KR20180097113A - System, method and user terminal for private network access control using untrusted access network - Google Patents

System, method and user terminal for private network access control using untrusted access network Download PDF

Info

Publication number
KR20180097113A
KR20180097113A KR1020170082623A KR20170082623A KR20180097113A KR 20180097113 A KR20180097113 A KR 20180097113A KR 1020170082623 A KR1020170082623 A KR 1020170082623A KR 20170082623 A KR20170082623 A KR 20170082623A KR 20180097113 A KR20180097113 A KR 20180097113A
Authority
KR
South Korea
Prior art keywords
authentication
network
terminal
access
dedicated
Prior art date
Application number
KR1020170082623A
Other languages
Korean (ko)
Other versions
KR102048469B1 (en
Inventor
이진근
김일용
우상우
이은동
이종경
정치욱
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20180097113A publication Critical patent/KR20180097113A/en
Application granted granted Critical
Publication of KR102048469B1 publication Critical patent/KR102048469B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/42Security arrangements using identity modules using virtual identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention provides a system, a method, and a user terminal for controlling an exclusive network access using a non-trusted access network. The system comprises: an authentication server which stores a connection profile of a user terminal and performs user authentication on the user terminal; and an evolved packet data gateway (ePDG) which requests generation of a communications session between the user terminal and an exclusive network to a packet data network gateway (PGW) by using a connection profile of the user terminal received from the user terminal or the authentication server, when receiving a request for accessing the exclusive network of the user terminal through the non-trusted access network. The non-trusted access network includes a communications network which does not require a universal subscriber identity module (USIM) when accessing a network, or a communications network of a business operator that is not a communications service provider providing the exclusive network.

Description

비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말{SYSTEM, METHOD AND USER TERMINAL FOR PRIVATE NETWORK ACCESS CONTROL USING UNTRUSTED ACCESS NETWORK}SYSTEM, METHOD AND USER TERMINAL FOR PRIVATE NETWORK ACCESS CONTROL USING UNTRUSTED ACCESS NETWORK,

본 발명은 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말에 관한 것이다.The present invention relates to a dedicated network access control system, method, and user terminal using an untrusted access network.

종래에 원격지에서 전용망에 접속하는 방법으로, 가상 전용망(Virtual Private Network, VPN) 기술과 전용망 LTE(Long Term Evolution) 기술이 있다. Conventionally, as a method of accessing a private network from a remote place, there is a virtual private network (VPN) technology and a dedicated network LTE (Long Term Evolution) technology.

가상 전용망(VPN) 기술은 물리적으로 서로 다른 IP 네트워크를 상위 레벨 프로토콜, 예를들면, SSL(Secure Sockets Layer), IPsec(Internet Protocol Security) 등을 사용해 원격지의 네트워크 접속이 가능하게 하는 기술이다. 가상 전용망(VPN) 기술은 VPN 서버를 구성하여 VPN 클라이언트로 접속하며, 접속 구간에 트래픽 터널을 형성한 후 원격지에서 전용망으로 접속할 수 있으며, 통상 인터넷 연결성(LAN, WiFi)이 완료되어야 한다.Virtual Private Network (VPN) technology is a technology that enables physically different IP networks to be connected to a remote network by using high-level protocols such as SSL (Secure Sockets Layer) and IPsec (Internet Protocol Security). The virtual private network (VPN) technology can be configured as a VPN server to connect to a VPN client, establish a traffic tunnel in a connection section, connect to a private network from a remote location, and normally have an internet connection (LAN, WiFi).

전용망 LTE 기술은 LTE망에서 APN(Access Point Name)과 같은 구분자를 이용해 전용망으로 접속할 수 있게 해주는 기술이다. 이 기술은 LTE 통신 시스템의 전용 패킷 데이터 네트워크 게이트웨이(Packet data network Gateway, PGW)를 통하여 사용자 단말이 전용망에 접속할 수 있게 한다. 따라서, 이 기술은 LTE 접속시 사용하는 APN을 전용 사설망의 APN, 예를들면, abccompany.lte.com로 설정 또는 선택하여 사용하며, LTE 접속 및 가입자 모듈(Universal Subscriber Identity Module, USIM)을 통해 사업자 인증이 가능해야 한다.The dedicated network LTE technology is a technology that enables access to the LTE network using a dedicated network such as APN (Access Point Name). This technology enables a user terminal to access a private network through a dedicated packet data network gateway (PGW) of the LTE communication system. Therefore, this technology uses an APN used for LTE access by setting or selecting APN of a dedicated private network, for example, abccompany.lte.com, and using an LTE access and a Universal Subscriber Identity Module (USIM) Authentication must be possible.

그런데, 전용망 가입자가 기업 가입자 또는 그룹 가입자일 경우, 기업 또는 그룹에 속하는 구성원 단말 중에서 전용망 서비스를 제공하는 통신 사업자에 가입한 단말 이외는 해당 전용망 서비스를 이용할 수 없다. However, when the dedicated network subscriber is a corporate subscriber or a group subscriber, among the member terminals belonging to the enterprise or the group, the dedicated network service can not be used except for the terminal subscribing to the communication service providing the dedicated network service.

따라서, 전용망 가입자 입장에서는 전용망 서비스를 제공하는 통신 사업자에 가입하지 않은 구성원을 위해서 통신사 별로 전용망 서비스를 신청하거나 또는 일반 VPN(Virtual Private Network) 서비스를 운용해야 하는 부담이 있다. Therefore, in the case of a subscriber of a dedicated network, there is a burden to apply for a dedicated network service or a general VPN (Virtual Private Network) service for each communication service provider for members who do not subscribe to a service provider providing a dedicated network service.

일반적으로 기업의 임직원이 원격지에서 업무, 예를들면, 메일, DB 접속, 사내서버 업무 등을 하기 위해서는 노트북, 패드(Pad) 등의 업무 단말이 해당 기업의 인트라넷 또는 사내망으로 접속이 가능해야 한다. 기업은 통상적으로 VPN 서버를 설치 유지 관리하며, 임직원에게는 VPN 클라이언트를 배포하여 사용하도록 한다. In general, in order for an employee of a company to perform a task at a remote place, for example, a mail, a DB access, or an intra-company server, a business terminal such as a notebook computer or a pad must be able to access the intranet or the company network of the corresponding company . Businesses typically install and maintain a VPN server, and distribute VPN clients to employees.

그런데, VPN은 계위상 인터넷 레이어 위에서 제공이 되는데, VPN 자체가 인터넷 접속 환경은 제공하지 못함은 물론, 회사는 별도의 VPN 서버를 두어 운용, 계정관리, VPN 클라이언트 배포 관리를 지속적으로 해야 하는 부담을 가진다.However, the VPN is provided on the layer of the topology Internet, and the VPN itself can not provide the Internet connection environment, and the company needs to have a separate VPN server to continuously manage the operation, account management and distribution of the VPN client. I have.

한편, 스마트폰과 같은 모바일 단말의 경우, 단말의 해당 가입자 모듈(USIM)을 공급한 통신 사업자만 그 가입자 모듈(USIM)을 인증할 수 있다. 즉, 전용망 가입자가 A 통신사의 전용망 서비스에 가입한 경우, 타 통신사 모바일 단말은 전용망 서비스를 제공하는 통신 사업자가 제공하는 중계 단말, 예를들면, LTE 에그(Egg)나 LTE 라우터(Router)를 경유해야 A 통신사의 전용망에 접속할 수 있다. 따라서, 전용망 접속을 위해서는 별도의 중계 단말을 항상 소지해야 하므로, 이동성 및 사용성의 제약으로 인해 사용자에게 불편함을 초래한다.On the other hand, in the case of a mobile terminal such as a smart phone, only a communication provider that supplies a corresponding subscriber module (USIM) of the terminal can authenticate the subscriber module (USIM). That is, when the subscriber of the dedicated network subscribes to the dedicated network service of the A communication company, the other mobile terminal of the communication company transmits a relay terminal provided by the communication service provider providing the dedicated network service, for example, via an LTE Egg or an LTE router It is possible to connect to the private network of A carrier. Therefore, it is inconvenient for the user due to restriction of mobility and usability because the relay terminal must be always possessed in order to access the private network.

또한, LTE 모뎀이나 또는 가입자 모듈(USIM)이 구비되지 않는 PC 나 태블릿(Tablet) PC의 경우, 와이파이(WiFi)망을 통해 전용망에 접속하려면 별도의 VPN 서버가 필요하다. In addition, in the case of a PC or a tablet PC in which an LTE modem or a subscriber module (USIM) is not provided, a separate VPN server is required to access a private network through a WiFi network.

또한, 로밍 상황에서 와이파이(WiFi)망을 통해 전용망으로 접속할 수 없으므로, 이를 위하여 방문망의 LTE 접속망을 이용해야 하는데, 사용 요금이 비싸다는 문제가 있다. In addition, since it is not possible to connect to a private network through a WiFi network in a roaming situation, the LTE access network of the visited network must be used for this purpose.

이처럼, 전용망 가입자가 기업 또는 그룹 가입자일 경우, 전용망 접속 단말을 특정 통신사 단말로 제한하거나 가입자 모듈(USIM)이 구비된 모바일 단말로 그 사용을 제한하지 않으려면, 사용자들이 중계 단말을 상시 구비하거나 또는 기업 가입자가 VPN 서버를 구축해야 한다.In this case, when the dedicated network subscriber is an enterprise or a group subscriber, in order to restrict the dedicated network access terminal to a specific communication terminal or restrict the use thereof to a mobile terminal equipped with a subscriber module (USIM) The enterprise subscriber must establish a VPN server.

본 발명이 해결하고자 하는 과제는 가입자 모듈(USIM)을 사용하지 않거나 또는 가입자 모듈(USIM)을 인증할 수 없는 비신뢰 접속망(Untrusted Access Network)을 통하여 접속하는 사용자 단말을 특정 사업자의 전용망에 접속할 수 있도록 제어하는 시스템, 방법 및 사용자 단말을 제공하는 것이다.A problem to be solved by the present invention is to connect a user terminal that does not use a subscriber module (USIM) or accesses through an untrusted access network that can not authenticate a subscriber module (USIM) to a dedicated network of a specific provider , And a user terminal.

본 발명이 해결하고자 하는 다른 과제는 LTE 전용망 서비스에 가입된 휴대 단말을 이용한 인증 절차를 수행한 후, 비신뢰 접속망에만 접속 가능한 단말을 가상 전용망(VPN) 서버 없이 전용망에 접속할 수 있도록 제어하는 시스템, 방법 및 사용자 단말을 제공하는 것이다.Another object of the present invention is to provide a system for controlling a terminal capable of accessing only an untrusted access network to be connected to a private network without a virtual private network (VPN) server after performing an authentication procedure using a mobile terminal subscribed to the LTE network, Method and a user terminal.

본 발명의 하나의 특징에 따르면, 전용망 접속 제어 시스템은 사용자 단말의 접속 프로파일을 저장하고, 상기 사용자 단말에 대하여 사용자 인증을 수행하는 인증 서버, 그리고 비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하면, 상기 사용자 단말 또는 상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)를 포함하고, 상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함한다.According to one aspect of the present invention, a dedicated network access control system includes an authentication server for storing a connection profile of a user terminal, performing authentication of the user with respect to the user terminal, And transmits an evolved packet requesting a packet data network gateway (PGW) to create a communication session between the user terminal and the dedicated network using the connection profile of the user terminal or the user terminal received from the authentication server And a data gateway (ePDG). The untrusted access network includes a communication network that does not require a subscriber identity module (USIM) when the network is connected, Lt; / RTI > network.

상기 접속 프로파일은, 가상 IMSI(International Mobile Subscriber Identify), 가상 MSDN(Mobile Subcriber Directory Number), 가상 IMEI(International Mobile Equipment Identity) 중에서 적어도 하나를 포함하는 단말 식별 정보, 전용망을 구분하는 단위인 APN(Access Point Name) 및 가입자 인증키를 포함할 수 있다.The connection profile includes terminal identification information including at least one of a virtual IMSI (International Mobile Subscriber Identity), a virtual MSDN (Mobile Subscribers Directory Number), and a virtual IMEI (International Mobile Equipment Identity) Point Name) and a subscriber authentication key.

상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 인증 서버와 연동하여 상기 접속 프로파일을 토대로 상기 사용자 단말이 상기 전용망에 접속할 수 있는 권한이 있는지 확인하는 접속 프로파일 인증을 수행하고, 상기 접속 프로파일 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청할 수 있다.Wherein the evolved packet data gateway (ePDG) performs connection profile authentication to check whether the user terminal has the right to access the dedicated network based on the connection profile in cooperation with the authentication server, , It may request the packet data network gateway (PGW) to generate the communication session.

상기 인증 서버는, 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 사용자 단말의 전용망 접속 요청을 수신하기 전에, 상기 사용자 단말과 별개의 인증 단말로부터 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하고, 상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 요청이 수신되면, 상기 접속 프로파일 인증과 함께 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며, 상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 인증 서버가 상기 인증들에 모두 성공하면, 상기 통신 세션 생성을 요청하고, 상기 전용망 접속 요청은, 이동통신망을 통하여 전달되고, 상기 전용망 접속 요청은, 비신뢰 접속망을 통하여 전달될 수 있다.Wherein the authentication server receives a dedicated network connection authentication request from an authentication terminal different from the user terminal before the evolved packet data gateway (ePDG) receives the access network access request of the user terminal, (OTP) is authenticated together with the connection profile authentication when a dedicated network connection request is received from the evolved packet data gateway (ePDG), and transmits the One Time Password (OTP) Wherein the evolved packet data gateway (ePDG) requests creation of the communication session when the authentication server succeeds in all the authentications, and the dedicated network connection request is transmitted through a mobile communication network, And may be delivered over an untrusted access network.

상기 인증 서버는, 상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 사용자 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송할 수 있다.The authentication server verifies the access authorization of the user terminal for the dedicated network connection authentication request based on the telephone number of the authentication terminal, and can transmit the one-time password (OTP) .

상기 인증 서버는, 상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행할 수 있다.The authentication server may separately perform an operation of transmitting a private network connection authentication response to the authentication terminal and an operation of transmitting a message including the one-time password (OTP) to the authentication terminal.

상기 인증 서버는, 상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 인증 요청을 수신하여, 상기 인증 요청에 포함된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션으로부터 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말로 전송하고, 상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 접속 프로파일이 포함된 전용망 접속 요청을 상기 사용자 단말로부터 수신할 수 있다.Wherein the authentication server receives an authentication request from a dedicated application executed in the user terminal, sends an OTP (OTP) to a telephone number included in the authentication request, and transmits the OTP received from the dedicated application, And transmits the connection profile of the user terminal to the user terminal when one OTP is matched, and the evolved packet data gateway (ePDG) can receive a dedicated network connection request including the connection profile from the user terminal.

상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 ID 및 패스워드를 포함하는 전용망 접속 요청을 수신하면, 상기 인증 서버에게 상기 ID 및 패스워드를 전달하여 상기 인증 서버로부터 상기 ID 및 패스워드를 통해 확인된 상기 사용자 단말의 접속 프로파일을 수신할 수 있다.Wherein the evolved packet data gateway (ePDG) receives the dedicated network connection request including the ID and the password from the dedicated application executed in the user terminal, transfers the ID and the password to the authentication server, And a connection profile of the user terminal identified through the password.

상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말의 접속 이력과 함께 로컬 캐시에 저장하고, 상기 전용망 접속 요청이 수신되면, 상기 로컬 캐시에 저장된 접속 프로파일이 없을 경우에, 상기 인증 서버에게 요청하여 수신할 수 있다.Wherein the evolved packet data gateway (ePDG) stores the connection profile of the user terminal received from the authentication server in the local cache together with the connection history of the user terminal, and upon receiving the dedicated network connection request, If there is no stored connection profile, the authentication server can be requested and received.

상기 인증 서버는, 상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 등록 요청이 수신되면, 상기 등록 요청에 포함된 상기 ID 및 패스워드를 등록하고, 상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 수신된 ID 및 패스워드가 기 등록된 정보인 경우, 상기 사용자 단말의 접속 프로파일을 전송할 수 있다.The authentication server registers the ID and the password included in the registration request when a registration request is received from a dedicated application executed in the user terminal, and the ID and the password received from the evolved packet data gateway (ePDG) In the case of pre-registered information, the connection profile of the user terminal can be transmitted.

상기 인증 서버는, 상기 ID 및 패스워드를 통해 확인된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 진화된 패킷 데이터 게이트웨이(ePDG)로 전송하고, 상기 전용 어플리케이션으로부터 수신된 전화번호로 OTP를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 전용 어플리케이션으로부터 등록 요청된 ID 및 패스워드를 등록할 수 있다.The authentication server sends an OTP (One Time Password) to the telephone number confirmed through the ID and the password, and when the OTP is requested by the dedicated application and the received OTP is identical, Profile to the evolved packet data gateway (ePDG), sending an OTP to the telephone number received from the dedicated application, requesting the dedicated application and, if the received OTP matches the received OTP, The application can register the ID and password requested by the application.

상기 인증 서버는, 상기 사용자 단말의 ID 별로 OTP 인증 여부를 나타내는 OTP 인증 옵션 정보, 패스워드 사용 여부를 나타내는 패스워드 사용 정보, OTP 및 패스워드를 저장하는 OTP/패스워드 정보 및 가입자 인증키를 저장하는 인증 프로파일을 생성하여 관리하고, 상기 인증 프로파일을 이용하여 상기 사용자 단말에 대한 사용자 인증을 수행할 수 있다.The authentication server includes OTP authentication option information indicating whether the OTP authentication is performed for each ID of the user terminal, OTP / password information for storing OTP and password, and an authentication profile for storing a subscriber authentication key, And performs user authentication on the user terminal using the authentication profile.

본 발명의 다른 특징에 따르면, 전용망 접속 제어 방법은 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)가 사용자 단말의 전용망 접속을 제어하는 방법으로서, 비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하는 단계, 그리고 상기 전용망 접속 요청에 포함된 접속 프로파일 또는 인증 서버로부터 획득한 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 단계를 포함하고, 상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하고, 상기 접속 프로파일은, 상기 사용자 단말을 식별할 수 있는 정보 및 상기 사용자 단말이 네트워크 접속시 필요한 정보를 포함한다.According to another aspect of the present invention, a dedicated network access control method is a method in which an evolved packet data gateway (ePDG) controls access to a private network of a user terminal, And requesting a packet data network gateway (PGW) to create a communication session between the user terminal and the private network by using the connection profile included in the dedicated network connection request or the connection profile acquired from the authentication server Wherein the untrusted access network includes a communication network not requiring a subscriber module (Universal Subscriber Identity Module) (USIM) or a communication network of a third party other than a communication service provider providing the dedicated network, The profile can identify the user terminal And information necessary for the user terminal to access the network.

상기 요청하는 단계는, 상기 전용망 접속 요청에 상기 접속 프로파일이 포함되어 있는 경우, 상기 인증 서버와 연동하여 상기 접속 프로파일을 토대로 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 인증을 수행하는 단계, 그리고 상기 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는 단계를 포함할 수 있다.Wherein the requesting step includes the steps of: authenticating, if the access network access request includes the access profile, whether the user terminal has the access network access right based on the access profile in cooperation with the authentication server; , It may include requesting the packet data network gateway (PGW) to generate the communication session.

상기 요청하는 단계는, 상기 전용망 접속 요청에 ID 및 패스워드가 포함된 경우, 상기 ID 및 패스워드를 상기 인증 서버로 전송하는 단계, 상기 ID 및 패스워드로부터 확인된 접속 프로파일을 상기 인증 서버로부터 수신하는 단계, 수신한 접속 프로파일을 토대로 상기 인증 서버와 연동하여 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 인증을 수행하는 단계, 그리고 상기 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는 단계를 포함할 수 있다.Wherein the requesting step comprises the steps of transmitting the ID and the password to the authentication server when the ID and the password are included in the dedicated network access request, receiving the connection profile confirmed from the ID and the password from the authentication server, The method comprising the steps of: authenticating whether the user terminal is authorized to access the dedicated network based on the received connection profile, in association with the authentication server; and if the authentication is successful, requesting the packet data network gateway (PGW) .

상기 요청하는 단계 이후, 상기 전용망에 통신 세션이 연결된 사용자 단말로부터 위치 정보 업데이트를수신하는 단계, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 업데이트된 위치 정보를 포함하는 베어러 변경 메시지를 전송하여 베어러 변경 응답 메시지를 수신하는 단계, 그리고 상기 사용자 단말에게 위치 정보 업데이트 완료를 전송하는 단계를 더 포함할 수 있다.Receiving a location information update from a user terminal to which a communication session is connected to the dedicated network, transmitting a bearer change message including updated location information to the packet data network gateway (PGW) , And transmitting the location information update completion to the user terminal.

상기 수신하는 단계 이전에, 상기 사용자 단말과 별개의 인증 단말로부터 수신되는 전용망 접속 인증 요청에 따라 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하는 단계를 더 포함하고, 상기 요청하는 단계는, 상기 인증 서버가 상기 접속 프로파일을 이용한 인증과, 상기 일회용 패스워드가 유효한지 여부를 판단하는 인증을 모두 성공하면, 상기 통신 세션 생성을 요청할 수 있다.Further comprising the step of transmitting a One Time Password (OTP) to the authentication terminal according to a dedicated network connection authentication request received from an authentication terminal separate from the user terminal, prior to the step of receiving, Can request the communication session creation if the authentication server succeeds in both authentication using the connection profile and authentication for determining whether the one-time password is valid.

본 발명의 또 다른 특징에 따르면, 사용자 단말은 전용망을 제공하는 통신 사업자가 비신뢰하는 비신뢰 접속망에 접속하는 통신 장치, 그리고 상기 전용망에 접속하기 위한 접속 요청 신호를 생성하고, 상기 접속 요청 신호를 상기 통신 장치를 통해 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)에게 전송하는 프로세서를 포함하고, 상기 접속 요청 신호는 인증 서버로부터 수신한 접속 프로파일 또는 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 인증 서버로부터 상기 접속 프로파일을 획득할 수 있는 인증 정보를 포함한다.According to another aspect of the present invention, there is provided a communication system in which a user terminal accesses an untrusted access network in which a service provider providing a private network is untrusted, and a communication apparatus that generates a connection request signal for accessing the dedicated network, (EPDG) through the communication device, wherein the connection request signal includes a connection profile received from the authentication server or the evolved packet data gateway (ePDG) And authentication information capable of obtaining the connection profile from the authentication server.

상기 프로세서는 상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 응답을 수신하여 상기 전용망에 연결된 이후, 감시 타이머를 구동하여 상기 감시 타이머가 만료하면, 현재 위치 정보를 포함하는 위치 정보 업데이트를 상기 진화된 패킷 데이터 게이트웨이(ePDG)에게 전송할 수 있다.Wherein the processor receives a leased network connection response from the evolved packet data gateway (ePDG) and connects to the leased network to drive a watchdog timer, and upon expiration of the watchdog timer, updates the location information update, including current location information, To the packet data gateway (ePDG).

상기 비신뢰 접속망은, 망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함할 수 있다.The untrusted access network may include a communication network in which a subscriber module (Universal Subscriber Identity Module) is not required when a network is connected, or a communication network of a third party other than a communication service provider providing the private network.

본 발명의 또 다른 특징에 따르면, 전용망 접속 제어 시스템은, 불특정 다수에게 제공되는 공공(Public) 와이파이(WiFi) AP(Access Point)와 연결되어, 상기 공공 와이파이 AP를 통하여 업무 단말로부터 수신한 임시 계정 정보가 유효한지 판단하는 접속 인증을 수행하고, 상기 임시 계정 정보가 유효하면, 상기 업무 단말의 상기 공공 와이파이 AP 접속을 허가하는 와이파이 인증 서버, 그리고 이동통신망을 통하여 수신한 인증 단말의 요청에 따라 상기 임시 계정 정보를 상기 와이파이 인증 서버로부터 획득하여, 상기 인증 단말로 전송하는 전용망 접속 인증 서버를 포함하고, 상기 업무 단말로부터 수신한 임시 계정 정보는, 상기 인증 단말이 수신한 상기 임시 계정 정보를 상기 업무 단말이 사용자로부터 입력받은 것일 수 있다.According to another aspect of the present invention, a dedicated network access control system is connected to a public WiFi access point (AP) provided to an unspecified number of users, and a temporary account received from a business terminal through the public WiFi AP A Wi-Fi authentication server which permits access to the public Wi-Fi AP of the business terminal when the temporary account information is valid, and a Wi-Fi authentication server which, in response to a request from the authentication terminal received via the mobile communication network, Wherein the temporary account information received from the business terminal includes at least one of the temporary account information received by the authentication terminal and the temporary account information received from the business terminal, The terminal may be received from the user.

상기 전용망 접속 인증 서버는, 가입자의 업무 단말 정보 및 인증 단말 정보를 포함하는 가입자 프로파일을 저장하고, 상기 이동통신망을 통하여 상기 인증 단말로부터 상기 업무 단말의 공공 와이파이 AP 접속 요청이 수신되면, 상기 가입자 프로파일을 토대로 상기 업무 단말의 사용 권한을 확인하고, 상기 사용 권한이 있다고 판단되면, 상기 와이파이 인증 서버에게 상기 임시 계정을 요청할 수 있다.Wherein the dedicated network connection authentication server stores a subscriber profile including subscriber's business terminal information and authentication terminal information and if a public Wi-Fi AP connection request of the business terminal is received from the authentication terminal through the mobile communication network, , And may request the WiFi authentication server for the temporary account when it is determined that the usage right is available.

상기 전용망 접속 인증 서버는, 상기 공공 와이파이 AP 접속 요청에 대한 응답 전송과, 상기 임시 계정 정보의 전송을 별개로 수행하고, 통신 사업자의 메시지 서비스를 이용하여 상기 임시 계정 정보를 상기 인증 단말로 전송할 수 있다.The dedicated network connection authentication server may perform transmission of the response to the public WiFi AP connection request and transmission of the temporary account information separately and may transmit the temporary account information to the authentication terminal using the message service of the communication provider have.

상기 업무 단말의 공공 와이파이 AP 접속 요청은, 상기 인증 단말의 전용 어플리케이션 메뉴 중에서, 상기 업무 단말의 인터넷 사용이 선택되는 이벤트에 의하여 트리거되고, 상기 전용 어플리케이션 메뉴는, 상기 인증 단말을 통한 전용망 접속 온오프 설정 메뉴와, 상기 업무 단말의 인터넷 사용 및 전용망 접속을 포함하는 업무 단말 설정 메뉴로 구분될 수 있다.The public Wi-Fi AP connection request of the business terminal is triggered by an event in which the use of the business terminal is selected from the dedicated application menu of the authentication terminal, and the dedicated application menu includes a dedicated network connection on- A setting menu, and a business terminal setting menu including the Internet use of the business terminal and the access to the private network.

상기 업무 단말로부터 전용망 접속 요청을 수신하고, 전용망으로 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(ePDG)를 더 포함하고, 상기 전용망 접속 인증 서버는, 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 전용망 접속 요청을 수신하기 전에, 상기 인증 단말로부터 상기 이동통신망을 통하여 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 상기 일회용 패스워드(OTP)를 전송하고, 상기 패킷 데이터 게이트웨이(ePDG)와 연동하여 상기 업무 단말의 접속 프로파일을 통한 인증 및 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며, 상기 진화된 패킷 데이터 게이트웨이(ePDG)는, 상기 전용망 접속 인증 서버가 인증들에 모두 성공하는 경우, 상기 전용망으로 통신 세션 생성을 요청할 수 있다.Further comprising an evolved packet data gateway (ePDG) for receiving a leased line connection request from the business terminal and requesting a communication network to create a communication session, wherein the leased network connection authentication server further comprises: an evolved packet data gateway (ePDG) The method of claim 1, further comprising the steps of: receiving a dedicated network connection authentication request from the authentication terminal through the mobile communication network and receiving the one-time password (OTP) Wherein the evolved packet data gateway (ePDG) performs authentication through the connection profile of the business terminal and authentication to determine whether the one-time password (OTP) is valid, And may request a communication session creation with the dedicated network.

상기 전용망 접속 인증 서버는, 상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 업무 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송할 수 있다.Wherein the dedicated network connection authentication server verifies a dedicated network access right of the business terminal with respect to the dedicated network connection authentication request based on the telephone number of the authentication terminal and transmits the one-time password (OTP) .

상기 전용망 접속 인증 서버는, 상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행할 수 있다. The dedicated network connection authentication server may separately perform an operation of transmitting a private network connection authentication response to the authentication terminal and an operation of transmitting a message including the one-time password (OTP) to the authentication terminal.

상기 전용망 접속 인증 서버는, 상기 인증 단말과 HTTP 방식으로 요청 및 응답을 수신할 수 있다.The dedicated network connection authentication server can receive a request and a response from the authentication terminal through the HTTP method.

본 발명의 실시예에 따르면, 가입자 모듈(USIM)을 사용하지 않거나 또는 가입자 모듈(USIM)을 인증할 수 없는 비신뢰 접속망을 통해 접속한 사용자 단말을 특정 모바일 사업자망(Public Land Mobile Network, PLMN)내 전용망으로 접속할 수 있도록 한다.According to an embodiment of the present invention, a user terminal connected through a non-trusted access network that does not use a subscriber module (USIM) or can not authenticate a subscriber module (USIM) is called a Public Land Mobile Network (PLMN) So that it can access the private network.

또한, 전용 어플리케이션을 설치하면, 별도의 VPN 장치 없이도 전용망에 접속이 가능하다.In addition, when a dedicated application is installed, it is possible to access a private network without a separate VPN device.

또한, 가입자 모듈(USIM)이 없어 전용망 LTE 직접 사용이 불가한 와이파이(WiFi only) 업무용 단말, 예를들면, 노트북, PAD 등을 가상 전용망(VPN) 서버없이도 휴대 단말의 전용망 LTE 인증을 이용하여 원격지에서 전용망으로 접속할 수 있게 한다.In addition, a WiFi-only business terminal, for example, a laptop or a PAD, which can not directly use a dedicated network LTE because there is no subscriber module (USIM), can be remotely controlled using a private network LTE authentication of a mobile terminal, To the private network.

또한, 전용망 LTE와 연계한 솔루션으로, 업무 단말의 인증 및 이력 관리 체계를 전용망 LTE와 일원화하여 통합 이력관리로 효율성을 높일 수 있다.In addition, it is a solution that is linked with the dedicated network LTE, and the authentication and history management system of the business terminal can be unified with the dedicated network LTE, and the efficiency can be improved by the integrated history management.

도 1은 본 발명의 한 실시예에 따른 비신뢰 접속망을 이용한 전용망 접속 제어 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 접속 프로파일 획득 과정을 나타낸 흐름도이다.
도 3은 본 발명의 한 실시예에 따른 전용망 접속 과정을 나타낸 흐름도이다.
도 4는 본 발명의 실시예에 따른 ID/PW 등록 과정을 나타낸 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 전용망 접속 과정을 나타낸 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 패킷 데이터 네트워크 네트워크 게이트웨이(Packet data network Gateway, PGW)의 동작을 나타낸 흐름도이다.
도 7은 본 발명의 한 실시예에 따른 사용자 단말의 위치 업데이트 과정을 나타낸 흐름도이다.
도 8은 본 발명의 실시예에 따른 인증 프로파일을 나타낸 구성이다.
도 9는 본 발명의 실시예에 따른 접속 프로파일을 나타낸 구성이다.
도 10은 본 발명의 다른 실시예에 따른 비신뢰 접속망을 이용한 전용망 접속 제어 시스템의 구성도이다.
도 11은 도 10의 전용망 접속 인증 서버의 세부 구성을 나타낸 블록도이다.
도 12는 본 발명의 한 실시예에 따른 비신뢰 접속망에 접속하는 과정을 나타낸 흐름도이다.
도 13은 본 발명의 한 실시예에 따른 인증 단말의 화면 UI(User Interface)를 나타낸다.
도 14는 본 발명의 한 실시예에 따른 인증 단말의 메시지 수신 화면을 나타낸다.
도 15는 본 발명의 다른 실시예에 따른 전용망 접속 제어 과정을 나타낸 순서도이다.
도 16은 본 발명의 실시예에 따른 전용망 접속 화면의 구성을 나타낸다.
도 17은 본 발명의 실시예에 따른 단말의 하드웨어 블록도이다.
도 18은 본 발명의 실시예에 따른 네트워크 장치의 하드웨어 블록도이다.
1 is a configuration diagram of a dedicated network access control system using an untrusted access network according to an embodiment of the present invention.
2 is a flowchart illustrating a process of acquiring a connection profile according to an embodiment of the present invention.
3 is a flowchart illustrating a process of accessing a dedicated network according to an embodiment of the present invention.
4 is a flowchart illustrating an ID / PW registration process according to an embodiment of the present invention.
5 is a flowchart illustrating a process of accessing a dedicated network according to another embodiment of the present invention.
FIG. 6 is a flowchart illustrating an operation of a packet data network gateway (PGW) according to an embodiment of the present invention.
7 is a flowchart illustrating a process of updating a location of a user terminal according to an embodiment of the present invention.
FIG. 8 shows a configuration of an authentication profile according to an embodiment of the present invention.
9 is a diagram showing a connection profile according to an embodiment of the present invention.
10 is a configuration diagram of a dedicated network access control system using an untrusted access network according to another embodiment of the present invention.
11 is a block diagram showing the detailed configuration of the dedicated network connection authentication server of FIG.
12 is a flowchart illustrating a process of accessing an untrusted access network according to an embodiment of the present invention.
13 shows a screen UI (User Interface) of an authentication terminal according to an embodiment of the present invention.
FIG. 14 shows a message reception screen of an authentication terminal according to an embodiment of the present invention.
15 is a flowchart illustrating a process of controlling access to a dedicated network according to another embodiment of the present invention.
16 shows a configuration of a dedicated network connection screen according to an embodiment of the present invention.
17 is a hardware block diagram of a terminal according to an embodiment of the present invention.
18 is a hardware block diagram of a network device according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly explain the present invention, parts not related to the description are omitted, and like parts are denoted by similar reference numerals throughout the specification

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.

본 명세서에서 단말(Terminal)은 사용자 기기로서, 디바이스(Device), UE(User Equipment), ME(Mobile Equipment), MS(Mobile Station), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등의 용어로 언급될 수도 있고, 이동 단말, 가입자국, 휴대 가입자국, 사용자 장치 등의 전부 또는 일부의 기능을 포함할 수도 있다. In this specification, a terminal is a user equipment, a device, a user equipment (UE), a mobile equipment (ME), a mobile station (MS), a mobile terminal (MT), a subscriber station SS, a portable subscriber station (PSS), a user equipment (UE), an access terminal (AT), or the like, and may be referred to as a mobile terminal, User devices, and the like.

기지국(Base Station, BS)은 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다. A base station (BS) includes an access point (AP), a radio access station (RAS), a node B, a base transceiver station (BTS), a mobile multihop relay ) -BS, and may include all or some of the functions of the access point, the radio access station, the node B, the base transceiver station, and the MMR-BS.

본 명세서에서는 Private LTE(Long Term Evolution) 기술을 이용할 수 있다. 이러한 Private LTE 기술은 LTE 통신 시스템의 EPC(Evolved Packet Core)를 통해 PDN(Packet Data Network)들을 분리한다. Private LTE (Long Term Evolution) technology can be used in this specification. This Private LTE technology separates PDN (Packet Data Network) through EPC (Evolved Packet Core) of LTE communication system.

여기서, PDN은 공중망과 전용망을 포함한다. 전용망은 전용 네트워크, 사설망(Private Network), 인트라넷(Intranet), 전용 LTE망 이라고도 할 수 있다. 이러한 전용망은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공한다. 이때, 특정 가입자가 기업 또는 그룹 가입자일 수 있다.Here, the PDN includes a public network and a private network. The dedicated network may be referred to as a dedicated network, a private network, an intranet, or a dedicated LTE network. This dedicated network provides a mobile communication service limited to external access to a specific subscriber. At this time, the specific subscriber may be an enterprise or a group subscriber.

공용망은 공용 네트워크, 공중망(Public Network), 인터넷(Internet), 일반 LTE망이라고도 할 수 있다. 이러한 공용망은 불특정 다수를 대상으로 이동통신 서비스를 제공한다. The public network may be referred to as a public network, a public network, the Internet, or a general LTE network. This public network provides mobile communication services to an unspecified number of users.

EPC를 통해 공용망과 전용망으로 구분하여 서비스하기 위해서 접속점 이름(Access Point Name, 이하, 'APN'이라 통칭함)이 이용된다.An Access Point Name (APN) is used to distinguish between a public network and a private network through EPC.

APN은 이동통신망에서 접속하고자 하는 패킷 데이터 네트워크(Packet Date Network, 이하, 'PDN'이라 통칭함)를 식별하기 위한 정보로서, PDN ID라고도 불린다. The APN is information for identifying a packet data network (hereinafter, referred to as a PDN) to be accessed in the mobile communication network, and is also called a PDN ID.

LTE의 하이 레벨 아키텍처는 3개의 주요 구성 요소들을 포함하는데, 단말(UE), E-UTRAN(Evolved UMTS Terrestrial Radio Access Network) 및 EPC를 포함하는 것으로 설명될 수 있다. 여기서, EPS(Evolved Packet System)는 E-UTRAN 및 EPC를 지칭한다.The high-level architecture of LTE includes three main components, which can be described as including a UE, an Evolved UMTS Terrestrial Radio Access Network (E-UTRAN) and an EPC. Here, EPS (Evolved Packet System) refers to E-UTRAN and EPC.

EPC는 MME(Mobility Management Entity), SGW(Serving Gateway), PGW(Packet data network Gateway)를 포함하며, LTE 통신 시스템에서 사용되는 통신 기술, 네트워크 장치 구성 들의 개념이 본 발명의 실시예에서 참조될 수 있다.The EPC includes a Mobility Management Entity (MME), a Serving Gateway (SGW), a Packet Data Network Gateway (PGW), and the concepts of communication technology, network device configurations used in an LTE communication system can be referred to in embodiments of the present invention. have.

이제, 도면을 참고하여 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말에 대하여 설명한다.Now, a dedicated network access control system, method, and user terminal using an untrusted access network will be described with reference to the drawings.

도 1은 본 발명의 한 실시예에 따른 전용망 접속 제어 시스템의 구성도이다.1 is a configuration diagram of a dedicated network connection control system according to an embodiment of the present invention.

도 1을 참조하면, 사용자 단말1(101)은 AP(103) 및 인터넷(105)을 통해 ePDG(107) 및 인증 서버(109)와 연결된다. 1, the user terminal 1 101 is connected to the ePDG 107 and the authentication server 109 via the AP 103 and the Internet 105.

여기서, 한 실시예에 따르면, 사용자 단말1(101)은 가입자 모듈(USIM)이 구비되지 않은 단말로서, PC, 태블릿 PC, 네트워크 CCTV(Closed Circuit Television) 등과 같은 사물 인터넷(Internet of Things, IoT) 단말을 포함할 수 있다.According to one embodiment of the present invention, the user terminal 1 (101) is a terminal having no subscriber module (USIM), and is a terminal of Internet of Things (IoT) such as a PC, a tablet PC, a network CCTV And may include a terminal.

AP(Access Point)(103)는 가입자 모듈(USIM)을 사용하지 않는 비신뢰 접속망으로서, 와이파이(WiFi) AP에 해당된다. 이때, 비신뢰 접속망은 와이파이(WiFi) 외에도 유선 LAN(Local Area Network) 등을 포함할 수 있다.An access point (AP) 103 is an untrusted access network that does not use a subscriber module (USIM), and corresponds to a WiFi AP. In this case, the untrusted access network may include a wired LAN (Local Area Network), etc. in addition to a WiFi.

다른 실시예에 따르면, 사용자 단말1(101)은 가입자 모듈(USIM)이 있는 단말로서, 모바일 단말, 스마트폰 등이 될 수 있다. 이러한 사용자 단말1(101)은 와이파이(WiFi)망 등의 비신뢰 접속망을 통해 전용망에 접속하고자 하는 단말, 예를 들면 로밍 단말을 포함할 수 있다.According to another embodiment, the user terminal 101 may be a terminal with a subscriber module (USIM), a mobile terminal, a smart phone, or the like. The user terminal 1 (101) may include a terminal, for example, a roaming terminal, which intends to access a private network through a non-trusted access network such as a WiFi network.

사용자 단말2(111)는 타 사업자 가입 단말로서, 타 사업자 기지국(113), 타 사업자 코어망(115) 및 인터넷(105)을 통해 ePDG(107) 및 인증 서버(109)와 연결된다. 여기서, 타 사업자 기지국(113) 및 타 사업자 코어망(115)은 LTE 망일 수도 있고, 다른 이동통신 규격을 채용한 망일 수도 있다.The user terminal 2 111 is connected to the ePDG 107 and the authentication server 109 through another provider base station 113, another provider core network 115 and the Internet 105 as another operator subscription terminal. Here, the other base stations 113 and the other core networks 115 may be LTE networks or networks employing other mobile communication standards.

이때, 타 사업자 기지국(113) 및 타 사업자 코어망(115)은 전용망 서비스를 제공하는 통신 사업자가 아닌 다른 사업자의 네트워크 구성 요소에 해당한다. At this time, the other service provider base station 113 and the other service provider core network 115 correspond to a network component of a service provider other than a service provider providing a dedicated network service.

이런 경우, 사용자 단말2(111)는 가입자 모듈(USIM)을 탑재한 단말일 수 있지만, 이러한 가입자 모듈(USIM)을 전용망 서비스를 제공하는 자사 PGW(117)에서 인증할 수 없다. 따라서, 사용자 단말2(111)는 가입자 모듈(USIM)이 없는 단말과 동일하게 취급되고, 타 사업자 접속망은 비신뢰 접속망에 포함된다.In this case, the user terminal 2 (111) may be a terminal equipped with a subscriber module (USIM), but can not authenticate such subscriber module (USIM) in its PGW 117 providing a dedicated network service. Accordingly, the second user terminal 111 is handled in the same manner as a terminal without a subscriber module (USIM), and another provider access network is included in the untrusted access network.

이와 같이, 본 발명의 실시예에서 비신뢰 접속망은 가입자 모듈(USIM)을 사용하지 않는 통신망이거나 또는 가입자 모듈(USIM)을 인증할 수 없는 통신망을 포함한다.As such, in an embodiment of the present invention, the untrusted access network includes a network that does not use a subscriber module (USIM) or a network that can not authenticate a subscriber module (USIM).

사용자 단말(101, 111)은 IP(Internet Protocol)를 지원하는 운영 시스템(Operating System, OS), 와이파이(WiFi) 모뎀, LTE 모뎀, LAN 등 IP 기반의 통신을 가능하게 하는 하드웨어(HW)를 포함하여, 인터넷(105) 접근이 가능한 단말이다.The user terminals 101 and 111 include hardware (HW) that enables IP-based communication such as an operating system (OS) supporting an IP (Internet Protocol), a WiFi modem, an LTE modem and a LAN And is a terminal capable of accessing the Internet 105.

사용자 단말(101, 111)은 비신뢰 접속망을 경유한 전용망 접속을 위한 전용 어플리케이션을 탑재하여 실행할 수 있다. 여기서, 전용 어플리케이션은 스마트폰 앱, PC의 클라이언트 프로그램, 사물 인터넷(IoT) 단말을 위한 응용 프로그램의 형태로 구현될 수 있다.The user terminals 101 and 111 can be implemented by mounting a dedicated application for accessing a private network via an untrusted access network. Here, the dedicated application can be implemented in the form of an application program for a smartphone application, a client program of a PC, and an Internet (IoT) terminal.

전용 어플리케이션은 사용자 단말(101, 111)의 운영 시스템(Operating System, OS) 레벨에서 지원하는 IP(Internet Protocol)를 사용하여 인증 서버(109)와 HTTP(HyperText Transfer Protocol) 통신이 가능하다. 또는 이에 준하는 TCP/IP(Transmission Control Protocol/Internet Protocol) 통신이 가능하다. Dedicated applications are capable of HTTP (HyperText Transfer Protocol) communication with the authentication server 109 using an IP (Internet Protocol) supported at the operating system (OS) level of the user terminals 101 and 111. Or equivalent TCP / IP (Transmission Control Protocol / Internet Protocol) communication is possible.

또한, 전용 어플리케이션은 IKEv2(Internet Key Exchange Protocol) 및 IPSec(Internet Protocol Security) 터널을 생성하여 데이터 통신을 할 있도록 지원하고, 접속 프로파일 관리 기능을 포함한다. 여기서, 접속 프로파일에 대해서는 후술한다. In addition, dedicated applications support IKEv2 (Internet Key Exchange Protocol) and IPSec (Internet Protocol Security) tunnel creation for data communication, and include connection profile management function. Here, the connection profile will be described later.

ePDG(107)는 사용자 단말(101, 111)의 가입자 인증을 수행한 후, 전용망(121)으로의 접속을 수행하는 게이트웨이 기능을 한다. ePDG(107)는 3GPP에서 표준화된 네트워크 장치로서, VoWiFi(Voice over WiFi) 또는 사업자 특화 VoD, 실시간 TV 같은 응용 서비스를 제공하고, 와이파이와 LTE간 IP 연속성을 보장해주는 기능을 필요로 한다. 그러나, 본 발명의 실시예에 따른 ePDG(107)는 와이파이(WiFi), LTE간 이동시에 IP의 연속성 보장이 필요 없다. The ePDG 107 performs a subscriber authentication of the user terminals 101 and 111 and then functions as a gateway for performing connection to the dedicated network 121. [ The ePDG 107 is a standardized network device in 3GPP, and it requires a function to provide application services such as VoWiFi (Voice over WiFi) or business-specific VoD, real-time TV, and guarantee IP continuity between WiFi and LTE. However, the ePDG 107 according to the embodiment of the present invention does not need to ensure the continuity of IP when moving between WiFi and LTE.

ePDG(107)는 가입자 모듈(USIM)이 없더라도 별도의 인증 프로세스를 통해 전용망 서비스를 제공하는 사업자의 코어망, 즉, 자사 PGW(117)에 접속할 수 있도록 3GPP에서 표준화된 기능이 수정된다. the ePDG 107 modifies the functions standardized in the 3GPP so that the ePDG 107 can access the core network of the provider providing the dedicated network service, that is, the PGW 117 through the separate authentication process even if there is no subscriber module (USIM).

ePDG(107)는 사용자 단말(101, 111)의 전용 어플리케이션과의 연동을 위해 IKEv2 서버와 IPSec 서버 기능을 수행한다.The ePDG 107 performs an IKEv2 server and an IPSec server function for interworking with a dedicated application of the user terminals 101 and 111. [

ePDG(107)는 인증 서버(109) 및 자사 PGW(117)와 연결된다. 여기서, 자사, 타사 기준은 전용망 서비스를 제공하는 주체인지 여부에 따른다. 즉, 전용망 서비스를 제공하는 사업자가 자사이고, 그렇지 않은 사업자가 타사로 구분된다.The ePDG 107 is connected to the authentication server 109 and the PGW 117 itself. Here, the company's and other company's standards depend on whether it is the subject of providing the private network service. That is, the provider providing the private network service is its own company, and the non-provider is the other company.

자사 PGW(117)는 자사 PCRF(Policy and Charging Rules Function)(119) 및 전용망(121)과 연결된다.The PGW 117 is connected to the Policy and Charging Rules Function (PCRF) 119 and the dedicated network 121.

자사 PGW(117)는 전용망(121)을 위한 전용 PGW일 수 있으며, APN에 대응될 수 있다. 즉, ePDG(107)가 APN을 확인하여, 적어도 둘 이상의 자사 PGW 중에서 APN에 해당하는 자사 PGW(117)으로 세션 생성을 요청할 수 있다.The PGW 117 may be a dedicated PGW for the dedicated network 121 and may correspond to an APN. That is, the ePDG 107 may confirm the APN and request the session creation using the PGW 117 corresponding to the APN among the at least two PGWs.

인증 서버(109)는 ePDG(107)와 접속 인증을 위하여 다이아미터(Diameter) 프로토콜을 이용하여 연동하며, 사용자 단말(101, 111)과 직접 연동이 가능하다.The authentication server 109 interlocks with the ePDG 107 using a Diameter protocol for connection authentication and is directly operable with the user terminals 101 and 111.

인증 서버(109)는 ID/PW 관리 및 접속 프로파일을 제공하고, 자사 PGW(117)와 연동하기 위한 가입자 프로파일을 제공한다. The authentication server 109 provides an ID / PW management and connection profile and provides a subscriber profile for interworking with its PGW 117.

이때, 인증 서버(109)는 가입자 정보를 관리하는 청약 시스템(123)과 직간접적으로 연동하여 가입자 프로파일 및 접속 프로파일을 획득하여 저장한다.At this time, the authentication server 109 directly or indirectly interlocks with the subscription system 123 that manages subscriber information to obtain and store subscriber profiles and connection profiles.

여기서, ePDG(107)가 필요로 하는 정보와 자사 PGW(117)가 필요로 하는 정보는 다르다. 접속 프로파일은 ePDG(107)가 필요로 하는 정보를 주로 포함하고, 가입자 프로파일은 자사 PGW(117)가 필요로 하는 정보를 포함한다. 물론, 접속 프로파일에도 자사 PGW(117)가 필요로 하는 정보를 일부 포함할 수 있다.예를들면, IMSI(International Mobile Subscriber Identify), MSDN(Mobile Subcriber Directory Number), 서빙 네트워크(Serving Network), APN(Access Point Name) 정도면 ePDG(107)가 인증하기에는 충분한 정보이지만, 자사 PGW(117) 입장에서는 이 APN을 써도 되는지 대역폭은 얼마나 할당해 줄지 추가적인 정보가 더 필요하므로, ePDG(107)가 인증 서버(109)로부터 이러한 정보를 가져와서 자사 PGW(117)에게 제공하여야 자사 PGW(117)가 세션을 생성할 수 있다.Here, the information required by the ePDG 107 is different from the information required by the PGW 117 itself. The connection profile mainly includes information required by the ePDG 107, and the subscriber profile includes information required by the PGW 117 itself. Of course, some of the information required by the PGW 117 may also be included in the connection profile. For example, an IMSI (International Mobile Subscriber Identify), a MSDN (Mobile Subscribers Directory Number), a Serving Network, an APN The ePDG 107 is sufficient to authenticate the ePDG 107. However, since the PGW 117 requires additional information on how to allocate the APN or the bandwidth in the PGW 117, The PGW 117 must obtain this information from the PGW 117 and generate the session.

이때, 인증 서버(109)는 표준 장비인 AAA(Authentication Authorization Accounting) 및 HSS(Home Subscriber Server)를 포함할 수 있다.At this time, the authentication server 109 may include AAA (Authentication Authorization Accounting) and HSS (Home Subscriber Server), which are standard devices.

한 실시예에 따르면, 인증 서버(109)는 본 발명의 실시예에 따른 접속 프로파일 관리 또는 ID/PW 관리 기능을 수행하는 인증 서버, AAA 서버 및 HSS를 모두 포함하는 하나의 물리적인 장비로 구현될 수 있다.According to one embodiment, the authentication server 109 may be implemented as a single physical device including an authentication server, an AAA server, and an HSS performing connection profile management or ID / PW management functions according to an embodiment of the present invention .

다른 실시예에 따르면, 인증 서버(109)는 본 발명의 실시예에 따른 접속 프로파일 관리 또는 ID/PW 관리 기능을 수행하는 인증 서버와, HSS, AAA 서버가 별개의 물리적인 장비로 구현될 수 있다. According to another embodiment, the authentication server 109 may be implemented as a separate physical device from an authentication server that performs connection profile management or ID / PW management functions according to an embodiment of the present invention, and an HSS and an AAA server .

자사 PGW(117)는 3GPP 표준 노드로서, ePDG(107)와 GTP(GPRS Tunneling Protocol)을 이용하여 연동한다. 그리고 자사 PCRF(119)와 연동하여 접속한 가입자 별로 서비스 품질(Quality of Service, QoS) 또는 과금 제어 정보를 포함한 접근 정책을 자사 PCRF(119)로부터 획득하여 PDN 접속, 즉, 전용망 접속을 제어한다. The PGW 117 is a 3GPP standard node and works in cooperation with the ePDG 107 using GTP (GPRS Tunneling Protocol). In addition, it acquires an access policy including quality of service (QoS) or billing control information for each subscriber connected in cooperation with the PCRF 119 from the PCRF 119 to control the PDN connection, that is, the dedicated network connection.

자사 PCRF(119)는 3GPP 표준 노드로서, 가입자 트래픽이 전용망으로 연동하기 위한 PCC 규칙(Policy and Charging Control Rule)을 제공한다. 여기서, Policy는 QoS 정보를 포함한다. The PCRF 119 is a 3GPP standard node, and provides PCC rules (Policy and Charging Control Rule) for linking subscriber traffic to a private network. Here, Policy includes QoS information.

전용망(121)은 PDN(Packet Data Network)의 하나로서, 자사 PGW(117)와 전용선 또는 가상 전용선 기술을 통해 직접 연동한다. 여기서, 가상 전용선 기술의 예로는, MPRS(Movie/Performence Receiver serve), VPN(Virtual private network) 등이 있다. 자사 PGW(117)에 VLAN(Virtual Local Area Network)과 같은 기술을 적용하면 많은 수의 전용망(121)과 연동이 가능하다.The dedicated network 121 is a PDN (Packet Data Network), and directly interfaces with its PGW 117 through a leased line or virtual leased line technology. Here, examples of virtual leased line technologies include MPRS (Movie / Performance Receiver Serving) and VPN (Virtual Private Network). When a technology such as a VLAN (Virtual Local Area Network) is applied to the PGW 117 of the PGW 117, a large number of dedicated networks 121 can be interworked.

이제, 도 2 ~ 도 3을 참조하여 사용자 단말(101, 111)이 인증 서버(109)로부터 획득한 접속 프로파일을 이용하여 전용망에 접속하는 실시예를 설명한다. An embodiment in which the user terminals 101 and 111 access the dedicated network using the connection profile obtained from the authentication server 109 will now be described with reference to Figs.

도 2는 본 발명의 한 실시예에 따른 접속 프로파일 획득 과정을 나타낸 흐름도이다.2 is a flowchart illustrating a process of acquiring a connection profile according to an embodiment of the present invention.

도 2를 참조하면, 인증 서버(109)는 전용망 서비스 가입자 중에서 비신뢰 접속망을 통해 접속하고자 하는 가입자들의 가입자 정보, 가입자의 접속 프로파일 및 가입자 프로파일을 프로비저닝(provisioning)한다(S101). 여기서, 프로비저닝은 가입 절차 중에 가입자 관련 정보를 사업자 장비에 저장하는 행위를 의미한다.Referring to FIG. 2, the authentication server 109 provisiones subscribers' information, a subscriber's connection profile, and a subscriber profile of subscribers wishing to access through an untrusted access network among dedicated network service subscribers (S101). Here, provisioning refers to the act of storing subscriber-related information in provider equipment during the subscription procedure.

이때, 가입자 정보는 OTP(One Time Password) 인증을 위한 전화번호를 포함하며, 이때, 전화번호는 휴대폰 번호를 포함할 수 있다. At this time, the subscriber information includes a telephone number for OTP (One Time Password) authentication, and the telephone number may include a mobile phone number.

자사 PCRF(119)는 전용망 서비스 가입자 중에서 비신뢰 접속망을 통해 접속하고자 하는 가입자들의 접근 정책(PCC 룰)을 프로비저닝한다(S103).The PCRF 119 provisions the access policy (PCC rule) of subscribers wishing to access through the untrusted access network among the dedicated network service subscribers (S103).

전용망 접속을 원하는 사용자 단말(101, 111)은 기 설치된 전용 어플리케이션을 실행한다(S105). The user terminals 101 and 111 desiring to access the dedicated network execute a pre-installed dedicated application (S105).

사용자 단말(101, 111)은 기 저장된 접속 프로파일이 있는지 확인(S107)하여, 없으면, S101 단계에서 등록한 전화번호를 입력(S109)하여 인증 서버(109)로 인증 요청을 전송한다(S111). The user terminals 101 and 111 check whether there is a pre-stored connection profile (S107). If not, the user terminals 101 and 111 input the registered phone number in S101 (S109) and transmit an authentication request to the authentication server 109 (S111).

인증 서버(109)는 사용자 단말(101, 111)에게 인증 대기 응답을 전송(S113)하고, S111 단계에서 수신한 전화번호로 OTP를 발송한다(S115). 여기서, OTP 발송은 SMS 서비스를 이용할 수 있다. The authentication server 109 transmits an authentication wait response to the user terminals 101 and 111 (S113), and sends the OTP to the telephone number received in the step S111 (S115). Here, the OTP dispatch can use the SMS service.

사용자가 인증 서버(109)에서 제공한 OTP를 전용 어플리케이션이 제공하는 사용자 화면에 입력(S117)하면, 사용자 단말(101, 111)은 OTP를 포함하는 접속 프로파일 요청을 인증 서버(109)로 전송한다(S119). When the user inputs the OTP provided by the authentication server 109 to the user screen provided by the dedicated application (S117), the user terminals 101 and 111 transmit the connection profile request including the OTP to the authentication server 109 (S119).

인증 서버(109)는 S119 단계에서 수신한 OTP가 S115 단계에서 발송한 OTP인지 확인하는 OTP 인증을 수행한다(S121).The authentication server 109 performs OTP authentication to confirm that the OTP received in step S119 is the OTP sent in step S115 (S121).

OTP 인증에 성공하면, 사용자 단말(101, 111)의 접속 프로파일을 확인(S123)하여 사용자 단말(101, 111)로 전송한다(S125).If the OTP authentication is successful, the connection profile of the user terminals 101 and 111 is confirmed (S123) and transmitted to the user terminals 101 and 111 (S125).

사용자 단말(101, 111)은 수신한 접속 프로파일을 저장할 수 있다(S127). 이러한 단계 이후부터는 S109 단계 ~ S125 단계가 생략될 수 있다.The user terminals 101 and 111 can store the received connection profile (S127). After this step, steps S109 to S125 may be omitted.

또는, S107 단계 및 S127 단계는 수행되지 않고, 망 보안 정책 설정에 따라 전용망에 접속할 때마다 S109 단계 ~ S125 단계가 수행될 수도 있다.Alternatively, steps S109 and S127 may not be performed, and steps S109 through S125 may be performed each time the dedicated network is accessed according to the network security policy setting.

도 3은 본 발명의 한 실시예에 따른 전용망 접속 과정을 나타낸 흐름도로서, 도 2의 S125 단계 이후부터 수행된다.FIG. 3 is a flowchart illustrating a process of accessing a dedicated network according to an embodiment of the present invention, which is performed after step S125 of FIG.

도 3을 참조하면, 사용자 단말(101, 111)은 기 저장된 또는 인증 서버(109)로부터 획득한 접속 프로파일을 포함하는 전용망 접속 요청(Access Request)을 ePDG(107)에게 전송한다(S201). 여기서, 접속 프로파일은 일반적으로 사용자 단말이 네트워크에 접속할 때 네트워크에게 제공해야 하는 정보 들로 구성된다. Referring to FIG. 3, the user terminals 101 and 111 transmit a dedicated network access request including an access profile previously stored or obtained from the authentication server 109 to the ePDG 107 (S201). Here, the connection profile generally consists of the information that the user terminal must provide to the network when connecting to the network.

이때, 사용자 단말(101, 111)은 와이파이(WiFi) 또는 LAN 등의 액세스를 경유하여 접속하는 경우, IKEv2 프로토콜의 인증 및 터널 설정 요청 메시지가 전용망 접속 요청(Access Request)의 역할을 할 수 있다. 이때, IKEv2 프로토콜의 인증 및 터널 설정 요청 메시지에 접속 프로파일이 포함된다. In this case, when the user terminals 101 and 111 access via a WiFi or LAN access, the authentication and tunnel establishment request message of the IKEv2 protocol can serve as a dedicated network access request. At this time, the connection profile is included in the authentication and tunnel establishment request message of the IKEv2 protocol.

ePDG(107)는 접속 프로파일을 이용하여 사용자 단말(101, 111)을 식별하고, 인증 서버(109)와 연동하여 접속 프로파일 인증을 수행한다(S203). 여기서, S203 단계는 본래 3GPP 표준에 따른 AAA 인증 단계로서, 본 발명의 실시예에서는 접속 프로파일을 이용한 AAA 인증이 가능하도록 수정되었다. S203 단계는, 사용자 단말(101, 111)을 인증하는 단계로서, 접속 프로파일을 이용하여 사용자 단말(101, 111)이 전용망(121)에 접속 가능한 가입자인지를 판정하는 절차 등이 포함된다. The ePDG 107 identifies the user terminals 101 and 111 using the connection profile, and performs the connection profile authentication in cooperation with the authentication server 109 (S203). Here, step S203 is an AAA authentication step according to the 3GPP standard. In the embodiment of the present invention, AAA authentication using a connection profile is made possible. Step S203 is a step of authenticating the user terminals 101 and 111, and includes a procedure of determining whether the user terminals 101 and 111 are subscribers connectable to the dedicated network 121 using the connection profile.

ePDG(107)는 S203 단계를 통해 인증 서버(109)로부터 자사 PGW(117)에 관한 정보를 얻는다. The ePDG 107 obtains information on the PGW 117 from the authentication server 109 through step S203.

ePDG(107)는 접속 프로파일 인증에 성공하면, 자사 PGW(117)에게 세션 생성을 요청한다(S205). If the ePDG 107 succeeds in authenticating the connection profile, the ePDG 107 requests the PGW 117 itself to create a session (S205).

이때, 인증 서버(109)는 HSS의 기능을 포함할 수 있다. 즉, 일반적으로 HSS에 포함되는 사용자 단말(101, 111)의 가입자 프로파일을 저장한다. 그리고 S203 단계에서 인증 서버(109)는 ePDG(107)가 요청한 가입자 프로파일을 제공한다. ePDG(107)는 인증 서버(109)로부터 제공받은 가입자 프로파일에 기초하여 사용자 단말(101, 111)이 전용망(121)에 접속이 가능한지 확인한다(S203). 그리고 가입자 프로파일로부터 획득한 정보를 포함하는 세션 생성 요청을 자사 PGW(117)에게 전송한다(S205). 여기서, 세션 생성 요청에 포함되는 정보는 IMSI, MSISDN, Serving Network, RAT Type(WLAN), Indication Flags, Sender F-TEID for C-plane, APN, Selection Mode, PAA, APN-AMBR, Bearer Contexts, Recovery, Charging characteristics, Additional Protocol Configuration Options (APCO)]), Private IE (P-CSCF, AP MAC address) 등을 포함할 수 있다.At this time, the authentication server 109 may include the function of the HSS. That is, the subscriber profile of the user terminals 101 and 111 included in the HSS is generally stored. The authentication server 109 provides the subscriber profile requested by the ePDG 107 in step S203. The ePDG 107 checks whether the user terminals 101 and 111 can access the dedicated network 121 based on the subscriber profile provided from the authentication server 109 (S203). And transmits a session creation request including information obtained from the subscriber profile to the PGW 117 (S205). The information included in the session creation request includes IMSI, MSISDN, Serving Network, RAT Type (WLAN), Indication Flags, Sender F-TEID for C-plane, APN, Selection Mode, PAA, APN-AMBR, Bearer Contexts, , Charging characteristics, Additional Protocol Configuration Options (APCO)]), Private IE (P-CSCF, AP MAC address).

자사 PGW(117)는 자사 PCRF(119)로부터 접근 정책을 요청하여 수신한다(S207). The PGW 117 requests and receives an access policy from its PCRF 119 (S207).

자사 PGW(117)는 전용망(121)과 전용망 세션을 연결한다(S209). 그리고 ePDG(107)에게 세션 생성 응답을 전송한다(S211).The PGW 117 connects the private network 121 to the private network session (S209). And transmits a session creation response to the ePDG 107 (S211).

ePDG(107)는 사용자 단말(101, 111)에게 전용망 접속 응답을 전송한다(S213). 이후, ePDG(107)는 자사 PGW(117)와 GTP(GPRS Tunneling Protocol) 베어러를 생성한다(S215). ePDG(107)는 사용자 단말(101, 111)과 IPSec 베어러를 생성한다(S217). The ePDG 107 transmits a dedicated network connection response to the user terminals 101 and 111 (S213). Thereafter, the ePDG 107 generates the bearer of the PGP 117 and the GPRS Tunneling Protocol (GTP) (S215). The ePDG 107 creates an IPSec bearer with the user terminals 101 and 111 (S217).

이로써, 사용자 단말(101, 111)은 마치 전용망(121) 내부에 있는 IP 단말처럼 전용망 서비스 사용이 가능하게 된다. As a result, the user terminals 101 and 111 can use the dedicated network service just like the IP terminals in the private network 121.

이제, 도 4 ~ 도 5를 참조하여 사용자 단말(101, 111)이 ID/PW(PassWord)를 이용하여 전용망에 접속하는 실시예를 설명한다. An embodiment in which the user terminals 101 and 111 access the dedicated network using ID / PW (PassWord) will now be described with reference to FIGS. 4 to 5. FIG.

도 4는 본 발명의 한 실시예에 따른 ID/PW 등록 과정을 나타낸 흐름도이다.4 is a flowchart illustrating an ID / PW registration process according to an embodiment of the present invention.

도 4를 참조하면, 인증 서버(109)는 전용망 서비스 가입자 중에서 비신뢰 접속망을 통해 접속하고자 하는 가입자들의 가입자 정보, 가입자의 접속 프로파일 및 가입자 프로파일을 프로비저닝한다(S301). 자사 PCRF(119)는 가입자의 접근 정책을 프로비저한다(S303).Referring to FIG. 4, the authentication server 109 provisions subscriber information, subscriber's connection profile, and subscriber profile of subscribers wishing to access through the untrusted access network among the network service subscribers (S301). The client PCRF 119 provisions the access policy of the subscriber (S303).

전용망 접속을 원하는 사용자 단말(101, 111)은 기 설치된 전용 어플리케이션을 실행한다(S305). The user terminals 101 and 111 desiring to access the dedicated network execute the pre-installed dedicated application (S305).

사용자 단말(101, 111)은 ID/PW 등록 여부를 판단한다(S307). 즉, ID/PW가 이미 등록된 경우인지, 아니면, 미등록 즉, 최초 접속인지를 판단한다.The user terminals 101 and 111 determine whether the ID / PW is registered (S307). That is, it is determined whether the ID / PW is already registered or not, that is, the initial connection.

사용자 단말(101, 111)은 ID/PW 미등록으로 판단되면, 사용자로부터 입력(S309)된 ID/PW를 포함하는 등록 요청을 인증 서버(109)로 전송한다(S311).If it is determined that the ID / PW is not registered, the user terminals 101 and 111 transmit the registration request including the ID / PW inputted from the user (S309) to the authentication server 109 (S311).

인증 서버(109)는 S301 단계에서 프로비저닝된 인증 프로파일을 확인하여 OTP 옵션이 있는지를 판단한다(S313).The authentication server 109 checks the provisioned authentication profile in step S301 and determines whether there is an OTP option (S313).

OTP 옵션이 있는 경우, 인증 서버(109)는 사용자 단말(101, 111)에게 OTP를 수신할 전화번호를 요청하여 수신한다(S315). When there is the OTP option, the authentication server 109 requests and receives a telephone number to receive the OTP from the user terminals 101 and 111 (S315).

인증 서버(109)는 S315 단계에서 수신한 전화번호로 OTP를 발송(S317)한다. The authentication server 109 sends the OTP to the telephone number received in step S315 (S317).

인증 서버(109)는 사용자 단말(101, 111)에게 OTP 입력을 요청하여 수신한다(S319). The authentication server 109 requests and inputs an OTP input to the user terminals 101 and 111 (S319).

인증 서버(109)는 S319 단계에서 수신한 OTP가 S317 단계에서 발송한 OTP와 일치하는지 확인하는 OTP 인증을 수행한다(S321).The authentication server 109 performs OTP authentication to check whether the OTP received in step S319 is identical to the OTP sent in step S317 (S321).

인증 서버(109)는 S313 단계 이후 또는 S321 단계 이후, S311 단계에서 요청된 ID/PW를 등록한다(S323). 그리고 등록 결과를 사용자 단말(101, 111)에게 응답한다(S325).The authentication server 109 registers the requested ID / PW after step S313 or step S321 and step S311 (S323). Then, the registration result is returned to the user terminals 101 and 111 (S325).

도 5는 본 발명의 다른 실시예에 따른 전용망 접속 과정을 나타낸 흐름도로서, 도 4의 S325 단계 이후부터 수행된다.FIG. 5 is a flowchart illustrating a connection process of a dedicated network according to another embodiment of the present invention, which is performed after step S325 of FIG.

도 5를 참조하면, 사용자 단말(101, 111)은 사용자가 입력한 ID/PW를 포함하는 전용망 접속 요청을 ePDG(107)에게 전송한다(S401). Referring to FIG. 5, the user terminals 101 and 111 transmit a dedicated network connection request including ID / PW input by the user to the ePDG 107 (S401).

ePDG(107)는 로컬 캐시에 기 저장된 접속 프로파일이 있는지 판단한다(S403). 판단 결과, 기 저장된 접속 프로파일이 없다면, S401 단계에서 수신한 ID/PW와 함께 인증 서버(109)에게 접속 프로파일을 요청한다(S405).The ePDG 107 determines whether there is a pre-stored connection profile in the local cache (S403). If it is determined that there is no pre-stored connection profile, the connection profile is requested to the authentication server 109 together with the received ID / PW in step S401 (S405).

인증 서버(109)는 S405 단계에서 수신한 ID/PW가 등록된 ID/PW인지 확인하는 인증을 수행한다(S407).The authentication server 109 performs authentication to confirm whether the received ID / PW is the registered ID / PW in step S405 (S407).

S407 단계에서 인증에 성공하면, 인증 서버(109)는 인증 프로파일을 확인하여 OTP 옵션이 있는지 판단한다(S409).If the authentication succeeds in step S407, the authentication server 109 checks the authentication profile to determine whether the OTP option exists (S409).

OTP 옵션이 있는 경우, 인증 서버(109)는 사용자 단말(101, 111)에게 OTP를 수신할 전화번호를 요청하여 수신한다(S411). If there is the OTP option, the authentication server 109 requests the user terminal 101 or 111 to receive the telephone number to receive the OTP and receives the telephone number (S411).

인증 서버(109)는 S411 단계에서 수신한 전화번호로 OTP를 발송(S413)한다. The authentication server 109 sends the OTP to the telephone number received in step S411 (S413).

인증 서버(109)는 사용자 단말(101, 111)에게 OTP 입력을 요청하여 수신한다(S415). The authentication server 109 requests OTP input to the user terminals 101 and 111 (S415).

인증 서버(109)는 S415 단계에서 수신한 OTP가 S413 단계에서 발송한 OTP와 일치하는지 확인하는 OTP 인증을 수행한다(S417).The authentication server 109 performs OTP authentication to check whether the OTP received in step S415 is identical to the OTP sent in step S413 (S417).

S417 단계에서 OTP 인증에 성공하면, 인증 서버(109)는 접속 프로파일을 ePDG(107)에게 전송한다(S419). If the OTP authentication succeeds in step S417, the authentication server 109 transmits the connection profile to the ePDG 107 (S419).

여기서, ePDG(107)는 수신한 접속 프로파일을 로컬 캐시에 접속 이력을 기준으로 저장할 수 있다.Here, the ePDG 107 can store the received connection profile in the local cache based on the connection history.

ePDG(107)는 로컬 캐시에 저장되거나 또는 S419 단계에서 수신한 접속 프로파일을 인증 서버(109)로 전달하여 접속 프로파일 인증을 수행한다(S421). 여기서, S421 단계는 본래 3GPP 표준에 따른 AAA 인증 단계로서, 본 발명의 실시예에서는 접속 프로파일을 이용한 AAA 인증이 가능하도록 수정되었으며, 도 3의 S203 단계와 동일하다.The ePDG 107 transfers the connection profile stored in the local cache or received in step S419 to the authentication server 109 to perform the connection profile authentication (S421). Here, the step S421 is an AAA authentication step according to the 3GPP standard. In the embodiment of the present invention, the AAA authentication using the connection profile is modified so that it is the same as the step S203 of FIG.

ePDG(107)는 S419 단계에서 접속 프로파일 인증에 성공하면, 자사 PGW(117)에게 세션 생성을 요청한다(S423). If the ePDG 107 succeeds in authenticating the connection profile in step S419, the ePDG 107 requests the PGW 117 itself to create a session (S423).

자사 PGW(117)는 자사 PCRF(119)로부터 접근 정책을 요청하여 수신한다(S425). The PGW 117 requests and receives an access policy from its PCRF 119 (S425).

자사 PGW(117)는 전용망(121)과 전용망 세션을 연결한다(S427). 그리고 ePDG(107)에게 세션 생성 응답을 전송한다(S429).The PGW 117 connects the private network 121 to the private network session (S427). And transmits a session creation response to the ePDG 107 (S429).

ePDG(107)는 사용자 단말(101, 111)에게 전용망 접속 응답을 전송한다(S431). 그리고 자사 PGW(117)와 GTP 베어러를 생성한다(S433). 그리고 사용자 단말(101, 111)과 IPSec 베어러를 생성한다(S435). 여기서, S421 단계 ~ S435 단계는 도 3의 S203 단계 ~ S217 단계와 동일하다.The ePDG 107 transmits a dedicated network connection response to the user terminals 101 and 111 (S431). Then, the PGW 117 and the GTP bearer are generated (S433). Then, an IPSec bearer is created with the user terminals 101 and 111 (S435). Here, steps S421 to S435 are the same as steps S203 to S217 in Fig.

한편, 도 3 및 도 5에서 전술한 단계들을, IETF(Internet Engineering Task Force]) Non 3GPP(3rd Generation Partnership Project)망 ePDG 연동 표준 절차로 구현하면, 다음과 같다.Meanwhile, the steps described above with reference to FIG. 3 and FIG. 5 may be implemented by a standard procedure of interworking with the Internet Engineering Task Force (IETF) Non 3GPP (Third Generation Partnership Project) network ePDG.

S201, S401 단계에서는 사용자 단말(101, 111)이 ePDG(107)에게 IKE_SA_INIT 메시지를 전송하여 IKE_SA_INIT RSP 메시지를 수신함으로써, IKE 메시지 보호에 필요한 IKE_SA를 생성한 후, IKE AUTH_REQ 메시지를 ePDG(107)에게 전송하는 단계를 포함한다. In steps S201 and S401, the user terminals 101 and 111 transmit an IKE_SA_INIT message to the ePDG 107 to receive an IKE_SA_INIT RSP message, thereby generating an IKE_SA necessary for IKE message protection, and then send an IKE AUTH_REQ message to the ePDG 107 .

이때, S201 단계에서는 IKE AUTH_REQ 메시지에 접속 프로파일은 포함되어 ePDG(107)에게 전송될 수 있다. 그리고 S401 단계에서는 ID/PW가 IKE AUTH_REQ 메시지에 포함되어 ePDG(107)에게 전송될 수 있다.At this time, the connection profile may be included in the IKE AUTH_REQ message and transmitted to the ePDG 107 in step S201. In step S401, the ID / PW may be included in the IKE AUTH_REQ message and may be transmitted to the ePDG 107.

S203 단계, S421 단계에서는 ePDG(107)가 IKE AUTH_REQ 메시지를 인증 서버(109)로 전달하고, 인증 서버(109)로부터 상호 인증을 위한 값들을 수신하여 IKE AUTH_RESP 메시지에 포함시켜 사용자 단말(101, 111)에게 전송한다. 그러면, 사용자 단말(101, 111)은 상호 인증을 위한 값들을 포함하는 IKE AUTH_REQ 메시지를 ePDG(107)에게 전송하고, ePDG(107)는 수신된 IKE AUTH_REQ 메시지를 인증 서버(109)로 전송하면서, 가입자 프로파일을 요청한다. 인증 서버(109)는 상호 인증을 위한 값들을 이용하여 상호 인증을 수행하는데, 이때, 접속 프로파일을 이용한다. In steps S203 and S421, the ePDG 107 transfers the IKE AUTH_REQ message to the authentication server 109, receives values for mutual authentication from the authentication server 109, and stores the received values in the IKE AUTH_RESP message, . The user terminals 101 and 111 transmit an IKE AUTH_REQ message including values for mutual authentication to the ePDG 107. The ePDG 107 transmits the received IKE AUTH_REQ message to the authentication server 109, Request a subscriber profile. The authentication server 109 performs mutual authentication using values for mutual authentication, and uses a connection profile at this time.

인증 서버(109)는 상호 인증에 성공하면, 가입자 프로파일을 ePDG(107)에게 전송한다. ePDG(107)는 상호 인증을 위한 값들을 포함하는 IKE AUTH_REQ 메시지에 대한 IKE AUTH_RESP 메시지를 사용자 단말(101, 111)에게 전송한다. 그러면, ePDG(107)는 사용자 단말(101, 111)로부터 IKE AUTH_REQ 메시지를 수신한다. The authentication server 109 transmits the subscriber profile to the ePDG 107 when mutual authentication is successful. The ePDG 107 transmits an IKE AUTH_RESP message for the IKE AUTH_REQ message including values for mutual authentication to the user terminals 101 and 111. The ePDG 107 then receives the IKE AUTH_REQ message from the user terminals 101, 111.

S205 단계, S423 단계에서는 ePDG(107)가 가입자 프로파일과 접속 프로파일을 토대로 사용자 단말(101, 111)이 전용망에 접속이 가능한지 인증한 후, 인증에 성공하면, 자사 PGW(117)에게 세션 생성을 요청한다.In step S205 and step S423, after the ePDG 107 authenticates whether the user terminals 101 and 111 are allowed to access the private network based on the subscriber profile and the connection profile, if authentication is successful, the PGP 117 requests the PGW 117 to create a session do.

S207 단계(또는 S425 단계), S209 단계(또는 S427 단계), S211 단계(또는 S429 단계) 이후, S213 단계, S431 단계에서 ePDG(107)는 IKE AUTH_RESP 메시지를 통해 사용자 단말(101, 111)에게 전용망 접속 응답을 전송한다.In step S207 (or step S425), step S209 (or step S427), step S211 (step S429), steps S213 and S431, the ePDG 107 transmits an IKE AUTH_RESP message to the user terminals 101 and 111, And transmits a connection response.

도 6은 본 발명의 한 실시예에 따른 패킷 데이터 네트워크 네트워크 게이트웨이(Packet data network Gateway, PGW)의 동작을 나타낸 흐름도로서, 도 3의 S217 단계 이후 또는 도 5의 S435 단계 이후 수행될 수 있다.FIG. 6 is a flowchart illustrating an operation of a packet data network gateway (PGW) according to an exemplary embodiment of the present invention, and may be performed after step S217 in FIG. 3 or step S435 in FIG.

도 6을 참조하면, 자사 PGW(117)는 사용자 단말(101, 111)에 대해서도 일반 전용망 가입자와 마찬가지로 접속 정보 및 사용 이력 정보를 자사 PCRF(119)에게 통보(S501)하고, 회신 응답을 수신한다(S503).Referring to FIG. 6, the PGW 117 notifies the user terminal 101 or 111 of the connection information and usage history information to the PCRF 119 in the same manner as the general-purpose network subscriber (S501), and receives the reply response (S503).

자사 PGW(117)는 자사 PCRF(119)로부터 수신한 접근 정책에 따라 사용자 단말(101, 111)의 전용망 접근 제어를 수행한다(S505). 여기서, 전용망 접근 제어는 예를들면, 접속 시간 등에 따라 접근 허용 및 차단을 제어할 수 있다. 이외에도 다양한 실시예가 가능하다.The PGW 117 performs exclusive network access control of the user terminals 101 and 111 according to the access policy received from the PCRF 119 (S505). Here, the dedicated network access control can control access permission and disconnection according to the connection time and the like, for example. Various other embodiments are possible.

도 7은 본 발명의 한 실시예에 따른 사용자 단말의 위치 업데이트 과정을 나타낸 흐름도로서, 도 3의 S217 단계 이후 또는 도 5의 S435 단계 이후 수행될 수 있다.FIG. 7 is a flowchart illustrating a process of updating a location of a user terminal according to an embodiment of the present invention, and may be performed after step S217 of FIG. 3 or after step S435 of FIG.

도 7을 참조하면, 사용자 단말(101, 111)은 전용망(121)에 연결된 이후, 감시 타이머를 구동한다(S601). Referring to FIG. 7, the user terminals 101 and 111 are connected to the private network 121, and then drive a watchdog timer (S601).

사용자 단말(101, 111)은 감시 타이머 만료 여부를 판단(S603)하여 감시 타이머가 만료되면, 위치를 측정 또는 확인한다(S605).The user terminals 101 and 111 judge whether the watchdog timer has expired (S603), and if the watchdog timer has expired, measure or confirm the position (S605).

사용자 단말(101, 111)은 측정 또는 확인한 위치 정보를 ePDG(107)에게 업데이트한다(S607). The user terminals 101 and 111 update the measured or confirmed location information to the ePDG 107 (S607).

ePDG(107)는 S607 단계에서 업데이트된 위치 정보를 포함하는 베어러 변경 메시지(modify bearer request)를 자사 PGW(117)에게 전송(S609)하여 응답을 수신한다(S611). 그러면, ePDG(107)는 사용자 단말(101, 111)에게 위치 정보 업데이트 완료 메시지를 전송한다(S613).the ePDG 107 transmits a bearer change request message containing the updated location information to the PGW 117 in step S609 and receives a response in step S611. Then, the ePDG 107 transmits a location information update completion message to the user terminals 101 and 111 (S613).

이후, 자사 PGW(117)는 사용자 단말(101, 111)의 위치 업데이트 정보를 이용하여 전용망 접근 제어를 수행할 수 있다. 예를들면, 전용망 서비스 지역을 벗어난 경우, 전용망 접속을 해제시킬 수 있다. Thereafter, the PGW 117 can perform dedicated network access control using the location update information of the user terminals 101 and 111. For example, if the user leaves the dedicated network service area, the dedicated network connection can be released.

도 8은 본 발명의 실시예에 따른 인증 프로파일을 나타낸 구성이다.FIG. 8 shows a configuration of an authentication profile according to an embodiment of the present invention.

도 8을 참조하면, 인증 프로파일(200)은 사용자 ID를 기준으로 인증 관련된 옵션 필드가 추가되는 형태로서, ID 필드(201), 사용 구분 필드(203), OTP 인증 옵션 필드(205), PW 사용 필드(207), OTP/PW 필드(209) 및 키(Key) 필드(211)를 포함한다.Referring to FIG. 8, the authentication profile 200 includes an ID field 201, a usage identification field 203, an OTP authentication option field 205, Field 207, an OTP / PW field 209, and a Key field 211. The OTP /

ID 필드(201)는 인증 프로파일의 키가 되는 정보로 유일성을 보장해야 하며 전화번호 형태 또는 이메일(e-mail) 형태의 주소가 사용될 수 있다. 각각의 인증을 위해서 ID 별로 단말이나 인증 속성을 사용 구분 필드(203)를 이용하여 관리할 수 있다. 이때, 이메일 형태의 ID는 도 4, 도 5에서 사용되는 ID를 말한다.The ID field 201 should ensure uniqueness as key information of the authentication profile and may be an address in the form of a telephone number or an e-mail. For each authentication, the terminal or the authentication attribute can be managed using the use field 203 for each ID. At this time, the ID in the form of an email refers to an ID used in FIG. 4 and FIG.

사용 구분 필드(203)는 ID에 해당하는 사용자 단말(101, 111) 또는 인증 속성을 구분하기 위한 정보가 수록된다.The use field 203 contains information for identifying the user terminal 101 or 111 or the authentication attribute corresponding to the ID.

OTP 인증 옵션 필드(205)는 보안 설정에 따라 OTP 발송 시점, PC와 같이 OTP인증 수신이 불가한 경우 전화번호를 추가로 선택할 수 있는 정보가 포함된다.The OTP authentication option field 205 includes information for selecting an OTP sending time according to the security setting, and a telephone number such as a PC when the OTP authentication can not be received.

패스워드(PW) 사용 필드(207)는 도 2, 도 3과 같이 접속 프로파일을 사용자 단말(101, 111)이 관리하는 방식과, 도 4, 5와 같이 ID/PW를 이용하여 ePDG(107)가 접속 프로파일을 관리하는 방식으로 구분하기 위해 PW 사용 여부에 관한 정보가 포함된다. 이때, PW 미사용으로 설정되어 있으면, 도 2 및 도 3과 같이 접속 프로파일을 이용한 방식을 의미한다. 그리고 PW 사용으로 설정되어 있으면, 도 4, 5와 같이 ID/PW로 전용망 접속을 요청하는 방식을 의미한다.The password (PW) use field 207 is a mode in which the user terminal 101 or 111 manages the connection profile as shown in FIGS. 2 and 3, and the ePDG 107 uses the ID / PW as shown in FIGS. And information on whether or not the PW is used is included in order to distinguish the method of managing the connection profile. At this time, if it is set to PW unused, it means a method using a connection profile as shown in FIG. 2 and FIG. If it is set to use the PW, it means a method of requesting a dedicated network connection by ID / PW as shown in FIGS.

OTP/PW 필드(209)는 OTP나 PW값을 임시 또는 영구 저장할 수 있는 필드에 해당된다.The OTP / PW field 209 corresponds to a field in which an OTP or PW value can be temporarily or permanently stored.

키(Key) 필드(211)는 접속 프로파일 기반 사용자 인증인 경우, 통상 가입자 모듈(USIM)에서 사용하는 가상의 LTE Key 값이 저장된다. In the case of the connection profile based user authentication, the key field 211 stores a virtual LTE key value used in the normal subscriber module (USIM).

도 9는 본 발명의 실시예에 따른 접속 프로파일을 나타낸 구성이다.9 is a diagram showing a connection profile according to an embodiment of the present invention.

도 9를 참조하면, 접속 프로파일(300)은 ID(301), 가상 IMSI(303), 가상 MSDN(305), 가상 IMEI(International Mobile Equipment Identity)(307), APN(309), AMBR(Aggregate Maximum Bit Rate)(311), 프로토콜 구성 옵션(Protocol Configuration Option, PCO)(313), Serving Network(315), 위치 정보(317) 및 키(key)(319)를 포함한다. 9, the connection profile 300 includes an ID 301, a virtual IMSI 303, a virtual MSDN 305, a virtual IMEI (International Mobile Equipment Identity) 307, an APN 309, an Aggregate Maximum A protocol configuration option (PCO) 313, a Serving Network 315, location information 317, and a key 319. [

ID(301)는 접속 프로파일 구분 단위 및 기준으로서, 전화번호 형태 또는 이메일(e-mail) 형태이다.The ID 301 is in the form of a telephone number or an e-mail as a connection profile division unit and a reference.

가상 IMSI(303), 가상 MSDN(305), 가상 IMEI(307)는 사용자 단말(101, 111)을 식별하기 위한 정보이다. 가상 IMSI(303)는 가입자 모듈(USIM)의 고유값에 해당한다. 가상 MSDN(305)은 전화번호에 해당된다. 가상 IMEI(307)는 단말 고유 구분 코드를 의미한다. 따라서, 가상 IMSI(303), 가상 MSDN(305), 가상 IMEI(307)는 모두 가상의 정보로서, 통신 사업자가 할당한 형태로 이루어진다.The virtual IMSI 303, virtual MSDN 305 and virtual IMEI 307 are information for identifying the user terminals 101 and 111. The virtual IMSI 303 corresponds to a unique value of the subscriber module (USIM). The virtual MSDN 305 corresponds to a telephone number. The virtual IMEI 307 indicates a terminal unique identification code. Therefore, the virtual IMSI 303, the virtual MSDN 305, and the virtual IMEI 307 are all virtual information, which is allocated by the carrier.

APN(309)은 사설망을 구분하는 단위인 APN으로서, 전용망(121)에 대응된다. The APN 309 corresponds to the dedicated network 121 as an APN that is a unit for distinguishing a private network.

AMBR(311)는 APN별로 정할 수 있는는 대역폭의 총합이다.The AMBR 311 is the sum of the bandwidths that can be set for each APN.

프로토콜 구성 옵션(PCO)(313)은 프로토콜의 옵션을 설정할 수 있는 정보로서, IP 버전 및 접속시 필요한 정보를 포함한다.The protocol configuration option (PCO) 313 is information for setting options of the protocol, and includes an IP version and information necessary for connection.

Serving Network(315)는 접속망 사업자 정보를 포함한다.Serving Network 315 includes access network operator information.

위치 정보(317)는 사용자 단말(101, 111)의 셀 ID 정보 또는 와이파이 식별자 또는 가상의 셀 정보를 포함한다.The location information 317 includes cell ID information of the user terminals 101 and 111 or a Wi-Fi identifier or virtual cell information.

키(key)(319)는 가입자 인증을 위한 키로서, 예를 들면 LTE K를 포함하며, 도 8의 키(211)와 동일하다. 여기서, 키(319)는 접속 프로파일에 선택적으로 포함될 수 있다. 한 예시에 따르면, 인증 서버(109)가 ePDG(107)에게 접속 프로파일을 전송하는 경우에는 포함되지 않을 수 있다. A key 319 is a key for subscriber authentication, including for example LTE K, and is the same as the key 211 of FIG. Here, the key 319 may be optionally included in the connection profile. According to one example, when the authentication server 109 transmits the connection profile to the ePDG 107, it may not be included.

이상의 도 8에서 설명한 인증 프로파일 및 도 9에서 설명한 접속 프로파일을구성하는 정보들은 필요에 따라 추가, 삭제, 변경 될 수 있으며 세부 프로파일의 구성이 일부 다르더라도 본 발명의 흐름에 크게 벗어 나지 않으면 본 발명 범주 내에 있다고 볼 수 있다.9 and the information constituting the connection profile described with reference to FIG. 9 can be added, deleted or changed according to need, and if the configuration of the detailed profile is somewhat different, the scope of the present invention .

이상 기술한 바에 따르면, 본 발명의 실시예에 따른 전용망 접속 제어 시스템은 3GPP에서 표준화된 ePDG를 이용하여 비신뢰 접속망을 통해 전용망 접속을 요청하는 사용자 단말을 전용망으로 접속시킨다. As described above, the dedicated network access control system according to an embodiment of the present invention connects a user terminal requesting a dedicated network connection through a non-trusted access network to a private network using an ePDG standardized in 3GPP.

또한, 와이파이(WiFi)망, 유선 LAN(Local Area Network), 타 사업자 LTE 접속망을 이용해서 IP를 획득한 사용자 단말이 전용망과 연결된 전용 PGW에 접속할 수 있도록 하고, 전용 PGW를 이용하여 단일한 접점 기준의 사용량 관리 및 제어가 가능하다.In addition, a user terminal that has acquired an IP using a WiFi network, a wired LAN (Local Area Network), and another provider LTE access network can connect to a dedicated PGW connected to a private network, Can be managed and controlled.

또한, 타 통신 사업자 단말도 별도의 중계 단말 없이 전용 어플리케이션을 설치하는 것만으로 전용 PGW를 통해 전용망 접근이 가능하므로, 사용자의 통신사 선택 권한을 강화할 수 있다.In addition, another communication service provider terminal can access a dedicated network through a dedicated PGW only by installing a dedicated application without a separate relay terminal, so that a user can have a right to select a communication provider.

또한, CCTV와 같은 대용량 데이터를 전송하는 IoT 장비에서 LTE 무선 자원을 사용하지 않고, 와이파이(WiFi)나 LAN을 이용하여 전용망으로 접속이 가능하므로, 자원 효율성을 증가시키고, 안전하게 트래픽을 전용망으로 전송할 수 있다. 그리고 VPN 서버 구축 없이 전용 어플리케이션 설치만으로 전용망 접근이 가능하다.In addition, IoT equipment that transmits large amount of data such as CCTV can connect with dedicated network using WiFi or LAN without using LTE radio resources, so it can increase resource efficiency and securely transmit traffic to the private network. have. And it is possible to access the private network only by installing a dedicated application without building a VPN server.

한편, 통신 사업자들은 가입자를 위한 서비스 측면, 정부 방침 준용 등의 다양한 이유로 무료 와이파이(WiFi) 존을 확대하고 있다. 따라서, 원격지에서 공중 와이파이(Public WiFi) AP를 통하여 전용망에 접속하고자 하는 가입자 요구가 증가하고 있다. 또한, 기업 전용망 서비스를 이용하는 가입자는 보안 문제에 민감하다.따라서, 도 2에서와 같이, 단말에 접속 프로파일이 저장될 경우, 접속 프로파일의 유출 문제를 사전에 방어하기 위하여 인증 절차를 강화할 필요가 있다. On the other hand, telecom operators are expanding their free WiFi zone for a variety of reasons, including service aspects for subscribers and compliance with government policies. Therefore, there is an increasing demand for a subscriber who wants to access a private network through a public WiFi AP at a remote site. Also, as shown in FIG. 2, when a connection profile is stored in a terminal, it is necessary to strengthen the authentication procedure in order to prevent the leakage problem of the connection profile in advance .

이하, 실시예는 비신뢰 접속망의 하나인 공중 와이파이(Public WiFi) AP를 통한 전용망 접속 제어와 보안 인증 강화를 위한 구성 및 방법을 제시한다.Hereinafter, embodiments of the present invention provide a configuration and a method for a dedicated network access control and security authentication enhancement through a public WiFi AP, which is one of untrusted access networks.

도 10은 본 발명의 다른 실시예에 따른 비신뢰 접속망을 이용한 전용망 접속 제어 시스템의 구성도이고, 도 11은 도 10의 전용망 접속 인증 서버의 세부 구성을 나타낸 블록도이다.FIG. 10 is a configuration diagram of a dedicated network access control system using an untrusted access network according to another embodiment of the present invention, and FIG. 11 is a block diagram illustrating a detailed configuration of a dedicated network connection authentication server in FIG.

도 10을 참조하면, 사용자 단말은 업무 단말(401)과 인증 단말(403)을 포함한다. Referring to FIG. 10, a user terminal includes a business terminal 401 and an authentication terminal 403.

업무 단말(401)은 원격지에서 전용망(421)에 접속하여 전용망 서비스를 이용하고자 하는 단말이다. 업무 단말(401)은 와이파이(WiFi) 접속 기능을 구비하여, 공공 와이파이 AP(405)에 접속한다. The business terminal 401 is a terminal that accesses the private network 421 at a remote location and wants to use the private network service. The business terminal 401 has a WiFi connection function and connects to the public WiFi AP 405.

업무 단말(401)은 전용망 접속을 위한 전용 어플리케이션, 예를들면, VPN(Virtual Private Network) 클라이언트를 포함하고, 가입자 모듈(USIM)이 구비되지 않은 단말이다. 예를들면, 노트북, 태블릿 PC 등을 포함할 수 있다. 이때, 전용망 서비스는 기업 전용 LTE 서비스를 포함할 수 있다.The business terminal 401 is a terminal that includes a dedicated application for accessing a private network, for example, a VPN (Virtual Private Network) client, and is not provided with a subscriber module (USIM). For example, a notebook, a tablet PC, and the like. At this time, the dedicated network service may include an LTE service for enterprise use.

인증 단말(403)은 업무 단말(401)이 공공(Public) 와이파이 AP(405)를 통하여 전용망(421)에 접속하기 위한 인증을 수행하는 단말로서, 전용망 서비스에 가입된 단말이다. 인증 단말(403)은 통신 사업자의 메시지 서비스를 이용한 인증이 가능하도록 메시지 서비스 이용이 가능해야 하고, 예를들면, 스마트폰일 수 있다. 인증 단말(403)은 기지국(409)을 통해 전용망 접속 인증 서버(415)와 연결된다. 여기서, 도면에는 기지국(409)만 도시하였지만, 기본적으로, 기지국(409)은 전용 PGW(419)를 포함한 코어망(EPC)(미도시)에 연결되어 있다.The authentication terminal 403 is a terminal that performs authentication for accessing the private network 421 through the public Wi-Fi AP 405, and is a terminal subscribed to the private network service. The authentication terminal 403 must be able to use the message service to enable authentication using the message service of the communication provider, and may be, for example, a smart phone. The authentication terminal 403 is connected to the dedicated network connection authentication server 415 through the base station 409. Although only the base station 409 is shown in the figure, the base station 409 is connected to a core network (EPC) (not shown) including a dedicated PGW 419.

공공 와이파이 AP(405)는 불특정 다수를 대상으로 와이파이 서비스를 제공하는 AP로서, 전용망 서비스를 제공하는 통신 사업자가 보급한 AP이다. 공공 와이파이 AP(405)는 해당 통신 사업자의 가입 고객들을 위하여 와이파이를 통한 인터넷 접속 환경을 제공한다. 공공 와이파이 AP(405)는 인터넷(407)에 직접 접속되어 있다.The public WiFi AP 405 is an AP that provides a WiFi service to an unspecified number of users, and is an AP provided by a service provider providing a private network service. The public WiFi AP 405 provides an Internet access environment for WiFi access for its subscribers. The public WiFi AP 405 is directly connected to the Internet 407.

인터넷(407)은 공중 인터넷망을 의미하며 공인 IP로 글로벌(global) 연결성을 보장한다.The Internet 407 means a public Internet network and guarantees global connectivity with a public IP.

ePDG(411)는 업무 단말(401)에서 실행된 VPN 클라이언트와 IKEv2 통신 및 IPSec 통신을 수행한다. ePDG(411)는 도 1 ~ 도 9에서 설명한 접속 프로파일을 이용한 AAA 인증 및 전용 PGW(419)와 연동하여 세션 생성을 수행한다. The ePDG 411 performs IKEv2 communication and IPSec communication with the VPN client executed in the business terminal 401. The ePDG 411 performs session creation in conjunction with the AAA authentication and dedicated PGW 419 using the connection profiles described in FIGS. 1 to 9.

와이파이 인증 서버(413)는 업무 단말(401)의 VPN 클라이언트가 공공 와이파이 AP(405)에 접속하기 위한 임시 계정을 생성하고, 임시 계정에 할당된 ID 및 패스워드(PW)를 이용하여 업무 단말(401)을 공공 와이파이 AP(405)에 접속시키기 위한 접속 인증을 수행한다. The WiFi authentication server 413 creates a temporary account for the VPN client of the business terminal 401 to access the public WiFi AP 405 and transmits the temporary account to the business terminal 401 using the ID and the password PW assigned to the temporary account ) To the public WiFi AP (405).

전용망 접속 인증 서버(415)는 ePDG(411), 와이파이 인증 서버(413), 청약 시스템(417) 및 메시지 서비스 센터(423)와 연동하여 동작하며, 기능에 따라 구성을 세분화하면, 도 11과 같다.The dedicated network connection authentication server 415 operates in cooperation with the ePDG 411, the Wi-Fi authentication server 413, the subscription system 417 and the message service center 423, and if the configuration is subdivided according to functions, .

도 11을 참조하면, 전용망 접속 인증 서버(415)는 가입자 정보 관리부(415-1), AP 접속 인증부(415-3), 가입자 인증부(415-5) 및 전용망 접속 인증부(415-7)를 포함한다. 11, the dedicated network connection authentication server 415 includes a subscriber information management unit 415-1, an AP connection authentication unit 415-3, a subscriber authentication unit 415-5, and a dedicated network connection authentication unit 415-7 ).

가입자 정보 관리부(415-1)는 청약 시스템(417)과 온라인 상으로 연결되어 있다. 가입자 정보 관리부(415-1)는 가입자 프로파일을 관리한다. 여기서, 가입자 프로파일은 청약 시스템(417)으로부터 프로비저닝되고, 가입자의 인증정보, 접속 권한 정보, 접속이력 정보 등을 포함한다.The subscriber information management unit 415-1 is connected to the subscription system 417 on-line. The subscriber information management unit 415-1 manages the subscriber profile. Here, the subscriber profile is provisioned from subscription system 417 and includes subscriber's authentication information, access privilege information, connection history information, and the like.

AP 접속 인증부(415-3)는 와이파이 인증 서버(413)와 연동하여 동작한다. 이때, AP 접속 인증부(415-3)는 와이파이 인증 서버(413)와 RESTFUL API나 TCP/IP(Transmission Control Protocol/Internet Protocol) 연동 등의 방법을 통해 연동할 수 있다. AP 접속 인증부(415-3)는 가입자 프로파일을 토대로 업무 단말(401)의 사용 권한을 확인하고, 와이파이 인증 서버(413)와 연동하여 업무 단말(401)의 공공 와이파이 AP(405) 접속 처리를 수행한다.The AP connection authentication unit 415-3 operates in conjunction with the Wi-Fi authentication server 413. [ At this time, the AP connection authentication unit 415-3 can interwork with the WiFi authentication server 413 through a RESTFUL API or a TCP / IP (Interworking Protocol / Internet Protocol) interworking method. The AP connection authentication unit 415-3 confirms the usage right of the business terminal 401 based on the subscriber profile and performs the connection processing of the public WiFi AP 405 of the business terminal 401 in cooperation with the Wi- .

가입자 인증부(415-5)는 가입자 프로파일을 토대로 업무 단말(401)의 전용망 접속 권한을 확인하고, 메시지 서비스 센터(423)로 전용망 접속을 위한 OTP(One Time Password) 전송을 요청한다.The subscriber authenticating unit 415-5 confirms the dedicated network access right of the business terminal 401 based on the subscriber profile and requests the message service center 423 to transmit an OTP (One Time Password) for access to the dedicated network.

전용망 접속 인증부(415-7)는 ePDG(411)와 연동하여, 업무 단말(401)의 전용망 접속 인증을 수행한다. 전용망 접속 인증부(415-7)는 가입자 프로파일 및 OTP에 기초하여, 전용망 접속 인증을 수행한다.The dedicated network connection authentication unit 415-7 performs the dedicated network connection authentication of the business terminal 401 in cooperation with the ePDG 411. [ The dedicated network connection authenticating unit 415-7 performs the dedicated network connection authentication based on the subscriber profile and the OTP.

이때, 전용망 접속 인증부(415-7)는 3GPP 표준의 PCRF 기능, AAA 기능을 포함할 수 있으며, 다이아미터(Diameter)와 라디우스(Radius)를 이용하여 ePDG(411), 전용 PGW(419)와 연동한다. In this case, the dedicated network connection authenticating unit 415-7 may include a PCRF function and an AAA function according to the 3GPP standard. The ePDG 411 and the dedicated PGW 419 may be connected to each other using a Diameter and a Radius, .

전용망 접속 인증부(415-7)는 ePDG(411)와 non SIM AAA 인증을 수행하는데, 한 실시예에 따르면, 전용망 접속 인증부(415-7)는 업무 단말(401)의 VPN 클라이언트에 저장된 접속 프로파일(예, vIMSI)을 토대로 ePDG(411)와 AAA 인증을 수행할 수 있다. 다른 실시예에 따르면, 전용망 접속 인증부(415-7)는 업무 단말(401)의 VPN 클라이언트로부터 전송되고, 도 4의 실시예에서 등록된 ID/PW를 토대로 ePDG(411)와 AAA 인증을 수행할 수 있다.The dedicated network connection authentication unit 415-7 performs non-SIM AAA authentication with the ePDG 411. According to an embodiment, the dedicated network connection authentication unit 415-7 accesses the connection stored in the VPN client of the business terminal 401 AAA authentication with the ePDG 411 based on the profile (e.g., vIMSI). According to another embodiment, the dedicated network connection authentication unit 415-7 is transmitted from the VPN client of the business terminal 401 and performs AAA authentication with the ePDG 411 based on the registered ID / PW in the embodiment of FIG. 4 can do.

이때, 전용망 접속 인증 서버(415)는 도 1~ 도 9에서 설명한 인증 서버(109)에 추가로 포함되는 구성일 수 있다.At this time, the dedicated network connection authentication server 415 may be additionally included in the authentication server 109 described with reference to FIG. 1 to FIG.

다시, 도 10을 참조하면, 전용 PGW(419)는 3GPP 표준의 PGW에 해당되며, Private LTE 기술에 따라 전용망 서비스를 위하여 일반 PGW와 구분된다. 전용 PGW(419)는 전용망(421)과 전용선 등을 통하여 직접 연동한다. Referring again to FIG. 10, the dedicated PGW 419 corresponds to the PGW of the 3GPP standard, and is distinguished from the normal PGW for the dedicated network service according to the Private LTE technology. The dedicated PGW 419 directly links with the private network 421 through a dedicated line or the like.

전용망(421)은 Private LTE 서비스를 제공받는 가입자의 전용망으로서, 통상적으로 사설 IP를 사용한다. The dedicated network 421 is a private network of a subscriber who is provided with a private LTE service, and typically uses a private IP.

메시지 서비스 센터(423)는 통신 사업자가 운용하는 서버로서, SMS, MMS 등의 메시지 서비스 송수신을 처리한다. 메시지 서비스 센터(423)는 전용망 접속 인증 서버(415)의 요청에 따라 메시지를 인증 단말(403)로 전송한다.The message service center 423 is a server operated by a communication service provider and processes transmission and reception of message services such as SMS and MMS. The message service center 423 transmits a message to the authentication terminal 403 at the request of the network connection authentication server 415.

도 12는 본 발명의 한 실시예에 따른 비신뢰 접속망에 접속하는 과정을 나타낸 흐름도이고, 도 13은 본 발명의 한 실시예에 따른 인증 단말의 화면 UI(User Interface)를 나타내며, 도 14는 본 발명의 한 실시예에 따른 인증 단말의 메시지 수신 화면을 나타낸다.FIG. 12 is a flowchart illustrating a process of connecting to an untrusted access network according to an embodiment of the present invention. FIG. 13 shows a screen UI (User Interface) of an authentication terminal according to an embodiment of the present invention, 6 is a message reception screen of an authentication terminal according to an embodiment of the present invention.

본 발명의 절차를 설명하기에 앞서, 사용자의 인증 단말(403)은 전용망 LTE가입자이고, 전용망 접근을 위해 업무 단말(401)의 계정 정보가 청약 시스템(417)을 통해 전용망 접속 인증 서버(415)에 청약되어 있으며, 전용망 접근을 위한 전용의 클라이언트, 예를들면, VPN 클라이언트가 업무 단말에 설치되어 있음을 전제로 한다. Before the procedure of the present invention is described, the user's authentication terminal 403 is a private network LTE subscriber. In order to access the private network, account information of the business terminal 401 is transmitted through the subscription system 417 to the DMB access authentication server 415, And a dedicated client for accessing the dedicated network, for example, a VPN client, is installed in the business terminal.

먼저, 도 12를 참조하면, 사용자가 인증 단말(403)에서 인터넷 사용 버튼을 클릭(S701)하면, 전용망 접속 인증 서버(415)에게 공공 와이파이 AP 접속 요청을 전송한다(S703). 즉, 사용자가 회사 외부에서 업무 단말(401), 예를들면, 노트북등으로 전용망에 접근하고자 할 때, 사용자의 인증 단말(403)에 설치된 VPN 클라이언트를 실행하면, 도 13과 같이, 화면 UI(500)가 제공된다. 12, when the user clicks the Internet use button in the authentication terminal 403 (S701), the public wireless communication AP connection request is transmitted to the dedicated network connection authentication server 415 (S703). That is, when a user attempts to access a private network from a business terminal 401, such as a notebook computer or the like, from outside the company, when the VPN client installed in the user's authentication terminal 403 is executed, 500 are provided.

도 13을 참조하면, 화면 UI(500)는 전용망 LTE (스마트폰) 메뉴(501)와, 전용망 LTE (업무 단말) 메뉴(503)를 포함한다. 전용망 LTE (스마트폰) 메뉴(501)는 미접속 또는 접속을 선택할 수 있도록 구성되고, 인증 단말(403)에서 전용망(421)에 접속하기 위한 메뉴이다. 전용망 LTE (업무 단말) 메뉴(503)는 인터넷 사용 항목(505) 및 사내망 접근 항목(507)을 포함한다. Referring to FIG. 13, the screen UI 500 includes a dedicated network LTE (smartphone) menu 501 and a dedicated network LTE (business terminal) menu 503. The dedicated network LTE (smart phone) menu 501 is configured to select no connection or connection, and is a menu for accessing the private network 421 from the authentication terminal 403. [ The dedicated network LTE (business terminal) menu 503 includes an internet use item 505 and a company network access item 507. [

인터넷 사용 항목(505)은 업무 단말(401)로 공공 와이파이 AP(405)에 접속하기 위한 항목이다. 전용망 접근 항목(507)은 업무 단말(401)이 전용망에 접속하기 위한 항목이다. The Internet use item 505 is an item for accessing the public WiFi AP 405 to the business terminal 401. The dedicated network access item 507 is an item for the business terminal 401 to access the private network.

다시, 도 12를 참조하면, 사용자가 인터넷 사용 항목(505)을 클릭(S701)하면, 인증 단말(403)은 공공 와이파이 AP 접속을 요청하는 HTTP REQUEST를 전용망 접속 인증 서버(415)에게 전송할 수 있다(S703).12, when the user clicks on the Internet use item 505 (S701), the authentication terminal 403 can transmit an HTTP REQUEST requesting access to the public WiFi AP to the dedicated network connection authentication server 415 (S703).

전용망 접속 인증 서버(415)의 AP 접속 인증부(415-3)는 인증 단말(403)의 전화번호를 토대로 가입자 프로파일을 확인하여, 업무 단말(401)의 인터넷 사용 권한이 있는지 확인한다(S705). The AP connection authentication unit 415-3 of the dedicated network connection authentication server 415 checks the subscriber profile based on the telephone number of the authentication terminal 403 and checks whether the business terminal 401 has the Internet use right (S705) .

AP 접속 인증부(415-3)는 업무 단말(401)의 인터넷 사용 권한이 있다고 판단되면, 와이파이 인증 서버(413)에게 임시 계정을 요청한다(S707). If it is determined that the business terminal 401 has the right to use the Internet, the AP connection authentication unit 415-3 requests the Wi-Fi authentication server 413 for a temporary account (S707).

와이파이 인증 서버(413)는 임시 계정을 생성(S709)하고, 임시 계정의 ID 및 비밀번호(PassWord)를 포함하는 임시 계정 응답을 AP 접속 인증부(415-3)에게 전송한다(S711). 그러면, AP 접속 인증부(415-3)는 인증 단말(403)에게 공공 와이파이 AP 접속 응답, 즉, HTTP REQUEST에 대한 HTTP RESPONSE를 전송한다(S713). 동시에, 메시지 서비스 센터(423)에게 임시 계정의 ID 및 비밀번호(PassWord)를 전달하여 인증 단말(403)로의 메시지 전송을 요청한다(S715).The WiFi authentication server 413 creates a temporary account (S709), and transmits a temporary account response including the ID and the password (PassWord) of the temporary account to the AP connection authentication unit 415-3 (S711). Then, the AP connection authentication unit 415-3 transmits a public WiFi AP connection response, i.e., an HTTP RESPONSE to the HTTP REQUEST to the authentication terminal 403 (S713). At the same time, the ID of the temporary account and the password (PassWord) are transmitted to the message service center 423 to request the message transmission to the authentication terminal 403 (S715).

AP 접속 인증부(415-3)는 S715 단계에서 요청받은 임시 계정 정보 메시지를 인증 단말(403)로 전송한다(S717). The AP connection authentication unit 415-3 transmits the temporary account information message requested in step S715 to the authentication terminal 403 (S717).

한 실시예에 따르면, 와이파이 인증 서버(413)는 임시 계정의 사용 기한을 특정할 수 있으며, 임시 계정 정보 메시지는 도 14와 같이 구현될 수 있다.According to one embodiment, the Wi-Fi authentication server 413 can specify the expiration date of the temporary account, and the temporary account information message can be implemented as shown in FIG.

도 14를 참조하면, 임시 계정 정보 메시지(P1)는 "(0103333444)님의 요청으로 WiFi 임시 계정이 발급되었으며, 2017.4.7.15시까지 유효합니다. [Id:ps001, pw: qw1234!"라는 문구를 포함한다. 여기서, (0103333444)는 인증 단말(403)의 전화번호를 지칭한다. 또한, 임시 계정이 유효한 시간 정보를 포함한다. Referring to FIG. 14, the temporary account information message P1 is issued at the request of (0103333444), and a WiFi temporary account has been issued and is valid until April 15, 2017. [Id: ps001, pw: qw1234! . Here, (0103333444) refers to the telephone number of the authentication terminal 403. Also, the temporary account contains valid time information.

이때, 임시 계정 정보를 HTTP RESPONSE가 아닌, 별도의 메시지 전송을 통해전달하는 이유는 USIM 제거, USIM 변경, 전화번호 변경 등에 대해 해당 사용자에 대한 실시간 인증이 가능해져서 보안이 보다 강화되기 때문이다.In this case, the temporary account information is transmitted through a separate message transmission instead of the HTTP RESPONSE, because real-time authentication for the user can be performed for USIM removal, USIM change, telephone number change, and the like.

다시, 도 12를 참조하면, 업무 단말(401)은 와이파이 접속 화면을 실행하여S717 단계에서 수신한 임시 계정 정보, 즉, 도 14의 Id, pw를 입력(S719)하여, 공공 와이파이 AP(405)로 접속을 요청한다(S721). 12, the business terminal 401 executes the Wi-Fi connection screen, inputs the temporary account information received in step S717, i.e., Id and pw in FIG. 14 (S719), and transmits it to the public WiFi AP 405 (S721).

공공 와이파이 AP(405)는 와이파이 인증 서버(413)와 접속 인증을 수행한다(S723). 즉, 공공 와이파이 AP(405)는 S721 단계에서 수신한 임시 계정 정보가 S709 단계에서 생성된 임시 계정 정보와 일치하는지 판단한다. 예를들면, 도 14의 Id, pw가 S709 단계에서 생성된 정보와 일치하는지 판단한다.The public WiFi AP 405 performs connection authentication with the Wi-Fi authentication server 413 (S723). That is, the public WiFi AP 405 determines whether the temporary account information received in step S721 is identical to the temporary account information generated in step S709. For example, it is determined whether Id and pw in FIG. 14 coincide with the information generated in step S709.

접속 인증에 성공하면, 공공 와이파이 AP(405)는 업무 단말(401)에게 접속 허가를 전송한다(S725). 그러면, 업무 단말(401)은 공공 와이파이 AP(405)를 거쳐 인터넷(407)에 연결된다(S727).If the connection authentication is successful, the public WiFi AP 405 transmits a connection permission to the business terminal 401 (S725). Then, the business terminal 401 is connected to the Internet 407 via the public WiFi AP 405 (S727).

이상 기술한 S701 단계 ~ S727 단계는 도 3의 S201 단계 또는 도 5의 S401 단계 이전에 수행될 수 있다.The steps S701 to S727 described above may be performed before the step S201 of FIG. 3 or the step S401 of FIG.

도 15는 본 발명의 다른 실시예에 따른 전용망 접속 제어 과정을 나타낸 순서도이고, 도 16은 본 발명의 실시예에 따른 전용망 접속 화면의 구성을 나타낸다.FIG. 15 is a flowchart illustrating a process of controlling access to a dedicated network according to another embodiment of the present invention, and FIG. 16 illustrates a configuration of a dedicated network connection screen according to an embodiment of the present invention.

이때, 사용자의 업무 단말(401)은 인터넷 사용의 경우, 별도 VPN 클라이언트 없이 접속 및 사용이 가능하다. 하지만, 전용망 접근을 원하는 경우, 사전에 VPN 클라이언트를 설치해야 하고, 전용망 접속을 위한 ID 및 PW를 별도로 부여 받아 사용함을 전제로 한다. 이러한 ID 및 PW는 전술한 바와 같이 ePDG가 접속 프로파일 획득할 때 사용하는 ID/PW와 동일하다.At this time, in case of using the Internet, the business terminal 401 of the user can connect and use without using a separate VPN client. However, when it is desired to access the private network, the VPN client must be installed in advance, and it is assumed that the ID and the PW for the private network connection are separately given and used. These IDs and PWs are the same as ID / PWs used when the ePDG obtains the connection profile as described above.

도 15를 참조하면, 사용자가 단순 인터넷 업무 이외에 원격으로 전용망 접속을 원하는 경우, 사용자 인증 단말(403)의 전용 앱 UI, 즉, 도 13의 항목(503) 중에서 "전용망 접근" 항목(507)을 클릭(S801)하면, 전용망 접속 인증 서버(415)로 전용망 접속 요청을 전송한다(S803). 이때, 전용망 접속을 요청하는 HTTP REQUEST를 전송할 수 있다. Referring to FIG. 15, when the user desires to access the private network remotely in addition to the simple Internet operation, the "dedicated network access" item 507 among the items 503 of the dedicated application UI of the user authentication terminal 403, When the click (S801), the dedicated network connection authentication server 415 transmits a dedicated network connection request (S803). At this time, an HTTP REQUEST requesting a dedicated network connection can be transmitted.

그러면, 전용망 접속 인증 서버(415)의 가입자 인증부(415-5)는 S803 단계에서 수신한 전용망 접속 요청에 기초하여 업무 단말(401)의 전용망 접속 요청임을 인지한다. 가입자 인증부(415-5)는 인증 단말(403)의 전화번호에 기초하여 가입자 프로파일을 확인하여 업무 단말(401)의 접속 권한 정보를 확인한다(S805). 업무 단말(401)이 전용망 접속 권한이 부여된 단말로 확인되면, 전용망 접속 요청에 응답하는 HTTP RESPONSE를 인증 단말(403)로 전송한다(S807). Then, the subscriber authenticating unit 415-5 of the dedicated network connection authentication server 415 recognizes that it is a dedicated network connection request of the business terminal 401 based on the dedicated network connection request received in step S803. The subscriber identity unit 415-5 checks the subscriber profile based on the telephone number of the authentication terminal 403 and confirms the access right information of the business terminal 401 (S805). If the business terminal 401 is confirmed as a terminal to which a dedicated network access right is granted, the terminal transmits an HTTP RESPONSE to the authentication terminal 403 in response to the dedicated network access request (S807).

가입자 인증부(415-5)는 OTP를 생성(S809)하여, 메시지 서비스 센터(423)에게 OTP 전송을 요청한다(S811). 그러면, 메시지 서비스 센터(423)는 OTP 메시지를 인증 단말(403)로 전송하며, 이때, OTP 메시지는 도 14와 같이 구현될 수 있다. The subscriber authenticating unit 415-5 generates an OTP (S809), and requests the message service center 423 to transmit the OTP (S811). Then, the message service center 423 transmits the OTP message to the authentication terminal 403, and the OTP message can be implemented as shown in FIG.

도 14를 참조하면, OTP 메시지는 "(0103333444)님의 요청으로 전용망 접근을위한 OTP가 발급되었으며, 재접속시 다시 신청하시기 바랍니다. [OTP: !^new5678]"라는 문구를 포함할 수 있다. Referring to FIG. 14, an OTP message for an access to a private network is issued at the request of (0103333444), and the OTP message may include a phrase [OTP:! ^ New5678] ".

다시, 도 15를 참조하면, 업무 단말(401)은 사용자로부터 도 16과 같은 전용망 접속 화면에 접속 정보, 즉, ID, PW, OTP를 입력(S815)받은 후, ePDG(411)에게 전용망 접속 요청을 전송한다(S817). 이때, 전용망 접속 요청은 업무 단말(401)의 VPN 클라이언트에 이미 포함된 vIMSI와 S815 단계에서 입력된 OTP, ID/PW를 포함한다.15, the business terminal 401 receives the access information (ID, PW, OTP) on the dedicated network connection screen as shown in FIG. 16 (S815) from the user and then transmits the access network access request to the ePDG 411 (S817). At this time, the dedicated network connection request includes the vIMSI already included in the VPN client of the business terminal 401 and the OTP and ID / PW inputted in operation S815.

ePDG(411)는 전용망 접속 인증 서버(415)의 전용망 접속 인증부(415-7)와 접속 인증을 수행한다(S819). 이때, S819 단계는 접속 프로파일을 토대로 접속 인증, 즉, AAA 인증을 한다는 점에서 도 5의 S421 단계와 유사하다. 특히, 업무 단말(401)의 접속 프로파일은 도 5의 S421 단계에서처럼, ePDG(411)가 도 4를 통해 사전에 등록하고, S815 단계에서 입력한 ID/PW에 매칭되는 접속 프로파일을 획득한다.The ePDG 411 performs connection authentication with the private network connection authentication unit 415-7 of the private network connection authentication server 415 (S819). In this case, step S819 is similar to step S421 of FIG. 5 in that connection authentication based on the connection profile, that is, AAA authentication is performed. 5, the ePDG 411 registers the connection profile of the business terminal 401 in advance through FIG. 4 and obtains the connection profile matched with the ID / PW input in step S815.

그러나, S819 단계가 도 5의 S421 단계와 다른 점은 OTP 인증을 추가로 한다는 점이다. 전용망 접속 인증부(415-7)는 ID/PW에 매칭되는 접속 프로파일 인증을 수행하고, OTP가 S809 단계에서 생성한 OTP인지를 판단하는 인증을 수행한다. 이 실시예에서는 업무 단말(401)이 전용망에 접속할 때마다 S801 단계 ~ S813 단계가 수행되고, OTP 인증을 추가로 한다.However, step S819 differs from step S421 of FIG. 5 in that OTP authentication is added. The dedicated network connection authenticating unit 415-7 performs authentication of the connection profile matching the ID / PW and performs authentication to determine whether the OTP is the OTP generated in step S809. In this embodiment, steps S801 to S813 are performed each time the business terminal 401 connects to the private network, and OTP authentication is additionally performed.

ePDG(411)는 S819 단계에서 접속 인증에 성공하면, 전용 PGW(419)에게 세션 생성 요청을 전송한다(S821). 전용 PGW(419)는 전용망 접속 인증 서버(415)와 PDN(Packet Data Network) 인증을 수행한다(S823). 전용망 접속 인증부(415-7)는 접근 정책 또는 전용망 접속 제어 정보(트래픽 제어 정보 등)을 전용 PGW(419)에게 전송한다. If the ePDG 411 succeeds in the connection authentication in step S819, the ePDG 411 transmits a session creation request to the dedicated PGW 419 (S821). The dedicated PGW 419 performs PDN (Packet Data Network) authentication with the dedicated network connection authentication server 415 (S823). The dedicated network connection authentication unit 415-7 transmits the access policy or the dedicated network connection control information (traffic control information and the like) to the dedicated PGW 419. [

전용 PGW(419)에게 PDN 인증이 정상적으로 처리되었다면, 세션 생성 응답에 전용망 IP 정보를 포함시켜, ePDG(411)에게 전송한다(S825).If the PDN authentication is normally performed to the dedicated PGW 419, the dedicated network IP information is included in the session creation response and transmitted to the ePDG 411 (S825).

ePDG(411)는 전용망 IP 정보를 포함하는 전용망 접속 응답을 업무 단말(401)로 전송한다(S827). The ePDG 411 transmits a dedicated network connection response including the dedicated network IP information to the business terminal 401 (S827).

그러면, 업무 단말(401)과 ePDG(411)간 IPSec 터널링(S829)이 생성되며, ePDG(411)와 전용 PGW(419) 간에는 GTP 터널링(s831)이 생성되어, 업무 단말(401)은 전용망(421)에 접속한다. Then, IPSec tunneling (S829) is generated between the business terminal 401 and the ePDG 411, and GTP tunneling (s831) is generated between the ePDG 411 and the dedicated PGW 419, 421).

이와 같이, 본 발명에서는 ID/PW외 추가로 OTP 정보를 입력받아 인증함으로써, 업무 단말(401)의 분실이나 도난시에는 접속이 불가능하게 할 수 있다.As described above, according to the present invention, when the business terminal 401 is lost or stolen, the connection can be disabled by receiving and authenticating the OTP information in addition to the ID / PW.

이상의 실시예는 공공 와이파이 AP를 통해 전용망에 접속하는 경우를 설명하였으나, 도 15는 사설 와이파이 AP, 즉, 사용자가 임시 계정이 아닌, 가입자 계정을 통해 사설 와이파이 AP에 접속한 이후, S801 단계를 수행할 수도 있다.Although the above embodiment describes a case of accessing the private network through the public Wi-Fi AP, FIG. 15 shows a case where the private Wi-Fi AP, i.e., the user accesses the private Wi-Fi AP through the subscriber account rather than the temporary account, You may.

이러한 실시예에 따르면, 서비스 이용자는 전용망 LTE 인증을 통해 외부에서도 업무 단말(401), 즉, VPN 클라이언트가 설치되고 와이파이 접속만 가능한 업무 단말(401)로 공공 와이파이 AP(405)에 접속하여 인터넷을 사용할 수 있다. 그리고 원격 전용망 접속 기능 또한 사용할 수 있다. 또한, 기본 인증시 인증 단말(403)과 연동하여 메시지 서비스, 예를들면, SMS 방식의 OTP 인증을 통하여 강력한 사용자 인증 기능을 제공할 수 있다. According to this embodiment, the service user accesses the public WiFi AP 405 through the private network LTE authentication to the business terminal 401, that is, the business terminal 401 in which the VPN client is installed and only the WiFi connection is available. Can be used. You can also use the remote access network connection function. In addition, a strong user authentication function can be provided through a message service, for example, OTP authentication using an SMS method, in cooperation with the authentication terminal 403 during basic authentication.

따라서, 가입자 구성원(이용자)은 해당 통신 사업자의 공공 와이파이 AP 접속 계정을 별도 신청하지 않고, 인증 단말(403)을 통한 전용망 LTE 인증으로 업무 단말(401)로 인터넷을 사용할 수 있다.Accordingly, the subscriber member (the user) can use the Internet as the business terminal 401 by the exclusive network LTE authentication through the authentication terminal 403 without separately requesting the public WiFi AP connection account of the communication carrier.

또한, 가입자 구성원(이용자)은 업무 단말(401)의 인터넷 접속 상태에서 VPN서버를 접속하지 않고 전용망 LTE 인증을 통해 OTP를 부여받고 업무 단말(401)로 전용망(421)에 접근할 수 있다. 그리고 업무 단말(401)로 전용망 접근시 OTP 인증을 함께 사용해 전용망(421)의 보안성을 보다 높일 수 있다. In addition, the subscriber member (user) can receive the OTP through the dedicated network LTE authentication without accessing the VPN server while the business terminal 401 is connected to the Internet, and access the dedicated network 421 with the business terminal 401. The OTP authentication may be used together with the business terminal 401 to access the private network 421 to enhance the security of the private network 421.

또한, 관리자는 VPN 서버를 별도로 운용하지 않고 도 13과 같이 전용망 LTE 관리 화면으로 업무 단말(401), 인증 단말(403)의 접속 이력을 통합 관리할 수 있다.In addition, the administrator can manage the access history of the business terminal 401 and the authentication terminal 403 integrally with the dedicated network LTE management screen as shown in FIG. 13 without operating the VPN server separately.

한편, 도 17은 본 발명의 실시예에 따른 단말의 하드웨어 블록도로서, 도 1 ~ 도 16에서 설명한 사용자 단말(101, 111), 업무 단말(401), 인증 단말(403) 각각의 하드웨어 구성을 나타낸다. 17 is a hardware block diagram of a terminal according to an embodiment of the present invention. The hardware configuration of each of the user terminals 101 and 111, the business terminal 401 and the authentication terminal 403 described with reference to Figs. .

도 17을 참조하면, 단말(600)은 메모리 장치(601), 저장 장치(603), 통신 장치(605), 디스플레이(607) 및 프로세서(609) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 16을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)들을 포함하고, 메모리 장치(601) 및 프로세서(609) 등의 하드웨어와 결합하여 본 발명을 구현한다. 17, the terminal 600 comprises hardware including a memory device 601, a storage device 603, a communication device 605, a display 607, and a processor 609, A program executed in combination with hardware is stored. The hardware has a configuration and performance capable of executing the present invention. The program includes instructions implementing the method of operation of the present invention described with reference to FIGS. 1 through 16, and in combination with hardware such as memory device 601 and processor 609 implement the present invention.

도 18은 본 발명의 실시예에 따른 네트워크 장치의 하드웨어 블록도로서, 도 1 ~ 도 16에서 설명한 ePDG(107, 411), 인증 서버(109), 자사 PGW(117), 와이파이 인증 서버(413), 전용망 접속 인증 서버(415), 전용 PGW(419) 각각의 구성을 나타낸다.18 is a hardware block diagram of a network device according to an embodiment of the present invention. The ePDG 107, 411, the authentication server 109, the PGW 117, the Wi-Fi authentication server 413, The dedicated network connection authentication server 415, and the dedicated PGW 419, respectively.

도 18을 참조하면, 네트워크 장치(700)는 메모리 장치(701), 저장 장치(703), 통신 장치(705) 및 프로세서(707) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 16을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어들을 포함하고, 메모리 장치(701) 및 프로세서(707) 등의 하드웨어와 결합하여 본 발명을 구현한다.18, the network device 700 comprises hardware including a memory device 701, a storage device 703, a communication device 705, and a processor 707, and is coupled to hardware at a designated location The program to be executed is stored. The hardware has a configuration and performance capable of executing the present invention. The program includes instructions implementing the method of operation of the present invention as described with reference to FIGS. 1 through 16, and in combination with hardware such as memory device 701 and processor 707 implement the present invention.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present invention described above are not implemented only by the apparatus and method, but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (28)

사용자 단말의 접속 프로파일을 저장하고, 상기 사용자 단말에 대하여 사용자 인증을 수행하는 인증 서버, 그리고
비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하면, 상기 사용자 단말 또는 상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)를 포함하고,
상기 비신뢰 접속망은,
망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하는, 전용망 접속 제어 시스템.
An authentication server for storing a connection profile of the user terminal and performing user authentication for the user terminal,
The method comprising the steps of: when receiving a request for access to the private network of the user terminal through the untrusted access network, transmitting, to the packet data network gateway (PGW) using the access profile of the user terminal received from the user terminal or the authentication server, And an Evolved Packet Data Gateway (ePDG) requesting a communication session creation between the terminal and the dedicated network,
The untrusted access network includes:
A network not requiring a subscriber module (Universal Subscriber Identity Module (USIM) when a network is connected, or a communication network of a third party other than a communication provider providing the dedicated network.
제1항에서,
상기 접속 프로파일은,
가상 IMSI(International Mobile Subscriber Identify), 가상 MSDN(Mobile Subcriber Directory Number), 가상 IMEI(International Mobile Equipment Identity) 중에서 적어도 하나를 포함하는 단말 식별 정보, 전용망을 구분하는 단위인 APN(Access Point Name) 및 가입자 인증키를 포함하는, 전용망 접속 제어 시스템.
The method of claim 1,
The connection profile includes:
Terminal identification information including at least one of a virtual IMSI (International Mobile Subscriber Identify), a virtual MSDN (Mobile Subscribers Directory Number), and a virtual IMEI (International Mobile Equipment Identity), an APN (Access Point Name) And an authentication key.
제1항에서,
상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
상기 인증 서버와 연동하여 상기 접속 프로파일을 토대로 상기 사용자 단말이 상기 전용망에 접속할 수 있는 권한이 있는지 확인하는 접속 프로파일 인증을 수행하고,
상기 접속 프로파일 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는, 전용망 접속 제어 시스템.
The method of claim 1,
The evolved packet data gateway (ePDG)
Performing connection profile authentication in cooperation with the authentication server to determine whether the user terminal is authorized to access the dedicated network based on the connection profile,
And requests the packet data network gateway (PGW) to generate the communication session if the connection profile is successfully authenticated.
제3항에서,
상기 인증 서버는,
상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 사용자 단말의 전용망 접속 요청을 수신하기 전에, 상기 사용자 단말과 별개의 인증 단말로부터 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하고,
상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 요청이 수신되면, 상기 접속 프로파일 인증과 함께 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며,
상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
상기 인증 서버가 상기 인증들에 모두 성공하면, 상기 통신 세션 생성을 요청하고,
상기 전용망 접속 요청은, 이동통신망을 통하여 전달되고,
상기 전용망 접속 요청은, 비신뢰 접속망을 통하여 전달되는, 전용망 접속 제어 시스템.
4. The method of claim 3,
The authentication server includes:
Wherein the evolved packet data gateway (ePDG) receives a dedicated network connection authentication request from an authentication terminal different from the user terminal before receiving the dedicated network connection request of the user terminal, and transmits a one-time password (One Time Password, OTP)
And performs authentication to determine whether the one-time password (OTP) is valid with the connection profile authentication when a dedicated network connection request is received from the evolved packet data gateway (ePDG)
The evolved packet data gateway (ePDG)
If the authentication server succeeds in all of the authentications, request the communication session creation,
The dedicated network connection request is transmitted through a mobile communication network,
Wherein the dedicated network connection request is transmitted through an untrusted access network.
제4항에서,
상기 인증 서버는,
상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 사용자 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송하는, 전용망 접속 제어 시스템.
5. The method of claim 4,
The authentication server includes:
(UE) access authority of the user terminal for the dedicated network connection authentication request based on the telephone number of the authentication terminal, and transmits the one-time password (OTP) if it is determined that the access network has a right to access the dedicated network.
제5항에서,
상기 인증 서버는,
상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행하는, 전용망 접속 제어 시스템.
The method of claim 5,
The authentication server includes:
And transmits a message including the one-time password (OTP) to the authentication terminal separately from the authentication network.
제1항에서,
상기 인증 서버는,
상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 인증 요청을 수신하여, 상기 인증 요청에 포함된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션으로부터 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말로 전송하고,
상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
상기 접속 프로파일이 포함된 전용망 접속 요청을 상기 사용자 단말로부터 수신하는, 전용망 접속 제어 시스템.
The method of claim 1,
The authentication server includes:
Receives an authentication request from a dedicated application executed in the user terminal, and sends an OTP (One Time Password) to a telephone number included in the authentication request, and when the OTP received from the dedicated application matches the OTP Transmitting a connection profile of the user terminal to the user terminal,
The evolved packet data gateway (ePDG)
And receives a dedicated network connection request including the connection profile from the user terminal.
제1항에서,
상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 ID 및 패스워드를 포함하는 전용망 접속 요청을 수신하면, 상기 인증 서버에게 상기 ID 및 패스워드를 전달하여 상기 인증 서버로부터 상기 ID 및 패스워드를 통해 확인된 상기 사용자 단말의 접속 프로파일을 수신하는, 전용망 접속 제어 시스템.
The method of claim 1,
The evolved packet data gateway (ePDG)
When receiving a dedicated network connection request including an ID and a password from a dedicated application executed in the user terminal, transfers the ID and the password to the authentication server and transmits the ID and the password to the authentication server, ≪ / RTI >
제8항에서,
상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
상기 인증 서버로부터 수신한 상기 사용자 단말의 접속 프로파일을 상기 사용자 단말의 접속 이력과 함께 로컬 캐시에 저장하고,
상기 전용망 접속 요청이 수신되면, 상기 로컬 캐시에 저장된 접속 프로파일이 없을 경우에, 상기 인증 서버에게 요청하여 수신하는, 전용망 접속 제어 시스템.
9. The method of claim 8,
The evolved packet data gateway (ePDG)
Stores the connection profile of the user terminal received from the authentication server in the local cache together with the connection history of the user terminal,
Upon receiving the dedicated network connection request, requesting and receiving from the authentication server when there is no connection profile stored in the local cache.
제8항에서,
상기 인증 서버는,
상기 사용자 단말에서 실행된 전용 어플리케이션으로부터 등록 요청이 수신되면, 상기 등록 요청에 포함된 상기 ID 및 패스워드를 등록하고,
상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 수신된 ID 및 패스워드가 기 등록된 정보인 경우, 상기 사용자 단말의 접속 프로파일을 전송하는, 전용망 접속 제어 시스템.
9. The method of claim 8,
The authentication server includes:
When receiving a registration request from a dedicated application executed in the user terminal, registering the ID and the password included in the registration request,
And transmits the connection profile of the user terminal when the ID and the password received from the evolved packet data gateway (ePDG) are pre-registered information.
제10항에서,
상기 인증 서버는,
상기 ID 및 패스워드를 통해 확인된 전화번호로 OTP(One Time Password)를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 사용자 단말의 접속 프로파일을 상기 진화된 패킷 데이터 게이트웨이(ePDG)로 전송하고,
상기 전용 어플리케이션으로부터 수신된 전화번호로 OTP를 발송하고, 상기 전용 어플리케이션에게 요청하여 수신된 OTP와, 상기 발송한 OTP가 일치하면, 상기 전용 어플리케이션으로부터 등록 요청된 ID 및 패스워드를 등록하는, 전용망 접속 제어 시스템.
11. The method of claim 10,
The authentication server includes:
(OTP) to the telephone number confirmed through the ID and the password, and transmits a One Time Password (OTP) to the dedicated application. If the received OTP is identical to the received OTP, To the packet data gateway (ePDG)
And transmits the OTP to the telephone number received from the dedicated application, and registers the ID and the password requested for registration from the dedicated application when the OTP received from the dedicated application is identical to the received OTP, system.
제11항에서,
상기 인증 서버는,
상기 사용자 단말의 ID 별로 OTP 인증 여부를 나타내는 OTP 인증 옵션 정보, 패스워드 사용 여부를 나타내는 패스워드 사용 정보, OTP 및 패스워드를 저장하는 OTP/패스워드 정보 및 가입자 인증키를 저장하는 인증 프로파일을 생성하여 관리하고,
상기 인증 프로파일을 이용하여 상기 사용자 단말에 대한 사용자 인증을 수행하는, 전용망 접속 제어 시스템.
12. The method of claim 11,
The authentication server includes:
OTP authentication option information indicating whether or not OTP authentication is performed for each ID of the user terminal, password usage information indicating whether a password is used, OTP / password information for storing an OTP and a password, and an authentication profile for storing a subscriber authentication key,
And performs user authentication on the user terminal using the authentication profile.
진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)가 사용자 단말의 전용망 접속을 제어하는 방법으로서,
비신뢰 접속망을 통하여 상기 사용자 단말의 전용망 접속 요청을 수신하는 단계, 그리고
상기 전용망 접속 요청에 포함된 접속 프로파일 또는 인증 서버로부터 획득한 접속 프로파일을 이용하여 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, PGW)에게 상기 사용자 단말과 전용망 간의 통신 세션 생성을 요청하는 단계를 포함하고,
상기 비신뢰 접속망은,
망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하고,
상기 접속 프로파일은,
상기 사용자 단말을 식별할 수 있는 정보 및 상기 사용자 단말이 네트워크 접속시 필요한 정보를 포함하는, 전용망 접속 제어 방법.
A method for an evolved packet data gateway (ePDG) to control a dedicated network connection of a user terminal,
Receiving a dedicated network connection request of the user terminal through an untrusted access network, and
And requesting a packet data network gateway (PGW) to create a communication session between the user terminal and the dedicated network using the connection profile included in the dedicated network connection request or the connection profile acquired from the authentication server,
The untrusted access network includes:
A communication network which does not require a subscriber module (Universal Subscriber Identity Module (USIM) when the network is connected, or a communication network of a third party other than a communication service provider providing the dedicated network,
The connection profile includes:
Wherein the user terminal includes information for identifying the user terminal and information necessary for connecting the user terminal to the network.
제13항에서,
상기 요청하는 단계는,
상기 전용망 접속 요청에 상기 접속 프로파일이 포함되어 있는 경우, 상기 인증 서버와 연동하여 상기 접속 프로파일을 토대로 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 인증을 수행하는 단계, 그리고
상기 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는 단계
를 포함하는, 전용망 접속 제어 방법.
The method of claim 13,
Wherein the requesting step comprises:
If the access network access request includes the access profile, authenticating whether the user terminal has the access network access right based on the access profile in cooperation with the authentication server, and
If the authentication is successful, requesting the packet data network gateway (PGW) to generate the communication session
And a control unit for controlling the access to the dedicated network.
제13항에서,
상기 요청하는 단계는,
상기 전용망 접속 요청에 ID 및 패스워드가 포함된 경우, 상기 ID 및 패스워드를 상기 인증 서버로 전송하는 단계,
상기 ID 및 패스워드로부터 확인된 접속 프로파일을 상기 인증 서버로부터 수신하는 단계,
수신한 접속 프로파일을 토대로 상기 인증 서버와 연동하여 상기 사용자 단말이 상기 전용망 접속 권한이 있는지 인증을 수행하는 단계, 그리고
상기 인증에 성공하면, 상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 상기 통신 세션 생성을 요청하는 단계
를 포함하는, 전용망 접속 제어 방법.
The method of claim 13,
Wherein the requesting step comprises:
Transmitting the ID and the password to the authentication server when the ID and the password are included in the dedicated network connection request,
Receiving a connection profile identified from the ID and password from the authentication server;
Authenticating whether the user terminal is authorized to access the dedicated network based on the received connection profile in cooperation with the authentication server, and
If the authentication is successful, requesting the packet data network gateway (PGW) to generate the communication session
And a control unit for controlling the access to the dedicated network.
제13항에서,
상기 요청하는 단계 이후,
상기 전용망에 통신 세션이 연결된 사용자 단말로부터 위치 정보 업데이트를수신하는 단계,
상기 패킷 데이터 네트워크 게이트웨이(PGW)에게 업데이트된 위치 정보를 포함하는 베어러 변경 메시지를 전송하여 베어러 변경 응답 메시지를 수신하는 단계, 그리고
상기 사용자 단말에게 위치 정보 업데이트 완료를 전송하는 단계
를 포함하는, 전용망 접속 제어 방법.
The method of claim 13,
After the requesting step,
Receiving a location information update from a user terminal to which a communication session is connected to the dedicated network,
Receiving a bearer change response message by transmitting a bearer change message including updated location information to the packet data network gateway (PGW); and
Transmitting the location information update completion to the user terminal
And a control unit for controlling the access to the dedicated network.
제13항에서,
상기 수신하는 단계 이전에,
상기 사용자 단말과 별개의 인증 단말로부터 수신되는 전용망 접속 인증 요청에 따라 상기 인증 단말에게 일회용 패스워드(One Time Password, OTP)를 전송하는 단계를 더 포함하고,
상기 요청하는 단계는,
상기 인증 서버가 상기 접속 프로파일을 이용한 인증과, 상기 일회용 패스워드가 유효한지 여부를 판단하는 인증을 모두 성공하면, 상기 통신 세션 생성을 요청하는, 전용망 접속 제어 방법.
The method of claim 13,
Before the receiving step,
Further comprising the step of transmitting a one-time password (OTP) to the authentication terminal according to a dedicated network connection authentication request received from an authentication terminal separate from the user terminal,
Wherein the requesting step comprises:
And requests the communication server to generate the communication session if the authentication server succeeds in both authentication using the connection profile and authentication for determining whether the one-time password is valid.
전용망을 제공하는 통신 사업자가 비신뢰하는 비신뢰 접속망에 접속하는 통신 장치, 그리고
상기 전용망에 접속하기 위한 접속 요청 신호를 생성하고, 상기 접속 요청 신호를 상기 통신 장치를 통해 진화된 패킷 데이터 게이트웨이(Envolved Packet Data Gateway, ePDG)에게 전송하는 프로세서를 포함하고,
상기 접속 요청 신호는
인증 서버로부터 수신한 접속 프로파일 또는 상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 인증 서버로부터 상기 접속 프로파일을 획득할 수 있는 인증 정보를 포함하는, 사용자 단말.
A communication device for accessing a non-trusted access network which is unreliable by a communication provider providing a private network, and
A processor for generating an access request signal for accessing the dedicated network and transmitting the access request signal to an evolved packet data gateway (ePDG) through the communication device,
The connection request signal
Wherein the connection profile received from the authentication server or the evolved packet data gateway (ePDG) comprises authentication information from which the connection profile can be obtained from the authentication server.
제18항에서,
상기 프로세서는
상기 진화된 패킷 데이터 게이트웨이(ePDG)로부터 전용망 접속 응답을 수신하여 상기 전용망에 연결된 이후,
감시 타이머를 구동하여 상기 감시 타이머가 만료하면, 현재 위치 정보를 포함하는 위치 정보 업데이트를 상기 진화된 패킷 데이터 게이트웨이(ePDG)에게 전송하는, 사용자 단말.
The method of claim 18,
The processor
Receiving a dedicated network connection response from the evolved packet data gateway (ePDG) and connecting to the dedicated network,
And when the watchdog timer expires, driving a watchdog timer to transmit a location information update including current location information to the evolved packet data gateway (ePDG).
제18항에서,
상기 비신뢰 접속망은,
망 접속 시 가입자 모듈(Universal Subscriber Identity Module, USIM)이 요구되지 않는 통신망 또는 상기 전용망을 제공하는 통신 사업자가 아닌 타 사업자의 통신망을 포함하는, 사용자 단말.
The method of claim 18,
The untrusted access network includes:
A communication network of a subscriber module (Universal Subscriber Identity Module, USIM) is not required, or a communication network of a third party other than a communication service provider providing the dedicated network.
불특정 다수에게 제공되는 공공(Public) 와이파이(WiFi) AP(Access Point)와 연결되어, 상기 공공 와이파이 AP를 통하여 업무 단말로부터 수신한 임시 계정 정보가 유효한지 판단하는 접속 인증을 수행하고, 상기 임시 계정 정보가 유효하면, 상기 업무 단말의 상기 공공 와이파이 AP 접속을 허가하는 와이파이 인증 서버, 그리고
이동통신망을 통하여 수신한 인증 단말의 요청에 따라 상기 임시 계정 정보를 상기 와이파이 인증 서버로부터 획득하여, 상기 인증 단말로 전송하는 전용망 접속 인증 서버를 포함하고,
상기 업무 단말로부터 수신한 임시 계정 정보는,
상기 인증 단말이 수신한 상기 임시 계정 정보를 상기 업무 단말이 사용자로부터 입력받은 것인, 전용망 접속 제어 시스템.
And performs connection authentication to determine whether the temporary account information received from the business terminal through the public Wi-Fi AP is valid, connected to a public Wi-Fi AP (Access Point) provided to the unspecified majority, A Wi-Fi authentication server for allowing the business terminal to access the public Wi-Fi AP if the information is valid, and
And a network access authentication server for acquiring the temporary account information from the WiFi authentication server according to a request of the authentication terminal received through the mobile communication network and transmitting the temporary account information to the authentication terminal,
Wherein the temporary account information received from the business terminal comprises:
Wherein the business terminal receives the temporary account information received by the authentication terminal from a user.
제21항에서,
상기 전용망 접속 인증 서버는,
가입자의 업무 단말 정보 및 인증 단말 정보를 포함하는 가입자 프로파일을 저장하고,
상기 이동통신망을 통하여 상기 인증 단말로부터 상기 업무 단말의 공공 와이파이 AP 접속 요청이 수신되면, 상기 가입자 프로파일을 토대로 상기 업무 단말의 사용 권한을 확인하고, 상기 사용 권한이 있다고 판단되면, 상기 와이파이 인증 서버에게 상기 임시 계정을 요청하는, 전용망 접속 제어 시스템.
22. The method of claim 21,
Wherein the dedicated network connection authentication server comprises:
Storing subscriber profiles including subscriber's business terminal information and authentication terminal information,
Wherein when a request for access to the public Wi-Fi AP of the business terminal is received from the authentication terminal through the mobile communication network, the use authority of the business terminal is confirmed based on the subscriber profile, And requests the temporary account.
제22항에서,
상기 전용망 접속 인증 서버는,
상기 공공 와이파이 AP 접속 요청에 대한 응답 전송과, 상기 임시 계정 정보의 전송을 별개로 수행하고,
통신 사업자의 메시지 서비스를 이용하여 상기 임시 계정 정보를 상기 인증 단말로 전송하는, 전용망 접속 제어 시스템.
The method of claim 22,
Wherein the dedicated network connection authentication server comprises:
Performing a response transmission to the public WiFi AP connection request and transmission of the temporary account information separately,
And transmits the temporary account information to the authentication terminal using a message service of the communication provider.
제23항에서,
상기 업무 단말의 공공 와이파이 AP 접속 요청은,
상기 인증 단말의 전용 어플리케이션 메뉴 중에서, 상기 업무 단말의 인터넷 사용이 선택되는 이벤트에 의하여 트리거되고,
상기 전용 어플리케이션 메뉴는,
상기 인증 단말을 통한 전용망 접속 온오프 설정 메뉴와, 상기 업무 단말의 인터넷 사용 및 전용망 접속을 포함하는 업무 단말 설정 메뉴로 구분되는, 전용망 접속 제어 시스템.
24. The method of claim 23,
The public Wi-Fi AP connection request of the business terminal,
Wherein, among the exclusive application menus of the authentication terminal, the internet use of the business terminal is triggered by an event selected,
The dedicated application menu includes:
A dedicated network connection on / off setting menu through the authentication terminal, and a business terminal setting menu including an internet use and a dedicated network connection of the business terminal.
제21항에서,
상기 업무 단말로부터 전용망 접속 요청을 수신하고, 전용망으로 통신 세션 생성을 요청하는 진화된 패킷 데이터 게이트웨이(ePDG)를 더 포함하고,
상기 전용망 접속 인증 서버는,
상기 진화된 패킷 데이터 게이트웨이(ePDG)가 상기 전용망 접속 요청을 수신하기 전에, 상기 인증 단말로부터 상기 이동통신망을 통하여 전용망 접속 인증 요청을 수신하여, 상기 인증 단말에게 상기 일회용 패스워드(OTP)를 전송하고,
상기 패킷 데이터 게이트웨이(ePDG)와 연동하여 상기 업무 단말의 접속 프로파일을 통한 인증 및 상기 일회용 패스워드(OTP)가 유효한지 판단하는 인증을 수행하며,
상기 진화된 패킷 데이터 게이트웨이(ePDG)는,
상기 전용망 접속 인증 서버가 인증들에 모두 성공하는 경우, 상기 전용망으로 통신 세션 생성을 요청하는, 전용망 접속 제어 시스템.
22. The method of claim 21,
Further comprising an evolved packet data gateway (ePDG) for receiving a leased line connection request from the business terminal and requesting a communication network to be created by the leased network,
Wherein the dedicated network connection authentication server comprises:
Receiving the dedicated network connection authentication request from the authentication terminal through the mobile communication network and transmitting the one-time password (OTP) to the authentication terminal before the evolved packet data gateway (ePDG) receives the dedicated network connection request,
Performs authentication through the connection profile of the business terminal and authentication to determine whether the one-time password (OTP) is valid, in cooperation with the packet data gateway (ePDG)
The evolved packet data gateway (ePDG)
And requests creation of a communication session with the dedicated network when the dedicated network connection authentication server succeeds in all of the authentications.
제25항에서,
상기 전용망 접속 인증 서버는,
상기 인증 단말의 전화번호를 토대로 상기 전용망 접속 인증 요청에 대한 상기 업무 단말의 전용망 접속 권한을 확인하고, 상기 전용망 접속 권한이 있다고 판단되면, 상기 일회용 패스워드(OTP)를 전송하는, 전용망 접속 제어 시스템.
26. The method of claim 25,
Wherein the dedicated network connection authentication server comprises:
Wherein the authentication server verifies the authorized network access right of the business terminal with respect to the dedicated network access authentication request based on the telephone number of the authentication terminal and transmits the one-time password (OTP) if it is determined that the access right is authorized.
제25항에서,
상기 전용망 접속 인증 서버는,
상기 인증 단말에게 전용망 접속 인증 응답을 전송하는 동작과, 상기 일회용 패스워드(OTP)가 포함된 메시지를 상기 인증 단말에게 전송하는 동작을 별개로 수행하는, 전용망 접속 제어 시스템.
26. The method of claim 25,
Wherein the dedicated network connection authentication server comprises:
And transmits a message including the one-time password (OTP) to the authentication terminal separately from the authentication network.
제25항에서,
상기 전용망 접속 인증 서버는,
상기 인증 단말과 HTTP 방식으로 요청 및 응답을 수신하는, 전용망 접속 제어 시스템.
26. The method of claim 25,
Wherein the dedicated network connection authentication server comprises:
And receives a request and a response in a HTTP manner from the authentication terminal.
KR1020170082623A 2017-02-22 2017-06-29 System, method and user terminal for private network access control using untrusted access network KR102048469B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170023741 2017-02-22
KR1020170023741 2017-02-22

Publications (2)

Publication Number Publication Date
KR20180097113A true KR20180097113A (en) 2018-08-30
KR102048469B1 KR102048469B1 (en) 2020-01-08

Family

ID=63453698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170082623A KR102048469B1 (en) 2017-02-22 2017-06-29 System, method and user terminal for private network access control using untrusted access network

Country Status (1)

Country Link
KR (1) KR102048469B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114902789A (en) * 2019-12-31 2022-08-12 华为技术有限公司 Communication method and device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102236656B1 (en) * 2020-06-23 2021-04-07 주식회사 이노스코리아 Secured communication device providing secured connection having multiple functions and method for operating thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120070027A (en) * 2010-12-21 2012-06-29 주식회사 케이티 Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network
KR20160027990A (en) * 2013-07-08 2016-03-10 콘비다 와이어리스, 엘엘씨 Connecting imsi-less devices to the epc

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120070027A (en) * 2010-12-21 2012-06-29 주식회사 케이티 Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network
KR20160027990A (en) * 2013-07-08 2016-03-10 콘비다 와이어리스, 엘엘씨 Connecting imsi-less devices to the epc

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114902789A (en) * 2019-12-31 2022-08-12 华为技术有限公司 Communication method and device

Also Published As

Publication number Publication date
KR102048469B1 (en) 2020-01-08

Similar Documents

Publication Publication Date Title
US11089480B2 (en) Provisioning electronic subscriber identity modules to mobile wireless devices
US10505718B1 (en) Systems, devices, and techniques for registering user equipment (UE) in wireless networks using a native blockchain platform
RU2745719C2 (en) Implementation of inter-network connection function using untrusted network
CN110786034B (en) Method, user equipment and functional node for network slice privacy consideration
US8769626B2 (en) Web authentication support for proxy mobile IP
US9113332B2 (en) Method and device for managing authentication of a user
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
KR102390380B1 (en) Support of emergency services over wlan access to 3gpp evolved packet core for unauthenticated users
US10826945B1 (en) Apparatuses, methods and systems of network connectivity management for secure access
US20200359212A1 (en) System and method for deriving a profile for a target endpoint device
CN103931267A (en) Method for establishing data connectivity between a wireless communication device and a core network over an ip access network, wireless communication device and communication system
EP2477360A1 (en) Session updating method for authentication, authorization and accounting and equipment and system thereof
CN113260016B (en) Multi-mode terminal access control method and device, electronic equipment and storage medium
EP2317694B1 (en) Method and system and user equipment for protocol configuration option transmission
WO2016155012A1 (en) Access method in wireless communication network, related device and system
KR20140055857A (en) System and method for providing mobility in heterogeneous network
WO2009152676A1 (en) Aaa server, p-gw, pcrf, method and system for obtaining the ue's id
EP4030798A1 (en) Method for implementing external authentication, communication device and communication system
KR102048469B1 (en) System, method and user terminal for private network access control using untrusted access network
EP2299748B1 (en) Method and system for supporting mobility security in the next generation network
KR102367169B1 (en) Method for supporting intranet access and network system implementing the same method
KR101465416B1 (en) Wifi and wimax internetworking
KR102185215B1 (en) Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal
KR102209289B1 (en) Security and information supporting method and system for proximity based service in mobile telecommunication system environment
CN113498055B (en) Access control method and communication equipment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant