KR102076121B1 - Device and system for providing l2 network service - Google Patents

Device and system for providing l2 network service Download PDF

Info

Publication number
KR102076121B1
KR102076121B1 KR1020150169008A KR20150169008A KR102076121B1 KR 102076121 B1 KR102076121 B1 KR 102076121B1 KR 1020150169008 A KR1020150169008 A KR 1020150169008A KR 20150169008 A KR20150169008 A KR 20150169008A KR 102076121 B1 KR102076121 B1 KR 102076121B1
Authority
KR
South Korea
Prior art keywords
authentication
tagging
packet
gateway
layer
Prior art date
Application number
KR1020150169008A
Other languages
Korean (ko)
Other versions
KR20170005747A (en
Inventor
이정욱
김우태
이문상
이세희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20170005747A publication Critical patent/KR20170005747A/en
Application granted granted Critical
Publication of KR102076121B1 publication Critical patent/KR102076121B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 장치는 사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부 및 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성하는 인증키 생성부를 포함하고, 인증키 생성부는 인증 게이트웨이로 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고, 인증 게이트웨이로부터 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고, 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고, 가상 댁내 장치에 의해 사용자 단말이 아이피 주소를 할당받도록 구성된다. An apparatus for providing a network service based on the second layer (L2) may be configured to perform an inner tagging and an outer tagging on a packet received from a user terminal, and to generate a subscriber authentication key based on the inner tagging and the outer tagging. A key generation unit, and the authentication key generation unit transmits authentication request information including the subscriber authentication key generated to the authentication gateway, and receives the authentication result processed by the authentication server based on the authentication request information transmitted from the authentication gateway. The IP allocation request is transmitted to the virtual premises device based on the authentication result, and the user terminal is assigned an IP address by the virtual premises device.

Description

제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템{DEVICE AND SYSTEM FOR PROVIDING L2 NETWORK SERVICE}DEVICE AND SYSTEM FOR PROVIDING L2 NETWORK SERVICE}

본 발명은 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템에 관한 것이다. The present invention relates to an apparatus and system for providing a network service based on a second layer.

홈 게이트웨이(Home Gateway)란, 홈 네트워크와 외부 통신 서비스 간에 상호 접속 또는 중계하는 장치를 말한다. 홈 게이트웨이는 상위 계층에 미들웨어 기술을 부가함으로써, 가정에서 사용자에게 다양한 멀티미디어 서비스를 제공할 수 있다. 또한, 홈 게이트웨이는 웹 서버, 멀티미디어 서버, 홈 자동화 서버 등의 각종 서버 기능을 통합하여 홈 서버로서의 복합 기능을 수행하기도 한다. A home gateway refers to a device that interconnects or relays between a home network and an external communication service. The home gateway can provide a variety of multimedia services to the user at home by adding middleware technology to the upper layer. In addition, the home gateway may integrate various server functions such as a web server, a multimedia server, and a home automation server to perform a complex function as a home server.

이러한 홈 게이트웨이와 관련하여, 선행기술인 한국공개특허 제 2009-0060700호는 네트워크 프로토콜 기반의 소비전력 절감형 홈 게이트웨이 및 그 제어 방법에 대해 개시하고 있다. In relation to such a home gateway, Korean Patent Laid-Open Publication No. 2009-0060700 discloses a power consumption-saving home gateway based on a network protocol and a control method thereof.

최근의 홈 게이트웨이는 자동으로 IP 할당을 위한 DHCP 및 NAT 기능, 패킷 필터링을 위한 방화벽 기능 등 OSI 7 계층의 제 3 계층(L3)의 주요 네트워크 기능을 포함하고 있다. 그러나 홈 게이트웨이에 다양한 기능이 탑재되면서, 잦은 고장 발생의 원인이 되고 있다. Recent home gateways include key network functions of the third layer (L3) of the OSI 7 layer, such as DHCP and NAT functions for IP assignment and firewall functions for packet filtering. However, as the home gateway is loaded with various functions, it is a cause of frequent failures.

종래의 댁내 홈 게이트웨이의 L3 기반의 액세스 네트워크에서 라우팅 등의 네트워크 기능을 제거하여, 액세스 네트워크를 L2로 단순하게 구성할 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공하고자 한다. 홈 게이트웨이의 네트워크 기능을 가상화시킴으로써, 홈 게이트웨이에서 발생되는 고장 원인을 제거하고, 관리 및 운영비용을 절감할 수 있는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공하고자 한다. 또한, 신규 네트워크 서비스의 적용 시, 홈 게이트웨이의 소프트웨어 업그레이드 또는 홈 게이트웨이의 교체 없이, 가상화 환경에서 신규 네트워크 서비스를 적용시킬 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공하고자 한다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.In order to provide an apparatus and system for providing a network service based on a second layer that can easily configure an access network as L2 by removing a network function such as routing from an L3 based access network of a conventional home gateway. do. By virtualizing the network function of the home gateway, it is intended to provide an apparatus and system for providing a network service based on a second layer that can eliminate a cause of a failure occurring in the home gateway and reduce management and operation costs. In addition, when applying a new network service, to provide a device and system that provides a network service based on the second layer that can be applied to the new network service in a virtualized environment, without a software upgrade of the home gateway or replacement of the home gateway. do. However, the technical problem to be achieved by the present embodiment is not limited to the technical problems as described above, and other technical problems may exist.

상술한 기술적 과제를 달성하기 위한 수단으로서, 본 발명의 일 실시예는, 사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부 및 상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하는 인증키 생성부를 포함하고, 상기 인증키 생성부는 인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고, 상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고, 상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고, 상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것인 제 2 계층 기반 네트워크 장치를 제공할 수 있다. As a means for achieving the above-described technical problem, an embodiment of the present invention, a tagging unit for performing inner tagging and outer tagging for a packet received from a user terminal and subscriber authentication based on the inner tagging and the outer tagging An authentication key generation unit for generating a key, wherein the authentication key generation unit transmits authentication request information including the generated subscriber authentication key to an authentication gateway, and is based on the authentication request information transmitted from the authentication gateway. Receiving an authentication result processed by the second terminal, transmitting an IP allocation request to the virtual indoor device based on the authentication result, and the user terminal is configured to be assigned an IP address by the virtual indoor device. A network device can be provided.

또한, 본 발명의 다른 실시예는, 제 2 계층 기반 네트워크 장치 및 인증 게이트웨이를 포함하고, 상기 제 2 계층 기반 네트워크 장치는 사용자 단말로부터 패킷을 수신하고, 상기 패킷에 이너 태깅 및 아우터 태깅을 수행하고, 상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하고, 인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고, 상기 인증 게이트웨이는 상기 가입자 인증키에 기초하여 인증 서버로 상기 인증 요청 정보를 전달하고, 상기 인증 서버부터 인증 결과를 수신하고, 상기 제 2 계층 기반 네트워크 장치로 상기 인증 결과를 전달하고, 상기 제 2 계층 기반 네트워크 장치는 상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고, 상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것인 제 2 계층 기반 네트워크 시스템을 제공할 수 있다. Further, another embodiment of the present invention includes a second layer-based network device and an authentication gateway, wherein the second layer-based network device receives a packet from a user terminal, performs inner tagging and outer tagging on the packet, Generate a subscriber authentication key based on the inner tagging and the outer tagging, and transmit authentication request information including the generated subscriber authentication key to an authentication gateway, wherein the authentication gateway is based on the subscriber authentication key The authentication request information is transmitted to the second layer-based network device, the authentication result is received from the authentication server, and the second layer-based network device is based on the authentication result. Send the IP allocation request to the device, and use it by the virtual premise device It is possible to provide a terminal of a second layer based network system is configured to receive the assigned IP address.

또한, 본 발명의 또 다른 실시예는, 사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부, 상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 세션키를 생성하는 세션키 생성부를 포함하고, 상기 세션키 생성부는 인증 게이트웨이를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이로 상기 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송하고, 상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고, 상기 인증 결과에 기초하여 상기 사용자 단말로 아이피 주소를 할당하도록 구성되는 것인 제 2 계층 기반 네트워크 장치를 제공할 수 있다. In addition, another embodiment of the present invention, a tagging unit for performing inner tagging and outer tagging for a packet received from a user terminal, a session key generation unit for generating a subscriber session key based on the inner tagging and the outer tagging And the session key generation unit transmits authentication request information including the generated subscriber session key to a broadband gateway to perform an authentication procedure through an authentication gateway, and based on the transmitted authentication request information from the authentication gateway. The second layer-based network device may be configured to receive an authentication result processed by an authentication server and to allocate an IP address to the user terminal based on the authentication result.

상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.The above-described problem solving means are merely exemplary, and should not be construed as limiting the present invention. In addition to the exemplary embodiments described above, there may be additional embodiments described in the drawings and detailed description of the invention.

전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 종래의 댁내 홈 게이트웨이의 L3 기반의 액세스 네트워크에서 라우팅 등의 네트워크 기능을 제거하여, 액세스 네트워크를 L2로 단순하게 구성할 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공할 수 있다. 홈 게이트웨이의 네트워크 기능을 가상화시킴으로써, 홈 게이트웨이에서 발생되는 고장 원인을 제거하고, 관리 및 운영비용을 절감할 수 있는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공할 수 있다. 또한, 신규 네트워크 서비스의 적용 시, 홈 게이트웨이의 소프트웨어 업그레이드 또는 홈 게이트웨이의 교체 없이, 가상화 환경에서 신규 네트워크 서비스를 적용시킬 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공할 수 있다.According to any one of the above-described problem solving means of the present invention, the second layer to remove the network function such as routing in the L3 based access network of the conventional home gateway, so that the access network can be simply configured as L2 It is possible to provide an apparatus and system for providing a network service based on the above. By virtualizing the network function of the home gateway, it is possible to provide an apparatus and system for providing a network service based on a second layer that can eliminate a cause of a failure occurring in the home gateway and reduce management and operation costs. In addition, when the new network service is applied, a device and system for providing a network service based on a second layer that enables the new network service to be applied in a virtualized environment without a software upgrade of the home gateway or replacement of the home gateway may be provided. Can be.

도 1은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다.
도 5는 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다.
도 6은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다.
도 7은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다.1 is a configuration diagram of a second layer-based network system according to an embodiment of the present invention.
2 is a block diagram of a second layer-based network device according to an embodiment of the present invention.
3 is a signal flow diagram illustrating a process of providing a network service based on a second layer in a second layer-based network system according to an embodiment of the present invention.
4 is a flowchart illustrating a method of providing a network service based on a second layer in a second layer-based network device according to an embodiment of the present invention.
5 is a configuration diagram of a second layer-based network device according to another embodiment of the present invention.
6 is a signal flowchart illustrating a process of providing a network service based on a second layer in a second layer-based network system according to another embodiment of the present invention.
7 is a flowchart illustrating a method of providing a network service based on a second layer in a second layer-based network device according to another embodiment of the present invention.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. Throughout the specification, when a part is "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another element in between. . In addition, when a part is said to "include" a certain component, which means that it may further include other components, without excluding other components, unless specifically stated otherwise, one or more other features It is to be understood that the present disclosure does not exclude the possibility of adding or presenting numbers, steps, operations, components, parts, or combinations thereof.

본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다.In the present specification, the term 'unit' includes a unit realized by hardware, a unit realized by software, and a unit realized by both. In addition, one unit may be realized using two or more pieces of hardware, and two or more units may be realized by one piece of hardware.

본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.Some of the operations or functions described as being performed by the terminal or the device in the present specification may instead be performed in a server connected to the terminal or the device. Similarly, some of the operations or functions described as being performed by the server may be performed by a terminal or a device connected to the server.

이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다. Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템의 구성도이다. 도 1을 참조하면, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140), 광대역 게이트웨이(미도시) 및 인증 서버(150)를 포함할 수 있다. 도 1에 도시된 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140), 광대역 게이트웨이(미도시) 및 인증 서버(150)는 제 2 계층 기반 네트워크 시스템(1)에 의하여 제어될 수 있는 구성요소들을 예시적으로 도시한 것이다. 1 is a configuration diagram of a second layer-based network system according to an embodiment of the present invention. Referring to FIG. 1, the second layer-based network system 1 may include a user terminal 110, a home gateway (not shown), a second layer-based network device 120, a virtual indoor device 130, and an authentication gateway 140. ), A broadband gateway (not shown), and an authentication server 150. A user terminal 110, a home gateway (not shown), a second layer-based network device 120, a virtual premises device 130, an authentication gateway 140, a broadband gateway (not shown), and an authentication server shown in FIG. 150 exemplarily illustrates components that can be controlled by the second layer-based network system 1.

도 1의 제 2 계층 기반 네트워크 시스템(1)의 각 구성요소들은 일반적으로 네트워크(network)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 제 2 계층 기반 네트워크 장치(120)는 네트워크를 통해 사용자 단말(110) 및 인증 게이트웨이(140)와 동시에 또는 시간 간격을 두고 연결될 수 있다. Each component of the second layer based network system 1 of FIG. 1 is generally connected via a network. For example, as shown in FIG. 1, the second layer-based network device 120 may be connected to the user terminal 110 and the authentication gateway 140 at the same time or at intervals through a network.

네트워크는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예는, Wi-Fi, 블루투스(Bluetooth), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 3G, 4G, 5G, LTE 등이 포함되나 이에 한정되지는 않는다.The network refers to a connection structure capable of exchanging information between respective nodes such as terminals and servers. An example of such a network includes Wi-Fi, Bluetooth, Internet, and LAN. Network, Wireless Local Area Network (WLAN), Wide Area Network (WAN), Personal Area Network (PAN), 3G, 4G, 5G, LTE, and the like, but are not limited thereto.

OSI(Open System Interconnection) 7 계층이란, 개방화된 데이터 통신 환경에서 사용하는 계층적 구현 모델의 표준으로, 물리 계층의 제 1 계층, 데이터 링크 계층의 제 2 계층, 네트워크 계층의 제 3 계층, 전송 계층의 제 4 계층, 세션 계층의 제 5 계층, 표현 계층의 제 6 계층 및 응용 계층의 제 7 계층을 포함할 수 있다. 여기서, 제 2 계층은 하나의 지국에서 다른 지국으로 오류 없는 데이터 전달 기능을 수행하며, 제 2 계층에 해당하는 장치로는 브릿지, 스위치 등을 포함할 수 있다. 제 3 계층은 다중 네트워크 링크를 통해 패킷의 발신지 대 목적지 전달 기능을 수행하며, 제 3 계층에 해당하는 장치로는 라우터, L3 스위치 등을 포함할 수 있다. The Open System Interconnection (OSI) 7 layer is a standard of the hierarchical implementation model used in an open data communication environment. The first layer of the physical layer, the second layer of the data link layer, the third layer of the network layer, and the transport layer And a fourth layer of, a fifth layer of a session layer, a sixth layer of a presentation layer, and a seventh layer of an application layer. Here, the second layer performs an error-free data transfer function from one station to another, and the device corresponding to the second layer may include a bridge, a switch, and the like. The third layer performs source-to-destination forwarding of packets through multiple network links, and the device corresponding to the third layer may include a router, an L3 switch, and the like.

일 실시예에서, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140) 및 인증 서버(150)를 포함할 수 있다. 여기서, 제 2 계층 기반 네트워크 시스템(1)은 제 2 계층에 액세스 스위치(Access Switch), 애그리게이션 스위치(Aggregation Switch), BNG(Broadband Network Gateway)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 가상 댁내 장치(130), 인증 게이트웨이(140), 인증 서버(150)를 제 3 계층으로 설정할 수 있다. In one embodiment, the second layer-based network system 1 includes a user terminal 110, a home gateway (not shown), a second layer-based network device 120, a virtual premises device 130, an authentication gateway 140. And an authentication server 150. Here, the second layer-based network system 1 includes a second layer-based network device 120 including an access switch, an aggregation switch, and a broadband network gateway (BNG) in the second layer. As the second layer, the virtual indoor device 130, the authentication gateway 140, and the authentication server 150 may be set as the third layer.

사용자 단말(110)은 인터넷 접속을 하기 위한 장치로서, 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다. 또한, 사용자 단말(110)은 제 2 계층 기반 네트워크 장치(120)를 통해 가상 댁내 장치(130)로부터 아이피 주소를 할당받을 수 있다. The user terminal 110 is a device for accessing the Internet, and may transmit a packet to the second layer-based network device 120. In addition, the user terminal 110 may be assigned an IP address from the virtual indoor device 130 through the second layer-based network device 120.

이러한 사용자 단말(110)의 일 예는 IPTV(Internet Protocol Television), 스마트 TV(Smart TV) 및 커넥티드 TV(Connected TV) 등과 같이 인터넷 회선을 이용하는 모든 종류의 TV장치를 포함할 수 있다. 또한, 사용자 단말(110)은 데스크톱(desktop), 노트북(notebook), 넷북(Netbook), 울트라북(UltraBook), 서브노트북(SubNotebook), 데스크노트(DeskNote), UMPC(Ultra-Mobile PC) 등과 같은 모든 종류의 PC를 포함할 수 있다. 또한, 사용자 단말(110)은 PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet), 3G, 4G, 5G 단말, 스마트폰(smart phone), 태블릿 PC, 노트북과 같은 무선 통신 장치일 수 있다. An example of such a user terminal 110 may include all kinds of TV devices using an Internet line, such as an Internet Protocol Television (IPTV), a Smart TV, and a Connected TV. In addition, the user terminal 110 may be a desktop, a notebook, a netbook, a netbook, an ultrabook, a subnotebook, a desknote, a UMPC (Ultra-Mobile PC), or the like. It can include all kinds of PCs. In addition, the user terminal 110 may include a personal communication system (PCS), a global system for mobile communications (GSM), a personal digital cellular (PDC), a personal handyphone system (PHS), a personal digital assistant (PDA), and an international mobile telecommunication (IMT). ) -2000, Code Division Multiple Access (CDMA) -2000, W-Code Division Multiple Access (W-CDMA), Wireless Broadband Internet (Wibro), 3G, 4G, 5G terminals, smart phones, tablet PCs, It may be a wireless communication device such as a notebook.

홈 게이트웨이(미도시)는 사용자 단말(110)을 인터넷에 접속시키기 위한 장치로, 사용자 단말(110)로부터 패킷을 수신하여 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다. 여기서, 홈 게이트웨이(미도시)는 제 2 계층 기반의 브릿지 기능만을 수행하며, 홈 게이트웨이(미도시)의 하단에 위치한 사용자 단말(110)에서 발생하는 모든 트래픽을 제 2 계층 기반 네트워크 장치(120)로 포워딩할 수 있다. 이를 통해, 홈 게이트웨이(미도시)는 제 3 계층에 해당하는 네트워크 기능을 제거함으로써, 패킷 분석에 대한 CPU 부하를 최소화할 수 있고, 라우팅, 방화벽 기능 등을 제거한 제 2 계층 기반의 브릿지 기능만을 수행함으로써, 종단간에 투명성을 제공할 수 있다. The home gateway (not shown) is a device for connecting the user terminal 110 to the Internet. The home gateway (not shown) may receive a packet from the user terminal 110 and transmit the packet to the second layer-based network device 120. Here, the home gateway (not shown) performs only the second layer-based bridge function, and the second layer-based network device 120 performs all traffic generated by the user terminal 110 located at the bottom of the home gateway (not shown). Can be forwarded to Through this, the home gateway (not shown) can minimize the CPU load for packet analysis by removing the network function corresponding to the third layer, and performs only the second layer-based bridge function that removes routing and firewall functions. Thus, transparency can be provided from end to end.

제 2 계층 기반 네트워크 장치(120)는 액세스 스위치(Access Switch), 애그리게이션 스위치(Aggregation Switch) 및 BNG(Broadband Network Gateway)를 포함할 수 있다. 액세스 스위치는 액세스 구간에서 사용자 단말(110)로 연결해 주는 포트를 구비한 스위치를 의미하며, 액세스 스위치에 해당하는 장치로는 GES(Gigabit Ethernet Switch) 등을 포함할 수 있다. 애그리게이션 스위치는 액세스 구간의 트래픽을 집선하는 스위치로, 트래픽을 수집하여 BNG로 연결하는 기능을 수행하며, 애그리게이션 스위치에 해당하는 장치로는 OLT(Optical Line Terminal), 메트로 이더넷 스위치 등을 포함할 수 있다. BNG는 광대역 게이트웨이로서, 가입자의 인터넷 접속에 대한 인증을 하기 위한 게이트웨이 장치의 역할을 하며, BNG에 해당하는 장치로는 서비스 엣지 라우터(Service Edge Router) 등을 포함할 수 있다. BNG는 사용자 단말(110)의 가입자 프로파일을 관리하고 제어하기 위한 엣지(Edge) 네트워크의 종단에 위치하여, 사용자 단말(110)의 접속 세션을 관리하고, 사용자의 프로파일에 따라 가상화된 CPE 또는 코어 네트워크에 접속을 위한 라우팅을 처리할 수 있다. The second layer-based network device 120 may include an access switch, an aggregation switch, and a broadband network gateway (BNG). The access switch refers to a switch having a port connecting to the user terminal 110 in the access period, the device corresponding to the access switch may include a GES (Gigabit Ethernet Switch). An aggregation switch is a switch that aggregates traffic in an access section. The aggregation switch collects traffic and connects it to BNG. Examples of the aggregation switch include an optical line terminal (OLT) and a metro Ethernet switch. Can be. The BNG is a broadband gateway, and serves as a gateway device for authenticating subscribers' Internet access. The BNG device may include a service edge router. The BNG is located at an edge of an edge network for managing and controlling a subscriber profile of the user terminal 110, manages a connection session of the user terminal 110, and virtualizes a CPE or core network according to the user profile. It can handle routing for connection.

제 2 계층 기반 네트워크 장치(120)는 브릿지 역할을 하는 홈 게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 패킷에 이너 태깅 및 아우터 태깅을 수행할 수 있다. 예를 들어, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다. The second layer-based network device 120 may receive a packet from the user terminal 110 through a home gateway (not shown) serving as a bridge. In this case, the second layer-based network device 120 may perform inner tagging and outer tagging on the packet. For example, inner tagging may be specified as a Customer Virtual Local Network (CVLAN) tagging method, an Ethernet header type of the packet may be designated as '0x8100', and outer tagging may be performed using a Service Virtual Local Network (SVLAN) tagging method, The header type may be designated as '0x9100' or '0x88a8'.

제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있으며, 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다. 이 때, 가입자 인증키로 구별되는 가입자의 인증 세션이 존재하는 경우, 제 2 계층 기반 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 패킷을 가상 댁내 장치(130)로 전송할 수 있다. 예를 들어, 제 2 계층 기반 네트워크 장치(120)는 인증이 성공한 가입자에 대해 가입자 세션을 관리하여, 이후의 접속에 대해 재인증을 수행하지 않고, 동일한 가입자의 모든 단말에 대해 동일한 인증 권한으로 접속을 허용하며, 인증이 완료된 가입자 세션에 대해 제 2 계층 기반 네트워크 장치(120)는 가입자의 댁내에서 발생하는 트래픽에 대해 가상 댁내 장치(130)로 패킷을 전송할 수 있다. The second layer-based network device 120 may generate a subscriber authentication key based on inner tagging and outer tagging, and may transmit authentication request information including the generated subscriber authentication key to the authentication gateway 140. In this case, when there is an authentication session of a subscriber identified by the subscriber authentication key, the second layer-based network device 120 may transmit a packet received from the user terminal 110 to the virtual indoor device 130. For example, the second layer-based network device 120 manages subscriber sessions for successful subscribers, and does not perform reauthentication for subsequent connections, and accesses all terminals of the same subscriber with the same authentication authority. The second layer-based network device 120 may transmit a packet to the virtual premises device 130 for the traffic generated in the premises of the subscriber for the authenticated subscriber session.

제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)로부터 전달받은 인증 결과에 기초하여 가상 댁내 장치(130)로 아이피 할당 요청을 전송할 수 있다. The second layer-based network device 120 may transmit an IP allocation request to the virtual premises device 130 based on the authentication result received from the authentication gateway 140.

가상 댁내 장치(130)는 CG-NAT(Carrier-Grade NAT), DHCP, Firewall 등 네트워크 기능을 가상화된 환경에서 제공할 수 있다. NAT는 공인 IP를 사설 IP로 변환시켜 주는 기능을 하며, 가입자를 구분하여 사용자 단말(110)에 대해 사설 IP를 부여하는 기능을 수행할 수 있다. 여기서, 가상 댁내 장치(130)는 CG-NAT 기능을 탑재하여, 단순히 NAT 기능 외에도 NAT Traverse 기능과 ALG 기능을 처리할 수 있다. NAT-Traverse 기능은 사용자 단말(110)이 댁내에서는 사설 IP를 사용하고, 외부 네트워크와의 통신을 할 경우 공인 IP를 사용하는데, 이를 NAT 세션 관리를 통해 NAT 변환 규칙을 관리하고, 패킷의 통과 허용 여부를 결정할 수 있다. ALG(Application Level Gateway)는 애플리케이션의 수준에서 패킷의 페이로드(payload)를 분석하고, IP나 포트 등의 사설 IP에 대한 주소 변환을 수행할 수 있다. The virtual premises device 130 may provide network functions such as carrier-grade NAT (CG-NAT), DHCP, and firewall in a virtualized environment. NAT functions to convert a public IP into a private IP, and may perform a function of assigning a private IP to the user terminal 110 by classifying subscribers. Here, the virtual indoor device 130 may be equipped with a CG-NAT function, and may process a NAT traverse function and an ALG function in addition to the NAT function. The NAT-Traverse function uses a private IP in the home, and uses a public IP when communicating with an external network, and manages NAT translation rules through NAT session management, and allows packets to pass through. You can decide whether or not. The application level gateway (ALG) can analyze the payload of packets at the application level and perform address translation for private IP such as IP or port.

가상 댁내 장치(130)는 제 2 계층 기반 네트워크 장치(120)로부터 수신한 아이피 할당 요청에 기초하여 사용자 단말(110)에 대해 아이피 주소를 할당할 수 있다. The virtual indoor device 130 may allocate an IP address to the user terminal 110 based on the IP allocation request received from the second layer-based network device 120.

인증 게이트웨이(140)는 가입자 인증키에 기초하여 인증 서버(150)로 인증 요청 정보를 전달할 수 있다. 이 때, 인증 게이트웨이(140)는 단말 별로 가입자 정보(예를 들어, 회선 계약 아이디)와 인증키 리스트를 매칭하여 관리하고, 인증키 리스트에 기초하여 인증 요청 정보를 분석할 수 있다. 또한, 인증 게이트웨이(140)는 인증키 리스트로부터 가입자 인증키와 매칭되는 가입자 정보를 추출하고, 추출된 가입자 정보 또는 추출된 가입자 정보가 포함된 인증 요청 정보를 인증 서버(150)로 전송할 수 있다. 즉, 인증 게이트웨이(140)가 가입자 정보와 인증키 리스트를 매칭하여 관리함으로써, 인증 서버(150)는 제 2 네트워크의 구조와 상관 없이 기존 시스템과 동일하게 가입자의 회선 계약 아이디를 기준으로 가입자의 프로파일을 관리할 수 있다. 따라서, 본원 발명은 인증 서버(150)에 대한 시스템의 변경 없이 제 2 네트워크 기반의 인증을 수용할 수 있다.The authentication gateway 140 may transmit the authentication request information to the authentication server 150 based on the subscriber authentication key. In this case, the authentication gateway 140 may match and manage subscriber information (eg, a circuit contract ID) and an authentication key list for each terminal, and analyze the authentication request information based on the authentication key list. In addition, the authentication gateway 140 may extract subscriber information matching the subscriber authentication key from the authentication key list, and transmit the extracted subscriber information or authentication request information including the extracted subscriber information to the authentication server 150. That is, the authentication gateway 140 matches and manages the subscriber information and the authentication key list, so that the authentication server 150 is based on the subscriber's line contract ID based on the subscriber's line contract ID, regardless of the structure of the second network. Can manage. Thus, the present invention can accommodate a second network based authentication without changing the system for the authentication server 150.

인증 게이트웨이(140)는 인증 서버(150)로부터 인증 결과를 수신하고, 제 2 계층 기반 네트워크 장치(120)로 인증 결과를 전달할 수 있다. The authentication gateway 140 may receive the authentication result from the authentication server 150 and transmit the authentication result to the second layer-based network device 120.

인증 서버(150)는 사용자 또는 가입자의 인증 프로파일을 관리하고, 인증을 처리하는 기능을 할 수 있다. 예를 들어, 인증 서버(150)는 인증 게이트웨이(140)로부터 인증 요청 정보를 수신하여, 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고, 인증 결과를 인증 게이트웨이(140)로 전송할 수 있다. The authentication server 150 may manage a user's or subscriber's authentication profile and process authentication. For example, the authentication server 150 receives the authentication request information from the authentication gateway 140, processes the authentication for the authentication request information based on the subscriber's authentication profile, and transmits the authentication result to the authentication gateway 140. Can be.

다른 실시예에서, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140), 광대역 게이트웨이(BNG, 미도시) 및 인증 서버(150)를 포함할 수 있다. 여기서, 제 2 계층 기반 네트워크 시스템(1)은 액세스 스위치, 애그리게이션 스위치, 가상 댁내 장치(130)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 인증 게이트웨이(140), 광대역 게이트웨이(BNG, 미도시) 및 인증 서버(150)를 제 3 계층으로 설정할 수 있다. 이를 통해, 제 2 계층 기반 네트워크 시스템(1)은 가상 댁내 장치(130)를 광대역 게이트웨이의 하단으로 이동시킴으로써 액세스 기반의 분산형의 형태로 구성되고, 일 실시예에서 발생되는 트래픽 중앙 집중 문제를 감소시킬 수 있다. In another embodiment, the second layer-based network system 1 includes a user terminal 110, a home gateway (not shown), a second layer-based network device 120, a virtual premises device 130, an authentication gateway 140. , A broadband gateway (BNG, not shown), and an authentication server 150. In this case, the second layer-based network system 1 uses a second layer-based network device 120 including an access switch, an aggregation switch, and a virtual premises device 130 as a second layer, an authentication gateway 140, and a broadband. The gateway BNG and the authentication server 150 may be set as the third layer. Through this, the second layer-based network system 1 is configured in a distributed form of access based by moving the virtual premises device 130 to the bottom of the broadband gateway, and reduces the traffic centralization problem generated in one embodiment. You can.

사용자 단말(110)은 인터넷 접속을 하기 위한 장치로서, 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다. 또한, 사용자 단말(110)은 제 2 계층 기반 네트워크 장치(120)를 통해 제 2 계층 기반 네트워크 장치(120)로부터 아이피 주소를 할당받을 수 있다. The user terminal 110 is a device for accessing the Internet, and may transmit a packet to the second layer-based network device 120. In addition, the user terminal 110 may be assigned an IP address from the second layer-based network device 120 through the second layer-based network device 120.

홈 게이트웨이(미도시)는 사용자 단말(110)로부터 패킷을 수신하여 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다.The home gateway (not shown) may receive a packet from the user terminal 110 and transmit the packet to the second layer-based network device 120.

제 2 계층 기반 네트워크 장치(120)는 브릿지 역할을 하는 홈 게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 패킷에 이너 태깅 및 아우터 태깅을 수행할 수 있다. 예를 들어, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다.The second layer-based network device 120 may receive a packet from the user terminal 110 through a home gateway (not shown) serving as a bridge. In this case, the second layer-based network device 120 may perform inner tagging and outer tagging on the packet. For example, inner tagging may be specified as a Customer Virtual Local Network (CVLAN) tagging method, an Ethernet header type of the packet may be designated as '0x8100', and outer tagging may be performed using a Service Virtual Local Network (SVLAN) tagging method, The header type may be designated as '0x9100' or '0x88a8'.

제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 생서된 가입자 세션키를 이용하여 NAT 및 DHCP 세션을 관리할 수 있다. The second layer-based network device 120 may generate a subscriber session key based on inner tagging and outer tagging. In this case, the second layer-based network device 120 may manage NAT and DHCP sessions using the generated subscriber session key.

제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이(미도시)로 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 광대역 게이트웨이(미도시)로 인증 요청 정보를 전송할 수 있다. The second layer-based network device 120 may transmit authentication request information including a subscriber session key generated to a broadband gateway (not shown) to perform an authentication procedure through the authentication gateway 140. In this case, the second layer-based network device 120 may transmit authentication request information to a broadband gateway (not shown) based on whether the packet corresponds to a DHCP packet.

광대역 게이트웨이(미도시)는 제 2 계층 기반 네트워크 장치(120)로부터 인증 요청 정보를 수신하여, 인증 요청 정보에 기초하여 가입자 인증키를 생성하고, 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다. The broadband gateway (not shown) receives authentication request information from the second layer-based network device 120, generates a subscriber authentication key based on the authentication request information, and authenticates the authentication request information including the generated subscriber authentication key. May transmit to the gateway 140.

인증 게이트웨이(140)는 가입자 인증키에 기초하여 인증 서버(150)로 인증 요청 정보를 전달할 수 있다. 이 때, 인증 게이트웨이(140)는 단말 별로 가입자 정보와 인증키 리스트를 매칭하여 관리하고, 인증키 리스트에 기초하여 제 2 계층 기반 네트워크 장치(120)로부터 수신한 인증 요청 정보를 분석할 수 있다. 또한, 인증 게이트웨이(140)는 인증키 리스트로부터 가입자 인증키와 매칭되는 가입자 정보를 추출하고, 추출된 가입자 정보 또는 추출된 가입자 정보가 포함된 인증 요청 정보를 인증 서버(150)로 전송할 수 있다. The authentication gateway 140 may transmit the authentication request information to the authentication server 150 based on the subscriber authentication key. In this case, the authentication gateway 140 may match and manage subscriber information and an authentication key list for each terminal, and analyze the authentication request information received from the second layer-based network device 120 based on the authentication key list. In addition, the authentication gateway 140 may extract subscriber information matching the subscriber authentication key from the authentication key list, and transmit the extracted subscriber information or authentication request information including the extracted subscriber information to the authentication server 150.

인증 서버(150)는 인증 게이트웨이(140)로부터 가입자 인증키가 포함된 인증 요청 정보를 수신하여, 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고, 인증 결과를 인증 게이트웨이(140)로 전송할 수 있다. The authentication server 150 receives the authentication request information including the subscriber authentication key from the authentication gateway 140, processes the authentication request information based on the subscriber's authentication profile, and transmits the authentication result to the authentication gateway 140. Can be sent to.

인증 게이트웨이(140)는 인증 서버(150)로부터 인증 요청 정보에 기초하여 처리된 인증 결과를 수신하여, 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다.The authentication gateway 140 may receive the processed authentication result based on the authentication request information from the authentication server 150 and transmit the processed authentication result to the second layer-based network device 120.

제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)로부터 인증 결과를 수신하고, 인증 결과에 기초하여 사용자 단말(110)로 아이피 주소를 할당할 수 있다. The second layer-based network device 120 may receive an authentication result from the authentication gateway 140 and allocate an IP address to the user terminal 110 based on the authentication result.

도 2는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다. 도 2를 참조하면, 제 2 계층 기반 네트워크 장치(120)는 태깅부(210) 및 인증키 생성부(220)를 포함할 수 있다. 2 is a block diagram of a second layer-based network device according to an embodiment of the present invention. Referring to FIG. 2, the second layer-based network device 120 may include a tagging unit 210 and an authentication key generation unit 220.

태깅부(210)는 브릿지 역할을 하는 홈게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다. The tagging unit 210 may receive a packet from the user terminal 110 through a home gateway (not shown) serving as a bridge.

태깅부(210)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다. 예를 들어, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 제 2 계층은 이더넷 프레임으로, 목적지 MAC 주소, 출발지 MAC 주소, 이더넷 타입, VLAN ID 등을 포함하며, 이더넷 타입은 802.1Q 방식 및 QinQ 방식이 존재하는데, 이 두 개가 중첩된 경우, 안쪽을 이너 태그, 바깥쪽을 아우터 태그라고 하며, 이너 태깅에서 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅에서 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다. The tagging unit 210 may perform inner tagging and outer tagging on the packet received from the user terminal 110. For example, inner tagging may be performed by a customer virtual local network (CVLAN) tagging scheme, and outer tagging may be performed by a service virtual local network (SVLAN) tagging scheme. The second layer is an Ethernet frame, which includes a destination MAC address, a source MAC address, an Ethernet type, a VLAN ID, and the like, and the Ethernet type includes the 802.1Q method and the QinQ method. The outer side is called an outer tag, and in the inner tag, the packet's Ethernet header type may be designated as '0x8100', and in the outer tagging, the packet's Ethernet header type may be designated as '0x9100' or '0x88a8'.

인증키 생성부(220)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있다. 이 때, 인증키 생성부(220)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 인증키를 생성할 수 있다. 예를 들어, 인증키 생성부(220)는 액세스 스위치 및 애그리게이션 스위치에서 각각 설정할 수 있는 태그 개수의 조합에 의해 가입자 인증키를 생성하여 가입자 수를 관리할 수 있다. The authentication key generation unit 220 may generate a subscriber authentication key based on inner tagging and outer tagging. At this time, the authentication key generation unit 220 may generate a subscriber authentication key by a combination of tags set in the header of the packet by using the CVLAN tag method and the SVLAN tag method. For example, the authentication key generation unit 220 may manage the number of subscribers by generating a subscriber authentication key by a combination of the number of tags that can be set in the access switch and the aggregation switch, respectively.

인증키 생성부(220)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 인증 게이트웨이(140)로 인증 요청 정보를 전송할 수 있다. 예를 들어, 인증키 생성부(220)는 사용자 단말(110)이 댁내에서 최초 접속에 해당하는 경우, RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 이용하여 인증 게이트웨이(140)로 인증 요청 정보를 전송할 수 있다. 다른 예를 들어, 패킷이 DHCP 패킷이 아닌 경우, 인증키 생성부(220)는 가상 댁내 장치(130)로 패킷을 전송할 수 있다. 가상 댁내 장치(130)에 의해 패킷이 코어 네트워크로 전달되면, 코어 네트워크에 의해 처리된 응답 패킷이 가상 댁내 장치(130)를 통해 사용자 단말(110)로 전달될 수 있다. The authentication key generator 220 may transmit authentication request information to the authentication gateway 140 based on whether the packet corresponds to a DHCP packet. For example, when the user terminal 110 corresponds to an initial access in the home, the authentication key generation unit 220 may use authentication request information to the authentication gateway 140 using a RADIUS (Remote Authentication Dial-In User Service) protocol. Can be transmitted. For another example, if the packet is not a DHCP packet, the authentication key generator 220 may transmit the packet to the virtual indoor device 130. When the packet is delivered to the core network by the virtual indoor device 130, the response packet processed by the core network may be delivered to the user terminal 110 through the virtual indoor device 130.

인증키 생성부(220)는 인증 게이트웨이(140)로 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송할 수 있다. 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다. The authentication key generator 220 may transmit authentication request information including the subscriber authentication key generated to the authentication gateway 140. The authentication request information may be analyzed based on the authentication key list stored by matching the subscriber information by the authentication gateway 140.

인증키 생성부(220)는 인증 게이트웨이(140)로부터 전송된 인증 요청 정보에 기초하여 인증 서버(150)에 의해 처리된 인증결과를 수신할 수 있다. 이 때, 인증키 생성부(220)는 인증 결과에 기초하여, 가상 댁내 장치(130)로 아이피 할당 요청을 전송하고, 가상 댁내 장치(130)에 의해 사용자 단말(110)이 아이피 주소를 할당받을 수 있도록 할 수 있다. The authentication key generator 220 may receive an authentication result processed by the authentication server 150 based on the authentication request information transmitted from the authentication gateway 140. At this time, the authentication key generation unit 220 transmits the IP allocation request to the virtual indoor device 130, based on the authentication result, the user terminal 110 is assigned an IP address by the virtual indoor device 130; You can do that.

즉, 인증키 생성부(220)는 인증이 성공된 사용자에 대해 가입자 세션을 관리하고, 이후의 접속에 대해서는 재인증을 수행하지 않으며, 동일한 사용자의 모든 단말에 대해 동일한 인증 권한으로 접속을 허용할 수 있다. 또한, 인증이 완료된 가입자 세션에 대해, 인증키 생성부(220)는 댁내에서 발생하는 트래픽에 대해 가상 댁내 장치(130)로 패킷을 전송할 수 있다. That is, the authentication key generation unit 220 manages the subscriber session for the successful authentication, does not perform re-authentication for subsequent access, and allows access with the same authentication authority to all terminals of the same user. Can be. In addition, with respect to the subscriber session that has been authenticated, the authentication key generation unit 220 may transmit a packet to the virtual indoor device 130 for the traffic generated in the home.

도 3은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다. 도 3을 참조하면, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 제 2 계층 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140) 및 인증 서버(150)를 포함할 수 있다. 3 is a signal flow diagram illustrating a process of providing a network service based on a second layer in a second layer-based network system according to an embodiment of the present invention. Referring to FIG. 3, the second layer-based network system 1 may include a user terminal 110, a second layer network device 120, a virtual indoor device 130, an authentication gateway 140, and an authentication server 150. It may include.

여기서, 제 2 계층 기반 네트워크 시스템(1)은 제 2 계층에 액세스 스위치(Access Switch), 애그리게이션 스위치(Aggregation Switch), BNG(Broadband Network Gateway)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 가상 댁내 장치(130), 인증 게이트웨이(140), 인증 서버(150)를 제 3 계층으로 설정할 수 있다.Here, the second layer-based network system 1 includes a second layer-based network device 120 including an access switch, an aggregation switch, and a broadband network gateway (BNG) in the second layer. As the second layer, the virtual indoor device 130, the authentication gateway 140, and the authentication server 150 may be set as the third layer.

사용자 단말(110)은 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다(S301). The user terminal 110 may transmit a packet to the second layer-based network device 120 (S301).

제 2 계층 기반 네트워크 장치(120)는 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다(S302). 여기서, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 이 때, 상기 S302는 제 2 계층 기반 네트워크 장치(120)에 포함된 액세스 스위치 및 애그리게이션 스위치에 의해 수행될 수 있다.The second layer-based network device 120 may perform inner tagging and outer tagging on the received packet (S302). Here, inner tagging may be performed by a CVLAN (Customer Virtual Local Network) tag scheme, and outer tagging may be performed by a Service Virtual Local Network (SVLAN) tag scheme. In this case, S302 may be performed by an access switch and an aggregation switch included in the second layer-based network device 120.

제 2 계층 기반 네트워크 장치(120)는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고(S303), 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있다(S304). 이 때, 상기 S303 내지 S304는 제 2 계층 기반 네트워크 장치(120)에 포함된 BNG에 의해 수행될 수 있다.The second layer-based network device 120 may check whether the received packet is a DHCP packet (S303), and generate a subscriber authentication key based on inner tagging and outer tagging (S304). In this case, S303 to S304 may be performed by the BNG included in the second layer-based network device 120.

또한, 제 2 계층 기반 네트워크 장치(120)는 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다(S305). In addition, the second layer-based network device 120 may transmit authentication request information including the generated subscriber authentication key to the authentication gateway 140 (S305).

인증 게이트웨이(140)는 가입자 인증키에 기초하여 분석된 인증 요청 정보를 인증 서버(150)로 전달할 수 있다(S306). The authentication gateway 140 may transmit the analyzed authentication request information to the authentication server 150 based on the subscriber authentication key (S306).

인증 서버(150)가 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고(S307), 인증 결과를 인증 게이트웨이(140)로 전송하면(S308), 인증 게이트웨이(140)는 인증 결과를 제 2 계층 기반 네트워크 장치(120)로 전달할 수 있다(S309). When the authentication server 150 processes authentication for the authentication request information based on the subscriber's authentication profile (S307), and transmits the authentication result to the authentication gateway 140 (S308), the authentication gateway 140 sends the authentication result. It may transfer to the second layer-based network device 120 (S309).

제 2 계층 기반 네트워크 장치(120)는 인증 결과에 기초하여 아이피 할당 요청을 가상 댁내 장치(130)로 요청하면(S310), 가상 댁내 장치(130)가 사용자 단말(110)에 아이피 주소를 할당할 수 있다(S311). 이 때, 상기 S310은 제 2 계층 기반 네트워크 장치(120)에 포함된 BNG에 의해 수행될 수 있다. 즉, BNG는 인증 결과에 기초하여 가상 댁내 장치(130)로 아이피 할당을 요청할 수 있다.When the second layer-based network device 120 requests the IP allocation request to the virtual indoor device 130 based on the authentication result (S310), the virtual indoor device 130 allocates an IP address to the user terminal 110. It may be (S311). At this time, the S310 may be performed by the BNG included in the second layer-based network device 120. That is, the BNG may request IP allocation from the virtual indoor device 130 based on the authentication result.

즉, 도 3을 통해 도시된 일 실시예와 관련하여, 제 2 계층 기반 네트워크 장치(120)에 포함된 BNG는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고, 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성하고, 인증 결과에 기초하여 가상 댁내 장치로 아이피 주소 할당을 요청할 수 있다.That is, in relation to the embodiment illustrated in FIG. 3, the BNG included in the second layer-based network device 120 checks whether the received packet is a DHCP packet, and based on inner tagging and outer tagging. The subscriber authentication key may be generated and an IP address assignment may be requested to the virtual premises device based on the authentication result.

상술한 설명에서, 단계 S301 내지 S311은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S301 to S311 may be further divided into additional steps or combined into fewer steps, according to an embodiment of the present invention. In addition, some steps may be omitted as necessary, and the order between the steps may be changed.

도 4는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다. 도 4에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 도 1에 도시된 실시예에 따른 제 2 계층 기반 네트워크 시스템(1)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 내지 도 3에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법에도 적용된다. 4 is a flowchart illustrating a method of providing a network service based on a second layer in a second layer-based network device according to an embodiment of the present invention. The method for providing a network service based on the second layer performed by the second layer-based network device 120 according to the embodiment shown in FIG. 4 is based on the second layer-based network system according to the embodiment shown in FIG. And the steps processed in time series in (1). Therefore, although omitted below, the present invention also applies to a method for providing a network service based on the second layer performed by the second layer-based network device 120 according to the embodiment shown in FIGS. 1 to 3.

단계 S410에서 제 2 계층 기반 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다. 여기서, 패킷은 브릿지 역할을 하는 홈게이트웨이를 통해 사용자 단말(110)로부터 전달될 수 있으며, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 단계 S420에서 제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 인증키를 생성할 수 있다. In operation S410, the second layer-based network device 120 may perform inner tagging and outer tagging on the packet received from the user terminal 110. Here, the packet may be delivered from the user terminal 110 through a home gateway serving as a bridge. Inner tagging is performed by a Customer Virtual Local Network (CVLAN) tagging scheme, and outer tagging is performed by a Service Virtual Local Network (SVLAN). Can be performed by a tag method. In operation S420, the second layer-based network device 120 may generate a subscriber authentication key based on inner tagging and outer tagging. In this case, the second layer-based network device 120 may generate the subscriber authentication key by a combination of tags set in the header of the packet using the CVLAN tagging method and the SVLAN tagging method.

도 4에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)로 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하는 단계, 인증 게이트웨이(140)로부터 전송된 인증 요청 정보에 기초하여 인증 서버(150)에 의해 처리된 인증 결과를 수신하는 단계 및 인증 결과에 기초하여 가상 댁내 장치(130)로 아이피 할당 요청을 전송하는 단계를 더 포함할 수 있다. 여기서, 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다. 이러한 과정을 통해, 사용자 단말(110)은 가상 댁내 장치(130)에 의해 아이피 주소를 할당받을 수 있게 된다. Although not shown in FIG. 4, the second layer-based network device 120 transmits authentication request information including a subscriber authentication key generated to the authentication gateway 140, and authentication request information transmitted from the authentication gateway 140. The method may further include receiving an authentication result processed by the authentication server 150 and transmitting an IP allocation request to the virtual premises apparatus 130 based on the authentication result. Here, the authentication request information may be analyzed based on the authentication key list stored by matching the subscriber information by the authentication gateway 140. Through this process, the user terminal 110 can be assigned an IP address by the virtual indoor device 130.

도 4에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 인증 게이트웨이(140)로 인증 요청 정보를 전송하는 단계를 더 포함할 수 있다. 이 때, 패킷이 DHCP 패킷이 아닌 경우, 제 2 계층 기반 네트워크 장치(120)가 가상 댁내 장치(130)로 패킷을 전송하면, 가상 댁내 장치(130)에 의해 패킷이 코어 네트워크로 전달되고, 코어 네트워크에 의해 처리된 응답 패킷이 가상 댁내 장치를 통해 사용자 단말(110)로 전달될 수 있다. Although not shown in FIG. 4, the second layer-based network device 120 may further include transmitting authentication request information to the authentication gateway 140 based on whether the packet corresponds to a DHCP packet. At this time, if the packet is not a DHCP packet, when the second layer-based network device 120 transmits the packet to the virtual premises device 130, the packet is delivered to the core network by the virtual premises device 130, and the core The response packet processed by the network may be delivered to the user terminal 110 through the virtual indoor device.

상술한 설명에서, 단계 S410 내지 S420은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S410 to S420 may be further divided into additional steps or combined into fewer steps, according to an embodiment of the invention. In addition, some steps may be omitted as necessary, and the order between the steps may be changed.

도 5는 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다. 도 5를 참조하면, 제 2 계층 기반 네트워크 장치(120)는 태깅부(510) 및 세션키 생성부(520)를 포함할 수 있다. 5 is a configuration diagram of a second layer-based network device according to another embodiment of the present invention. Referring to FIG. 5, the second layer-based network device 120 may include a tagging unit 510 and a session key generation unit 520.

태깅부(510)는 브릿지 역할을 하는 홈 게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다. The tagging unit 510 may receive a packet from the user terminal 110 through a home gateway (not shown) serving as a bridge.

태깅부(510)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다. 여기서, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 제 2 계층은 이더넷 프레임으로, 목적지 MAC 주소, 출발지 MAC 주소, 이더넷 타입, VLAN ID 등을 포함하며, 이더넷 타입은 802.1Q 방식 및 QinQ 방식이 존재하는데, 이 두 개가 중첩된 경우, 안쪽을 이너 태그, 바깥쪽을 아우터 태그라고 하며, 이너 태깅에서 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅에서 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다.The tagging unit 510 may perform inner tagging and outer tagging on the packet received from the user terminal 110. Here, inner tagging may be performed by a CVLAN (Customer Virtual Local Network) tag scheme, and outer tagging may be performed by a Service Virtual Local Network (SVLAN) tag scheme. The second layer is an Ethernet frame, which includes a destination MAC address, a source MAC address, an Ethernet type, a VLAN ID, and the like, and the Ethernet type includes the 802.1Q method and the QinQ method. The outer side is called an outer tag, and in the inner tag, the packet's Ethernet header type may be designated as '0x8100', and in the outer tagging, the packet's Ethernet header type may be designated as '0x9100' or '0x88a8'.

세션키 생성부(520)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다. 이 때, 세션키 생성부(520)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 세션키를 생성할 수 있다. The session key generator 520 may generate a subscriber session key based on inner tagging and outer tagging. At this time, the session key generation unit 520 may generate the subscriber session key by a combination of tags set in the header of the packet using the CVLAN tag method and the SVLAN tag method.

세션키 생성부(520)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 광대역 게이트웨이(미도시)로 가입자 세션키가 포함된 인증 요청 정보를 전송할 수 있다. 예를 들어, 패킷이 DHCP 패킷에 해당하는 경우, 세션키 생성부(520)는 광대역 게이트웨이(미도시)로 인증 요청 정보를 전송할 수 있다. 이 때, 광대역 게이트웨이(미도시)에 의해 인증 요청 정보에 기초하여 가입자 인증키가 생성되고, 생성된 가입자 인증키가 포함된 인증 요청 정보는 인증 게이트웨이(140)로 전송될 수 있다. 여기서, 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다. The session key generator 520 may transmit authentication request information including the subscriber session key to a broadband gateway (not shown) based on whether the packet corresponds to a DHCP packet. For example, if the packet corresponds to a DHCP packet, the session key generator 520 may transmit authentication request information to a broadband gateway (not shown). At this time, the subscriber authentication key is generated based on the authentication request information by the broadband gateway (not shown), and the authentication request information including the generated subscriber authentication key may be transmitted to the authentication gateway 140. Here, the authentication request information may be analyzed based on the authentication key list stored by matching the subscriber information by the authentication gateway 140.

다른 예를 들어, 패킷이 DHCP 패킷이 아닌 경우, 세션키 생성부(520)는 광대역 게이트웨이(미도시)로 패킷을 전송할 수 있다. 이 때, 광대역 게이트웨이(미도시)에 의해 인증 세션이 확인되어 패킷이 코어 네트워크로 전달되고, 코어 네트워크에 의해 처리된 응답 패킷이 광대역 게이트웨이(미도시) 및 제 2 계층 기반 네트워크 장치(120)를 통해 사용자 단말(110)로 전달될 수 있다. For another example, if the packet is not a DHCP packet, the session key generator 520 may transmit the packet to a broadband gateway (not shown). At this time, the authentication session is confirmed by the broadband gateway (not shown), the packet is delivered to the core network, and the response packet processed by the core network sends the broadband gateway (not shown) and the second layer-based network device 120 to each other. It may be delivered to the user terminal 110 through.

도 6은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다. 도 6을 참조하면, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 제 2 계층 네트워크 장치(120), 인증 게이트웨이(140), 인증 서버(150), 및 광대역 게이트웨이(160)를 포함할 수 있다. 6 is a signal flowchart illustrating a process of providing a network service based on a second layer in a second layer-based network system according to another embodiment of the present invention. Referring to FIG. 6, the second layer-based network system 1 may include a user terminal 110, a second layer network device 120, an authentication gateway 140, an authentication server 150, and a broadband gateway 160. It may include.

여기서, 제 2 계층 기반 네트워크 시스템(1)은 액세스 스위치, 애그리게이션 스위치, 가상 댁내 장치(130)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 인증 게이트웨이(140), 광대역 게이트웨이(BNG, 미도시) 및 인증 서버(150)를 제 3 계층으로 설정할 수 있다.In this case, the second layer-based network system 1 uses a second layer-based network device 120 including an access switch, an aggregation switch, and a virtual premises device 130 as a second layer, an authentication gateway 140, and a broadband. The gateway BNG and the authentication server 150 may be set as the third layer.

사용자 단말(110)은 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다(S601). The user terminal 110 may transmit a packet to the second layer-based network device 120 (S601).

제 2 계층 기반 네트워크 장치(120)는 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다(S602). 여기서, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 이 때, 상기 S602는 제 2 계층 기반 네트워크 장치(120)에 포함된 액세스 스위치 및 애그리게이션 스위치에 의해 수행될 수 있다.The second layer-based network device 120 may perform inner tagging and outer tagging on the received packet (S602). Here, inner tagging may be performed by a CVLAN (Customer Virtual Local Network) tag scheme, and outer tagging may be performed by a Service Virtual Local Network (SVLAN) tag scheme. In this case, S602 may be performed by an access switch and an aggregation switch included in the second layer-based network device 120.

제 2 계층 기반 네트워크 장치(120)는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고(S603), 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다(S604). 이 때, 상기 S603 내지 S604는 제 2 계층 기반 네트워크 장치(120)에 포함된 가상 댁내 장치에 의해 수행될 수 있다.The second layer-based network device 120 may check whether the received packet is a DHCP packet (S603), and generate a subscriber session key based on inner tagging and outer tagging (S604). In this case, S603 to S604 may be performed by the virtual indoor device included in the second layer-based network device 120.

이 때, 제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이(160)로 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송할 수 있다(S605). In this case, the second layer-based network device 120 may transmit authentication request information including the subscriber session key generated to the broadband gateway 160 to perform an authentication procedure through the authentication gateway 140 (S605). .

광대역 게이트웨이(160)는 인증 요청 정보에 기초하여 가입자 인증키를 생성하고(S606), 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다(S607). The broadband gateway 160 may generate a subscriber authentication key based on the authentication request information (S606), and may transmit authentication request information including the generated subscriber authentication key to the authentication gateway 140 (S607).

인증 게이트웨이(140)는 가입자 인증키에 기초하여 분석된 인증 요청 정보를 인증 서버(150)로 전달할 수 있다(S608). 인증 서버(150)가 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고(S609), 인증 결과를 인증 게이트웨이(140)로 전송하면(S610), 인증 게이트웨이(140)가 인증 결과를 제 2 계층 기반 네트워크 장치(120)로 전달할 수 있다(S611).The authentication gateway 140 may transmit the analyzed authentication request information to the authentication server 150 based on the subscriber authentication key (S608). When the authentication server 150 processes authentication for the authentication request information based on the subscriber's authentication profile (S609), and transmits the authentication result to the authentication gateway 140 (S610), the authentication gateway 140 transmits the authentication result. The second layer-based network device 120 may transmit the information to the second layer-based network device 120 (S611).

제 2 계층 기반 네트워크 장치(120)는 인증 결과에 기초하여 사용자 단말(110)로 아이피 주소를 할당할 수 있다(S612). 이 때, 상기 S612는 제 2 계층 기반 네트워크 장치(120)에 포함된 가상 댁내 장치에 의해 수행될 수 있다.The second layer-based network device 120 may allocate an IP address to the user terminal 110 based on the authentication result (S612). In this case, S612 may be performed by a virtual indoor device included in the second layer-based network device 120.

즉, 도 6을 통해 도시된 일 실시예와 관련하여, 제 2 계층 기반 네트워크 장치(120)에 포함된 가상 댁내 장치는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고, 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성하고, 인증 결과에 기초하여 사용자 단말로 아이피 주소를 할당 수 있다. 따라서, 도 3의 제 2 계층 기반 네트워크 장치와 도 6의 제 2 계층 기반 네트워크 장치는 BNG 또는 가상 댁내 장치의 포함 여부에 따라 구별될 수 있다.That is, in relation to the exemplary embodiment illustrated in FIG. 6, the virtual indoor device included in the second layer-based network device 120 checks whether the received packet is a DHCP packet, and checks for inner tagging and outer tagging. A subscriber session key can be generated based on this, and an IP address can be assigned to the user terminal based on the authentication result. Therefore, the second layer-based network device of FIG. 3 and the second layer-based network device of FIG. 6 may be distinguished according to whether the BNG or the virtual indoor device is included.

상술한 설명에서, 단계 S601 내지 S612는 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S601 to S612 may be further divided into additional steps or combined into fewer steps, according to an embodiment of the present invention. In addition, some steps may be omitted as necessary, and the order between the steps may be changed.

도 7은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다. 도 7에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 도 1에 도시된 실시예에 따른 제 2 계층 기반 네트워크 시스템(1)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 내지 도 6에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법에도 적용된다. 7 is a flowchart illustrating a method of providing a network service based on a second layer in a second layer-based network device according to another embodiment of the present invention. The method for providing a network service based on the second layer performed by the second layer-based network device 120 according to the embodiment shown in FIG. 7 is based on the second layer-based network system according to the embodiment shown in FIG. 1. And the steps processed in time series in (1). Therefore, although omitted below, the present invention also applies to a method for providing a network service based on the second layer performed by the second layer-based network device 120 according to the embodiment shown in FIGS. 1 to 6.

단계 S710에서 제 2 계층 기반 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수생할 수 있다. 여기서, 패킷은 브릿지 역할을 하는 홈게이트웨이를 통해 사용자 단말(110)로부터 전달될 수 있으며, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 단계 S720에서 제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 세션키를 생성할 수 있다.In operation S710, the second layer-based network device 120 may perform inner tagging and outer tagging on the packet received from the user terminal 110. Here, the packet may be delivered from the user terminal 110 through a home gateway serving as a bridge. Inner tagging is performed by a Customer Virtual Local Network (CVLAN) tagging scheme, and outer tagging is performed by a Service Virtual Local Network (SVLAN). Can be performed by a tag method. In operation S720, the second layer-based network device 120 may generate a subscriber session key based on inner tagging and outer tagging. In this case, the second layer-based network device 120 may generate the subscriber session key by a combination of tags set in the header of the packet using the CVLAN tagging method and the SVLAN tagging method.

도 7에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이로 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송하는 단계 및 인증 게이트웨이(140)로부터 전송된 인증 요청 정보에 기초하여 인증 서버(150)에 의해 처리된 인증 결과를 수신한 단계를 더 포함할 수 있다. 여기서, 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다. 이러한 과정을 통해, 사용자 단말(110)은 가상 댁내 장치(130)에 의해 아이피 주소를 할당받을 수 있게 된다.Although not shown in FIG. 7, the second layer-based network device 120 transmits authentication request information including a subscriber session key generated to the broadband gateway to perform an authentication procedure through the authentication gateway 140 and authentication. The method may further include receiving an authentication result processed by the authentication server 150 based on the authentication request information transmitted from the gateway 140. Here, the authentication request information may be analyzed based on the authentication key list stored by matching the subscriber information by the authentication gateway 140. Through this process, the user terminal 110 can be assigned an IP address by the virtual indoor device 130.

도 7에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 광대역 게이트웨이로 인증 요청 정보를 전송할 수 있다. 예를 들어, 패킷이 DHCP 패킷에 해당하는 경우, 제 2 계층 기반 네트워크 장치(120)는 광대역 게이트웨이로 인증 요청 정보를 전송하고, 광대역 게이트웨이에 의해 인증 요청 정보에 기초하여 가입자 인증키가 생성되고, 생성된 가입자 인증키가 포함된 인증 요청 정보는 인증 서버(150)로 전송될 수 있다. 다른 예를 들어, 패킷이 DHCP 패킷이 아닌 경우, 제 2 계층 기반 네트워크 장치(120)는 광대역 게이트웨이로 패킷을 전송하고, 광대역 게이트웨이에 의해 인증 세션이 확인되어 패킷이 코어 네트워크로 전달되고, 코어 네트워크에 의해 처리된 응답 패킷이 광대역 게이트웨이 및 제 2 계층 기반 네트워크 장치를 통해 사용자 단말(110)로 전달될 수 있다. Although not shown in FIG. 7, the second layer-based network device 120 may transmit authentication request information to the broadband gateway based on whether the packet corresponds to a DHCP packet. For example, when the packet corresponds to a DHCP packet, the second layer-based network device 120 transmits authentication request information to the broadband gateway, and a subscriber authentication key is generated by the broadband gateway based on the authentication request information. The authentication request information including the generated subscriber authentication key may be transmitted to the authentication server 150. In another example, if the packet is not a DHCP packet, the second layer-based network device 120 transmits the packet to the broadband gateway, an authentication session is confirmed by the broadband gateway, and the packet is forwarded to the core network. The response packet processed by the PC may be delivered to the user terminal 110 through the broadband gateway and the second layer-based network device.

상술한 설명에서, 단계 S710 내지 S720은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.In the above description, steps S710 to S720 may be further divided into additional steps or combined into fewer steps, according to an embodiment of the invention. In addition, some steps may be omitted as necessary, and the order between the steps may be changed.

도 1 내지 도 7을 통해 설명된 제 2 계층 기반 네트워크 장치(120)에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 또한, 도 1 내지 도 7을 통해 설명된 제 2 계층 기반 네트워크 장치(120)에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다. The method for providing a network service based on the second layer in the second layer-based network device 120 described with reference to FIGS. 1 to 7 may be executed by a computer program stored in a medium executed by a computer or instructions executable by the computer. It can also be implemented in the form of a recording medium that includes. In addition, the method of providing a network service based on the second layer in the second layer-based network device 120 described with reference to FIGS. 1 to 7 may also be implemented in the form of a computer program stored in a medium executed by a computer. Can be. Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. In addition, computer readable media may include both computer storage media and communication media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data. Communication media typically includes computer readable instructions, data structures, program modules, or other data in a modulated data signal such as a carrier wave, or other transmission mechanism, and includes any information delivery media.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다. The above description of the present invention is intended for illustration, and it will be understood by those skilled in the art that the present invention may be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. The scope of the present invention is shown by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included in the scope of the present invention. do.

110: 사용자 단말
120: 제 2 계층 기반 네트워크 장치
130: 가상 댁내 장치
140: 인증 게이트웨이
150: 인증 서버
210: 태깅부
220: 인증키 생성부
510: 태깅부
520: 세션키 생성부110: user terminal
120: second layer-based network device
130: virtual home device
140: authentication gateway
150: authentication server
210: tagging part
220: authentication key generation unit
510: tagging part
520: session key generation unit

Claims (18)

제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 장치에 있어서,
사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부; 및
상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하는 인증키 생성부
를 포함하고,
상기 인증키 생성부는 인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고,
상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고,
상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고,
상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것이되,
상기 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 상기 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행되도록 구성되고,
상기 인증키 생성부는 상기 CVLAN 태그 방식 및 상기 SVLAN 태그 방식을 이용하여 상기 패킷의 헤더에 설정되는 태그의 조합에 의해 상기 가입자 인증키를 생성하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.An apparatus for providing a network service based on a second layer (L2),
A tagging unit for performing inner tagging and outer tagging on a packet received from a user terminal; And
Authentication key generation unit for generating a subscriber authentication key based on the inner tagging and the outer tagging
Including,
The authentication key generation unit transmits authentication request information including the generated subscriber authentication key to an authentication gateway,
Receiving an authentication result processed by an authentication server based on the authentication request information transmitted from the authentication gateway,
Sends an IP allocation request to the virtual indoor device based on the authentication result,
The user terminal is configured to be assigned an IP address by the virtual indoor device,
The inner tagging is performed by a Customer Virtual Local Network (CVLAN) tagging method, and the outer tagging is configured to be performed by a Service Virtual Local Network (SVLAN) tagging method.
And the authentication key generation unit is configured to generate the subscriber authentication key by a combination of a tag set in a header of the packet by using the CVLAN tagging method and the SVLAN tagging method. 삭제delete 삭제delete 제 1 항에 있어서,
상기 인증키 생성부는 상기 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 상기 인증 게이트웨이로 상기 인증 요청 정보를 전송하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 1,
And the authentication key generating unit is configured to transmit the authentication request information to the authentication gateway based on whether the packet corresponds to a DHCP packet. 제 4 항에 있어서,
상기 인증키 생성부는 상기 패킷이 DHCP 패킷이 아닌 경우, 상기 가상 댁내 장치로 상기 패킷을 전송하고,
상기 가상 댁내 장치에 의해 상기 패킷이 코어 네트워크로 전달되고,
상기 코어 네트워크에 의해 처리된 응답 패킷이 상기 가상 댁내 장치를 통해 상기 사용자 단말로 전달되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 4, wherein
The authentication key generation unit, if the packet is not a DHCP packet, transmits the packet to the virtual indoor device,
The packet is forwarded to the core network by the virtual premises device,
And the response packet processed by the core network is forwarded to the user terminal through the virtual premises device. 제 1 항에 있어서,
상기 인증 요청 정보는 상기 인증 게이트웨이에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 1,
And the authentication request information is analyzed based on a list of authentication keys stored and matched with subscriber information by the authentication gateway. 제 1 항에 있어서,
상기 패킷은 브릿지 역할을 하는 홈게이트웨이를 통해 상기 사용자 단말로부터 상기 태깅부로 전달되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 1,
And the packet is configured to be delivered from the user terminal to the tagging unit through a home gateway serving as a bridge. 제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 시스템에 있어서,
제 2 계층 기반 네트워크 장치; 및
인증 게이트웨이
를 포함하고,
상기 제 2 계층 기반 네트워크 장치는,
사용자 단말로부터 패킷을 수신하고,
상기 패킷에 이너 태깅 및 아우터 태깅을 수행하고,
상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하고,
인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고,
상기 인증 게이트웨이는,
상기 가입자 인증키에 기초하여 인증 서버로 상기 인증 요청 정보를 전달하고, 상기 인증 서버부터 인증 결과를 수신하고, 상기 제 2 계층 기반 네트워크 장치로 상기 인증 결과를 전달하고,
상기 제 2 계층 기반 네트워크 장치는 상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고,
상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것이되,
상기 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 상기 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행되도록 구성되고,
상기 제 2 계층 기반 네트워크 장치는,
상기 CVLAN 태그 방식 및 상기 SVLAN 태그 방식을 이용하여 상기 패킷의 헤더에 설정되는 태그의 조합에 의해 상기 가입자 인증키를 생성하는 것인, 제 2 계층 기반 네트워크 시스템.In the system for providing a network service based on the second layer (L2),
A second layer-based network device; And
Authentication gateway
Including,
The second layer-based network device,
Receive a packet from the user terminal,
Inner tagging and outer tagging the packet,
Generate a subscriber authentication key based on the inner tagging and the outer tagging;
Transmitting authentication request information including the generated subscriber authentication key to an authentication gateway,
The authentication gateway,
Deliver the authentication request information to an authentication server based on the subscriber authentication key, receive an authentication result from the authentication server, and transmit the authentication result to the second layer-based network device,
The second layer-based network device transmits an IP allocation request to a virtual indoor device based on the authentication result,
The user terminal is configured to be assigned an IP address by the virtual indoor device,
The inner tagging is performed by a Customer Virtual Local Network (CVLAN) tagging method, and the outer tagging is configured to be performed by a Service Virtual Local Network (SVLAN) tagging method.
The second layer-based network device,
And generating the subscriber authentication key by a combination of a tag set in a header of the packet by using the CVLAN tagging scheme and the SVLAN tagging scheme. 제 8 항에 있어서,
상기 인증 게이트웨이는 단말 별로 가입자 정보와 인증키 리스트를 매칭하여 관리하고, 상기 인증키 리스트에 기초하여 상기 인증 요청 정보를 분석하도록 구성되는 것인, 제 2 계층 기반 네트워크 시스템.The method of claim 8,
The authentication gateway is configured to match and manage subscriber information and an authentication key list for each terminal, and analyze the authentication request information based on the authentication key list. 제 9 항에 있어서,
상기 인증 게이트웨이는 상기 인증키 리스트로부터 상기 가입자 인증키와 매칭되는 가입자 정보를 추출하고, 상기 추출된 가입자 정보를 상기 인증 서버로 전송하도록 구성되는 것인, 제 2 계층 기반 네트워크 시스템.The method of claim 9,
And the authentication gateway is configured to extract subscriber information matching the subscriber authentication key from the authentication key list and transmit the extracted subscriber information to the authentication server. 제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 장치에 있어서,
사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부;
상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 세션키를 생성하는 세션키 생성부
를 포함하고,
상기 세션키 생성부는 인증 게이트웨이를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이로 상기 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송하고,
상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고,
상기 인증 결과에 기초하여 상기 사용자 단말로 아이피 주소를 할당하도록 구성되는 것이되,
상기 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 상기 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행되도록 구성되고,
상기 세션키 생성부는 상기 CVLAN 태그 방식 및 상기 SVLAN 태그 방식을 이용하여 상기 패킷의 헤더에 설정되는 태그의 조합에 의해 상기 가입자 세션키를 생성하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.In the device for providing a network service based on the second layer (L2),
A tagging unit that performs inner tagging and outer tagging on a packet received from a user terminal;
Session key generation unit for generating a subscriber session key based on the inner tagging and the outer tagging
Including,
The session key generation unit transmits authentication request information including the generated subscriber session key to a broadband gateway to perform an authentication procedure through an authentication gateway,
Receive an authentication result processed by an authentication server based on the transmitted authentication request information from the authentication gateway,
Is configured to assign an IP address to the user terminal based on the authentication result,
The inner tagging is performed by a Customer Virtual Local Network (CVLAN) tagging method, and the outer tagging is configured to be performed by a Service Virtual Local Network (SVLAN) tagging method.
And the session key generation unit is configured to generate the subscriber session key by a combination of tags set in a header of the packet by using the CVLAN tagging scheme and the SVLAN tagging scheme. 삭제delete 삭제delete 제 11 항에 있어서,
상기 세션키 생성부는 상기 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 상기 광대역 게이트웨이로 상기 인증 요청 정보를 전송하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 11,
And the session key generator is configured to transmit the authentication request information to the broadband gateway based on whether the packet corresponds to a DHCP packet. 제 14 항에 있어서,
상기 세션키 생성부는, 상기 패킷이 DHCP 패킷에 해당하는 경우, 상기 광대역 게이트웨이로 상기 인증 요청 정보를 전송하고,
상기 광대역 게이트웨이에 의해 상기 인증 요청 정보에 기초하여 가입자 인증키가 생성되고,
상기 생성된 가입자 인증키가 포함된 인증 요청 정보는 상기 광대역 게이트웨이로부터 상기 인증 게이트웨이로 전송되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 14,
The session key generation unit transmits the authentication request information to the broadband gateway when the packet corresponds to a DHCP packet.
A subscriber authentication key is generated by the broadband gateway based on the authentication request information.
And the authentication request information including the generated subscriber authentication key is configured to be transmitted from the broadband gateway to the authentication gateway. 제 14 항에 있어서,
상기 세션키 생성부는, 상기 패킷이 DHCP 패킷이 아닌 경우, 상기 광대역 게이트웨이로 상기 패킷을 전송하고,
상기 광대역 게이트웨이에 의해 인증 세션이 확인되어 상기 패킷이 코어 네트워크로 전달되고,
상기 코어 네트워크에 의해 처리된 응답 패킷이 상기 광대역 게이트웨이 및 상기 제 2 계층 기반 네트워크 장치를 통해 상기 사용자 단말로 전달되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 14,
The session key generation unit, if the packet is not a DHCP packet, transmits the packet to the broadband gateway,
An authentication session is confirmed by the broadband gateway and the packet is forwarded to a core network,
And the response packet processed by the core network is forwarded to the user terminal through the broadband gateway and the second layer-based network device. 제 11 항에 있어서,
상기 인증 요청 정보는 상기 인증 게이트웨이에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 11,
And the authentication request information is analyzed based on a list of authentication keys stored and matched with subscriber information by the authentication gateway. 제 11 항에 있어서,
상기 태깅부는 브릿지 역할을 하는 홈게이트웨이를 통해 상기 사용자 단말로부터 상기 패킷을 수신하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.The method of claim 11,
And the tagging unit is configured to receive the packet from the user terminal through a home gateway acting as a bridge.
KR1020150169008A 2015-07-06 2015-11-30 Device and system for providing l2 network service KR102076121B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20150096165 2015-07-06
KR1020150096165 2015-07-06

Publications (2)

Publication Number Publication Date
KR20170005747A KR20170005747A (en) 2017-01-16
KR102076121B1 true KR102076121B1 (en) 2020-02-11

Family

ID=57993479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150169008A KR102076121B1 (en) 2015-07-06 2015-11-30 Device and system for providing l2 network service

Country Status (1)

Country Link
KR (1) KR102076121B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8619788B1 (en) * 2010-06-14 2013-12-31 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks
US8688552B1 (en) * 2011-05-25 2014-04-01 Juniper Networks, Inc. Performing separate accounting and billing for each customer of a shared customer device

Also Published As

Publication number Publication date
KR20170005747A (en) 2017-01-16

Similar Documents

Publication Publication Date Title
CN105637805B (en) Enhance mobile alternate channel to solve the node failure in wired networks
US9838261B2 (en) Method, apparatus, and system for providing network traversing service
US20150350912A1 (en) Residential service delivery based on unique residential apn
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
EP2901630B1 (en) Method operating in a fixed access network and user equipments
AU2014261983B2 (en) Communication managing method and communication system
EP1325591A1 (en) Wireless provisioning device
CN108141772B (en) Control device and storage medium
US20120257565A1 (en) Mobile network traffic management
KR102117434B1 (en) Method for improved handling of at least one communication exchange between a telecommunication network and at least one user equipment, telecommunication network, user equipment, systems, programs and computer program products
US20240223401A1 (en) Systems and methods for using a common control plane to control a plurality of access networks
US20240155736A1 (en) Communication system, communication apparatus, communication method, and non-transitory medium
Kind et al. Splitarchitecture: Applying the software defined networking concept to carrier networks
CN102740290B (en) Method for pre-authentication and pre-configuration, and system thereof
JP2012070225A (en) Network relay device and transfer control system
JP5261432B2 (en) Communication system, packet transfer method, network switching apparatus, access control apparatus, and program
JP6532975B1 (en) IP network connection system, IP network connection device, IP network connection method, and program
KR102076121B1 (en) Device and system for providing l2 network service
JP5982706B2 (en) Secure tunneling platform system and method
EP3402168A1 (en) A communication system and a communication method
JP5947763B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
JP5624112B2 (en) Quality of service control in wireless local area networks
JP5864453B2 (en) Communication service providing system and method
US20240298176A1 (en) Methods and apparatus for implementing vlan stacking for seamless roaming in high density wireless networks
US20210051076A1 (en) A node, control system, communication control method and program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant