access and Mobility Management Function (AMF), Session Management Function (SMF), and SMF, and is connected to the Data Network (DN) to control traffic. User Plane Function (UPF) to process, Policy Control Function (PCF) to control billing and quality of service policies, Unified Data Management (UDM) to manage subscriber information and integration It may include a data repository (Unified Data Repository, UDR), a network exposure function (NEF), and the like.

도 1은 한 실시예에 따른 5G LAN 서비스 시스템을 도시한다.1 illustrates a 5G LAN service system according to an embodiment.

도 1을 참조하면, 2차 단말(200)은 1차 단말(100)과 근거리 통신으로 연결된다. 1차 단말(100)은 기지국(300)에 연결된다. 기지국(300)은 UPF(User Plane Function)(400)에 연결된다. UPF(400)는 기업 인트라넷(500)에 연결되는데, 이때, UPF(400)와 기업 인트라넷(500) 사이에 EMG(Enterprise Mobile Gateway)(600)가 설치된다. 따라서, UPF(400)는 EMG(600)에 연결되고, EMG(600)는 기업 인트라넷(500)에 연결된다. 이와 같이, 1차 단말(100)은 네트워크에 직접 연결되고 하위에 2차 단말(200)이 연결된다. 1차 단말(100)에 연결되는 2차 단말(200)의 개수는, 단수 또는 복수일 수 있다.Referring to FIG. 1 , the secondary terminal 200 is connected to the primary terminal 100 through short-range communication. The primary terminal 100 is connected to the base station 300 . The base station 300 is connected to a user plane function (UPF) 400 . The UPF 400 is connected to the corporate intranet 500 . At this time, an Enterprise Mobile Gateway (EMG) 600 is installed between the UPF 400 and the corporate intranet 500 . Accordingly, the UPF 400 is coupled to the EMG 600 , and the EMG 600 is coupled to the corporate intranet 500 . In this way, the primary terminal 100 is directly connected to the network, and the secondary terminal 200 is connected to the lower level. The number of secondary terminals 200 connected to the primary terminal 100 may be singular or plural.

2차 단말(200)은 1차 단말(100)에 연결되고, 1차 단말(100)을 통해 네트워크에 연결될 수 있다. 이때, 1차 단말(100)과 2차 단말(200)은 WiFi, USB(Universal Serial Bus), LAN(Local Area Network) 등으로 연결될 수 있는 인터페이스를 가질 수 있고, 이외에도 알려진 통신 인터페이스를 통해 연결될 수 있다.The secondary terminal 200 may be connected to the primary terminal 100 , and may be connected to a network through the primary terminal 100 . At this time, the primary terminal 100 and the secondary terminal 200 may have an interface that can be connected via WiFi, Universal Serial Bus (USB), Local Area Network (LAN), etc., and can be connected through a known communication interface in addition to have.

1차 단말(100)은 2차 단말(200)의 트래픽을 네트워크로 라우팅하는 단말로서, 예를들면, 5G 네트워크에 접속하는 모바일 라우터, 또는 라우팅 기능을 탑재한 모바일 단말일 수 있다. 1차 단말(100)은 접속망(Access Network)/무선 접속망(Radio Access network, RAN)의 기지국(gNB)(300)에 접속하여 코어망으로 트래픽을 전송할 수 있다. 이때, 설명의 편의를 위하여, 도 1에는 코어망의 네트워크 장치 중에서 데이터 트래픽을 처리하는 UPF(400)만 도시하였다. The primary terminal 100 is a terminal for routing the traffic of the secondary terminal 200 to the network, and may be, for example, a mobile router accessing a 5G network or a mobile terminal equipped with a routing function. The primary terminal 100 may access the base station (gNB) 300 of an access network/radio access network (RAN) and transmit traffic to the core network. At this time, for convenience of explanation, only the UPF 400 for processing data traffic among the network devices of the core network is illustrated in FIG. 1 .

1차 단말(100)과 UPF(400) 간에는 기업 무선 사설망 구간(P1)이 형성된다. A corporate wireless private network section P1 is formed between the primary terminal 100 and the UPF 400 .

1차 단말(100)과 EMG(600) 간에는 기업 무선 보안 사설망 구간(P2)이 형성된다. A corporate wireless security private network section P2 is formed between the primary terminal 100 and the EMG 600 .

2차 단말(200)과 기업 인트라넷(500) 간에는 기업 단말 사용자 트래픽 전달(P3)이 이루어진다.Enterprise terminal user traffic transfer P3 is performed between the secondary terminal 200 and the corporate intranet 500 .

실시예에 따르면, 무선 사설망 환경에서 1차 단말(100)을 통한 2차 단말(200)의 IP 이동성을 제공하는 5G LAN을 구현한다.According to the embodiment, a 5G LAN that provides IP mobility of the secondary terminal 200 through the primary terminal 100 in a wireless private network environment is implemented.

1차 단말(100)은 기업 전용 5G 게이트웨이인 UPF(400), EMG(600)를 거쳐 기업 인트라넷(500)으로 접속된다. 따라서, 1차 단말(100)에 대해 기업 고정 IP에 대한 이동성 제공은 가능하다. 하지만, 2차 단말(200)은 1차 단말(100)에 포트 포워딩으로 제한적으로 고정 IP를 사용할 수 있을 뿐, 이동성 제공은 어렵다. 이를 해결하기 위하여, 1차 단말(100)과 EMG(600) 간 L2 터널링을 통하여 LAN을 구성함으로써, 2차 단말(200)에 대한 고정 IP 이동성 제공이 가능하게 된다. The primary terminal 100 is connected to the corporate intranet 500 through the UPF 400 and EMG 600 which are 5G gateways dedicated to the enterprise. Accordingly, it is possible to provide mobility for the enterprise static IP for the primary terminal 100 . However, the secondary terminal 200 can only use a limited static IP for port forwarding to the primary terminal 100 , and it is difficult to provide mobility. To solve this, by configuring a LAN through L2 tunneling between the primary terminal 100 and the EMG 600 , it is possible to provide fixed IP mobility to the secondary terminal 200 .

1차 단말(100)은 ARP(Address Resolution Protocol) 프록시(proxy) 역할을 하고, EMG(600)가 2차 단말(200)의 디폴트 게이트웨이(default gateway) 역할을 함으로써, 2차 단말(200)당 1개의 IP를 할당할 수 있게 되어 IP 사용의 효율성을 높일 수 있다. The primary terminal 100 serves as an Address Resolution Protocol (ARP) proxy, and the EMG 600 serves as a default gateway of the secondary terminal 200, so that each secondary terminal 200 As one IP can be allocated, the efficiency of IP use can be increased.

실시예에 따르면, IKE(Internet Key Exchange) 인증 구간을 추가하고, 2차 단말(200) 별로 보안 터널을 생성하며, UPF(400) - EMG(600) - 기업 인트라넷(500) 구간에 VLAN 구조를 도입한다. VLAN 구조를 위하여, 1차 단말(100)은 EMG(600)와 보안 터널을 생성한다. 이때, 보안 터널은 2차 단말(200) 별로 전용으로 생성된다. 예를들어, 2차 단말(200)이 3개 연결되어 있다면, 1차 단말(100)은 3개의 2차 단말(200) 각각에 대한 독립된 보안 터널을 생성할 수 있다.According to the embodiment, an IKE (Internet Key Exchange) authentication section is added, a secure tunnel is created for each secondary terminal 200, and a VLAN structure is provided in the UPF (400) - EMG (600) - corporate intranet 500 section. introduce For the VLAN structure, the primary terminal 100 creates a secure tunnel with the EMG 600 . In this case, the secure tunnel is created exclusively for each secondary terminal 200 . For example, if three secondary terminals 200 are connected, the primary terminal 100 may create an independent secure tunnel for each of the three secondary terminals 200 .

실시예에 따르면, 공통 제어 평면(control plane)으로의 접근을 위해 Source NAT 구조를 도입하여 기업별 트래픽을 구분할 수 있다. 즉, 1차 단말(100)은 복수의 보안 터널 중에서, 2차 단말(200)로부터 수신한 데이터의 소스 IP 주소에 기초하여 해당하는 보안 터널을 식별하고 식별한 보안 터널로 수신한 데이터를 라우팅할 수 있다. According to the embodiment, by introducing a source NAT structure for access to a common control plane (control plane), it is possible to classify the traffic for each company. That is, the primary terminal 100 identifies a corresponding secure tunnel based on the source IP address of the data received from the secondary terminal 200 among the plurality of secure tunnels, and routes the received data to the identified secure tunnel. can

도 2는 일반적인 EAP(Extensible Authentication Protocol) 인증 구조를 도시하고, 도 3은 일반적인 IKE(Internet Key Exchange) 인증 구조를 도시하며, 도 4는 실시예에 따른 인증 구조를 도시한다.FIG. 2 shows a general Extensible Authentication Protocol (EAP) authentication structure, FIG. 3 shows a general Internet Key Exchange (IKE) authentication structure, and FIG. 4 shows an authentication structure according to an embodiment.

도 2를 참조하면, EAP 인증을 위한 프로토콜 인증을 통해 생성되는 MSK를 통한 LAN 구간 암호키 생성 과정을 나타낸다. EAP 인증 구조는 Supplicant(10), Authenticator(20) 및 RADIUS(Remote Authentication Dial In User Service) AAA(Authentication Authorization Accounting) 서버(30)로 구성된다.Referring to FIG. 2 , a process of generating a LAN section encryption key through MSK generated through protocol authentication for EAP authentication is shown. The EAP authentication structure consists of a Supplicant 10 , an Authenticator 20 , and a Remote Authentication Dial In User Service (RADIUS) Authentication Authorization Accounting (AAA) server 30 .

Supplicant(10)는 접속 요구 단말 또는 인증 요청자로서, 네트워크에 접근하려는 PC 등과 같은 유선 단말 또는 모바일과 같은 무선 단말을 포함할 수 있다. Authenticator(20)는 인증자, 접속 허가자, 인증 수행자로서, 브리지(Bridge), 스위치, 액세스 포인트(AP, Access Point) 등과 같은 네트워크 접근 제어 장치 또는 서버를 포함할 수 있다. RADIUS AAA 서버(30)는 인증 서버로서, Authenticator(20)는 RADIUS AAA 서버(30)의 클라이언트로 동작한다.The supplicant 10 is a connection requesting terminal or an authentication requester, and may include a wired terminal such as a PC or the like to access the network or a wireless terminal such as a mobile terminal. The authenticator 20 is an authenticator, an access grantor, and an authentication performer, and may include a network access control device or server such as a bridge, a switch, and an access point (AP). The RADIUS AAA server 30 operates as an authentication server, and the authenticator 20 operates as a client of the RADIUS AAA server 30 .

인증 교환(Authentication Exchange)은 Supplicant(10) 및 RADIUS AAA 서버(30) 간에 이루어지고, Authenticator(20)는 가교 역할만 수행한다. Authentication Exchange is made between the Supplicant 10 and the RADIUS AAA server 30, and the Authenticator 20 only performs a bridge role.

Supplicant(10) 및 RADIUS AAA 서버(30) 간에는 EAP 인증 절차가 이루어지는데, EAP는 구간 별로 수송하는 프로토콜이 분리 운영된다. 즉, Supplicant(10)와 Authenticator(20) 간에는 EAPoL과 같은 EAP 인증 패킷이 LAN을 통해 이더넷(Ethernet) 패킷에 실려 전달된다(S11). Authenticator(20)와 RADIUS AAA 서버(30) 간에는 EAP 인증 패킷이 RADIUS 패킷에 실려 전달된다(S12). RADIUS AAA 서버(30)는 RADIUS 프로토콜을 통해 EAP 패킷에 MSK(Master Session Key)를 실어 Authenticator(20)로 전달한다(S13, S14). Authenticator(20)는 Supplicant(10)와 4-way key handshaking이 수행된다(S16). Authenticator(20)는 RADIUS AAA 서버(30)로부터 수신(S15)한 MSK를 EAP 패킷에 실어 Supplicant(10)로 전달한다(S17). An EAP authentication procedure is performed between the supplicant 10 and the RADIUS AAA server 30, and the EAP transport protocol is operated separately for each section. That is, between the Supplicant 10 and the Authenticator 20, an EAP authentication packet such as EAPoL is loaded onto an Ethernet packet through the LAN and transmitted (S11). Between the authenticator 20 and the RADIUS AAA server 30, the EAP authentication packet is carried in the RADIUS packet and transmitted (S12). The RADIUS AAA server 30 loads the MSK (Master Session Key) in the EAP packet through the RADIUS protocol and transmits it to the authenticator 20 (S13, S14). The authenticator 20 performs 4-way key handshaking with the supplicant 10 (S16). The authenticator 20 loads the MSK received from the RADIUS AAA server 30 (S15) in an EAP packet and delivers it to the supplicant 10 (S17).

도 3을 참고하면, EAP in IKEv2(external AAA) 구조를 나타낸다. IKEv2 인증 구조는 IKEv2 이니시에이터(Initiator)(40), IKEv2 응답자(Responder)(50) 및 RADIUS AAA 서버(30)로 구성되고, EAP 인증 절차를 수행한다. 이때, RADIUS AAA 서버(30)는 도 2와 동일한 도면부호를 사용하였다. Referring to FIG. 3 , an EAP in IKEv2 (external AAA) structure is shown. The IKEv2 authentication structure consists of an IKEv2 initiator 40 , an IKEv2 responder 50 , and a RADIUS AAA server 30 , and performs an EAP authentication procedure. At this time, the RADIUS AAA server 30 uses the same reference numerals as in FIG. 2 .

IKEv2 이니시에이터(40)와 IKEv2 응답자(50) 간에는 IKE 프로토콜을 통해 EAP 인증 패킷이 전달된다(S21). IKEv2 응답자(50)와 RADIUS AAA 서버(30) 간에는 RADIUS 프로토콜을 통해 EAP 인증 패킷이 전달된다(S22). 이와 같이, EAP 인증 패킷을 전송하는 수송 프로토콜이 IKE 인지 또는 RADIUS 인지에 따라 구간이 분리되어 있다. 즉, RADIUS AAA 서버(30)는 EAP 패킷에 포함된 MSK를 RADIUS 프로토콜을 통해 IKEv2 응답자(50)로 전달(S23, S24)하는데, MSK 전달은 비규격이다. IKEv2 응답자(50)는 RADIUS AAA 서버(30)로부터 수신(S25)한 MSK를 IKE 인증 프로토콜을 통해 EAP 패킷에 실어 IKEv2 이니시에이터(40)로 전달한다(S26, S27). IKEv2 이니시에이터(40)와 IKEv2 응답자(50) 간에는 IKE 인증(AUTH) 절차가 이루어진다.An EAP authentication packet is transmitted between the IKEv2 initiator 40 and the IKEv2 responder 50 through the IKE protocol (S21). An EAP authentication packet is transmitted through the RADIUS protocol between the IKEv2 responder 50 and the RADIUS AAA server 30 (S22). As described above, sections are divided according to whether the transport protocol for transmitting the EAP authentication packet is IKE or RADIUS. That is, the RADIUS AAA server 30 delivers the MSK included in the EAP packet to the IKEv2 responder 50 through the RADIUS protocol (S23, S24), but the MSK delivery is non-standard. The IKEv2 responder 50 loads the MSK received from the RADIUS AAA server 30 (S25) in an EAP packet through the IKE authentication protocol and delivers it to the IKEv2 initiator 40 (S26, S27). An IKE authentication (AUTH) procedure is performed between the IKEv2 initiator 40 and the IKEv2 responder 50 .

일반적으로, IKEv2에서 EAP 인증을 사용할 경우, 공개키 기반 인증서를 함께 사용해야 한다. 하지만 RFC 5996의 EAP-Only Authentication notification을 활용함으로써 서버 인증서는 생략하지만 EAP 기반으로 IKE responder의 인증을 수행할 수 있다. 즉, EAP 인증 결과로 생성된 MSK가 IKEv2 응답자(50)에 전달됨으로써 IKEv2 이니시에이터(40)와 IKEv2 응답자(50)는 해당 MSK 기반 AUTH data로 상호 인증을 수행하게 된다. 즉, 해당 MSK가 결국 PSK(Phase Shift Keying)의 역할을 하게 되는 것이다. In general, when using EAP authentication with IKEv2, public key-based certificates must be used together. However, by utilizing the EAP-Only Authentication notification of RFC 5996, authentication of the IKE responder can be performed based on EAP although the server certificate is omitted. That is, the MSK generated as a result of the EAP authentication is delivered to the IKEv2 responder 50, so that the IKEv2 initiator 40 and the IKEv2 responder 50 perform mutual authentication with the corresponding MSK-based AUTH data. That is, the corresponding MSK will eventually play the role of PSK (Phase Shift Keying).

본 발명의 실시예에 따른 인증 구조는, 도 2 및 도 3의 구조를 융합하여 EMG의 인증 및 보안 체계를 구성하였다. 즉, 도 2에 도시한 EAP 인증 체계에 도 3의 IKE 구조를 결합하고 인증 체계, 보안 체계도 결합하였고 결합에 따른 추가적인 통신은 별도의 규격으로 정의하였다. 이를 설명하면, 도 4와 같다.The authentication structure according to the embodiment of the present invention constitutes the authentication and security system of the EMG by fusing the structures of FIGS. 2 and 3 . That is, the IKE structure of FIG. 3 was combined with the EAP authentication system shown in FIG. 2, and the authentication system and security system were also combined, and additional communication according to the combination was defined as a separate standard. This will be explained as shown in FIG. 4 .

도 4를 참고하면, EMG 구조는 1차 단말(100), 2차 단말(200), EMG(600)로 구성된다. 이때, EMG(600)는 EMG-U(610)와 EMG-C(620)로 구성된다.Referring to FIG. 4 , the EMG structure includes a primary terminal 100 , a secondary terminal 200 , and an EMG 600 . In this case, the EMG 600 is composed of an EMG-U 610 and an EMG-C 620 .

여기서, 1차 단말(100)은 도 2의 Supplicant(10)에 해당한다. 2차 단말(200)은 도 2의 Authenticator(20) 및 IKEv2 이니시에이터(Initiator)(40)에 해당한다. EMG-U(610)은 EMG(600)의 User Plane 장비로서, 도 2의 IKEv2 응답자(50)에 해당한다. EMG-C(620)는 EMG(600)의 Control Plane 장비로서, 도 1 및 도 2의 RADIUS AAA 서버(30)에 해당한다. Here, the primary terminal 100 corresponds to the supplicant 10 of FIG. 2 . The secondary terminal 200 corresponds to the authenticator 20 and the IKEv2 initiator 40 of FIG. 2 . The EMG-U 610 is a user plane device of the EMG 600 and corresponds to the IKEv2 responder 50 of FIG. 2 . The EMG-C 620 is a control plane device of the EMG 600 and corresponds to the RADIUS AAA server 30 of FIGS. 1 and 2 .

실시예에 따르면, 2차 단말(200) ~ 1차 단말(100) ~ EMG-U(610) ~ EMG-C(620) 간 유기적 보안 체계 확립 및 2차 단말(200)별 보안 터널을 분리한다. 이를 위한 EMG 구조의 인증은 크게 두가지이다. 즉, EMG 인증 구조는 IKE 인증 구조와 EAP 인증 구조로 구성된다. IKE 인증 구조에 따르면, IKE 통신 구간의 두 노드는 1차 단말(100)과 EMG-U(610)이다. EAP 인증 구조에 따르면, EAP 통신 구간의 두 노드는 2차 단말(200)과 EMG-C(620)이다. According to the embodiment, an organic security system is established between the secondary terminal 200 - the primary terminal 100 - the EMG-U 610 - the EMG-C 620 and the security tunnel for each secondary terminal 200 is separated. . There are two main types of certification of the EMG structure for this purpose. That is, the EMG authentication structure consists of an IKE authentication structure and an EAP authentication structure. According to the IKE authentication structure, two nodes in the IKE communication section are the primary terminal 100 and the EMG-U 610 . According to the EAP authentication structure, two nodes in the EAP communication section are the secondary terminal 200 and the EMG-C 620 .

2차 단말(200)과 1차 단말(100) 간에는 EAP 인증 패킷이 LAN을 통해 이더넷 패킷에 실려 전달된다(S31). 1차 단말(100)과 EMG-U(610) 간에는 EAP 인증 패킷이 IKE 프로토콜을 통해 전달된다(S32). EMG-U(610)와 EMG-C(620) 간에는 RADIUS 프로토콜을 통해 EAP 인증 패킷이 전달된다(S33). Between the secondary terminal 200 and the primary terminal 100, the EAP authentication packet is carried on an Ethernet packet through the LAN and transmitted (S31). An EAP authentication packet is transmitted between the primary terminal 100 and the EMG-U 610 through the IKE protocol (S32). An EAP authentication packet is transmitted between the EMG-U 610 and the EMG-C 620 through the RADIUS protocol (S33).

EMG-C(620)는 EAP 인증을 통해 생성(S34)한 MSK를 RADIUS 프로토콜을 통해 EAP 인증 패킷에 실어 EMG-U(610)로 전달한다(S35, S36). EMG-U(610)는 1차 단말(100)에게 IKE 프로토콜을 통해 EAP 인증 패킷에 MSK를 실어 전달한다(S37). 이때, 1차 단말(100)과 EMG-U(610)는 IKE 인증 절차(S38)를 수행한다. 여기서, S37은 비표준 규격에 해당한다. 1차 단말(100)은 IKE 프로토콜을 통해 획득(S39)한 MSK를 4-Way key handshaking 절차를 통해 2차 단말(200)에게 전달한다(S40). 2차 단말(200)은 1차 단말(100)로부터 S40의 절차를 수행하면서 EAP 인증 패킷을 통해 MSK를 획득한다(S41).The EMG-C 620 transmits the MSK generated through EAP authentication (S34) in an EAP authentication packet through the RADIUS protocol to the EMG-U 610 (S35, S36). The EMG-U 610 carries the MSK in the EAP authentication packet through the IKE protocol to the primary terminal 100 and delivers it (S37). At this time, the primary terminal 100 and the EMG-U 610 performs the IKE authentication procedure (S38). Here, S37 corresponds to a non-standard standard. The primary terminal 100 transmits the MSK obtained through the IKE protocol (S39) to the secondary terminal 200 through a 4-Way key handshaking procedure (S40). The secondary terminal 200 acquires the MSK through the EAP authentication packet while performing the procedure of S40 from the primary terminal 100 (S41).

일반적으로, IKE 구간의 인증은 표준상 PSK(Phase-shift keying) 방식, EAP + 서버 인증서 중 한 가지를 사용여야 하는데 두 구간의 인증을 별개로 수행할 경우 이에 대한 추가적인 관리, 연계 방안이 필요하다. 하지만, 도 4와 같이, IKE 구간 인증과 EAP 구간 인증을 하나의 플로우(flow)로 수행하면 4개의 노드(100, 200, 610, 620)가 하나의 시스템처럼 유기적인 통합 인증 보안 체계를 갖추는 것이 가능하다. In general, authentication of the IKE section should use one of the PSK (Phase-shift keying) method or EAP + server certificate as a standard. . However, as shown in FIG. 4 , when IKE section authentication and EAP section authentication are performed in one flow, it is difficult for the four nodes 100 , 200 , 610 , and 620 to have an organic integrated authentication security system like a single system. It is possible.

IKE 구간은 EAP-only Authentication 옵션을 사용하되 1차 단말(100)에 대한 인증이 아닌 2차 단말(200)에 대한 EAP 인증을 인증 프로세스에 적용함으로써, 별도의 IKE 구간의 인증을 추가하지 않을 수 있다. The IKE section uses the EAP-only Authentication option, but by applying EAP authentication for the secondary terminal 200 to the authentication process instead of the authentication for the primary terminal 100, it is possible not to add authentication of a separate IKE section. have.

2차 단말(200)과 EMG-C(620) 구간 인증을 통해 생성된 MSK를 IKE 구간 AUTH 데이터 생성에 사용하여 인증을 수행함으로써, PSK 기반 IKE 인증의 효과를 거둘 뿐만 아니라 PSK 관리의 불편함, 즉, 주기적 변경, 배포 프로세스 관리 등을 배제할 수 있다. 즉, 2차 단말(200)의 EAP 인증을 1차 단말(100)과 EMG-U(610)간 IKE 상호 인증에 활용함으로써 인증서 기반의 인증이나 PSK 기반 인증 등의 추가적인 인증방법을 고려하지 않아도 되는 장점이 있다. 그리고 EAP 인증을 통해 생성되는 MSK를 이용해 1차 단말(100) 및 2차 단말(200) 구간의 암호화를 수행하고 동일 키로 IKE 구간의 인증을 수행함으로써 각각의 분리된 보안 구간이 아니라 2차 단말(200)부터 1차 단말(100), EMG-U(610)까지 통합 보안 구간이라고 볼 수 있다. By performing authentication using the MSK generated through the secondary terminal 200 and EMG-C 620 section authentication to generate IKE section AUTH data, not only the effect of PSK-based IKE authentication is achieved, but also the inconvenience of PSK management, That is, periodic changes, management of the deployment process, etc. can be excluded. That is, by utilizing the EAP authentication of the secondary terminal 200 for IKE mutual authentication between the primary terminal 100 and the EMG-U 610, additional authentication methods such as certificate-based authentication or PSK-based authentication do not need to be considered. There are advantages. And by performing encryption of the primary terminal 100 and the secondary terminal 200 section using the MSK generated through EAP authentication, and performing authentication of the IKE section with the same key, not each separate security section, but the secondary terminal ( 200), the primary terminal 100, and the EMG-U 610 can be viewed as an integrated security section.

이처럼, IKE 구간이 추가됨으로써 변경되는 내용은 EAP over IKE 규격 추가(S32), EAP 인증으로 생성되는 MSK를 IKE 구간을 통해 전달(S37), 전달된 MSK의 사용(S38)이다. 이때, 전달된 MSK는 WiFi 구간 암호화키 생성에 사용되고, IKE 구간 인증용으로 사용된다. 즉, AUTH payload 생성시 사용된다. 여기서, WiFi 구간은 1차 단말(100)과 2차 단말(200) 간의 통신 구간이고, IKE 구간은 1차 단말(100)과 EMG-U(610) 간의 통신 구간을 말한다.As described above, the contents that are changed by adding the IKE section are the addition of the EAP over IKE standard (S32), the delivery of the MSK generated by EAP authentication through the IKE section (S37), and the use of the delivered MSK (S38). At this time, the delivered MSK is used to generate the WiFi section encryption key and is used for IKE section authentication. That is, it is used when generating the AUTH payload. Here, the WiFi section is a communication section between the primary terminal 100 and the secondary terminal 200 , and the IKE section refers to a communication section between the primary terminal 100 and the EMG-U 610 .

도 5는 종래의 터널링 구조를 도시하고, 도 6은 실시예에 따른 터널링 구조를 도시한다.5 shows a conventional tunneling structure, and FIG. 6 shows a tunneling structure according to an embodiment.

도 5를 참조하면,1차 단말은 복수의 2차 단말과 공용 암호화키를 사용하여 연결되고, 1차 단말은 UPF와 하나의 공용 암호화 터널을 사용한다. 따라서, 1차 단말은 1개의 보안 터널을 이용해 모든 2차 단말의 트래픽을 수용하므로, 2차 단말별 트래픽 경로를 분리할 수 없다. 게다가 1차 단말, 2차 단말간 암호화키가 동일하게 적용될 수 밖에 없으므로, 1차 단말과 2차 단말 간의 WiFi 구간의 보안 침해 가능성이 있다.Referring to FIG. 5 , a primary terminal is connected to a plurality of secondary terminals using a common encryption key, and the primary terminal uses a UPF and one public encryption tunnel. Therefore, since the primary terminal accommodates traffic of all secondary terminals using one secure tunnel, it is not possible to separate traffic paths for each secondary terminal. In addition, since the encryption key between the primary terminal and the secondary terminal cannot but be equally applied, there is a possibility of a security breach of the WiFi section between the primary terminal and the secondary terminal.

반면, 도 6과 같이, 실시예에 따르면, 1차 단말(100)은 EMG-U(610)과 2차 단말(200) 별로 독립된 보안 터널, 즉, 각각의 2차 단말(200)을 위한 전용 IPSec(Internet Protocol Security) 터널을 생성한다. 즉, 1차 단말(100)은 암호화 키 1을 사용하는 암호화 터널 1, 암호화 키 2를 사용하는 암호화 터널 2, 암호화 키 3을 사용하는 암호화 터널 3을 EMG-U(610)와 생성한다. 여기서, 암호화 키 1, 암호화 키 2, 암호화 키 3은 EAP 인증후 EMG-C(620)로부터 발급되는 MSK를 말한다. On the other hand, as shown in FIG. 6 , according to the embodiment, the primary terminal 100 is an independent secure tunnel for each EMG-U 610 and the secondary terminal 200 , that is, dedicated for each secondary terminal 200 . Create an Internet Protocol Security (IPSec) tunnel. That is, the primary terminal 100 creates an encryption tunnel 1 using the encryption key 1, an encryption tunnel 2 using the encryption key 2, and an encryption tunnel 3 using the encryption key 3 with the EMG-U 610 . Here, encryption key 1, encryption key 2, and encryption key 3 refer to MSKs issued from the EMG-C 620 after EAP authentication.

1차 단말(100)은 1차 단말(100)에 연결된 복수의 2차 단말(200) 각각에 대한 EAP 인증을 수행하여 EMG(600)로부터 획득한 각각의 인증키(MSK)를 토대로 전용 IPSec 터널들을 각각 생성한다. 1차 단말(100)은 2차 단말(200)로부터 수신한 데이터로부터 획득한 IP 주소 및 인증키(MSK)를 토대로, 전용 IPSec 터널들 중에서 해당하는 전용 IPSec 터널을 식별한다. 1차 단말(100)은 식별한 전용 IPSec 터널을 통해 2차 단말(200)의 데이터를 라우팅한다.The primary terminal 100 performs EAP authentication for each of the plurality of secondary terminals 200 connected to the primary terminal 100, and based on each authentication key (MSK) obtained from the EMG 600 , a dedicated IPSec tunnel create each The primary terminal 100 identifies a corresponding dedicated IPSec tunnel from among the dedicated IPSec tunnels based on the IP address and the authentication key (MSK) obtained from the data received from the secondary terminal 200 . The primary terminal 100 routes the data of the secondary terminal 200 through the identified dedicated IPSec tunnel.

이와 같이, 2차 단말(200)별 인증 경로와 데이터 경로가 분리되므로, 1차 단말(100)과 EMG-U(610) 간의 네트워크 보안을 강화할 뿐만 아니라 별도의 인증에 따른 보안키 생성으로 WiFi 구간의 보안도 강화할 수 있다. 즉, 특정 암호화 터널에 대한 공격으로 키가 노출되어 데이터가 유출되더라도 해당 사용자 이외의 사용자 트래픽은 별도의 암호화 키를 이용하므로 함께 유출되지 않게 되어 보다 공격에 안전하다고 볼 수 있다. 또한, WiFi 구간의 암호화 키가 사용자에 의해 입력되는 PSK의 경우 dictionary attack, 주기적 업데이트 불가, 사용자별 공용 PSK 사용 등의 사유로 보안에 취약할 수 있다. In this way, since the authentication path and the data path for each secondary terminal 200 are separated, the network security between the primary terminal 100 and the EMG-U 610 is strengthened as well as the WiFi section by generating a security key according to separate authentication. security can also be strengthened. In other words, even if the key is exposed due to an attack on a specific encryption tunnel and data is leaked, user traffic other than the corresponding user uses a separate encryption key, so it is not leaked together, making it safer against attack. In addition, the PSK in which the encryption key of the WiFi section is input by the user may be vulnerable to security due to a dictionary attack, periodic update impossible, and use of a public PSK for each user.

하지만, 본 발명의 실시예에 따르면, 인증키로 사용되는 MSK는 EAP 인증이 수행될 때마다 매번 새롭게 동적으로 생성되고, 사용자, 즉, 2차 단말(200)마다 다르게 시스템적으로 랜덤하게 생성된다. 그러므로, 위에서 열거한 여러 공격으로부터 안전하다고 볼 수 있다.However, according to an embodiment of the present invention, the MSK used as the authentication key is dynamically newly generated every time EAP authentication is performed, and is systematically randomly generated differently for each user, that is, the secondary terminal 200 . Therefore, it can be considered safe from the various attacks listed above.

도 7a 및 도 7b는 실시예에 따른 5G LAN 서비스 방법을 나타낸 일련의 흐름도이다.7A and 7B are a series of flowcharts illustrating a 5G LAN service method according to an embodiment.

도 7a 및 도 7b는 도 4의 특징을 적용하여 구현한 구체적인 서비스 플로우로서, EAP 인증과 IKE 구간의 인증을 별도로 수행하는 것이 아니라 유기적으로 결합한 구체적인 서비스 플로우이다. 7A and 7B are specific service flows implemented by applying the features of FIG. 4, and are specific service flows in which EAP authentication and IKE section authentication are not separately performed, but organically combined.

이때, EAP 인증 절차 및 IKE 인증 절차에서 사용되는 메시지들, 메시지들에 포함되는 파라미터(또는 정보들)는 공지되어 있으므로, 간략히 기재한다.At this time, the messages used in the EAP authentication procedure and the IKE authentication procedure, and parameters (or information) included in the messages are known, and therefore will be briefly described.

먼저, 도 7a를 참조하면, 2차 단말(200)은 1차 단말(100)과 WiFI Association/Ehernet Link UP 절차를 수행한다(S101). First, referring to FIG. 7A , the secondary terminal 200 performs a WiFI Association/Ehernet Link UP procedure with the primary terminal 100 ( S101 ).

2차 단말(200)은 1차 단말(100)에게 EAPOL Start 메시지를 전송한다(S102). The secondary terminal 200 transmits an EAPOL Start message to the primary terminal 100 (S102).

1차 단말(100)은 2차 단말(200)에게 EAP-Request/Identity 메시지를 전송한다(S103). The primary terminal 100 transmits an EAP-Request/Identity message to the secondary terminal 200 (S103).

2차 단말(200)은 1차 단말(100)에게 EAP-Response 메시지를 전송한다(S104). The secondary terminal 200 transmits an EAP-Response message to the primary terminal 100 (S104).

1차 단말(100)은 EMG-U(610)과 IKE_SA_INIT 메시지를 교환한다(S105). IKE_SA_INIT 메시지는 Header, Sec.associations, D-Hvalues, Nonce 등을 포함할 수 있다.The primary terminal 100 exchanges an IKE_SA_INIT message with the EMG-U 610 (S105). The IKE_SA_INIT message may include a Header, Sec.associations, D-Hvalues, and Nonce.

1차 단말(100)은 EMG-U(610)에게 IKE_Auth_Req 메시지를 전송한다(S106). IKE_Auth_Req 메시지는 2차 단말(200)의 MAC 주소(Media Access Control Address), 1차 단말(100)의 MDN(Mobile Diretory Number), 1차 단말(100)과 2차 단말(200)이 연결된 접속 인터페이스, EAP-Res(Identity) 등을 포함한다. 여기서, 2차 단말(200)의 MAC 주소는 2차 단말(200)을 식별하기 위한 정보로 사용되며, 2차 단말(200) 별로 독립된 보안 터널을 생성하기 위해 사용된다. The primary terminal 100 transmits an IKE_Auth_Req message to the EMG-U 610 (S106). The IKE_Auth_Req message is a MAC address (Media Access Control Address) of the secondary terminal 200 , a Mobile Directory Number (MDN) of the primary terminal 100 , and an access interface between the primary terminal 100 and the secondary terminal 200 . , EAP-Res (Identity), and the like. Here, the MAC address of the secondary terminal 200 is used as information for identifying the secondary terminal 200 , and is used to create an independent secure tunnel for each secondary terminal 200 .

EMG-U(610)는 EMG-C(620)에게 Radius Access-Request 메시지를 전송한다(S107). Radius Access-Request 메시지는 S106에서 획득한 2차 단말 MAC 주소, 1차 단말 MDN, 접속 인터페이스와, EAP-Res(Identity)를 포함할 수 있다.The EMG-U 610 transmits a Radius Access-Request message to the EMG-C 620 (S107). The Radius Access-Request message may include the MAC address of the secondary terminal obtained in S106, the MDN of the primary terminal, an access interface, and EAP-Res (Identity).

EMG-C(620)는 2차 단말(200)의 MAC 주소를 토대로 기기 인증을 수행한다(S108). 즉, EMG-C(620)는 S107에서 수신한 2차 단말(200)의 MAC 주소가 사전에 EMG-C(620)에 등록된 MAC 주소인지 판단하는 기기 인증을 한다.The EMG-C 620 performs device authentication based on the MAC address of the secondary terminal 200 (S108). That is, the EMG-C 620 performs device authentication to determine whether the MAC address of the secondary terminal 200 received in S107 is a MAC address previously registered in the EMG-C 620 .

EMG-C(620)는 Radius Access-Challenge(EAP-Req(PEAP start.)) 메시지를 EMG-U(610)에게 전송한다(S109). The EMG-C 620 transmits a Radius Access-Challenge (EAP-Req (PEAP start.)) message to the EMG-U 610 (S109).

EMG-U(610)는 1차 단말(100)에게 IKE_AUTH_Rsp(EAP-Req(PEAP start)) 메시지를 전송한다(S110). The EMG-U 610 transmits an IKE_AUTH_Rsp (EAP-Req (PEAP start)) message to the primary terminal 100 (S110).

1차 단말(100)은 2차 단말(200)에게 EAP-Request(PEAP start) 메시지를 전송한(S111). The primary terminal 100 transmits an EAP-Request (PEAP start) message to the secondary terminal 200 (S111).

2차 단말(200)은 1차 단말(100)에게 EAP-Response(Client hello) 메시지를 전송한다(S112). The secondary terminal 200 transmits an EAP-Response (Client hello) message to the primary terminal 100 (S112).

1차 단말(100)은 EMG-U(610)에게 IKE_AUTH_Req(EAP-Res(Client Hello)) 메시지를 전송한다(S113). The primary terminal 100 transmits an IKE_AUTH_Req (EAP-Res (Client Hello)) message to the EMG-U 610 (S113).

EMG-U(610)은 EMG-C(620)에게 RADIUS_ACCESS_Req(EAP-Res(Client Hello)) 메시지를 전송한다(S114). The EMG-U 610 transmits a RADIUS_ACCESS_Req (EAP-Res (Client Hello)) message to the EMG-C 620 (S114).

EMG-C(620)는 EMG-U(610)에게 RADIUS_ACCESS_Challenge(EAP-Res(Server Hello(certificate))) 메시지를 전송한다(S115). The EMG-C 620 transmits a RADIUS_ACCESS_Challenge (EAP-Res (Server Hello (certificate))) message to the EMG-U 610 (S115).

EMG-U(610)은 1차 단말(100)에게 IKE_AUTH_Req(EAP-Res(Server Hello(certificate))) 메시지를 전송한다(S116). The EMG-U 610 transmits an IKE_AUTH_Req (EAP-Res (Server Hello (certificate))) message to the primary terminal 100 (S116).

1차 단말(100)은 2차 단말(200)에게 EAP-Request(Server Hello(certificate))메시지를 전송한다(S117). The primary terminal 100 transmits an EAP-Request (Server Hello (certificate)) message to the secondary terminal 200 (S117).

1차 단말(100), 2차 단말(200), EMG-U(610), EMG-C(620) 간에 EAP-TLS (Transport Layer Security) 터널이 형성된다(S118). An EAP-TLS (Transport Layer Security) tunnel is formed between the primary terminal 100 , the secondary terminal 200 , the EMG-U 610 , and the EMG-C 620 ( S118 ).

도 7b를 참조하면, EMG-C(620)는 EMG-U(610)에게 RADIUS_ACCESS_Challenge(EAP-Req)) 메시지를 전송한다(S119). Referring to FIG. 7B , the EMG-C 620 transmits a RADIUS_ACCESS_Challenge (EAP-Req)) message to the EMG-U 610 (S119).

EMG-U(610)은 1차 단말(100)에게 IKE_AUTH_Req(EAP-Req) 메시지를 전송한다(S120). The EMG-U 610 transmits an IKE_AUTH_Req (EAP-Req) message to the primary terminal 100 (S120).

1차 단말(100)은 2차 단말(200)에게 EAP-Request 메시지를 전송한다(S121).The primary terminal 100 transmits an EAP-Request message to the secondary terminal 200 (S121).

2차 단말(200)은 1차 단말(100)에게 EAP-Response 메시지를 전송한다(S122). The secondary terminal 200 transmits an EAP-Response message to the primary terminal 100 (S122).

1차 단말(100)은 EMG-U(610)에게 IKE_AUTH_Req(EAP-Res) 메시지를 전송한다(S123). The primary terminal 100 transmits an IKE_AUTH_Req (EAP-Res) message to the EMG-U 610 (S123).

EMG-U(610)은 EMG-C(620)에게 RADIUS_ACCESS_Req(EAP-Res) 메시지를 전송한다(S124). S119~S124를 통해 ID/패스워드를 이용한 사용자 인증 절차가 이루어진다. The EMG-U 610 transmits a RADIUS_ACCESS_Req (EAP-Res) message to the EMG-C 620 (S124). A user authentication procedure using an ID/password is performed through S119 to S124.

그러면, 1차 단말(100), 2차 단말(200), EMG-U(610), EMG-C(620) 간에 S118에서 형성된 EAP-TLS 터널이 해제된다(S125). Then, the EAP-TLS tunnel formed in S118 between the primary terminal 100 , the secondary terminal 200 , the EMG-U 610 , and the EMG-C 620 is released ( S125 ).

EMG-C(620)은 EAP 인증(기기 인증 및 사용자 인증)이 성공적으로 이루어지면, 2차 단말(200)에게 IP를 할당하고, 2차 단말(200)을 위한 MSK를 생성한다(S126). EMG-C(620)은 EMG-U(610)에게 Radius Access-Accept 메시지를 전송한다(S127). 이때, S127의 Radius Access-Accept 메시지는 S126에서 할당한 2차 단말 IP 주소와 EAP 인증 결과(EAP-Success or EAP 실패)와, MSK를 포함한다. 이때, 보안키인 MSK는 EAP 인증 성공시 EMG-C(620)가 2차 단말(200)을 위해 생성한다.When EAP authentication (device authentication and user authentication) is successfully performed, the EMG-C 620 allocates an IP to the secondary terminal 200 and generates an MSK for the secondary terminal 200 (S126). The EMG-C 620 transmits a Radius Access-Accept message to the EMG-U 610 (S127). At this time, the Radius Access-Accept message of S127 includes the secondary terminal IP address allocated in S126, the EAP authentication result (EAP-Success or EAP failure), and the MSK. At this time, the MSK, which is the security key, is generated by the EMG-C 620 for the secondary terminal 200 upon successful EAP authentication.

EMG-U(610)은 S127에서 수신한 2차 단말 IP 주소를 보관한다(S128).The EMG-U 610 stores the secondary terminal IP address received in S127 (S128).

EMG-U(610)는 1차 단말(100)에게 IKE_AUTH_Res 메시지를 전송한다(S129). IKE_AUTH_Res 메시지는 S127에서 획득한 EAP 인증 결과(EAP-Succes or EAP 실패)와 MSK를 포함한다.The EMG-U 610 transmits an IKE_AUTH_Res message to the primary terminal 100 (S129). The IKE_AUTH_Res message includes the EAP authentication result (EAP-Succes or EAP failure) and MSK obtained in S127.

1차 단말(100)은 2차 단말(200)을 위한 EMG가 이네이블 되면, EAP-Success를 2차 단말(200)에게 전송한다(S130). When the EMG for the secondary terminal 200 is enabled, the primary terminal 100 transmits an EAP-Success to the secondary terminal 200 (S130).

실제 EAP 인증은 2차 단말(200)과 EMG-C(620)간에 이루어지고, 결과물인 MSK만을 사용하여 4 WAY KEY EXCHANGE를 수행한다(S131). 즉, EAP의 결과로 생성된 MSK를 토대로 4 WAY KEY EXCHANGE가 이루어진다.Actual EAP authentication is performed between the secondary terminal 200 and the EMG-C 620, and a 4 WAY KEY EXCHANGE is performed using only the resulting MSK (S131). That is, based on the MSK generated as a result of EAP, 4 WAY KEY EXCHANGE is performed.

1차 단말(100)은 EMG-U(610)에게 IKE_AUTH-Req 메시지(Header, AUTH)를 전송한다(S132). The primary terminal 100 transmits an IKE_AUTH-Req message (Header, AUTH) to the EMG-U 610 (S132).

EMG-U(610)는 1차 단말(100)에게 IKT_AUTH-Rsp 메시지를 전송한다(S133). 이때, IKT_AUTH-Rsp 메시지의 Configuration payload에는 S128에서 보관된 2차 단말 IP 주소가 수록된다.The EMG-U 610 transmits an IKT_AUTH-Rsp message to the primary terminal 100 (S133). At this time, the configuration payload of the IKT_AUTH-Rsp message contains the secondary terminal IP address stored in S128.

1차 단말(100)은 2차 단말 IP 주소를 DHCP 서버에 설정한다(S134). 1차 단말(100)이 DHCP 서버로 동작할 수도 있고, DHCP는 1차 단말(100)과 별도로 존재할 수도 있다.The primary terminal 100 sets the secondary terminal IP address to the DHCP server (S134). The primary terminal 100 may operate as a DHCP server, and DHCP may exist separately from the primary terminal 100 .

2차 단말(200)은 1차 단말(100)과 DHCP Process를 수행한다(S135). 이때, 2차 단말(200)은 EMG-U(610)로부터 할당받은 2차 단말 IP 주소를 DHCP 절차를 통해 1차 단말(100)로부터 할당받는다(S135).The secondary terminal 200 performs a DHCP process with the primary terminal 100 (S135). At this time, the secondary terminal 200 receives the secondary terminal IP address allocated from the EMG-U 610 from the primary terminal 100 through the DHCP procedure (S135).

1차 단말(100)은 S129에서 획득한 MSK를 토대로 EMG-U(610)와 IPsec 터널을 2차 단말(200) 단위로 생성한다(S136). 1차 단말(100)에 여러 개의 2차 단말(200)이 연결된 경우, S101 ~ S135는 각 2차 단말(200) 별로 반복 수행되고, 이를 통해 획득한 MSK들을 이용하여 2차 단말(200) 단위로 IPsec 터널이 생성될 수 있다.The primary terminal 100 creates the EMG-U 610 and the IPsec tunnel in units of the secondary terminal 200 based on the MSK obtained in S129 (S136). When several secondary terminals 200 are connected to the primary terminal 100, steps S101 to S135 are repeatedly performed for each secondary terminal 200, and the MSKs obtained through this are used in units of the secondary terminal 200. can create an IPsec tunnel.

이상 기술한 바와 같이, 통신사가 제어하는 범위, 즉, EMG(600) ~ 1차 단말(100) 이외의 2차 단말(200)에 대한 기업 고정 IP를 할당하면서, 1차 단말(100)까지의 보안 체계를 2차 단말(200)까지 연장할 수 있는 5G LAN 구조를 제공할 수 있다. 또한, 인증 결과 생성되는 인증키(MSK) 기반으로 1차 단말(100) ~ 2차 단말(200) 간, 그리고, 1차 단말(100) ~EMG-U(610) 간 보안을 구성할 수 있다.As described above, while allocating a company fixed IP for the secondary terminal 200 other than the range controlled by the communication company, that is, the EMG 600 to the primary terminal 100, up to the primary terminal 100 It is possible to provide a 5G LAN structure that can extend the security system to the secondary terminal 200 . In addition, security can be configured between the primary terminal 100 and the secondary terminal 200 and between the primary terminal 100 and the EMG-U 610 based on the authentication key (MSK) generated as a result of the authentication. .

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiment of the present invention described above is not implemented only through the apparatus and method, but may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention or a recording medium in which the program is recorded.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto. is within the scope of the right.

Claims (5)

5G LAN(Local Area Network) 서비스를 제공하는 EMG(Enterprise Mobile Gateway)의 동작 방법으로서,
1차 단말로부터 상기 1차 단말과 LAN을 통해 연결된 2차 단말의 정보를 포함하는 인증 요청을 수신하는 단계,
상기 2차 단말의 정보가 유효한지 판단하는 인증을 수행하는 단계, 그리고
상기 인증에 성공하면, 인증키를 포함하는 인증 결과를 상기 1차 단말에게 전송하는 단계를 포함하고,
상기 인증키는,
상기 1차 단말과 상기 EMG 간에 상기 2차 단말을 위한 전용 IPSec(Internet Protocol Security) 터널을 생성하는데 사용되는, 방법.A method of operating an Enterprise Mobile Gateway (EMG) that provides a 5G Local Area Network (LAN) service, the method comprising:
Receiving an authentication request including information of a secondary terminal connected to the primary terminal through a LAN from the primary terminal;
performing authentication to determine whether the information of the secondary terminal is valid; and
If the authentication is successful, comprising the step of transmitting an authentication result including an authentication key to the primary terminal,
The authentication key is
used to create a dedicated Internet Protocol Security (IPSec) tunnel for the secondary terminal between the primary terminal and the EMG. 제1항에서,
상기 인증 결과는,
상기 EMG가 상기 2차 단말에게 할당한 IP 주소를 포함하고,
상기 2차 단말에게 할당한 IP 주소는,
상기 1차 단말에 저장되고, DHCP(Dynamic Host Configuration Protocol) 방식으로 상기 1차 단말이 상기 2차 단말에게 할당하는, 방법.In claim 1,
The authentication result is
including the IP address allocated to the secondary terminal by the EMG;
The IP address assigned to the secondary terminal is,
The method is stored in the primary terminal and allocated by the primary terminal to the secondary terminal in a DHCP (Dynamic Host Configuration Protocol) method. 제2항에서,
상기 1차 단말은,
상기 1차 단말에 연결된 복수의 2차 단말 각각에 대한 상기 인증을 수행하여 상기 EMG로부터 획득한 각각의 인증키를 토대로 전용 IPSec 터널들을 생성하고,
2차 단말로부터 수신한 데이터로부터 획득한 IP 주소 및 인증키를 토대로, 상기 전용 IPSec 터널들 중에서 해당하는 전용 IPSec 터널을 식별하여, 식별한 전용 IPSec 터널을 통해 상기 수신한 데이터를 라우팅하는, 방법.In claim 2,
The primary terminal is
Create dedicated IPSec tunnels based on each authentication key obtained from the EMG by performing the authentication for each of the plurality of secondary terminals connected to the primary terminal,
A method of identifying a corresponding dedicated IPSec tunnel from among the dedicated IPSec tunnels based on the IP address and the authentication key obtained from the data received from the secondary terminal, and routing the received data through the identified dedicated IPSec tunnel. 제1항에서,
상기 인증키는,
IKE(Internet Key Exchange) 프로토콜을 통하여 상기 EMG에서 상기 1차 단말로 전달되고, EAP(Extensible Authentication Protocol)를 통하여 상기 1차 단말에서 상기 2차 단말로 전달되는, 방법.In claim 1,
The authentication key is
The method is transmitted from the EMG to the primary terminal through an Internet Key Exchange (IKE) protocol, and transmitted from the primary terminal to the secondary terminal through an Extensible Authentication Protocol (EAP). 제4항에서,
상기 EMG는,
IKE v2 Responder로 동작하는 EMG-U, 그리고
RADIUS(Remote Authentication Dial In User Service) AAA(Authentication Authorization Accounting) 서버로 동작하는 EMG-C를 포함하고,
상기 인증키는,
RADIUS 패킷을 통해 상기 EMG-C에서 상기 EMG-U로 전달되고, 상기 IKE 프로토콜을 통하여 상기 EMG-U에서 상기 1차 단말로 전달되는, 방법.
In claim 4,
The EMG is
EMG-U acting as an IKE v2 Responder, and
Includes EMG-C operating as a RADIUS (Remote Authentication Dial In User Service) AAA (Authentication Authorization Accounting) server,
The authentication key is
The method is transmitted from the EMG-C to the EMG-U through a RADIUS packet, and transmitted from the EMG-U to the primary terminal through the IKE protocol.
KR1020210035324A 2021-03-18 2021-03-18 Method for 5g lan service KR102558364B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210035324A KR102558364B1 (en) 2021-03-18 2021-03-18 Method for 5g lan service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210035324A KR102558364B1 (en) 2021-03-18 2021-03-18 Method for 5g lan service

Publications (2)

Publication Number Publication Date
KR20220130438A true KR20220130438A (en) 2022-09-27
KR102558364B1 KR102558364B1 (en) 2023-07-20

Family

ID=83451731

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210035324A KR102558364B1 (en) 2021-03-18 2021-03-18 Method for 5g lan service

Country Status (1)

Country Link
KR (1) KR102558364B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101516217B1 (en) * 2014-12-02 2015-05-04 주식회사 인소프트 Method and system for offering private multimedia service using virtual tunnel funtion
JP5827680B2 (en) * 2010-05-13 2015-12-02 マイクロソフト テクノロジー ライセンシング,エルエルシー One-time password with IPsec and IKE version 1 authentication
KR102059150B1 (en) * 2019-05-02 2019-12-24 주식회사 스텔스솔루션 IPsec VIRTUAL PRIVATE NETWORK SYSTEM
KR20200126933A (en) * 2019-04-30 2020-11-09 주식회사 케이티 Server and primary terminal for controlling a dedicated network connection of secondary terminal connecting to the dedicated network using the primary terminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5827680B2 (en) * 2010-05-13 2015-12-02 マイクロソフト テクノロジー ライセンシング,エルエルシー One-time password with IPsec and IKE version 1 authentication
KR101516217B1 (en) * 2014-12-02 2015-05-04 주식회사 인소프트 Method and system for offering private multimedia service using virtual tunnel funtion
KR20200126933A (en) * 2019-04-30 2020-11-09 주식회사 케이티 Server and primary terminal for controlling a dedicated network connection of secondary terminal connecting to the dedicated network using the primary terminal
KR102059150B1 (en) * 2019-05-02 2019-12-24 주식회사 스텔스솔루션 IPsec VIRTUAL PRIVATE NETWORK SYSTEM

Also Published As

Publication number Publication date
KR102558364B1 (en) 2023-07-20

Similar Documents

Publication Publication Date Title
EP3545702B1 (en) User identity privacy protection in public wireless local access network, wlan, access
KR102304147B1 (en) Unified authentication for integrated small cell and wi-fi networks
US8665819B2 (en) System and method for providing mobility between heterogenous networks in a communication environment
Arbaugh et al. Your 80211 wireless network has no clothes
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US8127136B2 (en) Method for security association negotiation with extensible authentication protocol in wireless portable internet system
US7194763B2 (en) Method and apparatus for determining authentication capabilities
US7389534B1 (en) Method and apparatus for establishing virtual private network tunnels in a wireless network
US8046577B2 (en) Secure IP access protocol framework and supporting network architecture
US8627064B2 (en) Flexible system and method to manage digital certificates in a wireless network
US20040103275A1 (en) Methods and apparatus for secure, portable, wireless and multi-hop data networking
US20060064589A1 (en) Setting information distribution apparatus, method, program, medium, and setting information reception program
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
BRPI0215728B1 (en) method to enable sim-based authentication, access controller, wireless terminal, and telecommunication system
CN102215487A (en) Method and system safely accessing to a private network through a public wireless network
US20230014894A1 (en) Quantum resistant secure key distribution in various protocols and technologies
US20030172307A1 (en) Secure IP access protocol framework and supporting network architecture
US20180310172A1 (en) Method And Apparatus For Extensible Authentication Protocol
Hauser et al. Establishing a session database for SDN using 802.1 X and multiple authentication resources
KR102558364B1 (en) Method for 5g lan service
JP2010206442A (en) Device and method of communication
KR101272576B1 (en) Android mobile device capable of connecting with I-WLAN, and method of connecting android mobile device with I-WLAN
US20230336535A1 (en) Method, device, and system for authentication and authorization with edge data network
Singh et al. Heterogeneous networking: Security challenges and considerations
GB2417856A (en) Wireless LAN Cellular Gateways

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant