KR20210025421A - 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템 - Google Patents

사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템 Download PDF

Info

Publication number
KR20210025421A
KR20210025421A KR1020190105446A KR20190105446A KR20210025421A KR 20210025421 A KR20210025421 A KR 20210025421A KR 1020190105446 A KR1020190105446 A KR 1020190105446A KR 20190105446 A KR20190105446 A KR 20190105446A KR 20210025421 A KR20210025421 A KR 20210025421A
Authority
KR
South Korea
Prior art keywords
network
authentication
apn
tethered
access
Prior art date
Application number
KR1020190105446A
Other languages
English (en)
Other versions
KR102367169B1 (ko
Inventor
정치욱
김일용
신태영
이진근
이현송
조원창
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020190105446A priority Critical patent/KR102367169B1/ko
Publication of KR20210025421A publication Critical patent/KR20210025421A/ko
Application granted granted Critical
Publication of KR102367169B1 publication Critical patent/KR102367169B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • H04L61/203
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

모바일 단말이 네트워크 시스템과 연동하여, 테더링된 기기의 사내망 접속을 지원하는 방법으로서, 테더링 APN(Access Point Name)의 인증 요청을 코어망으로 전송하는 단계, 상기 코어망으로부터 테더링 APN 인증 응답을 수신하는 단계, 상기 테더링 APN 인증 응답에 포함된 게이트웨이 주소를 기초로 인증 기기가 접속할 수 있는 가상 테더링 인터페이스를 생성하는 단계, 그리고 라우팅 테이블에, 상기 가상 테더링 인터페이스에서 상기 테더링 APN이 설정된 전용 통신망 인터페이스로의 트래픽 라우팅을 추가하는 단계를 포함한다. 상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 상기 인증 기기의 네트워크 연결 정보를 포함한다. 상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 상기 게이트웨이 주소를 포함한다.

Description

사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템{METHOD FOR SUPPORTING INTRANET ACCESS AND NETWORK SYSTEM IMPLEMENTING THE SAME METHOD}
본 발명은 테더링된(tethered) 업무용 기기가 모바일 단말을 통해 사내망에 접속하는 기술에 관한 것이다.
Private LTE(Long Term Evolution) 기술은 코어망의 적어도 일부 네트워크 장비를 공중망(Public Network)용과 사설망(Private Network)용으로 구분하고, 모바일 단말을 공중망뿐만 아니라, 사설망에 접속시킬 수 있다. 이를 위해, LTE 코어망인 EPC(Evolved Packet Core)는 공중망과 사설망으로 연결되는 P-GW를 분리하고, 모바일 단말이 초기 접속하는 APN(Access Point Name)을 기초로, 공중망에 연결된 P-GW 또는 사설망에 연결된 P-GW와 세션을 생성한다. 5G 코어망도, 공중망에 연결되는 UPF(User Plane Function)와 사설망에 연결되는 UPF를 분리함으로써, 사설망 서비스를 제공할 수 있다.
한편, 최근 많은 기업들이 업무용 기기를 위한 유선 배선의 번거로움 및 업무용 기기의 이동성 향상을 위해, 유선망을 통한 사내망 접속 방식을 와이파이 등의 무선망을 통한 사내망 접속 방식으로 변경하였다. 또한, 많은 기업들이 보안을 위해 노트북 등의 업무용 기기마다 고정 IP 주소를 할당하고, 고정 IP 주소로 업무용 기기의 사내망 접속 이력 관리 및 접속 제한을 수행한다. 그리고 대부분의 기업들은 보안을 위해 사외에서 인터넷을 통한 사내망 접속을 차단한다. VPN(Virtual Private Network)을 통한 사내망 접속을 허용하고 있지만, VPN을 통한 사내망 접속은 다음과 같이 다양한 문제가 있다.
첫 번째, 업무용 기기는 고정 IP 주소를 통해 사내망으로 접속하는데, 사외에서 인터넷을 통해 사내망에 접속하려면 IP 설정을 변경해야 한다. 예를 들면, 노트북이 고정된 IP 주소를 통해 사내망에 접속하도록 설정되어 있는데, 사용자가 출장 등으로 인터넷에 노트북을 연결한다. 그러면, 노트북은 고정된 IP 주소 등의 IP 설정을 연결된 인터넷의 IP 설정으로 변경해야 한다.
두 번째, 인터넷에 연결된 업무용 기기가 VPN을 통해 사내망에 접속한 경우, 고정된 IP 주소 대신 연결된 인터넷에서 부여된 유동 IP 주소를 가진다. 따라서, 기업 관리 시스템은 임의의 유동 IP 주소로 접속한 업무용 기기의 접속 이력 관리 및 접속 제한을 수행하기 어려워, 일원화된 IP 기반 보안 관리를 할 수 없다.
세 번째, 업무용 기기는 별도의 VPN 접속 소프트웨어를 설치해야 한다. 업무용 기기는 VPN 접속 소프트웨어를 실행하고, VPN 연결하기 기다려야 하므로, 초기 접속 시간이 사내망에서보다 훨씬 길다.
네 번째, 업무용 기기에 설치되어 있는 DRM, DLP 등 보안 프로그램의 정책 업데이트가 필요하다. 대다수의 보안 프로그램은 설치된 단말의 IP 정보를 기준으로 망 접속 제어를 한다. 따라서, 업무용 기기가 VPN으로 연결된 경우, 유동 IP 주소에 대한 보안 정책 업데이트가 필요하다. 이후, 업무용 기기가 고정 IP 주소로 사내망에 접속하면, 다시 고정 IP 주소에 대한 보안 정책 업데이트가 필요하다.
앞으로의 업무 환경 변화를 고려하면, 사용자가 이동성이 있는 업무용 기기를 사외에서 이용하고자 하는 경우, 사내망 접속의 번거로움을 해소할 필요가 있다.
해결하고자 하는 과제는 모바일 단말이 네트워크 시스템과 연동하여 테더링 APN을 사내망 접속을 위한 APN으로 할당하고, 업무용 기기의 사내망 접속 정보를 기초로 가상 테더링 인터페이스를 생성한 후, 사내망 접속 정보 그대로 가상 테더링 인터페이스에 연결된 업무용 기기가, 테더링 APN에 해당하는 통신망 인터페이스를 통해 사내망에 접속하도록 지원하는 방법을 제공하는 것이다.
해결하고자 하는 과제는 네트워크 시스템이 모바일 단말과 연동하여,사내망 접속 정보 그대로 모바일 단말에 테더링된 업무용 기기가 사내망에 접속하도록 지원하는 방법을 제공하는 것이다.
한 실시예에 따른 모바일 단말이 네트워크 시스템과 연동하여, 테더링된 기기의 사내망 접속을 지원하는 방법으로서, 테더링 APN(Access Point Name)의 인증 요청을 코어망으로 전송하는 단계, 상기 코어망으로부터 테더링 APN 인증 응답을 수신하는 단계, 상기 테더링 APN 인증 응답에 포함된 게이트웨이 주소를 기초로 인증 기기가 접속할 수 있는 가상 테더링 인터페이스를 생성하는 단계, 그리고 라우팅 테이블에, 상기 가상 테더링 인터페이스에서 상기 테더링 APN이 설정된 전용 통신망 인터페이스로의 트래픽 라우팅을 추가하는 단계를 포함한다. 상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 상기 인증 기기의 네트워크 연결 정보를 포함한다. 상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 상기 게이트웨이 주소를 포함한다.
상기 인증 기기는 상기 고정 IP 주소로 상기 가상 테더링 인터페이스에 접속할 수 있다.
상기 트래픽 라우팅을 추가하는 단계는 상기 가상 테더링 인터페이스에서 상기 전용 통신망 인터페이스로 라우팅되는 트래픽의 소스 IP 주소를 그대로 유지하는 라우팅 정책을 설정할 수 있다.
상기 사내망 접속 지원 방법은 상기 사내망으로의 연결 요청이 입력되면, 인증 및 정책 서버로 상기 테더링 APN의 망전환 요청을 전송하는 단계, 그리고 상기 인증 및 정책 서버로부터 전송된 상기 테더링 APN의 망전환 응답을 수신하는 단계를 더 포함할 수 있다. 상기 망전환 요청은 상기 테더링 APN 인증 응답에 포함된 테더링 APN OI(Operator Identifier)를 포함하고, 상기 망전환 요청을 통해 상기 전용 통신망 인터페이스에서 출력되는 트래픽이 상기 테더링 APN OI에 해당하는 망으로 전달될 수 있다.
상기 사내망 접속 지원 방법은 상기 사내망의 VPN(Virtual Private Network) 서버로 VPN 접속 요청을 전송하는 단계, 그리고 상기 전용 통신망 인터페이스와 상기 VPN서버 사이에 VPN 세션을 생성하는 단계를 더 포함할 수 있다. 상기 테더링 APN 인증 응답은 상기 VPN 서버의 접속 정보를 포함할 수 있다.
상기 가상 테더링 인터페이스에 접속한 상기 인증 기기의 트래픽이 상기 VPN 세션을 통해 상기 사내망으로 전달될 수 있다.
상기 사내망 접속 지원 방법은 상기 가상 테더링 인터페이스에 접속한 임의 기기로부터 접속 요청을 수신하는 단계, 상기 접속 요청에 포함된 MAC 주소와 상기 테더링 APN 인증 응답에 포함된 MAC 주소를 비교하여 상기 임의 기기가 상기 인증 기기인지 확인하는 단계, 그리고 상기 임의 기기가 상기 인증 기기인 경우, 인증 및 정책 서버로 상기 인증 기기가 상기 모바일 단말의 하위에 연결됨을 알리는 단계를 더 포함할 수 있다.
상기 사내망 접속 지원 방법은 상기 인증 및 정책 서버로부터, 상기 사내망에서 상기 인증 기기로 전송되는 트래픽이 상기 전용 통신망 인터페이스로 전달되도록 라우팅 업데이트된 알림을 수신하는 단계, 그리고 상기 접속 요청을 전송한 하위 단말의 접속을 허가하는 단계를 더 포함할 수 있다.
한 실시예에 따른 인증 및 정책 서버가 모바일 단말과 연동하여, 상기 모바일 단말에 테더링된 하위 단말의 사내망 접속을 지원하는 방법으로서, 사내망 접속 서비스를 이용하는 사용자 프로파일 정보를 관리하는 단계, 상기 모바일 단말로부터 전송된 테더링 APN(Access Point Name)의 인증 요청을 수신하는 단계, 그리고 상기 사용자 프로파일 정보를 기초로 상기 인증 요청에 포함된 사용자 인증 정보에 대해 인증하고, 정상 인증인 경우, 테더링 APN 인증 응답을 상기 모바일 단말로 제공하는 단계를 포함한다. 상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 인증 기기의 네트워크 연결 정보를 포함한다. 상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 게이트웨이 주소를 포함한다.
상기 사용자 프로파일 정보는 상기 인증 단말의 상기 고정 IP 주소, 상기 게이트웨이 주소, 테더링 APN OI(Operator Identifier), 상기 사내망의 VPN 서버 접속 정보, 그리고 상기 인증 단말의 MAC 주소를 포함할 수 있다.
상기 사내망 접속 지원 방법은 상기 모바일 단말로부터 테더링 APN OI(Operator Identifier)를 포함하는 테더링 APN의 망전환 요청을 수신하는 단계, 지정된 네트워크 장치로 상기 테더링 APN에 설정된 디폴트 망을 상기 테더링 APN OI에 해당하는 망으로 전환 요청하는 단계, 그리고 상기 모바일 단말로 상기 테더링 APN의 망전환 응답을 전송하는 단계를 더 포함할 수 있다.
상기 사내망 접속 지원 방법은 상기 모바일 단말로부터 상기 인증 기기가 하위에 연결된 알림을 수신하는 단계, 상기 사내망의 라우터들로 상기 인증 기기에 대한 라우팅 업데이트 메시지를 전송하는 단계, 그리고 상기 모바일 단말로, 상기 사내망에서 상기 인증 기기로 전송되는 트래픽이 상기 모바일 단말로 전달되도록 라우팅 업데이트된 알림을 전송하는 단계를 더 포함할 수 있다.
상기 인증 기기는 상기 고정 IP 주소가 설정되고, 상기 게이트웨이 주소가 설정된 사내 접속 장치로의 접속이 허가된 업무용 기기일 수 있다.
한 실시예에 따른, 컴퓨터 판독 가능한 기록 매체에 저장된 사내망 접속 지원 어플리케이션으로서, 모바일 단말의 테더링 APN(Access Point Name)에 대한 인증 요청을 코어망으로 전송하는 단계, 상기 코어망으로부터 테더링 APN 인증 응답을 수신하는 단계, 상기 테더링 APN 인증 응답에 포함된 게이트웨이 주소를 기초로 인증 기기가 접속할 수 있는 가상 테더링 인터페이스를 생성하는 단계, 그리고 라우팅 테이블에, 상기 가상 테더링 인터페이스에서 상기 테더링 APN이 설정된 전용 통신망 인터페이스로의 트래픽 라우팅을 추가하는 단계를 실행하는 명령어들(instructions)을 포함한다. 상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 상기 인증 기기의 네트워크 연결 정보를 포함한다. 상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 상기 게이트웨이 주소를 포함한다.
상기 사내망 접속 지원 어플리케이션은 상기 사내망으로의 연결 요청이 입력되면, 인증 및 정책 서버로 상기 테더링 APN의 망전환 요청을 전송하는 단계, 그리고 상기 인증 및 정책 서버로부터 전송된 상기 테더링 APN의 망전환 응답을 수신하는 단계를 실행하는 명령어들을 더 포함할 수 있다. 상기 망전환 요청은 상기 테더링 APN 인증 응답에 포함된 테더링 APN OI(Operator Identifier)를 포함하고, 상기 망전환 요청을 통해 상기 전용 통신망 인터페이스에서 출력되는 트래픽이 상기 테더링 APN OI에 해당하는 망으로 전달될 수 있다.
상기 사내망 접속 지원 어플리케이션은 상기 사내망의 VPN(Virtual Private Network) 서버로 VPN 접속 요청을 전송하는 단계, 그리고 상기 전용 통신망 인터페이스와 상기 VPN서버 사이에 VPN 세션을 생성하는 단계를 실행하는 명령어들을 더 포함할 수 있다. 상기 테더링 APN 인증 응답은 상기 VPN 서버의 접속 정보를 포함할 수 있다.
상기 사내망 접속 지원 어플리케이션은 상기 가상 테더링 인터페이스에 접속한 임의 기기로부터 접속 요청을 수신하는 단계, 상기 접속 요청에 포함된 MAC 주소와 상기 상기 테더링 APN 인증 응답에 포함된 MAC 주소를 비교하여 상기 임의 기기가 상기 인증 기기인지 확인하는 단계, 그리고 상기 임의 기기가 상기 인증 기기인 경우, 인증 및 정책 서버로 상기 인증 기기가 상기 모바일 단말의 하위에 연결됨을 알리는 단계를 실행하는 명령어들을 더 포함할 수 있다.
상기 사내망 접속 지원 어플리케이션은 상기 인증 및 정책 서버로부터, 상기 사내망에서 상기 인증 기기로 전송되는 트래픽이 상기 전용 통신망 인터페이스로 전달되도록 라우팅 업데이트된 알림을 수신하는 단계, 그리고 상기 접속 요청을 전송한 하위 단말의 접속을 허가하는 단계를 실행하는 명령어들을 더 포함할 수 있다.
실시예에 따르면 사용자가 업무용 기기를 어디에서든 모바일 단말에 연결하면 사내에서와 동일한 접속 환경을 제공받을 수 있고, 업무용 기기에 별도의 VPN 접속 소프트웨어를 설치할 필요가 없으며, 위치에 따라 IP 설정을 변경할 필요가 없다.
실시예에 따르면 업무용 기기가 항상 고정 IP 주소를 사용하므로, 업무용 기기에서 전송되는 트래픽의 소스(source) IP 주소가 변경되지 않아서, 기업은 업무용 기기가 어느 망을 통해 사내망에 접속하든 동일한 관리 정책을 수행할 수 있다.
실시예에 따르면 이동성, 편리성, 보안성이 강화된 업무 환경을 제공할 수 있다.
실시예에 따르면 업무용 기기의 트래픽이 모바일 단말의 일반 트래픽과 분리된 경로로 전송되므로, 업무용 기기의 트래픽을 모바일 단말의 일반 트래픽과 분리하여 과금 및 QoS 등을 관리 및 제어할 수 있다.
실시예에 따르면 구내 무선망을 신규 구성하는 경우, 기업은 별도의 망을 구축할 필요 없이, 업무용 기기를 모바일 단말로 테더링함으로써, 무선 오피스를 구축할 수 있다. 특히, 실시예에 따르면 와이파이 AP, 스위치, 라우터, 케이블 등을 설치하고 유지 보수를 할 필요 없이, 이동통신사의 모바일 단말만 구매하여 구내 무선망을 구축할 수 있다.
도 1은 한 실시예에 따른 사내망에서의 업무용 기기 접속 환경을 설명하는 도면이다.
도 2는 한 실시예에 따른 업무용 기기를 위한 사내망 접속 지원 방법을 설명하는 개념도이다.
도 3은 한 실시예에 따라 테더링 APN에 대한 인증에 참여하는 네트워크 장치들의 예시이다.
도 4부터 도 6 각각은 한 실시예에 따른 사내망 접속 지원 방법의 흐름도이다.
도 7은 한 실시예에 따른 사내망 접속 지원 방법이 제공하는 업무 환경을 도식적으로 설명하는 도면이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
명세서에서 모바일 단말은 3G/LTE(Long Term Evolution)/5G 통신망을 통해서 원격의 서버와 통신하는 사용자 단말을 의미하고, UE(User Equipment), MT(Mobile Terminal), SS(Subscriber Station), PSS(Portable Subscriber Station), AT(Access Terminal) 등의 용어로 불릴 수 있다. 설명에서는 모바일 단말이 LTE 및/또는 5G 통신망에 접속하는 것으로 설명한다.
모바일 단말은 통신망 인터페이스를 통해 접속망(Access Network)/무선 접속망(Radio Access network, RAN)에 접속한다. 접속망은 기지국(base station, BS), 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 고도화 노드B(evolved NodeB, eNodeB), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS, gNB 등과 같은 네트워크 장치로 구성된다.
명세서에서, 업무용 기기는 사내망 접속이 허가된 기기로서, 사내망 접속을 위한 IP 정보가 설정된다. 업무용 기기는 다양할 수 있고, 예를 들면 기업의 임직원이 사용하는 노트북일 수 있다. 설명에서는 노트북을 예로 들어 설명할 수 있으나, 업무용 기기가 노트북으로 한정되지는 않는다.
명세서에서, 사용자는 사내망 접속이 허가된 사람으로서, 예를 들면, 기업의 임직원일 수 있다. 그리고, 사용자 또는 기업은 특정 어플리케이션을 통한 사내망 접속을 지원하는 서비스의 가입자일 수 있다.
도 1은 한 실시예에 따른 사내망에서의 업무용 기기 접속 환경을 설명하는 도면이다.
도 1을 참고하면, 업무용 기기(100)는 사내망(intranet)(10)에 연결된 사내(premises) 접속 장치(110)와 통신한다. 사내 접속 장치(110)는 무선 접속 장치로서, 와이파이 AP(access point)일 수 있다. 업무용 기기(100)는 고정 IP 주소(예를 들면, 10.214.73.62)가 설정되어 있고, 사내망 접속을 위해 요구되는 게이트웨이 주소(예를 들면, 10.214.73.1), 서브넷 주소, DSN 서버 주소 등의 네트워크 연결 정보가 설정되어 있다고 가정한다.
따라서, 사용자가 업무용 기기(100)의 전원을 켜면, 업무용 기기(100)는 설정된 네트워크 연결 정보를 기초로 사내 접속 장치(110)에 접속하고, 사내망(10)에 연결된다.
인증 및 정책 서버(130)는 업무용 기기(100)의 네트워크 연결 정보를 포함하는 사용자 프로파일 정보를 저장한다. 사용자 프로파일 정보는 기업에 따라 다르게 관리될 수 있다. 사용자 프로파일 정보는 예를 들면, 업무용 기기의 고정 IP 주소, 게이트웨이 주소, 서브넷 주소, DSN 서버 주소 등의 네트워크 연결 정보, 그리고 MAC 주소 등의 단말 정보를 포함할 수 있다. 네트워크 연결 정보는 테더링 APN OI(Operator identifier), VPN 서버 접속 정보를 더 포함할 수 있다. 사용자 프로파일 정보는 사용자 인증 정보(예를 들면, ID/PW)를 포함할 수 있다.
VPN 서버(150)는 사내망으로의 VPN 접속을 제어한다. 라우터들(170)은 라우팅 테이블을 기초로 트래픽을 전달한다.
다음에서, 업무용 기기(100)가 사내 접속 장치(110)로 접속할 수 없는 환경에서, 업무용 기기(100)가 사내망 접속을 위해 설정된 네트워크 연결 정보를 그대로 사용하면서, 사내망에 연결되는 방법에 대해 설명한다.
도 2는 한 실시예에 따른 업무용 기기를 위한 사내망 접속 지원 방법을 설명하는 개념도이고, 도 3은 한 실시예에 따라 테더링 APN에 대한 인증에 참여하는 네트워크 장치들의 예시이다.
도 2를 참고하면, 업무용 기기(100)는 사내망 접속을 위한 네트워크 연결 정보가 설정되어 있다. 네트워크 연결 정보는 할당된 고정 IP 주소(예를 들면, 10.214.73.62), 접속하는 게이트웨이 주소(예를 들면, 10.214.73.1) 등을 포함한다.
업무용 기기(100)는 모바일 단말(200)의 테더링 인터페이스를 통해 모바일 단말(200)에 테더링(tethering)되고, 모바일 단말(200)을 통해 사내망(10)에 연결된다. 업무용 기기(100)는 테더링된(tethered) 장치로서, 모바일 단말(200)에 연결된 하위 단말이다. 테더링 인터페이스는 와이파이 프로토콜을 통해 접속할 수 있는 인터페이스일 수 있다. 이때, 모바일 단말(200)의 테더링 인터페이스는 업무용 기기(100)의 네트워크 연결 정보에 대응되도록 설정된다. 즉, 모바일 단말(200)의 테더링 인터페이스는 업무용 기기(100)가 사내 접속 장치(110)에 접속하는 네트워크 환경을 가상으로 제공한다.
모바일 단말(200)은 접속망을 식별하기 위해 사용되는 APN((Access Point Name)이 설정되어 있는데, 복수의 APN들이 설정되어 있다. 설명에서, 복수의 APN들은 일반 APN과 테더링 APN이라고 가정하나, 반드시 테더링 APN만이 본 발명에 이용되는 것은 아니다. APN별로 통신망 인터페이스가 구분될 수 있다. 모바일 단말(200)에서 일반 APN이 설정된 디폴트 통신망 인터페이스(Default Network Interface, DNI)(251)는 공중망인 인터넷망(20)으로 연결되는 일반 인터페이스이다. 디폴트 통신망 인터페이스(251)에서 출력된 트래픽은 공용 P-GW/공용 UPF(310)를 거쳐 인터넷망(20)으로 전송될 수 있다. 테더링 APN이 설정된 테더링 통신망 인터페이스(Tethering Network Interface, TNI)(253) 역시 디폴트로 인터넷망(20)으로 연결되도록 설정되는데, 인터넷망(20)에서 사내망(10)으로 연결되도록 망 변경될 수 있다.
모바일 단말(200)은 테더링을 지원한다. 모바일 단말(200)의 디폴트 테더링 인터페이스(Default tethering Interface, DTI)(211)는 일반적으로 192.168.43.1의 IP 주소가 설정된다. 디폴트 테더링 인터페이스(211)로 테더링된 일반 기기(400)는 DHCP 등으로 192.168.43.0/24의 사설 IP 대역을 할당받고, 디폴트 테더링 인터페이스(211)를 게이트웨이로 이용하여 인터넷망(20)에 연결된다. 이때, 모바일 단말(200)의 라우터(230)는 일반 기기(400)의 트래픽의 소스 IP 주소를 모바일 단말(200)의 소스 IP 주소로 변환(S-NAT)한 뒤, 디폴트 통신망 인터페이스(251)로 전달할 수 있다.
모바일 단말(200)은 테더링된 업무용 기기(100)를 사내망으로 접속시키는 어플리케이션(앞으로, "비즈 테더링 앱"이라고 부른다)을 설치한다. 비즈 테더링 앱은 본 발명의 동작을 위한 명령어들(instructions)을 포함하는 소프트웨어 프로그램이고, 모바일 단말(200)의 프로세서에 의해 명령어들이 실행된다. 비즈 테더링 앱은 컴퓨터 판독 가능한 기록 매체에 저장되어 유통될 수 있다. 모바일 단말(200)이나 모바일 단말(200)에서 구동되는 비즈 테더링 앱은 동작의 주체로 설명될 수 있다. 비즈 테더링 앱은 가상 에그(Virtual Egg)로 부를 수 있다.
비즈 테더링 앱은 모바일 단말(200)에 기본으로 설정되어 있는 테더링 APN의 인증 방식을 본 발명에서 제안하는 “비즈 테더링” 방식으로 변경한다. 비즈 테더링 앱은 모바일 단말(200)에 테더링 APN이 설정되어 있지 않으면, 테더링 APN을 추가한 후, 테더링 APN의 인증 방식을 “비즈 테더링” 방식으로 변경할 수 있다. 참고로, LTE/5G 통신망에서 APN의 인증 방식은 PAP(Password Authentication Protocol), CHAP(challenge handshake authentication protocol) 등의 옵션 중에서 설정될 수 있으나, 표준에서는 인증 방식이 설정되어 있지 않다. 본 발명에서는 모바일 단말(200)이 업무용 기기(100)의 네트워크 연결 정보를 획득하기 위한 방법으로 테더링 APN의 인증 절차를 이용한다.
비즈 테더링 앱이 구동되면, APN 인증이 활성화되고, 모바일 단말(200)은 사용자 인증 정보(예를 들면, ID/PW)와 함께 테더링 APN에 대한 인증 요청을 코어망으로 전송한다. 모바일 단말(200)은 PAP, CHAP 등의 인증 방식과 구분하기 위해, 인증 방식을 “비즈 테더링” 방식으로 설정한 후, 인증 요청할 수 있다. 모바일 단말(200)은 코어망으로부터 테더링 APN에 대한 인증 응답을 수신한다. 테더링 APN에 대한 인증 응답은 사용자 인증 정보에 대응된 업무용 기기(100)의 네트워크 연결 정보를 포함한다. 네트워크 연결 정보는 업무용 기기(100)의 고정 IP 주소, 게이트웨이 주소, 서브넷 주소, 테더링 APN OI, VPN 서버 접속 정보를 포함할 수 있다. 네트워크 연결 정보는 인증 및 정책 서버(130)에 등록되어 있고, 코어망의 장비들이 인증 및 정책 서버(130)에 등록된 업무용 기기(100)의 네트워크 연결 정보를 획득하여, 모바일 단말(200)로 전송한다. 코어망 장비들은 접속 요청(attach request) 및 세션 생성 요청(session create request)에 테더링 APN의 인증 방식이 “비즈 테더링” 으로 설정되어 있으면, 인증 및 정책 서버(130)로, 사용자 인증 정보(예를 들면, ID/PW)와 “비즈 테더링” 으로 설정된 테더링 APN에 대한 인증 요청을 전달함으로써, 테더링 APN에 대한 인증 응답을 획득할 수 있다.
테더링 APN에 대한 인증 응답을 수신한 모바일 단말(200)은 업무용 기기(100)가 접속할 수 있는 테더링 인터페이스(213)를 가상으로 생성한다. 이때, 업무용 기기(100)를 위한 테더링 인터페이스(213)는 디폴트 테더링 인터페이스(211)와 달리, 업무용 기기(100)가 사내 접속 장치(110)에 접속하는 네트워크 환경을 가상으로 제공하므로, 가상 테더링 인터페이스(Virtual tethering Interface, VTI)라고 부를 수 있다. 모바일 단말(200)은 업무용 기기(100)를 위한 가상 테더링 인터페이스(213)를 생성하고 라우터(230)의 라우팅 테이블에, 가상 테더링 인터페이스에서, 테더링 APN의 전용 통신망 인터페이스(253)로의 라우팅을 추가한다. 모바일 단말(200)은 테더링 APN에 대한 인증 응답에서 업무용 기기(100)가 접속하는 게이트웨이 주소(예를 들면, 10.214.73.1)를 추출하고, 게이트웨이 주소를 가지는 가상 테더링 인터페이스(213)를 생성한다. 그러면, 업무용 기기(100)는 가상 테더링 인터페이스(213)를 사내 접속 장치(110)의 게이트웨이로 인식하므로, 네트워크 연결 정보를 변경할 필요 없이 접속할 수 있다.
이와 같이, 모바일 단말(200)은 IP 주소가 192.168.43.1인 디폴트 테더링 인터페이스(211)뿐만 아니라, 업무용 기기(100)가 사내망에서 연결되는 게이트웨이 주소 10.214.73.1이 설정된 가상 테더링 인터페이스(213)를 생성한다. 따라서, 일반 기기(400)는 디폴트 테더링 인터페이스(211)로 연결되고, 업무용 기기(100)는 네트워크 연결 정보 변경 없이 가상 테더링 인터페이스(213)로 연결될 수 있다.
모바일 단말(200)은 인증 및 정책 서버(130)로 테더링 APN OI를 전달하고, 테더링 APN OI에 해당하는 망으로의 전환을 요청한다. 테더링 APN을 통해 연결되는 망이 공중망에서 사내망(10)으로 변경되고, 업무용 기기(100)의 트래픽이 사내망(10)으로 전달되도록 코어망 경로가 설정된다. 즉, 전용 통신망 인터페이스(253)에서 출력되는 업무용 기기(100)의 트래픽은 사설 P-GW/사설 UPF(330)를 거쳐 사내망(10)으로 전송될 수 있다.
모바일 단말(200)은 테더링 APN에 대한 인증 응답에 포함된 VPN 서버 접속 정보를 기초로, VPN 서버(150)에 접속한다. 모바일 단말(200)의 전용 통신망 인터페이스(253)와 VPN 서버(150) 사이에 VPN 세션이 생성된다. 전용 통신망 인터페이스(253)는 VPN으로 연결되는 VPN 인터페이스로 동작한다. 일반적으로 단말은 LTE/5G 용 IP 주소가 할당되어야, LTE/5G 망을 통해 트래픽을 송수신할 수 있다. 이러한 이유로, 테더링된 기기에서 생성된 트래픽은 S-NAT를 통해 소스 IP 주소가 모바일 단말의 LTE/5G 용 IP 주소로 변경되어 전송된다. 이와 달리, 업무용 기기(100)에서 생성된 트래픽의 소스 IP 주소가 변경되지 않도록 하기 위해, 라우터(230)는 업무용 기기(100)의 트래픽을 일반 기기(400)의 트래픽과 구분한다. 그리고 라우터(230)는 업무용 기기(100)의 트래픽에 대해서는 소스 IP 주소 변경을 하지 않고, 테더링 APN이 설정된 통신망 인터페이스(253)로 전달한다. 그러면, VPN 서버(150)와 연결된 VPN 인터페이스(253)는 업무용 기기(100)의 트래픽을 VPN 세션을 통해 VPN 서버(150)로 전송한다.
도 3을 참고하면, 모바일 단말(200)은 비즈 테더링 앱이 구동되면, 무선 접속망(30)에 접속하고, 코어망으로부터 테더링 APN에 대한 인증 응답을 수신한다.
구체적으로, 모바일 단말(200)은 LTE 망의 MME(Mobility Management Entity)/5G 망의 AMF(Access and Mobility Management Function) 장비(40)로 접속 요청(attach request)을 전송한다. 접속 요청에 테더링 APN의 인증 방식이 “비즈 테더링”으로 설정될 수 있다.
MME/AMF 장비(40)는 LTE 망의 P-GW/5G 망의 UPF 장비(50)로 세션 생성 요청(session create request)을 전송한다. 세션 생성 요청에 테더링 APN의 인증 방식이 “비즈 테더링”으로 설정될 수 있다.
테더링 APN의 인증 방식이 “비즈 테더링”으로 설정된 세션 생성 요청을 수신한 P-GW/UPF 장비(50)는 인증 및 정책 서버(130)로, 사용자 인증 정보(예를 들면, ID/PW)와 “비즈 테더링”으로 설정된 테더링 APN에 대한 인증 요청을 전달한다.
테더링 APN에 대한 인증 응답은 세션 생성 응답, 접속 응답에 포함되어 모바일 단말(200)로 전달된다.
도 4부터 도 6 각각은 한 실시예에 따른 사내망 접속 지원 방법의 흐름도이다.
도 4를 참고하면, 인증 및 정책 서버(130)는 비즈 테더링 앱을 통한 사내망 접속 서비스의 사용자 프로파일 정보를 관리한다(S110). 사용자 프로파일 정보는 사내망을 관리하는 주체에 따라 다를 수 있다. 예를 들면, 사용자 프로파일 정보는 사용자 인증 정보(예를 들면, ID/PW), 업무용 기기의 네트워크 연결 정보(예를 들면, 고정 IP 주소, 게이트웨이 주소, 서브넷 주소, DSN 서버 주소, 테더링 APN OI, VPN 서버 접속 정보 등), MAC 주소 등의 단말 정보를 포함할 수 있다.
모바일 단말(200)은 테더링된 업무용 기기(100)를 사내망으로 접속시키는 어플리케이션(비즈 테더링 앱)을 설치한다(S120).
모바일 단말(200)은 테더링 APN 인증 요청을 포함하는 접속 요청(attach request)을 MME/AMF 장비(40)로 전송한다(S130). 테더링 APN 인증 요청은 사용자 인증 정보(예를 들면, ID/PW)와 테더링 APN의 인증 방식(예를 들면, 비즈 테더링)을 포함할 수 있다.
MME/AMF 장비(40)는 P-GW/UPF 장비(50)로 테더링 APN 인증 요청을 포함하는 세션 생성 요청(session create request)을 전송한다(S140).
P-GW/UPF 장비(50)는 인증 및 정책 서버(130)로, 테더링 APN 인증 요청을 전달한다(S150).
인증 및 정책 서버(130)는 테더링 APN 인증 요청에 포함된 사용자 인증 정보(예를 들면, ID/PW)로 사용자 인증하고, 정상 인증인 경우 사용자 인증 정보(예를 들면, ID/PW)에 대응하여 저장된 업무용 기기의 네트워크 연결 정보 및 MAC 정보를 포함하는 테더링 APN 인증 응답을 전달한다(S160). 업무용 기기의 네트워크 연결 정보는 예를 들면, 고정 IP 주소, 게이트웨이 주소, 서브넷 주소, DSN 서버 주소, 테더링 APN OI, VPN 서버 접속 정보 등 일 수 있다.
테더링 APN 인증 응답을 수신한 P-GW/UPF 장비(50)는 테더링 APN 인증 응답을 포함하는 세션 생성 응답(session create response)을 전송한다(S170).
세션 생성 응답을 수신한 MME/AMP 장비(40)는 테더링 APN 인증 응답을 포함하는 접속 응답(attach response)을 모바일 단말(200)로 전송한다(S180).
모바일 단말(200)은 테더링 APN 인증 응답을 저장한다(S190).
도 5를 참고하면, 사용자가 비즈 테더링 앱을 활성화(ON 상태)한다.
모바일 단말(200)은 비즈 테더링 앱이 활성화(ON 상태)되면, 인증 및 정책 서버(130)로 테더링 APN의 망전환 요청을 전송한다(S210). 테더링 APN의 망전환 요청은 테더링 APN 인증 응답에 포함된 테더링 APN OI를 포함한다. 비즈 테더링 앱의 활성화는 사내망으로의 연결 요청의 한 실시예로 볼 수 있다.
인증 및 정책 서버(130)는 HSS(Home Subscriber Server)/UDM(User Data Management) 장비(60)로 가입자 프로파일 변경 요청을 전송한다(S220). 가입자 프로파일 변경 요청은 테더링 APN OI에 해당하는 값으로의 망 변경 요청이고, 테더링 APN OI는 특정 사설망의 식별자일 수 있다.
HSS/UDM 장비(60)는 테더링 APN OI를 기초로 테더링 APN의 연결 망을 사내망(10)으로 변경한다(S222). 테더링 APN의 전용 통신망 인터페이스에서 출력된 트래픽은 사설 P-GW/사설 UPF(330)를 통해 사내망(10)으로 전송된다.
인증 및 정책 서버(130)는 HSS/UDM 장비(60)으로부터 가입자 프로파일 변경 응답을 수신한다(S224).
인증 및 정책 서버(130)는 모바일 단말(200)로 테더링 APN의 망전환 응답을 전송한다(S226). 망전환을 통해, 업무용 기기(100)의 트래픽이 사내망(10)으로 전달되도록 경로가 설정된다.
모바일 단말(200)은 테더링 APN 인증 응답에 포함된 VPN 서버 접속 정보를 기초로, VPN 서버(150)로 VPN 접속 요청을 전송한다(S230). VPN 접속 요청은 VPN 서버(150)의 IP 주소를 포함하고, VPN 접속에서 요구되는 ID/PW를 더 포함할 수 있다.
VPN 서버(150)는 VPN 접속 요청을 확인하고, 모바일 단말(200)과 VPN 세션을 생성한다(S240).
이렇게, 모바일 단말(200)의 전용 통신망 인터페이스(253)와 VPN 서버(150) 사이에 VPN 세션이 생성된다. 즉, 전용 통신망 인터페이스(253)는 VPN으로 연결되는 VPN 인터페이스로 동작한다.
업무용 기기(100)가 모바일 단말(200)의 가상 테더링 인터페이스(213)로 접속 요청한다(S250). 업무용 기기(100)는 사내 접속 장치(110)에 접속하는 것과 동일하게, 와이파이를 통해 모바일 단말(200)에 테더링될 수 있다. 가상 테더링 인터페이스(213)에, 업무용 기기(100)가 사내망에서 연결되는 게이트웨이 주소(예를 들면, 10.214.73.1)가 설정되어 있다. 따라서, 업무용 기기(100)는 가상 테더링 인터페이스(213)를 사내 접속 장치(110)의 게이트웨이로 인식하므로, 네트워크 연결 정보를 변경할 필요 없이 접속할 수 있다.
모바일 단말(200)은 접속 요청에 포함된 MAC 주소와 테더링 APN 인증 응답에 포함된 MAC 주소를 비교하여 접속 요청한 업무용 기기(100)가 인증된 단말인지 확인한다(S260).
인증된 단말이 하위 단말로 연결된 경우, 모바일 단말(200)은 인증 및 정책 서버(130)로, 하위 단말로 연결된 업무용 기기(100)를 알린다(S270).
인증 및 정책 서버(130)는 사내망(10)의 라우터들(170)에게 업무용 기기(100)에 대한 라우팅 업데이트 메시지를 전달한다(S272). 라우팅 업데이트 메시지는 업무용 기기(100)가 사내 접속 장치(110) 대신, VPN 서버(150)에 연결된 모바일 단말(200)에 테더링 연결된 정보를 포함한다. 인증 및 정책 서버(130)는 모바일 단말(200)의 하위에 연결된 업무용 기기(100)의 연결 상태를 관리한다. 라우터들(170)은 고정 IP 주소(예를 들면, 10.214.73.62)의 업무용 기기(100)로의 트래픽은 VPN 서버(150)로 전달되도록 라우팅 테이블을 변경한다(S274).
인증 및 정책 서버(130)는 모바일 단말(200)로 업무용 기기(100)의 라우팅 업데이트를 알린다(S276).
모바일 단말(200)은 라우팅 업데이트가 완료된 업무용 기기(100)의 접속을 허가한다(S280).
업무용 기기(100)는 모바일 단말(200)과 VPN 서버(150) 사이에 연결된 VPN 세션, 그리고 VPN 서버(150)와 사내망(10) 내 서버의 세션을 통해 사내망(10) 내 서버에 접속한다(S290).
도 6을 참고하면, 모바일 단말(200)은 테더링 APN 인증 응답을 수신하면, 업무용 기기(100)가 접속할 수 있는 가상 테더링 인터페이스(213)를 생성한다(S310). 모바일 단말(200)은 가상 테더링 인터페이스(213)에, 테더링 APN 인증 응답에 포함된 업무용 기기(100)에 설정된 게이트웨이 주소(예를 들면, 10.214.73.1)를 설정한다. 그러면, 업무용 기기(100)는 가상 테더링 인터페이스(213)를 사내 접속 장치(110)의 게이트웨이로 인식하므로, 네트워크 연결 정보를 변경할 필요 없이 접속할 수 있다.
모바일 단말(200)은 단말 내 라우팅 테이블에 가상 테더링 인터페이스(213)에서 전용 통신망 인터페이스(253)로의 라우팅을 추가한다(S320).
모바일 단말(200)은 테더링 APN 인증 응답을 기초로 가상 테더링 인터페이스(213)로부터 유입된 트래픽에 대한 라우팅 정책을 설정한다(S330). 모바일 단말(200)은 테더링 APN 인증 응답에 포함된 고정 IP 주소에서 발신된 트래픽에 대해서는 소스 IP 주소를 변경하지 않는 라우팅 정책을 설정한다.
도 7은 한 실시예에 따른 사내망 접속 지원 방법이 제공하는 업무 환경을 도식적으로 설명하는 도면이다.
도 7을 참고하면, 사용자는 업무용 기기인 노트북을 어디에서든 모바일 단말(200)에 연결하면 사내에서와 동일한 접속 환경을 제공받을 수 있고, 업무용 기기에 별도의 VPN 접속 소프트웨어를 설치할 필요가 없으며, 위치에 따라 IP 설정을 변경할 필요가 없다.
업무용 기기가 항상 고정 IP 주소를 사용한다. 따라서, 업무용 기기에서 전송되는 트래픽의 소스IP 주소가 변경되지 않아서, 기업은 업무용 기기가 어느 망을 통해 사내망에 접속하든 동일한 관리 정책을 수행할 수 있다.
업무용 기기는 모바일 단말(200)과 VPN 서버(150)간의 VPN 세션을 통해 사내망에 접속하므로, 사외에서도 터널링 및 암호화 기술을 통한 보안성을 높일 수 있다.
이처럼, 실시예에 따르면 이동성, 편리성, 보안성이 강화된 업무 환경을 제공할 수 있다.
이외에도, 실시예에 따르면 업무용 기기의 트래픽이 모바일 단말의 일반 트래픽과 분리된 경로로 전송되므로, 업무용 기기의 트래픽을 모바일 단말의 일반 트래픽과 분리하여 과금 및 QoS 등을 관리 및 제어할 수 있다.
실시예에 따르면 구내 무선망을 신규 구성하는 경우, 기업은 별도의 망을 구축할 필요 없이, 업무용 기기를 모바일 단말로 테더링함으로써, 무선 오피스를 구축할 수 있다. 특히, 실시예에 따르면 와이파이 AP, 스위치, 라우터, 케이블 등을 설치하고 유지 보수를 할 필요 없이, 이동통신사의 모바일 단말만 구매하여 구내 무선망을 구축할 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (18)

  1. 모바일 단말이 네트워크 시스템과 연동하여, 테더링된 기기의 사내망 접속을 지원하는 방법으로서,
    테더링 APN(Access Point Name)의 인증 요청을 코어망으로 전송하는 단계,
    상기 코어망으로부터 테더링 APN 인증 응답을 수신하는 단계,
    상기 테더링 APN 인증 응답에 포함된 게이트웨이 주소를 기초로 인증 기기가 접속할 수 있는 가상 테더링 인터페이스를 생성하는 단계, 그리고
    라우팅 테이블에, 상기 가상 테더링 인터페이스에서 상기 테더링 APN이 설정된 전용 통신망 인터페이스로의 트래픽 라우팅을 추가하는 단계를 포함하고,
    상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 상기 인증 기기의 네트워크 연결 정보를 포함하고,
    상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 상기 게이트웨이 주소를 포함하는, 사내망 접속 지원 방법.
  2. 제1항에서,
    상기 인증 기기는 상기 고정 IP 주소로 상기 가상 테더링 인터페이스에 접속하는, 사내망 접속 지원 방법.
  3. 제1항에서,
    상기 트래픽 라우팅을 추가하는 단계는
    상기 가상 테더링 인터페이스에서 상기 전용 통신망 인터페이스로 라우팅되는 트래픽의 소스 IP 주소를 그대로 유지하는 라우팅 정책을 설정하는, 사내망 접속 지원 방법.
  4. 제1항에서,
    상기 사내망으로의 연결 요청이 입력되면, 인증 및 정책 서버로 상기 테더링 APN의 망전환 요청을 전송하는 단계, 그리고
    상기 인증 및 정책 서버로부터 전송된 상기 테더링 APN의 망전환 응답을 수신하는 단계를 더 포함하고,
    상기 망전환 요청은 상기 테더링 APN 인증 응답에 포함된 테더링 APN OI(Operator Identifier)를 포함하고, 상기 망전환 요청을 통해 상기 전용 통신망 인터페이스에서 출력되는 트래픽이 상기 테더링 APN OI에 해당하는 망으로 전달되는, 사내망 접속 지원 방법.
  5. 제1항에서,
    상기 사내망의 VPN(Virtual Private Network) 서버로 VPN 접속 요청을 전송하는 단계, 그리고
    상기 전용 통신망 인터페이스와 상기 VPN서버 사이에 VPN 세션을 생성하는 단계를 더 포함하며,
    상기 테더링 APN 인증 응답은 상기 VPN 서버의 접속 정보를 포함하는, 사내망 접속 지원 방법.
  6. 제5항에서,
    상기 가상 테더링 인터페이스에 접속한 상기 인증 기기의 트래픽이 상기 VPN 세션을 통해 상기 사내망으로 전달되는, 사내망 접속 지원 방법.
  7. 제5항에서,
    상기 가상 테더링 인터페이스에 접속한 임의 기기로부터 접속 요청을 수신하는 단계,
    상기 접속 요청에 포함된 MAC 주소와 상기 테더링 APN 인증 응답에 포함된 MAC 주소를 비교하여 상기 임의 기기가 상기 인증 기기인지 확인하는 단계, 그리고
    상기 임의 기기가 상기 인증 기기인 경우, 인증 및 정책 서버로 상기 인증 기기가 상기 모바일 단말의 하위에 연결됨을 알리는 단계
    를 더 포함하는, 사내망 접속 지원 방법.
  8. 제7항에서,
    상기 인증 및 정책 서버로부터, 상기 사내망에서 상기 인증 기기로 전송되는 트래픽이 상기 전용 통신망 인터페이스로 전달되도록 라우팅 업데이트된 알림을 수신하는 단계, 그리고
    상기 접속 요청을 전송한 하위 단말의 접속을 허가하는 단계
    를 더 포함하는, 사내망 접속 지원 방법.
  9. 인증 및 정책 서버가 모바일 단말과 연동하여, 상기 모바일 단말에 테더링된 하위 단말의 사내망 접속을 지원하는 방법으로서,
    사내망 접속 서비스를 이용하는 사용자 프로파일 정보를 관리하는 단계,
    상기 모바일 단말로부터 전송된 테더링 APN(Access Point Name)의 인증 요청을 수신하는 단계, 그리고
    상기 사용자 프로파일 정보를 기초로 상기 인증 요청에 포함된 사용자 인증 정보에 대해 인증하고, 정상 인증인 경우, 테더링 APN 인증 응답을 상기 모바일 단말로 제공하는 단계를 포함하고,
    상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 인증 기기의 네트워크 연결 정보를 포함하고,
    상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 게이트웨이 주소를 포함하는, 사내망 접속 지원 방법.
  10. 제9항에서,
    상기 사용자 프로파일 정보는
    상기 인증 단말의 상기 고정 IP 주소, 상기 게이트웨이 주소, 테더링 APN OI(Operator Identifier), 상기 사내망의 VPN 서버 접속 정보, 그리고 상기 인증 단말의 MAC 주소를 포함하는, 사내망 접속 지원 방법.
  11. 제9항에서,
    상기 모바일 단말로부터 테더링 APN OI(Operator Identifier)를 포함하는 테더링 APN의 망전환 요청을 수신하는 단계,
    지정된 네트워크 장치로 상기 테더링 APN에 설정된 디폴트 망을 상기 테더링 APN OI에 해당하는 망으로 전환 요청하는 단계, 그리고
    상기 모바일 단말로 상기 테더링 APN의 망전환 응답을 전송하는 단계
    를 더 포함하는, 사내망 접속 지원 방법.
  12. 제9항에서,
    상기 모바일 단말로부터 상기 인증 기기가 하위에 연결된 알림을 수신하는 단계,
    상기 사내망의 라우터들로 상기 인증 기기에 대한 라우팅 업데이트 메시지를 전송하는 단계, 그리고
    상기 모바일 단말로, 상기 사내망에서 상기 인증 기기로 전송되는 트래픽이 상기 모바일 단말로 전달되도록 라우팅 업데이트된 알림을 전송하는 단계
    를 더 포함하는, 사내망 접속 지원 방법.
  13. 제9항에서,
    상기 인증 기기는 상기 고정 IP 주소가 설정되고, 상기 게이트웨이 주소가 설정된 사내 접속 장치로의 접속이 허가된 업무용 기기인, 사내망 접속 지원 방법.
  14. 컴퓨터 판독 가능한 기록 매체에 저장된 사내망 접속 지원 어플리케이션으로서,
    모바일 단말의 테더링 APN(Access Point Name)에 대한 인증 요청을 코어망으로 전송하는 단계,
    상기 코어망으로부터 테더링 APN 인증 응답을 수신하는 단계,
    상기 테더링 APN 인증 응답에 포함된 게이트웨이 주소를 기초로 인증 기기가 접속할 수 있는 가상 테더링 인터페이스를 생성하는 단계, 그리고
    라우팅 테이블에, 상기 가상 테더링 인터페이스에서 상기 테더링 APN이 설정된 전용 통신망 인터페이스로의 트래픽 라우팅을 추가하는 단계
    를 실행하는 명령어들(instructions)을 포함하고,
    상기 테더링 APN 인증 응답은 상기 사내망의 접속을 위해 설정된 상기 인증 기기의 네트워크 연결 정보를 포함하고,
    상기 네트워크 연결 정보는 상기 인증 기기의 고정 IP 주소 그리고 상기 게이트웨이 주소를 포함하는, 사내망 접속 지원 어플리케이션.
  15. 제14항에서,
    상기 사내망으로의 연결 요청이 입력되면, 인증 및 정책 서버로 상기 테더링 APN의 망전환 요청을 전송하는 단계, 그리고
    상기 인증 및 정책 서버로부터 전송된 상기 테더링 APN의 망전환 응답을 수신하는 단계를 실행하는 명령어들을 더 포함하고,
    상기 망전환 요청은 상기 테더링 APN 인증 응답에 포함된 테더링 APN OI(Operator Identifier)를 포함하고, 상기 망전환 요청을 통해 상기 전용 통신망 인터페이스에서 출력되는 트래픽이 상기 테더링 APN OI에 해당하는 망으로 전달되는, 사내망 접속 지원 어플리케이션.
  16. 제14항에서,
    상기 사내망의 VPN(Virtual Private Network) 서버로 VPN 접속 요청을 전송하는 단계, 그리고
    상기 전용 통신망 인터페이스와 상기 VPN서버 사이에 VPN 세션을 생성하는 단계를 실행하는 명령어들을 더 포함하며,
    상기 테더링 APN 인증 응답은 상기 VPN 서버의 접속 정보를 포함하는, 사내망 접속 지원 어플리케이션.
  17. 제14항에서,
    상기 가상 테더링 인터페이스에 접속한 임의 기기로부터 접속 요청을 수신하는 단계,
    상기 접속 요청에 포함된 MAC 주소와 상기 상기 테더링 APN 인증 응답에 포함된 MAC 주소를 비교하여 상기 임의 기기가 상기 인증 기기인지 확인하는 단계, 그리고
    상기 임의 기기가 상기 인증 기기인 경우, 인증 및 정책 서버로 상기 인증 기기가 상기 모바일 단말의 하위에 연결됨을 알리는 단계
    를 실행하는 명령어들을 더 포함하는, 사내망 접속 지원 어플리케이션.
  18. 제17항에서,
    상기 인증 및 정책 서버로부터, 상기 사내망에서 상기 인증 기기로 전송되는 트래픽이 상기 전용 통신망 인터페이스로 전달되도록 라우팅 업데이트된 알림을 수신하는 단계, 그리고
    상기 접속 요청을 전송한 하위 단말의 접속을 허가하는 단계
    를 실행하는 명령어들을 더 포함하는, 사내망 접속 지원 어플리케이션.
KR1020190105446A 2019-08-27 2019-08-27 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템 KR102367169B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190105446A KR102367169B1 (ko) 2019-08-27 2019-08-27 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190105446A KR102367169B1 (ko) 2019-08-27 2019-08-27 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템

Publications (2)

Publication Number Publication Date
KR20210025421A true KR20210025421A (ko) 2021-03-09
KR102367169B1 KR102367169B1 (ko) 2022-02-23

Family

ID=75179761

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190105446A KR102367169B1 (ko) 2019-08-27 2019-08-27 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템

Country Status (1)

Country Link
KR (1) KR102367169B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230010993A (ko) * 2021-07-13 2023-01-20 주식회사 케이티 프로그램 단위로 사설망 접속을 제어하는 시스템 및 그 방법
KR20230023312A (ko) * 2021-08-10 2023-02-17 주식회사 엘지유플러스 셀룰러 기반 가상지역네트워크 서비스에서 하위 사용자 구분 방법 및 이를 위한 장치
KR20230036772A (ko) * 2021-09-08 2023-03-15 주식회사 아리엘네트웍스 기업 망 보안 연결 장치 및 이를 통한 이동성 보장 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140046050A (ko) * 2011-08-05 2014-04-17 엘지전자 주식회사 Apn 상호 간의 라우팅 플로우 분배
KR20180032461A (ko) * 2016-09-22 2018-03-30 주식회사 케이티 사설망 서비스 제공 방법 및 시스템과 이를 위한 장치
KR101909262B1 (ko) * 2012-06-18 2018-10-17 주식회사 케이티 접속점 이름 검사 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140046050A (ko) * 2011-08-05 2014-04-17 엘지전자 주식회사 Apn 상호 간의 라우팅 플로우 분배
KR101909262B1 (ko) * 2012-06-18 2018-10-17 주식회사 케이티 접속점 이름 검사 방법 및 장치
KR20180032461A (ko) * 2016-09-22 2018-03-30 주식회사 케이티 사설망 서비스 제공 방법 및 시스템과 이를 위한 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230010993A (ko) * 2021-07-13 2023-01-20 주식회사 케이티 프로그램 단위로 사설망 접속을 제어하는 시스템 및 그 방법
KR20230023312A (ko) * 2021-08-10 2023-02-17 주식회사 엘지유플러스 셀룰러 기반 가상지역네트워크 서비스에서 하위 사용자 구분 방법 및 이를 위한 장치
KR20230036772A (ko) * 2021-09-08 2023-03-15 주식회사 아리엘네트웍스 기업 망 보안 연결 장치 및 이를 통한 이동성 보장 방법

Also Published As

Publication number Publication date
KR102367169B1 (ko) 2022-02-23

Similar Documents

Publication Publication Date Title
JP6737789B2 (ja) コンテキストベースのプロトコルスタックプライバシー
RU2517684C2 (ru) Точка доступа, сервер и система распределения неограниченного количества виртуальных беспроводных сетей стандарта ieee 802.11 с помощью неоднородной инфраструктуры
US20080065752A1 (en) Provisioning private access points for wireless networking
WO2020207156A1 (zh) 认证方法、装置及设备
AU2014261983B2 (en) Communication managing method and communication system
US20080226075A1 (en) Restricted services for wireless stations
KR20180109899A (ko) 로밍 연결을 확립하기 위한 방법
KR102367169B1 (ko) 사내망 접속 지원 방법 그리고 이를 제공하는 네트워크 시스템
WO2017008580A1 (zh) 无线站点接入局域网的方法及装置
WO2021197175A1 (zh) 应用服务器的发现方法及相关装置
JP2021513825A (ja) Sscモードを決定するための方法および装置
US10219309B2 (en) D2D service authorizing method and device and home near field communication server
WO2021063298A1 (zh) 实现外部认证的方法、通信装置及通信系统
KR20190000781A (ko) 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법
KR102185215B1 (ko) 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법
CN103476144B (zh) 企业网系统及基于企业网系统的用户设备注册方法
KR102048469B1 (ko) 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
US20240008117A1 (en) Dual-connection device enabling service advertisement and discovery of services between networks, user device and system
US11432158B2 (en) Systems and methods for using a unique routing indicator to connect to a network
US11800596B2 (en) Systems and methods for temporary service provisioning
KR20190093291A (ko) Sdn 기반 무선랜 디바이스의 연결성 관리 시스템
US11778041B1 (en) Systems and methods for preventing abuse of traffic categories and network slices by applications
WO2024212793A1 (zh) 通信方法和通信装置
CN113498055B (zh) 接入控制方法及通信设备

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant