KR102048469B1 - 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말 - Google Patents

비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말 Download PDF

Info

Publication number
KR102048469B1
KR102048469B1 KR1020170082623A KR20170082623A KR102048469B1 KR 102048469 B1 KR102048469 B1 KR 102048469B1 KR 1020170082623 A KR1020170082623 A KR 1020170082623A KR 20170082623 A KR20170082623 A KR 20170082623A KR 102048469 B1 KR102048469 B1 KR 102048469B1
Authority
KR
South Korea
Prior art keywords
authentication
network
access
terminal
user terminal
Prior art date
Application number
KR1020170082623A
Other languages
English (en)
Other versions
KR20180097113A (ko
Inventor
이진근
김일용
우상우
이은동
이종경
정치욱
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20180097113A publication Critical patent/KR20180097113A/ko
Application granted granted Critical
Publication of KR102048469B1 publication Critical patent/KR102048469B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/42Security arrangements using identity modules using virtual identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Abstract

본 발명은 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말이 제공된다. 이 시스템은 사용자 단말의 접속 프로파일을 저장하고, 상기 사용자 단말에 대하여 사용자 인증을 수행하는 인증 서버, 그리고 비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하면, 상기 사용자 단말 또는 상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)를 포함하고, 상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함한다.

Description

비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말{SYSTEM, METHOD AND USER TERMINAL FOR PRIVATE NETWORK ACCESS CONTROL USING UNTRUSTED ACCESS NETWORK}
본 발명은 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말에 관한 것이다.
종래에 원격지에서 전용망에 접속하는 방법으로, 가상 전용망(Virtual Private Network, VPN) 기술과 전용망 LTE(Long Term Evolution) 기술이 있다.
가상 전용망(VPN) 기술은 물리적으로 서로 다른 IP 네트워크를 상위 레벨 프로토콜, 예를들면, SSL(Secure Sockets Layer), IPsec(Internet Protocol Security) 등을 사용해 원격지의 네트워크 접속이 가능하게 하는 기술이다. 가상 전용망(VPN) 기술은 VPN 서버를 구성하여 VPN 클라이언트로 접속하며, 접속 구간에 트래픽 터널을 형성한 후 원격지에서 전용망으로 접속할 수 있으며, 통상 인터넷 연결성(LAN, WiFi)이 완료되어야 한다.
전용망 LTE 기술은 LTE망에서 APN(Access Point Name)과 같은 구분자를 이용해 전용망으로 접속할 수 있게 해주는 기술이다. 이 기술은 LTE 통신 시스템의 전용 패킷 데이터 네트워크 게이트웨이(Packet data network Gateway, PGW)를 통하여 사용자 단말이 전용망에 접속할 수 있게 한다. 따라서, 이 기술은 LTE 접속시 사용하는 APN을 전용 사설망의 APN, 예를들면, abccompany.lte.com로 설정 또는 선택하여 사용하며, LTE 접속 및 가입자 모듈(Universal Subscriber Identity Module, USIM)을 통해 사업자 인증이 가능해야 한다.
그런데, 전용망 가입자가 기업 가입자 또는 그룹 가입자일 경우, 기업 또는 그룹에 속하는 구성원 단말 중에서 전용망 서비스를 제공하는 통신 사업자에 가입한 단말 이외는 해당 전용망 서비스를 이용할 수 없다.
따라서, 전용망 가입자 입장에서는 전용망 서비스를 제공하는 통신 사업자에 가입하지 않은 구성원을 위해서 통신사 별로 전용망 서비스를 신청하거나 또는 일반 VPN(Virtual Private Network) 서비스를 운용해야 하는 부담이 있다.
일반적으로 기업의 임직원이 원격지에서 업무, 예를들면, 메일, DB 접속, 사내서버 업무 등을 하기 위해서는 노트북, 패드(Pad) 등의 업무 단말이 해당 기업의 인트라넷 또는 사내망으로 접속이 가능해야 한다. 기업은 통상적으로 VPN 서버를 설치 유지 관리하며, 임직원에게는 VPN 클라이언트를 배포하여 사용하도록 한다.
그런데, VPN은 계위상 인터넷 레이어 위에서 제공이 되는데, VPN 자체가 인터넷 접속 환경은 제공하지 못함은 물론, 회사는 별도의 VPN 서버를 두어 운용, 계정관리, VPN 클라이언트 배포 관리를 지속적으로 해야 하는 부담을 가진다.
한편, 스마트폰과 같은 모바일 단말의 경우, 단말의 해당 가입자 모듈(USIM)을 공급한 통신 사업자만 그 가입자 모듈(USIM)을 인증할 수 있다. 즉, 전용망 가입자가 A 통신사의 전용망 서비스에 가입한 경우, 타 통신사 모바일 단말은 전용망 서비스를 제공하는 통신 사업자가 제공하는 중계 단말, 예를들면, LTE 에그(Egg)나 LTE 라우터(Router)를 경유해야 A 통신사의 전용망에 접속할 수 있다. 따라서, 전용망 접속을 위해서는 별도의 중계 단말을 항상 소지해야 하므로, 이동성 및 사용성의 제약으로 인해 사용자에게 불편함을 초래한다.
또한, LTE 모뎀이나 또는 가입자 모듈(USIM)이 구비되지 않는 PC 나 태블릿(Tablet) PC의 경우, 와이파이(WiFi)망을 통해 전용망에 접속하려면 별도의 VPN 서버가 필요하다.
또한, 로밍 상황에서 와이파이(WiFi)망을 통해 전용망으로 접속할 수 없으므로, 이를 위하여 방문망의 LTE 접속망을 이용해야 하는데, 사용 요금이 비싸다는 문제가 있다.
이처럼, 전용망 가입자가 기업 또는 그룹 가입자일 경우, 전용망 접속 단말을 특정 통신사 단말로 제한하거나 가입자 모듈(USIM)이 구비된 모바일 단말로 그 사용을 제한하지 않으려면, 사용자들이 중계 단말을 상시 구비하거나 또는 기업 가입자가 VPN 서버를 구축해야 한다.
본 발명이 해결하고자 하는 과제는 가입자 모듈(USIM)을 사용하지 않거나 또는 가입자 모듈(USIM)을 인증할 수 없는 비신뢰 접속망(Untrusted Access Network)을 통하여 접속하는 사용자 단말을 특정 사업자의 전용망에 접속할 수 있도록 제어하는 시스템, 방법 및 사용자 단말을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는 LTE 전용망 서비스에 가입된 휴대 단말을 이용한 인증 절차를 수행한 후, 비신뢰 접속망에만 접속 가능한 단말을 가상 전용망(VPN) 서버 없이 전용망에 접속할 수 있도록 제어하는 시스템, 방법 및 사용자 단말을 제공하는 것이다.
본 발명의 하나의 특징에 따르면, 전용망 접속 제어 시스템은 사용자 단말의 접속 프로파일을 저장하고, 상기 사용자 단말에 대하여 사용자 인증을 수행하는 인증 서버, 그리고 비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하면, 상기 사용자 단말 또는 상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)를 포함하고, 상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함한다.
상기 접속 프로파일은, 가상 IMSI(International Mobile Subscriber Identify), 가상 MSDN(Mobile Subcriber Directory Number), 가상 IMEI(International Mobile Equipment Identity) 중에서 적어도 하나를 포함하는 단말 식별 정보, 전용망을 구분하는 단위인 APN(Access Point Name) 및 가입자 인증키를 포함할 수 있다.
상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 인증 서버와 연동하여 상기 접속 프로파일을 토대로 상기 사용자 단말이 상기 전용망에 접속할 수 있는 권한이 있는지 확인하는 접속 프로파일 인증을 수행하고, 상기 접속 프로파일 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청할 수 있다.
상기 인증 서버는, 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 사용자 단말의 전용망 접속 요청을 수신하기 전에, 상기 사용자 단말과 별개의 인증 단말로부터 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하고, 상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 요청이 수신되면, 상기 접속 프로파일 인증과 함께 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며, 상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 인증 서버가 상기 인증들에 모두 성공하면, 상기 통신 세션 생성을 요청하고, 상기 전용망 접속 요청은, 이동통신망을 통하여 전달되고, 상기 전용망 접속 요청은, 비신뢰 접속망을 통하여 전달될 수 있다.
상기 인증 서버는, 상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 사용자 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송할 수 있다.
상기 인증 서버는, 상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행할 수 있다.
상기 인증 서버는, 상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 인증 요청을 수신하여, 상기 인증 요청에 포함된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션으로부터 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말로 전송하고, 상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 접속 프로파일이 포함된 전용망 접속 요청을 상기 사용자 단말로부터 수신할 수 있다.
상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 ID 및 패스워드를 포함하는 전용망 접속 요청을 수신하면, 상기 인증 서버에게 상기 ID 및 패스워드를 전달하여 상기 인증 서버로부터 상기 ID 및 패스워드를 통해 확인된 상기 사용자 단말의 접속 프로파일을 수신할 수 있다.
상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말의 접속 이력과 함께 로컬 캐시에 저장하고, 상기 전용망 접속 요청이 수신되면, 상기 로컬 캐시에 저장된 접속 프로파일이 없을 경우에, 상기 인증 서버에게 요청하여 수신할 수 있다.
상기 인증 서버는, 상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 등록 요청이 수신되면, 상기 등록 요청에 포함된 상기 ID 및 패스워드를 등록하고, 상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 수신된 ID 및 패스워드가 기 등록된 정보인 경우, 상기 사용자 단말의 접속 프로파일을 전송할 수 있다.
상기 인증 서버는, 상기 ID 및 패스워드를 통해 확인된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 진화된 패킷 데이터 게이트웨이(ePDG)로 전송하고, 상기 전용 어플리케이션으로부터 수신된 전화번호로 OTP를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 전용 어플리케이션으로부터 등록 요청된 ID 및 패스워드를 등록할 수 있다.
상기 인증 서버는, 상기 사용자 단말의 ID 별로 OTP 인증 여부를 나타내는 OTP 인증 옵션 정보, 패스워드 사용 여부를 나타내는 패스워드 사용 정보, OTP 및 패스워드를 저장하는 OTP/패스워드 정보 및 가입자 인증키를 저장하는 인증 프로파일을 생성하여 관리하고, 상기 인증 프로파일을 이용하여 상기 사용자 단말에 대한 사용자 인증을 수행할 수 있다.
본 발명의 다른 특징에 따르면, 전용망 접속 제어 방법은 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)가 사용자 단말의 전용망 접속을 제어하는 방법으로서, 비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하는 단계, 그리고 상기 전용망 접속 요청에 포함된 접속 프로파일 또는 인증 서버로부터 획득한 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 단계를 포함하고, 상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하고, 상기 접속 프로파일은, 상기 사용자 단말을 식별할 수 있는 정보 및 상기 사용자 단말이 네트워크 접속시 필요한 정보를 포함한다.
상기 요청하는 단계는, 상기 전용망 접속 요청에 상기 접속 프로파일이 포함되어 있는 경우, 상기 인증 서버와 연동하여 상기 접속 프로파일을 토대로 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 인증을 수행하는 단계, 그리고 상기 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는 단계를 포함할 수 있다.
상기 요청하는 단계는, 상기 전용망 접속 요청에 ID 및 패스워드가 포함된 경우, 상기 ID 및 패스워드를 상기 인증 서버로 전송하는 단계, 상기 ID 및 패스워드로부터 확인된 접속 프로파일을 상기 인증 서버로부터 수신하는 단계, 수신한 접속 프로파일을 토대로 상기 인증 서버와 연동하여 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 인증을 수행하는 단계, 그리고 상기 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는 단계를 포함할 수 있다.
상기 요청하는 단계 이후, 상기 전용망에 통신 세션이 연결된 사용자 단말로부터 위치 정보 업데이트를수신하는 단계, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 업데이트된 위치 정보를 포함하는 베어러 변경 메시지를 전송하여 베어러 변경 응답 메시지를 수신하는 단계, 그리고 상기 사용자 단말에게 위치 정보 업데이트 완료를 전송하는 단계를 더 포함할 수 있다.
상기 수신하는 단계 이전에, 상기 사용자 단말과 별개의 인증 단말로부터 수신되는 전용망 접속 인증 요청에 따라 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하는 단계를 더 포함하고, 상기 요청하는 단계는, 상기 인증 서버가 상기 접속 프로파일을 이용한 인증과, 상기 일회용 패스워드가 유효한지 여부를 판단하는 인증을 모두 성공하면, 상기 통신 세션 생성을 요청할 수 있다.
본 발명의 또 다른 특징에 따르면, 사용자 단말은 전용망을 제공하는 통신 사업자가 비신뢰하는 비신뢰 접속망에 접속하는 통신 장치, 그리고 상기 전용망에 접속하기 위한 접속 요청 신호를 생성하고, 상기 접속 요청 신호를 상기 통신 장치를 통해 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)에게 전송하는 프로세서를 포함하고, 상기 접속 요청 신호는 인증 서버로부터 수신한 접속 프로파일 또는 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 인증 서버로부터 상기 접속 프로파일을 획득할 수 있는 인증 정보를 포함한다.
상기 프로세서는 상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 응답을 수신하여 상기 전용망에 연결된 이후, 감시 타이머를 구동하여 상기 감시 타이머가 만료하면, 현재 위치 정보를 포함하는 위치 정보 업데이트를 상기 진화된 패킷 데이터 게이트웨이(ePDG)에게 전송할 수 있다.
상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함할 수 있다.
본 발명의 또 다른 특징에 따르면, 전용망 접속 제어 시스템은, 불특정 다수에게 제공되는 공공(Public) 와이파이(WiFi) AP(Access Point)와 연결되어, 상기 공공 와이파이 AP를 통하여 업무 단말로부터 수신한 임시 계정 정보가 유효한지 판단하는 접속 인증을 수행하고, 상기 임시 계정 정보가 유효하면, 상기 업무 단말의 상기 공공 와이파이 AP 접속을 허가하는 와이파이 인증 서버, 그리고 이동통신망을 통하여 수신한 인증 단말의 요청에 따라 상기 임시 계정 정보를 상기 와이파이 인증 서버로부터 획득하여, 상기 인증 단말로 전송하는 전용망 접속 인증 서버를 포함하고, 상기 업무 단말로부터 수신한 임시 계정 정보는, 상기 인증 단말이 수신한 상기 임시 계정 정보를 상기 업무 단말이 사용자로부터 입력받은 것일 수 있다.
상기 전용망 접속 인증 서버는, 가입자의 업무 단말 정보 및 인증 단말 정보를 포함하는 가입자 프로파일을 저장하고, 상기 이동통신망을 통하여 상기 인증 단말로부터 상기 업무 단말의 공공 와이파이 AP 접속 요청이 수신되면, 상기 가입자 프로파일을 토대로 상기 업무 단말의 사용 권한을 확인하고, 상기 사용 권한이 있다고 판단되면, 상기 와이파이 인증 서버에게 상기 임시 계정을 요청할 수 있다.
상기 전용망 접속 인증 서버는, 상기 공공 와이파이 AP 접속 요청에 대한 응답 전송과, 상기 임시 계정 정보의 전송을 별개로 수행하고, 통신 사업자의 메시지 서비스를 이용하여 상기 임시 계정 정보를 상기 인증 단말로 전송할 수 있다.
상기 업무 단말의 공공 와이파이 AP 접속 요청은, 상기 인증 단말의 전용 어플리케이션 메뉴 중에서, 상기 업무 단말의 인터넷 사용이 선택되는 이벤트에 의하여 트리거되고, 상기 전용 어플리케이션 메뉴는, 상기 인증 단말을 통한 전용망 접속 온오프 설정 메뉴와, 상기 업무 단말의 인터넷 사용 및 전용망 접속을 포함하는 업무 단말 설정 메뉴로 구분될 수 있다.
상기 업무 단말로부터 전용망 접속 요청을 수신하고, 전용망으로 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(ePDG)를 더 포함하고, 상기 전용망 접속 인증 서버는, 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 전용망 접속 요청을 수신하기 전에, 상기 인증 단말로부터 상기 이동통신망을 통하여 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 상기 일회용 패스워드(OTP)를 전송하고, 상기 패킷 데이터 게이트웨이(ePDG)와 연동하여 상기 업무 단말의 접속 프로파일을 통한 인증 및 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며, 상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 전용망 접속 인증 서버가 인증들에 모두 성공하는 경우, 상기 전용망으로 통신 세션 생성을 요청할 수 있다.
상기 전용망 접속 인증 서버는, 상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 업무 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송할 수 있다.
상기 전용망 접속 인증 서버는, 상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행할 수 있다.
상기 전용망 접속 인증 서버는, 상기 인증 단말과 HTTP 방식으로 요청 및 응답을 수신할 수 있다.
본 발명의 실시예에 따르면, 가입자 모듈(USIM)을 사용하지 않거나 또는 가입자 모듈(USIM)을 인증할 수 없는 비신뢰 접속망을 통해 접속한 사용자 단말을 특정 모바일 사업자망(Public Land Mobile Network, PLMN)내 전용망으로 접속할 수 있도록 한다.
또한, 전용 어플리케이션을 설치하면, 별도의 VPN 장치 없이도 전용망에 접속이 가능하다.
또한, 가입자 모듈(USIM)이 없어 전용망 LTE 직접 사용이 불가한 와이파이(WiFi only) 업무용 단말, 예를들면, 노트북, PAD 등을 가상 전용망(VPN) 서버없이도 휴대 단말의 전용망 LTE 인증을 이용하여 원격지에서 전용망으로 접속할 수 있게 한다.
또한, 전용망 LTE와 연계한 솔루션으로, 업무 단말의 인증 및 이력 관리 체계를 전용망 LTE와 일원화하여 통합 이력관리로 효율성을 높일 수 있다.
도 1은 본 발명의 한 실시예에 따른 비신뢰 접속망을 이용한 전용망 접속 제어 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 접속 프로파일 획득 과정을 나타낸 흐름도이다.
도 3은 본 발명의 한 실시예에 따른 전용망 접속 과정을 나타낸 흐름도이다.
도 4는 본 발명의 실시예에 따른 ID/PW 등록 과정을 나타낸 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 전용망 접속 과정을 나타낸 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 패킷 데이터 네트워크 네트워크 게이트웨이(Packet data network Gateway, PGW)의 동작을 나타낸 흐름도이다.
도 7은 본 발명의 한 실시예에 따른 사용자 단말의 위치 업데이트 과정을 나타낸 흐름도이다.
도 8은 본 발명의 실시예에 따른 인증 프로파일을 나타낸 구성이다.
도 9는 본 발명의 실시예에 따른 접속 프로파일을 나타낸 구성이다.
도 10은 본 발명의 다른 실시예에 따른 비신뢰 접속망을 이용한 전용망 접속 제어 시스템의 구성도이다.
도 11은 도 10의 전용망 접속 인증 서버의 세부 구성을 나타낸 블록도이다.
도 12는 본 발명의 한 실시예에 따른 비신뢰 접속망에 접속하는 과정을 나타낸 흐름도이다.
도 13은 본 발명의 한 실시예에 따른 인증 단말의 화면 UI(User Interface)를 나타낸다.
도 14는 본 발명의 한 실시예에 따른 인증 단말의 메시지 수신 화면을 나타낸다.
도 15는 본 발명의 다른 실시예에 따른 전용망 접속 제어 과정을 나타낸 순서도이다.
도 16은 본 발명의 실시예에 따른 전용망 접속 화면의 구성을 나타낸다.
도 17은 본 발명의 실시예에 따른 단말의 하드웨어 블록도이다.
도 18은 본 발명의 실시예에 따른 네트워크 장치의 하드웨어 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 명세서에서 단말(Terminal)은 사용자 기기로서, 디바이스(Device), UE(User Equipment), ME(Mobile Equipment), MS(Mobile Station), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등의 용어로 언급될 수도 있고, 이동 단말, 가입자국, 휴대 가입자국, 사용자 장치 등의 전부 또는 일부의 기능을 포함할 수도 있다.
기지국(Base Station, BS)은 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.
본 명세서에서는 Private LTE(Long Term Evolution) 기술을 이용할 수 있다. 이러한 Private LTE 기술은 LTE 통신 시스템의 EPC(Evolved Packet Core)를 통해 PDN(Packet Data Network)들을 분리한다.
여기서, PDN은 공중망과 전용망을 포함한다. 전용망은 전용 네트워크, 사설망(Private Network), 인트라넷(Intranet), 전용 LTE망 이라고도 할 수 있다. 이러한 전용망은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공한다. 이때, 특정 가입자가 기업 또는 그룹 가입자일 수 있다.
공용망은 공용 네트워크, 공중망(Public Network), 인터넷(Internet), 일반 LTE망이라고도 할 수 있다. 이러한 공용망은 불특정 다수를 대상으로 이동통신 서비스를 제공한다.
EPC를 통해 공용망과 전용망으로 구분하여 서비스하기 위해서 접속점 이름(Access Point Name, 이하, 'APN'이라 통칭함)이 이용된다.
APN은 이동통신망에서 접속하고자 하는 패킷 데이터 네트워크(Packet Date Network, 이하, 'PDN'이라 통칭함)를 식별하기 위한 정보로서, PDN ID라고도 불린다.
LTE의 하이 레벨 아키텍처는 3개의 주요 구성 요소들을 포함하는데, 단말(UE), E-UTRAN(Evolved UMTS Terrestrial Radio Access Network) 및 EPC를 포함하는 것으로 설명될 수 있다. 여기서, EPS(Evolved Packet System)는 E-UTRAN 및 EPC를 지칭한다.
EPC는 MME(Mobility Management Entity), SGW(Serving Gateway), PGW(Packet data network Gateway)를 포함하며, LTE 통신 시스템에서 사용되는 통신 기술, 네트워크 장치 구성 들의 개념이 본 발명의 실시예에서 참조될 수 있다.
이제, 도면을 참고하여 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말에 대하여 설명한다.
도 1은 본 발명의 한 실시예에 따른 전용망 접속 제어 시스템의 구성도이다.
도 1을 참조하면, 사용자 단말1(101)은 AP(103) 및 인터넷(105)을 통해 ePDG(107) 및 인증 서버(109)와 연결된다.
여기서, 한 실시예에 따르면, 사용자 단말1(101)은 가입자 모듈(USIM)이 구비되지 않은 단말로서, PC, 태블릿 PC, 네트워크 CCTV(Closed Circuit Television) 등과 같은 사물 인터넷(Internet of Things, IoT) 단말을 포함할 수 있다.
AP(Access Point)(103)는 가입자 모듈(USIM)을 사용하지 않는 비신뢰 접속망으로서, 와이파이(WiFi) AP에 해당된다. 이때, 비신뢰 접속망은 와이파이(WiFi) 외에도 유선 LAN(Local Area Network) 등을 포함할 수 있다.
다른 실시예에 따르면, 사용자 단말1(101)은 가입자 모듈(USIM)이 있는 단말로서, 모바일 단말, 스마트폰 등이 될 수 있다. 이러한 사용자 단말1(101)은 와이파이(WiFi)망 등의 비신뢰 접속망을 통해 전용망에 접속하고자 하는 단말, 예를 들면 로밍 단말을 포함할 수 있다.
사용자 단말2(111)는 타 사업자 가입 단말로서, 타 사업자 기지국(113), 타 사업자 코어망(115) 및 인터넷(105)을 통해 ePDG(107) 및 인증 서버(109)와 연결된다. 여기서, 타 사업자 기지국(113) 및 타 사업자 코어망(115)은 LTE 망일 수도 있고, 다른 이동통신 규격을 채용한 망일 수도 있다.
이때, 타 사업자 기지국(113) 및 타 사업자 코어망(115)은 전용망 서비스를 제공하는 통신 사업자가 아닌 다른 사업자의 네트워크 구성 요소에 해당한다.
이런 경우, 사용자 단말2(111)는 가입자 모듈(USIM)을 탑재한 단말일 수 있지만, 이러한 가입자 모듈(USIM)을 전용망 서비스를 제공하는 자사 PGW(117)에서 인증할 수 없다. 따라서, 사용자 단말2(111)는 가입자 모듈(USIM)이 없는 단말과 동일하게 취급되고, 타 사업자 접속망은 비신뢰 접속망에 포함된다.
이와 같이, 본 발명의 실시예에서 비신뢰 접속망은 가입자 모듈(USIM)을 사용하지 않는 통신망이거나 또는 가입자 모듈(USIM)을 인증할 수 없는 통신망을 포함한다.
사용자 단말(101, 111)은 IP(Internet Protocol)를 지원하는 운영 시스템(Operating System, OS), 와이파이(WiFi) 모뎀, LTE 모뎀, LAN 등 IP 기반의 통신을 가능하게 하는 하드웨어(HW)를 포함하여, 인터넷(105) 접근이 가능한 단말이다.
사용자 단말(101, 111)은 비신뢰 접속망을 경유한 전용망 접속을 위한 전용 어플리케이션을 탑재하여 실행할 수 있다. 여기서, 전용 어플리케이션은 스마트폰 앱, PC의 클라이언트 프로그램, 사물 인터넷(IoT) 단말을 위한 응용 프로그램의 형태로 구현될 수 있다.
전용 어플리케이션은 사용자 단말(101, 111)의 운영 시스템(Operating System, OS) 레벨에서 지원하는 IP(Internet Protocol)를 사용하여 인증 서버(109)와 HTTP(HyperText Transfer Protocol) 통신이 가능하다. 또는 이에 준하는 TCP/IP(Transmission Control Protocol/Internet Protocol) 통신이 가능하다.
또한, 전용 어플리케이션은 IKEv2(Internet Key Exchange Protocol) 및 IPSec(Internet Protocol Security) 터널을 생성하여 데이터 통신을 할 있도록 지원하고, 접속 프로파일 관리 기능을 포함한다. 여기서, 접속 프로파일에 대해서는 후술한다.
ePDG(107)는 사용자 단말(101, 111)의 가입자 인증을 수행한 후, 전용망(121)으로의 접속을 수행하는 게이트웨이 기능을 한다. ePDG(107)는 3GPP에서 표준화된 네트워크 장치로서, VoWiFi(Voice over WiFi) 또는 사업자 특화 VoD, 실시간 TV 같은 응용 서비스를 제공하고, 와이파이와 LTE간 IP 연속성을 보장해주는 기능을 필요로 한다. 그러나, 본 발명의 실시예에 따른 ePDG(107)는 와이파이(WiFi), LTE간 이동시에 IP의 연속성 보장이 필요 없다.
ePDG(107)는 가입자 모듈(USIM)이 없더라도 별도의 인증 프로세스를 통해 전용망 서비스를 제공하는 사업자의 코어망, 즉, 자사 PGW(117)에 접속할 수 있도록 3GPP에서 표준화된 기능이 수정된다.
ePDG(107)는 사용자 단말(101, 111)의 전용 어플리케이션과의 연동을 위해 IKEv2 서버와 IPSec 서버 기능을 수행한다.
ePDG(107)는 인증 서버(109) 및 자사 PGW(117)와 연결된다. 여기서, 자사, 타사 기준은 전용망 서비스를 제공하는 주체인지 여부에 따른다. 즉, 전용망 서비스를 제공하는 사업자가 자사이고, 그렇지 않은 사업자가 타사로 구분된다.
자사 PGW(117)는 자사 PCRF(Policy and Charging Rules Function)(119) 및 전용망(121)과 연결된다.
자사 PGW(117)는 전용망(121)을 위한 전용 PGW일 수 있으며, APN에 대응될 수 있다. 즉, ePDG(107)가 APN을 확인하여, 적어도 둘 이상의 자사 PGW 중에서 APN에 해당하는 자사 PGW(117)으로 세션 생성을 요청할 수 있다.
인증 서버(109)는 ePDG(107)와 접속 인증을 위하여 다이아미터(Diameter) 프로토콜을 이용하여 연동하며, 사용자 단말(101, 111)과 직접 연동이 가능하다.
인증 서버(109)는 ID/PW 관리 및 접속 프로파일을 제공하고, 자사 PGW(117)와 연동하기 위한 가입자 프로파일을 제공한다.
이때, 인증 서버(109)는 가입자 정보를 관리하는 청약 시스템(123)과 직간접적으로 연동하여 가입자 프로파일 및 접속 프로파일을 획득하여 저장한다.
여기서, ePDG(107)가 필요로 하는 정보와 자사 PGW(117)가 필요로 하는 정보는 다르다. 접속 프로파일은 ePDG(107)가 필요로 하는 정보를 주로 포함하고, 가입자 프로파일은 자사 PGW(117)가 필요로 하는 정보를 포함한다. 물론, 접속 프로파일에도 자사 PGW(117)가 필요로 하는 정보를 일부 포함할 수 있다.예를들면, IMSI(International Mobile Subscriber Identify), MSDN(Mobile Subcriber Directory Number), 서빙 네트워크(Serving Network), APN(Access Point Name) 정도면 ePDG(107)가 인증하기에는 충분한 정보이지만, 자사 PGW(117) 입장에서는 이 APN을 써도 되는지 대역폭은 얼마나 할당해 줄지 추가적인 정보가 더 필요하므로, ePDG(107)가 인증 서버(109)로부터 이러한 정보를 가져와서 자사 PGW(117)에게 제공하여야 자사 PGW(117)가 세션을 생성할 수 있다.
이때, 인증 서버(109)는 표준 장비인 AAA(Authentication Authorization Accounting) 및 HSS(Home Subscriber Server)를 포함할 수 있다.
한 실시예에 따르면, 인증 서버(109)는 본 발명의 실시예에 따른 접속 프로파일 관리 또는 ID/PW 관리 기능을 수행하는 인증 서버, AAA 서버 및 HSS를 모두 포함하는 하나의 물리적인 장비로 구현될 수 있다.
다른 실시예에 따르면, 인증 서버(109)는 본 발명의 실시예에 따른 접속 프로파일 관리 또는 ID/PW 관리 기능을 수행하는 인증 서버와, HSS, AAA 서버가 별개의 물리적인 장비로 구현될 수 있다.
자사 PGW(117)는 3GPP 표준 노드로서, ePDG(107)와 GTP(GPRS Tunneling Protocol)을 이용하여 연동한다. 그리고 자사 PCRF(119)와 연동하여 접속한 가입자 별로 서비스 품질(Quality of Service, QoS) 또는 과금 제어 정보를 포함한 접근 정책을 자사 PCRF(119)로부터 획득하여 PDN 접속, 즉, 전용망 접속을 제어한다.
자사 PCRF(119)는 3GPP 표준 노드로서, 가입자 트래픽이 전용망으로 연동하기 위한 PCC 규칙(Policy and Charging Control Rule)을 제공한다. 여기서, Policy는 QoS 정보를 포함한다.
전용망(121)은 PDN(Packet Data Network)의 하나로서, 자사 PGW(117)와 전용선 또는 가상 전용선 기술을 통해 직접 연동한다. 여기서, 가상 전용선 기술의 예로는, MPRS(Movie/Performence Receiver serve), VPN(Virtual private network) 등이 있다. 자사 PGW(117)에 VLAN(Virtual Local Area Network)과 같은 기술을 적용하면 많은 수의 전용망(121)과 연동이 가능하다.
이제, 도 2 ~ 도 3을 참조하여 사용자 단말(101, 111)이 인증 서버(109)로부터 획득한 접속 프로파일을 이용하여 전용망에 접속하는 실시예를 설명한다.
도 2는 본 발명의 한 실시예에 따른 접속 프로파일 획득 과정을 나타낸 흐름도이다.
도 2를 참조하면, 인증 서버(109)는 전용망 서비스 가입자 중에서 비신뢰 접속망을 통해 접속하고자 하는 가입자들의 가입자 정보, 가입자의 접속 프로파일 및 가입자 프로파일을 프로비저닝(provisioning)한다(S101). 여기서, 프로비저닝은 가입 절차 중에 가입자 관련 정보를 사업자 장비에 저장하는 행위를 의미한다.
이때, 가입자 정보는 OTP(One Time Password) 인증을 위한 전화번호를 포함하며, 이때, 전화번호는 휴대폰 번호를 포함할 수 있다.
자사 PCRF(119)는 전용망 서비스 가입자 중에서 비신뢰 접속망을 통해 접속하고자 하는 가입자들의 접근 정책(PCC 룰)을 프로비저닝한다(S103).
전용망 접속을 원하는 사용자 단말(101, 111)은 기 설치된 전용 어플리케이션을 실행한다(S105).
사용자 단말(101, 111)은 기 저장된 접속 프로파일이 있는지 확인(S107)하여, 없으면, S101 단계에서 등록한 전화번호를 입력(S109)하여 인증 서버(109)로 인증 요청을 전송한다(S111).
인증 서버(109)는 사용자 단말(101, 111)에게 인증 대기 응답을 전송(S113)하고, S111 단계에서 수신한 전화번호로 OTP를 발송한다(S115). 여기서, OTP 발송은 SMS 서비스를 이용할 수 있다.
사용자가 인증 서버(109)에서 제공한 OTP를 전용 어플리케이션이 제공하는 사용자 화면에 입력(S117)하면, 사용자 단말(101, 111)은 OTP를 포함하는 접속 프로파일 요청을 인증 서버(109)로 전송한다(S119).
인증 서버(109)는 S119 단계에서 수신한 OTP가 S115 단계에서 발송한 OTP인지 확인하는 OTP 인증을 수행한다(S121).
OTP 인증에 성공하면, 사용자 단말(101, 111)의 접속 프로파일을 확인(S123)하여 사용자 단말(101, 111)로 전송한다(S125).
사용자 단말(101, 111)은 수신한 접속 프로파일을 저장할 수 있다(S127). 이러한 단계 이후부터는 S109 단계 ~ S125 단계가 생략될 수 있다.
또는, S107 단계 및 S127 단계는 수행되지 않고, 망 보안 정책 설정에 따라 전용망에 접속할 때마다 S109 단계 ~ S125 단계가 수행될 수도 있다.
도 3은 본 발명의 한 실시예에 따른 전용망 접속 과정을 나타낸 흐름도로서, 도 2의 S125 단계 이후부터 수행된다.
도 3을 참조하면, 사용자 단말(101, 111)은 기 저장된 또는 인증 서버(109)로부터 획득한 접속 프로파일을 포함하는 전용망 접속 요청(Access Request)을 ePDG(107)에게 전송한다(S201). 여기서, 접속 프로파일은 일반적으로 사용자 단말이 네트워크에 접속할 때 네트워크에게 제공해야 하는 정보 들로 구성된다.
이때, 사용자 단말(101, 111)은 와이파이(WiFi) 또는 LAN 등의 액세스를 경유하여 접속하는 경우, IKEv2 프로토콜의 인증 및 터널 설정 요청 메시지가 전용망 접속 요청(Access Request)의 역할을 할 수 있다. 이때, IKEv2 프로토콜의 인증 및 터널 설정 요청 메시지에 접속 프로파일이 포함된다.
ePDG(107)는 접속 프로파일을 이용하여 사용자 단말(101, 111)을 식별하고, 인증 서버(109)와 연동하여 접속 프로파일 인증을 수행한다(S203). 여기서, S203 단계는 본래 3GPP 표준에 따른 AAA 인증 단계로서, 본 발명의 실시예에서는 접속 프로파일을 이용한 AAA 인증이 가능하도록 수정되었다. S203 단계는, 사용자 단말(101, 111)을 인증하는 단계로서, 접속 프로파일을 이용하여 사용자 단말(101, 111)이 전용망(121)에 접속 가능한 가입자인지를 판정하는 절차 등이 포함된다.
ePDG(107)는 S203 단계를 통해 인증 서버(109)로부터 자사 PGW(117)에 관한 정보를 얻는다.
ePDG(107)는 접속 프로파일 인증에 성공하면, 자사 PGW(117)에게 세션 생성을 요청한다(S205).
이때, 인증 서버(109)는 HSS의 기능을 포함할 수 있다. 즉, 일반적으로 HSS에 포함되는 사용자 단말(101, 111)의 가입자 프로파일을 저장한다. 그리고 S203 단계에서 인증 서버(109)는 ePDG(107)가 요청한 가입자 프로파일을 제공한다. ePDG(107)는 인증 서버(109)로부터 제공받은 가입자 프로파일에 기초하여 사용자 단말(101, 111)이 전용망(121)에 접속이 가능한지 확인한다(S203). 그리고 가입자 프로파일로부터 획득한 정보를 포함하는 세션 생성 요청을 자사 PGW(117)에게 전송한다(S205). 여기서, 세션 생성 요청에 포함되는 정보는 IMSI, MSISDN, Serving Network, RAT Type(WLAN), Indication Flags, Sender F-TEID for C-plane, APN, Selection Mode, PAA, APN-AMBR, Bearer Contexts, Recovery, Charging characteristics, Additional Protocol Configuration Options (APCO)]), Private IE (P-CSCF, AP MAC address) 등을 포함할 수 있다.
자사 PGW(117)는 자사 PCRF(119)로부터 접근 정책을 요청하여 수신한다(S207).
자사 PGW(117)는 전용망(121)과 전용망 세션을 연결한다(S209). 그리고 ePDG(107)에게 세션 생성 응답을 전송한다(S211).
ePDG(107)는 사용자 단말(101, 111)에게 전용망 접속 응답을 전송한다(S213). 이후, ePDG(107)는 자사 PGW(117)와 GTP(GPRS Tunneling Protocol) 베어러를 생성한다(S215). ePDG(107)는 사용자 단말(101, 111)과 IPSec 베어러를 생성한다(S217).
이로써, 사용자 단말(101, 111)은 마치 전용망(121) 내부에 있는 IP 단말처럼 전용망 서비스 사용이 가능하게 된다.
이제, 도 4 ~ 도 5를 참조하여 사용자 단말(101, 111)이 ID/PW(PassWord)를 이용하여 전용망에 접속하는 실시예를 설명한다.
도 4는 본 발명의 한 실시예에 따른 ID/PW 등록 과정을 나타낸 흐름도이다.
도 4를 참조하면, 인증 서버(109)는 전용망 서비스 가입자 중에서 비신뢰 접속망을 통해 접속하고자 하는 가입자들의 가입자 정보, 가입자의 접속 프로파일 및 가입자 프로파일을 프로비저닝한다(S301). 자사 PCRF(119)는 가입자의 접근 정책을 프로비저한다(S303).
전용망 접속을 원하는 사용자 단말(101, 111)은 기 설치된 전용 어플리케이션을 실행한다(S305).
사용자 단말(101, 111)은 ID/PW 등록 여부를 판단한다(S307). 즉, ID/PW가 이미 등록된 경우인지, 아니면, 미등록 즉, 최초 접속인지를 판단한다.
사용자 단말(101, 111)은 ID/PW 미등록으로 판단되면, 사용자로부터 입력(S309)된 ID/PW를 포함하는 등록 요청을 인증 서버(109)로 전송한다(S311).
인증 서버(109)는 S301 단계에서 프로비저닝된 인증 프로파일을 확인하여 OTP 옵션이 있는지를 판단한다(S313).
OTP 옵션이 있는 경우, 인증 서버(109)는 사용자 단말(101, 111)에게 OTP를 수신할 전화번호를 요청하여 수신한다(S315).
인증 서버(109)는 S315 단계에서 수신한 전화번호로 OTP를 발송(S317)한다.
인증 서버(109)는 사용자 단말(101, 111)에게 OTP 입력을 요청하여 수신한다(S319).
인증 서버(109)는 S319 단계에서 수신한 OTP가 S317 단계에서 발송한 OTP와 일치하는지 확인하는 OTP 인증을 수행한다(S321).
인증 서버(109)는 S313 단계 이후 또는 S321 단계 이후, S311 단계에서 요청된 ID/PW를 등록한다(S323). 그리고 등록 결과를 사용자 단말(101, 111)에게 응답한다(S325).
도 5는 본 발명의 다른 실시예에 따른 전용망 접속 과정을 나타낸 흐름도로서, 도 4의 S325 단계 이후부터 수행된다.
도 5를 참조하면, 사용자 단말(101, 111)은 사용자가 입력한 ID/PW를 포함하는 전용망 접속 요청을 ePDG(107)에게 전송한다(S401).
ePDG(107)는 로컬 캐시에 기 저장된 접속 프로파일이 있는지 판단한다(S403). 판단 결과, 기 저장된 접속 프로파일이 없다면, S401 단계에서 수신한 ID/PW와 함께 인증 서버(109)에게 접속 프로파일을 요청한다(S405).
인증 서버(109)는 S405 단계에서 수신한 ID/PW가 등록된 ID/PW인지 확인하는 인증을 수행한다(S407).
S407 단계에서 인증에 성공하면, 인증 서버(109)는 인증 프로파일을 확인하여 OTP 옵션이 있는지 판단한다(S409).
OTP 옵션이 있는 경우, 인증 서버(109)는 사용자 단말(101, 111)에게 OTP를 수신할 전화번호를 요청하여 수신한다(S411).
인증 서버(109)는 S411 단계에서 수신한 전화번호로 OTP를 발송(S413)한다.
인증 서버(109)는 사용자 단말(101, 111)에게 OTP 입력을 요청하여 수신한다(S415).
인증 서버(109)는 S415 단계에서 수신한 OTP가 S413 단계에서 발송한 OTP와 일치하는지 확인하는 OTP 인증을 수행한다(S417).
S417 단계에서 OTP 인증에 성공하면, 인증 서버(109)는 접속 프로파일을 ePDG(107)에게 전송한다(S419).
여기서, ePDG(107)는 수신한 접속 프로파일을 로컬 캐시에 접속 이력을 기준으로 저장할 수 있다.
ePDG(107)는 로컬 캐시에 저장되거나 또는 S419 단계에서 수신한 접속 프로파일을 인증 서버(109)로 전달하여 접속 프로파일 인증을 수행한다(S421). 여기서, S421 단계는 본래 3GPP 표준에 따른 AAA 인증 단계로서, 본 발명의 실시예에서는 접속 프로파일을 이용한 AAA 인증이 가능하도록 수정되었으며, 도 3의 S203 단계와 동일하다.
ePDG(107)는 S419 단계에서 접속 프로파일 인증에 성공하면, 자사 PGW(117)에게 세션 생성을 요청한다(S423).
자사 PGW(117)는 자사 PCRF(119)로부터 접근 정책을 요청하여 수신한다(S425).
자사 PGW(117)는 전용망(121)과 전용망 세션을 연결한다(S427). 그리고 ePDG(107)에게 세션 생성 응답을 전송한다(S429).
ePDG(107)는 사용자 단말(101, 111)에게 전용망 접속 응답을 전송한다(S431). 그리고 자사 PGW(117)와 GTP 베어러를 생성한다(S433). 그리고 사용자 단말(101, 111)과 IPSec 베어러를 생성한다(S435). 여기서, S421 단계 ~ S435 단계는 도 3의 S203 단계 ~ S217 단계와 동일하다.
한편, 도 3 및 도 5에서 전술한 단계들을, IETF(Internet Engineering Task Force]) Non 3GPP(3rd Generation Partnership Project)망 ePDG 연동 표준 절차로 구현하면, 다음과 같다.
S201, S401 단계에서는 사용자 단말(101, 111)이 ePDG(107)에게 IKE_SA_INIT 메시지를 전송하여 IKE_SA_INIT RSP 메시지를 수신함으로써, IKE 메시지 보호에 필요한 IKE_SA를 생성한 후, IKE AUTH_REQ 메시지를 ePDG(107)에게 전송하는 단계를 포함한다.
이때, S201 단계에서는 IKE AUTH_REQ 메시지에 접속 프로파일은 포함되어 ePDG(107)에게 전송될 수 있다. 그리고 S401 단계에서는 ID/PW가 IKE AUTH_REQ 메시지에 포함되어 ePDG(107)에게 전송될 수 있다.
S203 단계, S421 단계에서는 ePDG(107)가 IKE AUTH_REQ 메시지를 인증 서버(109)로 전달하고, 인증 서버(109)로부터 상호 인증을 위한 값들을 수신하여 IKE AUTH_RESP 메시지에 포함시켜 사용자 단말(101, 111)에게 전송한다. 그러면, 사용자 단말(101, 111)은 상호 인증을 위한 값들을 포함하는 IKE AUTH_REQ 메시지를 ePDG(107)에게 전송하고, ePDG(107)는 수신된 IKE AUTH_REQ 메시지를 인증 서버(109)로 전송하면서, 가입자 프로파일을 요청한다. 인증 서버(109)는 상호 인증을 위한 값들을 이용하여 상호 인증을 수행하는데, 이때, 접속 프로파일을 이용한다.
인증 서버(109)는 상호 인증에 성공하면, 가입자 프로파일을 ePDG(107)에게 전송한다. ePDG(107)는 상호 인증을 위한 값들을 포함하는 IKE AUTH_REQ 메시지에 대한 IKE AUTH_RESP 메시지를 사용자 단말(101, 111)에게 전송한다. 그러면, ePDG(107)는 사용자 단말(101, 111)로부터 IKE AUTH_REQ 메시지를 수신한다.
S205 단계, S423 단계에서는 ePDG(107)가 가입자 프로파일과 접속 프로파일을 토대로 사용자 단말(101, 111)이 전용망에 접속이 가능한지 인증한 후, 인증에 성공하면, 자사 PGW(117)에게 세션 생성을 요청한다.
S207 단계(또는 S425 단계), S209 단계(또는 S427 단계), S211 단계(또는 S429 단계) 이후, S213 단계, S431 단계에서 ePDG(107)는 IKE AUTH_RESP 메시지를 통해 사용자 단말(101, 111)에게 전용망 접속 응답을 전송한다.
도 6은 본 발명의 한 실시예에 따른 패킷 데이터 네트워크 네트워크 게이트웨이(Packet data network Gateway, PGW)의 동작을 나타낸 흐름도로서, 도 3의 S217 단계 이후 또는 도 5의 S435 단계 이후 수행될 수 있다.
도 6을 참조하면, 자사 PGW(117)는 사용자 단말(101, 111)에 대해서도 일반 전용망 가입자와 마찬가지로 접속 정보 및 사용 이력 정보를 자사 PCRF(119)에게 통보(S501)하고, 회신 응답을 수신한다(S503).
자사 PGW(117)는 자사 PCRF(119)로부터 수신한 접근 정책에 따라 사용자 단말(101, 111)의 전용망 접근 제어를 수행한다(S505). 여기서, 전용망 접근 제어는 예를들면, 접속 시간 등에 따라 접근 허용 및 차단을 제어할 수 있다. 이외에도 다양한 실시예가 가능하다.
도 7은 본 발명의 한 실시예에 따른 사용자 단말의 위치 업데이트 과정을 나타낸 흐름도로서, 도 3의 S217 단계 이후 또는 도 5의 S435 단계 이후 수행될 수 있다.
도 7을 참조하면, 사용자 단말(101, 111)은 전용망(121)에 연결된 이후, 감시 타이머를 구동한다(S601).
사용자 단말(101, 111)은 감시 타이머 만료 여부를 판단(S603)하여 감시 타이머가 만료되면, 위치를 측정 또는 확인한다(S605).
사용자 단말(101, 111)은 측정 또는 확인한 위치 정보를 ePDG(107)에게 업데이트한다(S607).
ePDG(107)는 S607 단계에서 업데이트된 위치 정보를 포함하는 베어러 변경 메시지(modify bearer request)를 자사 PGW(117)에게 전송(S609)하여 응답을 수신한다(S611). 그러면, ePDG(107)는 사용자 단말(101, 111)에게 위치 정보 업데이트 완료 메시지를 전송한다(S613).
이후, 자사 PGW(117)는 사용자 단말(101, 111)의 위치 업데이트 정보를 이용하여 전용망 접근 제어를 수행할 수 있다. 예를들면, 전용망 서비스 지역을 벗어난 경우, 전용망 접속을 해제시킬 수 있다.
도 8은 본 발명의 실시예에 따른 인증 프로파일을 나타낸 구성이다.
도 8을 참조하면, 인증 프로파일(200)은 사용자 ID를 기준으로 인증 관련된 옵션 필드가 추가되는 형태로서, ID 필드(201), 사용 구분 필드(203), OTP 인증 옵션 필드(205), PW 사용 필드(207), OTP/PW 필드(209) 및 키(Key) 필드(211)를 포함한다.
ID 필드(201)는 인증 프로파일의 키가 되는 정보로 유일성을 보장해야 하며 전화번호 형태 또는 이메일(e-mail) 형태의 주소가 사용될 수 있다. 각각의 인증을 위해서 ID 별로 단말이나 인증 속성을 사용 구분 필드(203)를 이용하여 관리할 수 있다. 이때, 이메일 형태의 ID는 도 4, 도 5에서 사용되는 ID를 말한다.
사용 구분 필드(203)는 ID에 해당하는 사용자 단말(101, 111) 또는 인증 속성을 구분하기 위한 정보가 수록된다.
OTP 인증 옵션 필드(205)는 보안 설정에 따라 OTP 발송 시점, PC와 같이 OTP인증 수신이 불가한 경우 전화번호를 추가로 선택할 수 있는 정보가 포함된다.
패스워드(PW) 사용 필드(207)는 도 2, 도 3과 같이 접속 프로파일을 사용자 단말(101, 111)이 관리하는 방식과, 도 4, 5와 같이 ID/PW를 이용하여 ePDG(107)가 접속 프로파일을 관리하는 방식으로 구분하기 위해 PW 사용 여부에 관한 정보가 포함된다. 이때, PW 미사용으로 설정되어 있으면, 도 2 및 도 3과 같이 접속 프로파일을 이용한 방식을 의미한다. 그리고 PW 사용으로 설정되어 있으면, 도 4, 5와 같이 ID/PW로 전용망 접속을 요청하는 방식을 의미한다.
OTP/PW 필드(209)는 OTP나 PW값을 임시 또는 영구 저장할 수 있는 필드에 해당된다.
키(Key) 필드(211)는 접속 프로파일 기반 사용자 인증인 경우, 통상 가입자 모듈(USIM)에서 사용하는 가상의 LTE Key 값이 저장된다.
도 9는 본 발명의 실시예에 따른 접속 프로파일을 나타낸 구성이다.
도 9를 참조하면, 접속 프로파일(300)은 ID(301), 가상 IMSI(303), 가상 MSDN(305), 가상 IMEI(International Mobile Equipment Identity)(307), APN(309), AMBR(Aggregate Maximum Bit Rate)(311), 프로토콜 구성 옵션(Protocol Configuration Option, PCO)(313), Serving Network(315), 위치 정보(317) 및 키(key)(319)를 포함한다.
ID(301)는 접속 프로파일 구분 단위 및 기준으로서, 전화번호 형태 또는 이메일(e-mail) 형태이다.
가상 IMSI(303), 가상 MSDN(305), 가상 IMEI(307)는 사용자 단말(101, 111)을 식별하기 위한 정보이다. 가상 IMSI(303)는 가입자 모듈(USIM)의 고유값에 해당한다. 가상 MSDN(305)은 전화번호에 해당된다. 가상 IMEI(307)는 단말 고유 구분 코드를 의미한다. 따라서, 가상 IMSI(303), 가상 MSDN(305), 가상 IMEI(307)는 모두 가상의 정보로서, 통신 사업자가 할당한 형태로 이루어진다.
APN(309)은 사설망을 구분하는 단위인 APN으로서, 전용망(121)에 대응된다.
AMBR(311)는 APN별로 정할 수 있는는 대역폭의 총합이다.
프로토콜 구성 옵션(PCO)(313)은 프로토콜의 옵션을 설정할 수 있는 정보로서, IP 버전 및 접속시 필요한 정보를 포함한다.
Serving Network(315)는 접속망 사업자 정보를 포함한다.
위치 정보(317)는 사용자 단말(101, 111)의 셀 ID 정보 또는 와이파이 식별자 또는 가상의 셀 정보를 포함한다.
키(key)(319)는 가입자 인증을 위한 키로서, 예를 들면 LTE K를 포함하며, 도 8의 키(211)와 동일하다. 여기서, 키(319)는 접속 프로파일에 선택적으로 포함될 수 있다. 한 예시에 따르면, 인증 서버(109)가 ePDG(107)에게 접속 프로파일을 전송하는 경우에는 포함되지 않을 수 있다.
이상의 도 8에서 설명한 인증 프로파일 및 도 9에서 설명한 접속 프로파일을구성하는 정보들은 필요에 따라 추가, 삭제, 변경 될 수 있으며 세부 프로파일의 구성이 일부 다르더라도 본 발명의 흐름에 크게 벗어 나지 않으면 본 발명 범주 내에 있다고 볼 수 있다.
이상 기술한 바에 따르면, 본 발명의 실시예에 따른 전용망 접속 제어 시스템은 3GPP에서 표준화된 ePDG를 이용하여 비신뢰 접속망을 통해 전용망 접속을 요청하는 사용자 단말을 전용망으로 접속시킨다.
또한, 와이파이(WiFi)망, 유선 LAN(Local Area Network), 타 사업자 LTE 접속망을 이용해서 IP를 획득한 사용자 단말이 전용망과 연결된 전용 PGW에 접속할 수 있도록 하고, 전용 PGW를 이용하여 단일한 접점 기준의 사용량 관리 및 제어가 가능하다.
또한, 타 통신 사업자 단말도 별도의 중계 단말 없이 전용 어플리케이션을 설치하는 것만으로 전용 PGW를 통해 전용망 접근이 가능하므로, 사용자의 통신사 선택 권한을 강화할 수 있다.
또한, CCTV와 같은 대용량 데이터를 전송하는 IoT 장비에서 LTE 무선 자원을 사용하지 않고, 와이파이(WiFi)나 LAN을 이용하여 전용망으로 접속이 가능하므로, 자원 효율성을 증가시키고, 안전하게 트래픽을 전용망으로 전송할 수 있다. 그리고 VPN 서버 구축 없이 전용 어플리케이션 설치만으로 전용망 접근이 가능하다.
한편, 통신 사업자들은 가입자를 위한 서비스 측면, 정부 방침 준용 등의 다양한 이유로 무료 와이파이(WiFi) 존을 확대하고 있다. 따라서, 원격지에서 공중 와이파이(Public WiFi) AP를 통하여 전용망에 접속하고자 하는 가입자 요구가 증가하고 있다. 또한, 기업 전용망 서비스를 이용하는 가입자는 보안 문제에 민감하다.따라서, 도 2에서와 같이, 단말에 접속 프로파일이 저장될 경우, 접속 프로파일의 유출 문제를 사전에 방어하기 위하여 인증 절차를 강화할 필요가 있다.
이하, 실시예는 비신뢰 접속망의 하나인 공중 와이파이(Public WiFi) AP를 통한 전용망 접속 제어와 보안 인증 강화를 위한 구성 및 방법을 제시한다.
도 10은 본 발명의 다른 실시예에 따른 비신뢰 접속망을 이용한 전용망 접속 제어 시스템의 구성도이고, 도 11은 도 10의 전용망 접속 인증 서버의 세부 구성을 나타낸 블록도이다.
도 10을 참조하면, 사용자 단말은 업무 단말(401)과 인증 단말(403)을 포함한다.
업무 단말(401)은 원격지에서 전용망(421)에 접속하여 전용망 서비스를 이용하고자 하는 단말이다. 업무 단말(401)은 와이파이(WiFi) 접속 기능을 구비하여, 공공 와이파이 AP(405)에 접속한다.
업무 단말(401)은 전용망 접속을 위한 전용 어플리케이션, 예를들면, VPN(Virtual Private Network) 클라이언트를 포함하고, 가입자 모듈(USIM)이 구비되지 않은 단말이다. 예를들면, 노트북, 태블릿 PC 등을 포함할 수 있다. 이때, 전용망 서비스는 기업 전용 LTE 서비스를 포함할 수 있다.
인증 단말(403)은 업무 단말(401)이 공공(Public) 와이파이 AP(405)를 통하여 전용망(421)에 접속하기 위한 인증을 수행하는 단말로서, 전용망 서비스에 가입된 단말이다. 인증 단말(403)은 통신 사업자의 메시지 서비스를 이용한 인증이 가능하도록 메시지 서비스 이용이 가능해야 하고, 예를들면, 스마트폰일 수 있다. 인증 단말(403)은 기지국(409)을 통해 전용망 접속 인증 서버(415)와 연결된다. 여기서, 도면에는 기지국(409)만 도시하였지만, 기본적으로, 기지국(409)은 전용 PGW(419)를 포함한 코어망(EPC)(미도시)에 연결되어 있다.
공공 와이파이 AP(405)는 불특정 다수를 대상으로 와이파이 서비스를 제공하는 AP로서, 전용망 서비스를 제공하는 통신 사업자가 보급한 AP이다. 공공 와이파이 AP(405)는 해당 통신 사업자의 가입 고객들을 위하여 와이파이를 통한 인터넷 접속 환경을 제공한다. 공공 와이파이 AP(405)는 인터넷(407)에 직접 접속되어 있다.
인터넷(407)은 공중 인터넷망을 의미하며 공인 IP로 글로벌(global) 연결성을 보장한다.
ePDG(411)는 업무 단말(401)에서 실행된 VPN 클라이언트와 IKEv2 통신 및 IPSec 통신을 수행한다. ePDG(411)는 도 1 ~ 도 9에서 설명한 접속 프로파일을 이용한 AAA 인증 및 전용 PGW(419)와 연동하여 세션 생성을 수행한다.
와이파이 인증 서버(413)는 업무 단말(401)의 VPN 클라이언트가 공공 와이파이 AP(405)에 접속하기 위한 임시 계정을 생성하고, 임시 계정에 할당된 ID 및 패스워드(PW)를 이용하여 업무 단말(401)을 공공 와이파이 AP(405)에 접속시키기 위한 접속 인증을 수행한다.
전용망 접속 인증 서버(415)는 ePDG(411), 와이파이 인증 서버(413), 청약 시스템(417) 및 메시지 서비스 센터(423)와 연동하여 동작하며, 기능에 따라 구성을 세분화하면, 도 11과 같다.
도 11을 참조하면, 전용망 접속 인증 서버(415)는 가입자 정보 관리부(415-1), AP 접속 인증부(415-3), 가입자 인증부(415-5) 및 전용망 접속 인증부(415-7)를 포함한다.
가입자 정보 관리부(415-1)는 청약 시스템(417)과 온라인 상으로 연결되어 있다. 가입자 정보 관리부(415-1)는 가입자 프로파일을 관리한다. 여기서, 가입자 프로파일은 청약 시스템(417)으로부터 프로비저닝되고, 가입자의 인증정보, 접속 권한 정보, 접속이력 정보 등을 포함한다.
AP 접속 인증부(415-3)는 와이파이 인증 서버(413)와 연동하여 동작한다. 이때, AP 접속 인증부(415-3)는 와이파이 인증 서버(413)와 RESTFUL API나 TCP/IP(Transmission Control Protocol/Internet Protocol) 연동 등의 방법을 통해 연동할 수 있다. AP 접속 인증부(415-3)는 가입자 프로파일을 토대로 업무 단말(401)의 사용 권한을 확인하고, 와이파이 인증 서버(413)와 연동하여 업무 단말(401)의 공공 와이파이 AP(405) 접속 처리를 수행한다.
가입자 인증부(415-5)는 가입자 프로파일을 토대로 업무 단말(401)의 전용망 접속 권한을 확인하고, 메시지 서비스 센터(423)로 전용망 접속을 위한 OTP(One Time Password) 전송을 요청한다.
전용망 접속 인증부(415-7)는 ePDG(411)와 연동하여, 업무 단말(401)의 전용망 접속 인증을 수행한다. 전용망 접속 인증부(415-7)는 가입자 프로파일 및 OTP에 기초하여, 전용망 접속 인증을 수행한다.
이때, 전용망 접속 인증부(415-7)는 3GPP 표준의 PCRF 기능, AAA 기능을 포함할 수 있으며, 다이아미터(Diameter)와 라디우스(Radius)를 이용하여 ePDG(411), 전용 PGW(419)와 연동한다.
전용망 접속 인증부(415-7)는 ePDG(411)와 non SIM AAA 인증을 수행하는데, 한 실시예에 따르면, 전용망 접속 인증부(415-7)는 업무 단말(401)의 VPN 클라이언트에 저장된 접속 프로파일(예, vIMSI)을 토대로 ePDG(411)와 AAA 인증을 수행할 수 있다. 다른 실시예에 따르면, 전용망 접속 인증부(415-7)는 업무 단말(401)의 VPN 클라이언트로부터 전송되고, 도 4의 실시예에서 등록된 ID/PW를 토대로 ePDG(411)와 AAA 인증을 수행할 수 있다.
이때, 전용망 접속 인증 서버(415)는 도 1~ 도 9에서 설명한 인증 서버(109)에 추가로 포함되는 구성일 수 있다.
다시, 도 10을 참조하면, 전용 PGW(419)는 3GPP 표준의 PGW에 해당되며, Private LTE 기술에 따라 전용망 서비스를 위하여 일반 PGW와 구분된다. 전용 PGW(419)는 전용망(421)과 전용선 등을 통하여 직접 연동한다.
전용망(421)은 Private LTE 서비스를 제공받는 가입자의 전용망으로서, 통상적으로 사설 IP를 사용한다.
메시지 서비스 센터(423)는 통신 사업자가 운용하는 서버로서, SMS, MMS 등의 메시지 서비스 송수신을 처리한다. 메시지 서비스 센터(423)는 전용망 접속 인증 서버(415)의 요청에 따라 메시지를 인증 단말(403)로 전송한다.
도 12는 본 발명의 한 실시예에 따른 비신뢰 접속망에 접속하는 과정을 나타낸 흐름도이고, 도 13은 본 발명의 한 실시예에 따른 인증 단말의 화면 UI(User Interface)를 나타내며, 도 14는 본 발명의 한 실시예에 따른 인증 단말의 메시지 수신 화면을 나타낸다.
본 발명의 절차를 설명하기에 앞서, 사용자의 인증 단말(403)은 전용망 LTE가입자이고, 전용망 접근을 위해 업무 단말(401)의 계정 정보가 청약 시스템(417)을 통해 전용망 접속 인증 서버(415)에 청약되어 있으며, 전용망 접근을 위한 전용의 클라이언트, 예를들면, VPN 클라이언트가 업무 단말에 설치되어 있음을 전제로 한다.
먼저, 도 12를 참조하면, 사용자가 인증 단말(403)에서 인터넷 사용 버튼을 클릭(S701)하면, 전용망 접속 인증 서버(415)에게 공공 와이파이 AP 접속 요청을 전송한다(S703). 즉, 사용자가 회사 외부에서 업무 단말(401), 예를들면, 노트북등으로 전용망에 접근하고자 할 때, 사용자의 인증 단말(403)에 설치된 VPN 클라이언트를 실행하면, 도 13과 같이, 화면 UI(500)가 제공된다.
도 13을 참조하면, 화면 UI(500)는 전용망 LTE (스마트폰) 메뉴(501)와, 전용망 LTE (업무 단말) 메뉴(503)를 포함한다. 전용망 LTE (스마트폰) 메뉴(501)는 미접속 또는 접속을 선택할 수 있도록 구성되고, 인증 단말(403)에서 전용망(421)에 접속하기 위한 메뉴이다. 전용망 LTE (업무 단말) 메뉴(503)는 인터넷 사용 항목(505) 및 사내망 접근 항목(507)을 포함한다.
인터넷 사용 항목(505)은 업무 단말(401)로 공공 와이파이 AP(405)에 접속하기 위한 항목이다. 전용망 접근 항목(507)은 업무 단말(401)이 전용망에 접속하기 위한 항목이다.
다시, 도 12를 참조하면, 사용자가 인터넷 사용 항목(505)을 클릭(S701)하면, 인증 단말(403)은 공공 와이파이 AP 접속을 요청하는 HTTP REQUEST를 전용망 접속 인증 서버(415)에게 전송할 수 있다(S703).
전용망 접속 인증 서버(415)의 AP 접속 인증부(415-3)는 인증 단말(403)의 전화번호를 토대로 가입자 프로파일을 확인하여, 업무 단말(401)의 인터넷 사용 권한이 있는지 확인한다(S705).
AP 접속 인증부(415-3)는 업무 단말(401)의 인터넷 사용 권한이 있다고 판단되면, 와이파이 인증 서버(413)에게 임시 계정을 요청한다(S707).
와이파이 인증 서버(413)는 임시 계정을 생성(S709)하고, 임시 계정의 ID 및 비밀번호(PassWord)를 포함하는 임시 계정 응답을 AP 접속 인증부(415-3)에게 전송한다(S711). 그러면, AP 접속 인증부(415-3)는 인증 단말(403)에게 공공 와이파이 AP 접속 응답, 즉, HTTP REQUEST에 대한 HTTP RESPONSE를 전송한다(S713). 동시에, 메시지 서비스 센터(423)에게 임시 계정의 ID 및 비밀번호(PassWord)를 전달하여 인증 단말(403)로의 메시지 전송을 요청한다(S715).
AP 접속 인증부(415-3)는 S715 단계에서 요청받은 임시 계정 정보 메시지를 인증 단말(403)로 전송한다(S717).
한 실시예에 따르면, 와이파이 인증 서버(413)는 임시 계정의 사용 기한을 특정할 수 있으며, 임시 계정 정보 메시지는 도 14와 같이 구현될 수 있다.
도 14를 참조하면, 임시 계정 정보 메시지(P1)는 "(0103333444)님의 요청으로 WiFi 임시 계정이 발급되었으며, 2017.4.7.15시까지 유효합니다. [Id:ps001, pw: qw1234!"라는 문구를 포함한다. 여기서, (0103333444)는 인증 단말(403)의 전화번호를 지칭한다. 또한, 임시 계정이 유효한 시간 정보를 포함한다.
이때, 임시 계정 정보를 HTTP RESPONSE가 아닌, 별도의 메시지 전송을 통해전달하는 이유는 USIM 제거, USIM 변경, 전화번호 변경 등에 대해 해당 사용자에 대한 실시간 인증이 가능해져서 보안이 보다 강화되기 때문이다.
다시, 도 12를 참조하면, 업무 단말(401)은 와이파이 접속 화면을 실행하여S717 단계에서 수신한 임시 계정 정보, 즉, 도 14의 Id, pw를 입력(S719)하여, 공공 와이파이 AP(405)로 접속을 요청한다(S721).
공공 와이파이 AP(405)는 와이파이 인증 서버(413)와 접속 인증을 수행한다(S723). 즉, 공공 와이파이 AP(405)는 S721 단계에서 수신한 임시 계정 정보가 S709 단계에서 생성된 임시 계정 정보와 일치하는지 판단한다. 예를들면, 도 14의 Id, pw가 S709 단계에서 생성된 정보와 일치하는지 판단한다.
접속 인증에 성공하면, 공공 와이파이 AP(405)는 업무 단말(401)에게 접속 허가를 전송한다(S725). 그러면, 업무 단말(401)은 공공 와이파이 AP(405)를 거쳐 인터넷(407)에 연결된다(S727).
이상 기술한 S701 단계 ~ S727 단계는 도 3의 S201 단계 또는 도 5의 S401 단계 이전에 수행될 수 있다.
도 15는 본 발명의 다른 실시예에 따른 전용망 접속 제어 과정을 나타낸 순서도이고, 도 16은 본 발명의 실시예에 따른 전용망 접속 화면의 구성을 나타낸다.
이때, 사용자의 업무 단말(401)은 인터넷 사용의 경우, 별도 VPN 클라이언트 없이 접속 및 사용이 가능하다. 하지만, 전용망 접근을 원하는 경우, 사전에 VPN 클라이언트를 설치해야 하고, 전용망 접속을 위한 ID 및 PW를 별도로 부여 받아 사용함을 전제로 한다. 이러한 ID 및 PW는 전술한 바와 같이 ePDG가 접속 프로파일 획득할 때 사용하는 ID/PW와 동일하다.
도 15를 참조하면, 사용자가 단순 인터넷 업무 이외에 원격으로 전용망 접속을 원하는 경우, 사용자 인증 단말(403)의 전용 앱 UI, 즉, 도 13의 항목(503) 중에서 "전용망 접근" 항목(507)을 클릭(S801)하면, 전용망 접속 인증 서버(415)로 전용망 접속 요청을 전송한다(S803). 이때, 전용망 접속을 요청하는 HTTP REQUEST를 전송할 수 있다.
그러면, 전용망 접속 인증 서버(415)의 가입자 인증부(415-5)는 S803 단계에서 수신한 전용망 접속 요청에 기초하여 업무 단말(401)의 전용망 접속 요청임을 인지한다. 가입자 인증부(415-5)는 인증 단말(403)의 전화번호에 기초하여 가입자 프로파일을 확인하여 업무 단말(401)의 접속 권한 정보를 확인한다(S805). 업무 단말(401)이 전용망 접속 권한이 부여된 단말로 확인되면, 전용망 접속 요청에 응답하는 HTTP RESPONSE를 인증 단말(403)로 전송한다(S807).
가입자 인증부(415-5)는 OTP를 생성(S809)하여, 메시지 서비스 센터(423)에게 OTP 전송을 요청한다(S811). 그러면, 메시지 서비스 센터(423)는 OTP 메시지를 인증 단말(403)로 전송하며, 이때, OTP 메시지는 도 14와 같이 구현될 수 있다.
도 14를 참조하면, OTP 메시지는 "(0103333444)님의 요청으로 전용망 접근을위한 OTP가 발급되었으며, 재접속시 다시 신청하시기 바랍니다. [OTP: !^new5678]"라는 문구를 포함할 수 있다.
다시, 도 15를 참조하면, 업무 단말(401)은 사용자로부터 도 16과 같은 전용망 접속 화면에 접속 정보, 즉, ID, PW, OTP를 입력(S815)받은 후, ePDG(411)에게 전용망 접속 요청을 전송한다(S817). 이때, 전용망 접속 요청은 업무 단말(401)의 VPN 클라이언트에 이미 포함된 vIMSI와 S815 단계에서 입력된 OTP, ID/PW를 포함한다.
ePDG(411)는 전용망 접속 인증 서버(415)의 전용망 접속 인증부(415-7)와 접속 인증을 수행한다(S819). 이때, S819 단계는 접속 프로파일을 토대로 접속 인증, 즉, AAA 인증을 한다는 점에서 도 5의 S421 단계와 유사하다. 특히, 업무 단말(401)의 접속 프로파일은 도 5의 S421 단계에서처럼, ePDG(411)가 도 4를 통해 사전에 등록하고, S815 단계에서 입력한 ID/PW에 매칭되는 접속 프로파일을 획득한다.
그러나, S819 단계가 도 5의 S421 단계와 다른 점은 OTP 인증을 추가로 한다는 점이다. 전용망 접속 인증부(415-7)는 ID/PW에 매칭되는 접속 프로파일 인증을 수행하고, OTP가 S809 단계에서 생성한 OTP인지를 판단하는 인증을 수행한다. 이 실시예에서는 업무 단말(401)이 전용망에 접속할 때마다 S801 단계 ~ S813 단계가 수행되고, OTP 인증을 추가로 한다.
ePDG(411)는 S819 단계에서 접속 인증에 성공하면, 전용 PGW(419)에게 세션 생성 요청을 전송한다(S821). 전용 PGW(419)는 전용망 접속 인증 서버(415)와 PDN(Packet Data Network) 인증을 수행한다(S823). 전용망 접속 인증부(415-7)는 접근 정책 또는 전용망 접속 제어 정보(트래픽 제어 정보 등)을 전용 PGW(419)에게 전송한다.
전용 PGW(419)에게 PDN 인증이 정상적으로 처리되었다면, 세션 생성 응답에 전용망 IP 정보를 포함시켜, ePDG(411)에게 전송한다(S825).
ePDG(411)는 전용망 IP 정보를 포함하는 전용망 접속 응답을 업무 단말(401)로 전송한다(S827).
그러면, 업무 단말(401)과 ePDG(411)간 IPSec 터널링(S829)이 생성되며, ePDG(411)와 전용 PGW(419) 간에는 GTP 터널링(s831)이 생성되어, 업무 단말(401)은 전용망(421)에 접속한다.
이와 같이, 본 발명에서는 ID/PW외 추가로 OTP 정보를 입력받아 인증함으로써, 업무 단말(401)의 분실이나 도난시에는 접속이 불가능하게 할 수 있다.
이상의 실시예는 공공 와이파이 AP를 통해 전용망에 접속하는 경우를 설명하였으나, 도 15는 사설 와이파이 AP, 즉, 사용자가 임시 계정이 아닌, 가입자 계정을 통해 사설 와이파이 AP에 접속한 이후, S801 단계를 수행할 수도 있다.
이러한 실시예에 따르면, 서비스 이용자는 전용망 LTE 인증을 통해 외부에서도 업무 단말(401), 즉, VPN 클라이언트가 설치되고 와이파이 접속만 가능한 업무 단말(401)로 공공 와이파이 AP(405)에 접속하여 인터넷을 사용할 수 있다. 그리고 원격 전용망 접속 기능 또한 사용할 수 있다. 또한, 기본 인증시 인증 단말(403)과 연동하여 메시지 서비스, 예를들면, SMS 방식의 OTP 인증을 통하여 강력한 사용자 인증 기능을 제공할 수 있다.
따라서, 가입자 구성원(이용자)은 해당 통신 사업자의 공공 와이파이 AP 접속 계정을 별도 신청하지 않고, 인증 단말(403)을 통한 전용망 LTE 인증으로 업무 단말(401)로 인터넷을 사용할 수 있다.
또한, 가입자 구성원(이용자)은 업무 단말(401)의 인터넷 접속 상태에서 VPN서버를 접속하지 않고 전용망 LTE 인증을 통해 OTP를 부여받고 업무 단말(401)로 전용망(421)에 접근할 수 있다. 그리고 업무 단말(401)로 전용망 접근시 OTP 인증을 함께 사용해 전용망(421)의 보안성을 보다 높일 수 있다.
또한, 관리자는 VPN 서버를 별도로 운용하지 않고 도 13과 같이 전용망 LTE 관리 화면으로 업무 단말(401), 인증 단말(403)의 접속 이력을 통합 관리할 수 있다.
한편, 도 17은 본 발명의 실시예에 따른 단말의 하드웨어 블록도로서, 도 1 ~ 도 16에서 설명한 사용자 단말(101, 111), 업무 단말(401), 인증 단말(403) 각각의 하드웨어 구성을 나타낸다.
도 17을 참조하면, 단말(600)은 메모리 장치(601), 저장 장치(603), 통신 장치(605), 디스플레이(607) 및 프로세서(609) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 16을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)들을 포함하고, 메모리 장치(601) 및 프로세서(609) 등의 하드웨어와 결합하여 본 발명을 구현한다.
도 18은 본 발명의 실시예에 따른 네트워크 장치의 하드웨어 블록도로서, 도 1 ~ 도 16에서 설명한 ePDG(107, 411), 인증 서버(109), 자사 PGW(117), 와이파이 인증 서버(413), 전용망 접속 인증 서버(415), 전용 PGW(419) 각각의 구성을 나타낸다.
도 18을 참조하면, 네트워크 장치(700)는 메모리 장치(701), 저장 장치(703), 통신 장치(705) 및 프로세서(707) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 16을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어들을 포함하고, 메모리 장치(701) 및 프로세서(707) 등의 하드웨어와 결합하여 본 발명을 구현한다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (28)

  1. 사용자 단말의 접속 프로파일을 저장하고, 상기 접속 프로파일을 토대로 상기 사용자 단말이 전용망에 접속할 수 있는 권한이 있는지 판단하는 접속 프로파일 인증을 수행하는 인증 서버, 그리고
    비신뢰 접속망을 통하여 상기 사용자 단말로부터 전용망 접속 요청을 수신하고, 상기 전용망 접속 요청으로부터 추출한 상기 사용자 단말의 접속 프로파일을 이용하여 상기 인증 서버와 접속 프로파일 인증을 수행한 후, 상기 접속 프로파일 인증에 성공하면, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)를 포함하고,
    상기 비신뢰 접속망은,
    망 접속시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하며,
    상기 인증 서버는,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 전용망 접속 요청을 수신하기 이전에, 상기 사용자 단말을 대상으로 OTP(One Time Password) 인증을 수행하고, 상기 OTP 인증에 성공하면, 기 저장된 접속 프로파일을 상기 사용자 단말로 전송하는, 전용망 접속 제어 시스템.
  2. 제1항에서,
    상기 접속 프로파일은,
    가상 IMSI(International Mobile Subscriber Identify), 가상 MSDN(Mobile Subcriber Directory Number), 가상 IMEI(International Mobile Equipment Identity) 중에서 적어도 하나를 포함하는 단말 식별 정보, 전용망을 구분하는 단위인 APN(Access Point Name) 및 가입자 인증키를 포함하는, 전용망 접속 제어 시스템.
  3. 삭제
  4. 제1항에서,
    상기 인증 서버는,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 사용자 단말의 전용망 접속 요청을 수신하기 전에, 상기 사용자 단말과 별개의 인증 단말로부터 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 일회용 패스워드(OTP)를 전송하고,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 요청이 수신되면, 상기 접속 프로파일 인증과 함께 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
    상기 인증 서버가 상기 인증들에 모두 성공하면, 상기 통신 세션 생성을 요청하고,
    상기 전용망 접속 인증 요청은, 이동통신망을 통하여 전달되고,
    상기 전용망 접속 요청은, 비신뢰 접속망을 통하여 전달되는, 전용망 접속 제어 시스템.
  5. 제4항에서,
    상기 인증 서버는,
    상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 사용자 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송하는, 전용망 접속 제어 시스템.
  6. 제5항에서,
    상기 인증 서버는,
    상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행하는, 전용망 접속 제어 시스템.
  7. 제1항에서,
    상기 인증 서버는,
    상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 인증 요청을 수신하여, 상기 인증 요청에 포함된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션으로부터 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말로 전송하고,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
    상기 접속 프로파일이 포함된 전용망 접속 요청을 상기 사용자 단말로부터 수신하는, 전용망 접속 제어 시스템.
  8. 사용자 단말의 접속 프로파일을 저장하고, 상기 접속 프로파일을 토대로 상기 사용자 단말이 전용망에 접속할 수 있는 권한이 있는지 판단하는 접속 프로파일 인증을 수행하는 인증 서버, 그리고
    비신뢰 접속망을 통하여 상기 사용자 단말로부터 전용망 접속 요청을 수신하고, 상기 전용망 접속 요청으로부터 추출한 ID 및 패스워드를 이용하여 상기 인증 서버로부터 접속 프로파일을 획득하며, 획득한 접속 프로파일을 토대로 상기 인증 서버와 접속 프로파일 인증을 수행한 후, 상기 접속 프로파일 인증에 성공하면, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)를 포함하고,
    상기 비신뢰 접속망은,
    망 접속시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하며,
    상기 인증 서버는,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 수신한 ID 및 패스워드가 기 등록된 정보인 경우, 기 저장된 접속 프로파일을 상기 진화된 패킷 데이터 게이트웨이(ePDG)로 전송하는, 전용망 접속 제어 시스템.
  9. 제8항에서,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
    상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말의 접속 이력과 함께 로컬 캐시에 저장하고,
    상기 전용망 접속 요청이 수신되면, 상기 로컬 캐시에 저장된 접속 프로파일이 없을 경우에, 상기 인증 서버에게 요청하여 수신하는, 전용망 접속 제어 시스템.
  10. 제8항에서,
    상기 인증 서버는,
    상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 등록 요청이 수신되면, 상기 등록 요청에 포함된 상기 ID 및 패스워드를 등록하고,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 수신된 ID 및 패스워드가 기 등록된 정보인 경우, 상기 사용자 단말의 접속 프로파일을 전송하는, 전용망 접속 제어 시스템.
  11. 제10항에서,
    상기 인증 서버는,
    상기 ID 및 패스워드를 통해 확인된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 진화된 패킷 데이터 게이트웨이(ePDG)로 전송하고,
    상기 전용 어플리케이션으로부터 수신된 전화번호로 OTP를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 전용 어플리케이션으로부터 등록 요청된 ID 및 패스워드를 등록하는, 전용망 접속 제어 시스템.
  12. 제11항에서,
    상기 인증 서버는,
    상기 사용자 단말의 ID 별로 OTP 인증 여부를 나타내는 OTP 인증 옵션 정보, 패스워드 사용 여부를 나타내는 패스워드 사용 정보, OTP 및 패스워드를 저장하는 OTP/패스워드 정보 및 가입자 인증키를 저장하는 인증 프로파일을 생성하여 관리하고,
    상기 인증 프로파일을 이용하여 상기 사용자 단말에 대한 사용자 인증을 수행하는, 전용망 접속 제어 시스템.
  13. 삭제
  14. 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)가 사용자 단말의 전용망 접속을 제어하는 방법으로서,
    사용자 단말로부터 비신뢰 접속망을 통하여 전용망 접속 요청을 수신하는 단계,
    상기 전용망 접속 요청으로부터 접속 프로파일을 추출하는 단계,
    인증 서버와 연동하여, 상기 추출한 접속 프로파일을 토대로 상기 사용자 단말이 전용망 접속 권한이 있는지 판단하는 접속 프로파일 인증을 수행하는 단계,
    상기 접속 프로파일 인증에 성공하면, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 단계를 포함하고,
    상기 비신뢰 접속망은,
    망 접속시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하고,
    상기 접속 프로파일은,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 전용망 접속 요청을 수신하기 이전에, 상기 인증 서버에 의해 상기 사용자 단말을 대상으로 수행된 OTP(One Time Password) 인증이 성공한 경우, 상기 인증 서버로부터 상기 사용자 단말로 전송되는, 전용망 접속 제어 방법.
  15. 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)가 사용자 단말의 전용망 접속을 제어하는 방법으로서,
    사용자 단말로부터 비신뢰 접속망을 통하여 전용망 접속 요청을 수신하는 단계,
    상기 전용망 접속 요청에 ID 및 패스워드가 포함된 경우, 상기 ID 및 패스워드를 인증 서버로 전송하는 단계,
    상기 ID 및 패스워드로부터 확인된 접속 프로파일을 상기 인증 서버로부터 수신하는 단계,
    수신한 접속 프로파일을 토대로 상기 인증 서버와 연동하여 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 판단하는 접속 프로파일 인증을 수행하는 단계, 그리고
    상기 접속 프로파일 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 통신 세션 생성을 요청하는 단계를 포함하고,
    상기 비신뢰 접속망은,
    망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하고,
    상기 접속 프로파일은,
    상기 사용자 단말을 식별할 수 있는 정보 및 상기 사용자 단말이 네트워크 접속시 필요한 정보를 포함하는, 전용망 접속 제어 방법.
  16. 제14항에서,
    상기 요청하는 단계 이후,
    상기 전용망에 통신 세션이 연결된 사용자 단말로부터 위치 정보 업데이트를수신하는 단계,
    상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 업데이트된 위치 정보를 포함하는 베어러 변경 메시지를 전송하여 베어러 변경 응답 메시지를 수신하는 단계, 그리고
    상기 사용자 단말에게 위치 정보 업데이트 완료를 전송하는 단계
    를 포함하는, 전용망 접속 제어 방법.
  17. 제14항에서,
    상기 수신하는 단계 이전에,
    상기 사용자 단말과 별개의 인증 단말로부터 수신되는 전용망 접속 인증 요청에 따라 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하는 단계를 더 포함하고,
    상기 요청하는 단계는,
    상기 인증 서버가 상기 접속 프로파일을 이용한 인증과, 상기 일회용 패스워드가 유효한지 여부를 판단하는 인증을 모두 성공하면, 상기 통신 세션 생성을 요청하는, 전용망 접속 제어 방법.
  18. 비신뢰 접속망을 통하여 전용망에 접속하는 사용자 단말로서,
    상기 비신뢰 접속망에 접속하는 통신 장치, 그리고
    상기 전용망에 접속하기 위한 접속 요청 신호를 상기 통신 장치를 통해 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)에게 전송하는 프로세서를 포함하고,
    상기 접속 요청 신호는,
    접속 프로파일, 또는 ID 및 패스워드를 선택적으로 포함하고,
    상기 접속 프로파일은,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)가 인증 서버와 연동하여 상기 사용자 단말이 전용망 접속 권한이 있는지 판단하는 접속 프로파일 인증에 사용되며,
    상기 접속 요청 신호에 포함된 접속 프로파일은,
    상기 접속 요청 신호가 전송되기 이전에 인증 서버에 의해 상기 사용자 단말을 대상으로 수행된 OTP(One Time Password) 인증이 성공하는 경우, 인증 서버로부터 수신되고,
    상기 접속 요청 신호에 포함된 ID 및 패스워드가,
    사전에 인증 서버에 등록된 정보와 일치하면, 인증 서버로부터 상기 진화된 패킷 데이터 게이트웨이(ePDG)로 상기 접속 프로파일이 전송되는, 사용자 단말.
  19. 제18항에서,
    상기 프로세서는
    상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 응답을 수신하여 상기 전용망에 연결된 이후,
    감시 타이머를 구동하여 상기 감시 타이머가 만료하면, 현재 위치 정보를 포함하는 위치 정보 업데이트를 상기 진화된 패킷 데이터 게이트웨이(ePDG)에게 전송하는, 사용자 단말.
  20. 제18항에서,
    상기 비신뢰 접속망은,
    망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하는, 사용자 단말.
  21. 불특정 다수에게 제공되는 공공(Public) 와이파이(WiFi) AP(Access Point)와 연결되어, 상기 공공 와이파이 AP를 통하여 업무 단말로부터 수신한 임시 계정 정보가 유효한지 판단하는 접속 인증을 수행하고, 상기 임시 계정 정보가 유효하면, 상기 업무 단말의 상기 공공 와이파이 AP 접속을 허가하는 와이파이 인증 서버, 그리고
    이동통신망을 통하여 수신한 인증 단말의 요청에 따라 상기 임시 계정 정보를 상기 와이파이 인증 서버로부터 획득하여, 상기 인증 단말로 전송하는 전용망 접속 인증 서버를 포함하고,
    상기 업무 단말로부터 수신한 임시 계정 정보는,
    상기 인증 단말이 수신한 상기 임시 계정 정보를 상기 업무 단말이 사용자로부터 입력받은 것인, 전용망 접속 제어 시스템.
  22. 제21항에서,
    상기 전용망 접속 인증 서버는,
    가입자의 업무 단말 정보 및 인증 단말 정보를 포함하는 가입자 프로파일을 저장하고,
    상기 이동통신망을 통하여 상기 인증 단말로부터 상기 업무 단말의 공공 와이파이 AP 접속 요청이 수신되면, 상기 가입자 프로파일을 토대로 상기 업무 단말의 사용 권한을 확인하고, 상기 사용 권한이 있다고 판단되면, 상기 와이파이 인증 서버에게 상기 임시 계정을 요청하는, 전용망 접속 제어 시스템.
  23. 제22항에서,
    상기 전용망 접속 인증 서버는,
    상기 공공 와이파이 AP 접속 요청에 대한 응답 전송과, 상기 임시 계정 정보의 전송을 별개로 수행하고,
    통신 사업자의 메시지 서비스를 이용하여 상기 임시 계정 정보를 상기 인증 단말로 전송하는, 전용망 접속 제어 시스템.
  24. 제23항에서,
    상기 업무 단말의 공공 와이파이 AP 접속 요청은,
    상기 인증 단말의 전용 어플리케이션 메뉴 중에서, 상기 업무 단말의 인터넷 사용이 선택되는 이벤트에 의하여 트리거되고,
    상기 전용 어플리케이션 메뉴는,
    상기 인증 단말을 통한 전용망 접속 온오프 설정 메뉴와, 상기 업무 단말의 인터넷 사용 및 전용망 접속을 포함하는 업무 단말 설정 메뉴로 구분되는, 전용망 접속 제어 시스템.
  25. 제21항에서,
    상기 업무 단말로부터 전용망 접속 요청을 수신하고, 전용망으로 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(ePDG)를 더 포함하고,
    상기 전용망 접속 인증 서버는,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 전용망 접속 요청을 수신하기 전에, 상기 인증 단말로부터 상기 이동통신망을 통하여 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하고,
    상기 패킷 데이터 게이트웨이(ePDG)와 연동하여 상기 업무 단말의 접속 프로파일을 통한 인증 및 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며,
    상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
    상기 전용망 접속 인증 서버가 인증들에 모두 성공하는 경우, 상기 전용망으로 통신 세션 생성을 요청하는, 전용망 접속 제어 시스템.
  26. 제25항에서,
    상기 전용망 접속 인증 서버는,
    상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 업무 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송하는, 전용망 접속 제어 시스템.
  27. 제25항에서,
    상기 전용망 접속 인증 서버는,
    상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행하는, 전용망 접속 제어 시스템.
  28. 제25항에서,
    상기 전용망 접속 인증 서버는,
    상기 인증 단말과 HTTP 방식으로 요청 및 응답을 수신하는, 전용망 접속 제어 시스템.
KR1020170082623A 2017-02-22 2017-06-29 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말 KR102048469B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170023741 2017-02-22
KR1020170023741 2017-02-22

Publications (2)

Publication Number Publication Date
KR20180097113A KR20180097113A (ko) 2018-08-30
KR102048469B1 true KR102048469B1 (ko) 2020-01-08

Family

ID=63453698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170082623A KR102048469B1 (ko) 2017-02-22 2017-06-29 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말

Country Status (1)

Country Link
KR (1) KR102048469B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102236656B1 (ko) * 2020-06-23 2021-04-07 주식회사 이노스코리아 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114902789A (zh) * 2019-12-31 2022-08-12 华为技术有限公司 一种通信方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101338487B1 (ko) * 2010-12-21 2013-12-10 주식회사 케이티 I-wlan에서 인증 서버 및 그의 접속 인증 방법
JP6113921B2 (ja) * 2013-07-08 2017-04-12 コンヴィーダ ワイヤレス, エルエルシー Imsiレスデバイスからepcへの接続

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102236656B1 (ko) * 2020-06-23 2021-04-07 주식회사 이노스코리아 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법
WO2021261728A1 (ko) * 2020-06-23 2021-12-30 주식회사 이노스코리아 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법

Also Published As

Publication number Publication date
KR20180097113A (ko) 2018-08-30

Similar Documents

Publication Publication Date Title
US11089480B2 (en) Provisioning electronic subscriber identity modules to mobile wireless devices
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
CN110786034B (zh) 用于网络切片隐私考虑的方法、用户设备和功能节点
US11729619B2 (en) Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
EP3817423B1 (en) Network access method, related device, and system
US10129235B2 (en) Key hierarchy for network slicing
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
US10826945B1 (en) Apparatuses, methods and systems of network connectivity management for secure access
WO2017045123A1 (en) A method for secure wifi calling connectivity over managed public wlan access
CN111869182B (zh) 对设备进行认证的方法、通信系统、通信设备
US20140304777A1 (en) Securing data communications in a communications network
EP2317694B1 (en) Method and system and user equipment for protocol configuration option transmission
WO2016155012A1 (zh) 一种无线通信网络中的接入方法、相关装置及系统
RU2727160C1 (ru) Аутентификация для систем следующего поколения
CN113260016B (zh) 多模终端接入控制方法、装置、电子设备及存储介质
US20190223013A1 (en) Method for establishing public data network connection and related device
KR102207135B1 (ko) 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법
WO2018058365A1 (zh) 一种网络接入授权方法、相关设备及系统
EP3114865B1 (en) Using services of a mobile packet core network
KR102048469B1 (ko) 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말
KR102185215B1 (ko) 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법
KR102209289B1 (ko) 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
CN113498055B (zh) 接入控制方法及通信设备
KR20190050242A (ko) 동글의 동작 방법, 동글 및 네트워크 장치의 동작 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant