KR102185215B1 - Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal - Google Patents

Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal Download PDF

Info

Publication number
KR102185215B1
KR102185215B1 KR1020160085784A KR20160085784A KR102185215B1 KR 102185215 B1 KR102185215 B1 KR 102185215B1 KR 1020160085784 A KR1020160085784 A KR 1020160085784A KR 20160085784 A KR20160085784 A KR 20160085784A KR 102185215 B1 KR102185215 B1 KR 102185215B1
Authority
KR
South Korea
Prior art keywords
terminal
authentication
access
traffic
network
Prior art date
Application number
KR1020160085784A
Other languages
Korean (ko)
Other versions
KR20180005551A (en
Inventor
이진근
김세훈
김일용
우상우
전준용
김영환
이종경
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020160085784A priority Critical patent/KR102185215B1/en
Publication of KR20180005551A publication Critical patent/KR20180005551A/en
Application granted granted Critical
Publication of KR102185215B1 publication Critical patent/KR102185215B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

인증 장치의 동작 방법, 종단단말의 동작 방법 및 접속단말의 동작 방법이 제공된다. 이 방법은 접속단말을 통해 네트워크에 접속하는 종단단말에 대한 네트워크 접속 및 인증을 수행하는 인증장치의 동작 방법으로서, 상기 네트워크에 접속 절차를 완료한 상기 접속단말에 대해 트래픽 차단을 설정하는 단계, 상기 접속단말과 연결된 상기 종단단말로부터 인증 요청을 수신하는 단계, 그리고 상기 종단단말에 대한 인증을 수행한 후, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계를 포함하고, 상기 트래픽 차단이 해제되면, 상기 종단단말은 상기 접속단말을 통해 상기 네트워크에 접속하여 데이터 서비스를 제공받는다.An operation method of an authentication device, an operation method of an end terminal, and an operation method of a connection terminal are provided. This method is an operating method of an authentication device that performs network access and authentication for a terminal terminal that accesses a network through an access terminal, the step of setting traffic blocking for the access terminal that has completed an access procedure to the network, the Receiving an authentication request from the terminal terminal connected to the access terminal, and after performing authentication on the terminal terminal, releasing the traffic blocking for the access terminal, and when the traffic blocking is released, the A terminal terminal accesses the network through the access terminal to receive a data service.

Figure R1020160085784
Figure R1020160085784

Description

인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법{OPERATING METHOD OF AUTHENTICATION APPARATUS, SYSTEM FOR NETWORK ACCESS AND UTHENTICATION, OPERATING METHOD OF END TERMINAL AND OPERATING METHOD OF ACCESS TERMINAL}Operation method of authentication device, network connection and authentication system, operation method of terminal terminal and operation method of connection terminal {OPERATING METHOD OF AUTHENTICATION APPARATUS, SYSTEM FOR NETWORK ACCESS AND UTHENTICATION, OPERATING METHOD OF END TERMINAL AND OPERATING METHOD OF ACCESS TERMINAL}

본 발명은 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법에 관한 것이다.The present invention relates to a method of operating an authentication device, a network connection and authentication system, a method of operating a terminal terminal, and a method of operating a connection terminal.

PC(Personal Computer)는 일반적으로 LTE(Long Term Evolution) 통신 모듈과 가입자 모듈(USIM, universal subscriber identity module)이 없어 LTE 직접 접속이 불가능하다. In general, a personal computer (PC) does not have a long term evolution (LTE) communication module and a universal subscriber identity module (USIM), so direct LTE access is not possible.

또한, 타 통신사 스마트폰은 LTE 통신 모듈은 있지만 USIM 정보가 없어 LTE 인증을 할 수 없다. 이러한 경우 사설망 접속 LTE 서비스를 제공 받으려면 접속(또는 릴레이) 단말을 통해 네트워크에 접속해야 한다. In addition, smartphones from other carriers have an LTE communication module, but there is no USIM information, so LTE authentication cannot be performed. In this case, in order to receive a private network access LTE service, it is necessary to access the network through an access (or relay) terminal.

여기서, 접속단말은 무선 통신 사업자와는 LTE로 직접 접속을 하고, 종단단말과는 별도의 연결 인터페이스를 사용한다. 접속단말의 예시로서, USB-LTE 동글(Dongle), LTE-WiFi 에그(Egg), LTE 라우터 등이 있다.Here, the access terminal directly connects to the wireless communication service provider through LTE and uses a separate connection interface from the terminal terminal. Examples of access terminals include a USB-LTE dongle, an LTE-WiFi egg, and an LTE router.

USB-LTE 동글은 종단단말(예, PC)과 USB 통신을 해서 LTE 서비스를 제공한다. LTE-WiFi 에그의 경우 WiFi 인터페이스로 종단단말(예, PC, 스마트폰 등과 연결할 수 있다. LTE 라우터(router)는 랜(LAN, Local Area Network) 케이블로 PC에 연결될 수 있다. The USB-LTE dongle provides LTE service through USB communication with an end terminal (eg, PC). In the case of an LTE-WiFi egg, a terminal terminal (eg, PC, smartphone, etc.) can be connected through a WiFi interface. The LTE router can be connected to a PC through a LAN (Local Area Network) cable.

이렇게 종단단말이 접속단말을 경유하여 사설 LTE망에 접속하는 경우, 접속단말, 즉, USIM과 LTE 통신 모듈이 탑재되는 동글, 에그, 라우터는 사업자 레벨로 인증을 하여 접속 제어를 할 수 있다. When the terminal terminal accesses the private LTE network via the access terminal in this way, the access terminal, that is, the dongle, egg, and router on which the USIM and LTE communication module are mounted can perform access control by authenticating at the operator level.

그러나, 종단단말(예, PC, 스마트폰, 패드 등)은 무인증이거나 또는 기존 WiFi 인증 수준의 접근 제어만 가능하다. 그런데, Wifi 인증 방식은 LTE 에그에 설정하는 값이고 에그 사용자가 변경 가능하므로, 완전한 보안 솔루션이라고 볼 수 없다.However, the end terminal (eg, PC, smartphone, pad, etc.) is either unauthenticated or only access control at the level of existing WiFi authentication is possible. However, since the Wifi authentication method is a value set for LTE eggs and can be changed by the egg user, it is not considered a complete security solution.

한편, 일반적으로 기업의 경우 기업 인트라넷(Intranet) 내부의 데이터 서버와 정보를 매우 중요하게 관리하고, 접근 제어를 하게 되는데, 무인증으로 접속하는 단말이 생겨날 경우, 기업의 정보 보호에 심각한 위협을 주게 된다. On the other hand, in general, in the case of a company, the data server and information inside the corporate intranet are very importantly managed and access control is performed.If a terminal that accesses without authentication is created, it poses a serious threat to the protection of the company's information. .

특히, 무인증으로 접속단말의 접속을 허용하고, 이 접속단말을 분실하거나 도난당한 경우, 이를 인지하여 해당 접속단말의 접속 권한을 완전 차단하기전까지 기업은 외부 공격이나 자료유출의 위험에 그대로 노출되는 것이다. In particular, if the connection terminal is allowed to access without authentication, and the connection terminal is lost or stolen, the company is exposed to the risk of external attacks or data leakage until it is recognized and the access right of the connection terminal is completely blocked. .

또한, WiFi 인증과 같은 접속단말 인증을 사용하더라도 정보 변경 권한을 기업내 사용자에게 제공할 경우, 비인가 PC나 스마트폰의 접속 권한을 바꿀 수 있기 때문에 이 역시 안전하다고 볼 수는 없다.In addition, even if connection terminal authentication such as WiFi authentication is used, if the authority to change information is provided to users in the enterprise, the access authority of unauthorized PCs or smartphones can be changed, so this is also not safe.

본 발명이 해결하고자 하는 과제는 가입자 모듈 및 통신 모듈이 없는 종단단말이 접속단말을 경유해 전용망 또는 인트라넷에 접속하는 경우, 종단단말에 대한 인증 및 접근 권한을 제어하는 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법을 제공하는 것이다.The problem to be solved by the present invention is, when a terminal terminal without a subscriber module and a communication module connects to a dedicated network or intranet via an access terminal, an operation method of an authentication device that controls authentication and access rights to the terminal terminal, network access And an authentication system, an operation method of an end terminal, and an operation method of a connection terminal.

본 발명의 한 특징에 따르면, 접속단말을 통해 네트워크에 접속하는 종단단말에 대한 네트워크 접속 및 인증을 수행하는 인증장치의 동작 방법으로서, 상기 네트워크에 접속 절차를 완료한 상기 접속단말에 대해 트래픽 차단을 설정하는 단계, 상기 접속단말과 연결된 상기 종단단말로부터 인증 요청을 수신하는 단계, 그리고 상기 종단단말에 대한 인증을 수행한 후, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계를 포함하고,According to one feature of the present invention, there is provided a method of operating an authentication device that performs network access and authentication for a terminal terminal that accesses a network through an access terminal, and blocks traffic for the access terminal that has completed an access procedure to the network. Setting, receiving an authentication request from the terminal connected to the access terminal, and releasing blocking of traffic to the access terminal after performing authentication for the terminal terminal,

상기 트래픽 차단이 해제되면, 상기 종단단말은 상기 접속단말을 통해 상기 네트워크에 접속하여 데이터 서비스를 제공받는다.When the traffic blocking is released, the terminal terminal accesses the network through the access terminal to receive a data service.

상기 설정하는 단계는, The setting step,

전용망으로의 접속 요청을 상기 접속단말로부터 수신하여 상기 접속단말이 전용망 서비스 가입자인지 인증하는 단계, 그리고 상기 인증에 성공하면, 상기 접속단말에 대해 인증 트래픽을 제외한 모든 트래픽에 대한 차단을 설정하는 단계를 포함할 수 있다.Receiving a connection request to the dedicated network from the access terminal to authenticate whether the access terminal is a dedicated network service subscriber, and if the authentication is successful, setting a block for all traffic except the authentication traffic for the access terminal. Can include.

상기 모든 트래픽에 대한 차단을 설정하는 단계는, The step of setting the blocking for all the traffic,

상기 인증장치가 트래픽 제어 장치로부터 상기 접속단말에 대한 세션의 서비스 품질(QoS, Quality of Service) 정보를 요청받는 단계, 그리고 상기 서비스 품질 정보를 상기 트래픽 제어 장치로 응답하는 단계를 포함하고,Receiving, by the authentication device, a request for quality of service (QoS) information of a session for the access terminal from a traffic control device, and responding to the quality of service information to the traffic control device,

상기 트래픽 제어 장치는 상기 서비스 품질 정보를 패킷 데이터 네트워크 게이트웨이로 전달하며, The traffic control device transmits the quality of service information to a packet data network gateway,

상기 패킷 데이터 네트워크 게이트웨이는 상기 접속단말에 대해 인증 트래픽을 제외한 모든 트래픽에 대해 차단을 설정할 수 있다.The packet data network gateway may set blocking for all traffic except for authentication traffic for the access terminal.

상기 인증하는 단계는,The authenticating step,

상기 패킷 데이터 네트워크 게이트웨이로부터 상기 접속단말의 접속요청을 수신하는 단계, 상기 접속요청에 포함된 정보를 토대로 상기 접속단말이 전용망 서비스 가입자인지 판단하는 단계, 상기 전용망 서비스 가입자로 판단되면, 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계를 포함할 수 있다.Receiving an access request from the access terminal from the packet data network gateway, determining whether the access terminal is a dedicated network service subscriber based on information included in the access request, and if it is determined as the dedicated network service subscriber, an access response is sent to the It may include transmitting the packet data to the network gateway.

상기 인증하는 단계는,The authenticating step,

상기 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계 이후, 상기 접속단말에 대한 세션을 저장하는 단계를 더 포함하고,After the step of transmitting the access response to the packet data network gateway, further comprising the step of storing a session for the access terminal,

상기 패킷 데이터 네트워크 게이트웨이는, 상기 접속응답이 수신되면, 상기 접속단말에 전용망에서 사용할 IP를 할당하고, 상기 접속단말로 세션 생성 응답을 전송할 수 있다.When the access response is received, the packet data network gateway may allocate an IP to be used in a dedicated network to the access terminal and transmit a session creation response to the access terminal.

상기 접속요청을 수신하는 단계 이후, After receiving the connection request,

상기 접속요청을 전송한 단말이 일반 단말인지 또는 상기 접속단말인지 판단하는 단계, 그리고 상기 일반단말이면, 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계를 더 포함하고,Determining whether the terminal that has transmitted the access request is a general terminal or the access terminal, and if it is the general terminal, transmitting an access response to the packet data network gateway,

상기 접속단말로 판단되면, 상기 판단하는 단계가 수행될 수 있다.If it is determined as the access terminal, the determining step may be performed.

상기 해제하는 단계는, The step of releasing,

상기 종단단말과 연결된 접속단말을 확인하여 상기 접속단말에 대한 세션의 서비스 품질(QoS, Quality of Service) 정보를 확인하는 단계, 상기 서비스 품질 정보가 트래픽 차단으로 설정된 경우, 상기 종단단말에게 제1 인증키를 전송하는 단계, 상기 종단단말로부터 상기 인증키를 이용하여 정해진 알고리즘으로 연산된 제1 인증값을 수신하는 단계, 그리고 상기 제1 인증값이 유효한지 확인하여, 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계를 포함할 수 있다.Checking the access terminal connected to the terminal terminal to check the quality of service (QoS) information of the session for the access terminal, when the quality of service information is set to block traffic, first authentication to the terminal terminal Transmitting a key, receiving a first authentication value calculated by a predetermined algorithm using the authentication key from the terminal terminal, and checking whether the first authentication value is valid, and if so, the connection terminal It may include the step of unblocking the traffic.

상기 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계는,If the valid, the step of releasing the blocking of the traffic to the access terminal,

상기 종단단말과 동일한 알고리즘으로 제2 인증값을 연산하는 단계, 상기 제1 인증값과 상기 제2 인증값이 일치하면, 상기 제1 인증값이 유효한 것으로 판단하는 단계, 그리고 상기 제1 인증값이 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계를 포함할 수 있다.Computing a second authentication value using the same algorithm as the terminal terminal, determining that the first authentication value is valid when the first authentication value and the second authentication value match, and the first authentication value is If valid, it may include the step of releasing the blocking of the traffic to the access terminal.

상기 제1 인증값 및 상기 제2 인증값은, The first authentication value and the second authentication value,

상기 제1 인증키와, 상기 종단단말의 MAC(Media Access Control), IMEI(International Mobile Equipment Identity), PassWord(PW), OTP(One Time Password) 중 적어도 하나를 이용하여 연산될 수 있다.It may be calculated using the first authentication key and at least one of Media Access Control (MAC), International Mobile Equipment Identity (IMEI), PassWord (PW), and One Time Password (OTP) of the terminal terminal.

상기 제1 인증값이 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계 이후, If the first authentication value is valid, after the step of releasing traffic blocking for the access terminal,

인증 결과 및 재인증에 사용할 제2 인증키를 상기 종단단말로 전송하는 단계, 상기 제2 인증키를 이용한 재인증 요청을 상기 종단단말로부터 수신하여 재인증을 수행하는 단계, 그리고 상기 재인증에 실패하는 경우, 상기 접속단말에 대한 트래픽 차단을 설정하는 단계를 더 포함할 수 있다.Transmitting an authentication result and a second authentication key to be used for re-authentication to the terminal terminal, receiving a re-authentication request using the second authentication key from the terminal terminal to perform re-authentication, and the re-authentication failure If so, it may further include the step of setting the traffic blocking for the access terminal.

상기 재인증에 실패하는 경우, 상기 접속단말에 대한 트래픽 차단을 설정하는 단계는,When the re-authentication fails, the step of setting traffic blocking for the access terminal,

재인증 타이머를 구동하고, 타이머 만료 시간을 상기 종단단말로 전송하는 단계, 그리고 상기 재인증에 실패하거나 또는 상기 타이머 만료 시간 이내에 상기 재인증 요청이 수신되지 않으면, 상기 트래픽 차단을 설정하는 단계를 포함할 수 있다.Driving a re-authentication timer, transmitting a timer expiration time to the terminal terminal, and setting the traffic blocking when the re-authentication fails or the re-authentication request is not received within the timer expiration time. can do.

본 발명의 다른 특징에 따르면, 접속단말을 통해 네트워크에 접속하는 종단단말에 대한 네트워크 접속 및 인증을 수행하는 시스템으로서, 상기 네트워크에 접속절차가 완료된 접속단말의 정보와 상기 접속단말에 대해 등록된 종단단말의 정보를 저장하는 인증 DB, 그리고 상기 접속단말과 연결된 상기 종단단말로부터 IP(Internet Protocol) 및 종단말 ID가 포함된 인증 요청이 수신되면, 상기 IP를 토대로 상기 종단단말과 연결된 접속단말을 상기 인증 DB로부터 확인하고, 상기 접속단말에 대해 트래픽 차단으로 설정되어 있으면, 상기 종단단말에 대한 인증을 수행한 후, 트래픽 차단을 해제하는 인증 장치를 포함한다.According to another feature of the present invention, as a system for performing network access and authentication for a terminal terminal that accesses a network through an access terminal, information on the connection terminal for which the connection procedure is completed and the terminal registered for the connection terminal When an authentication request including an IP (Internet Protocol) and a terminal ID is received from an authentication DB storing terminal information and the terminal terminal connected to the access terminal, the connection terminal connected to the terminal terminal is determined based on the IP. It checks from the authentication DB, and if the access terminal is set to block traffic, it includes an authentication device for releasing the traffic blocking after performing authentication for the terminal terminal.

상기 인증 DB는, The authentication DB,

상기 접속단말의 단말 식별자 필드, 상기 접속단말의 정책 필드, 상기 접속단말의 IP 필드, 상기 접속단말의 접속상태 필드 및 상기 접속단말과 연결되는 적어도 하나의 종단단말 ID 필드를 포함하는 제1 인증 테이블, 그리고 상기 종단단말 ID 필드에 대응하는 종단단말의 단말 식별자 필드 및 상기 종단단말에 대한 적어도 하나의 인증방식 필드를 포함하는 제2 인증 테이블을 포함할 수 있다.A first authentication table including a terminal identifier field of the access terminal, a policy field of the access terminal, an IP field of the access terminal, a connection status field of the access terminal, and at least one terminal ID field connected to the access terminal And a second authentication table including a terminal identifier field of a terminal terminal corresponding to the terminal terminal ID field and at least one authentication method field for the terminal terminal.

상기 인증장치는, The authentication device,

상기 인증 요청에 포함된 IP와 종단단말 ID가 수록된 접속단말을 상기 제1 인증 테이블로부터 확인하고, 상기 종단단말 ID에 대응하여 수록된 인증방식을 상기 제2 인증 테이블로부터 확인하며, 상기 제2 인증 테이블로부터 확인한 인증방식을 이용하여 상기 종단단말에 대한 인증을 수행할 수 있다.The connection terminal containing the IP and the end terminal ID included in the authentication request is checked from the first authentication table, the authentication method recorded in correspondence with the end terminal ID is checked from the second authentication table, and the second authentication table It is possible to perform authentication for the terminal terminal using the authentication method confirmed from.

상기 인증 장치는, The authentication device,

네트워크 접속 절차 이후, 상기 접속단말에 대해 상기 제1 인증 테이블의 정책 필드를 트래픽 차단으로 설정하고, 상기 종단단말에 대해 인증이 성공하면, 상기 제1 인증 테이블의 정책 필드를 트래픽 차단 해제로 설정할 수 있다.After the network access procedure, the policy field of the first authentication table is set to block traffic for the access terminal, and if authentication is successful for the terminal terminal, the policy field of the first authentication table can be set to cancel traffic blocking. have.

상기 접속단말로부터 접속요청이 수신되면, 상기 인증장치로 접근 요청을 전송하여 접근 응답이 수신되면, 상기 인증장치로부터 트래픽 차단 설정을 요청받아 인증 트래픽 외 모든 트래픽에 대해 차단을 설정하고, 이후, 상기 종단단말에 대한 인증이 성공하면, 상기 트래픽에 대한 차단 설정을 해제하는 패킷 데이터 네트워크 게이트웨이를 더 포함할 수 있다.When an access request is received from the access terminal, when an access request is transmitted to the authentication device and an access response is received, a traffic blocking setting is requested from the authentication device, and blocking is set for all traffic other than authentication traffic, and then, the A packet data network gateway for canceling a blocking setting for the traffic when the authentication for the terminal terminal is successful may be further included.

상기 패킷 데이터 네트워크 게이트웨이의 요청에 따라 상기 인증장치로 요청하여 상기 트래픽 차단 설정 또는 트래픽 차단 해제 정보가 포함된 상기 접속단말에 대한 세션의 서비스 품질(QoS, Quality of Service) 정보를 상기 인증장치로부터 수신하여 상기 패킷 데이터 네트워크 게이트웨이에게 전달하는 트래픽 제어 장치를 더 포함할 수 있다.Receives session quality of service (QoS) information from the authentication device, including the traffic blocking setting or traffic blocking cancellation information, by requesting to the authentication device at the request of the packet data network gateway Thus, it may further include a traffic control device for transmitting to the packet data network gateway.

상기 인증장치는,The authentication device,

상기 접속단말이 전용망 서비스 가입자인지 확인한 후, 전용망 서비스 가입자이면, 네트워크 접속을 허용할 수 있다.After checking whether the access terminal is a dedicated network service subscriber, if the access terminal is a dedicated network service subscriber, the network connection can be allowed.

본 발명의 또 다른 특징에 따르면, 접속단말을 통해 네트워크에 접속하는 종단단말의 동작 방법으로서, 상기 종단단말이 상기 접속단말과 연결되는 단계, 상기 접속단말을 통해 인증장치로 인증을 요청하는 단계, 그리고 상기 인증에 성공하면, 상기 접속단말을 통해 상기 네트워크에 접속하여 데이터 서비스를 제공받는 단계를 포함한다.According to another feature of the present invention, a method of operating a terminal terminal accessing a network through a connection terminal, comprising: connecting the terminal terminal to the connection terminal, requesting authentication to an authentication device through the connection terminal, And if the authentication is successful, accessing the network through the access terminal and receiving a data service.

상기 제공받는 단계는,The receiving step,

상기 인증장치로부터 제1 인증키를 수신하여 정해진 알고리즘으로 제1 인증값을 생성하는 단계, 상기 제1 인증값을 상기 인증장치로 전송하여 상기 제1 인증값이 유효한지 인증 결과를 수신하는 단계, 그리고 상기 제1 인증값이 유효한 경우, 상기 접속단말을 통해 상기 네트워크에 접속하여 데이터 서비스를 제공받는 단계를 포함할 수 있다.Receiving a first authentication key from the authentication device and generating a first authentication value using a predetermined algorithm, transmitting the first authentication value to the authentication device to receive an authentication result whether the first authentication value is valid, And when the first authentication value is valid, it may include the step of accessing the network through the access terminal to receive a data service.

상기 제공받는 단계 이후, After the receiving step,

상기 인증 결과와 함께 수신한 재인증 키를 이용하여 주기적으로 상기 인증장치로 재인증을 요청하는 단계를 더 포함하고,Further comprising the step of periodically requesting re-authentication to the authentication device by using the re-authentication key received with the authentication result,

상기 재인증에 실패하면 상기 접속단말의 트래픽 차단이 설정될 수 있다.If the re-authentication fails, traffic blocking of the access terminal may be set.

본 발명의 또 다른 특징에 따르면, 종단단말을 네트워크에 접속시키는 접속단말의 동작 방법으로서, 상기 접속단말이 상기 종단단말과 연결되는 단계, 상기 종단단말과 인증장치 간의 인증 트래픽 송수신을 중계하는 단계, 그리고 상기 종단단말에 대한 인증 장치의 인증 결과에 따라 상기 종단단말의 네트워크 접속 및 사용자 트래픽 송수신을 허용할지 여부를 결정하는 단계를 포함한다.According to another feature of the present invention, a method of operating a connection terminal for connecting a terminal terminal to a network, comprising: connecting the connection terminal to the terminal terminal, relaying authentication traffic transmission/reception between the terminal terminal and an authentication device, And determining whether to allow the terminal terminal to access the network and transmit/receive user traffic according to the authentication result of the authentication device for the terminal terminal.

상기 결정하는 단계는,The determining step,

인증에 성공하면, 상기 종단단말과 상기 네트워크 간의 트래픽 송수신 경로를 허용하는 단계, 그리고 상기 인증에 실패하면, 상기 종단단말과 상기 네트워크 간의 트래픽 송수신 경로를 차단하는 단계를 포함할 수 있다.If authentication is successful, allowing a traffic transmission/reception path between the terminal terminal and the network, and if the authentication fails, blocking a traffic transmission/reception path between the terminal terminal and the network.

본 발명의 실시예에 따르면, 접속단말을 통해 LTE 기반의 사설망 또는 인틀넷 접속시 종단단말과 인증 서버가 직접 인증함으로써, USIM 인증을 할 수 없는 종단단말의 접근 권한을 제어할 수 있다. According to an embodiment of the present invention, when accessing an LTE-based private network or an intranet through an access terminal, the terminal terminal and the authentication server directly authenticate, thereby controlling the access rights of the terminal terminal that cannot perform USIM authentication.

또한, 접속단말의 기능추가 없이 종단단말-인증서버간 인증을 통해 접속 제어를 할 수 있고, 이를 통해 사설망을 사용하는 기업의 데이터를 보다 안전하게 보호할 수 있으며, 접속 인증 관련된 정보가 서버 구간에 존재해 관리의 용이성도 증가한다. In addition, it is possible to control access through authentication between the terminal terminal and the authentication server without adding the function of the connection terminal, and through this, the data of the company using the private network can be more securely protected, and information related to connection authentication exists in the server section. The ease of management of the solution is also increased.

또한, 종단단말 인증 방식을 사용자 인증만으로 설정할 수 있으며, 이 경우 이동식 접속단말(USB 동글, WiFi Egg)을 이용해 다른 종단단말(PC, 노트북)을 사용해 사설망 LTE 서비스를 이용할 수 있어 이동성을 극대화 할 수 있다.In addition, the end terminal authentication method can be set only with user authentication, and in this case, a mobile connection terminal (USB dongle, WiFi Egg) can be used to use a private network LTE service using another terminal terminal (PC, notebook), thus maximizing mobility. have.

또한, 접속단말에 여러 종단단말의 사용권한을 부여할 수 있고, 인증 레벨을 관리자가 사용자별로 지정할 수 있어 인증 수준 단계 조정을 통해 차등 관리가 가능하다.In addition, the access terminal can be given permission to use multiple terminal terminals, and the administrator can designate the authentication level for each user, thereby enabling differential management by adjusting the authentication level level.

또한, 통신 사업자 입장에서는 타사 스마트폰 가입자도 접속단말을 통해 사설망 LTE 서비스가 가능해 신규 고객사 유치 및 기업별 데이터 사용량 증대에 따른 사업 활성화에 도움을 줄 수 있다. In addition, from the point of view of a telecommunication service provider, third-party smartphone subscribers can also provide private network LTE service through the access terminal, which can help in attracting new customers and revitalizing business by increasing data usage by company.

또한, 단순 단말 인증 뿐만 아나라 등급에 따라 단말, 사용자, SMS 인증 등 다양한 추가 인증의 조합으로 사용이 가능하여, 사용자 인증만으로도 접속이 가능하다.In addition, it is possible to use not only simple terminal authentication but also a combination of various additional authentications such as terminal, user, and SMS authentication according to the level of the Nara, so that access is possible only with user authentication.

도 1은 본 발명의 실시예에 따른 종단단말의 네트워크 인증 및 접속 제어 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 접속단말의 네트워크 접속 절차를 나타낸 흐름도이다.
도 3은 본 발명의 실시예에 따른 접속단말의 인증 절차를 나타낸 흐름도이다.
도 4는 본 발명의 실시예에 따른 종단단말의 인증 절차를 나타낸 흐름도이다.
도 5는 본 발명의 실시예에 따른 종단단말의 재인증 절차를 나타낸 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 인증 장치의 접근 제어 동작을 나타낸 순서도이다.
도 7은 본 발명의 한 실시예에 따른 인증 장치의 접속 인증 동작을 나타낸 순서도이다.
도 8은 본 발명의 실시예에 따른 인증 DB에 저장되는 정보의 구성예시도이다.
도 9는 본 발명의 한 실시예에 따른 시스템의 하드웨어 블록도이다.
도 10은 본 발명의 다른 실시예에 따른 종단단말의 네트워크 인증 및 접속 제어 방법을 나타낸 흐름도이다.
도 11은 본 발명의 한 실시예에 따른 사용자 접속 시나리오를 나타낸다.
도 12는 본 발명의 다른 실시예에 따른 사용자 접속 시나리오를 나타낸다.
도 13은 본 발명의 또 다른 실시예에 따른 사용자 접속 시나리오를 나타낸다.
도 14는 본 발명의 또 다른 실시예에 따른 사용자 접속 시나리오를 나타낸다.1 is a configuration diagram of a network authentication and access control system of an end terminal according to an embodiment of the present invention.
2 is a flowchart illustrating a network access procedure of an access terminal according to an embodiment of the present invention.
3 is a flowchart showing an authentication procedure of an access terminal according to an embodiment of the present invention.
4 is a flowchart showing an authentication procedure of an end terminal according to an embodiment of the present invention.
5 is a flowchart illustrating a re-authentication procedure of an end terminal according to an embodiment of the present invention.
6 is a flowchart illustrating an access control operation of an authentication device according to an embodiment of the present invention.
7 is a flowchart illustrating a connection authentication operation of an authentication device according to an embodiment of the present invention.
8 is an exemplary configuration diagram of information stored in an authentication DB according to an embodiment of the present invention.
9 is a hardware block diagram of a system according to an embodiment of the present invention.
10 is a flowchart illustrating a network authentication and access control method of an end terminal according to another embodiment of the present invention.
11 shows a user access scenario according to an embodiment of the present invention.
12 shows a user access scenario according to another embodiment of the present invention.
13 shows a user access scenario according to another embodiment of the present invention.
14 shows a user access scenario according to another embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art may easily implement the present invention. However, the present invention may be implemented in various different forms and is not limited to the embodiments described herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part "includes" a certain component, it means that other components may be further included rather than excluding other components unless otherwise stated. In addition, terms such as "... unit", "... group", and "module" described in the specification mean units that process at least one function or operation, which can be implemented by hardware or software or a combination of hardware and software. have.

본 명세서에서 단말은 이동국(Mobile Station, MS), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등을 지칭할 수도 있고, 이동국, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치, 접근 단말 등의 전부 또는 일부의 기능을 포함할 수도 있다. In this specification, the terminal is a mobile station (MS), a mobile terminal (MT), a subscriber station (SS), a portable subscriber station (PSS), and a user equipment (UE). , Access Terminal (AT), and the like, and may include all or part of functions such as a mobile station, a mobile terminal, a subscriber station, a mobile subscriber station, a user equipment, and an access terminal.

본 명세서의 단말은 기지국(base station, BS), 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 고도화 노드B(evolved NodeB, eNodeB), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등과 같은 네트워크 장치에 접속하여 원격의 서버에 연결될 수 있다.The terminal of the present specification includes a base station (BS), an access point (AP), a radio access station (RAS), a node B, an advanced node B (evolved NodeB, eNodeB), It is possible to connect to a remote server by accessing a network device such as a base transceiver station (BTS) or a mobile multihop relay (MMR)-BS.

본 명세서의 단말은 스마트폰과 같은 모바일 단말, 스마트 패드와 태블릿 PC와 같은 태블릿 단말, 컴퓨터, 텔레비전 등 다양한 형태의 통신 단말로서, 복수의 통신 인터페이스를 구비할 수 있다. The terminals of the present specification are various types of communication terminals such as a mobile terminal such as a smart phone, a tablet terminal such as a smart pad and a tablet PC, a computer, and a television, and may have a plurality of communication interfaces.

통신 인터페이스는 다양할 수 있다. 예를 들면, 통신 인터페이스는 와이파이(WiFi)/WLAN/블루투스(bluetooth) 등의 근거리 무선망 인터페이스, 그리고 3G/LTE(Long Term Evolution)/LTE-A(Long Term Evolution-Advanced) 등의 이동통신망 인터페이스를 포함할 수 있고, 단말 제조사가 다양한 통신 인터페이스를 추가할 수 있다. 본 명세서에서는 WiFi 인터페이스와 3G/LTE 인터페이스를 예로 들어 설명하나, 통신 인터페이스가 이에 한정되는 것은 아니다. Communication interfaces can vary. For example, the communication interface is a short-range wireless network interface such as WiFi/WLAN/Bluetooth, and a mobile communication network interface such as 3G/LTE (Long Term Evolution)/LTE-A (Long Term Evolution-Advanced). May include, and a terminal manufacturer may add various communication interfaces. In the present specification, a WiFi interface and a 3G/LTE interface are described as examples, but the communication interface is not limited thereto.

일반적인 LTE 단말은 LTE용 가입자 모듈(USIM)이 탑재되고 해당 통신사 LTE망에 접속하여 전화나 공중 인터넷 접속 서비스를 받는다. A typical LTE terminal is equipped with an LTE subscriber module (USIM), and connects to the LTE network of a corresponding carrier to receive telephone or public Internet access services.

사설망 LTE 서비스는 이러한 LTE 단말을 이용해 통신 사업자의 기지국 및 무선 코어망을 거쳐 전용망, 예를들면, 기업의 인트라넷(Intranet)으로 접속할 수 있게 하는 서비스이다. Private network LTE service is a service that enables access to a dedicated network, for example, an intranet of a company, through a base station and a wireless core network of a communication service provider using such an LTE terminal.

이때, 본 발명의 실시예에서는 접속단말을 경유해 사설망 LTE 서비스를 이용시 종단단말의 인증 및 접속 제어를 할 수 있는 기술에 관련된 것으로 이하 각 구성요소에 대하여 도면을 참고하여 설명한다. 즉, 실제 서비스 이용 단말인 종단단말과 망 접속 단말인 접속단말이 분리된 경우에, 종단단말에 대한 인증 및 접속 제어를 하는 실시예에 대한 것이다. In this case, the embodiment of the present invention relates to a technology capable of authentication and access control of a terminal terminal when using a private network LTE service via an access terminal, and each component will be described below with reference to the drawings. That is, when the terminal terminal, which is an actual service use terminal, and an access terminal, which is a network access terminal, are separated, an embodiment of authentication and access control for the terminal terminal is performed.

도 1은 본 발명의 실시예에 따른 네트워크 인증 및 접속 제어 시스템의 구성도이다.1 is a configuration diagram of a network authentication and access control system according to an embodiment of the present invention.

도 1을 참고하면, 네트워크 인증 및 접속 제어 시스템은 종단단말(110), 접속단말(120), 기지국(130), 무선 코어망(140), 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)(150), 인증 장치(160), 트래픽 제어 장치(170), 인증 DB(180) 및 전용망(190)을 포함한다. Referring to FIG. 1, the network authentication and access control system includes a terminal terminal 110, an access terminal 120, a base station 130, a wireless core network 140, and a packet data network gateway (P-GW). ) 150, an authentication device 160, a traffic control device 170, an authentication DB 180, and a dedicated network 190.

종단단말(110)은 사용자 접점에 있는 단말이지만 LTE 통신모듈이 없거나 가입자 모듈(USIM)이 없는 장치로서, 예를 들면, PC, 노트북, 스마트 패드 등을 포함한다. 그리고 가입자 모듈(USIM)은 탑재할 수 있지만 통신사가 틀려 LTE 인증을 받을 수 없는 통신 단말(예, 스마트폰)을 포함한다.The terminal 110 is a terminal at the user's contact point, but does not have an LTE communication module or a subscriber module (USIM), and includes, for example, a PC, a notebook computer, and a smart pad. In addition, a subscriber module (USIM) can be mounted, but includes a communication terminal (eg, a smartphone) that cannot receive LTE authentication due to a different communication company.

종단단말(110)은 가입자 모듈이 없으므로, 사업자의 LTE망에 직접 접속이 불가능하므로, 접속단말(120)과 연결되어 접속단말(120)을 경유하여 기지국(130)에 접속한다. Since the end terminal 110 does not have a subscriber module, it is not possible to directly access the LTE network of the operator, so it is connected to the access terminal 120 to access the base station 130 through the access terminal 120.

이러한 접속단말(120)은 LTE-와이파이 에그(WiFi Egg), LTE 라우터, LTE-USB 동글 등을 포함한다. The access terminal 120 includes an LTE-WiFi Egg, an LTE router, an LTE-USB dongle, and the like.

종단단말(110)은 접속단말(120)을 이용하여 LTE망에 접속하여 데이터 서비스를 제공받을 수 있다. The end terminal 110 may access the LTE network using the access terminal 120 to receive a data service.

접속단말(120)은 무선 통신 사업자와는 LTE로 직접 접속을 하고, 종단단말(110)과는 별도의 연결 인터페이스를 사용한다. 예를 들면, 접속단말(120)이 USB-LTE 동글인 경우 종단단말인 PC와 USB 통신을 해서 서비스를 제공한다. 또한, 접속단말(120)이 LTE-WiFi Egg인 경우 WiFi 인터페이스로 PC나 스마트폰인 종단단말(110)과 연결할 수 있다.The access terminal 120 directly connects to the wireless communication service provider through LTE, and uses a separate connection interface from the terminal terminal 110. For example, when the connection terminal 120 is a USB-LTE dongle, a service is provided by performing USB communication with a PC, which is a terminal terminal. In addition, when the connection terminal 120 is an LTE-WiFi Egg, it may be connected to a PC or a terminal terminal 110, which is a smartphone, through a WiFi interface.

접속단말(120)은 LTE 통신 모듈과 가입자 모듈(USIM)을 탑재하고, LTE 주파수로 기지국(130)과 무선 통신을 한다. The access terminal 120 is equipped with an LTE communication module and a subscriber module (USIM), and performs wireless communication with the base station 130 using an LTE frequency.

여기서, 접속단말(120)은 사설망 LTE 서비스 가입 단말이고, 종단단말의 인증에 필요한 모든 정보는 사전에 청약 또는 관리자에 의해 설정이 완료되어 있다고 가정한다. 이때, 종단단말의 인증에 필요한 모든 정보는 인증 장치(160)에서 설정한 인증이 있고, 종류에 따라 필요한 정보를 전송한다. 즉, 인증을 요구하는 부가 정보, 예를들면, MAC, IMEI, PW, OTP의 조합이다. 인증 정보는 청약에서 가져오는 정보 MSDN, IMEI 등이 있고, ID발급은 청약으로 또는 관리자가 지정할 수 있으며 ID별로 인증방식 및 인증에 필요한 정보를 서버에 저장한다.Here, it is assumed that the access terminal 120 is a private network LTE service subscription terminal, and that all information required for authentication of the terminal terminal has been previously subscribed or set by an administrator. At this time, all information necessary for authentication of the terminal terminal has authentication set by the authentication device 160, and necessary information is transmitted according to the type. In other words, it is a combination of additional information requiring authentication, for example, MAC, IMEI, PW, and OTP. Authentication information includes information obtained from subscription, MSDN, IMEI, etc. ID issuance can be designated by subscription or by an administrator, and authentication methods and information necessary for authentication are stored in the server for each ID.

또한, 종단단말(110)은 인증앱(App) 또는 인증 클라이언트(client)가 사전 설치되어 있음을 전제한다.In addition, it is assumed that the end terminal 110 is pre-installed with an authentication app or an authentication client.

기지국(130)은 통신 사업자의 무선 코어망(140)과 연동하고, 인증이나 서비스 프로파일 획득을 위해 HSS(Home Subscriber System)와 연동한다. 기지국(130)은 eNodeB일 수 있다.The base station 130 interworks with the wireless core network 140 of the communication service provider, and interwork with the Home Subscriber System (HSS) to obtain authentication or service profile. The base station 130 may be an eNodeB.

무선 코어망(140)은 예시적으로 LTE(Long Term Evolution) 표준 노드로서, MME(Mobility Management Entity), S-GW(Serving Gateway)를 포함하는 장비들의 집합을 통칭하는 개념이다. 즉, LTE망 접속에 필요한 장비나 절차가 본 발명의 실시예에서 참조될 수 있다. The wireless core network 140 is an exemplary LTE (Long Term Evolution) standard node, and is a concept collectively referring to a set of equipment including a mobility management entity (MME) and a serving gateway (S-GW). That is, equipment or procedures required for LTE network access may be referred to in an embodiment of the present invention.

P-GW(PDN(Packet Data Network) Gateway)(150)는 무선 코어망(140)에 포함되는 LTE 표준 노드 중 하나로서, 사설망 LTE 서비스에서 데이터를 전용망(190)으로 송신하기 위해서 LTE 가입자별 터널링되어 유입되는 데이터를 IP로 변환하는 패킷망 게이트웨이이다. P-GW (PDN (Packet Data Network) Gateway) 150 is one of the LTE standard nodes included in the wireless core network 140, and tunneling for each LTE subscriber to transmit data to the private network 190 in the private network LTE service. It is a packet network gateway that converts incoming data into IP.

인증 장치(160)는 사설망 LTE 서비스를 위해서 기업 가입자와 APN(Access Point Name)이라 불리는 접속 요청 정보를 인증하고, 종단단말(110)과 접속단말(120)을 인증한다. 인증 장치(160)는 가입자 인증 정보와 종단단말 인증정보를 포함하는 인증 DB(170)와 연동한다. The authentication device 160 authenticates the enterprise subscriber and access request information called APN (Access Point Name) for private network LTE service, and authenticates the end terminal 110 and the access terminal 120. The authentication device 160 interlocks with the authentication DB 170 including subscriber authentication information and terminal terminal authentication information.

인증 장치(160)는 단말 인증 레벨, 사용자 인증 레벨로 구분된 인증을 수행할 수 있다. 여기서, 단말인증은 MAC, UUID(universally unique identifier)처럼 여러가지 모두 볼 것인지 한가지만 볼 것인지 레벨을 나누어 설정할 수 있다는 의미이다. 사용자 인증은 ID/PW만 볼 것인지 ID/PW/OTP까지 볼 것인지로서, 인증 장치(160)에서 설정할 수 있다. 즉, 접속단말(USB, egg, 라우터)이 아닌 사용자(사번/email)별로 권한(인증 방식 : 단말인증/사용자인증)레벨을 부여할 수 있다.The authentication device 160 may perform authentication divided into a terminal authentication level and a user authentication level. Here, the terminal authentication means that it is possible to set a level for viewing all or only one, such as MAC and UUID (universally unique identifier). User authentication is whether to view only ID/PW or even ID/PW/OTP, and can be set by the authentication device 160. That is, a level of authority (authentication method: terminal authentication/user authentication) can be given for each user (company number/email), not a connection terminal (USB, egg, router).

인증 장치(160)는 다양한 단말 인증 타입으로 인증을 수행할 수 있다. 인증 DB(170)에 저장되는 정보는 청약 또는 관리자에 의해 추가/수정/삭제 될 수 있다. The authentication device 160 may perform authentication with various terminal authentication types. Information stored in the authentication DB 170 may be added/modified/deleted by a subscription or an administrator.

트래픽 제어 장치(180)는 가입자별 트래픽 제어(대역폭, 접근제어)를 수행하는 장치로서, LTE망의 표준 노드 중 하나인 PCRF(Policy and Charging Rule Function) 를 지칭할 수 있다.The traffic control device 180 is a device that performs traffic control (bandwidth, access control) for each subscriber, and may refer to a Policy and Charging Rule Function (PCRF), which is one of the standard nodes of an LTE network.

전용망(190)은 기업 인트라넷일 수 있다.The dedicated network 190 may be a corporate intranet.

이제, 종단단말(110) 및 접속단말(120)이 LTE 통신망의 어떤 노드를 거치면서 종단단말(110)에 대한 네트워크 인증 및 접근제어를 할 수 있는지 동작 흐름에 대해 설명하기로 한다.Now, the operation flow of the terminal terminal 110 and the access terminal 120 to perform network authentication and access control for the terminal terminal 110 while passing through which node of the LTE communication network will be described.

먼저, 도 2는 본 발명의 실시예에 따른 접속단말의 네트워크 접속 절차를 나타낸 흐름도이다.First, FIG. 2 is a flowchart showing a network access procedure of an access terminal according to an embodiment of the present invention.

도 2를 참조하면, 접속단말(120)에 전원을 인가하면 접속단말(120)은 기지국(130)으로 접속 요청(Attach Request)을 전송한다(S101). 이때, 접속 요청은 사설망 LTE 서비스에 대한 전용 APN(Access Point Name)을 포함한다. 2, when power is applied to the access terminal 120, the access terminal 120 transmits an Attach Request to the base station 130 (S101). In this case, the access request includes a dedicated APN (Access Point Name) for the private network LTE service.

기지국(130)은 무선 코어망(140)의 MME에게 접속 요청을 전달한다(S103). The base station 130 transmits an access request to the MME of the radio core network 140 (S103).

무선 코어망(140)의 MME는 무선 코어망(140)의 S-GW에게 세션 생성을 요청(Create Session Request)한다(S105). 그리고 S-GW는 P-GW(150)에게 세션 생성을 요청한다(S107).The MME of the wireless core network 140 requests the S-GW of the wireless core network 140 to create a session (Create Session Request) (S105). Then, the S-GW requests the P-GW 150 to create a session (S107).

P-GW(150)는 인증 장치(160)에게 접속 요청(Access Request)을 전송한다(S109). 이때, 접속 요청은 접속단말의 정보 및 단말 위치(3GPP-User-Location-Info)를 포함할 수 있다.The P-GW 150 transmits an access request to the authentication device 160 (S109). In this case, the access request may include information of an access terminal and a terminal location (3GPP-User-Location-Info).

여기서, 접속단말의 정보는 사전에 설정된 정보 및 가입자(USIM) 정보를 포함하는데, 한 예시로서, MSISDN(Mobile Station International ISDN Number), IMSI I(International Mobile Subscriber Identity) 등을 포함할 수 있다. Here, the information of the access terminal includes information set in advance and subscriber (USIM) information, and as an example, may include a Mobile Station International ISDN Number (MSISDN), an International Mobile Subscriber Identity (IMSI), and the like.

인증 장치(160)는 S109 단계에서 수신한 접속단말의 정보를 토대로 사설망 LTE 서비스 가입자인지 확인하는 가입자 인증을 수행한다(S111). 즉, S109 단계에서 수신한 정보가 인증 DB(170)에 저장되어 있는지 판단할 수 있다. The authentication device 160 performs subscriber authentication to check whether it is a private network LTE service subscriber based on the information of the access terminal received in step S109 (S111). That is, it may be determined whether the information received in step S109 is stored in the authentication DB 170.

인증 장치(160)는 S111 단계에서 가입자 인증에 성공하면, 접속 응답(Access Accept)을 전송한다(S113). 그리고 접속단말(120)에 대한 세션을 생성하여 저장한다(S115). 여기서, S113 단계와 S115 단계 사이에는 P-GW(150)가 Accounting-Request(Start, MSISDN, Framed-IP)를 전송하는 단계와 인증 장치(160)로부터 응답(Response)을 수신하는 단계를 더 포함할 수 있다.If the subscriber authentication is successful in step S111, the authentication device 160 transmits an access response (S113). In addition, a session for the connection terminal 120 is created and stored (S115). Here, between steps S113 and S115, the P-GW 150 further includes a step of transmitting an Accounting-Request (Start, MSISDN, Framed-IP) and a step of receiving a response from the authentication device 160 can do.

이때, 세션은 PDN 세션을 의미하고, LTE에서 하나의 단말은 PDN 세션이 만들어 질 수 있다.In this case, the session means a PDN session, and in LTE, one terminal may establish a PDN session.

그러면, P-GW(150)는 접속단말(120)에 IP를 할당한다(S117). P-GW(150)는 세션 생성 응답(Create Session Response)을 S-GW로 전송한다(S119).Then, the P-GW 150 allocates an IP to the access terminal 120 (S117). The P-GW 150 transmits a Create Session Response to the S-GW (S119).

S-GW는 세션 생성 응답을 MME로 전달한다(S121). The S-GW delivers the session creation response to the MME (S121).

MME는 접속 응답(Attach Accept)을 기지국(130)을 통해 접속 단말(120)로 전송한다(S123, S125).The MME transmits an access response (Attach Accept) to the access terminal 120 through the base station 130 (S123, S125).

이러한 과정을 통해 접속단말(120)은 네트워크 접속 절차가 완료된다. 즉, LTE망에 접속된다. Through this process, the access terminal 120 completes the network access procedure. That is, it is connected to the LTE network.

도 3은 본 발명의 실시예에 따른 접속단말의 인증 절차를 나타낸 흐름도이다.3 is a flowchart showing an authentication procedure of an access terminal according to an embodiment of the present invention.

도 3을 참조하면, 접속단말(120)은 전용망 서비스 인증 절차를 수행하는데(S201), S201 단계는 도 2의 단계들을 포함한다. Referring to FIG. 3, the access terminal 120 performs a dedicated network service authentication procedure (S201 ), and step S201 includes the steps of FIG. 2.

P-GW(150)는 접속단말(120)에 대한 인증 성공 여부를 판단한다(S203). 이때, 인증에 성공하면, 접속단말(120)에 대한 세션의 QoS(Quality of Service) 정보를 트래픽 제어 장치(180)에게 요청한다(S205). 여기서, S205 단계는 LTE 표준에 정의된 절차를 준용할 수 있다. The P-GW 150 determines whether or not authentication for the access terminal 120 is successful (S203). At this time, if the authentication is successful, the traffic control device 180 requests the QoS (Quality of Service) information of the session for the access terminal 120 (S205). Here, step S205 may apply a procedure defined in the LTE standard mutatis mutandis.

이때, QoS 정보는 해당 PDN의 대역폭도 정의하지만 특정 IP로의 소통에 대해 허용/차단을 포함한다.At this time, the QoS information also defines the bandwidth of the corresponding PDN, but includes allow/block traffic to a specific IP.

트래픽 제어 장치(180)는 인증 장치(160)에게 접속단말(120)에 대한 세션의 QoS 정보를 요청한다(S207). The traffic control device 180 requests the authentication device 160 for QoS information of a session for the access terminal 120 (S207).

인증 장치(160)는 접속단말(120)의 가입자 프로파일을 참조하여 인증 트래픽 제외하고 모든 트래픽 차단으로 설정된 QoS 정보를 응답한다(S209).The authentication device 160 refers to the subscriber profile of the access terminal 120 and responds with QoS information set to block all traffic except for authentication traffic (S209).

트래픽 제어 장치(180)는 S209 단계에서 응답받은 QoS 정보를 P-GW(150)로 전달한다(S211).The traffic control device 180 transfers the QoS information received in step S209 to the P-GW 150 (S211).

P-GW(150)는 S211 단계에서 수신한 QoS 정보에 따라 접속단말(120)을 통해 인입되는 모든 트래픽은 인증 관련 트래픽을 제외하고 모두 차단하도록 설정한다(S213). The P-GW 150 sets to block all traffic incoming through the access terminal 120 according to the QoS information received in step S211 except for authentication-related traffic (S213).

여기서, 하나의 접속단말(120)에는 복수의 종단단말(110)이 연결될 수 있다. 예를들면, 접속단말(120)이 USB 동글일 경우, 종단단말(110)은 하나 연결되지만, 접속단말(120)이 와이파이나 라우터이면, 복수개의 종단단말(110)이 연결될 수 있다. 이런 경우, 최초로 접속단말(120)에 접속한 종단단말(110)이 인증받기 전에는 모두 차단하도록 설정된다. Here, a plurality of terminal terminals 110 may be connected to one connection terminal 120. For example, when the connection terminal 120 is a USB dongle, one terminal terminal 110 is connected, but if the connection terminal 120 is Wi-Fi or a router, a plurality of terminal terminals 110 may be connected. In this case, it is set to block all of the terminal terminals 110 connected to the connection terminal 120 for the first time before being authenticated.

도 4는 본 발명의 실시예에 따른 종단단말의 인증 절차를 나타낸 흐름도이다.4 is a flowchart showing an authentication procedure of an end terminal according to an embodiment of the present invention.

도 4를 참조하면, 종단단말(110)은 접속단말(120)과 연결 절차를 수행한다(S301). 여기서, S301 단계의 연결 절차는 접속단말(120)의 종류에 따른 서로 다른 절차로 이루어진다. 예를들면, 와이파이 방식, USB 방식, 랜 방식 등이 될 수 있다. Referring to FIG. 4, the terminal terminal 110 performs a connection procedure with the connection terminal 120 (S301). Here, the connection procedure in step S301 consists of different procedures according to the type of the connection terminal 120. For example, it may be a Wi-Fi method, a USB method, or a LAN method.

종단단말(110)과 접속단말(120)간 접속 연결이 완료되면, 종단단말(110)은 접속단말(120)에게 인증 요청을 전송한다(S303). 여기서, 접속단말(120)은 도 3에서 설명한 바와 같이, 인증 관련 트래픽을 제외하고는 트래픽 차단 상태이므로, 종단단말(110)은 접속단말(120)에 연결되더라도 기업 인트라넷(190)에 접속할 수 없는 상태이다. When the connection connection between the terminal terminal 110 and the connection terminal 120 is completed, the terminal terminal 110 transmits an authentication request to the connection terminal 120 (S303). Here, as described in FIG. 3, the access terminal 120 is in a traffic blocking state except for authentication-related traffic, so even if the terminal terminal 110 is connected to the access terminal 120, it cannot access the corporate intranet 190. State.

종단단말(110)은 설치된 인증 앱 또는 인증 클라이언트의 설정에 따라 자동으로 또는 수동으로 인증 요청을 접속단말(120)에게 전송한다(S303).The end terminal 110 automatically or manually transmits an authentication request to the connection terminal 120 according to the settings of the installed authentication app or authentication client (S303).

접속단말(120)은 인증 요청을 인증 장치(160)로 전달한다(S305).The connection terminal 120 transmits the authentication request to the authentication device 160 (S305).

인증 장치(160)는 인증 요청에 포함된 종단단말(110)의 ID 및 IP 정보를 토대로 종단단말(110)이 연결된 접속단말(120)을 확인하고, 접속단말(120)에 대해 설정된 QoS 정보를 확인한다(S307). S307 단계에 대한 설명은 도 8을 참고하여 후술한다. 여기서, 종단단말(110)의 IP 정보는 접속단말(120)이 할당받은 IP 정보와 동일하다.The authentication device 160 checks the connection terminal 120 to which the terminal terminal 110 is connected based on the ID and IP information of the terminal terminal 110 included in the authentication request, and provides QoS information set for the connection terminal 120. Confirmation (S307). A description of step S307 will be described later with reference to FIG. 8. Here, the IP information of the end terminal 110 is the same as the IP information allocated to the access terminal 120.

또한, ID는 email 형태 또는 사번 같은 고유값이 될 수 있다. 접속단말(120)은 종단단말(110)에게 NAT형태로 IP를 할당할 수 있다. 그리고 종단단말(110)이 인증 장치(160)로 접속할 때는 접속단말(120)이 획득한 IP를 이용할 수 있다.Also, the ID can be a unique value such as an email form or an employee number. The connection terminal 120 may allocate an IP to the terminal terminal 110 in the form of NAT. In addition, when the terminal terminal 110 connects to the authentication device 160, the IP obtained by the connection terminal 120 may be used.

S307 단계에서 확인한 결과를 토대로 인증 장치(160)는 접속단말(120)이 접속 차단된 상태, 즉, 트래픽 차단 상태인지를 판단한다(S309).Based on the result of checking in step S307, the authentication device 160 determines whether the access terminal 120 is in a connection-blocked state, that is, in a traffic-blocked state (S309).

이때, 트래픽 차단 상태가 아니라면, 재인증 처리를 수행한다(S311). 여기서, S311 단계는 도 5에서 후술한다. In this case, if the traffic is not blocked, re-authentication processing is performed (S311). Here, step S311 will be described later in FIG. 5.

반면, 트래픽 차단 상태라면, 인증 장치(160)는 인증키(또는 서버 발급키)를 접속단말(120)을 통해 종단단말(110)로 전달한다(S313, S315). On the other hand, if the traffic is blocked, the authentication device 160 transmits the authentication key (or server issuance key) to the end terminal 110 through the access terminal 120 (S313 and S315).

종단단말(110)은 S315 단계에서 수신한 인증키와 사전에 정해진 정보를 정해진 인증 알고리즘을 사용하여 해쉬(Hash) 연산하여 인증값을 생성한다(S317).The end terminal 110 generates an authentication value by hashing the authentication key received in step S315 and predetermined information using a predetermined authentication algorithm (S317).

여기서, 사전에 정해진 정보는 종단단말(110)의 MAC(Media Access Control), IMEI(International Mobile Equipment Identity), PassWord(PW), OTP(One Time Password) 중 적어도 하나를 포함할 수 있다. Here, the predetermined information may include at least one of Media Access Control (MAC), International Mobile Equipment Identity (IMEI), PassWord (PW), and One Time Password (OTP) of the end terminal 110.

종단단말(110)은 S317 단계에서 생성한 인증값을 인증 장치(160)으로 전송하여 인증을 요청한다(S319, S321). The terminal 110 transmits the authentication value generated in step S317 to the authentication device 160 to request authentication (S319 and S321).

인증 장치(160)는 S321 단계에서 수신한 인증값의 유효성을 확인한 후, 인증 결과를 전달한다(S323, S325). 이때, 인증 장치(160)는 S317 단계에서 인증값 생성시 사용하는 사전에 정해진 정보를 인증 DB(170)로부터 획득한다. 그리고 S313 단계에서 전송한 인증키와 획득한 사전에 정해진 정보를 S317 단계와 동일한 알고리즘으로 해쉬연산하여 인증값을 계산한다. 이렇게 계산된 인증값과 S321 단계에서 수신된 인증값이 일치하면, 인증값은 유효하다고 판단된다. 일치하지 않으면, 인증은 실패한다. 이와 같은 인증 결과를 S323 단계 및 S325 단계에서 종단단말(110)로 전달된다. The authentication device 160 checks the validity of the authentication value received in step S321, and then transmits the authentication result (S323, S325). At this time, the authentication device 160 obtains from the authentication DB 170 predetermined information used when generating an authentication value in step S317. In addition, the authentication key transmitted in step S313 and the obtained predetermined information are hashed using the same algorithm as in step S317 to calculate the authentication value. If the authentication value calculated in this way matches the authentication value received in step S321, it is determined that the authentication value is valid. If they do not match, authentication fails. The authentication result is transmitted to the terminal 110 in steps S323 and S325.

여기서, 인증값 계산은 선택된 두개의 정보를 이용할 수도 있고, 암호화 알고리즘을 multi PW input 형태로 구현할 수도 있다.Here, the authentication value calculation may use two selected pieces of information, or an encryption algorithm may be implemented in the form of multi PW input.

인증 장치(160)는 인증 성공 여부를 판단(S327)하여 인증에 실패하면, S305 단계 이전으로 되돌아간다. 반면, 인증에 성공하면, 트래픽 제어 장치(180)에게 접속단말(120)의 QoS 정보 변경을 요청한다(S329). 여기서, QoS 정보 변경은 트래픽 허용으로 설정된다. The authentication device 160 determines whether authentication is successful (S327), and if authentication fails, it returns to the previous step S305. On the other hand, if authentication is successful, it requests the traffic control device 180 to change QoS information of the access terminal 120 (S329). Here, the QoS information change is set to allow traffic.

트래픽 제어 장치(180)는 P-GW(150)에게 차단으로 설정된 트래픽 정책을 트래픽 허용으로 설정하도록 QoS 정보 변경을 요청한다(S331).The traffic control device 180 requests the P-GW 150 to change QoS information to set the traffic policy set to block as traffic permission (S331).

이후, 종단단말(110)과 접속단말(120)간 연결 인터페이스, 접속단말(120)과 LTE망 연결 인터페이스 및 P-GW(150)와 전용망(190) 간의 전용망 연결 인터페이스를 통해 종단단말(110)은 기업 인트라넷, 즉 전용망(190)과 종단대종단(E2E) 연결이 완료된다. 그리고 정상적인 데이터 통신 및 기업 인트라넷 서비스를 제공받는다. Thereafter, the terminal terminal 110 through the connection interface between the terminal terminal 110 and the access terminal 120, the connection terminal 120 and the LTE network connection interface, and a dedicated network connection interface between the P-GW 150 and the dedicated network 190 The enterprise intranet, that is, the dedicated network 190 and end-to-end (E2E) connection is completed. In addition, normal data communication and corporate intranet services are provided.

도 5는 본 발명의 실시예에 따른 종단단말의 재인증 절차를 나타낸 흐름도이다.5 is a flowchart illustrating a re-authentication procedure of an end terminal according to an embodiment of the present invention.

도 5를 참조하면, 인증이 완료되어 연결이 허용된 상태에서도 관리자 설정에 따라 주기적 인증 설정이 가능하며, 이 경우 종단단말(110)은 주기적으로 재인증을 요청한다(S401, S403). Referring to FIG. 5, periodic authentication can be set according to administrator settings even when authentication is complete and connection is allowed. In this case, the end terminal 110 periodically requests re-authentication (S401, S403).

인증 장치(160)는 재인증을 수행(S405)하고, 재인증 응답을 전송한다(S407, S409).The authentication device 160 performs re-authentication (S405) and transmits a re-authentication response (S407 and S409).

재인증에서 사용하는 인증키는 주기적 인증시 사용하는 키 값으로서, 인증 장치(160)에서 발급하는 고유값이며, 처음 인증시 사용한 인증키와는 다른 값이다.The authentication key used for re-authentication is a key value used for periodic authentication, is a unique value issued by the authentication device 160, and is different from the authentication key used for initial authentication.

인증 장치(160)는 재인증 실패 여부를 판단(S411)하여 재인증에 성공한 경우, S403 단계 이후로 되돌아간다. 즉, 기존의 세션 허용 정보를 유지한다.The authentication device 160 determines whether re-authentication has failed (S411), and if re-authentication is successful, the process returns to the step S403. In other words, it maintains the existing session permission information.

반면, 재인증에 실패하면, 인증 장치(160)는 트래픽 제어 장치(180)에게 트래픽 차단으로 QoS 정보 변경을 요청한다(S413).On the other hand, if re-authentication fails, the authentication device 160 requests the traffic control device 180 to change QoS information by blocking traffic (S413).

그러면, 트래픽 제어 장치(180)는 P-GW(150)에게 트래픽 차단으로 QoS 정보 변경을 요청한다(S415). Then, the traffic control device 180 requests the P-GW 150 to change QoS information by blocking traffic (S415).

P-GW(150)는 해당 접속단말(120)에 대해 트래픽 차단을 설정한다(S417). 이러한 경우 종단단말(110)과 전용망(190) 간 데이터 연결은 차단된다.The P-GW 150 sets traffic blocking for the corresponding access terminal 120 (S417). In this case, the data connection between the end terminal 110 and the dedicated network 190 is blocked.

또한, 본 발명의 핵심 기능을 수행하는 인증 장치(160)가 종단단말(110) 및접속단말(120)에 대한 인증 및 접근 제어를 어떠한 알고리즘에 의해 수행하는지 구체적으로 설명하면, 도 6 및 도 7와 같다. 즉, 도 6 및 도 7은 인증 장치내 판단 로직에 대한 흐름도를 나타낸다.In addition, a detailed description of what algorithm is used to perform authentication and access control for the terminal terminal 110 and the access terminal 120 by the authentication device 160 performing the core function of the present invention, FIGS. 6 and 7 Same as That is, FIGS. 6 and 7 are flowcharts illustrating the determination logic in the authentication device.

먼저, 도 6은 본 발명의 한 실시예에 따른 인증 장치의 접근 제어 동작을 나타낸 순서도이다.First, FIG. 6 is a flow chart showing an access control operation of an authentication device according to an embodiment of the present invention.

도 6을 참조하면, 인증 장치(160)는 접속단말(120)의 전용망(190)에 대한 접근 요청을 수신한다(S501). 그러면, 전용망(190)으로 접근을 요청한 단말의 가입자 프로파일을 조회(S503)하여 해당 접속단말이 일반단말인지 또는 접속단말인지 판단한다(S505). Referring to FIG. 6, the authentication device 160 receives a request for access to the dedicated network 190 of the access terminal 120 (S501). Then, the subscriber profile of the terminal requesting access to the dedicated network 190 is inquired (S503) to determine whether the corresponding access terminal is a general terminal or an access terminal (S505).

이때, 일반 단말로 판단되면 접속 허용으로 응답하고 단계를 종료한다(S507).At this time, if it is determined as a general terminal, it responds with permission to access and ends the step (S507).

반면, 접속 단말로 판단되면 기본 설정을 조회하여(S509) 접속 허용인지 차단인지 판단한다(S511).On the other hand, if it is determined as an access terminal, it is determined whether access is allowed or blocked by inquiring the basic setting (S509) (S511).

접속 허용 가입자이면 S509 단계를 수행한다. If the subscriber is allowed to access, step S509 is performed.

기본 설정에서 접속 차단으로 설정되어 있으면 접속 차단으로 응답한다(S513). 그리고 종단단말(110)의 인증 대기 상태가 된다. If it is set to block access in the default setting, it responds by blocking access (S513). And the end terminal 110 is in a standby state for authentication.

다음, 7은 본 발명의 한 실시예에 따른 인증 장치의 접속 인증 동작을 나타낸 순서도이다.Next, 7 is a flowchart showing a connection authentication operation of an authentication device according to an embodiment of the present invention.

도 7을 참고하면, 인증 장치(160)는 종단단말(110)로부터 인증 요청이 수신되면(S601), 종단단말(110)과 연결된 접속단말(120) 및 접속단말(120)의 QoS 정보를 확인한다(S603).Referring to FIG. 7, when an authentication request is received from the terminal terminal 110 (S601), the authentication device 160 checks QoS information of the connection terminal 120 and the connection terminal 120 connected to the terminal terminal 110 Do (S603).

인증 장치(160)는 접속단말(120)의 현재 상태가 트래픽 차단으로 설정되어 있는지 판단한다(S605).The authentication device 160 determines whether the current state of the access terminal 120 is set to block traffic (S605).

이때, 트래픽 차단으로 설정되어 있지 않으면, 유효 인증이 아니므로 유효 인증 실패 응답을 전송한다(S607).At this time, if it is not set to block traffic, since it is not valid authentication, a valid authentication failure response is transmitted (S607).

반면, 트래픽 차단으로 설정되어 있으면, 인증 절차를 수행한다(S609). 여기서, 인증 절차는 도 4에서 설명한 내용과 동일하다. 즉, 인증키 및 사전에 정해진 정보를 교환하여 인증을 수행한다. On the other hand, if it is set to block traffic, an authentication procedure is performed (S609). Here, the authentication procedure is the same as described in FIG. 4. That is, authentication is performed by exchanging the authentication key and predetermined information.

인증 장치(160)는 인증 성공 여부를 판단(S611)하여 인증에 실패하면, S607 단계를 수행한다. 이때, IP 관계등 인증필수 정보가 서로 다른 경우 인증에 실패한다. The authentication device 160 determines whether authentication is successful (S611), and if authentication fails, step S607 is performed. At this time, authentication fails if authentication-required information such as IP relationship is different.

인증 장치(160)는 S611 단계에서 인증을 성공하면 트래픽 제어 장치(180)로 접속 제한 상태를 해제로 변경 요청한다(S613). If authentication is successful in step S611, the authentication device 160 requests the traffic control device 180 to change the access restriction state to release (S613).

인증 장치(160)는 인증 성공 후 재인증 활성화 상태이면 종단단말(110)의 인증 클라이언트에도 만료 시간을 알려 주고 자체 타이머를 가동한다(S615).The authentication device 160 informs the authentication client of the end terminal 110 of the expiration time when the re-authentication is activated after successful authentication and operates its own timer (S615).

인증 장치(160)는 타이머내에 인증 요청이 있는지 체크하고 재인증 요청이 수신되면, 재인증 절차를 수행한다(S617).The authentication device 160 checks whether there is an authentication request in the timer, and when a re-authentication request is received, performs a re-authentication procedure (S617).

인증 장치(160)는 타이머 만료전 재인증 성공 여부를 판단(S619)하여 성공하면, 현재 상태를 유지한다(S621).The authentication device 160 determines whether re-authentication is successful before the timer expires (S619) and, if successful, maintains the current state (S621).

반면, 재인증에 실패하면, 즉, 타이머가 만료되었는데도 재인증 요청이 없으면 트래픽 제어 장치(180)로 접속 차단을 요청한다(S623). 이후, 신규 인증 요청 대기 상태가 된다. On the other hand, if re-authentication fails, that is, if there is no re-authentication request even though the timer has expired, the traffic control device 180 requests to block access (S623). Thereafter, the new authentication request is in a waiting state.

도 8은 본 발명의 실시예에 따른 인증 DB에 저장되는 정보의 구성 예시도로서, 인증 장치 내 종단단말 및 접속단말의 인증 테이블 구성 및 관계도 구성 실시 예이다.8 is an exemplary diagram illustrating the configuration of information stored in an authentication DB according to an embodiment of the present invention, and is an exemplary configuration of an authentication table configuration and a relationship diagram of an end terminal and a connection terminal in an authentication device.

도 8의 (a)를 참고하면, 접속단말의 인증 테이블을 나타낸다. 접속단말의 인증 테이블은 MSISDN 필드, 정책 필드, IP 필드, 접속상태필드, 주기 필드, 적어도 하나의 종단단말 ID 필드를 포함한다. Referring to FIG. 8A, an authentication table of a connection terminal is shown. The authentication table of the access terminal includes an MSISDN field, a policy field, an IP field, a connection status field, a periodic field, and at least one terminal ID field.

접속단말의 인증 테이블은 LTE 인증을 위해 USIM내 MSDN(전화번호)를 필수로 가지며 해당 접속단말에 연결된 종단단말의 ID를 여러 개 추가할 수 있다. 또한, 최초 접속시 기본 정책을 차단/허용을 선택할 수 있다. 또한, 최초접속시 할당한 접속단말의 IP를 기록할 수 있다. 또한, 인증 완결성을 높이기 위해 접속단말의 현재 LTE 접속 및 전용망 접속 차단/허용 상태를 실시간으로 관리하고 재인증 주기 ON/OFF 및 시간을 선택할 수 있다.The authentication table of the access terminal requires MSDN (telephone number) in the USIM for LTE authentication, and multiple IDs of the terminal connected to the access terminal can be added. In addition, you can select to block/allow the basic policy at the first access. In addition, it is possible to record the IP of the connection terminal assigned at the time of initial connection. In addition, in order to increase the authentication integrity, the current LTE access and the dedicated network access blocking/allowing status of the access terminal can be managed in real time, and the re-authentication cycle ON/OFF and time can be selected.

여기서, 종단단말 ID 필드에 수록되는 적어도 하나의 종단단말 ID는 사전에 접속단말에 대응하여 등록된다. 관리자가 등록할 수 있다. 따라서, 종단단말을 미리 등록하고, 접속단말에 맵핑되어 사전에 등록된 종단단말만 인증시 허용된다.Here, at least one terminal ID included in the terminal ID field is registered in advance corresponding to the connection terminal. Administrators can register. Therefore, the terminal terminal is registered in advance, mapped to the connection terminal, and only the terminal terminal registered in advance is allowed for authentication.

인증 요청 정보에는 MSDN(전화번호)기반의 정보와 ID기반의 사용자 인증의 매핑이 필요한데, 접속단말의 인증 테이블에서 사전 확인 된 IP와 인증시 source IP 를 서로 비교하면 해당 접속단말로 해당 사용자가 인증 요청했는지를 알 수 있다.The authentication request information requires the mapping of MSDN (telephone number)-based information and ID-based user authentication. When comparing the pre-checked IP in the authentication table of the connection terminal with the source IP at the time of authentication, the user is authenticated with the connection terminal. You can tell if you requested it.

도 8의 (b)를 참고하면, 종단단말의 인증 테이블은 종단단말 ID 필드, 인증방식 필드 및 필수 여부 필드를 포함한다. Referring to (b) of FIG. 8, the authentication table of the terminal terminal includes an terminal terminal ID field, an authentication method field, and a mandatory field.

종단단말의 인증 테이블은 종단단말의 ID를 기준으로 가입자별 인증방식 별을 선택할 수 있다. 종단단말의 ID는 스마트폰의 경우 전화번호로 PC의 경우 회사의 사번이나 유니크한 값을 할당할 수 있으며, 인증 장치는 종단단말 ID 가입자별로 설정된 인증방식을 멀티 요청할 수 있다.The authentication table of the terminal terminal can be selected by authentication method for each subscriber based on the ID of the terminal terminal. The ID of the terminal terminal can be assigned to a phone number in the case of a smartphone, and a company's company number or a unique value in the case of a PC, and the authentication device can request multiple authentication methods set for each terminal ID subscriber.

이때, 사용자 인증과 단말인증으로 구분될 수 있다. 사용자 인증은 ID/PW/OTP를 사용하고, 단말인증은 ID/MAC/UUID/PW 등 이 될 수 있다. 또한, 인증방식은 MD5 등의 알고리즘이 이용될 수 있다. At this time, it can be divided into user authentication and terminal authentication. User authentication uses ID/PW/OTP, and terminal authentication may be ID/MAC/UUID/PW, etc. In addition, an algorithm such as MD5 may be used as the authentication method.

종단단말은 인증요청시 종단단말 ID를 요청하고 인증 장치는 요청하는 소스IP를 추출할 수 있으며 이 정보를 가지고 접속단말을 찾고 유효한 종단단말인지 1차 인증하고, 종단단말ID별로 설정된 인증방식으로 인증을 수행할 수 있다.The terminal terminal requests the terminal terminal ID when requesting authentication, and the authentication device can extract the requested source IP, find the connection terminal with this information, and first authenticate whether it is a valid terminal terminal, and authenticate with the authentication method set for each terminal terminal ID. Can be done.

종단단말 ID를 확인하고, IP 확인하며, 접속중인 접속단말의 IP와, 접속단말의 프로파일에서 종단단말을 확인한다. 그리고 접속단말을 확정하고, 트래픽 허용으로 정책이 변경된다. Check the terminal ID, check the IP, and check the IP of the connection terminal being connected and the terminal terminal in the profile of the connection terminal. Then, the access terminal is determined, and the policy is changed to allow traffic.

도 9는 본 발명의 한 실시예에 따른 시스템의 하드웨어 블록도이다.9 is a hardware block diagram of a system according to an embodiment of the present invention.

도 9를 참고하면, 인증 장치(200)는 메모리 장치(201), 저장 장치(203), 프로세서(205) 및 통신 장치(207)를 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 8을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서(205)와 메모리 장치(201) 등의 하드웨어와 결합하여 본 발명을 실행한다. 프로그램은 관리 어플리케이션과 내부 로직으로 구현된 동작을 위한 명령어를 포함할 수 있다. Referring to FIG. 9, the authentication device 200 is composed of hardware including a memory device 201, a storage device 203, a processor 205, and a communication device 207, and is executed in combination with hardware in a designated place. Program is saved. The hardware has a configuration and capability to implement the method of the present invention. The program includes instructions for implementing the operating method of the present invention described with reference to FIGS. 1 to 8, and is combined with hardware such as the processor 205 and the memory device 201 to execute the present invention. The program may include a management application and instructions for operations implemented with internal logic.

트래픽 제어 장치(200) 역시, 메모리 장치(201), 저장 장치(203), 프로세서(205) 및 통신 장치(207)를 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 8을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서(205)와 메모리 장치(201) 등의 하드웨어와 결합하여 본 발명을 실행한다. 프로그램은 관리 어플리케이션과 내부 로직으로 구현된 동작을 위한 명령어를 포함할 수 있다.The traffic control device 200 is also composed of hardware including a memory device 201, a storage device 203, a processor 205, and a communication device 207, and stores a program that is executed in combination with the hardware in a designated place. do. The hardware has a configuration and capability to implement the method of the present invention. The program includes instructions for implementing the operating method of the present invention described with reference to FIGS. 1 to 8, and is combined with hardware such as the processor 205 and the memory device 201 to execute the present invention. The program may include a management application and instructions for operations implemented with internal logic.

또한, 종단단말은 통신 장치, 프로세서, 메모리를 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 8을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서(205)와 메모리 장치(201) 등의 하드웨어와 결합하여 본 발명을 실행한다. 프로그램은 관리 어플리케이션과 내부 로직으로 구현된 동작을 위한 명령어를 포함할 수 있다. In addition, the terminal terminal is composed of hardware including a communication device, a processor, and a memory, and a program to be executed in combination with the hardware is stored in a designated place. The hardware has a configuration and capability to implement the method of the present invention. The program includes instructions for implementing the operating method of the present invention described with reference to FIGS. 1 to 8, and is combined with hardware such as the processor 205 and the memory device 201 to execute the present invention. The program may include a management application and instructions for operations implemented with internal logic.

이때, 통신 장치는 접속단말과의 통신 인터페이스를 포함한다.In this case, the communication device includes a communication interface with the connection terminal.

또한, 접속단말은 통신 장치, 프로세서, 메모리를 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 8을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서(205)와 메모리 장치(201) 등의 하드웨어와 결합하여 본 발명을 실행한다. 프로그램은 관리 어플리케이션과 내부 로직으로 구현된 동작을 위한 명령어를 포함할 수 있다. In addition, the connection terminal is composed of hardware including a communication device, a processor, and a memory, and a program that is combined with the hardware and executed is stored in a designated place. The hardware has a configuration and capability to implement the method of the present invention. The program includes instructions for implementing the operating method of the present invention described with reference to FIGS. 1 to 8, and is combined with hardware such as the processor 205 and the memory device 201 to execute the present invention. The program may include a management application and instructions for operations implemented with internal logic.

이때, 통신 장치는 LTE망과의 통신 인터페이스 및 접속단말과의 통신 인터페이스 각각을 포함한다.In this case, the communication device includes a communication interface with an LTE network and a communication interface with an access terminal, respectively.

도 10은 본 발명의 다른 실시예에 따른 종단단말의 네트워크 인증 및 접속 제어 방법을 나타낸 흐름도이다.10 is a flowchart illustrating a network authentication and access control method of an end terminal according to another embodiment of the present invention.

도 10을 참조하면, 종단단말(PC)(110)과 접속단말(USB 동글)(120)간에 PC client-dongle 규격(HTTP)에 따른 인터페이스가 연결된다(S701). 이 단계는 도 4에서 설명한 S301 단계와 유사하다.Referring to FIG. 10, an interface according to the PC client-dongle standard (HTTP) is connected between the terminal terminal (PC) 110 and the connection terminal (USB dongle) 120 (S701). This step is similar to step S301 described in FIG. 4.

다음, 접속단말(USB 동글)(120)과 인증 장치(160)간에 인증장치-dongle 규격(HTTP)에 따른 인터페이스가 연결된다(S703). 즉, 이 단계에서는 접속단말(USB 동글)(120)과 인증 장치(160) 간에 네트워크 접속 절차가 수행되는데, 도 2의 단계들과 유사하게 이루어진다. Next, an interface according to the authentication device-dongle standard (HTTP) is connected between the connection terminal (USB dongle) 120 and the authentication device 160 (S703). That is, in this step, a network connection procedure is performed between the connection terminal (USB dongle) 120 and the authentication device 160, which is similar to the steps of FIG. 2.

S701 단계와 S703 단계를 통해 연결된 인터페이스를 통해 도 4에서 설명한 종단단말(PC)에 대한 인증 절차가 수행된다. The authentication procedure for the terminal terminal (PC) described in FIG. 4 is performed through an interface connected through steps S701 and S703.

다음, 인증 장치(160)는 운용자 설정에 따라 2차 OTP 인증을 수행할 경우, 인증 장치(160)와 메시지 서비스 센터(SMSC)(미도시) 간에 SMPP 통신을 한다(S705). 여기서, S705 단계는 선택적(Option)이다. 이 단계는 OTP 인증 코드를 송신할 수 있다.Next, when performing the secondary OTP authentication according to the operator setting, the authentication device 160 performs SMPP communication between the authentication device 160 and a message service center (SMSC) (not shown) (S705). Here, step S705 is optional. This step can send an OTP authentication code.

다음, 메시지 서비스 센터(미도시)는 종단단말(사용자 휴대폰)과 SMS 통신(S707)을 하는데, 이 역시 선택적(Option)이다. 이 단계는 종단단말(사용자 휴대폰)으로 OTP 인증 코드를 송신할 수 있다.Next, the message service center (not shown) performs SMS communication (S707) with the end terminal (user mobile phone), which is also optional. In this step, the OTP authentication code can be transmitted to the end terminal (user mobile phone).

사용자는 종단단말(사용자 휴대폰)에서 확인한 OTP 인증코드를 종단단말(PC)(110)를 통해 입력하고, 종단단말(PC)(110), 접속단말(USB 동글)(120) 및 인증 장치(160)는 OTP 2차 인증을 선택적(Option)으로 수행한다(S709, S711).The user inputs the OTP authentication code checked in the terminal terminal (user mobile phone) through the terminal terminal (PC) 110, and the terminal terminal (PC) 110, the connection terminal (USB dongle) 120 and the authentication device 160 ) Performs OTP secondary authentication as an option (S709, S711).

이후, 종단단말(PC)(110)은 접속단말(USB 동글)(120)을 통해 인증장치(160)와 제어 플레인(control plane)을 형성하고, 종단단말(PC)(110)은 접속단말(USB 동글)(120)을 통해 인트라넷과 데이터 플레인(data plane)을 형성한다(S711). 그리고 IP-CAN(LTE/PPP) 통신이 수행된다.Thereafter, the terminal terminal (PC) 110 forms an authentication device 160 and a control plane through a connection terminal (USB dongle) 120, and the terminal terminal (PC) 110 forms a connection terminal ( An intranet and a data plane are formed through the USB dongle 120 (S711). And IP-CAN (LTE/PPP) communication is performed.

이때, 접속단말(USB 동글)(120)은 네트워크에 접속되어 트래픽을 송수신하는 제1 채널과, 종단단말(PC)(110)과 연결되어 트래픽을 송수신하는 제2 채널을 포함한다. 접속단말(USB 동글)(120)은 제2 채널의 사용을 통제함으로써, 인증결과에 따른 선택적 트래픽 허용을 수행할 수 있다.At this time, the connection terminal (USB dongle) 120 includes a first channel connected to the network to transmit and receive traffic, and a second channel connected to the end terminal (PC) 110 to transmit and receive traffic. The access terminal (USB dongle) 120 may control the use of the second channel, thereby selectively allowing traffic according to the authentication result.

도 4에서 설명한 내용과 다른 실시예로서, 인증결과에 따른 선택적 트래픽 허용을 하는 트래픽 제어는 접속단말(USB 동글)(120)에 의해 수행된다. In an embodiment different from the contents described in FIG. 4, traffic control for selectively allowing traffic according to the authentication result is performed by the access terminal (USB dongle) 120.

도 11은 본 발명의 한 실시예에 따른 사용자 접속 시나리오를 나타낸다. 11 shows a user access scenario according to an embodiment of the present invention.

도 11의 (a)를 참조하면, 옵션설정을 통해 접속 여부를 설정할 수 있다. 도 11의 (b)를 참조하면, 로그인을 수행하는 화면이다.Referring to (a) of FIG. 11, it is possible to set whether to access through option setting. Referring to FIG. 11B, it is a screen for performing login.

도 12는 본 발명의 다른 실시예에 따른 사용자 접속 시나리오를 나타낸다.12 shows a user access scenario according to another embodiment of the present invention.

도 12를 참조하면, 로그인 수행후, 비밀번호 방식 인증을 수행하는 화면을 나타낸다.Referring to FIG. 12, a screen for performing password authentication after performing login is shown.

도 13은 본 발명의 또 다른 실시예에 따른 사용자 접속 시나리오를 나타낸다.13 shows a user access scenario according to another embodiment of the present invention.

도 13을 참조하면, 로그인 수행후, 패스워드 방식 인증과 SMS/OTP 인증의 두 단계 방식의 인증을 수행하는 화면을 나타낸다.Referring to FIG. 13, a screen for performing two-step authentication: password authentication and SMS/OTP authentication after login is performed.

도 14는 본 발명의 또 다른 실시예에 따른 사용자 접속 시나리오를 나타낸다.14 shows a user access scenario according to another embodiment of the present invention.

도 14를 참조하면, 인증 과정 중에 미등록된 MAC으로 인한 오류가 발생한 경우 에러 메시지/코드를 출력하는 화면을 나타낸다. Referring to FIG. 14, when an error occurs due to an unregistered MAC during an authentication process, an error message/code is output.

이상의 도 11 내지 도 14는 인증 장치(160)가 종단단말(110)을 인증하는 다양한 실시예를 나타낸다. 이러한 인증 화면은 웹 기반에서 구현될 수 있다. 11 to 14 above show various embodiments in which the authentication device 160 authenticates the terminal 110. This authentication screen can be implemented on a web basis.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다. The embodiments of the present invention described above are not implemented only through an apparatus and a method, but may be implemented through a program that realizes a function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements by those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

Claims (23)

접속단말에 연결되어 상기 접속단말을 통해 네트워크에 접속하는 종단단말에 대한 네트워크 접속 및 인증을 수행하는 인증장치의 동작 방법으로서,
상기 접속단말이 연결된 패킷 데이터 네트워크 게이트웨이로부터 상기 접속단말의 접속 요청을 수신하는 단계,
상기 접속단말의 정보를 토대로 상기 접속단말이 가입자인지 판단하고, 가입자로 판단되면, 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계,
상기 접속단말로부터 상기 접속단말에 연결된 종단단말의 인증 요청을 수신하고 상기 종단단말에 대한 인증을 수행하는 단계, 그리고
상기 종단단말에 대한 인증 결과를 상기 접속단말로 전송하는 단계를 포함하고,
상기 인증 결과는,
상기 종단단말이 상기 네트워크와 송수신하는 트래픽을 상기 접속응답을 수신한 상기 접속단말과 상기 패킷 데이터 네트워크 게이트웨이 간에 연결된 세션을 통하여 전달할지 여부를 선택적으로 허용하는데 사용되는, 동작 방법.An operating method of an authentication device that connects to a connection terminal and performs network access and authentication for a terminal terminal connected to a network through the connection terminal,
Receiving an access request from the access terminal from a packet data network gateway to which the access terminal is connected,
Determining whether the access terminal is a subscriber based on the information of the access terminal, and transmitting an access response to the packet data network gateway if it is determined as a subscriber,
Receiving an authentication request of a terminal terminal connected to the connection terminal from the connection terminal and performing authentication on the terminal terminal, and
Including the step of transmitting the authentication result for the terminal terminal to the access terminal,
The above authentication results are:
The method of operation, wherein the terminal terminal is used to selectively allow whether or not to transmit the traffic transmitted and received with the network through a session connected between the access terminal receiving the access response and the packet data network gateway. 제1항에서,
상기 인증을 수행하는 단계 이전에,
상기 접속 요청이 전용망으로의 접속 요청이면, 상기 접속단말이 전용망 서비스 가입자인지 판단하고, 상기 전용망 서비스 가입자로 판단되면, 상기 접속단말에 대해 인증 트래픽을 제외한 모든 트래픽에 대한 차단을 결정하는 단계
를 더 포함하는 동작 방법.In claim 1,
Before the step of performing the authentication,
If the access request is a request for access to a dedicated network, determining whether the access terminal is a dedicated network service subscriber, and when it is determined as the dedicated network service subscriber, determining to block all traffic except for authentication traffic for the access terminal
Operation method further comprising a. 제2항에서,
상기 모든 트래픽에 대한 차단을 결정하는 단계는,
상기 인증장치가 트래픽 제어 장치로부터 상기 접속단말과 패킷 데이터 네트워크 게이트웨이 간에 설정된 세션에적용할 서비스 품질(QoS, Quality of Service) 정보를 요청받는 단계, 그리고
상기 접속단말에 대하여 인증 트래픽을 제외한 모든 트래픽의 차단 설정을 지시하는 서비스 품질 정보를 상기 트래픽 제어 장치로 응답하는 단계를 포함하고,
상기 트래픽 제어 장치는 상기 서비스 품질 정보를 상기 패킷 데이터 네트워크 게이트웨이로 전달하며,
상기 패킷 데이터 네트워크 게이트웨이는 상기 접속단말에 대해 인증 트래픽을 제외한 모든 트래픽에 대해 차단을 설정하는 동작 방법.In paragraph 2,
Determining blocking of all the traffic,
The authentication device receiving a request for quality of service (QoS) information to be applied to the session established between the access terminal and the packet data network gateway from the traffic control device, and
Responding to the traffic control device with quality of service information instructing the access terminal to block all traffic except for authentication traffic,
The traffic control device transmits the quality of service information to the packet data network gateway,
The packet data network gateway is an operation method of setting blocking for all traffic except for authentication traffic for the access terminal. 제2항에서,
상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계는,
상기 패킷 데이터 네트워크 게이트웨이로부터 수신한 접속요청에 포함된 정보를 토대로 상기 접속단말이 전용망 서비스 가입자인지 판단하는 단계, 그리고
상기 전용망 서비스 가입자로 판단되면, 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계
를 포함하는 동작 방법.In paragraph 2,
Transmitting the packet data to the network gateway,
Determining whether the access terminal is a dedicated network service subscriber based on information included in the access request received from the packet data network gateway, and
Transmitting an access response to the packet data network gateway when it is determined as the dedicated network service subscriber
Operation method comprising a. 제4항에서,
상기 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계 이후,
상기 접속단말에 대한 세션을 저장하는 단계를 더 포함하고,
상기 패킷 데이터 네트워크 게이트웨이는,
상기 접속응답이 수신되면, 상기 접속단말에 전용망에서 사용할 IP를 할당하고, 상기 접속단말로 세션 생성 응답을 전송하는 동작 방법.In claim 4,
After transmitting the access response to the packet data network gateway,
Further comprising the step of storing a session for the access terminal,
The packet data network gateway,
When the access response is received, an IP to be used in a dedicated network is allocated to the access terminal, and a session creation response is transmitted to the access terminal. 제4항에서,
상기 접속요청을 수신하는 단계 이후,
상기 접속요청을 전송한 단말이 일반 단말인지 또는 상기 접속단말인지 판단하는 단계, 그리고
상기 일반단말이면, 접속응답을 상기 패킷 데이터 네트워크 게이트웨이로 전송하는 단계를 더 포함하고,
상기 접속단말로 판단되면, 상기 판단하는 단계가 수행되는 동작 방법.In claim 4,
After receiving the connection request,
Determining whether the terminal that transmitted the access request is a general terminal or the access terminal, and
If it is the general terminal, further comprising the step of transmitting a connection response to the packet data network gateway,
When it is determined as the access terminal, the determining step is performed. 제1항에서,
상기 인증을 수행하는 단계는,
상기 종단단말과 연결된 접속단말을 확인하여 상기 접속단말에 대한 세션의 서비스 품질(QoS, Quality of Service) 정보를 확인하는 단계,
상기 서비스 품질 정보가 트래픽 차단으로 설정된 경우, 상기 종단단말에게 제1 인증키를 전송하는 단계,
상기 종단단말로부터 상기 인증키를 이용하여 정해진 알고리즘으로 연산된 제1 인증값을 수신하는 단계, 그리고
상기 제1 인증값이 유효한지 확인하여, 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계
를 포함하는 동작 방법.In claim 1,
The step of performing the authentication,
Checking the access terminal connected to the end terminal to check the quality of service (QoS) information of the session for the access terminal,
When the quality of service information is set to block traffic, transmitting a first authentication key to the terminal terminal,
Receiving a first authentication value calculated by a predetermined algorithm using the authentication key from the terminal terminal, and
Checking whether the first authentication value is valid, and if so, releasing the traffic blocking for the access terminal.
Operation method comprising a. 제7항에서,
상기 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계는,
상기 종단단말과 동일한 알고리즘으로 제2 인증값을 연산하는 단계,
상기 제1 인증값과 상기 제2 인증값이 일치하면, 상기 제1 인증값이 유효한 것으로 판단하는 단계, 그리고
상기 제1 인증값이 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계
를 포함하는 동작 방법.In clause 7,
If the valid, the step of releasing the blocking of the traffic to the access terminal,
Calculating a second authentication value with the same algorithm as the terminal terminal,
If the first authentication value and the second authentication value match, determining that the first authentication value is valid, and
If the first authentication value is valid, releasing the blocking of traffic to the access terminal
Operation method comprising a. 제8항에서,
상기 제1 인증값 및 상기 제2 인증값은,
상기 제1 인증키와, 상기 종단단말의 MAC(Media Access Control), IMEI(International Mobile Equipment Identity), PassWord(PW), OTP(One Time Password) 중 적어도 하나를 이용하여 연산되는 동작 방법.In clause 8,
The first authentication value and the second authentication value,
An operation method that is calculated by using the first authentication key and at least one of Media Access Control (MAC), International Mobile Equipment Identity (IMEI), PassWord (PW), and One Time Password (OTP) of the terminal terminal. 제8항에서,
상기 제1 인증값이 유효하면, 상기 접속단말에 대한 트래픽 차단을 해제하는 단계 이후,
인증 결과 및 재인증에 사용할 제2 인증키를 상기 종단단말로 전송하는 단계,
상기 제2 인증키를 이용한 재인증 요청을 상기 종단단말로부터 수신하여 재인증을 수행하는 단계, 그리고
상기 재인증에 실패하는 경우, 상기 접속단말에 대한 트래픽 차단을 설정하는 단계
를 더 포함하는 동작 방법.In clause 8,
If the first authentication value is valid, after the step of releasing traffic blocking for the access terminal,
Transmitting an authentication result and a second authentication key to be used for re-authentication to the terminal terminal,
Re-authentication by receiving a re-authentication request using the second authentication key from the terminal terminal, and
In case the re-authentication fails, setting traffic blocking for the access terminal
Operation method further comprising a. 제10항에서,
상기 재인증에 실패하는 경우, 상기 접속단말에 대한 트래픽 차단을 설정하는 단계는,
재인증 타이머를 구동하고, 타이머 만료 시간을 상기 종단단말로 전송하는 단계, 그리고
상기 재인증에 실패하거나 또는 상기 타이머 만료 시간 이내에 상기 재인증 요청이 수신되지 않으면, 상기 트래픽 차단을 설정하는 단계
를 포함하는 동작 방법.In claim 10,
When the re-authentication fails, the step of setting traffic blocking for the access terminal,
Driving a re-authentication timer and transmitting the timer expiration time to the terminal terminal, and
If the re-authentication fails or the re-authentication request is not received within the timer expiration time, setting the traffic blocking
Operation method comprising a. 접속단말을 통해 네트워크에 접속하는 종단단말에 대한 네트워크 접속 및 인증을 수행하는 시스템으로서,
상기 네트워크에 접속절차가 완료된 접속단말의 정보와 상기 접속단말에 대해 등록된 종단단말의 정보를 저장하는 인증 DB, 그리고
상기 접속단말로부터 상기 접속단말과 연결된 상기 종단단말 IP(Internet Protocol) 및 종단단말 ID가 포함된 인증 요청을 수신하고, 상기 IP를 토대로 상기 접속단말을 상기 인증 DB로부터 확인하며, 상기 종단단말에 대한 인증을 수행하고 인증 결과를 상기 접속단말로 전송하는 인증 장치를 포함하고,
상기 인증요청은,
상기 접속절차를 통하여 상기 접속단말과 패킷 데이터 네트워크 게이트웨이 간에 세션 연결이 완료된 이후 수신되고,
상기 인증 결과는,
상기 종단단말이 상기 네트워크와 송수신하는 트래픽을 상기 접속단말과 상기 패킷 데이터 네트워크 게이트웨이 간에 연결된 세션을 통하여 전달할지 여부를 선택적으로 허용하는데 사용되는, 네트워크 접속 및 인증 시스템.As a system that performs network access and authentication for a terminal terminal connected to a network through an access terminal,
An authentication DB that stores information on the access terminal for which the access procedure has been completed and information on the terminal terminal registered for the access terminal, and
Receives an authentication request including the end terminal IP (Internet Protocol) and the end terminal ID connected to the access terminal from the access terminal, and checks the access terminal from the authentication DB based on the IP, and for the terminal terminal Comprising an authentication device that performs authentication and transmits an authentication result to the access terminal,
The above authentication request,
It is received after the session connection between the access terminal and the packet data network gateway is completed through the access procedure,
The above authentication results are:
The network access and authentication system used to selectively allow whether or not the terminal terminal transmits and receives traffic to and from the network through a session connected between the access terminal and the packet data network gateway. 제12항에서,
상기 인증 DB는,
상기 접속단말의 단말 식별자 필드, 상기 접속단말의 정책 필드, 상기 접속단말의 IP 필드, 상기 접속단말의 접속상태 필드 및 상기 접속단말과 연결되는 적어도 하나의 종단단말 ID 필드를 포함하는 제1 인증 테이블, 그리고
상기 종단단말 ID 필드에 대응하는 종단단말의 단말 식별자 필드 및 상기 종단단말에 대한 적어도 하나의 인증방식 필드를 포함하는 제2 인증 테이블을
을 포함하는 네트워크 접속 및 인증 시스템.In claim 12,
The authentication DB,
A first authentication table including a terminal identifier field of the access terminal, a policy field of the access terminal, an IP field of the access terminal, a connection status field of the access terminal, and at least one terminal ID field connected to the access terminal , And
A second authentication table including a terminal identifier field of a terminal terminal corresponding to the terminal terminal ID field and at least one authentication method field for the terminal terminal
Network access and authentication system comprising a. 제13항에서,
상기 인증장치는,
상기 인증 요청에 포함된 IP와 종단단말 ID가 수록된 접속단말을 상기 제1 인증 테이블로부터 확인하고, 상기 종단단말 ID에 대응하여 수록된 인증방식을 상기 제2 인증 테이블로부터 확인하며, 상기 제2 인증 테이블로부터 확인한 인증방식을 이용하여 상기 종단단말에 대한 인증을 수행하는 네트워크 접속 및 인증 시스템.In claim 13,
The authentication device,
The connection terminal containing the IP and the end terminal ID included in the authentication request is checked from the first authentication table, the authentication method recorded in correspondence with the end terminal ID is checked from the second authentication table, and the second authentication table A network access and authentication system that performs authentication for the terminal terminal by using the authentication method confirmed from. 제14항에서,
상기 인증 장치는,
네트워크 접속 절차 이후, 상기 접속단말에 대해 상기 제1 인증 테이블의 정책 필드를 트래픽 차단으로 설정하고, 상기 종단단말에 대해 인증이 성공하면, 상기 제1 인증 테이블의 정책 필드를 트래픽 차단 해제로 설정하는 네트워크 접속 및 인증 시스템.In clause 14,
The authentication device,
After the network access procedure, the policy field of the first authentication table is set to block traffic for the access terminal, and if authentication is successful for the end terminal, the policy field of the first authentication table is set to cancel traffic blocking. Network access and authentication system. 제12항에서,
상기 접속단말로부터 접속요청이 수신되면, 상기 인증장치로 접근 요청을 전송하여 접근 응답이 수신되면, 상기 인증장치로부터 트래픽 차단 설정을 요청받아 인증 트래픽 외 모든 트래픽에 대해 차단을 설정하고, 이후, 상기 종단단말에 대한 인증이 성공하면, 상기 트래픽에 대한 차단 설정을 해제하는 패킷 데이터 네트워크 게이트웨이
를 더 포함하는 네트워크 접속 및 인증 시스템. In claim 12,
When an access request is received from the access terminal, when an access request is transmitted to the authentication device and an access response is received, a traffic blocking setting is requested from the authentication device, and blocking is set for all traffic other than authentication traffic, and then, the Packet data network gateway that cancels the blocking setting for the traffic when authentication for the end terminal is successful
Network access and authentication system further comprising a. 제16항에서,
상기 패킷 데이터 네트워크 게이트웨이의 요청에 따라 상기 인증장치로 요청하여 상기 트래픽 차단 설정 또는 트래픽 차단 해제 정보가 포함된 상기 접속단말에 대한 세션의 서비스 품질(QoS, Quality of Service) 정보를 상기 인증장치로부터 수신하여 상기 패킷 데이터 네트워크 게이트웨이에게 전달하는 트래픽 제어 장치
를 더 포함하는 네트워크 접속 및 인증 시스템.In paragraph 16,
Requests to the authentication device at the request of the packet data network gateway to receive session quality of service (QoS) information from the authentication device including the traffic blocking setting or traffic blocking release information Traffic control device for transmitting the packet data to the network gateway
Network access and authentication system further comprising a. 제17항에서,
상기 인증장치는,
상기 접속단말이 전용망 서비스 가입자인지 확인한 후, 전용망 서비스 가입자이면, 네트워크 접속을 허용하는 네트워크 접속 및 인증 시스템.In paragraph 17,
The authentication device,
Network access and authentication system for allowing network access if the access terminal is a dedicated network service subscriber after checking whether the access terminal is a dedicated network service subscriber. 접속단말을 통해 네트워크에 접속하는 종단단말의 동작 방법으로서,
상기 종단단말이 상기 접속단말과 연결되는 단계,
상기 접속단말을 통해 인증장치로 인증을 요청하는 단계, 그리고
상기 인증에 성공하면, 상기 접속단말을 통해 상기 네트워크에 접속하여 데이터 서비스를 제공받는 단계를 포함하고,
상기 종단단말이 상기 네트워크와 송수신하는 트래픽은,
상기 접속단말을 상기 네트워크로 연결하는 패킷 데이터 네트워크 게이트웨이와 상기 접속단말 간에 연결된 세션을 통하여 전달되고,
상기 인증장치가 상기 종단단말에 대하여 수행한 인증결과는,
상기 접속단말로 전송되고, 상기 트래픽을 상기 세션을 통하여 전달할지 여부를 선택적으로 허용하는데 사용되는, 종단단말의 동작 방법.As an operation method of a terminal terminal connecting to a network through a connection terminal,
Connecting the terminal terminal to the connection terminal,
Requesting authentication to an authentication device through the connection terminal, and
If the authentication is successful, including the step of receiving a data service by accessing the network through the access terminal,
Traffic transmitted and received by the end terminal with the network,
A packet data network gateway connecting the access terminal to the network and a session connected between the access terminal,
The authentication result performed by the authentication device for the terminal terminal,
It is transmitted to the access terminal and is used to selectively allow whether to transmit the traffic through the session. 제19항에서,
상기 제공받는 단계는,
상기 인증장치로부터 제1 인증키를 수신하여 정해진 알고리즘으로 제1 인증값을 생성하는 단계,
상기 제1 인증값을 상기 인증장치로 전송하여 상기 제1 인증값이 유효한지 인증 결과를 수신하는 단계, 그리고
상기 제1 인증값이 유효한 경우, 상기 접속단말을 통해 상기 네트워크에 접속하여 데이터 서비스를 제공받는 단계
를 포함하는 종단단말의 동작 방법.In paragraph 19,
The receiving step,
Receiving a first authentication key from the authentication device and generating a first authentication value using a predetermined algorithm,
Transmitting the first authentication value to the authentication device to receive an authentication result whether the first authentication value is valid, and
If the first authentication value is valid, accessing the network through the access terminal and receiving a data service
The operating method of the end terminal comprising a. 제20항에서,
상기 제공받는 단계 이후,
상기 인증 결과와 함께 수신한 재인증 키를 이용하여 주기적으로 상기 인증장치로 재인증을 요청하는 단계를 더 포함하고,
상기 재인증에 실패하면 상기 접속단말의 트래픽 차단이 설정되는 종단단말의 동작 방법.In claim 20,
After the receiving step,
Further comprising the step of periodically requesting re-authentication to the authentication device by using the re-authentication key received with the authentication result,
When the re-authentication fails, the operation method of the terminal terminal is configured to block the traffic of the access terminal. 종단단말을 네트워크에 접속시키는 접속단말의 동작 방법으로서,
상기 접속단말을 상기 네트워크로 연결하는 패킷 데이터 네트워크 게이트웨이에게 접속 요청을 전송하는 단계,
상기 패킷 데이터 네트워크 게이트웨이로부터 접속 응답을 수신하여 상기 패킷 데이터 네트워크 게이트웨이와 세션을 연결하는 단계,
상기 접속단말이 상기 종단단말과 연결되는 단계,
상기 세션을 통하여 인증장치로 상기 종단단말의 인증 요청을 전송하는 단계,
상기 인증장치로부터 상기 종단단말에 대한 인증 결과를 수신하는 단계, 그리고
상기 인증 결과에 기초하여 상기 종단단말이 상기 네트워크와 송수신하는 트래픽을 상기 세션을 통하여 전달할지 여부를 선택적으로 허용하는 단계를 포함하고,
상기 선택적으로 허용하는 단계는,
상기 종단단말과 연결된 채널을 통해 송수신되는 트래픽을 상기 세션을 통하여 상기 네트워크와 송수신할지 여부를 상기 인증 결과에 기초하여 결정하는, 접속단말의 동작 방법.As a method of operation of a connection terminal to connect a terminal terminal to a network,
Transmitting an access request to a packet data network gateway connecting the access terminal to the network,
Receiving an access response from the packet data network gateway and connecting a session with the packet data network gateway,
Connecting the connection terminal to the terminal terminal,
Transmitting an authentication request of the terminal terminal to an authentication device through the session,
Receiving an authentication result for the terminal terminal from the authentication device, and
And selectively allowing whether or not the end terminal transmits the traffic transmitted/received to and from the network through the session based on the authentication result,
The selectively allowing step,
A method of operating an access terminal to determine whether to transmit/receive traffic through a channel connected to the terminal terminal to and from the network through the session based on the authentication result. 제22항에서,
상기 선택적으로 허용하는 단계는,
인증에 성공하면, 상기 종단단말과 상기 네트워크 간의 트래픽 송수신 경로를 허용하는 단계, 그리고
상기 인증에 실패하면, 상기 종단단말과 상기 네트워크 간의 트래픽 송수신 경로를 차단하는 단계
를 포함하는 접속단말의 동작 방법.In claim 22,
The selectively allowing step,
If authentication is successful, allowing a traffic transmission/reception path between the terminal terminal and the network, and
If the authentication fails, blocking the traffic transmission/reception path between the terminal terminal and the network
Operating method of the connection terminal comprising a.
KR1020160085784A 2016-07-06 2016-07-06 Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal KR102185215B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160085784A KR102185215B1 (en) 2016-07-06 2016-07-06 Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160085784A KR102185215B1 (en) 2016-07-06 2016-07-06 Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal

Publications (2)

Publication Number Publication Date
KR20180005551A KR20180005551A (en) 2018-01-16
KR102185215B1 true KR102185215B1 (en) 2020-12-01

Family

ID=61066930

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160085784A KR102185215B1 (en) 2016-07-06 2016-07-06 Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal

Country Status (1)

Country Link
KR (1) KR102185215B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102513968B1 (en) * 2019-12-23 2023-03-23 주식회사 케이티 QoS MEDIATION APPARATUS AND METHOD OF QoS CONTROL
KR102441022B1 (en) * 2020-10-28 2022-09-05 주식회사 케이티 Apparatus and method for controlling network access

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009303188A (en) * 2008-05-14 2009-12-24 Kddi Corp Management device, registered communication terminal, unregistered communication terminal, network system, management method, communication method, and computer program
JP2013197874A (en) * 2012-03-19 2013-09-30 Kddi Corp Communication device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009303188A (en) * 2008-05-14 2009-12-24 Kddi Corp Management device, registered communication terminal, unregistered communication terminal, network system, management method, communication method, and computer program
JP2013197874A (en) * 2012-03-19 2013-09-30 Kddi Corp Communication device

Also Published As

Publication number Publication date
KR20180005551A (en) 2018-01-16

Similar Documents

Publication Publication Date Title
CN110557751B (en) Authentication based on server trust evaluation
CN107018676B (en) Mutual authentication between user equipment and evolved packet core
US9882894B2 (en) Secure authentication service
EP3272098B1 (en) Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
CN112566050B (en) Cellular service account transfer for an accessory wireless device
CN112997454B (en) Connecting to home local area network via mobile communication network
EP3272099B1 (en) Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
CN110786034B (en) Method, user equipment and functional node for network slice privacy consideration
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
JP2019512942A (en) Authentication mechanism for 5G technology
TW201218790A (en) Method and apparatus for relay node management and authorization
US20140328250A1 (en) Access control
WO2020207156A1 (en) Verification method, apparatus, and device
KR102362078B1 (en) Server and primary terminal for controlling a dedicated network connection of secondary terminal connecting to the dedicated network using the primary terminal
RU2727160C1 (en) Authentication for next-generation systems
US11552791B2 (en) Access technology agnostic service network authentication
KR102207135B1 (en) Method for transmitting data of terminal, the terminal and control method of data transmission
KR102185215B1 (en) Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
KR102367169B1 (en) Method for supporting intranet access and network system implementing the same method
KR102048469B1 (en) System, method and user terminal for private network access control using untrusted access network
KR20190050242A (en) Operating method of dongle, the dongle and operating method of network apparatus
KR101480706B1 (en) Network system for providing security to intranet and method for providing security to intranet using security gateway of mobile communication network
CN113498055B (en) Access control method and communication equipment
CN117203935A (en) Method and apparatus for setup, authentication, authorization, and User Equipment (UE) key generation and distribution in an on-demand network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant