KR20090093749A - 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적변경 방법 - Google Patents

다이아미터 기반의 인터넷 접속망에서 접속권한의 동적변경 방법

Info

Publication number
KR20090093749A
KR20090093749A KR1020080063208A KR20080063208A KR20090093749A KR 20090093749 A KR20090093749 A KR 20090093749A KR 1020080063208 A KR1020080063208 A KR 1020080063208A KR 20080063208 A KR20080063208 A KR 20080063208A KR 20090093749 A KR20090093749 A KR 20090093749A
Authority
KR
South Korea
Prior art keywords
authentication
access
rule
server
user terminal
Prior art date
Application number
KR1020080063208A
Other languages
English (en)
Inventor
이덕기
방정희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20090093749A publication Critical patent/KR20090093749A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 다이아미터 기반의 인터넷 접속망에서 초기 접속인증을 통해 인터넷 접속망에 접속하여 있는 사용자 단말의 망사용 권한이 접속 중에 변경되는 경우, 복잡한 재인증 과정 없이 즉시 접속세션 권한을 변경해줄 수 있고 재인증 과정 시에 소요되는 사용자 단말, 망접속 서버, 인증 및 과금 서버 모두의 부하를 줄일 수 있으며, 그에 수반하는 네트워크 자원도 절약할 수 있는, 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 한다.
이를 위하여, 본 발명은 망접속 서버에서의 접속권한 동적 변경 방법에 있어서, 사용자 단말의 접속권한 요청에 따라 인증 및 과금 서버로 인증 및 접속권한을 요청하는 인증 및 접속권한 요청 단계; 상기 인증 및 과금 서버로부터 인증받은 사용자 단말의 인터넷 트래픽을, 상기 인증 및 과금 서버로부터 전송받은 제1 접속권한 규칙에 따라 제어하는 제1 트래픽 제어 단계; 상기 제1 트래픽 제어 단계에서의 인증 결과에 기초하여, 상기 인증 및 과금 서버로부터 인증받은 사용자 단말에 적용할 제2 접속권한 규칙을 새롭게 전송받는 제2 규칙 수신 단계; 및 상기 전송받은 제2 접속권한 규칙에 따라 상기 사용자 단말의 인터넷 트래픽을 제어하는 제2 트래픽 제어 단계를 포함한다.

Description

다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법{METHOD FOR DYNAMIC CHANGE OF AUTHORIZATION STATE IN INTERNET PROTOCOL NETWORK BASED ON DIAMETER}
본 발명은 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 다이아미터 기반의 인터넷 접속망에서 초기 접속인증을 통해 인터넷 접속망에 접속하여 있는 사용자 단말의 망사용 권한이 접속 중에 변경되는 경우, 복잡한 재인증 과정 없이 즉시 접속세션 권한을 변경해줄 수 있고 재인증 과정 시에 소요되는 사용자 단말, 망접속 서버, 인증 및 과금 서버 모두의 부하를 줄일 수 있으며, 그에 수반하는 네트워크 자원도 절약할 수 있는, 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
현재, IP(Internet Protocol)를 기반으로 둔 인터넷 접속망은 접속인증 및 과금 측면으로 볼 때, 다음과 같이 크게 3가지의 노드로 구성되어 있다. 3가지의 노드는 사용자 단말(Terminal), 망접속 서버(NAS: Network Access Server) 및 인증 및 과금 서버(AAA: Authentication, Authorization, and Accounting)를 말한다.
여기서, 망접속 서버는 사용자 단말이 접속망을 통해 에지(Edge) 또는 코어(Core) 네트워크로 연결되는 라우터(Router)의 기능을 수행한다. 망접속 서버는 사용자 단말이 망에 접속할 때, 접속망 뒷 단의 인증 및 과금 서버로부터 해당 사용자 단말이 적절한 접속권한이 있는지 등의 접속권한 정보를 전달받는다. 이어서, 망접속 서버는 그 전달받은 접속권한 정보를 기반으로 사용자 단말에 인터넷 접속 서비스를 제공한다. 그리고 망접속 서버는 사용자 단말에 제공한 시간 및 패킷 사용량 등에 대한 인터넷 사용량 정보를 인증 및 과금 서버로 주기적으로 전송한다.
현재, IP 접속망(예를 들면, xDSL, WiFi, WiBro(Mobile WiMAX) 등)에서 "RFC(Request For Comments)" 표준 규격들을 기반으로 구현된 인증/과금 프로토콜이 이용되고 있다. "RFC(Request For Comments)" 표준 규격들은 "IETF(Internet Engineering Task Force)"라는 표준화 단체에서 제정된 것이다. 특히, 망접속 서버와 인증 및 과금 서버 간에 라디우스(RADIUS)와 다이아미터(Diameter)라는 인증/과금 프로토콜이 이용되고 있다.
특히, 다이아미터 프로토콜은 오래전부터 사용되던 UDP(User Datagram Protocol) 기반의 인증/과금 프로토콜인 라디우스(RADIUS) 프로토콜보다 훨씬 향상된 기능이 추가되어 TCP 기반으로 표준이 작성되어 있다. 현재, 다이아미터 프로토콜은 국내 통신사업체에서 제공하는 "와이브로(WIBRO)" 서비스에 이용되고 있다. 또한, 다이아미터 프로토콜은 모바일 와이맥스에서도 라디우스 프로토콜과 더불어 인증/과금을 위한 프로토콜로 채택되었다.
한편, IP 접속망(예를 들면, xDSL, WiFi, WiBro(Mobile WiMAX) 등)에서 여러 가지 응용을 위해 대부분 핫라인 기능이 채택되고 있다. 핫라인 기능이란 정상적인 망접속 이용 권한이 있지 않은 사용자 단말에 제한적인 인터넷 접속을 허용해주는 기능을 말한다. 이러한 핫라인 기능을 통해, 제한적인 인터넷에 접속할 수 있는 사용자가 어떠한 작업을 하게 되는 경우를 살펴보기로 한다.
만약, 사용자가 어떠한 작업을 수행하게 되면, 그 작업으로 인해 사용자 단말이 정상적인 망접속 이용권한을 가지게 된다. 그러면, IP 접속망에서는 이를 감지하고 사용자 단말의 접속 제한을 해제하여 사용자가 정상적인 인터넷 사용이 가능하게 동적으로 접속 세션의 권한을 변경해주게 된다.
한편, 핫라인 실시예는 여러 가지가 있을 수 있다. 핫라인 기능은 현재 인터넷 접속 상용 서비스에서 대표적으로 접속인증, 선불 금액의 충전, 또는 단말의 오버 디 에어(OTA: Over The Air) 개통 등에 이용된다.
예를 들어, 선불 접속 사용자의 경우를 살펴보면 다음과 같다. 선불 잔액이 모두 소진된 선불 가입자가 망에 접속을 요청할 때, 핫라인 기능을 이용하지 않도록 설정된 인증 및 과금 서버는 단순히 선불 가입자 단말로 인증 실패 결과를 전송한다. 이로써, 선불 가입자 단말은 망에 접속할 수 없으며, 선불 잔액을 충전할 수 있는 홈페이지로도 당연히 접속할 수 없게 된다.
이와는 달리, 핫라인 기능을 이용하도록 설정된 인증 및 과금 서버는 선불 잔액이 모두 소진된 사용자 단말이라 할지라도, 일단 인증 성공 결과와 함께 핫라인 규칙을 망접속 서버로 전달한다. 인증 결과 및 핫라인 규칙을 전달받은 망접속 서버는 일단 사용자 단말에 IP 할당을 수행하고 망에 접속을 시킨다. 하지만, 망접속 서버는 핫라인 규칙에 따라 선불 충전 홈페이지로의 트래픽만을 허용하고, 이외의 트래픽은 중간에서 모두 폐기한다.
이후, 사용자가 선불 충전 홈페이지에서 선불 금액을 충전하면, 이 사실을 전달받은 인증 및 과금 서버는 망접속 서버로 사용자 단말의 재인증을 요청한다. 그러면, 다시 처음 접속할 때와 같은 접속인증 과정을 통해 사용자 단말의 접속 제한이 해제된다. 즉, 인증 및 과금 서버는 재인증의 결과 메시지에 접속제한을 해제하는 핫라인 규칙을 포함하여 전송한다. 그리고 망접속 서버는 이러한 메시지를 받아서 접속 제한을 해제한다. 이후부터는 망접속 서버는 사용자 단말이 전송하는 인터넷 트래픽을 모두 통과 처리한다.
도 1a 및 1b 는 종래의 다이아미터 프로토콜을 이용한 접속세션 권한의 동적 변경 방법에 대한 일실시예 흐름도이다. 여기서, 두 개의 도면으로 나타낸 도 1a와 도 1b는 서로 이어진 구성도이다. 즉, 도 1a의 와 도 1b의 , 도 1a의 와 도 1b의 , 도 1a의 와 도 1b의 는 각각 이어져 있다.
도 1a 및 도 1b에 도시된 접속세션 권한의 동적 변경 방법에서 망접속 서버(NAS: Network Access Server)(20)와 인증 및 과금(AAA: Authentication, Authorization, and Accounting) 서버(30) 간의 인증 및 과금(AAA) 프로토콜로는 종래의 다이아미터(Diameter) 프로토콜이 이용되고 있다. 또한, IP 접속망에서 사용자 단말(10)에 대한 인증 프로토콜로는 EAP-AKA(Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) 프로토콜이 이용되고 있다.
사용자 단말(10)이 IP 접속망에 접속을 요청할 때, 망접속 서버(NAS)(20)는 사용자 단말(10)로 확장가능 인증 프로토콜(EAP: Extensible Authentication Protocol)의 아이디 요청(EAP-Request/Identity) 패킷을 전송한다(102).
그러면, 사용자 단말(10)은 전송받은 패킷에 대한 응답으로, 망접속 서버(20)로 확장가능 인증 프로토콜의 아이디 응답(EAP-Response/Identity) 패킷을 전송한다(104).
이어서, 망접속 서버(20)는 전송받은 확장가능 인증 프로토콜의 아이디 응답 패킷을 다이아미터 EAP 요청(DER: Diameter EAP Request) 메시지에 캡슐화하여 인증 및 과금(AAA) 서버(30)로 전달한다(106).
이후, 인증 및 과금 서버(30)는 EAP-AKA 인증에 필요한 여러 가지 암호화 연산을 수행하고, EAP-요청(EAP-Request) 및 AKA-신청(EAP-Challenge) 패킷을 생성한다(108). 즉, 인증 및 과금 서버(30)는 AKA 알고리즘을 실행한다. 인증 및 과금 서버(30)는 랜덤 챌린지값(RAND: Random Challenge)과 인증 토큰(AUTN: Authentication Token)을 생성하고, 마스터 세션키(MSK: Master Session Key)를 생성한다.
그리고 인증 및 과금 서버(30)는 생성된 EAP-요청 및 AKA-신청 패킷(AT_RAND, AT_AUTN, AT_MAC)을 다이아미터 EAP 응답(DEA: Diameter EAP Answer) 메시지에 캡슐화하여 망접속 서버(20)로 전송한다(110).
이어서, 망접속 서버(20)는 전송받은 EAP-요청 및 AKA-신청 패킷(AT_RAND, AT_AUTN, AT_MAC)을 사용자 단말(10)로 전달한다(112).
이후, 사용자 단말(10)은 EAP-AKA 인증에 필요한 여러 가지 암호화 연산을 수행하고, EAP-응답(EAP-Response) 및 AKA-신청(EAP-Challenge) 패킷을 생성한다(114). 즉, 인증 및 과금 서버(30)는 AKA 알고리즘을 실행한다. 그리고 인증 및 과금 서버(30)는 인증 토큰(AUTN: Authentication Token)과 MAC을 검사한다. 그리고 인증 및 과금 서버(30)는 응답(RES: Response)과 세션 키(Session key)를 생성한다.
그리고 사용자 단말(10)은 생성된 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)을 망접속 서버(20)로 전송한다(116).
이어서, 망접속 서버(20)는 전송받은 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)을 다이아미터 EAP 요청(DER) 메시지에 캡슐화하여 인증 및 과금 서버(30)로 전달한다(118).
이후, 인증 및 과금 서버(30)는 전달받은 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)(AT_RES, AT_MAC)에 포함된 RES와 MAC을 검사하여 사용자 단말(10)을 인증한다(120).
그리고 인증 및 과금 서버(30)는 다이아미터 EAP 응답 메시지에 EAP-성공(EAP-Success) 패킷을 캡슐화하여 망접속 서버(20)로 전송한다(122). 여기서, 인증 및 과금 서버(30)는 적용하고자 하는 핫라인 규칙(Rule)을 DEA 메시지 안에 함께 포함하여 전송한다.
이어서, 망접속 서버(20)는 수신된 EAP-성공(EAP-Success) 패킷을 사용자 단말(10)로 전달한다(124).
그리고 망접속 서버(20)는 인증 및 과금 서버(30)로부터 전달받은 핫라인 규칙(Rule)을 적용한다(126).
이후, 인증에 성공한 사용자 단말(10)은 이후 사용자의 인터넷 익스플로러 등의 사용에 의해 인터넷 트래픽을 망접속 서버(20)로 전송한다(128).
이어서, 망접속 서버(20)는 적용된 핫라인 규칙(Rule)에 따라 IP 필터링(Filtering) 또는 HTTP 리디렉션(Redirection) 기능을 수행한다(130). 예를 들어, 선불 가입자의 경우, 선불충전 홈페이지로의 접속만 허용된다.
사용자가 선불 충전 홈페이지에서 선불 잔액을 충전한 경우, 인증 및 과금 서버(30)로 해당 내용이 전달된다. 그러면, 인증 및 과금 서버(30)는 선불금액의 충전, OTA(Over The Air) 개통 등 사용자 단말(10)의 이용권한 변경을 감지한다(132).
그러면, 인증 및 과금 서버(30)는 망접속 서버(20)로 다이아미터(Diameter) RAR(Re Authentication Request) 메시지를 전송한다(134).
이어서, 망접속 서버(20)는 인증 및 과금 서버(30)로 RAA(Re Authentication Answer) 메시지를 전송한다(136). 현재, 다이아미터(Diameter) 표준 상, 망접속 서버(20)는 RAR 메시지를 받은 즉시 인증 및 과금 서버(30)로 RAA 메시지를 전송하여야 한다. 또한, 인증 및 과금 서버(30)는 이후에 즉시 사용자 단말(10)의 재인증 과정을 수행하여야 한다.
이후, "138" 과정 내지 "156" 과정은 전술된 "102" 과정 내지 "120" 과정과 동일하다.
그리고 사용자 단말(10)이 IP 접속망에 접속을 요청할 때, 망접속 서버(NAS)(20)는 사용자 단말(10)로 확장가능 인증 프로토콜(EAP: Extensible Authentication Protocol)의 요청 및 식별(EAP-Request/Identity) 패킷을 전송한다(138).
그러면, 사용자 단말(10)은 망접속 서버(20)로 확장가능 인증 프로토콜의 응답 및 식별(EAP-Response/Identity) 패킷을 전송한다(140).
이어서, 망접속 서버(20)는 전송받은 확장가능 인증 프로토콜의 응답 및 식별 패킷을 다이아미터 EAP 요청(DER: Diameter EAP Request) 메시지에 캡슐화하여 인증 및 과금(AAA) 서버(30)로 전달한다(142).
이후, 인증 및 과금 서버(30)는 EAP-AKA 인증에 필요한 여러 가지 암호화 연산을 수행하고, EAP-요청(EAP-Request) 및 AKA-신청(EAP-Challenge) 패킷을 생성한다(144). 즉, 인증 및 과금 서버(30)는 AKA 알고리즘을 실행한다. 그리고 인증 및 과금 서버(30)는 랜덤 챌린지값(RAND: Random Challenge)과 인증 토큰(AUTN: Authentication Token)을 생성하고, 마스터 세션키(MSK: Master Session Key)를 생성한다.
그리고 인증 및 과금 서버(30)는 생성된 EAP-요청 및 AKA-신청 패킷(AT_RAND, AT_AUTN, AT_MAC)을 다이아미터 EAP 응답(DEA: Diameter EAP Answer) 메시지에 캡슐화하여 망접속 서버(20)로 전송한다(146).
이어서, 망접속 서버(20)는 전송받은 EAP-요청 및 AKA-신청 패킷(AT_RAND, AT_AUTN, AT_MAC)을 사용자 단말(10)로 전달한다(148).
이후, 사용자 단말(10)은 EAP-AKA 인증에 필요한 여러 가지 암호화 연산을 수행하고, EAP-응답(EAP-Response) 및 AKA-신청(EAP-Challenge) 패킷을 생성한다(150). 즉, 인증 및 과금 서버(30)는 AKA 알고리즘을 실행한다. 그리고 인증 및 과금 서버(30)는 인증 토큰(AUTN: Authentication Token)과 MAC을 검사한다. 그리고 인증 및 과금 서버(30)는 응답(RES: Response)과 세션 키(Session key)를 생성한다.
그리고 사용자 단말(10)은 생성된 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)을 망접속 서버(20)로 전송한다(152).
이어서, 망접속 서버(20)는 전송받은 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)을 다이아미터 EAP 요청(DER) 메시지에 캡슐화하여 인증 및 과금 서버(30)로 전달한다(154).
이후, 인증 및 과금 서버(30)는 전달받은 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)(AT_RES, AT_MAC)에 포함된 RES와 MAC을 검사하여 사용자 단말(10)을 인증한다(156).
그리고 인증 및 과금 서버(30)는 다이아미터 EAP 응답 메시지에 EAP-성공(EAP-Success) 패킷을 캡슐화하여 망접속 서버(20)로 전송한다(158). 여기서, 인증 및 과금 서버(30)는 적용하고자 하는 핫라인 규칙(Rule)을 DEA 메시지 안에 함께 포함하여 전송한다. 이때, 전송되는 핫라인 규칙은 "126" 과정에서 적용된 핫라인 상태를 해제하고 모든 인터넷 접속을 자유롭게 해주는 핫라인 규칙이다.
이어서, 망접속 서버(20)는 수신된 EAP-성공(EAP-Success) 패킷을 사용자 단말(10)로 전달한다(160).
그리고 망접속 서버(20)는 인증 및 과금 서버(30)로부터 전달받은 핫라인 규칙(Rule)을 적용한다(162).
이후, 인증에 성공한 사용자 단말(10)은 사용자의 인터넷 익스플로러 등의 사용에 의한 인터넷 트래픽을 망접속 서버(20)로 전송한다(164).
이어서, 망접속 서버(20)는 적용된 핫라인 규칙(Rule)에 따라 인터넷 트래픽을 제어처리한다(166). 즉, 망접속 서버(20)는 IP 필터링(Filtering) 또는 HTTP 리디렉션(Redirection) 기능을 수행한다. 여기서, 적용된 핫라인 규칙(Rule)은 모든 인터넷 사용이 가능한 핫라인 규칙이므로, 사용자는 자유롭게 인터넷 이용이 가능해진다.
한편, 상기와 같이, 이미 존재하는 접속 세션의 접속권한을 동적으로 변경하기 위해, 현재 다이아미터(Diameter) 표준 커맨드(Command)로는 반드시 "138" 과정 내지 "158" 과정과 같은 재인증 과정을 거쳐야 한다. 하지만, 사용자 단말(10)에 대한 접속인증은 이미 수행한 상태이다. 따라서 망접속 서버(20)로 단말의 접속권한 변경 정보를 단순히 전송하기 위하여 복잡한 접속인증을 다시 수행하는 것은 사용자 단말(10), 망접속 서버(20), 인증 및 과금 서버(30) 및 네트워크 자원의 낭비를 발생시키게 되는 문제점이 있다.
따라서 상기와 같은 종래 기술은 망접속 서버로 단말의 접속권한 변경 정보를 단순히 전송하기 위하여 복잡한 접속인증을 다시 수행해야만 하므로 사용자 단말, 망접속 서버, 인증 및 과금 서버 및 네트워크 자원의 낭비를 발생시키게 되는 문제점이 있으며, 이러한 문제점을 해결하고자 하는 것이 본 발명의 과제이다.
따라서 본 발명은 다이아미터 기반의 인터넷 접속망에서 초기 접속인증을 통해 인터넷 접속망에 접속하여 있는 사용자 단말의 망사용 권한이 접속 중에 변경되는 경우, 복잡한 재인증 과정 없이 즉시 접속세션 권한을 변경해줄 수 있고 재인증 과정 시에 소요되는 사용자 단말, 망접속 서버, 인증 및 과금 서버 모두의 부하를 줄일 수 있으며, 그에 수반하는 네트워크 자원도 절약할 수 있는, 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
본 발명은 상기 문제점을 해결하기 위하여, 다이아미터 기반의 인터넷 접속망에서 초기 접속인증을 통해 인터넷 접속망에 접속하여 있는 사용자 단말의 망사용 권한이 접속 중에 변경되는 경우, 복잡한 재인증 과정 없이 즉시 접속세션 권한을 변경해줄 수 있고 재인증 과정 시에 소요되는 사용자 단말, 망접속 서버, 인증 및 과금 서버 모두의 부하를 줄일 수 있는 것을 특징으로 한다.
더욱 구체적으로, 본 발명의 방법은, 사용자 단말의 접속권한 요청에 따라 인증 및 과금 서버로 인증 및 접속권한을 요청하는 인증 및 접속권한 요청 단계; 상기 인증 및 과금 서버로부터 인증받은 사용자 단말의 인터넷 트래픽을, 상기 인증 및 과금 서버로부터 전송받은 제1 접속권한 규칙에 따라 제어하는 제1 트래픽 제어 단계; 상기 제1 트래픽 제어 단계에서의 인증 결과에 기초하여, 상기 인증 및 과금 서버로부터 인증받은 사용자 단말에 적용할 제2 접속권한 규칙을 새롭게 전송받는 제2 규칙 수신 단계; 및 상기 전송받은 제2 접속권한 규칙에 따라 상기 사용자 단말의 인터넷 트래픽을 제어하는 제2 트래픽 제어 단계를 포함한다.
또한, 상기 본 발명의 방법은, 상기 전송받은 제2 접속권한 규칙의 적용 결과를 상기 인증 및 과금 서버로 전송하는 적용 결과 전송 단계를 더 포함한다.
한편, 본 발명의 다른 방법은, 인증 및 과금 서버에서의 접속권한 동적 변경 방법에 있어서, 망접속 서버로부터 요청받은 사용자 단말에 대한 인증을 수행하고 제1 접속권한 규칙을 상기 망접속 서버로 전송하는 제1 규칙 전송 단계; 및 상기 사용자 단말에 의한 접속권한 변경을 감지함에 따라 제2 접속권한 규칙을 새롭게 생성하고 상기 새롭게 생성된 제2 접속권한 규칙을 상기 제1 규칙 전송 단계에서의 인증 결과에 기초하여 상기 망접속 서버로 전송하는 제2 규칙 전송 단계를 포함한다.
또한, 상기 본 발명의 다른 방법은, 상기 전송된 제2 접속권한 규칙에 대한 적용 결과를, 상기 망접속 서버로부터 수신받아 확인하는 적용 결과 확인 단계를 더 포함한다.
한편, 본 발명은, 인터넷 접속망에서 접속권한의 동적 변경을 위하여, 망접속 서버에, 사용자 단말의 접속권한 요청에 따라 인증 및 과금 서버로 인증 및 접속권한을 요청하는 인증 및 접속권한 요청 기능; 상기 인증 및 과금 서버로부터 인증받은 사용자 단말의 인터넷 트래픽을, 상기 인증 및 과금 서버로부터 전송받은 제1 접속권한 규칙에 따라 제어하는 제1 트래픽 제어 기능; 상기 제1 트래픽 제어 단계에서의 인증 결과에 기초하여, 상기 인증 및 과금 서버로부터 인증받은 사용자 단말에 적용할 제2 접속권한 규칙을 새롭게 전송받는 제2 규칙 수신 기능; 및 상기 전송받은 제2 접속권한 규칙에 따라 상기 사용자 단말의 인터넷 트래픽을 제어하는 제2 트래픽 제어 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
또한, 상기 본 발명은, 상기 제2 규칙 수신 단계에서 새롭게 전송받은 제2 접속권한 규칙을 적용한 후, 상기 전송받은 제2 접속권한 규칙의 적용 결과를 상기 인증 및 과금 서버로 전송하는 적용 결과 전송 기능을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
한편, 본 발명은, 인터넷 접속망에서 접속권한의 동적 변경을 위하여, 인증 및 과금 서버에, 망접속 서버로부터 요청받은 사용자 단말에 대한 인증을 수행하고 제1 접속권한 규칙을 상기 망접속 서버로 전송하는 제1 규칙 전송 기능; 및 상기 사용자 단말에 의한 접속권한 변경을 감지함에 따라 제2 접속권한 규칙을 새롭게 생성하고 상기 새롭게 생성된 제2 접속권한 규칙을 상기 제1 규칙 전송 기능에서의 인증 결과에 기초하여 상기 망접속 서버로 전송하는 제2 규칙 전송 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
또한, 상기 본 발명은, 상기 전송된 제2 접속권한 규칙에 대한 적용 결과를, 상기 망접속 서버로부터 수신받아 확인하는 적용 결과 확인 기능을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상기와 같은 본 발명은, 다이아미터 기반의 인터넷 접속망에서 초기 접속인증을 통해 인터넷 접속망에 접속하여 있는 사용자 단말의 망사용 권한이 접속 중에 변경되는 경우, 복잡한 재인증 과정 없이 즉시 접속세션 권한을 변경해줄 수 있고 재인증 과정 시에 소요되는 사용자 단말, 망접속 서버, 인증 및 과금 서버 모두의 부하를 줄일 수 있으며, 그에 수반하는 네트워크 자원도 절약할 수 있는 효과가 있다.
한편, 재인증 과정의 최종 결과 메시지에 새로운 규칙을 전달하는 종래의 기술은 전달한 규칙이 망접속 서버에서 제대로 적용이 되었는지를 인증 및 과금 서버에서 파악할 수 없었다. 이에 반하여, 본 발명은 인증 및 과금 서버가 새로운 규칙을 WCAR 메시지로 전달하고 그에 대한 적용 결과를 WCAA 메시지를 통해 수신하도록 설계함으로써, 전달한 규칙이 제대로 적용이 되었는지 또는 어떠한 사유로 적용이 실패되었는지를 파악할 수 있는 효과가 있다. 향후, 본 발명은, 통계 처리 또는 필요 시에 즉각적인 대처 방법으로 이용될 수 있는 효과가 있다. 예를 들어, 규칙 적용이 실패한 원인이 만약 망접속 서버의 용량 허용치 이상의 규칙 개수가 전달된 것이라면, 인증 및 과금 서버는 규칙의 개수를 줄여서 다시 WCAR 메시지를 생성하여 망접속 서버에 전달해 볼 수 있다.
또한, 본 발명은, 전술된 사용자 단말의 접속세션 권한 변경 이외에, 향후 다른 어떤 이유로든 인증 및 과금 서버에서 망접속 서버로 푸쉬(Push) 방식의 정보 전달이 필요한 경우, 본 발명에 따른 새로운 다이아미터 커맨드가 이용되어 번거로운 재인증 절차없이 새로운 규칙을 적용할 수 있는 효과가 있다.
도 1a 및 1b 는 종래의 다이아미터 프로토콜을 이용한 접속세션 권한의 동적 변경 방법에 대한 일실시예 흐름도,
도 2a 및 2b 는 본 발명에 따른 다이아미터 프로토콜 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법에 대한 일실시예 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되어 있는 상세한 설명을 통하여 보다 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.
도 2a 및 도 2b 는 본 발명에 따른 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적 변경 방법에 대한 일실시예 흐름도이다. 여기서, 두 개의 도면으로 나타낸 도 2a와 도 2b는 서로 이어진 구성도이다. 즉, 도 2a의 와 도 2b의 , 도 1a의 와 도 1b의 , 도 1a의 와 도 1b의 는 각각 이어져 있다.
본 발명에 따른 인터넷 망에서 접속 세션의 동적 변경 방법은 사용자 단말(10), 망접속 서버(20) 및 인증 및 과금 서버(30)가 포함되는 인터넷 접속망에 적용된다. 이러한 인터넷 접속망에서 사용자 단말(10), 망접속 서버(20) 및 인증 및 과금 서버(30) 간의 각 메시지 흐름이 도 2에 도시되어 있다. 도 1과 마찬가지로, 망접속 서버(20)와 인증 및 과금 서버(30) 간의 인증 및 과금(AAA) 프로토콜로는 다이아미터(Diameter) 프로토콜이 이용되고 있다.
일례로, 사용자 단말(10)은 인증 프로토콜로서, EAP-AKA 프로토콜을 이용하는 경우를 가정하고 있다. 그러나 본 발명은 망접속 서버(20)와 인증 및 과금 서버(30) 간의 다이아미터 프로토콜에 관한 것이다. 그러므로 이용될 수 있는 사용자 단말(10)의 인증 프로토콜은 EAP-AKA 프로토콜에 한정되지 않는다. 예를 들어, EAP-MD5, EAP-TLS, EAP-TTLS 등의 사용자 단말(10)의 인증 프로토콜도 함께 본 발명에 적용가능하다.
인증 및 과금 서버(30)는 망접속 서버(20)로부터 요청받은 사용자 단말(10)의 접속권한을 망접속 서버(20)를 통해서 사용자 단말(10)과 인증 과정을 수행한다. 그리고 인증 및 과금 서버(30)는 사용자 단말(10)의 접속권한을 인증하여 제1 접속권한 규칙을 망접속 서버(20)로 전송한다. 후술될 "202" 과정 내지 "224" 과정을 통해 인증 및 제1 접속권한 규칙 전송 과정을 구체적으로 살펴보기로 한다.
사용자 단말(10)이 IP 접속망에 접속을 요청할 때, 망접속 서버(NAS)(20)는 사용자 단말(10)로 확장가능 인증 프로토콜(EAP: Extensible Authentication Protocol)의 요청 및 식별(EAP-Request/Identity) 패킷을 전송한다(202).
그러면, 사용자 단말(10)은 망접속 서버(20)로 확장가능 인증 프로토콜의 응답 및 식별(EAP-Response/Identity) 패킷을 전송한다(204).
이어서, 망접속 서버(20)는 사용자 단말(10)의 접속권한 요청에 따라 인증 및 과금 서버(30)로 접속권한을 요청한다. 즉, 망접속 서버(20)는 전송받은 확장가능 인증 프로토콜의 응답 및 식별 패킷을 다이아미터 EAP 요청(DER: Diameter EAP Request) 메시지에 캡슐화하여 인증 및 과금(AAA) 서버(30)로 전달한다(206).
이후, 인증 및 과금 서버(30)는 EAP-AKA 인증에 필요한 여러 가지 암호화 연산을 수행하고, EAP-요청(EAP-Request) 및 AKA-신청(EAP-Challenge) 패킷을 생성한다(208). 즉, 인증 및 과금 서버(30)는 AKA 알고리즘을 실행한다. 그리고 인증 및 과금 서버(30)는 랜덤 챌린지값(RAND: Random Challenge)과 인증 토큰(AUTN: Authentication Token)을 생성하고, 마스터 세션키(MSK: Master Session Key)를 생성한다.
그리고 인증 및 과금 서버(30)는 생성된 EAP-요청 및 AKA-신청 패킷(AT_RAND, AT_AUTN, AT_MAC)을 다이아미터 EAP 응답(DEA: Diameter EAP Answer) 메시지에 캡슐화하여 망접속 서버(20)로 전송한다(210).
이어서, 망접속 서버(20)는 전송받은 EAP-요청 및 AKA-신청 패킷(AT_RAND, AT_AUTN, AT_MAC)을 사용자 단말(10)로 전달한다(212).
이후, 사용자 단말(10)은 EAP-AKA 인증에 필요한 여러 가지 암호화 연산을 수행하고, EAP-응답(EAP-Response) 및 AKA-신청(EAP-Challenge) 패킷을 생성한다(214). 즉, 인증 및 과금 서버(30)는 AKA 알고리즘을 실행한다. 그리고 인증 및 과금 서버(30)는 인증 토큰(AUTN: Authentication Token)과 MAC을 검사한다. 그리고 인증 및 과금 서버(30)는 응답(RES: Response)과 세션 키(Session key)를 생성한다.
그리고 사용자 단말(10)은 생성된 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)을 망접속 서버(20)로 전송한다(216).
이어서, 망접속 서버(20)는 전송받은 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)을 다이아미터 EAP 요청(DER) 메시지에 캡슐화하여 인증 및 과금 서버(30)로 전달한다(218).
이후, 인증 및 과금 서버(30)는 전달받은 EAP-응답 및 AKA-신청 패킷(AT_RES, AT_MAC)(AT_RES, AT_MAC)에 포함된 RES와 MAC을 검사하여 사용자 단말(10)을 인증한다(220).
그리고 인증 및 과금 서버(30)는 다이아미터 EAP 응답 메시지에 EAP-성공(EAP-Success) 패킷을 캡슐화하여 망접속 서버(20)로 전송한다(222). 여기서, 인증 및 과금 서버(30)는 적용하고자 하는 핫라인 규칙(Rule)인 제1 접속권한 규칙을 DEA 메시지 안에 함께 포함하여 전송한다.
이어서, 망접속 서버(20)는 수신된 EAP-성공(EAP-Success) 패킷을 사용자 단말(10)로 전달한다(224).
한편, 망접속 서버(20)는 인증 및 과금 서버(30)로부터 인증받은 제1 접속권한 규칙에 따라 사용자 단말(10)의 인터넷 트래픽을 제어한다. 후술될 "226" 과정 내지 "230" 과정을 통해 규칙 적용 및 트래픽 제어 과정을 구체적으로 살펴보기로 한다.
즉, 망접속 서버(20)는 인증 및 과금 서버(30)로부터 전달받은 제1 접속권한 규칙인 핫라인 규칙(Rule)을 적용한다(226).
이후, 인증에 성공한 사용자 단말(10)은 이후 사용자의 인터넷 익스플로러 등의 사용에 의해 인터넷 트래픽을 망접속 서버(20)로 전송한다(228).
이어서, 망접속 서버(20)는 적용된 핫라인 규칙(Rule)에 따라 인터넷 트래픽을 제어한다(230). 즉, 망접속 서버(20)는 IP 필터링(Filtering) 또는 HTTP 리디렉션(Redirection) 기능을 수행한다(230). 예를 들어, 선불 가입자의 경우, 선불충전 홈페이지로의 접속만 허용된다.
그리고 인증 및 과금 서버(30)는 사용자 단말(10)에 의한 접속권한 변경을 감지함에 따라, 제2 접속권한 규칙을 새롭게 생성하여 망접속 서버(20)로 전송한다. 즉, 사용자가 선불 충전 홈페이지에서 선불 잔액을 충전한 경우, 인증 및 과금 서버(30)로 해당 내용이 전달된다. 그러면, 인증 및 과금 서버(30)는 선불금액의 충전, OTA(Over The Air) 개통 등 사용자 단말(10)의 이용권한 변경을 감지한다(232).
그리고 인증 및 과금 서버(30)는 망접속 서버(20)로 다이아미터(Diameter) WCAR(WiMAX Change-of-Authorization-Request) 메시지를 전송한다(234). 인증 및 과금 서버(30)는 적용하고자 하는 핫라인 규칙(Rule)을 다이아미터 WCAR 메시지 안에 함께 포함하여 전송한다. 여기서, 인증 및 과금 서버(30)는 미리 정의된 커맨드 코드와는 다른 커맨드 코드를 가지는 새로운 다이아미터 커맨드를 이용하여 망접속 서버(20)로 핫라인 규칙을 전송한다. 이때, 전송되는 핫라인 규칙(Rule)은 "262" 과정에서 적용된 핫라인 상태를 해제하고 모든 인터넷 접속을 자유롭게 해주는 핫라인 규칙이다.
그러면, 망접속 서버(20)는 인증 및 과금 서버(30)로부터 전달받은 핫라인 규칙을 적용한다(236). 즉, 망접속 서버(20)는 사용자 단말(10)의 재인증 절차 없이, 인증 및 과금 서버(30)로부터 제2 접속권한 규칙을 새롭게 전송받아 사용자 단말(10)의 접속권한을 동적으로 변경한다.
이어서, 망접속 서버(20)는 WCAA(WiMAX Change-of-Authorization-Answer) 메시지를 통해 인증 및 과금 서버(30)로 제2 접속권한 규칙인 핫라인 규칙을 적용한 결과를 전송한다(238). 예를 들어, 핫라인 규칙 적용에 성공한 경우, 망접속 서버(20)는 인증 및 과금 서버(30)로 그 성공 결과를 전송한다. 반면에, 핫라인 규칙 적용에 실패한 경우, 망접속 서버(20)는 인증 및 과금 서버(30)로 실패 사유를 전송한다. 여기서, WCAA 메시지는 새로운 다이아미터 프로토콜을 의미한다.
이후, 선불 잔액 충전을 완료한 사용자는 사용자 단말(10)을 통해 인터넷 트랙을 요청한다. 그러면, 사용자 단말(10)은 사용자의 인터넷 익스플로러 등의 사용에 의한 인터넷 트래픽을 망접속 서버(20)로 전송한다(240).
이어서, 망접속 서버(20)는 전송받은 제2 접속권한 규칙에 따라 사용자 단말(10)로부터의 인터넷 트래픽을 제어한다. 즉, 망접속 서버(20)는 적용된 핫라인 규칙(Rule)에 따라 인터넷 트래픽을 제어한다(242). 망접속 서버(20)는 IP 필터링(Filtering) 또는 HTTP 리디렉션(Redirection) 기능을 수행한다. 여기서, 적용된 핫라인 규칙(Rule)은 모든 인터넷 사용이 가능한 핫라인 규칙이므로, 사용자는 사용자 단말(10)을 통해 자유롭게 인터넷 이용이 가능해진다.
한편, 망접속 서버(20)는 "238" 과정에서 전송된 적용 결과에 대한 응답으로, 변경된 제2 접속권한 규칙을 인증 및 과금 서버(30)로부터 전송받아 사용자 단말(10)의 접속권한을 동적으로 변경할 수 있다. 예를 들면, 망접속 서버(20)는 제2 접속권한 규칙의 개수가 줄어든 제2 접속권한 규칙에 따라 사용자 단말(10)의 접속권한을 동적으로 변경한다.
한편, 망접속 서버(20)는 "242" 과정에서 사용자 단말(10)의 인터넷 트래픽에 대한 트래픽 제어 결과를 인증 및 과금 서버(30)로 전송할 수 있다. 그리고 망접속 서버(20)는 트래픽 제어 결과가 실패인 경우, 전송된 트래픽 제어 결과에 대한 응답으로, 인증 및 과금 서버(30)가 새롭게 변경한 제2 접속권한 규칙을 전달받아 사용자 단말(10)의 접속권한을 변경할 수 있다.
한편, 인증 및 과금 서버(30)는 새로운 다이아미터 프로토콜에 따라 망접속 서버(20)로 접속권한 규칙을 전송하거나, 망접속 서버(20)로부터 새로운 다이아미터 프로토콜에 따라 적용 결과를 전송받는다. 여기서, 새로운 다이아미터 프로토콜은 인증 및 접속권한을 요청하는 권한 요청 커맨드와 인증 및 접속권한에 대해 응답받는 권한 응답 커맨드를 포함한다.
권한 요청 커맨드는 WCAR(The WiMAX Change-of-Authorization-Request) 커맨드(command)로 정의되며, 권한 응답 커맨드는 WCAA(The WiMAX Change-of-Authorization-Answer) 커맨드로 정의된다.
여기서, 권한 요청 커맨드는 접속권한의 요청과 관련된 속성 필드와 핫라인용 속성 필드를 포함한다. 핫라인용 속성 필드는 인증 및 과금 세션 ID, 핫라인 프로파일 ID, HTTP 리디렉션 규칙, IP 리디렉션 규칙, IP 리디렉션 규칙, 핫라인 세션 타이머, 및 핫라인 인디케이터 중에서 적어도 하나를 포함할 수 있다.
한편, 권한 응답 커맨드는 접속권한의 응답과 관련된 속성 필드와 핫라인용 속성 필드를 포함한다. 또한, 권한 응답 커맨드는 적용 결과 표시 코드 및 인증 및 과금 세션 ID 필드 중에서 적어도 하나를 포함할 수 있다.
참고로, 후술될 WCAR 및 WCAA 다이아미터 메시지 커맨드를 표현하기 위해 사용된 문법은 "IETF" 등의 표준 문서에서 사용되는 ABNF(Augument Backus-Naur Form) 표기 방식이다. 한편, 종래의 다이아미터 표준에서 정의된 커맨드도 ABNF 방식으로 표기되어 있다. 이하, 본 발명에 따른 WCAR 및 WCAA 다이아미터 커맨드의 상세 규격을 설명한다.
<WCA-Request> ::= < Diameter Header: TBD, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Destination-Host }
{ Auth-Application-Id }
{ User-Name }
[ Origin-State-Id ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ NAS-Filter-Rule ]
{ AAA-Session-ID }
* [ Framed-IP-Address ]
* [ Hotline-Profile-ID ]
* [ HTTP-Redirection-Rule ]
* [ IP-Redirection-Rule ]
[ Hotline-Session-Timer ]
[ Hotline-Indicator ]
* [ AVP ]
상기의 정의에서 TBD(To Be Determined)는 WCAR 커맨드에 이용될 커맨드 번호(Command Number)로서 "IETF 표준"의 모든 코드 번호를 관리하는 IANA(Internet Assigned Numbers Authority)에 신청하여 부여받아야 할 번호이다. 또한, 커맨드에 속하는 AVP(Attribute Value Pair)들 중 굵은 색으로 표기된 것들은 망접속 서버(20)로 전달될 핫라인 규칙(Rule)에 대항하는 AVP들이며, 향후 이 외에 어떤 다른 핫라인 규칙 또는 정보들도 WCAR 커맨드에 새로운 AVP를 추가함으로써 확장이 가능하다.
한편, 망접속 서버(20)에서 인증 및 과금 서버(30)로 전송되는 WCAR 커맨드는 다음과 같이 정의된다.
<WCA-Answer> ::= < Diameter Header: TBD, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
{ User-Name }
{ AAA-Session-ID }
[ Origin-State-Id ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
* [ Redirect-Host ]
[ Redirect-Host-Usage ]
[ Redirect-Host-Cache-Time ]
* [ Proxy-Info ]
* [ AVP ]
망접속 서버(20)는 "238" 과정에서 핫라인 규칙(Rule)을 적용한 상세 결과를 WCAA 커맨드의 결과코드 AVP(Result-Code AVP)를 이용하여 인증 및 과금 서버(30)로 보고한다.
WCAR/WCAA 메시지에 포함되는 AVP들의 상세 규격은 다음과 같다.
여기서, 인증/과금 세션 ID AVP(AAA-Session-ID AVP)는 옥텟스트링 타입이고, 와이맥스 장치 세션을 나타낸다. 여기서, 와이맥스 장치 세션은 WCAR 커맨드가 적용되는 규칙에 대한 서비스 플로우를 포함한다.
그리고 프레임 IP 주소(Framed-IP-Address) AVP는 옥텟스트링 타입이고, 와이맥스 IP 세션을 나타낸다. 여기서, 와이맥스 IP 세션은 WCAR 커맨드가 적용되는 규칙에 대한 서비스 플로우를 포함한다.
그리고 핫라인 프로파일 ID(Hotline-Profile-ID) AVP는 옥텟스트링 타입이고, 사용자의 핫라인 프로파일을 나타낸다. 만약, 핫라인 프로파일 ID가 WCAR 커맨드에 포함되면, HTTP 리디렉션 규칙, IP 리디렉션 규칙, NAS 필터 규칙 AVP들은 포함되지 않아야 한다. 이러한 AVP들이 포함되어 있으면 수신 측은 이러한 AVP들을 버려야 한다.
그리고 HTTP 리디렉션 규칙(HTTP-Redirection-Rule) AVP는 IP 필터 규칙의 종류이고, 핫라인 장치에게 HTTP 플로우를 리디렉션하는 장소를 지시한다. 분류자가 매칭될 때, 망접속 서버는 그 URL로 리디렉션되기 위한 클라이언트 브라우저에 기인한 특정 URL과 함께 응답한다. 이 AVP 값은 몇 가지 예외를 가지고 "RFC3588" 표준에 의해 규격화된 IP 필터 규칙을 포함한다.
그리고 IP 리디렉션 규칙(IP-Redirection-Rule AVP) AVP는 IP 필터 규칙의 종류이고, 리디렉션되는 패킷 플로우를 상술하고, 그것을 리디렉션하는 장소를 상술한다. 이 AVP 값은 몇 가지 예외와 함께 "RFC3588" 규칙에 의해 규격화된 IP 필터 규칙을 포함한다.
그리고 핫라인 세션 타이머 AVP(Hotline-Session-Timer AVP)는 사용자가 핫라인 세션에 유지되기 위해 허락된 초 단위로 시간의 길이를 나타낸다. 제로인 경우에는 무한한 것을 나타낸다.
핫라인 인디케이터 AVP는 옥텟스트링 타입이고, 그 흐름이 핫라인이라는 것을 나타낸다. 만약, 핫라인 중인 장치인 망접속 서버 또는 홈에이전트는 CCR 커맨드 안에 이 핫라인 인디케이터 AVP를 전송받으면, 그 세션을 위한 어떤 연속적인 다이아미터 과금 메시지는 그 AVP를 포함해야 한다.
한편, 전술한 바와 같은 본 발명의 방법은 컴퓨터 프로그램으로 작성이 가능하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로써 본 발명의 방법을 구현한다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.

Claims (24)

  1. 망접속 서버에서의 접속권한 동적 변경 방법에 있어서,
    사용자 단말의 접속권한 요청에 따라 인증 및 과금 서버로 인증 및 접속권한을 요청하는 인증 및 접속권한 요청 단계;
    상기 인증 및 과금 서버로부터 인증받은 사용자 단말의 인터넷 트래픽을, 상기 인증 및 과금 서버로부터 전송받은 제1 접속권한 규칙에 따라 제어하는 제1 트래픽 제어 단계;
    상기 제1 트래픽 제어 단계에서의 인증 결과에 기초하여, 상기 인증 및 과금 서버로부터 인증받은 사용자 단말에 적용할 제2 접속권한 규칙을 새롭게 전송받는 제2 규칙 수신 단계; 및
    상기 전송받은 제2 접속권한 규칙에 따라 상기 사용자 단말의 인터넷 트래픽을 제어하는 제2 트래픽 제어 단계
    를 포함하는 망접속 서버에서의 접속권한 동적 변경 방법.
  2. 제 1 항에 있어서,
    상기 제2 트래픽 제어 단계에서의 상기 사용자 단말의 인터넷 트래픽에 대한 트래픽 제어 결과를 상기 인증 및 과금 서버로 전송하는 제어 결과 전송 단계
    를 더 포함하는 망접속 서버에서의 접속권한 동적 변경 방법.
  3. 제 2 항에 있어서,
    상기 제2 트래픽 제어 단계는,
    상기 제어 결과 전송 단계에서의 트래픽 제어 결과가 실패인 경우, 전송된 트래픽 제어 결과에 대한 응답으로, 상기 인증 및 과금 서버가 새롭게 변경한 제2 접속권한 규칙을 전달받아 상기 사용자 단말의 접속권한을 변경하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  4. 제 3 항에 있어서,
    상기 제2 트래픽 제어 단계는,
    상기 인증 및 과금 서버가 접속권한 규칙의 개수를 줄인 제2 접속권한 규칙에 따라 상기 사용자 단말의 접속권한을 변경하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 제2 규칙 수신 단계는,
    상기 인증 및 과금 서버로부터 새로운 다이아미터 프로토콜에 따라 제2 접속권한 규칙을 새롭게 전송받는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  6. 제 5 항에 있어서,
    상기 새로운 다이아미터 프로토콜은,
    접속권한을 요청하는 권한 요청 커맨드와 접속권한에 대해 응답받는 권한 응답 커맨드를 포함하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  7. 제 6 항에 있어서,
    상기 권한 요청 커맨드는,
    접속권한의 요청과 관련된 속성 필드와 핫라인용 속성 필드를 포함하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  8. 제 7 항에 있어서,
    상기 핫라인용 속성 필드는,
    인증 및 과금 세션 ID, 핫라인 프로파일 ID, HTTP 리디렉션 규칙, IP 리디렉션 규칙, IP 리디렉션 규칙, 핫라인 세션 타이머, 및 핫라인 인디케이터 중에서 적어도 하나를 포함하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  9. 제 6 항에 있어서,
    상기 권한 응답 커맨드는,
    접속권한의 응답과 관련된 속성 필드와 핫라인용 속성 필드를 포함하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  10. 제 9 항에 있어서,
    상기 권한 응답 커맨드는,
    적용 결과 표시 코드, 및 인증 및 과금 세션 ID 필드 중에서 적어도 하나를 포함하는 것을 특징으로 하는 망접속 서버에서의 접속권한 동적 변경 방법.
  11. 인증 및 과금 서버에서의 접속권한 동적 변경 방법에 있어서,
    망접속 서버로부터 요청받은 사용자 단말에 대한 인증을 수행하고 제1 접속권한 규칙을 상기 망접속 서버로 전송하는 제1 규칙 전송 단계; 및
    상기 사용자 단말에 의한 접속권한 변경을 감지함에 따라 제2 접속권한 규칙을 새롭게 생성하고 상기 새롭게 생성된 제2 접속권한 규칙을 상기 제1 규칙 전송 단계에서의 인증 결과에 기초하여 상기 망접속 서버로 전송하는 제2 규칙 전송 단계
    를 포함하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  12. 제 11 항에 있어서,
    상기 전송된 제2 접속권한 규칙에 대한 적용 결과를, 상기 망접속 서버로부터 수신받아 확인하는 적용 결과 확인 단계
    를 더 포함하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  13. 제 12 항에 있어서,
    상기 적용 결과 확인 단계는,
    상기 망접속 서버에서 상기 제2 접속권한 규칙이 적용되지 않으면, 상기 제2 접속권한 규칙을 변경하여 상기 망접속 서버로 전송하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  14. 제 13 항에 있어서,
    상기 제2 접속권한 규칙의 개수가 상기 망접속 서버의 용량 허용치를 초과한 것으로 판단되면, 상기 제2 접속권한 규칙의 개수를 줄여 상기 망접속 서버로 전송하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  15. 제 11 항 내지 제 14 항 중 어느 한 항에 있어서,
    상기 제2 규칙 전송 단계는,
    상기 제1 규칙 전송 단계에서의 인증 결과에 기초하여 상기 망접속 서버로 새로운 다이아미터 프로토콜에 따라 상기 제2 접속권한 규칙을 전송하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  16. 제 15 항에 있어서,
    상기 새로운 다이아미터 프로토콜은,
    접속권한을 요청하는 권한 요청 커맨드와 접속권한에 대해 응답받는 권한 응답 커맨드를 포함하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  17. 제 16 항에 있어서,
    상기 권한 요청 커맨드는,
    접속권한의 요청과 관련된 속성 필드와 핫라인용 속성 필드를 포함하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  18. 제 17 항에 있어서,
    상기 핫라인용 속성 필드는,
    인증 및 과금 세션 ID, 핫라인 프로파일 ID, HTTP 리디렉션 규칙, IP 리디렉션 규칙, IP 리디렉션 규칙, 핫라인 세션 타이머, 및 핫라인 인디케이터 중에서 적어도 하나를 포함하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  19. 제 16 항에 있어서,
    상기 권한 응답 커맨드는,
    접속권한의 응답과 관련된 속성 필드와 핫라인용 속성 필드를 포함하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  20. 제 19 항에 있어서,
    상기 권한 응답 커맨드는,
    적용 결과 표시 코드 및 AAA 세션 ID 필드 중에서 적어도 하나를 포함하는 것을 특징으로 하는 인증 및 과금 서버에서의 접속권한 동적 변경 방법.
  21. 인터넷 접속망에서 접속권한의 동적 변경을 위하여, 망접속 서버에,
    사용자 단말의 접속권한 요청에 따라 인증 및 과금 서버로 인증 및 접속권한을 요청하는 인증 및 접속권한 요청 기능;
    상기 인증 및 과금 서버로부터 인증받은 사용자 단말의 인터넷 트래픽을, 상기 인증 및 과금 서버로부터 전송받은 제1 접속권한 규칙에 따라 제어하는 제1 트래픽 제어 기능;
    상기 제1 트래픽 제어 단계에서의 인증 결과에 기초하여, 상기 인증 및 과금 서버로부터 인증받은 사용자 단말에 적용할 제2 접속권한 규칙을 새롭게 전송받는 제2 규칙 수신 기능; 및
    상기 전송받은 제2 접속권한 규칙에 따라 상기 사용자 단말의 인터넷 트래픽을 제어하는 제2 트래픽 제어 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  22. 상기 21 항에 있어서,
    상기 제2 규칙 수신 단계에서 새롭게 전송받은 제2 접속권한 규칙을 적용한 후, 상기 전송받은 제2 접속권한 규칙의 적용 결과를 상기 인증 및 과금 서버로 전송하는 적용 결과 전송 기능
    을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  23. 인터넷 접속망에서 접속권한의 동적 변경을 위하여, 인증 및 과금 서버에,
    망접속 서버로부터 요청받은 사용자 단말에 대한 인증을 수행하고 제1 접속권한 규칙을 상기 망접속 서버로 전송하는 제1 규칙 전송 기능; 및
    상기 사용자 단말에 의한 접속권한 변경을 감지함에 따라 제2 접속권한 규칙을 새롭게 생성하고 상기 새롭게 생성된 제2 접속권한 규칙을 상기 제1 규칙 전송 기능에서의 인증 결과에 기초하여 상기 망접속 서버로 전송하는 제2 규칙 전송 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  24. 제 23 항에 있어서,
    상기 전송된 제2 접속권한 규칙에 대한 적용 결과를, 상기 망접속 서버로부터 수신받아 확인하는 적용 결과 확인 기능
    을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020080063208A 2008-02-29 2008-06-30 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적변경 방법 KR20090093749A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020080019369 2008-02-29
KR20080019369 2008-02-29

Publications (1)

Publication Number Publication Date
KR20090093749A true KR20090093749A (ko) 2009-09-02

Family

ID=41302198

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080063208A KR20090093749A (ko) 2008-02-29 2008-06-30 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적변경 방법

Country Status (1)

Country Link
KR (1) KR20090093749A (ko)

Similar Documents

Publication Publication Date Title
JP6737812B2 (ja) ネットワークアクセストークンを使用したダウンリンクトラフィックのための効率的なポリシー実施−制御プレーン手法
Eronen et al. Diameter extensible authentication protocol (EAP) application
US20060002426A1 (en) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
US20040168054A1 (en) Fast re-authentication with dynamic credentials
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
EP1875707A2 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
WO2008121544A2 (en) User profile, policy, and pmip key distribution in a wireless communication network
WO2006003631A1 (en) Domain name system (dns) ip address distribution in a telecommunications network using the protocol for carrying authentication for network access (pana)
EP1777872B1 (en) A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK
US7715562B2 (en) System and method for access authentication in a mobile wireless network
CN103517249A (zh) 一种策略控制的方法、装置和系统
WO2014169240A1 (en) Internet protocol address registration
WO2007131426A1 (en) Aaa system and authentication method of multi-hosts network
US20100257589A1 (en) method for releasing a high rate packet data session
EP2356839A1 (en) System and method for provisioning flows in a wimax network environment
WO2009074073A1 (fr) Procédé d&#39;accès et de commande, dispositif et système de communication
KR101329150B1 (ko) Pana 인증 방법 및 장치
KR20090093749A (ko) 다이아미터 기반의 인터넷 접속망에서 접속권한의 동적변경 방법
Wei et al. Research of mobile IPv6 application based on diameter protocol
Korhonen et al. Diameter mobile IPv6: Support for home agent to diameter server interaction
KR100492824B1 (ko) 무선망간 연동용 세션 관리 시스템 및 그 방법
Syafruddin et al. Performance analysis of using a reliable transport layer protocol for transmitting EAP message over RADIUS in inter-domain WLAN roaming
Bogdanoski et al. Authentication, Authorization and Accounting Provided by Diameter Protocol
Tsenov et al. Advanced authentication and authorization for quality of service signaling

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination