KR20170001655A - Method for user authentication, and method for controlling service function chain by using the same - Google Patents
Method for user authentication, and method for controlling service function chain by using the same Download PDFInfo
- Publication number
- KR20170001655A KR20170001655A KR1020160079882A KR20160079882A KR20170001655A KR 20170001655 A KR20170001655 A KR 20170001655A KR 1020160079882 A KR1020160079882 A KR 1020160079882A KR 20160079882 A KR20160079882 A KR 20160079882A KR 20170001655 A KR20170001655 A KR 20170001655A
- Authority
- KR
- South Korea
- Prior art keywords
- vlan
- network device
- terminal
- network
- user
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Abstract
Description
본 발명은 네트워크 기능 가상화(NFV; Network Function Virtualization) 및 서비스 펑션 체이닝(SFC; Service Function Chaining) 기술에 관한 것으로, 더욱 상세하게는 L2 네트워크 상에서 가상 랜(VLAN; Virtual LAN) 정보를 활용하여 사용자 단말을 인증하고, 가상화된 서비스 펑션 및 서비스 펑션 경로의 생성 및 제어를 수행하는 방법에 관한 것이다.BACKGROUND OF THE
유무선 네트워크에서는 인터넷 사용자에게 단-대-단(End-to-End) 서비스를 제공하기 위하여 네트워크 주소 변환(NAT; Network Address Translation), 방화벽(firewall), DHCP(Dynamic Host Configuration Protocol), BRAS(Broadband Remote Access Server) 등의 네트워크 서비스들이 필요하다.In a wired / wireless network, a network address translation (NAT), a firewall, a Dynamic Host Configuration Protocol (DHCP), a Broadband (BRAS) Remote Access Server) are required.
인터넷 사용자는 각기 다른 네트워크 서비스를 제공받기를 원하는데, 이를 위해서 사용자 인증 및 네트워크 접근 권한 확인을 수행해야 한다. 이러한 사용자 인증 결과에 따라 사용자의 네트워크 트래픽을 제어하게 된다.Internet users want to get different network services. To do this, they have to perform user authentication and network access authorization. The user's network traffic is controlled according to the user authentication result.
유무선 네트워크에서는 사용자의 네트워크 접근 권한을 확인하기 위하여 PPPoE(Point-to-Point Protocol Over Ethernet), IEEE 802.1x, IPoE(IP over Ethernet) 등의 사용자 인증 기술이 사용되고 있다.In the wired and wireless network, user authentication technologies such as Point-to-Point Protocol Over Ethernet (PPPoE), IEEE 802.1x, and IPoE (IP over Ethernet) are used to confirm a user's access right to a network.
PPPoE 기반의 사용자 인증 기술은 L2 네트워크에서 IP 주소를 부여 받기 전에 사용자 ID와 패스워드를 Radius 서버 등의 인증 서버로 전달하여 사용자 인증을 수행하는 기술이다. 사용자 단말에는 PPPoE 기술을 제공하는 전용 프로그램이 설치되어 있어야 하고, 이를 통해서 사용자 ID와 패스워드를 입력 받을 수 있게 된다. 사용자 인증이 성공되면, 사용자 단말은 IPCP(Internet Protocol Control Protocol) 등을 통해서 IP 주소를 할당 받게 된다.The PPPoE-based user authentication technology is a technique for performing user authentication by transmitting a user ID and a password to an authentication server such as a Radius server before receiving an IP address in the L2 network. A dedicated program that provides PPPoE technology must be installed in the user terminal, and user ID and password can be input through the PPPoE technology. If user authentication is successful, the user terminal is assigned an IP address through Internet Protocol Control Protocol (IPCP) or the like.
IEEE 802.1x(EAP, Extensible Authentication Protocol) 기반의 사용자 인증 기술은 PPPoE 기술과 같이, IP 주소를 부여 받지 않고 L2 네트워크에서 수행할 수 있는 방식으로, 논리적인 포트 기반의 인증 기술이다. AP(Access Point) 등과 같은 단말이 하위 접속 단말의 접속 허용/차단 여부를 판단하는 가상의 논리적인 포트들을 관리하고 EAP 프로토콜을 Radius 프로토콜로 인캡슐레이션(encapsulation)시켜주는 역할을 수행한다.The user authentication technology based on IEEE 802.1x (EAP, Extensible Authentication Protocol) is a logical port-based authentication technique, such as PPPoE technology, which can be performed in an L2 network without being assigned an IP address. AP (Access Point) manages virtual logical ports for determining whether or not the lower access terminal is allowed to access / block, and encapsulates the EAP protocol into a Radius protocol.
한편, PPPoE, IEEE 802.1x 등의 인증 기술과 달리, IPoE 기반의 사용자 인증 기술은 L3 네트워크에서 동작하는 방식이다. 즉 사용자 단말이 DHCP 등을 통해서 IP 주소를 먼저 할당 받고, HTTP 인증 등을 통해서 사용자 인증을 수행하게 된다. HTTP 인증은 L2 네트워크 기반의 사용자 인증 기술과 같이, 사용자 ID와 패스워드를 제공받고, 이를 통해서 인증 절차를 수행하게 된다.Meanwhile, unlike authentication technologies such as PPPoE and IEEE 802.1x, IPoE-based user authentication technology operates in the L3 network. That is, the user terminal is first allocated an IP address through DHCP or the like, and performs user authentication through HTTP authentication or the like. HTTP authentication, like user authentication technology based on L2 network, receives user ID and password, and performs authentication procedure through it.
한편, L3 네트워크에서는 트래픽 경로의 비대칭성이 존재할 수 있기 때문에, L2 네트워크 기반에서 네트워크 접근 권한 확인을 위해서 사용자 ID와 패스워드의 입력 없이 사용자 인증을 수행할 수 있는 기술이 필요하다. 또한, 사용자에게 다양한 네트워크 서비스를 제공하기 위해서 고객 댁내 장치(CPE; Customer Premises Equipment) 등의 사용자 단말의 빈번한 교체가 필요할 수도 있으며, 새로운 네트워크 서비스 서버들을 증설해야 하는 상황이 발생할 수도 있다.On the other hand, there is a traffic path asymmetry in the L3 network. Therefore, a technology capable of performing user authentication without inputting a user ID and a password in order to confirm a network access right in the L2 network is needed. Also, in order to provide various network services to the user, frequent replacement of user terminals such as customer premises equipment (CPE) may be required, and new network service servers may need to be added.
본 발명은 상술한 종래의 문제점을 극복하기 위한 것으로, 본 발명의 제1 목적은 L2 네트워크 상에서의 단말 인증 방법을 제공하는데 있다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a terminal authentication method on an L2 network.
본 발명은 상술한 종래의 문제점을 극복하기 위한 것으로, 본 발명의 제2 목적은, L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법을 제공하는데 있다.It is a second object of the present invention to provide an SFC control method for an authenticated terminal on an L2 network.
상술한 본 발명의 제 1 목적을 달성하기 위한 본 발명의 일 측면에 따른, L2 네트워크 상에서의 단말 인증 방법은, 사용자의 단말에 대한 위치 정보에 기반하여, 네트워크 제어 서버(NCS; Network Control Server)가 상기 단말이 연결된 제1 네트워크 장치와 상기 제1 네트워크 장치에 연결된 제2 네트워크 장치를 식별하는 단계; 상기 NCS가 상기 제1 네트워크 장치에 제1 VLAN ID를 할당하고, 상기 제2 네트워크 장치에 제2 VLAN ID를 할당하는 단계; 사용자 관리 서버(UMS; User Management Server)가 상기 단말의 사용자에게 상기 단말이 접속하여야 하는 상기 제1 네트워크 장치의 포트를 지정하는 정보를 통보하는 단계; 상기 단말로부터 상기 제1 네트워크 장치의 지정된 포트를 통해 수신된 패킷에 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷을 수신한 제3 네트워크 장치로부터, 상기 NCS가 상기 제1 VLAN ID와 상기 제2 VLAN ID를 포함한 인증 요청을 수신하여, 상기 제1 VLAN ID와 상기 제2 VLAN ID의 조합으로 상기 사용자를 식별하는 단계; 및 상기 NCS가 상기 단말에 대한 인증 요청을 상기 UMS로 전송하고, 상기 인증 요청에 대한 결과를 상기 UMS로부터 수신하는 단계를 포함하여 구성될 수 있다.According to an aspect of the present invention, there is provided a method for authenticating a terminal on an L2 network, the method comprising: receiving a network control server (NCS) Identifying a first network device to which the terminal is connected and a second network device connected to the first network device; Assigning a first VLAN ID to the first network device and a second VLAN ID to the second network device; (UMS) informing a user of the terminal of information specifying a port of the first network device to which the terminal should connect; From a third network device that receives a packet tagged with the first VLAN ID and the second VLAN ID in a packet received from the terminal through a designated port of the first network device, Receiving an authentication request including a VLAN ID and the second VLAN ID, identifying the user by a combination of the first VLAN ID and the second VLAN ID; And transmitting the authentication request to the UMS by the NCS and receiving a result of the authentication request from the UMS.
여기에서, 상기 사용자의 단말에 대한 위치 정보는 상기 UMS가 상기 NCS로 제공하는 상기 사용자에 대한 정보에 포함되며, 상기 사용자에 대한 정보는 상기 사용자의 식별자(identifier)를 추가로 포함할 수 있다.Here, the location information of the user terminal may be included in the information on the user provided by the UMS, and the information on the user may further include an identifier of the user.
여기에서, 상기 NCS는 상기 제1 네트워크 장치와 상기 제2 네트워크 장치를 상기 NCS가 관리하는 네트워크 토폴로지(topology) 정보에 기초하여 식별할 수 있다.Here, the NCS may identify the first network device and the second network device based on network topology information managed by the NCS.
여기에서, 상기 제1 VLAN ID는 상기 제1 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치의 특정 포트에 할당되고, 상기 제2 VLAN ID는 상기 제2 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치에 직접 연결된 상기 제2 네트워크 장치의 포트에 할당될 수 있다.Wherein the first VLAN ID is a unique identifier in the first network device and is assigned to a specific port of the first network device, the second VLAN ID is a unique identifier in the second network device, And may be assigned to a port of the second network device directly connected to the network device.
여기에서, 상기 NCS는 상기 제1 VLAN ID의 할당 결과와 상기 제2 VLAN ID의 할당 결과를 각각 상기 UMS에 통보할 수 있다.Here, the NCS may notify the UMS of the allocation result of the first VLAN ID and the allocation result of the second VLAN ID, respectively.
여기에서, 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷은 IEEE802.1ad 표준에 정의된 Q-in-Q 포맷을 따를 수 있다.Here, the packet tagged with the first VLAN ID and the second VLAN ID may follow the Q-in-Q format defined in the IEEE802.1ad standard.
여기에서, 상기 제3 네트워크 장치는 상기 L2 네트워크를 종단(termination)하는 네트워크 장치일 수 있다.Here, the third network device may be a network device that terminates the L2 network.
여기에서, 상기 단말에 대한 인증 요청은 상기 사용자의 식별자를 포함할 수 있다.Here, the authentication request for the terminal may include the identifier of the user.
여기에서, 상기 인증 요청에 대한 결과는 상기 사용자에 제공되어야 할 서비스를 특정하기 위한 정보를 포함하고, 상기 NCS는 상기 서비스를 제공하기 위한 서비스 펑션 패스(SFP; Service Function Path)를 결정할 수 있다.Here, the result of the authentication request includes information for specifying a service to be provided to the user, and the NCS can determine a service function path (SFP) for providing the service.
이때, 상기 SFP는 상기 서비스를 제공하기 위한 적어도 하나의 서비스 펑션(SF; Service Function)에 대한 정보를 포함할 수 있다.At this time, the SFP may include information on at least one service function (SF) for providing the service.
상술한 본 발명의 제 2 목적을 달성하기 위한 본 발명의 일 측면에 따른, L2 네트워크 상에서 인증된 단말을 위한 서비스 펑션 체인(SFC; Service Function Chain) 제어를 위한 SFC 컨트롤러의 동작 방법은, 상기 SFC 컨트롤러가 SFC 클래시파이어에게 상기 단말에 대한 L2 네트워크 인증을 위해 상기 단말에게 할당된 제1 VLAN ID와 제2 VLAN ID에 대한 정보 및 서비스 펑션 패스(SFP; Service Function Path)에 대한 정보를 포함하는 매핑(mapping) 테이블을 전달하는 단계; 및 상기 SFC 컨트롤러가 상기 서비스 펑션 패스 상에 존재하는 적어도 하나의 서비스 펑션 포워더(SFF; Service Function Forwarder)에게 상기 SFP 및 상기 SFP 상의 적어도 하나의 서비스 펑션(SF; Service Function)에 대한 정보를 포함한 포워딩(forwarding) 테이블을 전달하는 단계를 포함하고, 상기 매핑 테이블은 상기 제1 VLAN ID와 제2 VLAN ID가 태깅된 패킷을 수신한 상기 SFC 클래시파이어에게 참조되어 상기 SFP 상의 SFF에게 상기 수신한 패킷을 전달하도록 하고, 상기 포워딩 테이블은 상기 SFP 상의 SFF에게 참조되어 상기 수신한 패킷을 상기 SFP 상의 상기 적어도 하나의 SF에게 전달하도록 구성될 수 있다.According to an aspect of the present invention, there is provided an operation method of an SFC controller for controlling a service function chain (SFC) for an authenticated terminal on an L2 network, The controller informs the SFC classifier about the first VLAN ID, the second VLAN ID, and information on the service function path (SFP) allocated to the terminal for L2 network authentication for the terminal Passing a mapping table; And the SFC controller sends to the at least one service function forwarder (SFF) present on the service function path forwarding information including information about at least one service function (SF) on the SFP and the SFP wherein the mapping table refers to the SFC classifier that has received the tagged packet with the first VLAN ID and the second VLAN ID and transmits the received packet to the SFF on the SFP, And the forwarding table may be referenced to the SFF on the SFP and configured to forward the received packet to the at least one SF on the SFP.
여기에서, 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷은 IEEE802.1ad 표준에 정의된 Q-in-Q 포맷을 따를 수 있다.Here, the packet tagged with the first VLAN ID and the second VLAN ID may follow the Q-in-Q format defined in the IEEE802.1ad standard.
여기에서, 상기 단말에 대한 L2 네트워크 상에서의 인증은, 상기 단말에 대한 위치 정보에 기반하여, 네트워크 제어 서버(NCS; Network Control Server)가 상기 단말이 연결된 제1 네트워크 장치와 상기 제1 네트워크 장치에 연결된 제2 네트워크 장치를 식별하는 단계; 상기 NCS가 상기 제1 네트워크 장치에 상기 제1 VLAN ID를 할당하고, 상기 제2 네트워크 장치에 상기 제2 VLAN ID를 할당하는 단계; 사용자 관리 서버(UMS; User Management Server)가 상기 단말의 사용자에게 상기 단말이 접속하여야 하는 상기 제1 네트워크 장치의 포트를 지정하는 정보를 통보하는 단계; 상기 단말로부터 상기 제1 네트워크 장치의 지정된 포트를 통해 수신된 패킷에 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷을 수신한 제3 네트워크 장치로부터, 상기 NCS가 상기 제1 VLAN ID와 상기 제2 VLAN ID를 포함한 인증 요청을 수신하여, 상기 제1 VLAN ID와 상기 제2 VLAN ID의 조합으로 상기 사용자를 식별하는 단계; 및 상기 NCS가 상기 단말에 대한 인증 요청을 상기 UMS로 전송하고, 상기 UMS가 상기 단말에 대한 인증을 수행하는 단계를 거쳐 수행될 수 있다.Here, the authentication on the L2 network with respect to the terminal may be performed by a network control server (NCS), based on the location information of the terminal, with the first network device to which the terminal is connected and the first network device Identifying a connected second network device; Assigning the first VLAN ID to the first network device and the second VLAN ID to the second network device; (UMS) informing a user of the terminal of information specifying a port of the first network device to which the terminal should connect; From a third network device that receives a packet tagged with the first VLAN ID and the second VLAN ID in a packet received from the terminal through a designated port of the first network device, Receiving an authentication request including a VLAN ID and the second VLAN ID, identifying the user by a combination of the first VLAN ID and the second VLAN ID; And transmitting the authentication request to the UMS by the NCS and performing the authentication of the UMS by the UMS.
여기에서, 상기 사용자의 단말에 대한 위치 정보는 상기 UMS가 상기 NCS로 제공하는 상기 사용자에 대한 정보에 포함되며, 상기 사용자에 대한 정보는 상기 사용자의 식별자(identifier)를 추가로 포함할 수 있다.Here, the location information of the user terminal may be included in the information on the user provided by the UMS, and the information on the user may further include an identifier of the user.
여기에서, 상기 NCS는 상기 제1 네트워크 장치와 상기 제2 네트워크 장치를 상기 NCS가 관리하는 네트워크 토폴로지(topology) 정보에 기초하여 식별할 수 있다.Here, the NCS may identify the first network device and the second network device based on network topology information managed by the NCS.
여기에서, 상기 제1 VLAN ID는 상기 제1 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치의 특정 포트에 할당되고, 상기 제2 VLAN ID는 상기 제2 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치에 직접 연결된 상기 제2 네트워크 장치의 포트에 할당될 수 있다.Wherein the first VLAN ID is a unique identifier in the first network device and is assigned to a specific port of the first network device, the second VLAN ID is a unique identifier in the second network device, And may be assigned to a port of the second network device directly connected to the network device.
여기에서, 상기 제3 네트워크 장치는 상기 L2 네트워크를 종단(termination)하는 네트워크 장치일 수 있다.Here, the third network device may be a network device that terminates the L2 network.
여기에서, 상기 SFP는 상기 인증 요청에 대한 결과에 포함된 상기 사용자에 제공되어야 할 서비스를 특정하기 위한 정보에 기초하여 상기 서비스를 제공하기 위한 구성될 수 있다.Here, the SFP may be configured to provide the service based on information for specifying a service to be provided to the user included in the result of the authentication request.
상술한 본 발명의 제 2 목적을 달성하기 위한 본 발명의 다른 측면에 따른, L2 네트워크 상에서 인증된 단말을 위한 서비스 펑션 체인(SFC; Service Function Chain) 제어를 위한 SFC 클래시파이어의 동작 방법은, 상기 SFC 클래시파이어가 상기 단말에 대한 L2 네트워크 인증을 위해 상기 단말에게 할당된 제1 VLAN ID와 제2 VLAN ID에 대한 정보 및 서비스 펑션 패스(SFP; Service Function Path)에 대한 정보를 포함하는 매핑 테이블을 SFC 컨트롤러로부터 수신하는 단계; 및 상기 SFC 클래시파이어가 상기 제1 VLAN ID와 제2 VLAN ID가 태깅된 패킷을 수신하고, 상기 매핑 테이블을 참조하여 상기 SFP 상의 서비스 펑션 포워더(SFF; Service Function Forwarder)에게 상기 수신한 패킷을 전달하는 단계를 포함하여 구성될 수 있다.According to another aspect of the present invention, there is provided a method of operating an SFC classifier for controlling a service function chain (SFC) for a terminal authenticated on an L2 network, The SFC classifier performs a mapping including information on a first VLAN ID, a second VLAN ID, and information on a service function path (SFP) allocated to the terminal for L2 network authentication for the terminal Receiving a table from an SFC controller; And the SFC classifier receives a packet in which the first VLAN ID and the second VLAN ID are tagged and transmits the received packet to a service function forwarder (SFF) on the SFP by referring to the mapping table And transmitting the information.
여기에서, 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷은 IEEE802.1ad 표준에 정의된 Q-in-Q 포맷을 따를 수 있다.Here, the packet tagged with the first VLAN ID and the second VLAN ID may follow the Q-in-Q format defined in the IEEE802.1ad standard.
여기에서, 상기 단말에 대한 L2 네트워크 상에서의 인증은, 상기 단말에 대한 위치 정보에 기반하여, 네트워크 제어 서버(NCS; Network Control Server)가 상기 단말이 연결된 제1 네트워크 장치와 상기 제1 네트워크 장치에 연결된 제2 네트워크 장치를 식별하는 단계; 상기 NCS가 상기 제1 네트워크 장치에 상기 제1 VLAN ID를 할당하고, 상기 제2 네트워크 장치에 상기 제2 VLAN ID를 할당하는 단계; 사용자 관리 서버(UMS; User Management Server)가 상기 단말의 사용자에게 상기 단말이 접속하여야 하는 상기 제1 네트워크 장치의 포트를 지정하는 정보를 통보하는 단계; 상기 단말로부터 상기 제1 네트워크 장치의 지정된 포트를 통해 수신된 패킷에 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷을 수신한 제3 네트워크 장치로부터, 상기 NCS가 상기 제1 VLAN ID와 상기 제2 VLAN ID를 포함한 인증 요청을 수신하여, 상기 제1 VLAN ID와 상기 제2 VLAN ID의 조합으로 상기 사용자를 식별하는 단계; 및 상기 NCS가 상기 단말에 대한 인증 요청을 상기 UMS로 전송하고, 상기 UMS가 상기 단말에 대한 AAA 인증을 수행하는 단계를 거쳐 수행되도록 구성될 수 있다.Here, the authentication on the L2 network with respect to the terminal may be performed by a network control server (NCS), based on the location information of the terminal, with the first network device to which the terminal is connected and the first network device Identifying a connected second network device; Assigning the first VLAN ID to the first network device and the second VLAN ID to the second network device; (UMS) informing a user of the terminal of information specifying a port of the first network device to which the terminal should connect; From a third network device that receives a packet tagged with the first VLAN ID and the second VLAN ID in a packet received from the terminal through a designated port of the first network device, Receiving an authentication request including a VLAN ID and the second VLAN ID, identifying the user by a combination of the first VLAN ID and the second VLAN ID; And the NCS transmits an authentication request for the terminal to the UMS, and the UMS performs AAA authentication for the terminal.
여기에서, 상기 사용자의 단말에 대한 위치 정보는 상기 UMS가 상기 NCS로 제공하는 상기 사용자에 대한 정보에 포함되며, 상기 사용자에 대한 정보는 상기 사용자의 식별자(identifier)를 추가로 포함할 수 있다.Here, the location information of the user terminal may be included in the information on the user provided by the UMS, and the information on the user may further include an identifier of the user.
여기에서, 상기 NCS는 상기 제1 네트워크 장치와 상기 제2 네트워크 장치를 상기 NCS가 관리하는 네트워크 토폴로지(topology) 정보에 기초하여 식별할 수 있다.Here, the NCS may identify the first network device and the second network device based on network topology information managed by the NCS.
여기에서, 상기 제1 VLAN ID는 상기 제1 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치의 특정 포트에 할당되고, 상기 제2 VLAN ID는 상기 제2 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치에 직접 연결된 상기 제2 네트워크 장치의 포트에 할당될 수 있다.Wherein the first VLAN ID is a unique identifier in the first network device and is assigned to a specific port of the first network device, the second VLAN ID is a unique identifier in the second network device, And may be assigned to a port of the second network device directly connected to the network device.
여기에서, 상기 제3 네트워크 장치는 상기 L2 네트워크를 종단(termination)하는 네트워크 장치일 수 있다.Here, the third network device may be a network device that terminates the L2 network.
여기에서, 상기 SFP는 상기 인증 요청에 대한 결과가 포함한 상기 사용자에 제공되어야 할 서비스를 특정하기 위한 정보에 기초하여 상기 서비스를 제공하기 위한 구성될 수 있다.Here, the SFP may be configured to provide the service based on information for specifying a service to be provided to the user including a result of the authentication request.
상기와 같은 본 발명에 따른 L2 네트워크에서의 가상랜(VLAN) 정보 기반 사용자 인증 방법 및 이를 이용한 SFC 제어 방법은, 인터넷 사용자에게는 인증 절차의 편의성을 제공할 수 있으며, 통신사업자에게는 사용자 인증 정보의 정확성을 향상할 수 있다.The virtual LAN (VLAN) information based user authentication method in the L2 network according to the present invention and the SFC control method using the same can provide the convenience of the authentication procedure to the Internet user, and the accuracy of the user authentication information Can be improved.
또한, 이를 통해서 사용자의 요구에 부합되는 다양한 신규 서비스를 신속하고 편리하게 제공할 수 있는 기반을 제공할 수 있다. In addition, through this, it is possible to provide a base for quickly and conveniently providing a variety of new services meeting the needs of users.
또한, 신규 서비스 출시에 따른 네트워크 투자 비용(CAPEX; Capital Expenditure) 및 운용 비용(OPEX; Operating Expenditure)을 크게 절감할 수 있다.In addition, network investment cost (CAPEX) and operating expense (OPEX) can be greatly reduced due to the launch of new services.
도 1은 본 발명에 따른 사용자 인증 방법과 서비스 펑션 체인(SFC) 제어 방법이 적용되는 IETF SFC 표준 기반 서비스 기능 체이닝 시스템을 설명하기 위한 블록도이다.
도 2는 본 발명에 따른 사용자 인증 방법과 서비스 펑션 체인(SFC) 제어 방법이 적용되는 CPE 단말 네트워크 기능의 가상화 및 서비스 체이닝 개념을 설명하기 위한 예시도이다.
도 3은 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법을 수행하기 위한 시스템 구성도이다.
도 4는 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법이 적용되는 시스템 구성을 설명하기 위한 개념도이다.
도 6은 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법을 위해 제1 VLAN ID와 제2 VLAN ID가 태깅된 패킷 포맷을 설명하기 위한 개념도이다.
도 7은 본 발명의 일 실시예에 따른 L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법을 설명하기 위한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법에 이용되는 IETF SFC 기반의 패킷 포맷의 일부를 설명하기 위한 개념도이다.
도 9는 본 발명의 일 실시예에 따른 L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법을 설명하기 위한 매핑 테이블의 예시도이다.FIG. 1 is a block diagram for explaining an IETF SFC standard-based service function chaining system to which a user authentication method and a service function chain (SFC) control method according to the present invention are applied.
FIG. 2 is a diagram for explaining the concept of virtualization and service chaining of a CPE terminal network function to which a user authentication method and a service function chain (SFC) control method according to the present invention are applied.
3 is a system configuration diagram for performing a user authentication method in an L2 network according to an embodiment of the present invention.
4 is a flowchart illustrating a method for authenticating a user in an L2 network according to an embodiment of the present invention.
5 is a conceptual diagram illustrating a system configuration to which a user authentication method in an L2 network is applied according to an embodiment of the present invention.
6 is a conceptual diagram illustrating a packet format in which a first VLAN ID and a second VLAN ID are tagged for a user authentication method in an L2 network according to an embodiment of the present invention.
7 is a flowchart illustrating an SFC control method for a terminal authenticated on an L2 network according to an embodiment of the present invention.
8 is a conceptual diagram for explaining a part of an IETF SFC-based packet format used in an SFC control method for an authenticated terminal on an L2 network according to an embodiment of the present invention.
9 is a diagram illustrating a mapping table for explaining an SFC control method for a terminal authenticated on an L2 network according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.
이하에서는, 서비스 펑션 체이닝(SFC; Service Function Chaining)의 주요 구성요소들을 설명한다.Hereinafter, the main components of the service function chaining (SFC) will be described.
먼저, SFC의 주요 구성 요소는 SFC 클래시파이어(SFC classifier), SFC 컨트롤러(SFC controller), 서비스 펑션 포워더(SFF; Service Function Forwarder), 및 서비스 펑션(SF; Service Function)이며 각 구성 요소의 기능은 다음과 같다.First, SFC classifier, SFC controller, Service Function Forwarder (SFF), and Service Function (SF) are the main components of the SFC. Is as follows.
SFC 클래시파이어(SFC classifier) - 고객, 네트워크, 가입된 서비스 등의 정보를 기반으로 하는 정책에 따라 입력된 트래픽의 서비스를 식별하는 기능을 수행한다. 즉, 입력된 트래픽 플로우에 적합한 포워딩 정책(forwarding policy), 이용자, 네트워크 프로파일에 대한 식별을 수행한다. SFC 클래시파이어 노드(node)는 상기 SFC 클래시파이어의 기능을 수행하는 구성요소를 의미한다. 통상적으로, SFC 클래시파이어는 유선망에서의 BGN(Broadband Network Gateway) 장비 또는 모바일 망에서의 PGW(Packet Data Network Gateway) 장비가 될 수 있다.SFC classifier - Performs the function of identifying the service of the input traffic according to the policy based on the information of the customer, the network, and the subscribed service. That is, a forwarding policy suitable for the input traffic flow, a user, and a network profile are identified. The SFC classifier node is a component that performs the functions of the SFC classifier. Typically, the SFC classifier may be a Broadband Network Gateway (BGN) device in a wired network or a Packet Data Network Gateway (PGW) device in a mobile network.
서비스 펑션 포워더(SFF; Service Function Forwarder): SFC 도메인 내에서 수신한 트래픽을 NSH(Network Service Header) 헤더의 정보를 바탕으로 자신에게 연결된 SF 또는 다른 SFF에 전달하는 구성요소이다. 하나의 SFF는 하나 또는 그 이상의 SF들에 연결될 수 있다. 통상적으로, SFF는 데이터 센터의 ToR(Top Of Rack), 가상화 서버의 가상 스위치(vSwitch)가 될 수 있다.Service Function Forwarder (SFF): This is a component that delivers traffic received in the SFC domain to the SF or other SFFs connected to it based on the information of the NSH (Network Service Header) header. One SFF may be connected to one or more SFs. Typically, the SFF can be the Top Of Rack of the data center and the virtual switch (vSwitch) of the virtualization server.
서비스 펑션(SF; Service Function): SFF로부터 전달된 트래픽 패킷을 수신하여, 수신한 트래픽 패킷에 대한 지정된 처리를 수행하는 구성요소이다. SF는 다양한 레이어의 프로토콜 스택에서 작동할 수 있다. 물리적 장비에 하나의 기능이 동작할 수도 있고 하나의 물리적 장비에 여러 논리적 기능들이 동작할 수도 있다. 또한, 동일 SFC 도메인 내에 중복된 SF 인스턴스가 존재할 수도 있다. 통상적으로, SF는 방화벽(firewall), 네트워크 필터(network filter), NAT(network address translation), IP-PBX(private branch exchange), 네트워크 캐쉬(cache), 네트워크 스토리지(storage), DPI(deep packet inspection) 등의 기능을 수행하는 네트워크 서비스 서버들일 수 있다.Service Function (SF): This is a component that receives a traffic packet transmitted from the SFF and performs a specified process on the received traffic packet. SF can operate on various layers of the protocol stack. One function may operate on a physical device, and several logical functions may operate on one physical device. There may also be duplicate SF instances in the same SFC domain. Typically, the SF is a firewall, a network filter, a network address translation (NAT), a private branch exchange (IP-PBX), a network cache, a network storage, a deep packet inspection ), And the like.
SFC Encapsulation: SFC Encapsulation은 서비스 펑션 패스(SFP)에 대한 최소한의 식별(identification; SFPID)을 제공한다. SFF, SFC aware SF등과 같은 SFC-aware 구성요소들에서 이용하며, 일반 네트워크 도메인의 패킷 전달에는 이용되지 않는다. SFPID 외에도 데이터 플레인 컨텍스트(data plane context) 정보가 메타데이터(metadata)로서 전달된다. SFC Encapsulation: SFC Encapsulation provides the minimum identification (SFPID) for the Service Function Path (SFP). It is used in SFC-aware components such as SFF and SFC aware SF and is not used for packet transmission in general network domain. In addition to the SFPID, data plane context information is transmitted as metadata.
서비스 펑션 체인(SFC; Service Function Chain): 추상적인 SF들의 집합과 SF들의 순서를 명시한다. 패킷들이 SFC 도메인을 통과할 때 반드시 SFC에서 명시된 SF들을 지정된 순서대로 거쳐야 한다. Service Function Chain (SFC): Specifies the sequence of SFs and the set of abstract SFs. When packets pass through the SFC domain, the SFs specified in the SFC must be routed in the specified order.
서비스 펑션 패스(SFP; Service Function Path): SFC는 추상적인 SF의 나열 형태를 가지는 반면, SFP는 이러한 SFC가 실제 네트워크의 어떠한 SF/SFF를 경유할지를 정의한다.Service Function Path (SFP): The SFC has an abstract form of SF, while the SFP defines which SF / SFF of the real network the SFC will go through.
SFC 컨트롤러(SFC controller): 서비스 토폴로지를 관리하고 SFF에 대한 전달(forwarding) 설정을 정의한다. SFC 컨트롤러는 후술될 SFC 컨트롤 플레인에 존재할 수 있다. SFC 컨트롤러는 컨트롤 플레인 내에 존재하는 하나의 엔터티일 수도 있으나 복수의 엔터티로서 존재할 수도 있다. 즉, SFC 컨트롤러는 SFC 컨트롤 플레인의 역할을 수행하는 엔터티를 지칭하는 용어이다. 이하의 명세서에서, 'SFC 컨트롤 플레인'과 'SFC 컨트롤러'는 혼용되어 사용될 수 있다. SFC controller: manages the service topology and defines the forwarding settings for the SFF. The SFC controller may be present in the SFC control plane as described below. An SFC controller may be an entity within the control plane, but may exist as multiple entities. That is, the term SFC controller refers to an entity that serves as an SFC control plane. In the following description, 'SFC control plane' and 'SFC controller' can be used in combination.
SFC 프락시(SFC Proxy) - SFC를 인지하지 못하는 SF들(즉, legacy SF)을 대신해서 SFC Encapsulation 정보를 제거하고 삽입한다.SFC Proxy - Removes and inserts SFC Encapsulation information on behalf of SFs that do not recognize SFCs (ie, legacy SFs).
도 1은 본 발명에 따른 사용자 인증 방법과 서비스 펑션 체인(SFC) 제어 방법이 적용되는 IETF SFC 표준 기반 서비스 기능 체이닝 시스템을 설명하기 위한 블록도이다.FIG. 1 is a block diagram for explaining an IETF SFC standard-based service function chaining system to which a user authentication method and a service function chain (SFC) control method according to the present invention are applied.
도 1을 참조하면, SFC 시스템은 SFC 컨트롤러(110), SFC 클래시파이어(120), 적어도 하나의 SFF(SFF#1:121, SFF#2:122, SFF#3:123), 적어도 하나의 SF(131-1,...,131-N), non-SFC SF(legacy SF; 133), 및 SFC 프락시(132)를 포함하여 구성될 수 있다.1, an SFC system includes an
먼저, SFC 클래시파이어(120)는 입력된 트래픽 플로우를 분석하고, 주어진 트래픽에는 어떠한 네트워크 서비스들이 필요한지를 판단하고, 하나의 트래픽 경로를 선택하는 역할을 수행한다. SFF는 한 개 이상의 SF들과 연결되어 있으며, 트래픽 플로우에 인캡슐레이션(encapsulation)되어 있는 트래픽 경로 정보를 확인하고, SF들로 트래픽 플로우를 전달하는 역할을 수행한다. SF는 유입된 트래픽 플로우에 대해서 DPI(deep packet inspection), 방화벽(firewall), NAT(network address translation) 등의 네트워크 서비스를 수행하게 된다.First, the
즉, 패킷이 SFC 클래시파이어(120)로 전달되면 SFC 클래시파이어(120)는 패킷의 IP 주소, MAC 주소, 포트(Port) 번호 등을 통해 해당 패킷의 가입자를 식별하고 해당 가입자가 사용하고 있는 서비스의 ID를 결정하게 된다. That is, when the packet is transmitted to the
다음으로, SFC 클래시파이어(120)는 결정된 서비스 ID를 SFC 컨트롤 러(110)에 전달하게 되며, SFC 컨트롤러(110)는 해당 가입자의 패킷의 플로우를 위한 서비스 펑션 패스(SFP)를 결정하게 되는데 이러한 과정을 앞서 설명된 "SFC Encapsulation"이라 한다. Next, the
SFP는 SFPID(Service Function Path ID)에 의해 식별되며, 해당 가입자가 사용하는 SF, SFF, Encapsulation 정보들을 포함하여 메타 데이터로서 SFC 컨트롤러(110)로부터 SFC 클래시파이어(120)에게 다시 전달된다. 이후, 패킷은 이 SFP를 따라 SFC-enabled domain을 통과하게 된다. The SFP is identified by the SFPID (Service Function Path ID), and is transmitted from the
도메인을 구성하는 다양한 SF 뿐 아니라 SFF도 트래픽의 포워딩을 위해서 필수적이며, SFF에서 특정 SF로 보낸 트래픽은 SF에서의 처리 후 다시 해당 SFF로 돌아오는 순서를 지킨다. 예컨대, SFF#1에서 SF1로 전달된 트래픽은, SF1에서의 처리된 후 다시 SFF#1로 전달된다.In addition to the various SFs constituting the domain, the SFF is also necessary for forwarding traffic, and the traffic sent from the SFF to the specific SF is maintained in the order of returning to the corresponding SFF after processing in the SF. For example, the traffic transferred from
도 2는 본 발명에 따른 사용자 인증 방법과 서비스 펑션 체인(SFC) 제어 방법이 적용되는 CPE 단말 네트워크 기능의 가상화 및 서비스 체이닝 개념을 설명하기 위한 예시도이다.FIG. 2 is a diagram for explaining the concept of virtualization and service chaining of a CPE terminal network function to which a user authentication method and a service function chain (SFC) control method according to the present invention are applied.
도 2를 참조하면, 고객 댁내 장치(CPE; Customer Premises Equipment)는 통신사업자의 네트워크와 직접 연결되어 있는 댁내 장치이며, 통신사업자가 제공하거나 사용자가 자가 설치하여 구성될 수 있다. 예를 들어, CPE(210)는 유무선 공유기, 홈 게이트웨이(home gateway), 펨토 셀(femto cell) 등의 다양한 단말을 수 있다.2, a customer premises equipment (CPE) is an in-house device directly connected to a network of a communication service provider, and may be provided by a communication service provider or installed by a user. For example, the
본 발명의 실시예에 따른 CPE 단말의 네트워크 서비스 가상화는 댁내 CPE 장치에서 네트워크 서비스를 수행하는 것이 아니라, CPE의 네트워크 서비스들을 데이터 센터, 통신사업자 서버팜(server farm) 등의 서버에서 수행하는 것이다. 즉, 가상화된 CPE(vCPE)는 CPE의 네트워크 서비스들이 가상화된 서버들의 집합으로, vNAT(211), vDHCP(212), vVPN(213), vFW(214) 등으로 구성된다.The network service virtualization of the CPE terminal according to the embodiment of the present invention does not perform the network service in the in-house CPE device but performs the network services of the CPE in the server such as the data center and the server of the communication service provider server. That is, the virtualized CPE (vCPE) is a set of virtualized servers of network services of the CPE and is composed of
예컨대, 종래 CPE(210)의 네트워크 서비스 요소가 NAT, DHCP, BRAS, 방화벽 등으로 구성되었다면, 이들 네트워크 서비스 요소들을 가상화된 서비스 펑션들- vNAT(211), vDHCP(v212), vVPN(213), vFW(214)-로서 제공하는 것이다.For example, if the network service element of the
먼저, vNAT(211)는 사설 IP 네트워크와 공인 IP 네트워크간의 통신이 가능하도록 사설 IP 주소 및 포트를 공인 IP 주소 및 포트로 변환시켜주는 역할을 수행한다. 이를 통해서 사용자 내부 네트워크를 사설 IP 네트워크로 구성함으로써 공인 IP 네트워크로 구성되어 있는 외부 네트워크로부터 보호할 수도 있다.First, the
vDHCP(212)는 CPE에 연결된 하위 단말 또는 네트워크 장치들에게 사설 IP 주소를 할당하는 역할을 수행한다. 특정 단말은 CPE의 DHCP 기능을 통해서 사설 IP 주소를 할당받지 않고, 통신사업자의 DHCP 서버를 통해서 공인 IP 주소를 할당받을 수도 있다.The
vFW(214)는 방화벽 기능으로서 외부 네트워크로부터 공격성 트래픽, 유해 트래픽 등을 차단 및 제어를 하게 된다. vVPN(213)은 외부 네트워크인 공중망을 통해서 외부 호스트와의 가상 사설망을 구성하는 기능을 수행한다.The
마지막으로, CPE 가상화의 경우, CPE(210)는 L2 스위칭 등과 같은 최소한의 기본적인 네트워크 기능들로만 가지도록 구성된다. 컨트롤러(220)는 특정 사용자가 vCPE의 어떤 네트워크 펑션을 사용하는지에 따라 해당 정책을 설정 및 관리하는 기능을 수행한다. 또한, CPE(210)는 전송망(transport network)을 통해서 vCPE와 통신을 하게 된다. Finally, in the case of CPE virtualization, the
도 3은 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법을 수행하기 위한 시스템 구성도이다.3 is a system configuration diagram for performing a user authentication method in an L2 network according to an embodiment of the present invention.
도 3을 참조하면, 본 발명의 일 실시예에 따른 L2 네트워크 상의 사용자 인증 방법을 수행하기 위한 시스템은, 인증 대상 단말(300, 301), 데이터 평면(310), 및 제어 평면(320)을 포함하여 구성될 수 있다.Referring to FIG. 3, a system for performing a method for authenticating a user on an L2 network according to an embodiment of the present invention includes
먼저, 데이터 평면(310)은 네트워크 장치들(311-1,...,311-n), 적어도 하나의 이기종 네트워크 장치(312), 서비스 가상화 서버들(313-1,...,313-n), 및 적어도 하나의 이기종 서비스 가상화 서버(314)를 포함하여 구성될 수 있다.First, the
또한, 제어 평면(320)는 사용자 관리 서버(UMS; User Management Server; 321), 네트워크 제어 서버(NCS; Network Control Server; 322), 서비스 관리 서버(323), 이기종 네트워크 제어 서버(324), 이기종 서비스 관리 서버(325) 등을 포함하여 구성될 수 있다.The
상술된 데이터 평면(310)과 제어 평면(320)의 연동에 의해서 인증 대상 단말(300 또는 301)에 대한 사용자 인증, 네트워크 제어, 서비스 제어 등을 수행할 수 있게 된다.Network control, and service control for the
도 4는 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법을 설명하기 위한 순서도이며, 도 5는 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법이 적용되는 시스템 구성을 설명하기 위한 개념도이다.FIG. 4 is a flowchart illustrating a method for authenticating a user in an L2 network according to an embodiment of the present invention. FIG. 5 illustrates a system configuration in which a user authentication method in an L2 network is applied according to an embodiment of the present invention FIG.
도 4를 참조하면, 사용자 관리 서버(UMS; 321)와 네트워크 제어 서버(NCS; 322)가 L2 네트워크 상에서 인증 대상 단말(300)에 대해 인증을 수행하는 절차가 설명된다.Referring to FIG. 4, a procedure for a user management server (UMS) 321 and a network control server (NCS) 322 to perform authentication for an
먼저, UMS(321)가 NCS(322)로 인증 대상 단말(300)의 사용자(UA) 정보를 전달한다(S410). 이때, UMS(321)가 NCS(322)로 전달하는 사용자 정보에는 사용자(UA)의 식별자(즉, 사용자 ID), 및 사용자 위치 등의 정보가 포함될 수 있다.First, the
다음으로, NCS(322)는 UMS(321)로부터 전달받은 사용자 정보를 토대로, 사용자(UA)의 위치를 확인하고, 해당 사용자(UA)의 단말(300)이 네트워크 서비스를 제공받기 위해서 필요한 네트워크 토폴로지(topology) 정보를 확인한다. 즉, NCS(322)는 자신이 수집/관리하고 있는 네트워크 토폴로지 정보를 통해서 단말(300)의 네트워크 연결 정보를 파악할 수 있다. Next, the
도 4의 실시예에서, 단말(300)은 제1 네트워크 장치(311-1), 제2 네트워크장치(311-2), 제3 네트워크장치(311-3)를 차례대로 경유하게 된다. 이렇게 확인된 네트워크 토폴로지 정보를 통해서, NCS(322)는 제1 네트워크 장치(311-1)에 대한 제1 VLAN ID(즉, Customer VLAN(C-VLAN) ID)를 설정하게 된다(S411). 이때 제1 네트워크 장치(311-1)의 특정 포트(예컨대, 1번 포트)에 하나의 C-VLAN 값을 할당하게 된다. 제1 VLAN ID(C-VLAN)의 값은 제1 네트워크 장치 내에서 고유한(unique) 식별자가 될 수 있다. 도 4의 실시예에서는, 제1 VLAN ID로 100이 설정되었을 알 수 있다.In the embodiment of FIG. 4, the terminal 300 sequentially passes through the first network device 311-1, the second network device 311-2, and the third network device 311-3. Through the network topology information thus confirmed, the
다음으로, NCS(322)는 제1 VLAN ID(C-VLAN)가 정상적으로 설정이 완료되었는지 확인한 후, UMS(321)로 제1 VLAN의 설정 결과를 전달하게 된다(S420). 제1 VLAN의 설정 결과 정보에는 사용자 단말(300)이 접속해야 하는 제1 네트워크 장치(311-1)의 포트 정보(즉, 1번 포트) 등이 포함될 수 있다.Next, the
상술된 단계(S411) 및 단계(S420)가 완료가 된 후, NCS(322)는 네트워크 토폴로지 정보 상에서 제1 네트워크 장치(311-1)의 상위 네트워크 장치인 제2 네트워크 장치(311-2)를 확인하게 된다. 이에 따라, NCS(322)는 제2 네트워크 장치(311-2)로 제2 VLAN ID(즉, Service VLAN(S-VLAN) ID)를 설정하게 된다(S430). 이때 설정되는 정보는 제1 네트워크 장치와 직접 연결되어 있는 제2 네트워크 장치의 포트에 하나의 제2 VLAN ID가 할당하게 된다. 제2 VLAN ID(S-VLAN)의 값은 제2 네트워크 장치 내에서 고유한 식별자가 될 수 있다.After the above-described steps S411 and S420 are completed, the
다음으로, NCS(322)는 제2 VLAN ID(S-VLAN)가 정상적으로 설정이 완료되었는지 확인한 후, UMS(321)로 제2 VLAN의 설정 결과를 전달하게 된다(S440). 제2 VLAN의 설정 결과 정보는 사용자 단말이 경유되어야 하는 제2 네트워크 장치(311-2)의 포트 정보 등이 포함될 수 있다.Next, the
UMS(321)는 NCS(322)를 통해서 제1 VLAN ID와 제2 VLAN ID의 설정이 완료되었는지 확인한 후, 사용자(UA)에게 단말(300)의 접속 위치(즉, 단말(300)이 접속하여야 하는 제1 네트워크 장치(311-1)의 포트)를 통보하게 된다(S450). 본 실시예에서는 해당 사용자의 단말(300)은 제1 네트워크 장치(311-1)의 1번 포트를 사용하여 접속할 수 있다. 사용자는 자신이 할당받은 제1 네트워크 장치(311-1)의 1번 포트에서 단말(300)을 접속할 수 있다. The
사용자 단말(300)에서 패킷이 발생하게 되면(S460), 해당 패킷은 제1 네트워크 장치(311-1)를 경유하면서 원래의 패킷에 제1 VLAN ID를 추가적으로 태깅(tagging)하게 된다(S461). 그리고, 해당 패킷에는 제2 네트워크 장치(311-2)를 경유하면서 제2 VLAN ID가 추가적으로 태깅되게 된다(S462). 최종적으로 제3 네트워크 장치(311-3)에 유입되는 패킷에는 제1 VLAN ID와 제2 VLAN ID가 모두 포함된다. 이때, 제1 VLAN ID와 제2 VLAN ID를 모두 포함하는 패킷 구조는 IEEE 802.1ad 표준에 정의되어 있는 규격을 따를 수 있다.When a packet is generated in the user terminal 300 (S460), the packet is tagged additionally to the original packet via the first network device 311-1 (S461). Then, the second VLAN ID is additionally tagged via the second network device 311-2 to the packet (S462). The packets finally entering the third network device 311-3 include both the first VLAN ID and the second VLAN ID. At this time, the packet structure including both the first VLAN ID and the second VLAN ID may conform to the standard defined in the IEEE 802.1ad standard.
이때, 제3 네트워크 장치(311-3)는 상기 제1 네트워크 장치(311-1)와 제2 네트워크 장치(311-2)로 구성되는 L2 네트워크를 종단(termination)하는 네트워크 장치이며, 단말(300)에 대한 인증자(authenticator) 역할을 수행하게 된다. The third network device 311-3 is a network device that terminates an L2 network constituted by the first network device 311-1 and the second network device 311-2, ) As an authenticator.
제3 네트워크 장치(311-3)는 사용자 패킷을 수신하게 되면, NCS(322)로 AAA 인증 요청을 하게 되는데(S470), 사용자(UA)에 대한 식별 정보는 사용자 패킷에 포함되어 있는 VLAN 정보들이 된다. 즉, 제1 VLAN ID(C-VLAN)와 제2 VLAN ID(S-VLAN)가 사용자(UA)에 대한 식별 정보가 된다. 즉, 하나의 사용자는 하나의 제1 VLAN ID와 제2 VLAN ID의 조합에 의해 식별될 수 있다. 이에 따라, NCS(322)는 제3 네트워크 장치(311-3)로부터 인증 요청을 수신하게 되면, 제1 VLAN ID/제2 VLAN ID 정보를 확인하고, 사용자가 UA라는 것을 식별할 수 있게 된다.Upon receiving the user packet, the third network device 311-3 requests the AAA authentication request to the NCS 322 (S470). The identification information for the user UA includes VLAN information included in the user packet do. That is, the first VLAN ID (C-VLAN) and the second VLAN ID (S-VLAN) are identification information for the user (UA). That is, one user can be identified by a combination of one first VLAN ID and a second VLAN ID. Accordingly, when the
다음으로, NCS(322)는 UMS(321)로 사용자(UA)에 대한 인증을 요청하게 된다(S471). 인증 요청 정보에는 사용자(UA)에 대한 사용자 ID 등을 포함하고 있다.Next, the
UMS(321)는 NCS(322)로부터 수신한 인증 요청에 대해서 AAA 인증 수행을 하고, 인증 결과를 NCS(322)로 전달할 수 있다(S480). 인증 결과 정보는 해당 사용자(UA)에게 제공되어야 할 서비스를 특정하기 위한 정보 등을 포함하고 있다. 본 실시예에서는 해당 사용자에게 제공되어야 할 서비스 명은 SA이며, 하나의 서비스 명에는 복수개의 네트워크 서비스들(즉, 서비스 펑션들)로 구성될 수 있다. 예를 들어 서비스(SA)는 NAT, FW, DHCP, VPN 등의 네트워크 서비스들을 포함하고 있다.The
NCS(322)는 UMS(321)로부터 전달받은 서비스(SA)에 대한 대응되는 서비스 경로(PA)를 판단하게 된다. NCS(322)는 이에 따라 결정된 서비스 경로의 정보를 제3 네트워크 장치(311-3)로 전달하게 된다(S481). 앞서, 도 1에서 설명한 IETF SFC 시스템의 구성에 따르면, NCS(322)에서 결정하는 서비스 경로는 SF들에 대한 정보를 포함하는 SFP(service function path)가 될 수 있다.The
상술된 도 4의 절차들은 도 5를 참조하여, 보다 명확하게 설명될 수 있다.The above-described procedures of Fig. 4 can be more clearly described with reference to Fig.
도 5를 참조하면, UMS(321)는 사용자(UA)에 대한 정보를 관리하고, NCS(322)는 사용자(UA)에 대응되는 제1 VLAN ID(즉, C-VLAN)와 제2 VLAN ID(즉, S-VLAN)를 관리하게 된다. 5, the
네트워크 장치들(311-1, 311-2)은 NCS(322)로부터 전달받은 제1 VLAN ID(예, 100)와 제2 VLAN ID(예, 100)을 단말로부터 수신한 패킷에 각각 태깅하고, 제1 VLAN ID와 제2 VLAN ID 태깅된 패킷을 수신한 제3 네트워크 장치(311-3)는 NCS(322) 및 UMS(321)와 연동하여 사용자(UA)에 대한 인증 절차를 수행하고, 사용자(UA)를 위한 서비스(SA)에 대한 서비스 경로(PA)를 NCS(322)로부터 수신할 수 있다. The network devices 311-1 and 311-2 respectively tag the first VLAN ID (e.g., 100) and the second VLAN ID (e.g., 100) received from the
도 6은 본 발명의 일 실시예에 따른 L2 네트워크에서의 사용자 인증 방법을 위해 제1 VLAN ID와 제2 VLAN ID가 태깅된 패킷 포맷을 설명하기 위한 개념도이다.6 is a conceptual diagram illustrating a packet format in which a first VLAN ID and a second VLAN ID are tagged for a user authentication method in an L2 network according to an embodiment of the present invention.
도 6을 참조하면, 제1 VLAN ID(611)가 태깅된 패킷 포맷(610)은 IEEE 802.1Q 표준 규격을 준수할 수 있다. 즉, 패킷 포맷(610)은 도 4 및 도 5에서의 제1 네트워크 장치(311-1)에서 제2 네트워크 장치(311-2)로 전달되는 데이터 패킷의 포맷이다. 이 패킷 포맷에서, 802.1q Tag 정보(611)에 제1 VLAN ID(C-VLAN)가 포함된다.Referring to FIG. 6, the
제1 VLAN ID(622)와 제2 VLAN ID(621)가 모두 태깅된 패킷 포맷(620)은 IEEE 802.1ad 표준 규격을 따르는 Q-in-Q(queue-in-queue) 포맷일 수 있다. 즉, 패킷 포맷(620)은 도 4 및 도 5에서의 제2 네트워크 장치(311-2)에서 제3 네트워크 장치(311-3)로 전달되는 데이터 패킷의 포맷이다. 이 트래픽 포맷에서, 802.1q Tag(Outer) 정보(621)에는 제2 VLAN ID(S-VLAN)가 포함되고, 802.1q Tag(Inner) 정보(622)에는 제1 VLAN ID(C-VLAN)가 포함될 수 있다.The
도 7은 본 발명의 일 실시예에 따른 L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법을 설명하기 위한 순서도이다. 7 is a flowchart illustrating an SFC control method for a terminal authenticated on an L2 network according to an embodiment of the present invention.
도 7을 참조하면, SFC 클래시파이어(120)는 유선망에서의 BNG(Broadband Network Gateway), 모바일망에서의 PGW(Packet data network GateWay) 등의 장치가 될 수 있고, SFF(121~123)는 데이터 센터의 ToR(Top Of Rack), 가상화 서버의 vSwitch 등의 장치가 될 수 있다. 그리고 SF(131)는 FW, NAT, DHCP, VPN 등의 네트워크 서비스 서버들이 될 수 있다.7, the
도 7의 절차는, SFC 컨트롤러(110)가 제1 VLAN ID와 제2 VLAN ID를 이용하여 인증이 완료된 단말에 대해서, SFP#1, SFP#2, SFP#3의 순서로 서비스 펑션 경로를 순차적으로 변경하면서 서비스를 제공하는 SFC 제어 방법을 예시하고 있다. 7, the
먼저, SFC 컨트롤러(110)는 SFC 클래시파이어(120)에게 서비스 대상 단말에 대한 L2 네트워크 인증 과정에서 할당된 제1 VLAN ID, 제2 VLAN ID, 및 SFP에 대한 정보를 포함하는 매핑 테이블(mapping table)을 제공한다(S710). 단계(S710)에서, 제1 VLAN ID와 제2 VLAN ID가 100/100인 경우에는 SFP#1에 의해서 서비스가 제어되도록 매핑 테이블이 제공된다(즉, 도 9의 910 부분). SFC 클래시파이어(120)는 이렇게 설정된 매핑 테이블을 이용하여 사용자 패킷을 분류할 수 있게 된다.First, the
SFC 컨트롤러(110)는 SFF으로 SFP#1, SF 등을 포함하는 포워딩 테이블을 전달하게 된다(S711). 본 실시예에서, SFP#1는 vBRAS(virtualized Broadband Remote Access Server)기능을 수행하는 SF으로 패킷을 포워딩하기 위한 SFP이다. SFF는 이렇게 설정된 포워딩 테이블을 이용하여 사용자 패킷을 포워딩할 수 있게 된다.The
SFC 컨트롤러(110)는 SF의 수행 결과를 통보받을 수 있다(S712). 도 7에서는 SF로부터 SFC 컨트롤러(110)가 직접적으로 SF의 수행 결과를 통보받는 것으로 예시되었으나, SF의 수행 결과는 해당 SF에 연결된 SFF로부터 통보받을 수도 있다. 예컨대, vBRAS 기능을 수행하는 SF부터 사용자 인증 결과를 통보받을 수 있다.The
SFP#1에 따라, vBRAS 기능을 담당하는 SF으로부터 사용자 인증 결과를 수신한 SFC 컨트롤러(110)는 SFP#1에 따른 서비스 수행이 완료되었음을 확인하고, SFC 클래시파이어(120)에게 변경된 매핑 테이블을 제공할 수 있다(S720). 단계(S720)에서는 도 9에서 예시된 매핑 테이블(즉, 도 9의 920 부분)이 제공될 수 있다. 즉, 제1 VLAN ID와 제2 VLAN ID가 100/100인 경우에는 SFP#2에 의해서 서비스가 제어되도록 매핑 테이블이 제공된다. SFP#2는 vNAT 기능을 수행하는 SF#1와 vDPI 기능을 수행하는 SF#2을 서비스 체이닝하여 차례대로 실행할 수 있도록 하는 SFP이다.In accordance with the
SFC 컨트롤러(110)는 SFF으로 SFP#2, SF 등을 포함하는 포워딩 테이블을 전달하게 된다(S721). SFC 컨트롤러(110)는 vDPI 기능을 수행하는 SF#2으로부터 수행 결과를 통보받게 되는데(S722), 이때 특정 패킷 플로우가 공격성 패킷이면, 추가적인 FW기능을 수행하는 SF#3이 필요하다는 것을 확인하게 된다.The
마지막으로, SFC 컨트롤러(110)는 SFP#2에 따른 서비스 수행이 완료되었음과 SFP#3에 따른 서비스 수행이 필요함을 확인하고, SFC 클래시파이어(120)에게 변경된 매핑 테이블을 제공할 수 있다(S730). 단계(S730)에서는 도 9에서 예시된 매핑 테이블(930)이 제공될 수 있다. 즉, 제1 VLAN ID와 제2 VLAN ID가 100/100인 경우에는 SFP#3에 의해서 서비스가 제어되도록 매핑 테이블이 제공된다. SFP#3은 vNAT 기능을 수행하는 SF#1와 vFW 기능을 수행하는 SF#3을 서비스 체이닝하여 차례대로 실행할 수 있도록 하는 SFP이다.Finally, the
SFC 컨트롤러(110)는 SFF으로 SFP#3, SF 등을 포함하는 포워딩 테이블을 전달하게 된다(S731). SFC 컨트롤러(110)는 vFW 기능을 수행하는 SF#3으로부터 수행 결과를 통보받게 되는데(S732), 사용자 패킷이 공격성 패킷으로부터 보호되고 있다는 것을 확인하게 된다.The
도8는 본 발명의 일 실시예에 따른 L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법에 이용되는 IETF SFC 기반의 패킷 포맷의 일부를 설명하기 위한 개념도이다.8 is a conceptual diagram for explaining a part of an IETF SFC-based packet format used in an SFC control method for an authenticated terminal on an L2 network according to an embodiment of the present invention.
도 8에서 예시된 포맷은 IETF SFC 기반의 패킷의 NSH(Network Service Header)의 포맷에 해당된다. NSH 포맷은 기본적으로, 베이스 헤더(base header; 810), 서비스 경로 헤더(service path header; 820), 및 컨텍스트 헤더(context header; 830)를 포함하여 구성될 수 있다.The format illustrated in FIG. 8 corresponds to the format of an NSH (Network Service Header) of an IETF SFC-based packet. The NSH format basically includes a
먼저, 베이스 헤더(810)은 버전 정보, OAM(Operation/Administration/Management) 정보, critical TLV 정보를 포함한 멀티-플래그(multi-flag) 필드, 길이(length) 필드(812), MD 필드(813), 다음 프로토콜(next protocol) 필드(814) 등을 포함할 수 있다. 각 필드에 대한 자세한 설명은 생략한다.First, the
다음으로, 서비스 경로 헤더(820)는 서비스 경로 ID(SPI; 821)과 서비스 인덱스(SI; 822)를 포함하여 구성될 수 있다. 여기에서, SPI(821)는 SFP를 고유하게 구분하는 식별자이며, SI는 서비스 체이닝에 의해서 서비스 기능들이 순서대로 수행하게 되면 하나씩 감소된 인덱스 정보이다.Next, the
도 9는 본 발명의 일 실시예에 따른 L2 네트워크 상에서 인증된 단말을 위한 SFC 제어 방법을 설명하기 위한 매핑 테이블의 예시도이다.9 is a diagram illustrating a mapping table for explaining an SFC control method for a terminal authenticated on an L2 network according to an embodiment of the present invention.
도 9를 참조하면, SFC 제어를 위한 매핑 테이블은 시퀀스(Sequence), 제1 VLAN ID(C-VLAN), 제2 VLAN ID(S-VLAN), SPI, SI, 및 Next Hop 등으로 구성될 수 있다. 즉, 매핑 테이블은 SFC 클래시파이어에서 수신된 패킷의 제1 VLAN ID와 제2 VLAN ID에 기초하여 수행되어야 할 SFP를 특정하기 위한 용도로 이용될 수 있다.Referring to FIG. 9, the mapping table for SFC control may include a sequence, a first VLAN ID (C-VLAN), a second VLAN ID (S-VLAN), SPI, SI, have. That is, the mapping table can be used for specifying the SFP to be performed based on the first VLAN ID and the second VLAN ID of the packet received from the SFC classifier.
먼저, 매핑 테이블의 제1 부분(910)은 앞서 도 7에서 설명된 단계(S710)에 의해 SFC 컨트롤러(110)으로부터 SFC 클래시파이어(120)에게 전달되는 매핑 테이블에 해당된다. 매핑 테이블의 제1 부분(910)에 따르면, 제1 VLAN ID와 제2 VLAN ID의 조합에 대응되는 패킷을 대상으로 SFP#1에 따른 서비스가 수행된다. SFP#1에서, SI가 1인 경우에 수행되는 SF는 vBRAS이며, vBRAS SF 다음에 수행될 SF(next hop)는 SFP#1 경로의 종료(end of path)임을 알 수 있다.First, the
다음으로, 매핑 테이블의 제2 부분(920)은 앞서 도 7에서 설명된 단계(S720)에 의해 SFC 컨트롤러(110)으로부터 SFC 클래시파이어(120)에게 전달되어, SFC 클래시파이어(120)가 관리하는 매핑 테이블을 변경하기 위한 부분에 해당된다. 매핑 테이블의 제2 부분(920)에 따르면, 제1 VLAN ID와 제2 VLAN ID의 조합에 대응되는 패킷을 대상으로 SFP#2에 따른 서비스가 수행된다. SFP#2에서, SI가 2인 경우에 수행되는 SF는 vNAT이며, vNAT SF 다음에 수행될 SF(SI가 1인 경우에 수행되는 SF)는 vDPI임을 알 수 있다. 또한, vDPI SF 다음에 수행될 SF(next hop)는 SFP#2 경로의 종료(end of path)임을 알 수 있다.Next, the
마지막으로, 매핑 테이블의 제3 부분(930)은 앞서 도 7에서 설명된 단계(S730)에 의해 SFC 컨트롤러(110)으로부터 SFC 클래시파이어(120)에게 전달되어, SFC 클래시파이어(120)가 관리하는 매핑 테이블을 변경하기 위한 부분에 해당된다. 매핑 테이블의 제3 부분(930)에 따르면, 제1 VLAN ID와 제2 VLAN ID의 조합에 대응되는 패킷을 대상으로 SFP#3에 따른 서비스가 수행된다. SFP#3에서, SI가 3인 경우에 수행되는 SF는 vNAT이며, vNAT SF 다음에 수행될 SF(SI가 1인 경우에 수행되는 SF)는 vFW임을 알 수 있다. 또한, vFW SF 다음에 수행될 SF(next hop)는 SFP#3 경로의 종료(end of path)임을 알 수 있다.Finally, the
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that
300, 301: 사용자 단말
310: 데이터 평면
311-1, 311-2, 311-n, 312: 네트워크 장치
313-1, 313-2, 313-n, 314: 서비스 가상화 서버
320: 제어 평면
321: 사용자 관리 서버
322: 네트워크 제어 서버
323: 서비스 관리 서버
324: 이기종 네트워크 제어 서버
325: 이기종 서비스 관리 서버300, 301: user terminal
310: Data plane
311-1, 311-2, 311-n, 312: Network device
313-1, 313-2, 313-n, 314: a service virtualization server
320: control plane
321: User Management Server
322: Network control server
323: Service Management Server
324: Heterogeneous network control server
325: heterogeneous service management server
Claims (26)
사용자의 단말에 대한 위치 정보에 기반하여, 네트워크 제어 서버(NCS; Network Control Server)가 상기 단말이 연결된 제1 네트워크 장치와 상기 제1 네트워크 장치에 연결된 제2 네트워크 장치를 식별하는 단계;
상기 NCS가 상기 제1 네트워크 장치에 제1 VLAN ID를 할당하고, 상기 제2 네트워크 장치에 제2 VLAN ID를 할당하는 단계;
사용자 관리 서버(UMS; User Management Server)가 상기 단말의 사용자에게 상기 단말이 접속하여야 하는 상기 제1 네트워크 장치의 포트를 지정하는 정보를 통보하는 단계;
상기 단말로부터 상기 제1 네트워크 장치의 지정된 포트를 통해 수신된 패킷에 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷을 수신한 제3 네트워크 장치로부터, 상기 NCS가 상기 제1 VLAN ID와 상기 제2 VLAN ID를 포함한 인증 요청을 수신하여, 상기 제1 VLAN ID와 상기 제2 VLAN ID의 조합으로 상기 사용자를 식별하는 단계; 및
상기 NCS가 상기 단말에 대한 인증 요청을 상기 UMS로 전송하고, 상기 인증 요청에 대한 결과를 상기 UMS로부터 수신하는 단계를 포함하는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.A terminal authentication method on an L2 network,
A network control server (NCS) identifying a first network device to which the terminal is connected and a second network device connected to the first network device, based on the location information of the user terminal;
Assigning a first VLAN ID to the first network device and a second VLAN ID to the second network device;
(UMS) informing a user of the terminal of information specifying a port of the first network device to which the terminal should connect;
From a third network device that receives a packet tagged with the first VLAN ID and the second VLAN ID in a packet received from the terminal through a designated port of the first network device, Receiving an authentication request including a VLAN ID and the second VLAN ID, identifying the user by a combination of the first VLAN ID and the second VLAN ID; And
Wherein the NCS transmits an authentication request for the terminal to the UMS and receives a result of the authentication request from the UMS.
상기 사용자의 단말에 대한 위치 정보는 상기 UMS가 상기 NCS로 제공하는 상기 사용자에 대한 정보에 포함되며, 상기 사용자에 대한 정보는 상기 사용자의 식별자(identifier)를 추가로 포함하는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein the location information of the user terminal is included in the information on the user provided by the UMS and the information on the user further includes an identifier of the user. A terminal authentication method on a network.
상기 NCS는 상기 제1 네트워크 장치와 상기 제2 네트워크 장치를 상기 NCS가 관리하는 네트워크 토폴로지(topology) 정보에 기초하여 식별하는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein the NCS identifies the first network device and the second network device based on network topology information managed by the NCS.
상기 제1 VLAN ID는 상기 제1 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치의 특정 포트에 할당되고, 상기 제2 VLAN ID는 상기 제2 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치에 직접 연결된 상기 제2 네트워크 장치의 포트에 할당되는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein the first VLAN ID is a unique identifier in the first network device and is assigned to a specific port of the first network device and the second VLAN ID is a unique identifier in the second network device, Wherein the second network device is assigned to a port of the second network device directly connected to the second network device.
상기 NCS는 상기 제1 VLAN ID의 할당 결과와 상기 제2 VLAN ID의 할당 결과를 각각 상기 UMS에 통보하는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein the NCS notifies the UMS of the allocation result of the first VLAN ID and the allocation result of the second VLAN ID, respectively.
상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷은 IEEE802.1ad 표준에 정의된 Q-in-Q 포맷을 따르는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein a packet tagged with the first VLAN ID and the second VLAN ID conforms to a Q-in-Q format defined in the IEEE 802.1ad standard.
상기 제3 네트워크 장치는 상기 L2 네트워크를 종단(termination)하는 네트워크 장치인 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein the third network device is a network device that terminates the L2 network.
상기 단말에 대한 인증 요청은 상기 사용자의 식별자를 포함한 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method of claim 2,
Wherein the authentication request for the terminal includes an identifier of the user.
상기 인증 요청에 대한 결과는 상기 사용자에 제공되어야 할 서비스를 특정하기 위한 정보를 포함하고, 상기 NCS는 상기 서비스를 제공하기 위한 서비스 펑션 패스(SFP; Service Function Path)를 결정하는 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method according to claim 1,
Wherein the result of the authentication request includes information for specifying a service to be provided to the user, and the NCS determines a service function path (SFP) for providing the service. The terminal authentication method on the L2 network.
상기 SFP는 상기 서비스를 제공하기 위한 적어도 하나의 서비스 펑션(SF; Service Function)에 대한 정보를 포함하는 것을 것을 특징으로 하는, L2 네트워크 상의 단말 인증 방법.The method of claim 9,
Wherein the SFP includes information on at least one service function (SF) for providing the service.
상기 SFC 컨트롤러가 SFC 클래시파이어에게 상기 단말에 대한 L2 네트워크 인증을 위해 상기 단말에게 할당된 제1 VLAN ID와 제2 VLAN ID에 대한 정보 및 서비스 펑션 패스(SFP; Service Function Path)에 대한 정보를 포함하는 매핑(mapping) 테이블을 전달하는 단계; 및
상기 SFC 컨트롤러가 상기 서비스 펑션 패스 상에 존재하는 적어도 하나의 서비스 펑션 포워더(SFF; Service Function Forwarder)에게 상기 SFP 및 상기 SFP 상의 적어도 하나의 서비스 펑션(SF; Service Function)에 대한 정보를 포함한 포워딩(forwarding) 테이블을 전달하는 단계를 포함하고,
상기 매핑 테이블은 상기 제1 VLAN ID와 제2 VLAN ID가 태깅된 패킷을 수신한 상기 SFC 클래시파이어에게 참조되어 상기 SFP 상의 SFF에게 상기 수신한 패킷을 전달하도록 하고, 상기 포워딩 테이블은 상기 SFP 상의 SFF에게 참조되어 상기 수신한 패킷을 상기 SFP 상의 상기 적어도 하나의 SF에게 전달하도록 하는 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.A method of operating an SFC controller for controlling a service function chain (SFC) for terminals authenticated on an L2 network,
The SFC controller informs the SFC classifier of the information about the first VLAN ID and the second VLAN ID and the service function path (SFP) allocated to the terminal for L2 network authentication for the terminal Transmitting a mapping table containing the mapping table; And
Wherein the SFC controller sends at least one service function forwarder (SFF) on the service function path forwarding (SFP) information including information on at least one service function (SF) on the SFP forwarding < / RTI > table,
The mapping table refers to the SFC classifier that has received the tag with the first VLAN ID and the second VLAN ID and transmits the received packet to the SFF on the SFP, SFF to forward the received packet to the at least one SF on the SFP.
상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷은 IEEE802.1ad 표준에 정의된 Q-in-Q 포맷을 따르는 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.The method of claim 11,
Wherein the packet tagged with the first VLAN ID and the second VLAN ID conforms to a Q-in-Q format defined in the IEEE 802.1ad standard.
상기 단말에 대한 L2 네트워크 상에서의 인증은,
상기 단말에 대한 위치 정보에 기반하여, 네트워크 제어 서버(NCS; Network Control Server)가 상기 단말이 연결된 제1 네트워크 장치와 상기 제1 네트워크 장치에 연결된 제2 네트워크 장치를 식별하는 단계;
상기 NCS가 상기 제1 네트워크 장치에 상기 제1 VLAN ID를 할당하고, 상기 제2 네트워크 장치에 상기 제2 VLAN ID를 할당하는 단계;
사용자 관리 서버(UMS; User Management Server)가 상기 단말의 사용자에게 상기 단말이 접속하여야 하는 상기 제1 네트워크 장치의 포트를 지정하는 정보를 통보하는 단계;
상기 단말로부터 상기 제1 네트워크 장치의 지정된 포트를 통해 수신된 패킷에 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷을 수신한 제3 네트워크 장치로부터, 상기 NCS가 상기 제1 VLAN ID와 상기 제2 VLAN ID를 포함한 인증 요청을 수신하여, 상기 제1 VLAN ID와 상기 제2 VLAN ID의 조합으로 상기 사용자를 식별하는 단계; 및
상기 NCS가 상기 단말에 대한 인증 요청을 상기 UMS로 전송하고, 상기 UMS가 상기 단말에 대한 인증을 수행하는 단계를 거쳐 수행되는 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.The method of claim 11,
The authentication on the L2 network for the terminal,
A network control server (NCS) identifying a first network device to which the terminal is connected and a second network device connected to the first network device based on the location information of the terminal;
Assigning the first VLAN ID to the first network device and the second VLAN ID to the second network device;
(UMS) informing a user of the terminal of information specifying a port of the first network device to which the terminal should connect;
From a third network device that receives a packet tagged with the first VLAN ID and the second VLAN ID in a packet received from the terminal through a designated port of the first network device, Receiving an authentication request including a VLAN ID and the second VLAN ID, identifying the user by a combination of the first VLAN ID and the second VLAN ID; And
Wherein the NCS transmits an authentication request for the terminal to the UMS, and the UMS performs authentication for the terminal.
상기 사용자의 단말에 대한 위치 정보는 상기 UMS가 상기 NCS로 제공하는 상기 사용자에 대한 정보에 포함되며, 상기 사용자에 대한 정보는 상기 사용자의 식별자(identifier)를 추가로 포함하는 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.14. The method of claim 13,
Wherein the location information of the user terminal is included in the information on the user provided by the UMS and the information on the user further includes an identifier of the user. How the controller works.
상기 NCS는 상기 제1 네트워크 장치와 상기 제2 네트워크 장치를 상기 NCS가 관리하는 네트워크 토폴로지(topology) 정보에 기초하여 식별하는 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.14. The method of claim 13,
Wherein the NCS identifies the first network device and the second network device based on network topology information managed by the NCS.
상기 제1 VLAN ID는 상기 제1 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치의 특정 포트에 할당되고, 상기 제2 VLAN ID는 상기 제2 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치에 직접 연결된 상기 제2 네트워크 장치의 포트에 할당되는 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.14. The method of claim 13,
Wherein the first VLAN ID is a unique identifier in the first network device and is assigned to a specific port of the first network device and the second VLAN ID is a unique identifier in the second network device, And the second network device is directly connected to the port of the second network device.
상기 제3 네트워크 장치는 상기 L2 네트워크를 종단(termination)하는 네트워크 장치인 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.14. The method of claim 13,
Wherein the third network device is a network device that terminates the L2 network.
상기 SFP는 상기 인증 요청에 대한 결과에 포함된 상기 사용자에 제공되어야 할 서비스를 특정하기 위한 정보에 기초하여 상기 서비스를 제공하기 위한 구성된 것을 특징으로 하는, SFC 컨트롤러의 동작 방법.14. The method of claim 13,
Wherein the SFP is configured to provide the service based on information for specifying a service to be provided to the user included in the result of the authentication request.
상기 SFC 클래시파이어가 상기 단말에 대한 L2 네트워크 인증을 위해 상기 단말에게 할당된 제1 VLAN ID와 제2 VLAN ID에 대한 정보 및 서비스 펑션 패스(SFP; Service Function Path)에 대한 정보를 포함하는 매핑 테이블을 SFC 컨트롤러로부터 수신하는 단계; 및
상기 SFC 클래시파이어가 상기 제1 VLAN ID와 제2 VLAN ID가 태깅된 패킷을 수신하고, 상기 매핑 테이블을 참조하여 상기 SFP 상의 서비스 펑션 포워더(SFF; Service Function Forwarder)에게 상기 수신한 패킷을 전달하는 단계를 포함하는 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.A method of operating an SFC classifier for controlling a service function chain (SFC) for a terminal authenticated on an L2 network,
The SFC classifier performs a mapping including information on a first VLAN ID, a second VLAN ID, and information on a service function path (SFP) allocated to the terminal for L2 network authentication for the terminal Receiving a table from an SFC controller; And
The SFC classifier receives a packet in which the first VLAN ID and the second VLAN ID are tagged, and transmits the received packet to a service function forwarder (SFF) on the SFP by referring to the mapping table The method comprising the steps of:
상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷은 IEEE802.1ad 표준에 정의된 Q-in-Q 포맷을 따르는 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.The method of claim 19,
Wherein a packet tagged with the first VLAN ID and the second VLAN ID conforms to a Q-in-Q format defined in the IEEE 802.1ad standard.
상기 단말에 대한 L2 네트워크 상에서의 인증은,
상기 단말에 대한 위치 정보에 기반하여, 네트워크 제어 서버(NCS; Network Control Server)가 상기 단말이 연결된 제1 네트워크 장치와 상기 제1 네트워크 장치에 연결된 제2 네트워크 장치를 식별하는 단계;
상기 NCS가 상기 제1 네트워크 장치에 상기 제1 VLAN ID를 할당하고, 상기 제2 네트워크 장치에 상기 제2 VLAN ID를 할당하는 단계;
사용자 관리 서버(UMS; User Management Server)가 상기 단말의 사용자에게 상기 단말이 접속하여야 하는 상기 제1 네트워크 장치의 포트를 지정하는 정보를 통보하는 단계;
상기 단말로부터 상기 제1 네트워크 장치의 지정된 포트를 통해 수신된 패킷에 상기 제1 VLAN ID와 상기 제2 VLAN ID가 태깅(tagging)된 패킷을 수신한 제3 네트워크 장치로부터, 상기 NCS가 상기 제1 VLAN ID와 상기 제2 VLAN ID를 포함한 인증 요청을 수신하여, 상기 제1 VLAN ID와 상기 제2 VLAN ID의 조합으로 상기 사용자를 식별하는 단계; 및
상기 NCS가 상기 단말에 대한 인증 요청을 상기 UMS로 전송하고, 상기 UMS가 상기 단말에 대한 AAA 인증을 수행하는 단계를 거쳐 수행되는 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.The method of claim 19,
The authentication on the L2 network for the terminal,
A network control server (NCS) identifying a first network device to which the terminal is connected and a second network device connected to the first network device based on the location information of the terminal;
Assigning the first VLAN ID to the first network device and the second VLAN ID to the second network device;
(UMS) informing a user of the terminal of information specifying a port of the first network device to which the terminal should connect;
From a third network device that receives a packet tagged with the first VLAN ID and the second VLAN ID in a packet received from the terminal through a designated port of the first network device, Receiving an authentication request including a VLAN ID and the second VLAN ID, identifying the user by a combination of the first VLAN ID and the second VLAN ID; And
Wherein the NCS transmits an authentication request for the terminal to the UMS, and the UMS performs AAA authentication for the terminal.
상기 사용자의 단말에 대한 위치 정보는 상기 UMS가 상기 NCS로 제공하는 상기 사용자에 대한 정보에 포함되며, 상기 사용자에 대한 정보는 상기 사용자의 식별자(identifier)를 추가로 포함하는 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.23. The method of claim 21,
Wherein the location information of the user terminal is included in the information on the user provided by the UMS and the information on the user further includes an identifier of the user. How the classifier works.
상기 NCS는 상기 제1 네트워크 장치와 상기 제2 네트워크 장치를 상기 NCS가 관리하는 네트워크 토폴로지(topology) 정보에 기초하여 식별하는 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.23. The method of claim 21,
Wherein the NCS identifies the first network device and the second network device based on network topology information managed by the NCS.
상기 제1 VLAN ID는 상기 제1 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치의 특정 포트에 할당되고, 상기 제2 VLAN ID는 상기 제2 네트워크 장치 내에서 유일한 식별자이며 상기 제1 네트워크 장치에 직접 연결된 상기 제2 네트워크 장치의 포트에 할당되는 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.23. The method of claim 21,
Wherein the first VLAN ID is a unique identifier in the first network device and is assigned to a specific port of the first network device and the second VLAN ID is a unique identifier in the second network device, Wherein the second network device is assigned to a port of the second network device that is directly connected to the second network device.
상기 제3 네트워크 장치는 상기 L2 네트워크를 종단(termination)하는 네트워크 장치인 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.23. The method of claim 21,
Wherein the third network device is a network device that terminates the L2 network.
상기 SFP는 상기 인증 요청에 대한 결과가 포함한 상기 사용자에 제공되어야 할 서비스를 특정하기 위한 정보에 기초하여 상기 서비스를 제공하기 위한 구성된 것을 특징으로 하는, SFC 클래시파이어의 동작 방법.23. The method of claim 21,
Wherein the SFP is configured to provide the service based on information for specifying a service to be provided to the user including a result of the authentication request.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20150091436 | 2015-06-26 | ||
KR1020150091436 | 2015-06-26 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20170001655A true KR20170001655A (en) | 2017-01-04 |
Family
ID=57831984
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160079882A KR20170001655A (en) | 2015-06-26 | 2016-06-27 | Method for user authentication, and method for controlling service function chain by using the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20170001655A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9979645B2 (en) * | 2015-01-14 | 2018-05-22 | Futurewei Technologies, Inc. | Hardware and software methodologies for creating and managing portable service function chains |
CN108574647A (en) * | 2017-03-13 | 2018-09-25 | 上海诺基亚贝尔股份有限公司 | Interchanger and grader and associated method |
WO2021011114A1 (en) * | 2019-07-15 | 2021-01-21 | Bonczar David Thomas | Methods and systems for automatically securing endpoint device data communications |
-
2016
- 2016-06-27 KR KR1020160079882A patent/KR20170001655A/en unknown
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9979645B2 (en) * | 2015-01-14 | 2018-05-22 | Futurewei Technologies, Inc. | Hardware and software methodologies for creating and managing portable service function chains |
CN108574647A (en) * | 2017-03-13 | 2018-09-25 | 上海诺基亚贝尔股份有限公司 | Interchanger and grader and associated method |
CN108574647B (en) * | 2017-03-13 | 2021-05-18 | 上海诺基亚贝尔股份有限公司 | Switch and classifier and related methods |
WO2021011114A1 (en) * | 2019-07-15 | 2021-01-21 | Bonczar David Thomas | Methods and systems for automatically securing endpoint device data communications |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10868795B2 (en) | Method for managing service chaining at a network equipment, corresponding network equipment | |
US10931575B2 (en) | Multi-tenant virtual private network based on an overlay network | |
US9215175B2 (en) | Computer system including controller and plurality of switches and communication method in computer system | |
US11184842B2 (en) | Conveying non-access stratum messages over ethernet | |
EP3228053B1 (en) | Enf selection for nfvi | |
JP5846199B2 (en) | Control device, communication system, communication method, and communication program | |
JP5440712B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, CONTROL DEVICE, PACKET FLOW TRANSFER ROUTE CONTROL METHOD, AND PROGRAM | |
EP3219057B1 (en) | Optimized inter-vrf (virtual routing and forwarding ) route leaking in network overlay based environments | |
JP5139276B2 (en) | Apparatus and method for managing two types of apparatuses | |
US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
TWI395435B (en) | Open network connections | |
US20030037163A1 (en) | Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider | |
WO2014176740A1 (en) | Stream classifier, service routing trigger, and message processing method and system | |
US8064458B2 (en) | Method and apparatus for simulating IP multinetting | |
JP5679343B2 (en) | Cloud system, gateway device, communication control method, and communication control program | |
WO2018149338A1 (en) | Sdn-based remote stream mirroring control method, implementation method, and related device | |
KR20070027523A (en) | Access network system, subscriber station device, and network terminal device | |
KR20110104484A (en) | A method for operating multi-domain provider ethernet networks | |
US11012412B2 (en) | Method and system for network traffic steering towards a service device | |
US8437357B2 (en) | Method of connecting VLAN systems to other networks via a router | |
KR20170001655A (en) | Method for user authentication, and method for controlling service function chain by using the same | |
JP2005151025A (en) | Extended relay system and relaying apparatus | |
WO2014084716A2 (en) | A method for creating virtual links in a wireless mesh network | |
CN109391517B (en) | Method for monitoring data traffic in an overlay network | |
WO2018068768A1 (en) | Broadband service control method and apparatus |