KR102207135B1 - 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법 - Google Patents

단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법 Download PDF

Info

Publication number
KR102207135B1
KR102207135B1 KR1020180042370A KR20180042370A KR102207135B1 KR 102207135 B1 KR102207135 B1 KR 102207135B1 KR 1020180042370 A KR1020180042370 A KR 1020180042370A KR 20180042370 A KR20180042370 A KR 20180042370A KR 102207135 B1 KR102207135 B1 KR 102207135B1
Authority
KR
South Korea
Prior art keywords
network
terminal
data
access
dedicated
Prior art date
Application number
KR1020180042370A
Other languages
English (en)
Other versions
KR20190000781A (ko
Inventor
정치욱
김일용
이종경
이진근
조원창
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20190000781A publication Critical patent/KR20190000781A/ko
Application granted granted Critical
Publication of KR102207135B1 publication Critical patent/KR102207135B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법이 제공된다. 이 방법은 복수의 접속망에 연결되고, 적어도 하나의 프로세서에 의해 동작하는 단말의 데이터 전송 방법으로서, 운영 시스템 상에서 동작하는 VPN(Virtual Private Network) 어플리케이션을 실행하여, 단말 내 데이터가 상기 VPN 어플리케이션으로 전달되도록 설정하는 단계, 전용망으로 상기 단말을 연결시키는 비신뢰 접속망 게이트웨이에 접속하여 상기 비신뢰 접속망 게이트웨이로부터 전용망 접속 정책을 수신하는 단계, 상기 전용망 접속 정책에 따라 생성한 라우팅 테이블을 기초로 상기 단말 내 데이터를 전송할 접속망을 선택하는 단계, 그리고 선택한 접속망을 통하여 상기 단말 내 데이터를 상기 전용망으로 전송하는 단계를 포함한다.

Description

단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법{METHOD FOR TRANSMITTING DATA OF TERMINAL, THE TERMINAL AND CONTROL METHOD OF DATA TRANSMISSION}
본 발명은 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법에 관한 것으로서, 복수의 접속망에 동시 연결이 가능한 단말의 데이터 전송을 제어하는 기술에 관한 것이다.
사용자의 특정 목적에 따라 개인화 및 그룹화되어 가는 추세에 따라 제공된 이동통신 서비스 중에 하나가 전용망(Private Network) 서비스이다. 여기서, 전용망은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공하는 망으로서, 사설망, 사내망, 인트라넷(Intranet)이라고도 할 수 있다. 특히, 전용망 서비스는 개인용 이동 단말이 회사 내부에선 일반 공중망이 아닌 전용망에 접속되도록 하여 네트워크 상에서 발생할 수 있는 보안을 강화하고 사내 서비스를 관리할 수 있도록 기업 가입자의 니즈(needs)를 충족시키고 있다.
대다수의 이동통신 사업자는 가상 전용망 기술(Virtual Private Network, VPN) 또는 전용 LTE(Dedicated Long Term Evolution) 기술을 통하여 전용망 서비스를 구현하고 있다. 가상 전용망 기술과 전용 LTE 기술은 인터넷망과 같은 공중망에 전용망을 구축하여 별도의 전용망을 구축한 것과 유사한 효과를 제공한다.
가상 전용망 기술(VPN)은 SSL(Secure Sockets Layer) VPN 및 IPsec(Internet Protocol Security) VPN 기술이 주로 사용된다. 가상 전용망 기술(VPN)은 전용 VPN GW(Gateway) 또는 사업자 VPN GW를 통하여 사용자 단말을 전용망으로 접속시킨다.
전용 LTE 기술은 LTE 통신 시스템의 EPC(Evolved Packet Core)를 통해 공중망(Public Network)과 전용망을 분리하고, 이동통신 단말이 초기 접속하는 APN(Access Point Name)을 기초로, 이동통신 단말을 공용망 또는 전용망으로 접속시킨다.
그런데, 전용 LTE 기술은 전용망 서비스를 제공하는 이동통신 사업자의 가입자 LTE 단말에만 적용되는 기술적인 한계를 갖는다. 이러한 기술적 한계를 극복하고자, 3GPP(3rd Generation Partnership Project) TS(Transport Channel) 23.402 규격에서는 이동통신 서비스를 제공하는 사업자의 EPS(Evolved Packet System)가 아닌 Non-3GPP(3rd Generation Partnership Project Access)로의 연결을 허용하는 연동 구조를 정의하고 있다.
Non-3GPP 연동 구조에서는 3GPP ePDG(Edge Packet Data Gateway) 및 AAA(Authentication, Authorization and Accounting)가 추가되었으며, 기존 EPS 노드 간의 인터페이스를 정의하고 있다. 이러한 연동 구조의 가장 큰 특징은 전용망 서비스 사업자의 EPS 구간이 아닌 비신뢰 액세스 구간(타 사업자의 EPS, WiFi, Wibro 등)에 대해서 사용자 단말과 ePDG 장비와의 IPsec(Internet Protocol Security) 터널링을 구성하여, 보안 통신을 수행하는 것이다. 이를 통해 비신뢰 액세스 구간을 경유하여도 신뢰성 있는 데이터 통신을 수행하여, EPS에 비신뢰 액세스 구간으로부터 접속되는 트래픽을 수용할 수 있다.
그런데, Non-3GPP 연동 구조에서 사용자 단말은 LTE망, WiFi망, LTE(IPsec) 망, WiFi(IPsec)망과 같은 다양한 데이터 패스(data pass)가 존재하므로, 현 시점에서 전용망 또는 공중망을 사용하기 위한 최적의 접속망을 선택해야하는 문제가 발생한다. 이러한 상황에서 적절하지 못한 접속망을 선택하게 된다면 최적의 접속망이 아닌, 다른 접속망으로 연결되어 결과적으로 사용자의 네트워크 체감 품질이 저하되는 문제가 발생할 수 있다. 예를들면, 현재 사용자 단말은 지하철을 이용중인 상황으로 LTE를 사용하는 것이 가장 최적의 네트워크 체감 품질을 얻을 수 있는데, 기존에 연결되었던 WiFi 망에 연결되어, 지하철 역마다 점점 약해지는 WiFi 신호로 인해 나쁜 품질의 네트워크 서비스를 제공 받게 된다.
또한, 사용자 단말이 다양한 데이터 패스를 갖게 됨으로써, 연결된 전용망에 보안 취약점을 발생시킬 수 있다. 사용자 단말과 연결되어 있는 다양한 데이터 패스로부터 전달되는 악성 트래픽이 사용자 단말을 통해 전용망으로 전달될 수 있다. 예를들면, 사용자 단말이 전용망과 인터넷망에 동시 접속해 있는 경우, 인터넷망을 통해 전달되는 악성 트래픽이 전용망으로 전달될 수 있다.
이러한 문제를 해결하기 위한 방안으로, 네트워크 단에서 원격으로 사용자 단말을 제어하는 방법을 생각할 수 있으나, 현재 통신 사업자가 단말의 데이터 패스를 설정할 수 있는 별도의 인터페이스는 없다. 따라서, 사용자 단말 자체를 제어하는 방법이 있다.
그런데, 사용자 단말의 네트워크 인터페이스 선택을 제어하려면, 운영 시스템(Operating System, OS)의 네트워크 스택을 변경해야 한다. 그러나 네트워크 스택을 변경하려면 시스템 관리 권한을 필요로 하고, 시스템 관리 권한은 단말 제조사의 허가가 있어야 한다. 하지만, 단말 시장은 다수의 제조사로 이루어져 있는 상황으로, 시스템 관리 권한을 가지려면 다수의 단말 제조사와 협의하여야 하므로, 현실적으로 거의 불가능한 상황이고, 가능하더라도 일부 제조사로 국한된다.
본 발명이 해결하고자 하는 한 과제는 복수의 접속망에 동시 접속이 가능한 단말에서, 시스템 관리 권한이 부여된 VPN(Virtual Private Network) 어플리케이션을 통하여 응용 계층에서 발생하는 단말 내 데이터를 전송할 접속망을 원격지에서 제어할 수 있는 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는 비신뢰 접속망 게이트웨이로부터 단말로 전송되는 IPsec(Internet Protocol Security)의 트래픽 셀렉터(Traffic Selector)를 통하여 단말 내 데이터를 전송할 접속망을 원격지에서 제어할 수 있는 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법을 제공하는 것이다.
본 발명의 하나의 특징에 따르면, 단말의 데이터 전송 방법은 복수의 접속망에 연결되고, 적어도 하나의 프로세서에 의해 동작하는 단말의 데이터 전송 방법으로서, 운영 시스템 상에서 동작하는 VPN(Virtual Private Network) 어플리케이션을 실행하여, 단말 내 데이터가 상기 VPN 어플리케이션으로 전달되도록 설정하는 단계, 전용망으로 상기 단말을 연결시키는 비신뢰 접속망 게이트웨이에 접속하여 상기 비신뢰 접속망 게이트웨이로부터 전용망 접속 정책을 수신하는 단계, 상기 전용망 접속 정책에 따라 생성한 라우팅 테이블을 기초로 상기 단말 내 데이터를 전송할 접속망을 선택하는 단계, 그리고 선택한 접속망을 통하여 상기 단말 내 데이터를 상기 전용망으로 전송하는 단계를 포함하는, 단말의 데이터 전송 방법.
상기 선택하는 단계는, 상기 라우팅 테이블을 기초로 상기 단말 내 데이터의 전용망 접속 허용 여부와 접속망을 결정하는 단계, 상기 결정에 따라 전용망 접속이 허용된 단말 내 데이터에 VPN 터널링 헤더를 추가하는 단계, 그리고 상기 VPN 터널링 헤더의 목적지 MAC(Medium Access Control) 주소를 상기 결정에 따른 접속망의 네트워크 장치 주소로 설정하는 단계를 포함하고, 상기 전송하는 단계는, 상기 VPN 터널링 헤더의 목적지 MAC 주소에 매칭되는 접속망에 연결된 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 전송할 수 있다.
상기 결정하는 단계 이후, 상기 결정에 따라 전용망 접속이 불허된 단말 내 데이터의 IP 헤더의 MAC 주소를 상기 결정에 따른 접속망의 네트워크 장치 주소로 설정하는 단계를 더 포함하고, 상기 선택하는 단계 이후, 상기 IP 헤더의 목적지 MAC 주소에 매칭되는 접속망에 연결된 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 공중망으로 전송하는 단계를 더 포함할 수 있다.
상기 복수의 접속망은, 와이파이(WiFi) 네트워크 및 셀룰러(cellular) 네트워크를 포함하고, 상기 전용망 접속 정책은, VPN 터널링 대상 및 와이파이 네트워크 접속 대상을 포함하고, 상기 결정하는 단계는, 상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 매칭되는지 판단하고, 상기 판단에 따라 상기 단말 내 데이터의 전용망 접속 허용 여부와 접속망을 결정할 수 있다.
상기 라우팅 테이블은, 상기 VPN 터널링 대상을 정의하는 소스 IP 주소, 소스 포트, 목적지 IP 주소 및 목적지 포트 정보와, 상기 와이파이 네트워크 접속 대상을 정의하는 소스 IP 주소, 소스 포트, 목적지 IP 주소 및 목적지 포트 정보를 포함할 수 있다.
상기 결정하는 단계는, 상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 모두 매칭되면 상기 단말 내 데이터를 전용망으로 전송할 접속망으로 상기 와이파이 네트워크를 선택하는 단계, 상기 단말 내 데이터가 상기 VPN 터널링 대상에 매칭되고 상기 와이파이 네트워크 접속 대상에 비매칭되면, 상기 단말 내 데이터를 전용망으로 접속할 접속망으로 상기 셀룰러 네트워크를 선택하는 단계, 그리고 상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 모두 비매칭되면, 상기 단말 내 데이터의 전용망 접속을 불허하고 상기 단말 내 데이터의 접속망으로 상기 셀룰러 네트워크를 선택하는 단계를 포함할 수 있다.
상기 전용망 접속 정책을 수신하는 단계는, 상기 비신뢰 접속망 게이트웨이와 초기 접속을 위한 인증 메시지를 교환하는 단계, 그리고 상기 비신뢰 접속망 게이트웨이로부터 수신한 인증 완료 메시지에 포함된 트래픽 셀렉터(Traffic Selector)로부터 상기 전용망 접속 정책을 획득하는 단계를 포함할 수 있다.
상기 전용망 접속 정책을 수신하는 단계 이후, 상기 비신뢰 접속망 게이트웨이로부터 페이징 요청 메시지를 수신하는 단계, 그리고 상기 페이징 요청 메시지에 포함된 트래픽 셀렉터로부터 획득한 변경된 전용망 접속 정책을 기초로 상기 라우팅 테이블을 수정하는 단계를 더 포함할 수 있다.
본 발명의 다른 특징에 따르면, 단말 장치는 복수의 접속망에 각각 연결되는 복수의 네트워크 인터페이스, 운영 시스템 및 상기 운영 시스템 상에서 동작하는 VPN(Virtual Private Network) 어플리케이션을 저장하는 메모리, 그리고 상기 운영 시스템 및 상기 VPN 어플리케이션을 실행하는 적어도 하나의 프로세서를 포함하고,상기 VPN 어플리케이션은, 전용망에 연결된 비신뢰 접속망 게이트웨이와 접속하고, 상기 비신뢰 접속망 게이트웨이로부터 수신한 전용망 접속 정책에 따라 생성한 라우팅 테이블을 기초로 단말 내 데이터를 전송할 접속망을 선택하여, 선택한 접속망의 네트워크 장치 주소를 상기 단말 내 데이터의 헤더 정보에 수록하는 명령어들(Instructions)을 포함하고, 상기 운영 시스템은, 상기 VPN 어플리케이션이 실행되면, 상기 단말 내 데이터를 상기 VPN 어플리케이션으로 전달한 후 상기 VPN 어플리케이션으로부터 수신한 상기 단말 내 데이터에 수록된 상기 네트워크 장치 주소에 매칭되는 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 전송하는 명령어들을 포함한다.
상기 VPN 어플리케이션은, 상기 비신뢰 접속망 게이트웨이로부터 VPN 터널링 대상을 정의하는 제1 트래픽 셀렉터(Traffic Selector) 및 제1 접속망의 접속 대상을 정의하는 제2 트래픽 셀렉터를 수신하고, 상기 제1 트래픽 셀렉터 및 상기 제2 트래픽 셀렉터에 따른 라우팅 테이블을 생성하며, 상기 단말 내 데이터가 상기 라우팅 테이블에 매칭되는지에 따라 상기 단말 내 데이터의 전용망 접속 허용 여부와 접속망을 결정하고, 상기 결정에 따라 VPN 터널링 헤더의 목적지 MAC 주소 또는 IP 헤더의 목적지 MAC 주소를 결정된 접속망의 네트워크 장치 주소로 설정하는 명령어들을 포함하고, 상기 운영 시스템은, 상기 VPN 터널링 헤더의 목적지 MAC 주소 또는 상기 IP 헤더의 목적지 MAC 주소에 매칭되는 네트워크 인터페이스를 통해 상기 단말 내 데이터를 전송하는 명령어들을 포함할 수 있다.
상기 복수의 접속망은, 와이파이(WiFi) 네트워크 및 셀룰러(cellular) 네트워크를 포함하고, 상기 제1 접속망은 와이파이 네트워크이며, 상기 VPN 어플리케이션은, 상기 단말 내 데이터가 VPN 터널링 대상 및 와이파이 네트워크 접속 대상에 모두 매칭되면, 와이파이 네트워크 장치의 주소를 목적지 MAC 주소로 설정한 VPN 터널링 헤더를 상기 단말 내 데이터에 추가한 후, 상기 운영 시스템으로 전달하고,상기 단말 내 데이터가 상기 VPN 터널링 대상에 매칭되고 상기 와이파이 네트워크 접속 대상에 비매칭되면, 셀룰러 네트워크 장치의 주소를 목적지 MAC 주소로 설정한 VPN 터널링 헤더를 상기 단말 내 데이터에 추가한 후, 상기 운영 시스템으로 전달하며, 상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 모두 비매칭되면, 셀룰러 네트워크 장치의 주소를 목적지 MAC 주소로 설정한 IP 헤더를 포함하는 단말 내 데이터를 상기 운영 시스템으로 전달하는 명령어들을 포함할 수 있다.
상기 VPN 어플리케이션은, 상기 비신뢰 접속망 게이트웨이로부터 수신한 페이징 요청 메시지로부터 변경된 전용망 접속 정책을 수신하고, 상기 변경된 전용망 접속 정책에 따라 상기 라우팅 테이블을 수정하는 명령어들을 포함할 수 있다.
상기 VPN 어플리케이션은, 상기 복수의 네트워크 인터페이스 중 하나의 네트워크 인터페이스부로부터 수신된 외부 데이터가 상기 라우팅 테이블에 매칭되면 VPN 터널링 헤더를 제거한 후 상기 운영 시스템으로 전달하고, 상기 외부 데이터가 상기 라우팅 테이블에 비매칭되면 상기 외부 데이터 그대로 상기 운영 시스템으로 전달하는 명령어들을 포함하고, 상기 운영 시스템은, 상기 네트워크 인터페이스로부터 수신되는 외부 데이터를 상기 VPN 어플리케이션으로 전달한 후, 수신되는 외부 데이터의 헤더 정보에 따라 해당하는 어플리케이션으로 전달하는 명령어들을 포함할 수 있다.
본 발명의 또 다른 실시예에 따르면, 데이터 전송 제어 방법은 적어도 하나의 프로세서에 의해 동작하는 비신뢰 접속망 게이트웨이가 단말의 데이터 전송을 제어하는 방법으로서, 단말과 접속을 위한 인증 메시지를 교환하는 단계, 그리고 접속 인증이 완료되면, 인증 완료 메시지에 전용망 접속 정책을 포함시켜 상기 단말로 전송하는 단계를 포함하고, 상기 전용망 접속 정책은, 상기 단말의 전용망 접속 여부 및 단말 내 데이터를 전송할 접속망 결정에 사용된다.
상기 전송하는 단계 이후, 변경된 전용망 접속 정책을 포함하는 페이징 요청 메시지를 상기 단말로 전송하는 단계를 더 포함할 수 있다.
상기 페이징 요청 메시지를 상기 단말로 전송하는 단계 이전에, 상기 전용망에 연결된 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)로부터 상기 변경된 전용망 접속 정책을 포함하는 페이징 요청을 수신하는 단계를 더 포함할 수 있다.
본 발명의 실시예에 따르면, Non-3GPP(3rd Generation Partnership Project) Access 연동 구조에서, 시스템 관리 권한이 부여된 VPN(Virtual Private Network) 어플리케이션을 통하여 응용 계층에서 발생하는 단말 내 데이터를 전송할 접속망을 원격지의 제어에 따라 선택적으로 변경할 수 있다. 따라서, 단말 제조사의 협의없이 앱 기반으로 단말을 원격에서 제어할 수 있다.
또한, 원격지에서 보안이 확보된 데이터 채널(IPsec 터널)을 통하여 단말의 접속망을 제어할 수 있어, 망 관리자 입장에서 단말의 위치 및 상태에 따라 특정 네트워크(NW) 접속을 차단하는 망 관리가 가능하고, 사설 LTE의 보안 문제를 해결할 수 있다.
또한, 최적의 접속망을 선택하여 사용자 무선 품질을 향상시킬 수 있고, 보안성을 강화할 수 있다.
도 1은 본 발명의 한 실시예에 따른 네트워크 구조를 도시한다.
도 2는 본 발명의 한 실시예에 따른 데이터 전송 방법을 나타낸 흐름도이다.
도 3은 본 발명의 한 실시예에 따른 트래픽 셀렉터의 구성 예시도이다.
도 4는 본 발명의 한 실시예에 따른 변경된 트래픽 셀렉터를 단말로 전송하는 과정을 나타낸 흐름도이다.
도 5는 본 발명의 한 실시예에 따른 단말의 구성도이다.
도 6은 본 발명의 한 실시예에 따른 단말 내 데이터 전송 과정을 나타낸 흐름도이다.
도 7은 본 발명의 한 실시예에 따른 단말 데이터의 구조를 나타낸다.
도 8은 본 발명의 한 실시예에 따른 운영 시스템의 라우팅 테이블을 나타낸다.
도 9는 본 발명의 한 실시예에 따른 외부 데이터 수신 과정을 나타낸 흐름도이다.
도 10은 본 발명의 한 실시예에 따른 라우팅 테이블의 예시이다.
도 11은 본 발명의 다른 실시예에 따른 라우팅 테이블의 예시이다.
도 12는 본 발명의 또 다른 실시예에 따른 라우팅 테이블의 예시이다.
도 13은 본 발명의 실시예에 따른 단말의 하드웨어 블록도이다.
도 14는 본 발명의 실시예에 따른 네트워크 장치의 하드웨어 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것 뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.
본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.
본 명세서에서 단말은 통신에서의 사용자 단말을 의미하는 포괄적 개념으로서, UE(User Equipment), MS(Mobile Station), MT(Mobile Terminal), SS(Subscriber Station), PSS(Portable Subscriber Station), AT(Access Terminal), 이동국, 이동 단말, 가입자국, 휴대 가입자국, 사용자 장치, 접근 단말, 무선 기기 등의 용어로 불릴 수도 있고, UE, MS, MT, SS, PSS, AT, 이동국, 이동 단말, 가입자국, 휴대 가입자국, 사용자 장치, 접근 단말, 무선 기기 등의 전부 또는 일부의 기능을 포함할 수도 있다.
단말은 기지국(base station, BS), 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 고도화 노드B(evolved NodeB, eNodeB), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등과 같은 네트워크 장치에 접속하여 원격의 서버에 연결될 수 있다.
기지국(Base Station, BS)은 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.
본 명세서의 단말은 스마트폰과 같은 모바일 단말, 스마트 패드와 태블릿 PC와 같은 태블릿 단말, 컴퓨터, 텔레비전 등 다양한 형태의 통신 단말로서, 복수의 통신 인터페이스를 구비할 수 있다.
통신 인터페이스는 다양할 수 있다. 예를 들면, 통신 인터페이스는 WiFi(WiFi)/무선랜(WLAN, Wireless Local Area Network)/블루투스(bluetooth) 등의 근거리 무선망 인터페이스, 그리고 3G/LTE(Long Term Evolution)/LTE-A(Long Term Evolution-Advanced) 등의 이동통신망 인터페이스를 포함할 수 있고, 단말 제조사가 다양한 통신 인터페이스를 추가할 수 있다.
본 명세서에서는 WiFi 인터페이스와 LTE 인터페이스를 예로 들어 설명하나, 통신 인터페이스가 이에 한정되는 것은 아니다.
LTE의 하이 레벨 아키텍처는 3개의 주요 구성 요소들을 포함하는데, 단말(UE), E-UTRAN(Evolved UMTS Terrestrial Radio Access Network) 및 EPC(Evolved Packet Core)를 포함하는 것으로 설명될 수 있다. 여기서, EPS(Evolved Packet System)는 E-UTRAN 및 EPC를 지칭한다.
EPC는 MME(Mobility Management Entity), SGW(Serving Gateway), PGW(Packet data network Gateway)를 포함하며, LTE 통신 시스템에서 사용되는 통신 기술, 네트워크 장치 구성들의 개념이 본 발명의 실시예에서 참조될 수 있다.
본 발명의 실시예에서는 Private LTE(Long Term Evolution) 기술을 이용할 수 있다. 이러한 Private LTE 기술은 LTE 통신 시스템의 EPC를 통해 PDN(Packet Data Network)들을 분리한다.
여기서, PDN은 공중망과 전용망을 포함한다. 전용망(Dedicated Network)은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공하며, 예를들면, 전용 네트워크, 사설망(Private Network), 인트라넷(Intranet), 전용 LTE망이라고도 할 수 있다. 이러한 전용망은 불특정 다수를 대상으로 이동통신 서비스를 제공하는 공중망(Public Network)과 구분된다. 공중망은 공용 네트워크, 인터넷(Internet), 일반 LTE망이라고도 할 수 있다.
공용 PGW 및 전용 PGW는 별개로 장치로 구현될 수 있으나, 실시예에 따라 하나의 PGW를 통해 공용망 및 전용망으로 분기하도록 구현할 수도 있으며, 공용망과 전용망을 분리하는 방식을 특별히 한정하지 않는다.
이때, 통신 사업자가 기업 가입자를 대상으로 Private LTE(Long Term Evolution) 서비스를 제공하는 것을 기업 전용망 서비스라 정의한다. 기업 가입자는 이러한 기업 전용망 서비스를 이용하기로 약정 또는 청약한 가입자를 지칭한다.
도 1은 본 발명의 한 실시예에 따른 네트워크 구조를 도시한다. 이때, 사용자 단말에게 다양한 데이터 패스(data pass)를 제공하는 Non-3GPP(3rd Generation Partnership Project) 연동 구조를 도시한다.
도 1을 참조하면, 사용자 단말(101, 103)은 VPN(Virtual Private Network) 어플리케이션(이하, VPN 앱으로 통칭함)(200)을 포함하고, 서로 다른 접속망에 연결되는 복수의 네트워크 인터페이스를 구비한다. 이때, 복수의 네트워크 인터페이스는 셀룰러(Cellular) 네트워크 인터페이스와 WiFi(WiFi) 네트워크 인터페이스를 포함한다. 본 발명의 실시예에서는 LTE 인터페이스와 WiFi 인터페이스를 예시로 설명한다.
사용자 단말(101, 103)은 통신 사업자에 가입된 신뢰 단말(또는 자사 단말)과 통신 사업자에 미가입된 비신뢰 단말(또는 타사 단말)로 구분된다.
신뢰 단말(101)은 LTE 인터페이스를 통해 자사 eNB(105), SGW(107), 공중 PGW(109) 및 전용 PGW(111)에 연결된다. 이때, 신뢰 단말(101)은 공중 PGW(109)를 통해 공중망(113)에 접속하거나 또는 전용 PGW(111)를 통해 전용망(115)에 접속한다.
신뢰 단말(101)은 WiFi 인터페이스를 통해 WiFi AP(117), 비신뢰 접속망 게이트웨이(119)에 접속한다.
비신뢰 접속망(Untrusted Access Network)은 전송 데이터에 대해 암호화 및 무결성 보호가 되지 않는 망으로서, WiFi망, 타사업자 LTE망을 포함할 수 있다. 비신뢰 접속망 게이트웨이(119)는 비신뢰 접속망을 통해 전용망(115)으로 접속하기 위해 사용자 단말(101, 103)이 거쳐야 하는 비신뢰 접속망과 EPC 간의 연동을 위한 네트워크 장치이다. 비신뢰 접속망 게이트웨이(119)는 사용자 단말(101, 103)에 대한 인증을 하고 터널을 생성한다. 이러한 터널링을 통해 사용자 단말(101, 103)은 비신뢰 접속망을 거쳐 전용 PGW(111)로 접속한다.
비신뢰 접속망 게이트웨이(119)는 3GPP TS 23.402 표준 문서에 정의된 진화된 패킷 데이터게이트웨이(Enhanced Packet Data Gateway, 비신뢰 접속망 게이트웨이)일 수 있다. 3GPP TS 23.402 표준 문서는 EPS와 Non-3GPP 액세스 네트워크의 연동 구조를 포함한다. 3GPP에서 규정 또는 표준화하지 않은 접속망을 비신뢰 접속망이라고 할 수 있다.
신뢰 단말(101)은 비신뢰 접속망 게이트웨이(119)를 통해 전용 PGW(111) 및 전용망(115)에 접속한다. 신뢰 단말(101)은 비신뢰 접속망 게이트웨이(119)를 통해 공중망(113)으로 접속하거나 또는 WiFi AP(117)를 통해 공중망(113)으로 바로 접속할 수 있다.
비신뢰 단말(103)은 LTE 인터페이스를 통해 타사 eNB(123), 타 사업자 코어망(125)을 통해 비신뢰 접속망 게이트웨이(119)에 접속하거나 또는 WiFi 인터페이스를 통해 WiFi AP(117) 및 비신뢰 접속망 게이트웨이(119)에 접속한다. 비신뢰 접속망 게이트웨이(119)는 비신뢰 단말(103)을 전용 PGW(111)를 경유하여 전용망(115)에 접속시키거나 또는 공중망(113)으로 접속시킨다.
이때, 사용자 단말(101, 103)에서 실행된 VPN 어플리케이션(200)은 비신뢰 접속망 게이트웨이(119)와 VPN 터널링을 설정하는데, VPN 터널링 프로토콜의 한 예시로 IPSec 프로토콜이 사용될 수 있다.
신뢰 단말(101)의 VPN 어플리케이션(200)은 WiFi 인터페이스, WiFi AP(117) 및 비신뢰 접속망 게이트웨이(119)로 연결되는 IPSec 터널링을 설정한다.
비신뢰 단말(103)의 VPN 어플리케이션(200)은 WiFi 인터페이스, WiFi AP(117) 및 비신뢰 접속망 게이트웨이(119)로 연결되는 IPSec 터널링을 설정하거나 또는 LTE 인터페이스, 타사 eNB(123) 및 타 사업자 코어망(125)으로 연결되는 IPSec 터널링을 설정한다.
도 2는 본 발명의 한 실시예에 따른 데이터 전송 방법을 나타낸 흐름도이고, 도 3은 본 발명의 한 실시예에 따른 트래픽 셀렉터의 구성 예시도이다.
이때, 도 2는 EAP-MSCHAPv2 인증 방식을 이용하여 전용망(115)으로 초기 접속하는 방법을 도시한 도면이다.
비록 도 2에서는 단말(101, 103)이 전용망(115)에 접속하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 전용망(115)에 접속할 수도 있다.
도 2를 참고하면, VPN 앱(200)이 실행된 단말(101, 103)은 비신뢰 접속망 게이트웨이(119)와 초기 암호화를 수행하기 위해, IKEv2_SA_INIT를 교환한다(S101).
IKEv2_SA_INT 메시지 교환을 통해, IKE 메시지 보호에 필요한 IKE_SA를 생성하며, 교환 이후 모든 메시지는 IKEv2_SA_INIT 교환에서 협상된 암호화 알고리즘 및 키를 사용하여 암호로 보호된다.
IKE_SA를 생성한 후, 단말(101, 103)은 EAP-MSCHAPv2 방식으로 인증을 수행하겠다는 정보를 포함하는 제1 IKEv2_AUTH_REQ 메시지를 비신뢰 접속망 게이트웨이(119)로 전송한다(S103). 이 경우, 비신뢰 접속망 게이트웨이(119)는 제1 IKEv2_AUTH_REQ 메시지에 포함된 IP 정보가 포함되지 않음을 확인하여 단말(101, 103)이 최초 접속한 것으로 결정할 수 있다.
제1 IKEv2_AUTH_REQ 메시지는 트래픽 셀렉터(Traffic Selector)를 포함하고, 단말에서 설정한 트래픽 셀렉터는 다음 표 1과 같이 구성될 수 있다.
SIP(Src IP) DIP(Dest IP) Protocol SP(Src Port) DP(Dest Port)
0.0.0.0~255.255.255.255 0.0.0.0~255.255.255.255 TCP or UPD or Both 0~65535 0~65535
표 1에 따르면, SIP, DIP, SP, DP, Protocol은 모두 초기값으로 설정되는데, Any IP, Any Port로 설정된다.
비신뢰 접속망 게이트웨이(119)는 서버 인증서 및 EAP-MSCHAPv2 인증에 필요한 Challenge 값을 포함하는 제1 IKEv2 AUTH_RESP 메시지를 단말(101, 103)에 전송한다(S105).
제1 IKEv2 AUTH_RESP 메시지를 수신한 단말(101, 103)은 가입자 정보, 인증 정보를 포함하는 제2 IKEv2 AUTH_REQ 메시지를 비신뢰 접속망 게이트웨이(119)로 전송한다(S107).
비신뢰 접속망 게이트웨이(119)는 EAP-MSCHAPv2 메시지 및 EAP-Payload를 포함하는 제2 IKEv2 AUTH_RESP 메시지를 단말(101, 103)로 전송한다(S109).
단말(101, 103)은 EAP-MSCHAPv2 메시지에 응답하는 제3 IKEv2_AUTH_REQ 메시지를 비신뢰 접속망 게이트웨이(119)로 전송한다(S111).
비신뢰 접속망 게이트웨이(119)는 S111 단계에서 수신한 메시지를 토대로 인증 절차를 수행하고, 인증 절차가 완료되면, 기 저장 또는 기 설정된 전용망 접속 정책에 따른 트래픽 셀렉터를 설정한다(S113). 비신뢰 접속망 게이트웨이(119)는 설정(S113)한 트래픽 셀렉터를 인증 완료 메시지인 제3 IKEv2 AUTH_RESP 메시지에 포함시켜 단말(101, 103)로 전송한다(S115).
이때, 트래픽 셀렉터는 도 3과 같이 구성될 수 있다. 도 3을 참조하면, 트래픽 셀렉터는 SIP, DIP, Protocol, SP, DP로 구성되고, VPN 터널링 대상을 정의하는 TS(IPsec)와 WiFi 접속 대상을 정의하는 TS(WiFi)로 구분된다.
다시, 도 2를 참조하면, 상호 인증 절차가 완료되면 단말(101, 103)과 비신뢰 접속망 게이트웨이(119) 사이에 IPSec 터널이 생성되고, 비신뢰 접속망 게이트웨이(119)와 전용 PGW(111) 사이에 GRE(Generic Routing Encapsulation) 터널 또는 GTP(General Packet Radio Service Tunneling Protocol) 터널이 생성된다(S117). 이 경우, 전용 PGW(111)는 IPSec 터널에서 사용할 IP를 할당하여, 단말(101, 103)로 전송한다.
단말(101, 103)은 S115 단계에서 수신한 제3 IKEv2 AUTH_RESP 메시지로부터 트래픽 셀렉터를 추출하고, 이 트래픽 셀렉터를 기초로 라우팅 테이블을 생성한다(S119).
이때, 라우팅 테이블은 VPN 터널링 대상을 정의하는 라우팅 경로와 WiFi 접속 대상을 정의하는 WiFi 경로를 저장한다. 각 경로는 SIP, DIP, 프로토콜, SP, DP를 포함한다.
단말(101, 103)은 생성(S119)한 라우팅 테이블을 기초로 단말 내 데이터의 전송을 제어한다(S121). 이때, 단말(101, 103)은 라우팅 테이블을 기초로 단말 내 데이터를 전송할 접속망을 선택하고, 선택한 접속망을 통하여 단말 내 데이터를 전용망(115)으로 전송한다.
이러한 데이터 전송 제어에 따라 단말(101, 103)은 생성된 터널을 통해 전용망(115)과 데이터를 송수신한다(S123).
도 4는 본 발명의 한 실시예에 따른 변경된 트래픽 셀렉터를 단말로 전송하는 과정을 나타낸 흐름도이다.
도 4를 참조하면, 전용 PGW(111)가 정책 변경 이벤트가 발생(S201)하면, 변경된 정책을 포함하는 페이징 요청을 비신뢰 접속망 게이트웨이(119)에게 전송한다(S203),
비신뢰 접속망 게이트웨이(119)는 변경 정책에 따른 트래픽 셀렉터를 설정한다(S205).
비신뢰 접속망 게이트웨이(119)는 설정(S205)한 트래픽 셀렉터를 페이징을 요청하는 IPsec Informational 메시지에 포함시켜 단말(101, 103)로 전송한다(S207).
단말(101, 103)은 페이징 요청에 응답하여 서비스 요청 절차를 개시한다. 여기서, 서비스 요청 절차는 라우팅 테이블 변경이 된다. 따라서, 단말(101, 103)은 수신(S207)한 트래픽 셀렉터를 기초로 라우팅 테이블을 변경(S209)한다.
단말(101, 103)은 페이징 응답을 명시하는 IKEv2 INFORMATIONAL 응답 메시지를 비신뢰 접속망 게이트웨이(119)로 전송한다(S211). 비신뢰 접속망 게이트웨이(119)는 페이징 응답을 전용 PGW(111)로 전송한다. 이러한 페이징 응답을 통해 전용 PGW(111)는 단말(101, 103)의 전용망 접속 정책 변경을 인지할 수 있다.
본 발명의 실시예에 따라 단말에서 데이터 전송을 제어하는 구체적인 과정을 설명하면, 다음과 같다.
도 5는 본 발명의 한 실시예에 따른 단말의 구성도이고, 도 6은 본 발명의 한 실시예에 따른 단말 내 데이터 전송 과정을 나타낸 흐름도이며, 도 7은 본 발명의 한 실시예에 따른 단말 데이터의 구조를 나타내고, 도 8은 본 발명의 한 실시예에 따른 운영 시스템의 라우팅 테이블을 나타내고, 도 9는 본 발명의 한 실시예에 따른 외부 데이터 수신 과정을 나타낸 흐름도이다.
도 5를 참조하면, 단말(101, 103)은 LTE 인터페이스(127), WiFi 인터페이스(129), 운영 시스템(Operating System, OS)(131), 유튜브와 같은 전용망 접속을 요하지 않는 일반 어플리케이션(133), 사내 메신저와 같은 전용망 접속을 요하는 전용망 어플리케이션(135), VPN 앱(200)을 포함한다.
VPN 앱(200), 일반 어플리케이션(133), 전용망 어플리케이션(135)은 운영 시스템(OS)(131)의 응용 계층에서 실행된다.
VPN 앱(200)은 IPSec 모듈 및 네트워크 스택(또는 TCP/IP 프로토콜 스택)을 포함한다. IPSec 모듈은 단말과 게이트웨이 간 시그널링 처리 및 보안/인증 처리를 위한 프로토콜 기능을 수행한다. 네트워크 스택은 어플리케이션과 통신하기 위한 소켓을 생성하고 라우팅 테이블을 포함하여 어플리케이션의 패킷을 소켓을 통해 송수신하고 라우팅 테이블을 참조하여 패킷을 라우팅한다.
도 6을 참조하면, 운영 시스템(OS)(131)은 사용자가 VPN 앱(200)을 실행(S301)하면, 단말 내 모든 사용자 데이터(또는 업링크 데이터)를 VPN 앱(200)으로 전달하도록 설정한다(S303).
이때, 단말 제조사는 단말 제조사 이외의 사업자가 단말의 VPN 앱(200)을 개발할 수 있도록 L2 ~ L5 헤더가 모두 포함된 단말 내 데이터를 VPN 앱(200)을 경유하도록 운영 시스템(OS)(131)에서 지원하는 기능을 제공한다. VPN 앱(200)은 운영 시스템(OS)(131)에서 지원하는 보안 영역 내에 설치되고, VPN 앱(200)이 실행되면, 단말(101, 103)은 보호 모드로 동작한다. 단말(101, 103)이 보호 모드로 동작하면, 단말 내 모든 데이터는 VPN(200)을 경유한다.
사내 메신저(135), 유튜브(133) 등에서 사용자 데이터가 생성되면, 이러한 사용자 데이터는 모두 VPN 앱(200)로 전달된다(S305, S307).
VPN 앱(200)은 사용자 데이터가 발생(S309)하면, 사용자 데이터의 SIP, DIP, SP, DP 중 적어도 하나가 라우팅 테이블에 매칭되는지 확인하여, 전용망 접속 대상인지를 판단한다(S311).
전용망 접속 대상으로 판단되면, VPN 앱(200)은 VPN 터널링 헤더를 사용자 데이터에 추가한다(S313).
VPN 앱(200)은 사용자 데이터의 SIP, DIP, SP, DP 중 적어도 하나가 라우팅 테이블에 매칭되는지 확인하여, WiFi 접속 대상인지를 판단한다(S315).
WiFi 접속 대상으로 판단되면, VPN 터널링 헤더의 목적지 MAC 주소를 WiFi AP 접속 주소로 설정한다(S317).
WiFi 접속 대상이 아니라고 판단되면, VPN 터널링 헤더의 목적지 MAC 주소를 LTE PGW 접속 주소로 설정한다(S319).
VPN 앱(200)은 전용망 접속 대상이 아니라고 판단되면, VPN 터널링 헤더는 추가하지 않는다. VPN 앱(200)은 WiFi 접속 대상인지를 판단(S321)하여 WiFi 접속 대상으로 판단되면, IP 헤더의 목적지 MAC 주소를 WiFi AP 접속 주소로 설정한다(S323).
VPN 앱(200)은 WiFi 접속 대상이 아니라고 판단되면, IP 헤더의 목적지 MAC 주소를 LTE PGW 접속 주소로 설정한다(S325).
이와 같이, VPN 앱(200)은 매칭되는 라우팅 경로에 따른 네트워크 장치의 주소를 VPN 터널링 헤더 또는 IP 헤더의 목적지(Dst) MAC 주소로 설정한 후, 사용자 데이터를 운영 시스템(OS)(131)으로 전달한다(S327).
운영 시스템(OS)(131)은 사용자 데이터의 VPN 터널링 헤더 또는 IP 헤더의 MAC 주소에 따른 네트워크 인터페이스(127, 129)를 선택한다(S329). 그리고 선택(S329)한 네트워크 인터페이스(127, 129)로 사용자 데이터를 전송한다(S331).
도 7을 참조하면, 사용자 데이터(400)는 일반 데이터와 전용망 데이터로 구분된다. 일반 데이터는 IP 헤더(401) 및 페이로드(403)로 구성된다. IP 헤더는 L2 MAC 주소, L3 IP 정보 및 L4 TCP 또는 UDP 정보를 포함한다. 전용망 데이터는 IP 헤더(401) 및 페이로드(403)를 포함하고, IP 헤더(401)앞에 추가되는 VPN 터널링 헤더(405)를 더 포함한다. VPN 터널링 헤더(405)는 L2 MAC 주소, L3 IP 정보 및 L4 TCP 또는 UDP 정보를 포함한다.
도 8을 참조하면, 운영 시스템(OS)(131)이 사용하는 라우팅 테이블(500)로서, 라우팅 테이블(500)은 MAC 어드레스(501) 별로 전달 인터페이스(503)가 설정되어 있다.
도 7 및 도 8을 참조하면, 운영 시스템(OS)(131)은 S327 단계에서 수신한 사용자 데이터에 VPN 터널링 헤더가 있을 경우, VPN 터널링 헤더(405)의 L2 MAC 주소를 확인하고, 확인한 L2 MAC 주소에 매칭되는 네트워크 인터페이스를 라우팅 테이블(500)로부터 확인한다. 운영 시스템(OS)(131)은 L2 MAC 주소가 WiFi AP MAC이면 WiFi 인터페이스(129)를 선택(S329)하고, L2 MAC 주소가 LTE PGW MAC이면 LTE 인터페이스(127)를 선택한다(S329).
또한, 운영 시스템(OS)(131)은 S327 단계에서 수신한 사용자 데이터에 VPN 터널링 헤더가 없을 경우, IP 헤더(401)의 L2 MAC 주소를 확인하고, 확인한 L2 MAC 주소에 매칭되는 네트워크 인터페이스를 라우팅 테이블(500)로부터 확인한다. 운영 시스템(OS)(131)은 L2 MAC 주소가 WiFi AP MAC이면 WiFi 인터페이스(129)를 선택(S329)하고, L2 MAC 주소가 LTE PGW MAC이면 LTE 인터페이스(127)를 선택한다(S329).
도 9는 본 발명의 한 실시예에 따른 외부 데이터(또는 다운링크 데이터) 수신 과정을 나타낸 흐름도이다.
도 9를 참조하면, 운영 시스템(OS)(131)은 사용자가 VPN 앱(200)을 실행(S401)하면, 단말 내 모든 사용자 데이터(업링크 데이터 또는 다운링크 데이터)를 VPN 앱(200)으로 전달하도록 설정한다(S403).
운영 시스템(OS)(131)은 LTE 인터페이스(127), WiFi 인터페이스(129)로부터 외부 데이터가 수신(S405)되면, VPN 앱(200)으로 외부 데이터를 전달한다(S407).
VPN 앱(200)은 외부 데이터가 라우팅 테이블에 매칭되는지 판단(S409)하고, 라우팅 테이블에 매칭되면, 외부 데이터로부터 VPN 터널링 헤더를 제거(S411)한 후, 외부 데이터를 운영 시스템(OS)(131)으로 리턴한다(S413). 운영 시스템(OS)(131)은 리턴(S413)된 외부 데이터의 IP 헤더의 목적지 포트 정보를 확인한다(S415). 그리고 확인한 목적지 포트 정보에 해당하는 예를들면 사내 메신저(135)로 외부 데이터를 전달한다(S417).
VPN 앱(200)은 라우팅 테이블에 매칭되지 않는 외부 데이터를 수신한 그대로 운영 시스템(OS)(131)으로 리턴한다(S419). 운영 시스템(OS)(131)은 리턴(S419)된 외부 데이터의 IP 헤더의 목적지 포트 정보를 확인한다(S421). 그리고 확인한 목적지 포트 정보에 해당하는 예를들면 유튜브(133)로 외부 데이터를 전달한다(S423).
이제, 본 발명의 실시예에 따른 다양한 전용망 접속 정책에 따라 라우팅 테이블을 설정하는 예시를 설명하면, 다음과 같다.
도 10은 본 발명의 한 실시예에 따른 라우팅 테이블의 예시이다.
도 10을 참조하면, VPN 앱(200)이 실행된 상태에서는, 단말 내 모든 데이터가 WiFi 인터페이스(도 5의 129)로만 송수신되고, 특정 목적지로 향하는 데이터에 대하여 전용망(도 1의 115) 연결이 허용되는 실시예이다.
라우팅 테이블(600)의 TS(IPsec)(601)룰에 따르면, DIP가 20.20.1.0~20.20.1.254(사설 IP)로 설정되어고, DP는 22(보안 텔넷(SSH)), 23(텔넷), 80(웹/HTTP)으로 설정되어 있다. VPN 앱(200)은 업링크 데이터의 DIP와, DP가 TS(IPsec)룰(601)에 매칭되면, VPN 터널링 헤더를 업링크 데이터에 추가한다.
TS(WiFi)룰(603)에 따르면, DIP에는 0.0.0.0 ~ 255.255.255.255(Any IP)로 설정되어 있고, DP에는 0~65535(Any Port)로 설정되어 있다. 따라서, VPN 앱(200)은 모든 업링크 데이터에 대하여, 목적지 MAC을 WiFi AP MAC으로 설정한다. 즉, VPN 터널링 헤더의 목적지 MAC 및 IP 헤더의 목적지 MAC을 WiFi AP MAC으로 설정한다.
따라서, 단말 내 모든 데이터는 WiFi 인터페이스(129)를 통해 송수신된다. 그리고 단말 내 데이터 중에서도 특정 IP 대역을 가진 목적지에 대하여 전용망 접속이 허용되고, 허용된 데이터만 IPsec 터널링을 통해 전용망(115)으로 접속할 수 있다.
이러한 실시예는 다수의 지사를 보유한 기업 가입자의 사내 네트워크가 WiFi(WiFi)로 구성되어 있는 경우, 지사에 위치한 단말은 별도의 VPN 설정 없이도 WiFi(WiFi)를 통해서 본사의 기업 전용망으로 접속 할 수 있다. 그리고 기업의 보안 담당자는 출장중인 임직원 단말을 WiFi만 접속 가능하도록 제한하며, WiFi를 통해 본사의 기업 전용 망으로 접속하도록 제어할 수 있다.
도 11은 본 발명의 다른 실시예에 따른 라우팅 테이블의 예시이다.
도 11을 참조하면, VPN 앱(200)이 실행된 상태에서는, 특정 어플리케이션에서 실행되어 특정 목적지로 향하는 데이터에 대하여 전용망 연결이 허용되고, 특정 목적지로 향하는 데이터는 WiFi 인터페이스(도 5의 129)로 송수신된다. 따라서, 특정 목적지로 향하는 데이터가 아닌 경우, 인터넷에 접속하는 일반 데이터는 LTE 인터페이스(도 5의 127)로 송수신된다.
라우팅 테이블(600)의 TS(IPsec)룰(601)에 따르면, DIP가 20.20.1.0~20.20.1.254(사설 IP)로 설정되어고, DP는 22(보안 텔넷(SSH)), 23(텔넷), 80(웹/HTTP)으로 설정되어 있으며, SIP는 12.0.0.129, SP는 78592로 특정되어 있다. VPN 앱(200)은 업링크 데이터의 DIP, DP, SIP, SP가 모두 TS(IPsec)룰(601)에 매칭되면, VPN 터널링 헤더를 업링크 데이터에 추가한다. 예를들면, 사내 메신저(도 5의 135)에 한해 VPN 터널링 헤더가 추가될 수 있다.
TS(WiFi)룰(603)에 따르면, DIP는 20.20.1.0~20.20.1.254(사설 IP)로 설정되어 있고, DP에는 0~65535(Any Port)로 설정되어 있다. 따라서, VPN 앱(200)은 목적지가 전용망(115)인 경우에 목적지 MAC을 WiFi AP MAC으로 설정한다. 즉, VPN 터널링 헤더의 목적지 MAC을 WiFi AP MAC으로 설정한다. 그리고 일반 데이터의 IP 헤더의 목적지 MAC은 LTE GW MAC으로 설정한다.
이러한 실시예는 단말 내 사용자 데이터 중에서 전용망 접속을 요청하는 전용망 데이터, 예를들면, 사내 메신저, 사내 메일만 VPN 앱(200)에서 WiFi 인터페이스(129)로 라우팅되는 예시이다.
이러한 실시예에 따르면, 단말(101, 103)은 LTE 인터페이스(127)를 통해서는 공중망(113)에 접속하고, WiFi 인터페이스(129)를 통해서 전용망(115)에 접속한다. 그리고 전용망(115)에 접속 가능한 SIP와 SP를 전용망 앱(IP 12.0.0.129, port 78592)으로 제한하고 있으므로, 공중망(113)에서 단말(101, 103)로 수신되는 데이터가 전용망(115)으로 전달될 수 없다.
따라서, 단말(101, 103)에서 전용망(20.20.1.0/24) 대역으로 접속하려 시도해도, 공중망(113)으로 해당 데이터가 전달되므로, 전용망 접속이 불가능하다.
도 12는 본 발명의 또 다른 실시예에 따른 라우팅 테이블의 예시이다.
도 12를 참조하면, VPN 앱(200)이 실행된 상태에서는, 특정 어플리케이션에서 실행되어 특정 목적지로 향하는 데이터에 대하여 전용망 연결이 허용되고, 모든 데이터는 LTE 인터페이스(도 5의 127)로 송수신된다.
라우팅 테이블(600)의 TS(IPsec)룰(601)에 따르면, DIP가 20.20.1.0~20.20.1.254(사설 IP)로 설정되어고, DP는 22(보안 텔넷(SSH)), 23(텔넷), 80(웹/HTTP)으로 설정되어 있다. VPN 앱(200)은 업링크 데이터의 DIP, DP가 TS(IPsec)룰(601)에 매칭되면, VPN 터널링 헤더를 업링크 데이터에 추가한다.
TS(WiFi)룰(603)에 따르면, DIP는 0.0.0.0으로 설정되어 있고, DP에는 0으로 설정되어 있다. 따라서, VPN 앱(200)은 VPN 터널링 헤더의 MAC 및 IP 헤더의 MAC을 모두 LTE GW MAC으로 설정한다. 즉, 모든 단말 내 데이터가 LTE 인터페이스(127)를 통해 라우팅된다. 또한, 특정 IP 대역으로만 전용망 접속을 허용하여, 허용된 데이터만 IPsec 터널링을 통해서 전용망으로 접속할 수 있다.
사용자가 이동 중인 상황에서 WiFi를 통해 연결되면 잦은 망 끊김이 발생할 수 있으므로, 이를 고려하여 모든 단말 내 데이터를 LTE 인터페이스(127)로 라우팅되도록 설정한 예시이다. 그리고 특정 데이터만 IPsec 터널링을 통해 비신뢰 접속망 게이트웨이(119)를 경유하여 전용망으로 연결되고, 나머지 유튜브와 같은 일반 어플리케이션 데이터는 LTE 인터페이스(127)를 바로 공중망(113)으로 전달된다.
한편, 도 13은 본 발명의 실시예에 따른 사용자 단말의 하드웨어 블록도로서, 도 1 ~ 도 12에서 설명한 단말(101, 103)의 하드웨어 구성을 나타낸다.
도 13을 참조하면, 사용자 단말(700)은 통신 장치(701), 메모리 장치(703), 디스플레이(705), 입력 장치(707) 및 적어도 하나의 프로세서(709) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 12를 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)들을 포함하고, 메모리 장치(703) 및 프로세서(709) 등의 하드웨어와 결합하여 본 발명을 구현한다.
도 14는 본 발명의 실시예에 따른 네트워크 장치의 하드웨어 블록도로서, 도 1~ 도 12에서 설명한 비신뢰 접속망 게이트웨이(119) 및 전용 PGW(111)의 하드웨어 구성을 나타낸다.
도 14를 참조하면, 네트워크 장치(800)는 통신 장치(801), 메모리(803), 저장 장치(805) 및 적어도 하나의 프로세서(807)를 포함한다.
통신 장치(801)는 적어도 하나의 프로세서(807)와 연결되어, 패킷을 송수신 또는 패킷을 입출력하는 인터페이스를 포함한다. 메모리(803)는 적어도 하나의 프로세서(807)와 연결되어, 도 1 내지 도 12에서 설명한 실시예들에 따른 구성 및/또는 방법을 실행하게 하는 명령어들을 포함하는 프로그램을 저장한다.
이러한 실시예를 통해서, Non-3GPP Access 통합 무선망 환경에서 전용망 운용자 혹은 통신사의 운용자의 임의의 설정에 따라서, 단말의 전용망 접속 및 단말이 접속할 접속망을 원격에서 설정할 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (16)

  1. 적어도 하나의 프로세서에 의해 동작하고, 복수의 네트워크 인터페이스를 구비하는 단말의 데이터 전송 방법으로서,
    상기 단말의 운영 시스템(Operating System, OS)에서 동작하는 VPN(Virtual Private Network) 어플리케이션을 실행하여, 단말 내 데이터가 상기 VPN 어플리케이션으로 전달되도록 설정하는 단계,
    전용망으로 상기 단말을 연결시키는 비신뢰 접속망 게이트웨이에 접속하여 상기 비신뢰 접속망 게이트웨이로부터 전용망 접속 정책을 수신하는 단계,
    상기 전용망 접속 정책에 따라 생성한 라우팅 테이블을 기초로, 상기 복수의 네트워크 인터페이스 중에서 상기 단말 내 데이터의 목적지 정보에 매칭되는 네트워크 인터페이스를 선택하는 단계, 그리고
    선택한 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 공중망 또는 전용망으로 전송하는 단계를 포함하고,
    상기 복수의 네트워크 인터페이스는, 상기 공중망 및 상기 전용망에 각각 연결되고,
    상기 복수의 네트워크 인터페이스는, 네트워크 인터페이스 별로 상기 전용망으로 상기 단말 내 데이터를 전송하는 전용 네트워크 경로가 서로 다르고,
    상기 복수의 네트워크 인터페이스는, 상기 네트워크 인터페이스 별로 상기 단말 내 데이터를 상기 공중망으로 전송하는 공중 네트워크 경로가 서로 다르며,
    상기 전용망 접속 정책은,
    상기 비신뢰 접속망 게이트웨이로부터 수신되는 인증 완료 메시지에 포함되며,
    상기 전용망 접속 정책이 변경되면, 변경된 전용망 접속 정책은,
    상기 비신뢰 접속망 게이트웨이로부터 수신되는 페이징 요청 메시지에 포함되어, 상기 라우팅 테이블을 수정하는데 사용되는, 단말의 데이터 전송 방법.
  2. 제1항에서,
    상기 선택하는 단계는,
    상기 라우팅 테이블을 기초로 상기 단말 내 데이터의 전용망 접속 허용 여부와 네트워크 인터페이스를 결정하는 단계,
    상기 결정에 따라 전용망 접속이 허용된 단말 내 데이터에 VPN 터널링 헤더를 추가하는 단계, 그리고
    상기 VPN 터널링 헤더의 목적지 MAC(Medium Access Control) 주소를 상기 결정에 따른 네트워크 인터페이스에 연결된 네트워크 장치의 주소로 설정하는 단계를 포함하고,
    상기 전송하는 단계는,
    상기 VPN 터널링 헤더의 목적지 MAC 주소에 매칭되는 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 전송하는, 단말의 데이터 전송 방법.
  3. 제2항에서,
    상기 결정하는 단계 이후,
    상기 결정에 따라 전용망 접속이 불허된 단말 내 데이터의 IP 헤더의 MAC 주소를 상기 결정에 따른 네트워크 장치 주소로 설정하는 단계를 더 포함하고,
    상기 선택하는 단계 이후,
    상기 IP 헤더의 목적지 MAC 주소에 매칭되는 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 공중망으로 전송하는 단계
    를 더 포함하는, 단말의 데이터 전송 방법.
  4. 제3항에서,
    상기 복수의 네트워크 인터페이스는,
    와이파이(WiFi) 네트워크 인터페이스 및 셀룰러(cellular) 네트워크 인터페이스를 포함하고,
    상기 전용망 접속 정책은,
    VPN 터널링 대상 및 와이파이 네트워크 접속 대상을 포함하고,
    상기 결정하는 단계는,
    상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 매칭되는지 판단하고, 상기 판단에 따라 상기 단말 내 데이터의 전용망 접속 허용 여부와 네트워크 인터페이스를 결정하는, 단말의 데이터 전송 방법.
  5. 제4항에서,
    상기 라우팅 테이블은,
    상기 VPN 터널링 대상을 정의하는 소스 IP 주소, 소스 포트, 목적지 IP 주소 및 목적지 포트 정보와, 상기 와이파이 네트워크 접속 대상을 정의하는 소스 IP 주소, 소스 포트, 목적지 IP 주소 및 목적지 포트 정보를 포함하는, 단말의 데이터 전송 방법.
  6. 제4항에서,
    상기 결정하는 단계는,
    상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 모두 매칭되면 상기 단말 내 데이터를 전용망으로 전송할 네트워크 인터페이스로 상기 와이파이 네트워크 인터페이스를 선택하는 단계,
    상기 단말 내 데이터가 상기 VPN 터널링 대상에 매칭되고 상기 와이파이 네트워크 접속 대상에 비매칭되면, 상기 단말 내 데이터를 전용망으로 접속할 네트워크 인터페이스로 상기 셀룰러 네트워크 인터페이스를 선택하는 단계, 그리고
    상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 모두 비매칭되면, 상기 단말 내 데이터의 전용망 접속을 불허하고 상기 단말 내 데이터의 네트워크 인터페이스로 상기 셀룰러 네트워크 인터페이스를 선택하는 단계
    를 포함하는, 단말의 데이터 전송 방법.
  7. 제4항에서,
    상기 전용망 접속 정책을 수신하는 단계는,
    상기 비신뢰 접속망 게이트웨이와 초기 접속을 위한 인증 메시지를 교환하는 단계, 그리고
    상기 비신뢰 접속망 게이트웨이로부터 수신한 인증 완료 메시지에 포함된 트래픽 셀렉터(Traffic Selector)로부터 상기 전용망 접속 정책을 획득하는 단계
    를 포함하는, 단말의 데이터 전송 방법.
  8. 제7항에서,
    상기 전용망 접속 정책을 수신하는 단계 이후,
    상기 비신뢰 접속망 게이트웨이로부터 페이징 요청 메시지를 수신하는 단계, 그리고
    상기 페이징 요청 메시지에 포함된 트래픽 셀렉터로부터 획득한 변경된 전용망 접속 정책을 기초로 상기 라우팅 테이블을 수정하는 단계
    를 더 포함하는, 단말의 데이터 전송 방법.
  9. 공중망 및 전용망에 연결되는 네트워크 경로가 서로 다른 복수의 네트워크 인터페이스,
    운영 시스템 및 상기 운영 시스템 상에서 동작하는 VPN(Virtual Private Network) 어플리케이션을 저장하는 메모리, 그리고
    상기 운영 시스템 및 상기 VPN 어플리케이션을 실행하는 적어도 하나의 프로세서를 포함하고,
    상기 VPN 어플리케이션은,
    전용망에 연결된 비신뢰 접속망 게이트웨이로부터 전용망 접속 정책을 수신하고,
    상기 전용망 접속 정책에 따라 생성한 라우팅 테이블을 기초로, 단말 내 데이터를 전송할 목적지 네트워크 장치의 주소를 상기 단말 내 데이터의 헤더 정보에 수록하는 명령어들(Instructions)을 포함하고,
    상기 운영 시스템은,
    상기 VPN 어플리케이션이 실행되면, 상기 단말 내 데이터를 상기 VPN 어플리케이션으로 전달한 후 상기 VPN 어플리케이션으로부터 헤더 정보에 상기 목적지 네트워크 장치의 주소가 수록된 단말 내 데이터를 수신하고,
    상기 복수의 네트워크 인터페이스 중에서, 상기 목적지 네트워크 장치의 주소에 매칭되는 네트워크 인터페이스를 선택하고, 선택한 네트워크 인터페이스를 통하여 상기 단말 내 데이터를 전송하는 명령어들을 포함하며,
    상기 복수의 네트워크 인터페이스는, 네트워크 인터페이스 별로 상기 전용망으로 상기 단말 내 데이터를 전송하는 전용 네트워크 경로가 서로 다르고,
    상기 복수의 네트워크 인터페이스는, 네트워크 인터페이스 별로 상기 단말 내 데이터를 상기 공중망으로 전송하는 공중 네트워크 경로가 서로 다르며,
    상기 목적지 네트워크 장치는,
    상기 전용 네트워크 경로 또는 상기 공중 네트워크 경로에 포함되고,
    상기 전용망 접속 정책은,
    상기 비신뢰 접속망 게이트웨이로부터 수신되는 인증 완료 메시지에 포함되며,
    상기 전용망 접속 정책이 변경되면, 변경된 전용망 접속 정책은,
    상기 비신뢰 접속망 게이트웨이로부터 수신되는 페이징 요청 메시지에 포함되어, 상기 라우팅 테이블을 수정하는데 사용되는, 단말 장치.
  10. 제9항에서,
    상기 VPN 어플리케이션은,
    상기 비신뢰 접속망 게이트웨이로부터 VPN 터널링 대상을 정의하는 제1 트래픽 셀렉터(Traffic Selector) 및 제1 네트워크 인터페이스의 접속 대상을 정의하는 제2 트래픽 셀렉터를 수신하고,
    상기 제1 트래픽 셀렉터 및 상기 제2 트래픽 셀렉터에 따른 라우팅 테이블을 생성하며,
    상기 단말 내 데이터가 상기 라우팅 테이블에 매칭되는지에 따라 상기 단말 내 데이터의 전용망 접속 허용 여부와 상기 단말 내 데이터를 전송할 네트워크 인터페이스를 결정하고,
    상기 결정에 따라 VPN 터널링 헤더의 목적지 MAC 주소 또는 IP 헤더의 목적지 MAC 주소를 결정된 네트워크 인터페이스에 연결된 네트워크 장치의 주소로 설정하는 명령어들을 포함하고,
    상기 운영 시스템은,
    상기 VPN 터널링 헤더의 목적지 MAC 주소 또는 상기 IP 헤더의 목적지 MAC 주소에 매칭되는 네트워크 인터페이스를 통해 상기 단말 내 데이터를 전송하는 명령어들을 포함하는, 단말 장치.
  11. 제10항에서,
    상기 복수의 네트워크 인터페이스는,
    와이파이(WiFi) 네트워크 인터페이스 및 셀룰러(cellular) 네트워크 인터페이스를 포함하고,
    상기 VPN 어플리케이션은,
    상기 단말 내 데이터가 VPN 터널링 대상 및 와이파이 네트워크 접속 대상에 모두 매칭되면, 와이파이 네트워크 장치의 주소를 목적지 MAC 주소로 설정한 VPN 터널링 헤더를 상기 단말 내 데이터에 추가한 후, 상기 운영 시스템으로 전달하고,
    상기 단말 내 데이터가 상기 VPN 터널링 대상에 매칭되고 상기 와이파이 네트워크 접속 대상에 비매칭되면, 셀룰러 네트워크 장치의 주소를 목적지 MAC 주소로 설정한 VPN 터널링 헤더를 상기 단말 내 데이터에 추가한 후, 상기 운영 시스템으로 전달하며,
    상기 단말 내 데이터가 상기 VPN 터널링 대상 및 상기 와이파이 네트워크 접속 대상에 모두 비매칭되면, 셀룰러 네트워크 장치의 주소를 목적지 MAC 주소로 설정한 IP 헤더를 포함하는 단말 내 데이터를 상기 운영 시스템으로 전달하는 명령어들을 포함하는, 단말 장치.
  12. 제10항에서,
    상기 VPN 어플리케이션은,
    상기 비신뢰 접속망 게이트웨이로부터 수신한 페이징 요청 메시지로부터 변경된 전용망 접속 정책을 수신하고, 상기 변경된 전용망 접속 정책에 따라 상기 라우팅 테이블을 수정하는 명령어들을 포함하는, 단말 장치.
  13. 제10항에서,
    상기 VPN 어플리케이션은,
    상기 복수의 네트워크 인터페이스 중 하나의 네트워크 인터페이스부로부터 수신된 외부 데이터가 상기 라우팅 테이블에 매칭되면 VPN 터널링 헤더를 제거한 후 상기 운영 시스템으로 전달하고, 상기 외부 데이터가 상기 라우팅 테이블에 비매칭되면 상기 외부 데이터 그대로 상기 운영 시스템으로 전달하는 명령어들을 포함하고,
    상기 운영 시스템은,
    상기 네트워크 인터페이스로부터 수신되는 외부 데이터를 상기 VPN 어플리케이션으로 전달한 후, 수신되는 외부 데이터의 헤더 정보에 따라 해당하는 어플리케이션으로 전달하는 명령어들을 포함하는, 단말 장치.
  14. 적어도 하나의 프로세서에 의해 동작하는 비신뢰 접속망 게이트웨이가 단말의 데이터 전송을 제어하는 방법으로서,
    단말과 접속을 위한 인증 메시지를 교환하는 단계,
    접속 인증이 완료되면, 인증 완료 메시지에 전용망 접속 정책을 포함시켜 상기 단말로 전송하는 단계, 그리고
    상기 전용망 접속 정책이 변경되면, 변경된 전용망 접속 정책을 포함하는 페이징 요청 메시지를 상기 단말로 전송하는 단계를 포함하고,
    상기 전용망 접속 정책 및 상기 변경된 전용망 접속 정책은,
    상기 단말의 전용망 접속 여부, 그리고 상기 단말에 구비된 복수의 네트워크 인터페이스 중에서 단말 내 데이터를 전송할 네트워크 인터페이스를 결정하는데 사용되고,
    상기 복수의 네트워크 인터페이스는, 전용망 및 공중망에 각각 연결되고,
    상기 복수의 네트워크 인터페이스는, 네트워크 인터페이스 별로 상기 전용망으로 상기 단말 내 데이터를 전송하는 전용 네트워크 경로가 서로 다르고,
    상기 복수의 네트워크 인터페이스는, 상기 네트워크 인터페이스 별로 상기 단말 내 데이터를 상기 공중망으로 전송하는 공중 네트워크 경로가 서로 다른, 데이터 전송 제어 방법.
  15. 삭제
  16. 제14항에서,
    상기 페이징 요청 메시지를 상기 단말로 전송하는 단계 이전에,
    상기 전용망에 연결된 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)로부터 상기 변경된 전용망 접속 정책을 포함하는 페이징 요청을 수신하는 단계
    를 더 포함하는, 데이터 전송 제어 방법.
KR1020180042370A 2017-06-23 2018-04-11 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법 KR102207135B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170079591 2017-06-23
KR20170079591 2017-06-23

Publications (2)

Publication Number Publication Date
KR20190000781A KR20190000781A (ko) 2019-01-03
KR102207135B1 true KR102207135B1 (ko) 2021-01-25

Family

ID=65022273

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180042370A KR102207135B1 (ko) 2017-06-23 2018-04-11 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법

Country Status (1)

Country Link
KR (1) KR102207135B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102362078B1 (ko) * 2019-04-30 2022-02-11 주식회사 케이티 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말
USD946153S1 (en) * 2020-05-20 2022-03-15 Brainsonix Corporation Transducer holder
KR102328631B1 (ko) * 2020-09-28 2021-11-18 한국항공우주연구원 다중 데이터 전송 방법 및 다중 데이터 전송 시스템
KR20230109864A (ko) 2022-01-14 2023-07-21 플레이닥터주식회사 촉감을 활용한 카드형 학습교구

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101669165B1 (ko) * 2015-07-07 2016-10-25 주식회사 케이티 사설망 서비스 제공방법 및 이를 위한 이동성관리장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1853013A1 (en) * 2004-07-23 2007-11-07 Citrix Systems, Inc. A method and systems for securing remote access to private networks
US8320272B2 (en) * 2010-02-12 2012-11-27 Alcatel Lucent Method and apparatus for controlling access technology selection
KR101280819B1 (ko) * 2011-08-26 2013-07-30 에스케이텔레콤 주식회사 접속망에 따라 cp를 변경하는 패킷데이터 네트워크 게이트웨이, 이동통신시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101669165B1 (ko) * 2015-07-07 2016-10-25 주식회사 케이티 사설망 서비스 제공방법 및 이를 위한 이동성관리장치

Also Published As

Publication number Publication date
KR20190000781A (ko) 2019-01-03

Similar Documents

Publication Publication Date Title
CN107079023B (zh) 用于下一代蜂窝网络的用户面安全
US10742610B2 (en) Secure network enrollment
US11729619B2 (en) Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
US8982862B2 (en) Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN
JP5572720B2 (ja) ワイヤレスリレーノードをセキュアにするための方法および装置
KR102207135B1 (ko) 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법
JP2019512942A (ja) 5g技術のための認証機構
US20150124966A1 (en) End-to-end security in an ieee 802.11 communication system
US20070105549A1 (en) Mobile communication system using private network, relay node, and radio network controller
KR20120135310A (ko) 통신 시스템의 보안 릴레이 노드
KR20130040210A (ko) 모바일 스테이션을 통신 네트워크에 연결시키는 방법
US8982861B2 (en) Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN
KR20200126933A (ko) 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말
JP6472030B2 (ja) 通信システム及びその認証接続方法
KR102048469B1 (ko) 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말
KR102185215B1 (ko) 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법
US10595349B2 (en) Quality of service in neural host network
KR20150042686A (ko) 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
WO2023011652A1 (zh) 安全通信的方法和装置
CN101909297B (zh) 一种接入网络设备之间的相互认证方法和接入网络设备
Cao et al. Secure Enhanced Seamless Roaming
KR20150018661A (ko) IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant