이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 고속 핸드오버 접속인증 제어절차를 설명하기 위한 망 구성도이다.
도 1을 참조하면, 일예로 이동통신 네트워크는 백본 코어망(100)과 다수의 액세스망(110, 120, 130)으로 구성되어 있음을 알 수 있다. 백본 코어망(100)은 사용자 프로파일 서버(User Profile Server, UPS)(140)와 이동성 제어 서버(Mobility Control Server, MCS)(150)를 구비한다.
사용자 프로파일 서버(140)는 각각의 액세스망(110, 120, 130) 접속 인증 기능(Authentication Authorization Account, AAA)을 수행하고 사용자 액세스 상태 및 이동성 프로파일을 관리한다.
이동성 제어 서버(150)는 이동단말(10)의 IP계층의 위치등록절차와, 이동성 제어 및 관리기능을 수행한다.
그리고 각각의 액세스망(110, 120, 130)에는 이동단말(10)이 초기에 액세스망에 접속시에 IP 주소를 할당하고, 핸드오버 수행시 이동성 제어서버(150)에 등록절차를 대행할 수 있도록 망 접속장치(Network Access Server, NAS)(112, 122, 132)가 구비된다. 망 접속장치(112, 122, 132)는 호스트 채널 어댑터(Host Channel Adaptor, HCA) 기능이 탑재되어 있다.
망 접속장치(112, 122, 132)는 이동단말(10)의 액세스 라우터 역할을 하며, 망 접속장치의 일예로는 3세대 이동통신망의 GGSN(Gateway GPRS Support Node), 와이브로의 ACR(Access Control Router), 무선랜의 액세스 라우터(Access Router, AR) 등을 들 수 있다. 또한 이동단말(10)은 각각의 망 접속장치(112, 122, 132)에 연결된 POA(Point of Attachment)(114a, 114b, 124a, 124b, 134a, 134b)들을 통해 무선연결을 설정한다. 이러한 POA의 일예로는 제3세대 이동통신망의 Node-B, 와이브로의 RAS(Radio Access Station), 무선랜의 액세스 포인터(Access Point, AP) 등을 들 수 있다.
한편, 이동성 제어 서버(150)와 망 접속장치(112, 122, 132)의 호스트 채널 어댑터(HCA)를 통한 연결은, 종래의 MIP(Mobile Internet Protocol)의 IP 터널링 방식이 아닌 사용자 데이터 채널과 분리된 VPN(Virtual Private Network) 형태로 구성된다. 따라서 최선형망(best effort network)에서도 핸드오버 제어처리 메시지와 인증정보 전달 메시지 등은 우선순위를 가지고 안전하고 빠르게 전달될 수 있다. 마찬가지로 이동성 제어서버(150)와 사용자 프로파일서버(140)간에도 이와 같은 형태의 별도 채널을 구성할 수 있다.
도 2는 본 발명의 일실시예에 따른 고속 핸드오버 접속인증시 초기절차를 도시한 도면이다.
이동단말(10)에 전원이 들어오면 이동단말(10)은 인접한 액세스 네트워크를 통해 코어 네트워크에 접속하려는 최초 접속과정이 시작된다. 즉, 이동단말(10)에 장착된 망 접속 카드(Network Interface Card, NIC)의 종류에 따라 L2 링크 연결과정을 통해 POA1(114a)와 L2 접속을 수행한다(S201). 최초 L2 접속절차인 S201 단계의 구체적인 과정은 각각의 액세스망에서 제공하는 L2 계층의 일반적인 기술을 이용하며 본 발명의 범주에 포함되지 않는다.
L2 접속이 완료된 후 이동단말(10)은 L3 계층의 접속인증을 시작한다. 즉, 사용자 ID와 비밀번호를 이용하여 기존의 인증기능을 수행하면서, 사용자 프로파일 관리기능을 수행하는 사용자 프로파일 서버(140)에 접속 인증이 성공되면 망 접속장치(112)로부터 IP 주소를 할당받다.
이를 보다 구체적으로 설명하면, 이동단말(10)의 L2 접속이 완료되면 이동단말(10)에서 사용자 ID와 비밀번호 등과 같은 사용자 정보를 정해진 프로토콜(EAP over WLAN 등)에 의해 망 접속장치(112)로 전달하고(S202), 망 접속장치(112)는 RADIUS(Remote Authentication Dial-In User Service) 또는 DIAMETER의 프로토콜을 이용하여 사용자 프로파일 서버(140)로 L3 인증을 시작하기 위한 사용자 정보를 전달한다(S203). 이때 사용자 프로파일 서버(140)는 이동단말(10)의 사용자 인증확인을 위해 사용하는 알고리즘에 따라 필요한 데이터 값들을 인증요청 메시지에 넣어서 이동단말(10)로 전송한다(S204).
사용자 인증확인을 위해 사용되는 알고리즘은 EAP-MD5, EAP-AKA, EAP-TLS, USIM 등이 있다.
예를 들어 공중 무선랜에서 가장 많이 사용되는 EAP-MD5를 사용하는 경우, 인증요청 메시지의 데이터로 {순서번호(seq_ID), 랜덤 값(Challenge Value, CV)}을 망 접속장치(112)를 통해(S204), 이동단말(10)로 전송한다(S205).
인증 메시지를 요청받은 이동단말(10)은 인증정보를 생성하여 사용자 프로파일 서버(140)로 전달하는데(S205, S207), 본 발명의 일실시예에 따른 EAP-MD5의 알고리즘을 사용하는 경우는 {비밀번호, CV, seq_ID}를 MD5 방식으로 생성한 해쉬값(Hash Value, HV)을 인증응답 메시지에 넣어 망 접속장치(110)를 통해 사용자 프 로파일 서버(140)로 전달한다.
사용자 프로파일 서버(140)는 사용자 정보에 따른 해쉬값을, 이동단말(10)에서 생성하여 전달받은 해쉬값과 비교하여(S208), 그 결과에 따른 인증결과를 이동단말(10)에 통보한다(S209, S210).
인증에 성공하면, 이동단말(10)이 제1액세스망(110)에서 IP 패킷의 전송에 사용할 수 있도록 IP주소를 할당받는다(S211). 이동단말(10)에 L3주소가 정상적으로 할당되면, 사용되는 L3계층의 이동성 프로토콜(MIP, PMIP 등)에 따라 코어망의 이동성 제어서버(150)에 L3 등록(Location Registration)을 수행한다(S212).
이를 통해 이동성 제어서버(150)는 이동단말(10)의 L2 주소 및 HoA(Home of Address)와 이동성 제어서버(150) 자신의 IP 주소로 구성된 이동단말(10) 바인딩 정보를 구성하여 이동단말(10) 바인딩 테이블에 기록해 둔다(S213).
이때 이동성 제어서버(150)에서는 이종망간 핸드오버 제어를 위한 이동단말(10)의 L2 접속 네트워크 인터페이스 카드(NIC) 종류 및 형태, 가입 통신사업자 등 이동성 관련 프로파일을 사용자 프로파일서버(140)로부터 제공받는다(S214).
또한 이동성 제어서버(150)는 이동단말(10) 초기 접속 인증과정에서 사용된 인증정보(HV)를 사용자 프로파일 서버(140)로부터 전달받아 L2 ID와 함께 바인딩 정보로 관리되며, 이동단말(10)이 접속한 POA의, HCA가 탑재된 인접 망 접속장치들을 검색하여(S215) 해당 호스트 채널 어댑터(HCA)가 탑재된 망 접속장치들로 인증정보(HV)를 전달한다(S216).
전술한 절차를 도 1의 네트워크상의 구성도를 참조하여 보다 상세하게 설명 하면 다음과 같다.
이동단말(10)이 제1액세스망(110)의 POA1(114a)을 통해 망 접속장치(112)에 L3 접속인증과 L3 등록절차를 수행하면, 이동성제어서버(150)는 이동단말(10)의 접속 인증정보와 관련 프로파일 정보를 사용자 프로파일 서버(140)로부터 VPN 채널을 통해 전달받는다.
그리고 이동단말(10)이 접속된 POA2(114b)의 인접 POA1(114a), POA3(124a)를 인접망 지도(Neighbor Map)에서 찾아서 연결된 HCA들이 탑재된 망 접속장치(112, 122)로 인증정보를 전달한다.
이때 POA2(114b)과 POA1(114a)은 동일한 액세스망인 제1액세스망(110)에 연결된 동종망간 핸드오버이나 POA3(124a)이 연결된 액세스망인 제2액세스망(120)은 이종망일 수도 있다. 따라서 망 접속장치(122)에서 관리되는 L2 ID가 달라질 수 있다.
도 3은 본 발명의 일실시예에 따른 고속 핸드오버 접속인증 제어절차를 도시한 도면이다.
이동단말(10)이 초기 접속 액세스망인 제1액세스망(110)에서 이동하여 새로운 액세스망인 제2액세스망(120)으로 핸드오버하는 경우, 본 발명의 일실시예에 따른 고속 핸드오버 인증 제어절차는 다음과 같다.
이종 액세스망간 또는 동종 액세스망간 이동의 경우 모두 우선적으로 L2 핸드오버 절차가 수행된다(S217). 핸드오버에 따른 L2 링크연결이 완료되면 이동단말(10)은 관리중인 초기접속에 사용된 사용자 인증정보(HV)를 L2 ID와 함께 새로운 액세스망(120)의 망 접속장치(122)로 전송하여 L3 재접속 인증절차로 응답한다(S218). 망 접속장치(122)는 HCA를 통해 전달되어 관리중인 L2 ID별 인증정보를 비교하여(S219), 접속 허용여부를 결정하고 L3 접속 인증결과를 바로 이동단말(10)에 전달한다(S220).
이후 사용되는 L3계층의 이동성 프로토콜(MIP, PMIP 등)에 따라 망 접속장치(122)에 탑재된 HCA의 CoA(Care of Address)정보를 통보하는 절차가 수행되며(S221), 코어망의 이동성 제어서버(150)에 L3 등록(Location Registration) 절차를 수행한다(S222).
이때 이동성 제어서버(150)는 이동단말(10)의 바인딩 테이블에 L2 주소 및 HoA(Home of Address)에 연결되는 CoA정보를 새로운 바인딩 정보로 기록한다(S223). 또한 이동단말(10)이 L3 재접속 인증 및 L3 등록과정 후, 이동성 제어서버(150)에서 사용자 프로파일 서버(140)로 사용자 프로파일(접속 PoA 주소, CoA 등)을 업데이트 하고(S224), 다시 이동단말(10)이 접속한 POA의, HCA가 탑재된 인접 망 접속장치들을 검색하여(S225), 해당 HCA가 탑재된 망 접속장치(132)로 인증정보(HV)를 전달한다(S226). 이때 이종 이동통신망의 특성상 이동단말(10)에 탑재된 L2 네트워크 인터페이스 카드 종류에 따라 복수개의 POA가 검색될 경우, 해당 HCA가 탑재된 모든 망 접속장치로 인증정보(HV)가 해당 L2 ID와 함께 전달된다.
도 4는 본 발명의 일실시예에 따라, 사용자 프로파일 서버와 이동성 정보 제어 서버간의 인증 정보와 프로파일 정보를 관리하는 절차를 도시한 도면이다.
사용자 프로파일 서버(140)와 이동성제어서버(150)와의 접속 프로토콜은 DIAMETER 기반의 Sh 접속규격과 명령어 메시지 구조를 사용한다. 도 2 및 도 3을 참조하여 전술한 바와 같이 이동단말(10)의 초기 L3 접속절차가 완료되면(S401), 제1액세스망(110)의 망 접속장치(112)에서 이동성제어서버(150)로 이동단말(10)의 L3 등록절차를 수행한다(S402).
이동성제어서버(150)는 이동단말(10)의 바인딩 정보를 기록하고(S403), UDR(User-Data-Request) 명령어 메시지에 이동단말(10)의 L2 ID를 넣어 사용자 프로파일을 사용자 프로파일 서버(140)에 요청한다(S404).
그러면, 사용자 프로파일 서버(140)는 사용자 프로파일 서버(140)에서 관리되는 프로파일 정보중에 이동성 제어에 활용되는 이동단말(10)의 L2 NIC 종류와 형태, L2별 가입 통신사업자 ID와 함께 초기 접속과정에 사용된 인증정보(HV)를 UDA(User-Data-Answer) 명령어 메시지의 데이터 영역에 넣어 이동성 제어서버(150)에 응답한다(S405).
이동성 제어서버(150)에서 관리되고 있는 테이블(Global Binding Table)에서 이동단말(10)의 인접 망 접속장치들을 검색하여(S406), 인증정보(HV)를 전달한다(S407). S407 절차는 이동성제어서버(150)와 망 접속장치간의 핸드오버 제어 메시지를 사용한다. 망 접속장치의 HCA에서는 내부의 이동단말 관리 테이블(MN Binding Table)에 L2 ID 별로 인증정보를 유효시간(Life time)을 두고 관리한다.
또한 이동성 제어서버(150)의 초기접속에 따른 인증정보 배분 후, SNR(Subscribe-Notifications-Request) 명령어 메시지를 이용하여 이동단말(10)의 명시적인 접속 해제가 이루어지는 경우, 사용자 프로파일 서버(140)에서 통지를 받 을 수 있도록 가입하고(S408) 결과를 통보받는다(S409).
이동단말(10)이 초기 접속한 제1액세스망(110)에서 이동하여 새로운 액세스망인 제2액세스망(120)으로 이동하면 망 접속장치(122)로 L3 고속 핸드오버 접속인증제어절차를 수행하여 완료한다(S410). 그리고 새로운 액세스 망의 망 접속장치(122)에 탑재된 HCA에서 이동성제어서버(150)로 L3 등록절차를 수행한다(S411).
이동성제어서버(150)에서는 이동단말(10)의 바인딩 정보에 CoA를 HoA(Home of Address)와 매핑하여 기록하고(S412), PUR(Profile-Update-Request) 명령어 메시지를 이용하여 이동단말(10)의 새로운 CoA 등 이동정보 데이터를 전달한다(S413).
사용자 프로파일 서버(140)는 이동성 제어서버(150)에서 전달받은 데이터로 이동성 프로파일 상태정보를 갱신하고 PUA(Profile-Update-Answer) 명령어 메시지로 응답한다(S414). 이와 동시에 이동성 제어서버(150)는 초기접속 과정에서 수행된대로 이동성 제어서버(150)에서 관리되고 있는 테이블(Global Binding Table)에서 핸드오버에 따른 이동단말에 인접한 망 접속장치의 HCA를 재검색하여(S415), 이동단말 L2 ID와 인증정보(HV)를 전달한다(S416). 이는 이동단말이 다시 인접 액세스망으로 고속 핸드오버 하는 경우, 새로운 액세스망의 망 접속장치에서 접속 인증처리에 사용된다.
종래에는 이동단말(10)의 L3 접속종료에 따른 인증제어 절차가 별도로 요구되지 않으나, 본 발명의 일실시예에 따른 고속 핸드오버 인증제어방법에서는 이동단말에서 사용자의 명시적 접속해제 절차가 수행되면 망 접속장치를 통해서 접속 해제 상태가 사용자 프로파일 서버(140)로 전달되고(S417), 사용자 프로파일 서버(140)는 이동성 제어서버(150)로 PNR(Push-Notification-Request) 명령어 메시지를 사용하여 이동단말(10)의 L2 목록, 가입 통신사업자 정보와 함께 접속해제 통지절차를 수행한다(S418).
이동성 제어서버(150)는 전역 바인딩 테이블(Global Binding Table)에서 이동단말(10) 등록 HCA를 검색하여 이동단말(10) 접속해제 정보를 전달하고(S419), PNA(Push-Notification-Answer)로 사용자 프로파일 서버(140)에 응답한다(S420). 이 접속해제 통지절차를 통해서 이동성 제어서버(150)와 HCA에 이동단말(10)의 상태정보 및 관련 테이블이 삭제된다.
한편, 전술한 접속인증 제어방법은 컴퓨터 프로그램으로 작성 가능하다. 상기 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 접속인증 제어방법을 구현한다. 상기 정보저장매체는 자기 기록매체, 광 기록매체, 및 캐리어 웨이브 매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.