KR20170005747A - 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템 - Google Patents

제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템 Download PDF

Info

Publication number
KR20170005747A
KR20170005747A KR1020150169008A KR20150169008A KR20170005747A KR 20170005747 A KR20170005747 A KR 20170005747A KR 1020150169008 A KR1020150169008 A KR 1020150169008A KR 20150169008 A KR20150169008 A KR 20150169008A KR 20170005747 A KR20170005747 A KR 20170005747A
Authority
KR
South Korea
Prior art keywords
authentication
tagging
packet
gateway
layer
Prior art date
Application number
KR1020150169008A
Other languages
English (en)
Other versions
KR102076121B1 (ko
Inventor
이정욱
김우태
이문상
이세희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20170005747A publication Critical patent/KR20170005747A/ko
Application granted granted Critical
Publication of KR102076121B1 publication Critical patent/KR102076121B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 장치는 사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부 및 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성하는 인증키 생성부를 포함하고, 인증키 생성부는 인증 게이트웨이로 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고, 인증 게이트웨이로부터 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고, 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고, 가상 댁내 장치에 의해 사용자 단말이 아이피 주소를 할당받도록 구성된다.

Description

제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템{DEVICE AND SYSTEM FOR PROVIDING L2 NETWORK SERVICE}
본 발명은 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템에 관한 것이다.
홈 게이트웨이(Home Gateway)란, 홈 네트워크와 외부 통신 서비스 간에 상호 접속 또는 중계하는 장치를 말한다. 홈 게이트웨이는 상위 계층에 미들웨어 기술을 부가함으로써, 가정에서 사용자에게 다양한 멀티미디어 서비스를 제공할 수 있다. 또한, 홈 게이트웨이는 웹 서버, 멀티미디어 서버, 홈 자동화 서버 등의 각종 서버 기능을 통합하여 홈 서버로서의 복합 기능을 수행하기도 한다.
이러한 홈 게이트웨이와 관련하여, 선행기술인 한국공개특허 제 2009-0060700호는 네트워크 프로토콜 기반의 소비전력 절감형 홈 게이트웨이 및 그 제어 방법에 대해 개시하고 있다.
최근의 홈 게이트웨이는 자동으로 IP 할당을 위한 DHCP 및 NAT 기능, 패킷 필터링을 위한 방화벽 기능 등 OSI 7 계층의 제 3 계층(L3)의 주요 네트워크 기능을 포함하고 있다. 그러나 홈 게이트웨이에 다양한 기능이 탑재되면서, 잦은 고장 발생의 원인이 되고 있다.
종래의 댁내 홈 게이트웨이의 L3 기반의 액세스 네트워크에서 라우팅 등의 네트워크 기능을 제거하여, 액세스 네트워크를 L2로 단순하게 구성할 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공하고자 한다. 홈 게이트웨이의 네트워크 기능을 가상화시킴으로써, 홈 게이트웨이에서 발생되는 고장 원인을 제거하고, 관리 및 운영비용을 절감할 수 있는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공하고자 한다. 또한, 신규 네트워크 서비스의 적용 시, 홈 게이트웨이의 소프트웨어 업그레이드 또는 홈 게이트웨이의 교체 없이, 가상화 환경에서 신규 네트워크 서비스를 적용시킬 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공하고자 한다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 수단으로서, 본 발명의 일 실시예는, 사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부 및 상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하는 인증키 생성부를 포함하고, 상기 인증키 생성부는 인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고, 상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고, 상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고, 상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것인 제 2 계층 기반 네트워크 장치를 제공할 수 있다.
또한, 본 발명의 다른 실시예는, 제 2 계층 기반 네트워크 장치 및 인증 게이트웨이를 포함하고, 상기 제 2 계층 기반 네트워크 장치는 사용자 단말로부터 패킷을 수신하고, 상기 패킷에 이너 태깅 및 아우터 태깅을 수행하고, 상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하고, 인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고, 상기 인증 게이트웨이는 상기 가입자 인증키에 기초하여 인증 서버로 상기 인증 요청 정보를 전달하고, 상기 인증 서버부터 인증 결과를 수신하고, 상기 제 2 계층 기반 네트워크 장치로 상기 인증 결과를 전달하고, 상기 제 2 계층 기반 네트워크 장치는 상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고, 상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것인 제 2 계층 기반 네트워크 시스템을 제공할 수 있다.
또한, 본 발명의 또 다른 실시예는, 사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부, 상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 세션키를 생성하는 세션키 생성부를 포함하고, 상기 세션키 생성부는 인증 게이트웨이를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이로 상기 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송하고, 상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고, 상기 인증 결과에 기초하여 상기 사용자 단말로 아이피 주소를 할당하도록 구성되는 것인 제 2 계층 기반 네트워크 장치를 제공할 수 있다.
상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 종래의 댁내 홈 게이트웨이의 L3 기반의 액세스 네트워크에서 라우팅 등의 네트워크 기능을 제거하여, 액세스 네트워크를 L2로 단순하게 구성할 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공할 수 있다. 홈 게이트웨이의 네트워크 기능을 가상화시킴으로써, 홈 게이트웨이에서 발생되는 고장 원인을 제거하고, 관리 및 운영비용을 절감할 수 있는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공할 수 있다. 또한, 신규 네트워크 서비스의 적용 시, 홈 게이트웨이의 소프트웨어 업그레이드 또는 홈 게이트웨이의 교체 없이, 가상화 환경에서 신규 네트워크 서비스를 적용시킬 수 있도록 하는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다.
도 5는 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다.
도 6은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다.
도 7은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다.
본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.
이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템의 구성도이다. 도 1을 참조하면, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140), 광대역 게이트웨이(미도시) 및 인증 서버(150)를 포함할 수 있다. 도 1에 도시된 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140), 광대역 게이트웨이(미도시) 및 인증 서버(150)는 제 2 계층 기반 네트워크 시스템(1)에 의하여 제어될 수 있는 구성요소들을 예시적으로 도시한 것이다.
도 1의 제 2 계층 기반 네트워크 시스템(1)의 각 구성요소들은 일반적으로 네트워크(network)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 제 2 계층 기반 네트워크 장치(120)는 네트워크를 통해 사용자 단말(110) 및 인증 게이트웨이(140)와 동시에 또는 시간 간격을 두고 연결될 수 있다.
네트워크는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예는, Wi-Fi, 블루투스(Bluetooth), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 3G, 4G, 5G, LTE 등이 포함되나 이에 한정되지는 않는다.
OSI(Open System Interconnection) 7 계층이란, 개방화된 데이터 통신 환경에서 사용하는 계층적 구현 모델의 표준으로, 물리 계층의 제 1 계층, 데이터 링크 계층의 제 2 계층, 네트워크 계층의 제 3 계층, 전송 계층의 제 4 계층, 세션 계층의 제 5 계층, 표현 계층의 제 6 계층 및 응용 계층의 제 7 계층을 포함할 수 있다. 여기서, 제 2 계층은 하나의 지국에서 다른 지국으로 오류 없는 데이터 전달 기능을 수행하며, 제 2 계층에 해당하는 장치로는 브릿지, 스위치 등을 포함할 수 있다. 제 3 계층은 다중 네트워크 링크를 통해 패킷의 발신지 대 목적지 전달 기능을 수행하며, 제 3 계층에 해당하는 장치로는 라우터, L3 스위치 등을 포함할 수 있다.
일 실시예에서, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140) 및 인증 서버(150)를 포함할 수 있다. 여기서, 제 2 계층 기반 네트워크 시스템(1)은 제 2 계층에 액세스 스위치(Access Switch), 애그리게이션 스위치(Aggregation Switch), BNG(Broadband Network Gateway)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 가상 댁내 장치(130), 인증 게이트웨이(140), 인증 서버(150)를 제 3 계층으로 설정할 수 있다.
사용자 단말(110)은 인터넷 접속을 하기 위한 장치로서, 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다. 또한, 사용자 단말(110)은 제 2 계층 기반 네트워크 장치(120)를 통해 가상 댁내 장치(130)로부터 아이피 주소를 할당받을 수 있다.
이러한 사용자 단말(110)의 일 예는 IPTV(Internet Protocol Television), 스마트 TV(Smart TV) 및 커넥티드 TV(Connected TV) 등과 같이 인터넷 회선을 이용하는 모든 종류의 TV장치를 포함할 수 있다. 또한, 사용자 단말(110)은 데스크톱(desktop), 노트북(notebook), 넷북(Netbook), 울트라북(UltraBook), 서브노트북(SubNotebook), 데스크노트(DeskNote), UMPC(Ultra-Mobile PC) 등과 같은 모든 종류의 PC를 포함할 수 있다. 또한, 사용자 단말(110)은 PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet), 3G, 4G, 5G 단말, 스마트폰(smart phone), 태블릿 PC, 노트북과 같은 무선 통신 장치일 수 있다.
홈 게이트웨이(미도시)는 사용자 단말(110)을 인터넷에 접속시키기 위한 장치로, 사용자 단말(110)로부터 패킷을 수신하여 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다. 여기서, 홈 게이트웨이(미도시)는 제 2 계층 기반의 브릿지 기능만을 수행하며, 홈 게이트웨이(미도시)의 하단에 위치한 사용자 단말(110)에서 발생하는 모든 트래픽을 제 2 계층 기반 네트워크 장치(120)로 포워딩할 수 있다. 이를 통해, 홈 게이트웨이(미도시)는 제 3 계층에 해당하는 네트워크 기능을 제거함으로써, 패킷 분석에 대한 CPU 부하를 최소화할 수 있고, 라우팅, 방화벽 기능 등을 제거한 제 2 계층 기반의 브릿지 기능만을 수행함으로써, 종단간에 투명성을 제공할 수 있다.
제 2 계층 기반 네트워크 장치(120)는 액세스 스위치(Access Switch), 애그리게이션 스위치(Aggregation Switch) 및 BNG(Broadband Network Gateway)를 포함할 수 있다. 액세스 스위치는 액세스 구간에서 사용자 단말(110)로 연결해 주는 포트를 구비한 스위치를 의미하며, 액세스 스위치에 해당하는 장치로는 GES(Gigabit Ethernet Switch) 등을 포함할 수 있다. 애그리게이션 스위치는 액세스 구간의 트래픽을 집선하는 스위치로, 트래픽을 수집하여 BNG로 연결하는 기능을 수행하며, 애그리게이션 스위치에 해당하는 장치로는 OLT(Optical Line Terminal), 메트로 이더넷 스위치 등을 포함할 수 있다. BNG는 광대역 게이트웨이로서, 가입자의 인터넷 접속에 대한 인증을 하기 위한 게이트웨이 장치의 역할을 하며, BNG에 해당하는 장치로는 서비스 엣지 라우터(Service Edge Router) 등을 포함할 수 있다. BNG는 사용자 단말(110)의 가입자 프로파일을 관리하고 제어하기 위한 엣지(Edge) 네트워크의 종단에 위치하여, 사용자 단말(110)의 접속 세션을 관리하고, 사용자의 프로파일에 따라 가상화된 CPE 또는 코어 네트워크에 접속을 위한 라우팅을 처리할 수 있다.
제 2 계층 기반 네트워크 장치(120)는 브릿지 역할을 하는 홈 게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 패킷에 이너 태깅 및 아우터 태깅을 수행할 수 있다. 예를 들어, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다.
제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있으며, 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다. 이 때, 가입자 인증키로 구별되는 가입자의 인증 세션이 존재하는 경우, 제 2 계층 기반 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 패킷을 가상 댁내 장치(130)로 전송할 수 있다. 예를 들어, 제 2 계층 기반 네트워크 장치(120)는 인증이 성공한 가입자에 대해 가입자 세션을 관리하여, 이후의 접속에 대해 재인증을 수행하지 않고, 동일한 가입자의 모든 단말에 대해 동일한 인증 권한으로 접속을 허용하며, 인증이 완료된 가입자 세션에 대해 제 2 계층 기반 네트워크 장치(120)는 가입자의 댁내에서 발생하는 트래픽에 대해 가상 댁내 장치(130)로 패킷을 전송할 수 있다.
제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)로부터 전달받은 인증 결과에 기초하여 가상 댁내 장치(130)로 아이피 할당 요청을 전송할 수 있다.
가상 댁내 장치(130)는 CG-NAT(Carrier-Grade NAT), DHCP, Firewall 등 네트워크 기능을 가상화된 환경에서 제공할 수 있다. NAT는 공인 IP를 사설 IP로 변환시켜 주는 기능을 하며, 가입자를 구분하여 사용자 단말(110)에 대해 사설 IP를 부여하는 기능을 수행할 수 있다. 여기서, 가상 댁내 장치(130)는 CG-NAT 기능을 탑재하여, 단순히 NAT 기능 외에도 NAT Traverse 기능과 ALG 기능을 처리할 수 있다. NAT-Traverse 기능은 사용자 단말(110)이 댁내에서는 사설 IP를 사용하고, 외부 네트워크와의 통신을 할 경우 공인 IP를 사용하는데, 이를 NAT 세션 관리를 통해 NAT 변환 규칙을 관리하고, 패킷의 통과 허용 여부를 결정할 수 있다. ALG(Application Level Gateway)는 애플리케이션의 수준에서 패킷의 페이로드(payload)를 분석하고, IP나 포트 등의 사설 IP에 대한 주소 변환을 수행할 수 있다.
가상 댁내 장치(130)는 제 2 계층 기반 네트워크 장치(120)로부터 수신한 아이피 할당 요청에 기초하여 사용자 단말(110)에 대해 아이피 주소를 할당할 수 있다.
인증 게이트웨이(140)는 가입자 인증키에 기초하여 인증 서버(150)로 인증 요청 정보를 전달할 수 있다. 이 때, 인증 게이트웨이(140)는 단말 별로 가입자 정보(예를 들어, 회선 계약 아이디)와 인증키 리스트를 매칭하여 관리하고, 인증키 리스트에 기초하여 인증 요청 정보를 분석할 수 있다. 또한, 인증 게이트웨이(140)는 인증키 리스트로부터 가입자 인증키와 매칭되는 가입자 정보를 추출하고, 추출된 가입자 정보 또는 추출된 가입자 정보가 포함된 인증 요청 정보를 인증 서버(150)로 전송할 수 있다. 즉, 인증 게이트웨이(140)가 가입자 정보와 인증키 리스트를 매칭하여 관리함으로써, 인증 서버(150)는 제 2 네트워크의 구조와 상관 없이 기존 시스템과 동일하게 가입자의 회선 계약 아이디를 기준으로 가입자의 프로파일을 관리할 수 있다. 따라서, 본원 발명은 인증 서버(150)에 대한 시스템의 변경 없이 제 2 네트워크 기반의 인증을 수용할 수 있다.
인증 게이트웨이(140)는 인증 서버(150)로부터 인증 결과를 수신하고, 제 2 계층 기반 네트워크 장치(120)로 인증 결과를 전달할 수 있다.
인증 서버(150)는 사용자 또는 가입자의 인증 프로파일을 관리하고, 인증을 처리하는 기능을 할 수 있다. 예를 들어, 인증 서버(150)는 인증 게이트웨이(140)로부터 인증 요청 정보를 수신하여, 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고, 인증 결과를 인증 게이트웨이(140)로 전송할 수 있다.
다른 실시예에서, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 홈 게이트웨이(미도시), 제 2 계층 기반 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140), 광대역 게이트웨이(BNG, 미도시) 및 인증 서버(150)를 포함할 수 있다. 여기서, 제 2 계층 기반 네트워크 시스템(1)은 액세스 스위치, 애그리게이션 스위치, 가상 댁내 장치(130)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 인증 게이트웨이(140), 광대역 게이트웨이(BNG, 미도시) 및 인증 서버(150)를 제 3 계층으로 설정할 수 있다. 이를 통해, 제 2 계층 기반 네트워크 시스템(1)은 가상 댁내 장치(130)를 광대역 게이트웨이의 하단으로 이동시킴으로써 액세스 기반의 분산형의 형태로 구성되고, 일 실시예에서 발생되는 트래픽 중앙 집중 문제를 감소시킬 수 있다.
사용자 단말(110)은 인터넷 접속을 하기 위한 장치로서, 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다. 또한, 사용자 단말(110)은 제 2 계층 기반 네트워크 장치(120)를 통해 제 2 계층 기반 네트워크 장치(120)로부터 아이피 주소를 할당받을 수 있다.
홈 게이트웨이(미도시)는 사용자 단말(110)로부터 패킷을 수신하여 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다.
제 2 계층 기반 네트워크 장치(120)는 브릿지 역할을 하는 홈 게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 패킷에 이너 태깅 및 아우터 태깅을 수행할 수 있다. 예를 들어, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식으로, 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다.
제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 생서된 가입자 세션키를 이용하여 NAT 및 DHCP 세션을 관리할 수 있다.
제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이(미도시)로 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 광대역 게이트웨이(미도시)로 인증 요청 정보를 전송할 수 있다.
광대역 게이트웨이(미도시)는 제 2 계층 기반 네트워크 장치(120)로부터 인증 요청 정보를 수신하여, 인증 요청 정보에 기초하여 가입자 인증키를 생성하고, 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다.
인증 게이트웨이(140)는 가입자 인증키에 기초하여 인증 서버(150)로 인증 요청 정보를 전달할 수 있다. 이 때, 인증 게이트웨이(140)는 단말 별로 가입자 정보와 인증키 리스트를 매칭하여 관리하고, 인증키 리스트에 기초하여 제 2 계층 기반 네트워크 장치(120)로부터 수신한 인증 요청 정보를 분석할 수 있다. 또한, 인증 게이트웨이(140)는 인증키 리스트로부터 가입자 인증키와 매칭되는 가입자 정보를 추출하고, 추출된 가입자 정보 또는 추출된 가입자 정보가 포함된 인증 요청 정보를 인증 서버(150)로 전송할 수 있다.
인증 서버(150)는 인증 게이트웨이(140)로부터 가입자 인증키가 포함된 인증 요청 정보를 수신하여, 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고, 인증 결과를 인증 게이트웨이(140)로 전송할 수 있다.
인증 게이트웨이(140)는 인증 서버(150)로부터 인증 요청 정보에 기초하여 처리된 인증 결과를 수신하여, 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다.
제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)로부터 인증 결과를 수신하고, 인증 결과에 기초하여 사용자 단말(110)로 아이피 주소를 할당할 수 있다.
도 2는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다. 도 2를 참조하면, 제 2 계층 기반 네트워크 장치(120)는 태깅부(210) 및 인증키 생성부(220)를 포함할 수 있다.
태깅부(210)는 브릿지 역할을 하는 홈게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다.
태깅부(210)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다. 예를 들어, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 제 2 계층은 이더넷 프레임으로, 목적지 MAC 주소, 출발지 MAC 주소, 이더넷 타입, VLAN ID 등을 포함하며, 이더넷 타입은 802.1Q 방식 및 QinQ 방식이 존재하는데, 이 두 개가 중첩된 경우, 안쪽을 이너 태그, 바깥쪽을 아우터 태그라고 하며, 이너 태깅에서 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅에서 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다.
인증키 생성부(220)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있다. 이 때, 인증키 생성부(220)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 인증키를 생성할 수 있다. 예를 들어, 인증키 생성부(220)는 액세스 스위치 및 애그리게이션 스위치에서 각각 설정할 수 있는 태그 개수의 조합에 의해 가입자 인증키를 생성하여 가입자 수를 관리할 수 있다.
인증키 생성부(220)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 인증 게이트웨이(140)로 인증 요청 정보를 전송할 수 있다. 예를 들어, 인증키 생성부(220)는 사용자 단말(110)이 댁내에서 최초 접속에 해당하는 경우, RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 이용하여 인증 게이트웨이(140)로 인증 요청 정보를 전송할 수 있다. 다른 예를 들어, 패킷이 DHCP 패킷이 아닌 경우, 인증키 생성부(220)는 가상 댁내 장치(130)로 패킷을 전송할 수 있다. 가상 댁내 장치(130)에 의해 패킷이 코어 네트워크로 전달되면, 코어 네트워크에 의해 처리된 응답 패킷이 가상 댁내 장치(130)를 통해 사용자 단말(110)로 전달될 수 있다.
인증키 생성부(220)는 인증 게이트웨이(140)로 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송할 수 있다. 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다.
인증키 생성부(220)는 인증 게이트웨이(140)로부터 전송된 인증 요청 정보에 기초하여 인증 서버(150)에 의해 처리된 인증결과를 수신할 수 있다. 이 때, 인증키 생성부(220)는 인증 결과에 기초하여, 가상 댁내 장치(130)로 아이피 할당 요청을 전송하고, 가상 댁내 장치(130)에 의해 사용자 단말(110)이 아이피 주소를 할당받을 수 있도록 할 수 있다.
즉, 인증키 생성부(220)는 인증이 성공된 사용자에 대해 가입자 세션을 관리하고, 이후의 접속에 대해서는 재인증을 수행하지 않으며, 동일한 사용자의 모든 단말에 대해 동일한 인증 권한으로 접속을 허용할 수 있다. 또한, 인증이 완료된 가입자 세션에 대해, 인증키 생성부(220)는 댁내에서 발생하는 트래픽에 대해 가상 댁내 장치(130)로 패킷을 전송할 수 있다.
도 3은 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다. 도 3을 참조하면, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 제 2 계층 네트워크 장치(120), 가상 댁내 장치(130), 인증 게이트웨이(140) 및 인증 서버(150)를 포함할 수 있다.
여기서, 제 2 계층 기반 네트워크 시스템(1)은 제 2 계층에 액세스 스위치(Access Switch), 애그리게이션 스위치(Aggregation Switch), BNG(Broadband Network Gateway)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 가상 댁내 장치(130), 인증 게이트웨이(140), 인증 서버(150)를 제 3 계층으로 설정할 수 있다.
사용자 단말(110)은 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다(S301).
제 2 계층 기반 네트워크 장치(120)는 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다(S302). 여기서, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 이 때, 상기 S302는 제 2 계층 기반 네트워크 장치(120)에 포함된 액세스 스위치 및 애그리게이션 스위치에 의해 수행될 수 있다.
제 2 계층 기반 네트워크 장치(120)는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고(S303), 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있다(S304). 이 때, 상기 S303 내지 S304는 제 2 계층 기반 네트워크 장치(120)에 포함된 BNG에 의해 수행될 수 있다.
또한, 제 2 계층 기반 네트워크 장치(120)는 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다(S305).
인증 게이트웨이(140)는 가입자 인증키에 기초하여 분석된 인증 요청 정보를 인증 서버(150)로 전달할 수 있다(S306).
인증 서버(150)가 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고(S307), 인증 결과를 인증 게이트웨이(140)로 전송하면(S308), 인증 게이트웨이(140)는 인증 결과를 제 2 계층 기반 네트워크 장치(120)로 전달할 수 있다(S309).
제 2 계층 기반 네트워크 장치(120)는 인증 결과에 기초하여 아이피 할당 요청을 가상 댁내 장치(130)로 요청하면(S310), 가상 댁내 장치(130)가 사용자 단말(110)에 아이피 주소를 할당할 수 있다(S311). 이 때, 상기 S310은 제 2 계층 기반 네트워크 장치(120)에 포함된 BNG에 의해 수행될 수 있다. 즉, BNG는 인증 결과에 기초하여 가상 댁내 장치(130)로 아이피 할당을 요청할 수 있다.
즉, 도 3을 통해 도시된 일 실시예와 관련하여, 제 2 계층 기반 네트워크 장치(120)에 포함된 BNG는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고, 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성하고, 인증 결과에 기초하여 가상 댁내 장치로 아이피 주소 할당을 요청할 수 있다.
상술한 설명에서, 단계 S301 내지 S311은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.
도 4는 본 발명의 일 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다. 도 4에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 도 1에 도시된 실시예에 따른 제 2 계층 기반 네트워크 시스템(1)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 내지 도 3에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법에도 적용된다.
단계 S410에서 제 2 계층 기반 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다. 여기서, 패킷은 브릿지 역할을 하는 홈게이트웨이를 통해 사용자 단말(110)로부터 전달될 수 있으며, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 단계 S420에서 제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 인증키를 생성할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 인증키를 생성할 수 있다.
도 4에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)로 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하는 단계, 인증 게이트웨이(140)로부터 전송된 인증 요청 정보에 기초하여 인증 서버(150)에 의해 처리된 인증 결과를 수신하는 단계 및 인증 결과에 기초하여 가상 댁내 장치(130)로 아이피 할당 요청을 전송하는 단계를 더 포함할 수 있다. 여기서, 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다. 이러한 과정을 통해, 사용자 단말(110)은 가상 댁내 장치(130)에 의해 아이피 주소를 할당받을 수 있게 된다.
도 4에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 인증 게이트웨이(140)로 인증 요청 정보를 전송하는 단계를 더 포함할 수 있다. 이 때, 패킷이 DHCP 패킷이 아닌 경우, 제 2 계층 기반 네트워크 장치(120)가 가상 댁내 장치(130)로 패킷을 전송하면, 가상 댁내 장치(130)에 의해 패킷이 코어 네트워크로 전달되고, 코어 네트워크에 의해 처리된 응답 패킷이 가상 댁내 장치를 통해 사용자 단말(110)로 전달될 수 있다.
상술한 설명에서, 단계 S410 내지 S420은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.
도 5는 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치의 구성도이다. 도 5를 참조하면, 제 2 계층 기반 네트워크 장치(120)는 태깅부(510) 및 세션키 생성부(520)를 포함할 수 있다.
태깅부(510)는 브릿지 역할을 하는 홈 게이트웨이(미도시)를 통해 사용자 단말(110)로부터 패킷을 수신할 수 있다.
태깅부(510)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다. 여기서, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 제 2 계층은 이더넷 프레임으로, 목적지 MAC 주소, 출발지 MAC 주소, 이더넷 타입, VLAN ID 등을 포함하며, 이더넷 타입은 802.1Q 방식 및 QinQ 방식이 존재하는데, 이 두 개가 중첩된 경우, 안쪽을 이너 태그, 바깥쪽을 아우터 태그라고 하며, 이너 태깅에서 패킷의 이더넷 헤더 타입은 '0x8100'으로 지정될 수 있으며, 아우터 태깅에서 패킷의 이더넷 헤더 타입은 '0x9100' 또는 '0x88a8' 등으로 지정될 수 있다.
세션키 생성부(520)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다. 이 때, 세션키 생성부(520)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 세션키를 생성할 수 있다.
세션키 생성부(520)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 광대역 게이트웨이(미도시)로 가입자 세션키가 포함된 인증 요청 정보를 전송할 수 있다. 예를 들어, 패킷이 DHCP 패킷에 해당하는 경우, 세션키 생성부(520)는 광대역 게이트웨이(미도시)로 인증 요청 정보를 전송할 수 있다. 이 때, 광대역 게이트웨이(미도시)에 의해 인증 요청 정보에 기초하여 가입자 인증키가 생성되고, 생성된 가입자 인증키가 포함된 인증 요청 정보는 인증 게이트웨이(140)로 전송될 수 있다. 여기서, 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다.
다른 예를 들어, 패킷이 DHCP 패킷이 아닌 경우, 세션키 생성부(520)는 광대역 게이트웨이(미도시)로 패킷을 전송할 수 있다. 이 때, 광대역 게이트웨이(미도시)에 의해 인증 세션이 확인되어 패킷이 코어 네트워크로 전달되고, 코어 네트워크에 의해 처리된 응답 패킷이 광대역 게이트웨이(미도시) 및 제 2 계층 기반 네트워크 장치(120)를 통해 사용자 단말(110)로 전달될 수 있다.
도 6은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 시스템에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 과정을 도시한 신호 흐름도이다. 도 6을 참조하면, 제 2 계층 기반 네트워크 시스템(1)은 사용자 단말(110), 제 2 계층 네트워크 장치(120), 인증 게이트웨이(140), 인증 서버(150), 및 광대역 게이트웨이(160)를 포함할 수 있다.
여기서, 제 2 계층 기반 네트워크 시스템(1)은 액세스 스위치, 애그리게이션 스위치, 가상 댁내 장치(130)를 포함하는 제 2 계층 기반 네트워크 장치(120)를 제 2 계층으로, 인증 게이트웨이(140), 광대역 게이트웨이(BNG, 미도시) 및 인증 서버(150)를 제 3 계층으로 설정할 수 있다.
사용자 단말(110)은 패킷을 제 2 계층 기반 네트워크 장치(120)로 전송할 수 있다(S601).
제 2 계층 기반 네트워크 장치(120)는 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행할 수 있다(S602). 여기서, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 이 때, 상기 S602는 제 2 계층 기반 네트워크 장치(120)에 포함된 액세스 스위치 및 애그리게이션 스위치에 의해 수행될 수 있다.
제 2 계층 기반 네트워크 장치(120)는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고(S603), 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다(S604). 이 때, 상기 S603 내지 S604는 제 2 계층 기반 네트워크 장치(120)에 포함된 가상 댁내 장치에 의해 수행될 수 있다.
이 때, 제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이(160)로 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송할 수 있다(S605).
광대역 게이트웨이(160)는 인증 요청 정보에 기초하여 가입자 인증키를 생성하고(S606), 생성된 가입자 인증키가 포함된 인증 요청 정보를 인증 게이트웨이(140)로 전송할 수 있다(S607).
인증 게이트웨이(140)는 가입자 인증키에 기초하여 분석된 인증 요청 정보를 인증 서버(150)로 전달할 수 있다(S608). 인증 서버(150)가 가입자의 인증 프로파일에 기초하여 인증 요청 정보에 대한 인증을 처리하고(S609), 인증 결과를 인증 게이트웨이(140)로 전송하면(S610), 인증 게이트웨이(140)가 인증 결과를 제 2 계층 기반 네트워크 장치(120)로 전달할 수 있다(S611).
제 2 계층 기반 네트워크 장치(120)는 인증 결과에 기초하여 사용자 단말(110)로 아이피 주소를 할당할 수 있다(S612). 이 때, 상기 S612는 제 2 계층 기반 네트워크 장치(120)에 포함된 가상 댁내 장치에 의해 수행될 수 있다.
즉, 도 6을 통해 도시된 일 실시예와 관련하여, 제 2 계층 기반 네트워크 장치(120)에 포함된 가상 댁내 장치는 수신한 패킷이 DHCP 패킷인지의 여부를 확인하고, 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성하고, 인증 결과에 기초하여 사용자 단말로 아이피 주소를 할당 수 있다. 따라서, 도 3의 제 2 계층 기반 네트워크 장치와 도 6의 제 2 계층 기반 네트워크 장치는 BNG 또는 가상 댁내 장치의 포함 여부에 따라 구별될 수 있다.
상술한 설명에서, 단계 S601 내지 S612는 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.
도 7은 본 발명의 다른 실시예에 따른 제 2 계층 기반 네트워크 장치에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법의 순서도이다. 도 7에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 도 1에 도시된 실시예에 따른 제 2 계층 기반 네트워크 시스템(1)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1 내지 도 6에 도시된 실시예에 따른 제 2 계층 기반 네트워크 장치(120)에 의해 수행되는 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법에도 적용된다.
단계 S710에서 제 2 계층 기반 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수생할 수 있다. 여기서, 패킷은 브릿지 역할을 하는 홈게이트웨이를 통해 사용자 단말(110)로부터 전달될 수 있으며, 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행될 수 있다. 단계 S720에서 제 2 계층 기반 네트워크 장치(120)는 이너 태깅 및 아우터 태깅에 기초하여 가입자 세션키를 생성할 수 있다. 이 때, 제 2 계층 기반 네트워크 장치(120)는 CVLAN 태그 방식 및 SVLAN 태그 방식을 이용하여 패킷의 헤더에 설정되는 태그의 조합에 의해 가입자 세션키를 생성할 수 있다.
도 7에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 인증 게이트웨이(140)를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이로 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송하는 단계 및 인증 게이트웨이(140)로부터 전송된 인증 요청 정보에 기초하여 인증 서버(150)에 의해 처리된 인증 결과를 수신한 단계를 더 포함할 수 있다. 여기서, 인증 요청 정보는 인증 게이트웨이(140)에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것일 수 있다. 이러한 과정을 통해, 사용자 단말(110)은 가상 댁내 장치(130)에 의해 아이피 주소를 할당받을 수 있게 된다.
도 7에서는 도시되지 않았으나, 제 2 계층 기반 네트워크 장치(120)는 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 광대역 게이트웨이로 인증 요청 정보를 전송할 수 있다. 예를 들어, 패킷이 DHCP 패킷에 해당하는 경우, 제 2 계층 기반 네트워크 장치(120)는 광대역 게이트웨이로 인증 요청 정보를 전송하고, 광대역 게이트웨이에 의해 인증 요청 정보에 기초하여 가입자 인증키가 생성되고, 생성된 가입자 인증키가 포함된 인증 요청 정보는 인증 서버(150)로 전송될 수 있다. 다른 예를 들어, 패킷이 DHCP 패킷이 아닌 경우, 제 2 계층 기반 네트워크 장치(120)는 광대역 게이트웨이로 패킷을 전송하고, 광대역 게이트웨이에 의해 인증 세션이 확인되어 패킷이 코어 네트워크로 전달되고, 코어 네트워크에 의해 처리된 응답 패킷이 광대역 게이트웨이 및 제 2 계층 기반 네트워크 장치를 통해 사용자 단말(110)로 전달될 수 있다.
상술한 설명에서, 단계 S710 내지 S720은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.
도 1 내지 도 7을 통해 설명된 제 2 계층 기반 네트워크 장치(120)에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 또한, 도 1 내지 도 7을 통해 설명된 제 2 계층 기반 네트워크 장치(120)에서 제 2 계층을 기반으로 네트워크 서비스를 제공하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
110: 사용자 단말
120: 제 2 계층 기반 네트워크 장치
130: 가상 댁내 장치
140: 인증 게이트웨이
150: 인증 서버
210: 태깅부
220: 인증키 생성부
510: 태깅부
520: 세션키 생성부

Claims (18)

  1. 제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 장치에 있어서,
    사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부; 및
    상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하는 인증키 생성부
    를 포함하고,
    상기 인증키 생성부는 인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고,
    상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고,
    상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고,
    상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  2. 제 1 항에 있어서,
    상기 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 상기 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  3. 제 2 항에 있어서,
    상기 인증키 생성부는 상기 CVLAN 태그 방식 및 상기 SVLAN 태그 방식을 이용하여 상기 패킷의 헤더에 설정되는 태그의 조합에 의해 상기 가입자 인증키를 생성하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  4. 제 1 항에 있어서,
    상기 인증키 생성부는 상기 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 상기 인증 게이트웨이로 상기 인증 요청 정보를 전송하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  5. 제 4 항에 있어서,
    상기 인증키 생성부는 상기 패킷이 DHCP 패킷이 아닌 경우, 상기 가상 댁내 장치로 상기 패킷을 전송하고,
    상기 가상 댁내 장치에 의해 상기 패킷이 코어 네트워크로 전달되고,
    상기 코어 네트워크에 의해 처리된 응답 패킷이 상기 가상 댁내 장치를 통해 상기 사용자 단말로 전달되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  6. 제 1 항에 있어서,
    상기 인증 요청 정보는 상기 인증 게이트웨이에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것인, 제 2 계층 기반 네트워크 장치.
  7. 제 1 항에 있어서,
    상기 패킷은 브릿지 역할을 하는 홈게이트웨이를 통해 상기 사용자 단말로부터 상기 태깅부로 전달되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  8. 제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 시스템에 있어서,
    제 2 계층 기반 네트워크 장치; 및
    인증 게이트웨이
    를 포함하고,
    상기 제 2 계층 기반 네트워크 장치는,
    사용자 단말로부터 패킷을 수신하고,
    상기 패킷에 이너 태깅 및 아우터 태깅을 수행하고,
    상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 인증키를 생성하고,
    인증 게이트웨이로 상기 생성된 가입자 인증키가 포함된 인증 요청 정보를 전송하고,
    상기 인증 게이트웨이는,
    상기 가입자 인증키에 기초하여 인증 서버로 상기 인증 요청 정보를 전달하고, 상기 인증 서버부터 인증 결과를 수신하고, 상기 제 2 계층 기반 네트워크 장치로 상기 인증 결과를 전달하고,
    상기 제 2 계층 기반 네트워크 장치는 상기 인증 결과에 기초하여 가상 댁내 장치로 아이피 할당 요청을 전송하고,
    상기 가상 댁내 장치에 의해 상기 사용자 단말이 아이피 주소를 할당받도록 구성되는 것인, 제 2 계층 기반 네트워크 시스템.
  9. 제 8 항에 있어서,
    상기 인증 게이트웨이는 단말 별로 가입자 정보와 인증키 리스트를 매칭하여 관리하고, 상기 인증키 리스트에 기초하여 상기 인증 요청 정보를 분석하도록 구성되는 것인, 제 2 계층 기반 네트워크 시스템.
  10. 제 9 항에 있어서,
    상기 인증 게이트웨이는 상기 인증키 리스트로부터 상기 가입자 인증키와 매칭되는 가입자 정보를 추출하고, 상기 추출된 가입자 정보를 상기 인증 서버로 전송하도록 구성되는 것인, 제 2 계층 기반 네트워크 시스템.
  11. 제 2 계층(L2)을 기반으로 네트워크 서비스를 제공하는 장치에 있어서,
    사용자 단말로부터 수신한 패킷에 대해 이너 태깅 및 아우터 태깅을 수행하는 태깅부;
    상기 이너 태깅 및 상기 아우터 태깅에 기초하여 가입자 세션키를 생성하는 세션키 생성부
    를 포함하고,
    상기 세션키 생성부는 인증 게이트웨이를 통해 인증 절차를 수행하기 위해 광대역 게이트웨이로 상기 생성된 가입자 세션키가 포함된 인증 요청 정보를 전송하고,
    상기 인증 게이트웨이로부터 상기 전송된 인증 요청 정보에 기초하여 인증 서버에 의해 처리된 인증 결과를 수신하고,
    상기 인증 결과에 기초하여 상기 사용자 단말로 아이피 주소를 할당하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  12. 제 11 항에 있어서,
    상기 이너 태깅은 CVLAN(Customer Virtual Local Network) 태그 방식에 의해 수행되고, 상기 아우터 태깅은 SVLAN(Service Virtual Local Network) 태그 방식에 의해 수행되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  13. 제 12 항에 있어서,
    상기 세션키 생성부는 상기 CVLAN 태그 방식 및 상기 SVLAN 태그 방식을 이용하여 상기 패킷의 헤더에 설정되는 태그의 조합에 의해 상기 가입자 세션키를 생성하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  14. 제 11 항에 있어서,
    상기 세션키 생성부는 상기 패킷이 DHCP 패킷에 해당하는지 여부에 기초하여 상기 광대역 게이트웨이로 상기 인증 요청 정보를 전송하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  15. 제 14 항에 있어서,
    상기 세션키 생성부는, 상기 패킷이 DHCP 패킷에 해당하는 경우, 상기 광대역 게이트웨이로 상기 인증 요청 정보를 전송하고,
    상기 광대역 게이트웨이에 의해 상기 인증 요청 정보에 기초하여 가입자 인증키가 생성되고,
    상기 생성된 가입자 인증키가 포함된 인증 요청 정보는 상기 광대역 게이트웨이로부터 상기 인증 게이트웨이로 전송되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  16. 제 14 항에 있어서,
    상기 세션키 생성부는, 상기 패킷이 DHCP 패킷이 아닌 경우, 상기 광대역 게이트웨이로 상기 패킷을 전송하고,
    상기 광대역 게이트웨이에 의해 인증 세션이 확인되어 상기 패킷이 코어 네트워크로 전달되고,
    상기 코어 네트워크에 의해 처리된 응답 패킷이 상기 광대역 게이트웨이 및 상기 제 2 계층 기반 네트워크 장치를 통해 상기 사용자 단말로 전달되도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
  17. 제 11 항에 있어서,
    상기 인증 요청 정보는 상기 인증 게이트웨이에 의해 가입자 정보와 매칭되어 저장된 인증키 리스트에 기초하여 분석되는 것인, 제 2 계층 기반 네트워크 장치.
  18. 제 11 항에 있어서,
    상기 태깅부는 브릿지 역할을 하는 홈게이트웨이를 통해 상기 사용자 단말로부터 상기 패킷을 수신하도록 구성되는 것인, 제 2 계층 기반 네트워크 장치.
KR1020150169008A 2015-07-06 2015-11-30 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템 KR102076121B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20150096165 2015-07-06
KR1020150096165 2015-07-06

Publications (2)

Publication Number Publication Date
KR20170005747A true KR20170005747A (ko) 2017-01-16
KR102076121B1 KR102076121B1 (ko) 2020-02-11

Family

ID=57993479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150169008A KR102076121B1 (ko) 2015-07-06 2015-11-30 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템

Country Status (1)

Country Link
KR (1) KR102076121B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8619788B1 (en) * 2010-06-14 2013-12-31 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks
US8688552B1 (en) * 2011-05-25 2014-04-01 Juniper Networks, Inc. Performing separate accounting and billing for each customer of a shared customer device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8619788B1 (en) * 2010-06-14 2013-12-31 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks
US8688552B1 (en) * 2011-05-25 2014-04-01 Juniper Networks, Inc. Performing separate accounting and billing for each customer of a shared customer device

Also Published As

Publication number Publication date
KR102076121B1 (ko) 2020-02-11

Similar Documents

Publication Publication Date Title
US7035281B1 (en) Wireless provisioning device
US10454880B2 (en) IP packet processing method and apparatus, and network system
CN109923838A (zh) 桥接远程孤岛的弹性vpn
ES2758779T3 (es) Sistema de red de banda ancha y procedimiento de implementación del mismo
JP7296993B2 (ja) 通信方法及び通信装置
WO2016210193A1 (en) Media session
US20150006737A1 (en) Method, apparatus, and system for providing network traversing service
AU2014261983B2 (en) Communication managing method and communication system
US20070192506A1 (en) Roaming of clients between gateways of clusters of a wireless mesh network
KR101319418B1 (ko) 정보 제공 방법, 홈 게이트웨이 및 홈 네트워크 시스템
WO2016210202A1 (en) Media relay server
KR102117434B1 (ko) 전기통신 네트워크와 적어도 하나의 사용자 장비 간의 적어도 하나의 통신 교환의 개선된 핸들링을 위한 방법, 전기통신 네트워크, 사용자 장비, 시스템, 프로그램 및 컴퓨터 프로그램 제품
WO2017166936A1 (zh) 一种实现地址管理的方法、装置、aaa服务器及sdn控制器
US20230232301A1 (en) Methods and apparatus for supporting quality of service in a system including a cable modem termination system and wireless communications link
CN112422397B (zh) 业务转发方法及通信装置
WO2016180020A1 (zh) 一种报文处理方法、设备和系统
WO2003103210A2 (en) Maintaining routing information in a passive optical network
CN113938353A (zh) 室内机与室外机之间的多pdn实现方法及存储介质
JP6532975B1 (ja) Ipネットワーク接続システム、ipネットワーク接続装置、ipネットワーク接続方法、及びプログラム
KR102076121B1 (ko) 제 2 계층을 기반으로 네트워크 서비스를 제공하는 장치 및 시스템
EP3402168A1 (en) A communication system and a communication method
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
JP5624112B2 (ja) 無線ローカルエリアネットワークにおけるサービス品質制御
US11792718B2 (en) Authentication chaining in micro branch deployment
CN117097517A (zh) 融合网络的认证鉴权网络系统及融合网络的用户认证方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant