KR20190001485A - System and method for controlling access of a user terminal accesing a private network through the untrusted network access point - Google Patents
System and method for controlling access of a user terminal accesing a private network through the untrusted network access point Download PDFInfo
- Publication number
- KR20190001485A KR20190001485A KR1020170134866A KR20170134866A KR20190001485A KR 20190001485 A KR20190001485 A KR 20190001485A KR 1020170134866 A KR1020170134866 A KR 1020170134866A KR 20170134866 A KR20170134866 A KR 20170134866A KR 20190001485 A KR20190001485 A KR 20190001485A
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- authentication
- private network
- access
- location information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 기술에 관한 것이다.The present invention relates to a technique for controlling connection of a user terminal connected to a private network through an untrusted network.
IMS 플랫폼을 통해 LTE망에서 ALL-IP 서비스를 제공하려는 시도가 지속적으로 이루어지고 있고, WiFi 네트워크 또한 비면허 대역을 이용한 무선통신 기술이라는 장점을 바탕으로 GiGA급 전송기술로의 고도화가 이루어지고 있다. 이에 따라, LTE와 WiFi 네트워크를 연동/병합할 필요성이 증가하고, 이를 위해 여러 기술들(LTE-A, LTE-U, LWA 및 MPTCP Proxy 등)이 시도되고 있다.Attempts have been made to provide ALL-IP services in LTE networks through the IMS platform, and WiFi networks are also being upgraded to GiGA transmission technology based on the advantage of wireless communication technology using a license-exempt band. As a result, there is an increasing need to interwork and merge LTE and WiFi networks, and various technologies (LTE-A, LTE-U, LWA, MPTCP Proxy, etc.) are being attempted.
WiFi와 같은 비신뢰망에서 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하려면 신뢰망을 경유하여야 한다. 구체적으로, WiFi 액세스 포인트와 같은 비신뢰망 접속 장치를 통해 사설망으로 접속하려는 사용자 단말은 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG)를 거쳐 신뢰망의 기지국으로 액세스한다. 이를 위해, 사용자 단말은 인증 서버와 상호 인증 과정을 수행하며, 인증 서버는 상호 인증에 성공한 경우 사용자 단말의 액세스를 허용한다.To connect to a private network connected to a packet data network gateway (P-GW) in an untrusted network such as WiFi, a trust network must be used. Specifically, a user terminal to access a private network through a non-trusted network access device such as a WiFi access point accesses the base station of the trust network via an evolved packet data gateway (ePDG). To this end, the user terminal performs a mutual authentication process with the authentication server, and the authentication server permits the access of the user terminal when mutual authentication is successful.
상호 인증 과정에서, 종래 기술은 SIM 기반의 인증방식(EAP-AKA 또는 EAP-SIM) 또는 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말과 인증 서버간 상호 인증을 수행하였다.In the mutual authentication process, the conventional technology performs mutual authentication between the user terminal and the authentication server through the SIM-based authentication method (EAP-AKA or EAP-SIM) or the EAP-MSCHAPv2 authentication method.
그러나, SIM 기반의 인증방식(예를 들어, EAP-AKA 또는 EAP-SIM 인증)은 통신사에 대한 종속성이 있어 B2B(Business to Business)를 대상으로 하는 서비스에서 사용될 경우 특정 사업자가 각기 다른 임직원의 통신사에 맞춰 서비스를 제공하기 어렵다는 문제가 있다.However, when a SIM-based authentication method (for example, EAP-AKA or EAP-SIM authentication) has a dependency on a communication company and is used in a service for B2B (Business to Business), a specific business operator There is a problem in that it is difficult to provide services in conformity with the present invention.
또한, 종래의 EAP-MSCHAPv2 방식은 사용자 단말의 위치정보(예를 들면, 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보)를 인증 서버로 전송할 수 없는바, 종업원이 비신뢰망을 통해 사설망으로 접속하는 경우, 어떤 액세스 포인트를 통해 접속하였는지, 어떤 지역에서 접속하였는지 결정하기 어려워 보안 측면에서 취약한 단점이 있었다.In addition, since the conventional EAP-MSCHAPv2 scheme can not transmit the location information of the user terminal (for example, the identification information of the untrusted network access device connected to the user terminal) to the authentication server, It is difficult to determine from which area the access point is accessed and from which area, which is a weak point in terms of security.
본 발명이 해결하고자 하는 과제는 사용자 단말의 위치 정보에 기초하여 사용자 단말의 사설망으로의 접속을 제어하는 시스템 및 방법을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention provides a system and method for controlling access to a private network of a user terminal based on location information of the user terminal.
본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법은 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하기 위한 접속 요청을 수신하는 단계, 상기 접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 단계, 그리고 상기 인증이 성공적으로 완료되면, 상기 패킷 데이터 네트워크 게이트웨이를 통해 상기 사용자 단말이 상기 사설망으로 접속하도록 허용하는 단계를 포함한다.A method for controlling a connection of a user terminal to a private network of a user terminal access control system according to an embodiment of the present invention includes the steps of receiving, from a user terminal connected to an untrusted network access device, a packet data network gateway (P- The method comprising the steps of: receiving a connection request for connection to a private network connected to a private network (GW); authenticating whether the user terminal is allowed to access the private network based on location information of the user terminal extracted from the connection request; And allowing the user terminal to access the private network via the packet data network gateway when the authentication is successfully completed.
상기 인증하는 단계는 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.The authentication step determines that the authentication of the user terminal is successfully completed when the location information of the user terminal is the location information of the area allowed to access the private network.
상기 사용자 단말의 위치 정보는 상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고, 상기 사설망으로 접속이 허용된 지역의 위치 정보는 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함한다.Wherein the location information of the user terminal includes identification information of the untrusted network access apparatus or GPS information of the user terminal and location information of the area allowed to be accessed by the private network is transmitted to the untrusted network connection Identification information of the device, or GPS information permitted to be connected to the private network.
상기 사용자 단말 접속 제어 방법은 상기 사용자 단말로 재인증 요청을 전송하는 단계, 상기 사용자 단말로부터 상기 재인증 요청에 대응하는 재인증 응답을 수신하는 단계, 상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고 상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계를 더 포함한다.The method includes transmitting a re-authentication request to the user terminal, receiving a re-authentication response corresponding to the re-authentication request from the user terminal, extracting location information of the user terminal extracted from the re- Re-authenticating that the user terminal is a terminal allowed to connect to the private network, and if the re-authentication is successfully completed, maintaining the connection of the user terminal to the private network .
상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며, 상기 재인증하는 단계는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.Wherein the location information of the user terminal extracted from the re-authentication response includes identification information of an untrusted network access device connected to the user terminal after the authentication or GPS information of the user terminal, When the identification information of the untrusted network access apparatus to which the user terminal is connected or the GPS information of the user terminal is the identification information of the untrusted network access apparatus allowed to be connected to the private network or the GPS information permitted to be accessed by the private network, It is determined that the authentication of the user terminal has been completed successfully.
상기 사용자 단말 접속 제어 방법은 상기 사용자 단말로부터 재인증 요청을 수신하는 단계, 상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고 상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계를 더 포함한다.Wherein the user terminal access control method comprises: receiving a re-authentication request from the user terminal; determining whether the user terminal is allowed to access the private network based on location information of the user terminal extracted in the re- And maintaining the connection of the user terminal to the private network when the re-authentication is successfully completed.
상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며, 상기 재인증하는 단계는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.Wherein the location information of the user terminal extracted from the re-authentication request includes identification information of an untrusted network access device connected to the user terminal after the authentication or GPS information of the user terminal, When the identification information of the untrusted network access apparatus to which the user terminal is connected or the GPS information of the user terminal is the identification information of the untrusted network access apparatus allowed to be connected to the private network or the GPS information permitted to be accessed by the private network, It is determined that the authentication of the user terminal has been completed successfully.
상기 사용자 단말 접속 제어 방법은 상기 비신뢰망 접속 장치와는 다른 새로운 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 상기 사설망으로 재접속하기 위한 재접속 요청을 수신하는 단계, 상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고 상기 재인증이 성공적으로 완료되면, 상기 사용자 단말이 상기 사설망으로 재접속하도록 하는 단계를 더 포함한다. The method comprising: receiving a reconnection request from a user terminal connected to a new untrusted network access apparatus different from the untrusted network access apparatus for reconnection to the private network; Re-authenticating the user terminal based on the location information of the user terminal that is allowed to access the private network, and causing the user terminal to reconnect to the private network when the re-authentication is successfully completed .
상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보는 상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보를 포함하며, 상기 재인증하는 단계는 상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.Wherein the location information of the user terminal extracted from the reconnection request includes identification information of the new untrusted network access apparatus or GPS information of the user terminal after the authentication, Identification information or the GPS information of the user terminal after the authentication is the identification information of the untrusted network access device allowed to access to the private network or the GPS information permitted to access the private network, .
본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템은 비신뢰망 접속 장치에 접속한 사용자 단말로부터 패킷 데이터 네트워크 게이트웨이에 연결된 사설망 접속을 위한 접속 요청을 수신하고, 상기 접속 요청에서 상기 사용자 단말의 위치 정보를 추출하는 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG), 그리고 상기 진화된 패킷 데이터 게이트웨이로부터 상기 사용자 단말의 위치 정보를 포함하는 인증 요청을 수신하고, 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 인증 서버를 포함하며, 상기 인증이 성공적으로 완료되면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망을 연결한다.A user terminal access control system according to an embodiment of the present invention receives a connection request for a private network connection from a user terminal connected to an untrusted network access device and connected to a packet data network gateway, An Evolved Packet Data Gateway (ePDG) for extracting information from the packet data gateway, and an authentication request including location information of the user terminal from the evolved packet data gateway, And an authentication server for authenticating whether the user terminal is a terminal allowed to access the private network. When the authentication is successfully completed, the evolved packet data gateway connects the user terminal and the private network.
상기 인증 서버는 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 인증 응답을 전송한다.The authentication server transmits the authentication response to the evolved packet data gateway when the location information of the user terminal is location information of an area allowed to access the private network.
상기 사용자 단말의 위치 정보는 상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고, 상기 사설망으로 접속이 허용된 지역의 위치 정보는 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함한다.Wherein the location information of the user terminal includes identification information of the untrusted network access apparatus or GPS information of the user terminal and location information of the area allowed to be accessed by the private network is transmitted to the untrusted network connection Identification information of the device, or GPS information permitted to be connected to the private network.
상기 사용자 단말 접속 제어 시스템은 고객 관리 서버를 더 포함하고, 상기 사용자 단말은 상기 고객 관리 서버를 통해 재인증 요청을 상기 인증 서버로 전송하며, 상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하고, 상기 재인증이 성공적으로 완료되면 상기 진화된 패킷 데이터 게이트웨이로 재인증 응답을 전송하고, 상기 재인증 응답을 수신하면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망의 접속을 유지하도록 한다.The user terminal access control system may further include a customer management server, wherein the user terminal transmits a re-authentication request to the authentication server through the customer management server, and the authentication server transmits, And transmits the re-authentication response to the evolved packet data gateway when the re-authentication is successfully completed, and transmits the re-authentication response to the evolved packet data gateway when the re-authentication is successfully completed. Upon receipt, the evolved packet data gateway maintains a connection between the user terminal and the private network.
상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 재인응 응답을 전송한다.The authentication server transmits the re-authentication response to the evolved packet data gateway when the location information of the user terminal included in the re-authentication request is location information of an area allowed to access the private network.
상기 사용자 단말의 위치 정보는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고, 상기 사설망으로 접속이 허용된 지역의 위치 정보는 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함한다.Wherein the location information of the user terminal includes identification information of an untrusted network access device connected to the user terminal after the authentication or GPS information of the user terminal and location information of an area allowed to be accessed by the private network is transmitted to the private network The identification information of the untrusted network access device to which connection is permitted or the GPS information which is allowed to be connected to the private network.
본 발명에 따르면, 사용자 단말의 위치 정보에 기초하여 사용자 단말의 접속을 제어함으로써, 더욱 정교한 보안 솔루션을 제공할 수 있다.According to the present invention, a more sophisticated security solution can be provided by controlling the connection of the user terminal based on the location information of the user terminal.
도 1은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 구현되는 환경을 도시하는 도면이다.
도 2는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.
도 3은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.
도 4는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 환경을 도시하는 도면이다.
도 5는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 다른 방법을 나타낸 흐름도이다.
도 7은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 8은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 핸드오버 발생시 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 9는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하는 환경을 도시하는 도면이다.
도 10은 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하여 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.1 is a diagram illustrating an environment in which a user terminal access control system according to an embodiment of the present invention is implemented.
2 is a flowchart illustrating a method for controlling access to a private network of a user terminal according to an embodiment of the present invention.
3 is a flowchart illustrating a method of controlling a connection of a user terminal to a private network through an EAP-MSCHAPv2 authentication method according to an embodiment of the present invention.
4 is a diagram illustrating an environment in which a user terminal access control system according to an embodiment of the present invention performs re-authentication of a user terminal.
5 is a flowchart illustrating a method for performing re-authentication of a user terminal according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating another method of performing a re-authentication of a user terminal according to an embodiment of the present invention.
7 is a flowchart illustrating a method for a user terminal access control system according to an embodiment of the present invention to perform re-authentication of a user terminal through an EAP-MSCHAPv2 authentication method.
FIG. 8 is a flowchart illustrating a method for performing a re-authentication of a user terminal in the event of a handover, according to an embodiment of the present invention.
9 is a diagram illustrating an environment in which a user terminal access control system according to an embodiment of the present invention cooperates with a customer management server.
10 is a flowchart illustrating a method in which a user terminal access control system performs reauthentication of a user terminal in cooperation with a customer management server.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.
도 1은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 구현되는 환경을 도시하는 도면이다.1 is a diagram illustrating an environment in which a user terminal access control system according to an embodiment of the present invention is implemented.
도 1을 참고하면, 사용자 단말(100)은 IP(Internet Protocol)를 지원하는 운영 시스템(Operating System, OS), WiFi 모뎀, LTE 모뎀, LAN 등 IP 기반의 통신을 가능하게 하는 하드웨어를 포함하여, 인터넷에 접속이 가능한 단말이다.1, the
사용자 단말(100)은 비신뢰망 접속 장치(200)를 통해 패킷데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)(400)에 연결된 사설망(500)으로 접속을 시도한다.The
사용자 단말(100)은 사설망(500)으로 접속하기 위해, 전용 어플리케이션을 탑재하여 실행할 수 있고, 전용 어플리케이션은 스마트폰 앱, PC의 클라이언트 프로그램 등을 위한 응용 프로그램의 형태로 구현될 수 있다.The
사용자 단말(100)이 사설망(500)으로 접속을 시도하는 경우, 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)로 사설망(500)에 대한 접속을 요청한다. 이 경우, 접속 요청은 사용자 단말(100)의 위치 정보를 포함한다.When the
사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 또는 사용자 단말(100)의 GPS 정보 중 적어도 하나를 포함할 수 있다.The location information of the
비신뢰망 접속 장치(200)는 비신뢰 접속망의 접속 장치로서, WiFi 액세스 포인트를 지칭할 수 있다.The untrusted
사용자 단말 접속 제어 시스템(300)은 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG)(310) 및 인증 서버(320)를 포함한다.The user terminal
진화된 패킷 데이터 게이트웨이(310)는 3GPP에서 표준화된 네트워크 장치로서, 인증 서버(320) 및 패킷 데이터 네트워크 게이트웨이(400)와 연결된다.The evolved
진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)로부터 접속 요청을 수신하면, 접속 요청에서 사용자 단말(100)의 위치 정보를 추출하고, 사용자 단말(100)의 위치 정보를 포함하는 인증 요청을 인증 서버(320)로 전송한다.Upon receiving the connection request from the
진화된 패킷 데이터 게이트웨이(310)는 인증 서버(320)에 의해 사용자 단말(100)의 인증이 성공적으로 완료되면, 사용자 단말(100)의 사설망(500)으로의 접속을 허용하는 접속 응답을 사용자 단말(100)로 전송한다.When the authentication of the
접속 응답을 수신한 사용자 단말(100)이 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)으로 접속시, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)과 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)을 연결한다.The evolved
이 경우, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)에서 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)으로 데이터를 이동시키는 게이트웨이 기능을 한다.In this case, the evolved
인증 서버(320)는 사용자 단말(100)의 인증을 위한 인증 전용 서버로서, 진화된 패킷 데이터 게이트웨이(310)와 연결된다.The
인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로부터 수신한 사용자단말(100)의 위치 정보에 기초하여 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 인증한다.The
구체적으로, 인증 서버(320)는 사설망(500)으로 접속이 허용된 사용자 단말의 위치 정보를 저장한다. 예를 들면, 인증 서버(320)는 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보를 포함할 수 있다.Specifically, the
인증 서버(320)는 사용자 단말(100)의 위치 정보가 사설망(500)으로 접속이 허용된 사용자 단말의 위치 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료되었음을 알리는 인증 응답을 진화된 패킷 데이터 게이트웨이(310)로 전송한다. When the location information of the
인증 응답을 수신한 진화된 패킷 데이터 게이트웨이(310)는 사설망(500)으로의 접속을 허용하는 접속 응답을 사용자 단말(100)로 전송한다.Upon receiving the authentication response, the evolved
패킷 데이터 네트워크 게이트웨이(400)는 3GPP 표준 노드로서, 진화된 패킷 데이터 게이트웨이(310) 및 사설망(500)과 연결된다.The packet
패킷 데이터 네트워크 게이트웨이(400)는 사설망(500)을 위한 전용 P-GW일 수 있다.The packet
사설망(500)은 기업 인트라넷일 수 있다.The
이제, 도 2를 참고하여, 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 위치 정보에 기초하여 사용자 단말(100)의 사설망(500)으로의 접속을 허용하는 실시예를 설명한다.Now, referring to Fig. 2, an embodiment in which the user terminal
도 2는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.2 is a flowchart illustrating a method for controlling access to a private network of a user terminal according to an embodiment of the present invention.
도 2를 참고하면, 비신뢰망 접속 장치를 통해 사설망으로 접속하려는 사용자는 사용자 단말(100)에 탑재된 전용 어플리케이션(미도시)을 실행하고 로그인한다(S100).Referring to FIG. 2, a user who intends to connect to the private network through the untrusted network access device executes a dedicated application (not shown) mounted on the
로그인이 성공적으로 수행되면, 사용자 단말(100)은 기 저장된 사용자 단말(100)의 위치 정보를 획득하거나, 사용자가 로그인할 당시 사용자 단말(100)의 위치 정보를 획득한다.When the login is successfully performed, the
사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 또는 사용자 단말(100)의 GPS 정보 중 적어도 하나를 포함할 수 있다.The location information of the
사용자 단말(100)은 사용자 단말(100)의 위치 정보를 획득하기 위해, 사용자 단말(100)에 탑재된 위치 어플리케이션을 실행하여 위치 정보를 수집할 수 있다.The
사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)로 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500) 접속을 위한 접속 요청을 전송한다(S110).The
접속 요청은 단계 S100에서 획득한 사용자 단말(100)의 위치 정보를 포함한다. 구체적으로, 사용자 단말(100)이 접속 요청으로서 접속 요청 메시지를 진화된 패킷 데이터 게이트웨이(310)로 전송하는 경우, 사용자 단말(100)은 접속 요청 메시지의 비어있는 슬롯(slot) 상에 사용자 단말(100)의 위치 정보 데이터를 포함시킬 수 있다.The connection request includes the location information of the
또한, 접속 요청은 사설망(500)으로 접속하기 위해 사용자 단말(100)의 인증이 필요한지 여부를 알리는 정보를 포함할 수 있다. 이러한 정보는 사용자 단말(100)이 진화된 패킷 데이터 게이트웨이(310) 및 인증 서버(320)와 이미 인증 과정을 수행하였는지 여부를 표시하는 정보를 포함할 수 있다.The connection request may also include information indicating whether authentication of the
진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)의 접속 요청을 분석하여 사용자 단말(100)의 인증이 필요한지 여부를 확인하고, 인증이 필요한 경우 인증 요청을 인증 서버(320)로 전송한다(S120).The evolved
이 때, 진화된 패킷 데이터 게이트웨이(310)는 접속 요청에서 사용자 단말(100)의 위치 정보를 추출하고, 추출한 위치 정보를 인증 요청에 포함시킨다.At this time, the evolved
인증 서버(320)는 인증 요청에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 인증한다(S130).The
구체적으로, 인증 서버(320)는 사용자 단말(100)의 위치 정보가 사설망(500)으로 접속이 허용된 지역의 위치 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.The
예를 들면, 사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 및/또는 사용자 단말(100)의 GPS 정보를 포함할 수 있다. 이 경우, 인증 서버(320)는 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보를 사설망(500)으로 접속이 허용된 지역의 위치 정보로서 저장할 수 있다.For example, the location information of the
이 때, 인증 서버(320)는 비신뢰망 접속 장치(200)의 식별 정보 및/또는 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정할 수 있다.At this time, the
사용자 단말(100)의 인증이 성공적으로 완료되면, 인증 서버(320)는 사용자 단말(100)의 인증이 성공적으로 완료되었음을 알리는 인증 응답을 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S140).When authentication of the
인증 응답을 수신한 진화된 패킷 데이터 게이트웨이(310)는 사설망(500)으로의 접속을 허용하는 접속 응답을 사용자 단말(100)로 전송한다(S150). 이 경우, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)과 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)을 연결한다.Upon receiving the authentication response, the evolved
도 2에서, 사용자 단말(100)은 사용자 단말(100)의 단말 식별 정보 및 사용자 단말(100)의 사용자 식별 정보를 추가로 획득할 수 있다.In FIG. 2, the
예를 들면, 사용자 단말(100)은 단말 설정 상에 저장된 정보로부터 사용자 단말(100)의 단말 식별 정보를 획득할 수 있다. 또한, 사용자 단말(100)은 사용자 단말(100)의 보안을 위해 저장된 사용자의 생체인식 정보(예를 들면, 지문 등)를 사용자 식별 정보로서 획득할 수 있다.For example, the
사용자 단말(100)은 단말 식별 정보 및 사용자 식별 정보를 접속 요청에 추가로 포함시킬 수 있다.The
이 경우, 인증 서버(320)는 사설망(500)으로의 접속이 허용된 단말의 단말 식별 정보 및 사용자 식별 정보를 추가로 저장한다.In this case, the
또한, 인증 서버(320)는 사용자 단말(100)의 단말 식별 정보 및 사용자 식별 정보가 사설망(500)으로의 접속이 허용된 단말의 단말 식별 정보 및 사용자 식별 정보와 각각 대응되는지 추가적으로 확인하여, 위치 정보, 단말 식별 정보 및 사용자 식별 정보가 모두 대응하는 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정할 수 있다.The
도 3은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a method of controlling a connection of a user terminal to a private network through an EAP-MSCHAPv2 authentication method according to an embodiment of the present invention.
비록 도 3에서는 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 접속을 제어하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 사용자 단말(100)의 접속을 제어할 수 있다.Although the user terminal
도 3을 참고하면, 비신뢰망 접속 장치(200)를 통해 사설망(500)으로 접속하려는 사용자는 사용자 단말(100)에 탑재된 전용 어플리케이션을 실행하고 EAP-MSCHAPv2 인증을 위해 필요한 아이디 및 패스워드를 이용하여 로그인한다(S200).3, a user accessing the
로그인이 성공적으로 완료되면, 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)로 사설망(500)에 대한 접속 요청을 전송한다(S210).When the login is successfully completed, the
사용자 단말 접속 제어 시스템(300)이 접속 요청을 수신하면, 사용자 단말(100)과 진화된 패킷 데이터 게이트웨이(310)는 초기 암호화를 수행하기 위해, IKEv2_SA_INIT를 교환한다(S220).When the user terminal
IKEv2_SA_INT 메시지 교환을 통해, IKE 메시지 보호에 필요한 IKE_SA를 생성하며, 교환 이후 모든 메시지는 IKEv2_SA_INIT 교환에서 협상된 암호화 알고리즘 및 키를 사용하여 암호로 보호된다.Through the IKEv2_SA_INT message exchange, IKE_SA is generated to protect the IKE message, and all messages after the exchange are password protected using the cryptographic algorithm and key negotiated in the IKEv2_SA_INIT exchange.
IKE_SA를 생성한 후, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함한 IKEv2_AUTH_REQ 메시지를 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S230).After generating the IKE_SA, the
구체적으로, 사용자 단말(100)은 기 저장된 사용자 단말(100)의 위치 정보를 획득하거나, 사용자가 로그인할 당시 사용자 단말(100)의 위치 정보를 획득한다.Specifically, the
사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 또는 사용자 단말(100)의 GPS 정보 중 적어도 하나를 포함할 수 있다.The location information of the
이 후, 사용자 단말(100)은 IKEv2_AUTH_REQ 메시지에 포함된 IDi(Identification - Initiator)의 데이터 포맷을 변경하여 IDi에 사용자 단말(100)의 위치 정보를 추가한다.Thereafter, the
구체적으로, EAP-MSCHAPv2에서 IDi값은 NAI 포맷을 따르며, NAI에 대한 넘버링 규정 및 포맷은 3GPP TS23.003에 정의되어 있다. TS23.003에서 정의하는 IDi의 포맷은 다음과 같다.Specifically, the IDi value in EAP-MSCHAPv2 conforms to the NAI format, and the numbering rules and format for the NAI are defined in 3GPP TS 23.003. The format of IDi defined in TS23.003 is as follows.
*<IMSI>nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org* <IMSI> nai.epc.mnc <MNC> .mcc <MCC> .3gppnetwork.org
사용자 단말(100)은 위와 같은 IDi 포맷에 ACCESS POINT INFORMATION 섹션을 추가하고, 추가된 섹션에 사용자 단말(100)의 위치 정보의 데이터 값을 포함시킨다. 추가 데이터가 포함된 IDi의 포맷은 다음과 같다.The
*<IMSI>@LOCATION INFORMATION: nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org* <IMSI> @LOCATION INFORMATION: nai.epc.mnc <MNC> .mcc <MCC> .3gppnetwork.org
추가 데이터가 포함된 IDi의 포맷은 다음의 규칙을 따른다.The format of the IDi with additional data follows the following rules.
추가 데이터 값은 nai앞에 위치한다.Additional data values precede nai.
만일 사용자 단말(100)의 접속 정보의 데이터 값이 추가적으로 포함된 경우, 비신뢰망 접속 장치(200)의 식별 정보의 데이터 값과 사용자 단말(100)의 접속 정보의 데이터 값은"_"을 이용하여 구분한다.If the data value of the connection information of the
추가된 데이터 값은 ":"으로 끝난다.The added data value ends with ":".
예를 들면, 사용자 단말(100)의 위치 정보로서 비신뢰망 접속 장치(200)의 식별 정보와 사용자 단말(100)의 GPS 정보가 포함된 경우, IDi의 포맷은 다음과 같은 포맷을 예시로 가질 수 있다.For example, when the identification information of the untrusted
*<IMSI>@12-45-67-89_3735.0079.6646: nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org* <IMSI> @ 12-45-67-89_3735.0079.6646: nai.epc.mnc <MNC> .mcc <MCC> .3gppnetwork.org
상기 예시에서 추가된 데이터 값 "12-45-67-89_3735.0079.6646"을 살펴보면, 전단의 "12-45-67-89"는 비신뢰망 접속 장치(200)의 식별 정보에 대한 데이터 값의 예시이며, 후단의 "3735.0079.6646"은 사용자 단말(100)의 GPS 정보에 대한 데이터 값의 예시이다. 사용자 단말(100)이 접속한 비신뢰망 접속 장치(200)의 식별 정보에 대한 데이터 값과 사용자 단말(100)의 GPS 정보에 대한 데이터 값은"_"로 구분한다.12-45-67-89_3735.0079.6646 "added in the above example," 12-45-67-89 "at the front end indicates an example of the data value for the identification information of the untrusted
이 후, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함한 IKEv2_AUTH_REQ 메시지를 진화된 패킷 데이터 게이트웨이(310)에 전송한다.Thereafter, the
IKEv2_AUTH_REQ 메시지를 수신한 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)의 위치 정보를 추출하고, 사용자 단말(100)의 위치 정보를 포함하는 DER 메시지를 인증 서버(320)로 전송한다(S240).The evolved
인증 서버(320)는 DER 메시지에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 인증한다(S250).The
구체적으로, 인증 서버(320)는 EAP-MSCHAPv2 인증 방식으로 사용자 단말(100)과 상호 인증 과정을 수행하되, 사용자 단말(100)의 위치 정보와 사설망(500)으로의 접속이 허용된 위치 정보가 대응하는지 추가적으로 결정한다.Specifically, the
만일 사용자 단말(100)의 위치 정보가 사설망(500)으로 접속이 허용된 지역의 위치 정보인 경우, 인증 서버(320)는 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.If the location information of the
사용자 단말(100)의 위치 정보가 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 포함하는 상기 예시에서, 인증 서버(320)는 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 및/또는 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정할 수 있다.In the above example in which the location information of the
사용자 단말(100)의 인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 DEA 메시지를 전송한다(S260).When authentication of the
DEA 메시지를 수신한 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)로 IKEv2_AUTH_RESP 메시지를 전송한다(S270). 상기 단계들을 통해, 사용자 단말(100)과 인증 서버(320) 사이에 EAP-MSCHAPv2를 통한 상호 인증 절차가 완료된다.Upon receiving the DEA message, the evolved
상호 인증 절차가 완료되면 사용자 단말(100)과 진화된 패킷 데이터 게이트웨이(310) 사이에 IPSec 터널이 생성되고, 진화된 패킷 데이터 게이트웨이(310)와 패킷 데이터 네트워크 게이트웨이(400) 사이에 GRE 터널 또는 GTP 터널이 생성된다(S280).When the mutual authentication procedure is completed, an IPSec tunnel is created between the
터널이 생성되면, 사용자 단말(100)은 생성된 터널을 통해 사설망(500)과 데이터를 송수신한다(S290).When the tunnel is created, the
이제, 도 4 내지 도 10을 참고하여, 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 위치 정보에 기초하여 사용자 단말(100)의 재인증을 수행하는 실시예를 설명한다.4 to 10, an embodiment in which the user terminal
도 4는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 환경을 도시하는 도면이다.4 is a diagram illustrating an environment in which a user terminal access control system according to an embodiment of the present invention performs re-authentication of a user terminal.
도 1 내지 도 3에 따라 사용자 단말(100)의 사설망(500)으로의 접속이 허용된 경우에도, 사용자 단말 접속 제어 시스템(300)은 사용자 단말(100)을 재인증함으로써, 사용자 단말(100)의 사설망(500)으로의 접속을 실시간으로 제어할 수 있다.The user terminal
도 4를 참고하면, 제1 비신뢰망 접속 장치(210)를 통해 사설망(500)으로 접속한 사용자 단말(100)은 사용자가 이동함에 따라 제1 비신뢰망 접속 장치(210)와의 연결을 해제하고, 제2 비신뢰망 접속 장치(220)를 통해 사설망(500)으로 접속할 수 있다.4, the
이 경우, 사용자 단말(100)은 사설망(500)과의 접속을 유지하기 위해 재인증 절차를 거칠 수 있고, 재인증이 성공적으로 완료되면 사용자 단말(100)과 사설망(500)과의 접속이 유지된다.In this case, the
또한, 사용자 단말(100)은 사용자 단말(100) 또는 인증 서버(320)에 설정된 주기마다 재인증 절차를 거칠 수 있고, 재인증이 성공적으로 완료되면 사용자 단말(100)과 사설망(500)과의 접속이 유지된다.The
도 5는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.5 is a flowchart illustrating a method for performing re-authentication of a user terminal according to an embodiment of the present invention.
도 5를 참고하면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)를 통해 사용자 단말(100)로 재인증 요청을 전송한다(S300).Referring to FIG. 5, the
한 실시예에서, 인증 서버(320)는 재인증 요청을 사용자 단말(100)로 주기적으로 전송할 수 있다.In one embodiment, the
재인증 요청을 수신한 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)를 통해 인증 서버(320)로 사용자 단말(100)의 위치 정보를 포함하는 재인증 응답을 전송한다(S310).The
구체적으로, 사용자 단말(100)은 최초 인증 이후 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 사용자 단말(100)의 위치 정보로서 획득할 수 있다.More specifically, the
또한, 사용자 단말(100)은 재인증 응답의 비어있는 슬롯 상에 획득한 위치 정보를 포함시킬 수 있다.In addition, the
인증 서버(320)는 재인증 응답에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 재인증한다(S320).The
예를 들면, 인증 서버(320)는 재인증 응답에서 추출한 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.For example, when the identification information of the untrusted network access device connected to the
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 사용자 단말(100)의 사설망(500)으로의 접속을 유지한다. 이 경우, 사용자 단말(100)은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S330).When the re-authentication of the
도 6은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 다른 방법을 나타낸 흐름도이다.FIG. 6 is a flowchart illustrating another method of performing a re-authentication of a user terminal according to an embodiment of the present invention.
도 6을 참고하면, 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)를 통해 인증 서버(320)로 사용자 단말(100)의 위치 정보를 포함하는 재인증 요청을 전송한다(S400).Referring to FIG. 6, the
한 실시예에서, 사용자 단말(100)은 주기적으로 재인증 요청을 인증 서버(320)로 전송할 수 있다.In one embodiment, the
다른 실시예에서, 사용자 단말(100)에 핸드오버가 발생하여 사용자 단말(100)이 다른 비신뢰망 접속 장치에 접속한 경우, 사용자 단말(100)은 접속한 비신뢰망 접속 장치가 변경된 것을 알리는 메시지를 재인증 요청으로서 인증 서버(320)로 전송할 수 있다.In another embodiment, when a handover occurs in the
또한, 사용자 단말(100)은 도 5에서 설명한 방법으로 사용자 단말(100)의 위치 정보를 획득하고, 획득한 위치 정보를 재인증 요청에 포함시킬 수 있다.Also, the
인증 서버(320)는 도 5에서 설명한 방법으로 사용자 단말(100)의 재인증 절차를 수행한다(S410).The
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 사용자 단말로 사설망(500)으로의 접속이 유지됨을 알리는 재인증 응답을 전송한다(S420). 이 경우, 사용자 단말(100)은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S430).When the re-authentication of the
도 7은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.7 is a flowchart illustrating a method for a user terminal access control system according to an embodiment of the present invention to perform re-authentication of a user terminal through an EAP-MSCHAPv2 authentication method.
비록 도 7에서는 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 재인증을 수행하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 사용자 단말(100)의 재인증을 수행할 수 있다.Although the user terminal
도 7을 참고하면, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함하는 IKEv2 INFORMATIONAL Exchange Request 메시지를 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S500).Referring to FIG. 7, the
구체적으로, 사용자 단말(100)은 최초 인증 이후 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 사용자 단말(100)의 위치 정보로서 획득할 수 있다.More specifically, the
이후, 사용자 단말(100)은 획득한 위치 정보를 IKEv2 INFORMATIONAL Exchange Request 메시지에 포함시킨다.Then, the
구체적으로, 사용자 단말 접속 제어 시스템(300)이 IKE 프로토콜을 이용하는 경우, IKEv2의 공급자 아이디 페이로드(Vendor ID Payload)는 IKEv2의 모든 메시지에 포함될 수 있다. 따라서, 사용자 단말(100)은 사용자 단말(100)의 식별 정보의 데이터 포맷을 변경하여 사용자 단말(100)의 식별 정보에 사용자 단말(100)의 업데이트된 위치 정보를 추가할 수 있다. 나아가, 사용자 단말(100)은 사용자 단말(100)의 식별 정보를 공급자 아이디 페이로드에 실어 IKEv2 정보 교환 요청 메시지에 포함시킬 수 있다.Specifically, when the user terminal
진화된 패킷 데이터 게이트웨이(310)는 IKEv2 INFORMATIONAL Exchange Request 메시지에서 사용자 단말(100)의 위치 정보를 추출하고, 추출된 위치 정보가 포함된 Re-Auth-Request 메시지를 인증 서버(320)로 전송한다(S510).The evolved
인증 서버(320)는, 도 5에서 설명한 방법으로, Re-Auth-Request 메시지에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 재인증한다(S520).The
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 Re-Auth-Answer 메시지를 전송한다(S530).When the re-authentication of the
진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)로 IKEv2 INFORMATIONAL Exchange Answer 메시지를 전송한다(S540).The evolved
이 경우, 사용자 단말은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S550).In this case, the user terminal continuously transmits and receives data to and from the
도 8은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 핸드오버 발생시 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.FIG. 8 is a flowchart illustrating a method for performing a re-authentication of a user terminal in the event of a handover, according to an embodiment of the present invention.
사용자 단말(100)이 새로운 비신뢰망 접속 장치를 통해 사설망으로 접속하는 경우, MOBIKE에 의해 핸드오버가 발생한다(S600).When the
이 경우, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 획득하고, 도 7에서 설명한 방법으로 획득한 위치 정보를 MOBIKE 메시지에 포함시킨다.In this case, the
사용자 단말(100)의 위치 정보는 새로운 비신뢰망 접속 장치의 식별 정보 또는 최초 인증 이후 사용자 단말(100)의 GPS 정보를 포함할 수 있다.The location information of the
사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함하는 MOBIKE 메시지를 재접속 요청으로서 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S610).The
진화된 패킷 데이터 게이트웨이(310)는 MOBIKE 메시지에서 사용자 단말(100)의 위치 정보를 추출하고, 사용자 단말(100)의 위치 정보를 포함하는 Re-AUTH-Request 메시지를 인증 서버(320)로 전송한다(S620).The evolved
인증 서버(320)는 Re-AUTH-Request 메시지에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)의 재인증 절차를 수행한다(S630).The
구체적으로, 인증 서버(320)는 새로운 비신뢰망 접속 장치의 식별 정보 또는 최초 인증 이후 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.Specifically, the
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 Re-AUTH-Answer 메시지를 전송한다(S640).When the re-authentication of the
이 경우, 사용자 단말(100)이 새로운 비신뢰망 접속 장치에 대해 사용자 단말(100)과 진화된 패킷 데이터 게이트웨이(310) 사이에 IPSec 터널이 생성되고, 진화된 패킷 데이터 게이트웨이(310)와 패킷 데이터 네트워크 게이트웨이(400) 사이에 GRE 터널 또는 GTP 터널이 생성된다(S650). 상기 과정을 통해, 사용자 단말(100)은 사설망(500)에 재접속한다.In this case, an IPSec tunnel is created between the
터널이 생성되면, 사용자 단말(100)은 생성된 터널을 통해 사설망(500)과 데이터를 송수신한다(S660).When the tunnel is created, the
도 9는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하는 환경을 도시하는 도면이다.9 is a diagram illustrating an environment in which a user terminal access control system according to an embodiment of the present invention cooperates with a customer management server.
도 9를 참고하면, 고객 관리 서버(600)는 사용자 단말(100) 및 인증 서버(320)와 데이터 전송 프로토콜을 통해 연결된다. 예를 들면, 고객 관리 서버(600)는 사용자 단말(100) 및 인증 서버(320)와 IKEv2 프로토콜과 같은 인증 프로토콜이 아닌 HTTPS 프로토콜을 통해 연결될 수 있다.9, the
도 10은 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하여 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.10 is a flowchart illustrating a method in which a user terminal access control system performs reauthentication of a user terminal in cooperation with a customer management server.
사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함하는 재인증 요청을 고객 관리 서버(600)를 통해 인증 서버(320)로 전송한다(S700).The
구체적으로, 사용자 단말(100)은 최초 인증 이후 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 사용자 단말(100)의 위치 정보로서 획득할 수 있다.More specifically, the
또한, 사용자 단말(100)은 도 5에서 설명한 방법으로, 획득한 위치 정보를 재인증 응답에 포함시킬 수 있다.Also, the
고객 관리 서버(600)는 사용자 단말(100)의 위치 정보를 저장함으로써, 사용자 단말(100)의 실시간 이용 정보를 저장할 수 있다.The
인증 서버(320)는 도 5에서 설명한 방법으로 사용자 단말(100)의 재인증 절차를 수행한다(S710).The
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 재인증 성공을 알리는 재인증 응답 메시지를 전송한다(S720). 이 경우, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)과 사설망(500)의 접속을 유지하며, 사용자 단말(100)은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S730).When the re-authentication of the
본 발명에 따르면, 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보에 기초하여 사용자 단말의 인증/재인증 과정을 수행함으로써, 더욱 정교한 보안 솔루션을 제공할 수 있다.According to the present invention, a more sophisticated security solution can be provided by performing the authentication / re-authentication process of the user terminal based on the identification information of the untrusted network access device connected to the user terminal.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
Claims (15)
비신뢰망 접속 장치에 접속한 사용자 단말로부터, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하기 위한 접속 요청을 수신하는 단계,
상기 접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 단계, 그리고
상기 인증이 성공적으로 완료되면, 상기 패킷 데이터 네트워크 게이트웨이를 통해 상기 사용자 단말이 상기 사설망으로 접속하도록 허용하는 단계
를 포함하는 사용자 단말 접속 제어 방법.A method for a user terminal access control system to control connection of a user terminal to a private network,
Receiving a connection request from a user terminal connected to the untrusted network access apparatus for connection to a private network connected to a packet data network gateway (P-GW)
Authenticating whether the user terminal is allowed to access the private network based on the location information of the user terminal extracted from the connection request, and
Allowing the user terminal to access the private network via the packet data network gateway when the authentication is successfully completed,
To the user terminal.
상기 인증하는 단계는
상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.The method of claim 1,
The authenticating step
And determining that the authentication of the user terminal has been successfully completed if the location information of the user terminal is location information of an area allowed to access the private network.
상기 사용자 단말의 위치 정보는
상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고,
상기 사설망으로 접속이 허용된 지역의 위치 정보는
상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함하는 사용자 단말 접속 제어 방법.3. The method of claim 2,
The location information of the user terminal
The identification information of the untrusted network connection device or the GPS information of the user terminal,
The location information of the area allowed to access by the private network is
Wherein the identification information of the untrusted network access device permitted to connect to the private network or the GPS information permitted to access the private network.
상기 사용자 단말로 재인증 요청을 전송하는 단계,
상기 사용자 단말로부터 상기 재인증 요청에 대응하는 재인증 응답을 수신하는 단계,
상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고
상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계
를 더 포함하는 사용자 단말 접속 제어 방법.The method of claim 1,
Transmitting a re-authentication request to the user terminal,
Receiving a re-authentication response corresponding to the re-authentication request from the user terminal,
Re-authenticating the user terminal based on the location information of the user terminal extracted from the re-authentication response, whether the user terminal is a terminal permitted to access the private network, and
Maintaining the connection of the user terminal to the private network when the re-authentication is successfully completed;
Further comprising the step of:
상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보는
상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며,
상기 재인증하는 단계는
상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.5. The method of claim 4,
The location information of the user terminal extracted from the re-
The identification information of the untrusted network access device connected to the user terminal after the authentication or the GPS information of the user terminal,
The re-authenticating step
Wherein the identification information of the untrusted network access apparatus to which the user terminal is connected after the authentication or the GPS information of the user terminal is the identification information of the untrusted network access apparatus allowed to access the private network or the GPS information The user terminal determines that the authentication of the user terminal has been successfully completed.
상기 사용자 단말로부터 재인증 요청을 수신하는 단계,
상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고
상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계
를 더 포함하는 사용자 단말 접속 제어 방법.The method of claim 1,
Receiving a re-authentication request from the user terminal,
Authenticating the user terminal based on the location information of the user terminal extracted in the re-authentication request, whether the user terminal is a terminal allowed to access the private network, and
Maintaining the connection of the user terminal to the private network when the re-authentication is successfully completed;
Further comprising the step of:
상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보는
상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며,
상기 재인증하는 단계는
상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.The method of claim 6,
The location information of the user terminal extracted from the re-
The identification information of the untrusted network access device connected to the user terminal after the authentication or the GPS information of the user terminal,
The re-authenticating step
Wherein the identification information of the untrusted network access apparatus to which the user terminal is connected after the authentication or the GPS information of the user terminal is the identification information of the untrusted network access apparatus allowed to access the private network or the GPS information The user terminal determines that the authentication of the user terminal has been successfully completed.
상기 비신뢰망 접속 장치와는 다른 새로운 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 상기 사설망으로 재접속하기 위한 재접속 요청을 수신하는 단계,
상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고
상기 재인증이 성공적으로 완료되면, 상기 사용자 단말이 상기 사설망으로 재접속하도록 하는 단계
를 더 포함하는 사용자 단말 접속 제어 방법.The method of claim 1,
Receiving a reconnection request from a user terminal connected to a new untrusted network access apparatus different from the untrusted network access apparatus for reconnection to the private network;
Re-authenticating the user terminal based on the location information of the user terminal extracted in the reconnection request, the terminal being allowed to access the private network; and
When the re-authentication is successfully completed, causing the user terminal to reconnect to the private network
Further comprising the step of:
상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보는
상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보를 포함하며,
상기 재인증하는 단계는
상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.9. The method of claim 8,
The location information of the user terminal extracted from the reconnection request is
The identification information of the new untrusted network access device or the GPS information of the user terminal after the authentication,
The re-authenticating step
When the identification information of the new untrusted network access apparatus or the GPS information of the user terminal after the authentication is the identification information of the untrusted network access apparatus allowed to access to the private network or the GPS information permitted to be accessed by the private network, And determining that authentication of the user terminal has been successfully completed.
비신뢰망 접속 장치에 접속한 사용자 단말로부터 패킷 데이터 네트워크 게이트웨이에 연결된 사설망 접속을 위한 접속 요청을 수신하고, 상기 접속 요청에서 상기 사용자 단말의 위치 정보를 추출하는 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG), 그리고
상기 진화된 패킷 데이터 게이트웨이로부터 상기 사용자 단말의 위치 정보를 포함하는 인증 요청을 수신하고, 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 인증 서버를 포함하며,
상기 인증이 성공적으로 완료되면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망을 연결하는 사용자 단말 접속 제어 시스템.As a user terminal access control system,
An Evolved Packet Data Gateway (hereinafter, referred to as " Evolved Packet Data Gateway ") that receives a connection request for a private network connection from the user terminal connected to the untrusted network access device and connected to the packet data network gateway, , ePDG), and
And an authentication server for receiving an authentication request including the location information of the user terminal from the evolved packet data gateway and authenticating whether the user terminal is allowed to access the private network based on the location information of the user terminal In addition,
Wherein when the authentication is successfully completed, the evolved packet data gateway connects the user terminal and the private network.
상기 인증 서버는 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 인증 응답을 전송하는 사용자 단말 접속 제어 시스템.11. The method of claim 10,
Wherein the authentication server transmits the authentication response to the evolved packet data gateway when the location information of the user terminal is location information of an area allowed to access the private network.
상기 사용자 단말의 위치 정보는
상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고,
상기 사설망으로 접속이 허용된 지역의 위치 정보는
상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함하는 사용자 단말 접속 제어 시스템.12. The method of claim 11,
The location information of the user terminal
The identification information of the untrusted network connection device or the GPS information of the user terminal,
The location information of the area allowed to access by the private network is
Wherein the identification information of the untrusted network access device permitted to connect to the private network or the GPS information permitted to connect to the private network.
고객 관리 서버를 더 포함하고,
상기 사용자 단말은 상기 고객 관리 서버를 통해 재인증 요청을 상기 인증 서버로 전송하며,
상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하고, 상기 재인증이 성공적으로 완료되면 상기 진화된 패킷 데이터 게이트웨이로 재인증 응답을 전송하고,
상기 재인증 응답을 수신하면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망의 접속을 유지하도록 하는 사용자 단말 접속 제어 시스템.11. The method of claim 10,
Further comprising a customer management server,
The user terminal transmits a re-authentication request to the authentication server through the customer management server,
The authentication server re-authenticates the user terminal based on the location information of the user terminal included in the re-authentication request, if the user terminal is allowed to access the private network, and if the re-authentication is successfully completed, Sends a reauthentication response to the gateway,
And upon receipt of the re-authentication response, the evolved packet data gateway maintains a connection between the user terminal and the private network.
상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 재인응 응답을 전송하는 사용자 단말 접속 제어 시스템.The method of claim 13,
Wherein the authentication server further includes a user terminal access control unit that transmits the re-authentication response to the evolved packet data gateway when the location information of the user terminal included in the re-authentication request is location information of an area allowed to access the private network, system.
상기 사용자 단말의 위치 정보는
상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고,
상기 사설망으로 접속이 허용된 지역의 위치 정보는
상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함하는 사용자 단말 접속 제어 시스템.The method of claim 14,
The location information of the user terminal
The identification information of the untrusted network access device connected to the user terminal after the authentication or the GPS information of the user terminal,
The location information of the area allowed to access by the private network is
Wherein the identification information of the untrusted network access device permitted to connect to the private network or the GPS information permitted to connect to the private network.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20170080910 | 2017-06-27 | ||
| KR1020170080910 | 2017-06-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190001485A true KR20190001485A (en) | 2019-01-04 |
| KR102000717B1 KR102000717B1 (en) | 2019-07-16 |
Family
ID=65018122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170134866A KR102000717B1 (en) | 2017-06-27 | 2017-10-17 | System and method for controlling access of a user terminal accesing a private network through the untrusted network access point |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102000717B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102672637B1 (en) * | 2023-11-14 | 2024-06-05 | 주식회사 스타버킷 | A system for providing high-security virtual private network services |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101629006B1 (en) * | 2015-07-03 | 2016-06-13 | 주식회사 케이티 | Method and system for private network service |
-
2017
- 2017-10-17 KR KR1020170134866A patent/KR102000717B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101629006B1 (en) * | 2015-07-03 | 2016-06-13 | 주식회사 케이티 | Method and system for private network service |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102672637B1 (en) * | 2023-11-14 | 2024-06-05 | 주식회사 스타버킷 | A system for providing high-security virtual private network services |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102000717B1 (en) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11272365B2 (en) | Network authentication method, and related device and system | |
| EP3545702B1 (en) | User identity privacy protection in public wireless local access network, wlan, access | |
| US9306748B2 (en) | Authentication method and apparatus in a communication system | |
| KR101170191B1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| KR100494558B1 (en) | The method and system for performing authentification to obtain access to public wireless LAN | |
| US8635444B2 (en) | System and method for distributing keys in a wireless network | |
| US20110004762A1 (en) | Security for a non-3gpp access to an evolved packet system | |
| EP1770940A1 (en) | Method and apparatus for establishing a communication between a mobile device and a network | |
| US9055437B2 (en) | Communication system, femtocell base station, authentication apparatus, communication method, and recording medium | |
| EP1760945A2 (en) | Wireless LAN security system and method | |
| EP3175639B1 (en) | Authentication during handover between two different wireless communications networks | |
| US11848926B2 (en) | Network authentication | |
| US20040133806A1 (en) | Integration of a Wireless Local Area Network and a Packet Data Network | |
| CN104683296A (en) | Safe authentication method and safe authentication system | |
| KR102000717B1 (en) | System and method for controlling access of a user terminal accesing a private network through the untrusted network access point | |
| CN112423299A (en) | Method and system for wireless access based on identity authentication | |
| KR101338487B1 (en) | Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network | |
| KR101480706B1 (en) | Network system for providing security to intranet and method for providing security to intranet using security gateway of mobile communication network | |
| US20220159457A1 (en) | Providing ue capability information to an authentication server | |
| KR101361198B1 (en) | Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network | |
| Froihofer | A survey of WLAN security with focus on HotSpot and enterprise environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |