KR20210132829A - Method for relaying communication using ssid and apparatus using the same - Google Patents

Method for relaying communication using ssid and apparatus using the same Download PDF

Info

Publication number
KR20210132829A
KR20210132829A KR1020200051211A KR20200051211A KR20210132829A KR 20210132829 A KR20210132829 A KR 20210132829A KR 1020200051211 A KR1020200051211 A KR 1020200051211A KR 20200051211 A KR20200051211 A KR 20200051211A KR 20210132829 A KR20210132829 A KR 20210132829A
Authority
KR
South Korea
Prior art keywords
ssid
data packet
user terminal
address
authentication
Prior art date
Application number
KR1020200051211A
Other languages
Korean (ko)
Other versions
KR102337285B1 (en
Inventor
권영민
Original Assignee
주식회사 아라드네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아라드네트웍스 filed Critical 주식회사 아라드네트웍스
Priority to KR1020200051211A priority Critical patent/KR102337285B1/en
Publication of KR20210132829A publication Critical patent/KR20210132829A/en
Application granted granted Critical
Publication of KR102337285B1 publication Critical patent/KR102337285B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

Disclosed is a service set identifier (SSID)-based communication relay method performed by an access point (AP) providing a plurality of SSIDs. According to one embodiment of the present invention, the communication relay method comprises the following steps: receiving a data packet from a user terminal; transmitting the data packet to a target IP address through a public network when the data packet includes a first SSID predetermined to correspond to the public network; and transmitting the data packet to the target IP address through a predetermined tunnel for a private network corresponding to a second SSID when the data packet includes the second SSID predetermined to correspond to each private network.

Description

SSID를 이용한 통신 중계 방법 및 이를 이용한 장치 {METHOD FOR RELAYING COMMUNICATION USING SSID AND APPARATUS USING THE SAME}Communication relay method using SSID and device using the same

본 명세서는 SSID를 이용한 통신 중계 방법 및 이를 이용한 장치에 관한 것이다.The present specification relates to a communication relay method using an SSID and an apparatus using the same.

상용 AP(Access Point)는 상용 AP에 접속하는 사용자 단말들의 인터넷 접속을 중계할 수 있다. 원칙적으로 인터넷에 연결하려는 사용자 단말의 수만큼 공인 IP 주소 발급이 필요하지만, 상용 AP를 이용하여 개별 단말에 사설 IP 주소를 부여함으로써, 다수의 사용자 단말이 하나의 공인 IP 주소를 이용하여 인터넷에 접속할 수 있다.A commercial access point (AP) may relay Internet access of user terminals accessing the commercial AP. In principle, it is necessary to issue public IP addresses as many as the number of user terminals to connect to the Internet. However, by giving private IP addresses to individual terminals using commercial APs, multiple user terminals can access the Internet using one public IP address can

SSID(Service Set IDentifier)는 서로 다른 상용 AP를 구분해주는 식별자로, AP의 종류에 따라서 복수의 SSID가 제공될 수 있다.A service set identifier (SSID) is an identifier for distinguishing different commercial APs, and a plurality of SSIDs may be provided according to the type of the AP.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한 본 발명의 특징적인 구성은 하기와 같다.The characteristic configuration of the present invention for achieving the object of the present invention as described above and for realizing the characteristic effects of the present invention to be described later is as follows.

본 발명의 일 실시예에 따른 복수의 SSID(Service Set IDentifier)를 제공하는 AP(Access Point)에 의해 수행되는, SSID 기반 통신 중계 방법은 사용자 단말로부터 데이터 패킷을 수신하는 단계; 상기 데이터 패킷이, 공용 네트워크에 대응하도록 미리 결정된 제1 SSID을 포함하는 경우, 상기 공용 네트워크를 통해 상기 데이터 패킷을 타겟 IP 주소로 전송하는 단계; 및 상기 데이터 패킷이, 각각의 사설 네트워크에 대응하도록 미리 결정된 제2 SSID를 포함하는 경우, 상기 제2 SSID에 대응하는 사설 네트워크에 대해 미리 결정된 터널(Tunnel)을 통해 상기 데이터 패킷을 타겟 IP 주소로 전송하는 단계를 포함할 수 있다.An SSID-based communication relay method, performed by an access point (AP) providing a plurality of service set identifiers (SSIDs) according to an embodiment of the present invention, comprises the steps of: receiving a data packet from a user terminal; transmitting the data packet to a target IP address through the public network when the data packet includes a first SSID predetermined to correspond to a public network; and when the data packet includes a second SSID predetermined to correspond to each private network, the data packet is directed to a target IP address through a predetermined tunnel for the private network corresponding to the second SSID. It may include the step of transmitting.

일 실시예에 따른 통신 중계 방법은 상기 데이터 패킷을 수신하는 단계 이전에 수행되는 단계들로써,상기 사용자 단말의 네트워크 접속에 응답하여, 상기 사용자 단말에 대한 인증을 수행하는 단계; 상기 인증이 완료된 경우, 상기 사용자 단말의 상기 AP에 대한 접속을 허용하는 단계를 더 포함하고, 상기 인증을 수행하는 단계는, 상기 네트워크 접속이 상기 제2 SSID에 기초하여 수행된 경우, 상기 사용자 단말의 MAC 정보에 기초하여 제1 인증을 수행하는 단계; 상기 제1 인증이 완료된 경우, 상기 MAC 정보에 대응하여 미리 결정된 IP 주소를 상기 사용자 단말에 제공하는 단계; 및 상기 사용자 단말로부터 수신한 ID/PW 정보에 기초하여 제2 인증을 수행하는 단계를 포함할 수 있다.A communication relay method according to an embodiment includes steps performed before receiving the data packet, and in response to a network connection of the user terminal, performing authentication for the user terminal; The method further includes allowing the user terminal to access the AP when the authentication is completed, wherein the performing of the authentication includes, when the network connection is performed based on the second SSID, the user terminal performing a first authentication based on MAC information of providing a predetermined IP address to the user terminal in response to the MAC information when the first authentication is completed; and performing second authentication based on the ID/PW information received from the user terminal.

일 실시예에 따르면, 상기 미리 결정된 터널을 통해 상기 데이터 패킷을 타겟 주소로 전송하는 단계는 상기 데이터 패킷의 Source IP 주소를, 상기 사용자 단말에 제공된 IP 주소에 대응하여 미리 결정된 터널에 대응되는 소정의 IP 주소로 변경하는 단계; 및 상기 Source IP 주소가 변경된 데이터 패킷을 캡슐화함으로써, 상기 미리 결정된 터널을 통해 상기 데이터 패킷을 전송하는 단계를 포함할 수 있다.According to an embodiment, the step of transmitting the data packet to the target address through the predetermined tunnel includes setting the source IP address of the data packet to a predetermined tunnel corresponding to the IP address provided to the user terminal. changing to an IP address; and transmitting the data packet through the predetermined tunnel by encapsulating the data packet having the source IP address changed.

일 실시예에 따른 복수의 SSID(Service Set IDentifier)를 제공하는 AP(Access Point)는 사용자 단말로부터 데이터 패킷을 수신하는 통신부; 상기 데이터 패킷에 대응되는 SSID에 따라 서로 다른 방식으로 상기 데이터 패킷을 전송하는 프로세서를 포함하고, 상기 프로세서는 상기 데이터 패킷이, 공용 네트워크에 대응하도록 미리 결정된 제1 SSID을 포함하는 경우, 상기 공용 네트워크를 통해 상기 데이터 패킷을 전송하고, 상기 데이터 패킷이, 각각의 사설 네트워크에 대응하도록 미리 결정된 제2 SSID을 포함하는 경우, 상기 제2 SSID에 대응하는 사설 네트워크에 대해 미리 결정된 터널(Tunnel)을 통해 상기 데이터 패킷을 전송할 수 있다.An access point (AP) providing a plurality of service set identifiers (SSIDs) according to an embodiment includes a communication unit for receiving a data packet from a user terminal; and a processor configured to transmit the data packet in different ways according to an SSID corresponding to the data packet, wherein the processor is configured to: when the data packet includes a first SSID predetermined to correspond to the public network, the public network transmits the data packet through The data packet may be transmitted.

본 발명의 실시 예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시 예들 중 단지 일부일 뿐이며, 본 발명이 속한 기술분야의 통상의 기술자에게 있어서는 별개의 발명에 이르는 노력 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 일 실시예에 따른 통신 중계 방법이 구현된 시스템의 일례를 도시하는 도면이다.
도 2a는 일 실시예에 따른 통신 중계 방법을 설명하기 위한 흐름도이다.
도 2b는 제2 SSID를 통해 AP에 접속하는 사용자 단말에 대해 수행되는 인증 절차를 설명하기 위한 흐름도이다.
도 3은 일 실시예에 따른, 사용자 단말의 인증을 수행하는 예시를 도시하는 도면이다.
도 4는 일 실시예에 따른 AP의 통신 중계 방법에서 AP에서 수행되는 동작을 예시적으로 설명하는 도면이다.
도 5a는 다른 실시예에 따른 통신 중계 방법이 구현된 시스템의 일례를 도시하는 도면이다.
도 5b는 다른 실시예에 따른 AP의 통신 중계 방법에서 AP에서 수행되는 동작을 예시적으로 설명하는 도면이다.
도 6은 일 실시예에 따른 AP의 전체적인 구성을 도시하는 도면이다.The accompanying drawings for use in the description of the embodiments of the present invention are only a part of the embodiments of the present invention, and for those of ordinary skill in the art to which the present invention pertains, based on these drawings, without efforts to reach a separate invention Other drawings may be obtained.
1 is a diagram illustrating an example of a system in which a communication relay method according to an embodiment is implemented.
2A is a flowchart illustrating a communication relay method according to an embodiment.
2B is a flowchart illustrating an authentication procedure performed for a user terminal accessing an AP through a second SSID.
3 is a diagram illustrating an example of performing authentication of a user terminal according to an embodiment.
4 is a diagram exemplarily illustrating an operation performed by an AP in a communication relay method of an AP according to an embodiment.
5A is a diagram illustrating an example of a system in which a communication relay method according to another embodiment is implemented.
5B is a diagram exemplarily illustrating an operation performed by an AP in a communication relay method of an AP according to another embodiment.
6 is a diagram illustrating an overall configuration of an AP according to an embodiment.

후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시 예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시 예는 통상의 기술자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The following detailed description of the present invention refers to the accompanying drawings, which show by way of illustration a specific embodiment in which the present invention may be practiced, in order to clarify the objects, technical solutions and advantages of the present invention. These embodiments are described in sufficient detail to enable those skilled in the art to practice the present invention.

그리고 본 명세서의 상세한 설명 및 청구항들에 걸쳐, '포함하다'라는 단어 및 그 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 또한, '하나' 또는 '한'은 하나 이상의 의미로 쓰인 것이며, '또 다른'은 적어도 두 번째 이상으로 한정된다.And throughout this specification and claims, the word 'comprise' and variations thereof are not intended to exclude other technical features, additions, components or steps. In addition, 'one' or 'an' is used to mean more than one, and 'another' is limited to at least a second or more.

통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다. 따라서, 특정 구조나 기능에 관하여 본 명세서에 개시된 상세 사항들은 한정하는 의미로 해석되어서는 아니되고, 단지 통상의 기술자가 실질적으로 적합한 임의의 상세 구조들로써 본 발명을 다양하게 실시하도록 지침을 제공하는 대표적인 기초 자료로 해석되어야 할 것이다.Other objects, advantages and characteristics of the present invention will appear to a person skilled in the art, in part from this description, and in part from practice of the present invention. The following illustrations and drawings are provided by way of illustration and are not intended to limit the invention. Therefore, the details disclosed herein with respect to a specific structure or function are not to be construed in a limiting sense, but merely representative should be interpreted as basic data.

더욱이 본 발명은 본 명세서에 나타난 실시 예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시 예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시 예에 관련하여 본 발명의 사상 및 범위를 벗어나지 않으면서 다른 실시 예로 구현될 수 있다. 또한, 각각의 개시된 실시 예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 사상 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다. Moreover, the invention encompasses all possible combinations of the embodiments shown herein. It should be understood that various embodiments of the present invention are different but need not be mutually exclusive. For example, certain shapes, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in relation to one embodiment. In addition, it should be understood that the position or arrangement of individual components in each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description set forth below is not intended to be taken in a limiting sense, and the scope of the invention, if properly described, is limited only by the appended claims, along with all scope equivalents to those claimed. Like reference numerals in the drawings refer to the same or similar functions throughout the various aspects.

본 명세서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Unless otherwise indicated herein or otherwise clearly contradicted by context, items referred to in the singular encompass the plural unless the context requires otherwise. In addition, in describing the present invention, if it is determined that a detailed description of a related known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.

이하, 통상의 기술자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시 예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, in order to enable those skilled in the art to easily practice the present invention, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 일 실시예에 따른 통신 중계 방법이 구현된 시스템의 일례를 도시하는 도면이다.1 is a diagram illustrating an example of a system in which a communication relay method according to an embodiment is implemented.

도 1을 참고하면, AP(Access point)(110)는 각각의 사용자 단말(141, 142, 143)과 외부 엔티티(entity) 사이의 통신을 중계할 수 있다. Referring to FIG. 1 , an access point (AP) 110 may relay communication between each user terminal 141 , 142 , 143 and an external entity.

사용자 단말(141, 142, 143)은 검색된 AP(110)의 SSID 중 어느 하나를 통해 AP(110)에 접속하고, AP(110)를 경유하여 외부 네트워크와 통신을 수행할 수 있다. AP(110)는 복수의 SSID(예를 들어, 제1 SSID, 제2-1 SSID, 제2-2 SSID)를 제공할 수 있다.The user terminals 141 , 142 , and 143 may access the AP 110 through any one of the found SSIDs of the AP 110 , and communicate with an external network via the AP 110 . The AP 110 may provide a plurality of SSIDs (eg, a first SSID, a 2-1 SSID, and a 2-2 SSID).

일 실시예에 따른 AP(110)는 각각의 사용자 단말(141, 142, 143)이 AP(110)에 접속하는 과정에서 선택된 SSID에 따라서, 사용자 단말(141, 142, 143)이 선택된 SSID에 대응하여 미리 결정된 네트워크에 접속하도록 할 수 있다.The AP 110 according to an embodiment corresponds to the SSID selected by the user terminals 141 , 142 and 143 according to the SSID selected in the process in which each of the user terminals 141 , 142 , 143 accesses the AP 110 . to connect to a predetermined network.

가정, 공공장소, 카페 등에 설치되는 AP(110)는 SSID를 통해 접속하는 사용자 단말(143)이 WiFi를 통해 인터넷에 접속할 수 있도록 한다. 예를 들어, 인터넷과 같은 공용 네트워크에 접속을 위해 AP(110)가 제공하는 제1 SSID를 통해 AP(110)에 접속한 사용자 단말(143)은 공용 네트워크에 접속하여 외부 엔티티와 통신을 수행할 수 있다. 사용자 단말(143)에서 전송된 데이터 패킷은 공용 네트워크 경로(123)를 통해 외부 엔티티에 전송될 수 있다.The AP 110 installed in homes, public places, cafes, etc. allows the user terminal 143 accessing through the SSID to access the Internet through WiFi. For example, the user terminal 143 accessing the AP 110 through the first SSID provided by the AP 110 to access a public network such as the Internet accesses the public network to communicate with an external entity. can The data packet transmitted from the user terminal 143 may be transmitted to an external entity through the public network path 123 .

일반적으로, 사설 네트워크(151, 152)는 공용 네트워크와 별개로 구축된 네트워크로서, 보안을 위해 인가된 사용자 단말에 한해 접속이 허용될 수 있다. 예를 들어, 사설 네트워크(151, 152)는 기업 내부적으로 구축된 네트워크일 수 있다. 일반적으로, 사설 네트워크(151, 152)에 접근하고자 하는 사용자 단말에는 각각의 사설 네트워크(151, 152)에 대한 접속을 위한 별도의 에이전트가 설치되어야 하고, 에이전트를 통해 인증이 완료된 사용자 단말에 한하여 각각의 사설 네트워크(151, 152)에 접속할 수 있다. 본 발명의 통신 중계 방법은 각각의 사용자 단말(141, 142)에 별도의 에이전트가 설치되지 않더라도, SSID에 기반하여 AP(110)에 의해 수행되는 인증을 통해, 각각의 사용자 단말(141, 142)이 사설 네트워크(151, 152)에 접속할 수 있는 수단을 제공할 수 있다.In general, the private networks 151 and 152 are networks constructed separately from the public networks, and access may be allowed only to an authorized user terminal for security. For example, the private networks 151 and 152 may be networks built inside an enterprise. In general, a separate agent for access to each of the private networks 151 and 152 should be installed in a user terminal that wants to access the private networks 151 and 152, and only for user terminals that have been authenticated through the agent, respectively. can connect to the private networks 151 and 152 of In the communication relay method of the present invention, even if a separate agent is not installed in each user terminal 141, 142, through authentication performed by the AP 110 based on the SSID, each user terminal 141, 142. A means for accessing the private networks 151 and 152 may be provided.

일 실시예에 따른 AP(110)는 공용 네트워크 접속을 위한 제1 SSID와 더불어 추가적으로, 제2-1 SSID, 제2-2 SSID를 포함하는 복수의 SSID를 제공할 수 있다. 제2-1 SSID 또는 제2-2 SSID는 사용자 단말이 AP(110)를 통해 각각의 SSID에 대응하는 사설 네트워크(151, 152)에 접속할 수 있도록 미리 결정된 SSID일 수 있다. AP(110)는 제2-1 SSID 또는 제2-2 SSID를 통해 AP(110)에 접속하는 사용자 단말(141, 142)과 각각의 SSID에 대응되는 사설 네트워크(151, 152)사이의 통신을 중계할 수 있다.The AP 110 according to an embodiment may additionally provide a plurality of SSIDs including the 2-1 SSID and the 2-2 SSID in addition to the first SSID for accessing the public network. The 2-1 SSID or the 2-2 SSID may be a predetermined SSID so that the user terminal can access the private networks 151 and 152 corresponding to each SSID through the AP 110 . The AP 110 communicates between the user terminals 141 and 142 accessing the AP 110 through the 2-1 SSID or the 2-2 SSID and the private networks 151 and 152 corresponding to the respective SSIDs. can be relayed.

보다 구체적으로, AP(110)는 제2-1 SSID를 포함하는 데이터 패킷을 사용자 단말(141)로부터 수신하는 경우, 제2-1 SSID에 대응하는 사설 네트워크(151)에 연결된 제1 터널(121)을 통해 서비스 게이트웨이(132)에 데이터 패킷을 전송함으로써, 제1 사설 네트워크(151)와 사용자 단말(141) 사이의 통신을 중계할 수 있다. 유사한 방식으로, AP(110)는 제2-2 SSID를 포함하는 데이터 패킷을 사용자 단말(142)로부터 수신하는 경우, 제2-2 SSID에 대응하는 제2 사설 네트워크(152)에 연결된 제2 터널(122)를 통해 서비스 게이트웨이(132)에 데이터 패킷을 전송함으로써, 제2 사설 네트워크(152)와 사용자 단말(142) 사이의 통신을 중계할 수 있다.More specifically, when the AP 110 receives a data packet including the 2-1 SSID from the user terminal 141 , the AP 110 , the first tunnel 121 connected to the private network 151 corresponding to the 2-1 SSID. ), by transmitting the data packet to the service gateway 132 , communication between the first private network 151 and the user terminal 141 may be relayed. In a similar manner, when the AP 110 receives a data packet including the 2-2 SSID from the user terminal 142 , the AP 110 is connected to the second private network 152 corresponding to the 2-2 SSID in a second tunnel. By transmitting the data packet to the service gateway 132 through 122 , communication between the second private network 152 and the user terminal 142 may be relayed.

서비스 게이트웨이(132)는 외부 사용자 단말이 사설 네트워크에 대한 접속을 중계하는 컴퓨팅 장치로, 예를 들어 라우터(Router)일 수 있고, 서비스 게이트웨이(132)는 AP(110)로부터 수신한 데이터 패킷을 대응하는 사설 네트워크(151, 152)에 전송할 수 있다. 실시예에 따라 서비스 게이트웨이(132)는 구별된 컴퓨팅 장치인 컨트롤러(131) 통해 제어될 수 있다. 또한, 컨트롤러는 이하 도 3을 통해 보다 상세히 설명되는 바와 같이, 개별 사용자 단말에 대한 인증을 수행할 수 있다.The service gateway 132 is a computing device that relays an external user terminal access to a private network, and may be, for example, a router, and the service gateway 132 responds to the data packet received from the AP 110 . can be transmitted to the private networks 151 and 152. According to an embodiment, the service gateway 132 may be controlled through the controller 131 which is a separate computing device. In addition, as will be described in more detail with reference to FIG. 3 below, the controller may perform authentication for individual user terminals.

제1 터널(121) 및 제2 터널(122)은 상호 독립적인 터널일 수 있다. AP(110)는 구별된 제1 터널(121) 및 제2 터널(122)을 통해 사설 네트워크(151, 152)와 사용자 단말(141, 142) 사이의 통신을 중계함으로써, 통신의 보안성을 향상시킬 수 있다. 즉, 제1 터널(121)을 통한 통신 경로가 외부에 해킹되더라도, 이는 제2 터널(122)를 통한 통신에 영향을 미치지 않도록 함으로써, 본원의 통신 중계 방법은 보안성이 향상된 통신 수단을 제공할 수 있다.The first tunnel 121 and the second tunnel 122 may be mutually independent tunnels. The AP 110 relays the communication between the private networks 151 and 152 and the user terminals 141 and 142 through the separated first and second tunnels 121 and 122, thereby improving the security of communication. can do it That is, even if the communication path through the first tunnel 121 is hacked to the outside, this does not affect communication through the second tunnel 122, so that the communication relay method of the present application provides a communication means with improved security. can

도 2a는 일 실시예에 따른 통신 중계 방법을 설명하기 위한 흐름도이다.2A is a flowchart illustrating a communication relay method according to an embodiment.

도 2a를 참조하면, 단계(210)에서 AP는 사용자 단말로부터 데이터 패킷을 수신할 수 있다.Referring to FIG. 2A , in step 210, the AP may receive a data packet from the user terminal.

AP는 단계(220)를 통해 수신한 데이터 패킷이 공용 네트워크 접속을 위한 제1 SSID를 포함하는 것으로 결정된 경우, 단계(230)에서 수신한 데이터 패킷을 공용 네트워크 경로를 통해 타겟 IP 주소로 전송할 수 있다.When it is determined that the data packet received in step 220 includes the first SSID for access to the public network, the AP may transmit the data packet received in step 230 to the target IP address through the public network path. .

AP는 단계(220)를 통해 수신한 데이터 패킷이 제1 SSID를 포함하지 않는 것으로 결정된 경우, 단계(240)를 통해 제2 SSID를 포함하는 데이터 패킷이 수신되었는지 결정할 수 있다. 단계(240)를 통해 제2 SSID를 포함하는 데이터 패킷이 수신된 것으로 결정된 경우, 단계(250)에서 제2 SSID에 대응하여 미리 결정된 터널을 통해 데이터 패킷을 사설 네트워크 내의 타겟 IP 주소로 전송할 수 있다.When it is determined that the data packet received through step 220 does not include the first SSID, the AP may determine whether the data packet including the second SSID is received through step 240 . If it is determined in step 240 that the data packet including the second SSID has been received, in step 250 the data packet may be transmitted to the target IP address in the private network through a predetermined tunnel corresponding to the second SSID. .

제2 SSID는 대응되는 사설 네트워크에 따라 구별되는 복수의 SSID를 포함할 수 있다. 예를 들어, 제2 SSID는 제1 사설 네트워크(제1 기업의 사설 네트워크)와의 통신을 위해 미리 결정된 제2-1 SSID, 제2 사설 네트워크(제2 기업의 사설 네트워크)와의 통신을 위해 미리 결정된 제2-2 SSID 등을 포함할 수 있다. 앞서 SSID가 3개로 구분되어 제공되는 것으로 설명되었으나, 이는 예시에 불과할 뿐, 단일 AP를 통해 제공되는 SSID는 이에 한정되지 않음을 통상의 기술자는 이해할 것이다.The second SSID may include a plurality of SSIDs that are distinguished according to a corresponding private network. For example, the second SSID may include a 2-1 SSID predetermined for communication with the first private network (private network of the first enterprise), a second SSID predetermined for communication with the second private network (private network of the second enterprise) The 2-2 SSID may be included. Although it has been described that the SSID is divided into three and provided, it will be understood by those skilled in the art that this is only an example, and the SSID provided through a single AP is not limited thereto.

사용자는 사용자 단말을 통해 검색되는 복수의 SSID 중 어느 하나를 선택함으로써, i) 공용 네트워크를 통한 통신하거나(제1 SSID 선택), ii) 제1 기업의 사설 네트워크와 통신을 수행하거나(제2-1 SSID 선택) iii) 제2 기업의 사설 네트워크와 통신을 수행(제2-2 SSID 선택)할 수 있다.The user selects any one of a plurality of SSIDs searched for through the user terminal, i) communicating through the public network (selecting the first SSID), ii) performing communication with the private network of the first company (second- 1 Select SSID) iii) Can communicate with the private network of the second company (select 2-2 SSID).

또한, 일 실시예에 따르면, 제2-1 SSID 또는 제2-2 SSID는 사용자 단말을 통해 검색되지 않는 Hidden SSID 일 수 있다. 이 경우, 사용자는 사용자 단말을 통해 제2-1 SSID 또는 제2-2 SSID를 입력하여, AP에 접속하여 사설 네트워크와 통신을 수행할 수 있다.Also, according to an embodiment, the 2-1 SSID or the 2-2 SSID may be a hidden SSID that is not searched through the user terminal. In this case, the user may input the 2-1 SSID or the 2-2 SSID through the user terminal to access the AP and communicate with the private network.

상기 설명된 동작을 수행하기 전에, AP는 각각의 사용자 단말에 대한 인증을 수행하여, 각각의 사용자 단말에 적절한 IP 주소를 할당할 수 있다. 이를 통해 각각의 사용자 단말로부터 전송된 데이터 패킷이 적절한 터널을 경유하여 사설 네트워크에 전송될 수 있다. 해당 동작에 대해서는 이하 첨부되는 도면을 통해 보다 상세하게 설명된다.Before performing the above-described operation, the AP may perform authentication for each user terminal, and assign an appropriate IP address to each user terminal. Through this, the data packet transmitted from each user terminal can be transmitted to the private network through an appropriate tunnel. The corresponding operation will be described in more detail below with reference to the accompanying drawings.

도 2b는 제2 SSID를 통해 AP에 접속하는 사용자 단말에 대해 수행되는 인증 절차를 설명하기 위한 흐름도이다.2B is a flowchart illustrating an authentication procedure performed for a user terminal accessing an AP through a second SSID.

도 2b를 참고하면, 단계(201)에서 AP는 네트워크 접속이 사설 네트워크 접속을 위해 미리 결정된 제2 SSID에 기초하여 수행된 경우, 사용자 단말의 MAC 정보에 기초하여 제1 인증을 수행할 수 있다. 단계(201)를 통한 인증은 사용자 단말이 AP에 최초로 접속한 경우, 사용자 단말에 할당된 IP 주소의 유효 기간이 만료된 경우에 수행될 수 있다. 이외에도, 소정의 주기로 사용자 단말에 대한 제1 인증이 수행될 수 있다. 앞서 설명된 바와 같이 제2 SSID는 각각의 사설 네트워크 별로 서로 다른 SSID가 부여될 수 있다. 예를 들어, 제1 사설 네트워크에 접속을 위한 제2-1 SSID와 제2 사설 네트워크에 접속을 위한 제2-2 SSID는 서로 다른 SSID로 결정될 수 있다. 각각의 제2 SSID에 대응되는 사설 네트워크 별로 접속이 허용되는 MAC 정보가 미리 결정될 수 있고, 미리 결정된 MAC 정보에 기초하여 각각의 사용자 단말에 대한 제1 인증이 수행될 수 있다. 예를 들어, 제2-1 SSID에 대응되는 제1 사설 네트워크(예를 들어, 제1 기업의 내부 네트워크)에 접속 가능한 MAC 정보(예를 들어, 제1 기업 소속 직원의 사용자 단말의 MAC 정보 등) 및, 제2-2 SSID에 대응되는 제2 사설 네트워크(예를 들어, 제2 기업의 내부 네트워크)에 접속 가능한 MAC 정보(예를 들어, 제2 기업의 지원의 사용자 단말의 MAC 정보)는 구별되어 미리 결정될 수 있다. AP는 네트워크 접속을 수행한 사용자 단말의 MAC 정보가 접속에 이용된 제2 SSID에 대응하여 미리 저장된 MAC 정보에 해당하는지 여부에 기초하여 제1 인증을 수행할 수 있다.Referring to FIG. 2B , in step 201 , when network access is performed based on a second SSID predetermined for private network access, the AP may perform first authentication based on MAC information of the user terminal. Authentication through step 201 may be performed when the user terminal accesses the AP for the first time, or when the validity period of the IP address assigned to the user terminal expires. In addition, the first authentication for the user terminal may be performed at a predetermined period. As described above, the second SSID may be assigned a different SSID for each private network. For example, the 2-1 SSID for accessing the first private network and the 2-2 SSID for accessing the second private network may be determined to be different SSIDs. MAC information allowing access to each private network corresponding to each second SSID may be determined in advance, and first authentication for each user terminal may be performed based on the predetermined MAC information. For example, MAC information accessible to the first private network (eg, the internal network of the first company) corresponding to the 2-1 SSID (eg, MAC information of the user terminal of the employee belonging to the first company, etc.) ), and MAC information accessible to the second private network (eg, the internal network of the second company) corresponding to the 2-2 SSID (eg, MAC information of the user terminal supported by the second company) is can be distinguished and predetermined. The AP may perform the first authentication based on whether the MAC information of the user terminal that has accessed the network corresponds to MAC information stored in advance corresponding to the second SSID used for the connection.

AP는 단계(201)에서 제1 인증이 완료된 경우, 단계(202)를 통해 ID/PW 정보에 기초한 2차 인증을 수행할 수 있다.When the first authentication is completed in step 201 , the AP may perform secondary authentication based on ID/PW information through step 202 .

AP는 2차례의 인증을 통해, 사설 네트워크 접속에 대한 보안성을 향상시킬 수 있다.The AP can improve security for private network access through two-time authentication.

일 실시예에 따르면, AP는 외부 엔티티와 연동하여, 사용자 단말에 대한 제1 인증 및 제2 인증을 수행할 수 있다. 이에 대해서는 이하 첨부되는 도 3을 통해 보다 상세하게 설명된다.According to an embodiment, the AP may work with an external entity to perform first and second authentication for the user terminal. This will be described in more detail with reference to FIG. 3 attached below.

도 3은 일 실시예에 따른, 사용자 단말의 인증을 수행하는 예시를 도시하는 도면이다.3 is a diagram illustrating an example of performing authentication of a user terminal according to an embodiment.

도 3에 예시적으로 설명된 인증 절차는, 도 1에서 제2-1 SSID를 이용하여 AP에 접속하는 사용자 단말(141)에 대해 수행되는 인증 절차에 관한 것으로, 동일한 방식의 인증 절차는 사용자 단말(142)에 대해서도 수행될 수 있음은 통상의 기술자가 이해할 것이다.The authentication procedure exemplarily described in FIG. 3 relates to an authentication procedure performed for the user terminal 141 accessing the AP using the 2-1 SSID in FIG. It will be understood by those skilled in the art that it can also be performed for (142).

사용자 단말(141)은 무선 네트워크 접속을 위해 검색된 SSID 중, 제1 사설 네트워크에 접속하기 위한 제2-1 SSID를 선택하여, AP(110)에 대한 네트워크 접속을 수행할 수 있다(311).The user terminal 141 may select a 2-1 SSID for accessing the first private network from among the SSIDs searched for wireless network access, and perform network access to the AP 110 ( 311 ).

사용자 단말(141)은 DHCP(Dynamic Host Configuration Protocol)를 통해 사설 네트워크와 통신을 수행하기 위한 IP 주소를 AP(110)로부터 할당받고, 할당받은 IP 주소에 기초하여 사설 네트워크와 터널링에 기반한 통신을 수행할 수 있다. 사용자 단말(141)이 할당받는 IP 주소는 사용자 단말이 AP(110)에 접속하기 위해 선택한 SSID에 따라 서로 다른 IP 주소가 할당될 수 있으며, IP 주소의 유효 기간이 만료된 이후에 다시 IP 주소를 할당받는 경우, 이전과 동일한 SSID를 통해 접속을 수행하더라도 다른 IP 주소가 할당될 수 있다. 예를 들어, 사용자 단말이 제1 사설 네트워크 및 제2 사설 네트워크 모두에 접속할 수 있는 사용자 단말인 경우(MAC 정보가 두 사설 네트워크 모두에 대응하여 등록된 경우,), 제2-1 SSID를 통해 AP에 접속하는 경우와 제2-2 SSID를 통해 AP에 접속하는 경우, 서로 다른 IP 주소가 할당될 수 있다. 제2 사설 네트워크에 대응하는 사용자 단말의 MAC 정보가 미리 등록되지 않은 경우, 제2-2 SSID를 통해 AP에 접속한 사용자 단말에는 IP 주소가 할당되지 않음은 통상의 기술자가 이해할 것이다.The user terminal 141 receives an IP address for communicating with the private network through DHCP (Dynamic Host Configuration Protocol) from the AP 110, and performs communication with the private network and tunneling based on the assigned IP address. can do. The IP address assigned to the user terminal 141 may be assigned a different IP address according to the SSID selected by the user terminal to access the AP 110 , and after the validity period of the IP address expires, the IP address is set again. If assigned, a different IP address may be assigned even if access is performed through the same SSID as before. For example, when the user terminal is a user terminal capable of accessing both the first private network and the second private network (when MAC information is registered corresponding to both private networks), the AP through the 2-1 SSID In the case of accessing to the AP and the case of accessing the AP through the 2-2 SSID, different IP addresses may be assigned. A person skilled in the art will understand that, when MAC information of a user terminal corresponding to the second private network is not registered in advance, an IP address is not assigned to a user terminal accessing the AP through the 2-2 SSID.

보다 구체적으로, 사용자 단말(141)은 제1 사설 네트워크에 접속하기 위한 IP 주소를 할당할 수 있는 DHCP 서버를 검색하기 위한 DHCP Discovery 메시지를 브로드캐스팅할 수 있다(312).More specifically, the user terminal 141 may broadcast a DHCP Discovery message for searching for a DHCP server capable of assigning an IP address for accessing the first private network ( 312 ).

DHCP Discovery 메시지를 수신한 AP(110)는 제2-1 SSID에 대응하여 미리 결정된 사설 네트워크에 접속이 허용되는 IP 주소로서, 사용자 단말(141)에 할당 가능한 IP주소를 포함하는 DHCP Offer 메시지를 사용자 단말(141)에 전송할 수 있다(321).Upon receiving the DHCP Discovery message, the AP 110 sends a DHCP Offer message including an IP address assignable to the user terminal 141 as an IP address allowing access to a predetermined private network corresponding to the 2-1 SSID to the user. It can be transmitted to the terminal 141 (321).

DHCP Offer 메시지를 수신한 사용자 단말(141)은 AP(110)에 DHCP Request 메시지를 전송할 수 있다(313). DHCP Request 메시지는 제1 인증을 위해 필요한 사용자 단말(141)의 MAC 정보, 할당 받고자 하는 IP 주소 등과 같은 네트워크 정보를 포함할 수 있다.Upon receiving the DHCP Offer message, the user terminal 141 may transmit a DHCP Request message to the AP 110 ( 313 ). The DHCP Request message may include network information such as MAC information of the user terminal 141 required for the first authentication and an IP address to be allocated.

DHCP Request 메시지를 수신한 AP(110)는 사설 네트워크 접속을 제어하는 컨트롤러(131)에 제1 인증 요청 메시지를 전송할 수 있다(322). 제1 인증 요청 메시지는 사용자 단말(141)의 MAC 정보를 포함할 수 있다. AP(110)과 컨트롤러(131) 사이에서 전달되는 메시지는 AP(110)와 컨트롤러(131) 사이에 직접 송수신되거나, 도 1에서 예시적으로 설명된 서비스 게이트웨이를 경유하여 송수신될 수 있음은 통상의 기술자가 이해할 것이다.Upon receiving the DHCP Request message, the AP 110 may transmit a first authentication request message to the controller 131 for controlling access to the private network ( 322 ). The first authentication request message may include MAC information of the user terminal 141 . A message transmitted between the AP 110 and the controller 131 may be directly transmitted/received between the AP 110 and the controller 131 or may be transmitted/received via the service gateway exemplarily described in FIG. 1 . Technicians will understand.

컨트롤러(131)는 수신한 MAC 정보와, 제2-1 SSID에 대응하여 미리 등록된 MAC 정보를 비교함으로써, 사용자 단말(141)에 대한 제1 인증을 수행할 수 있다(331). 수신한 MAC 정보가 미리 등록된 MAC 정보에 해당되는 경우, 컨트롤러(131)는 사용자 단말(141)에 대한 제1 인증이 성공한 것으로 결정하고, 제1 인증 응답 메시지를 AP(110)에 전송할 수 있다(332). 수신한 MAC 정보가 미리 등록된 MAC 정보에 해당하지 않는 경우, 컨트롤러(131)는 제1 인증이 실패한 것으로 결정할 수 있다.The controller 131 may perform the first authentication for the user terminal 141 by comparing the received MAC information with the MAC information registered in advance corresponding to the 2-1 SSID ( 331 ). When the received MAC information corresponds to the previously registered MAC information, the controller 131 may determine that the first authentication for the user terminal 141 is successful, and may transmit a first authentication response message to the AP 110 . (332). When the received MAC information does not correspond to previously registered MAC information, the controller 131 may determine that the first authentication has failed.

인증 성공에 대응하는 제1 인증 응답 메시지를 수신한 AP(110)는 사용자 단말(141)에 할당할 IP 주소를 포함하는 DHCP ACK 메시지를 사용자 단말(141)에 전송할 수 있다(323).Upon receiving the first authentication response message corresponding to the authentication success, the AP 110 may transmit a DHCP ACK message including an IP address to be assigned to the user terminal 141 to the user terminal 141 ( 323 ).

제1 인증의 수행이 완료된 경우, 사용자 단말(141)은 로그인 정보를 수신하기 위한 사용자 입력 인터페이스를 통해 로그인 정보를 수신할 수 있다(314). 예를 들어, 로그인 정보는 ID/PW 정보를 포함할 수 있다.When the first authentication is completed, the user terminal 141 may receive the login information through a user input interface for receiving the login information ( 314 ). For example, the login information may include ID/PW information.

사용자 단말(141)은 수신한 로그인 정보를 포함하는 로그인 요청 메시지를 AP(110)에 전송할 수 있다(315).The user terminal 141 may transmit a login request message including the received login information to the AP 110 (315).

로그인 요청 메시지를 수신한 AP(110)는 로그인 정보를 포함하는 제2 인증 요청 메시지를 컨트롤러(131)에 전송할 수 있다(324).Upon receiving the login request message, the AP 110 may transmit a second authentication request message including login information to the controller 131 ( 324 ).

컨트롤러(131)는 수신한 제2 인증 요청 메시지에 포함된 로그인 정보에 기초하여 제2 인증을 수행(333)하고, 제2 인증이 성공한 경우, 제2 인증 응답 메시지를 AP(110)에 전송할 수 있다(334). 제2 인증은, 로그인 정보에 포함된 ID/PW정보가 미리 등록된 ID/PW 정보에 대응되는지 여부에 기초하여 수행될 수 있다.The controller 131 may perform second authentication 333 based on the login information included in the received second authentication request message, and if the second authentication succeeds, transmit a second authentication response message to the AP 110 . There is (334). The second authentication may be performed based on whether the ID/PW information included in the login information corresponds to the previously registered ID/PW information.

제2 인증이 성공한 경우, 컨트롤러(131)는 AP(110)에 인증 성공에 대응되는 제2 인증 응답 메시지를 전송(334)하고, 추가로, 사용자 단말(141)을 네트워크에 추가하기 위한 하위 네트워크 추가 요청 메시지를 전송(335)할 수 있다.When the second authentication is successful, the controller 131 transmits ( 334 ) a second authentication response message corresponding to the authentication success to the AP 110 , and additionally, a sub-network for adding the user terminal 141 to the network. An additional request message may be transmitted (335).

하위 네트워크 추가 요청 메시지를 수신한 AP(110)는 사용자 단말(141)을 대응되는 터널을 통해 사설 네트워크를 연결함으로써, 하위 네트워크를 기 존재하는 네트워크에 추가하고(325), 하위 네트워크 추가 결과에 대한 응답 메시지를 컨트롤러(131)에 전송할 수 있다(326). 또한, 제2 인증의 성공에 따른 로그인 성공에 대응하는 로그인 응답 메시지를 사용자 단말(141)에 전송할 수 있다(327).Upon receiving the sub-network addition request message, the AP 110 connects the user terminal 141 to the private network through the corresponding tunnel, and adds the sub-network to the existing network (325), and provides information on the result of adding the sub-network. A response message may be transmitted to the controller 131 ( 326 ). Also, a login response message corresponding to the login success according to the success of the second authentication may be transmitted to the user terminal 141 ( 327 ).

제2 인증이 완료된 사용자 단말(141)은 AP(110)를 통해 제2-1 SSID에 대응하는 제1 사설 네트워크와 통신을 수행할 수 있다. 또한, 사용자 단말(141)은 할당받은 IP 주소를 통해, 사설 네트워크와 터널 기반 통신을 수행함으로써, 보안성이 향상된 통신을 수행할 수 있다.The user terminal 141 for which the second authentication has been completed may communicate with the first private network corresponding to the 2-1 SSID through the AP 110 . In addition, the user terminal 141 may perform communication with improved security by performing tunnel-based communication with a private network through the assigned IP address.

도 4는 일 실시예에 따른 AP의 통신 중계 방법에서 AP에서 수행되는 동작을 예시적으로 설명하는 도면이다.4 is a diagram exemplarily illustrating an operation performed by an AP in a communication relay method of an AP according to an embodiment.

도 4를 참조하면, AP(110)는 SSID에 따라 서로 다른 네트워크와 각각의 사용자 단말(141, 142, 143) 사이의 통신을 중계할 수 있다. 보다 구체적으로, 공용 네트워크 접속을 위해 미리 결정된 제1 SSID를 통해 AP(110)에 접속한 사용자 단말(143)로부터 수신한 데이터 패킷은 인터넷과 같은 공용 네트워크를 경유하는 경로(123)를 통해 타겟 IP 주소에 전송될 수 있다.Referring to FIG. 4 , the AP 110 may relay communication between different networks and each user terminal 141 , 142 , and 143 according to the SSID. More specifically, the data packet received from the user terminal 143 accessing the AP 110 through the first SSID predetermined for access to the public network is transmitted to the target IP through the path 123 through the public network such as the Internet. address can be sent.

또한, 제1 사설 네트워크와 통신을 위해 미리 설정된 제2-1 SSID를 통해 AP(110)에 접속한 사용자 단말(141)로부터 수신한 데이터 패킷은 제2-1 SSID에 대응되는 제1 사설 네트워크와 연결된 터널(121)을 통해 제1 사설 네트워크에 전송될 수 있다.In addition, the data packet received from the user terminal 141 connected to the AP 110 through the 2-1 SSID preset for communication with the first private network is connected to the first private network corresponding to the 2-1 SSID. It may be transmitted to the first private network through the connected tunnel 121 .

마찬가지로, 제2 사설 네트워크와 통신을 위해 미리 설정된 제2-2 SSID를 통해 AP(110)에 접속한 사용자 단말(142)로부터 수신한 데이터 패킷은 제2-2 SSID에 대응되는 제2 사설 네트워크와 연결된 터널(122)을 통해 제2 사설 네트워크에 전송될 수 있다.Similarly, the data packet received from the user terminal 142 connected to the AP 110 through the 2-2 SSID preset for communication with the second private network is transmitted to the second private network corresponding to the 2-2 SSID. It may be transmitted to the second private network through the connected tunnel 122 .

보다 구체적으로, AP(110)는 주소 변환부(114)를 통해 데이터 패킷의 Source IP 주소를 미리 설정된 터널에 대응되는 IP 주소로 변경하고, 터널링부(115)를 통해 데이터 패킷을 캡슐화함으로써, 미리 결정된 터널을 통해 데이터 패킷을 타겟 IP 주소로 전송할 수 있다.More specifically, the AP 110 changes the source IP address of the data packet to an IP address corresponding to the preset tunnel through the address conversion unit 114 and encapsulates the data packet through the tunneling unit 115, The data packet can be transmitted to the target IP address through the determined tunnel.

주소 변환부(114)는 NAT(Network Address Translation)을 수행하도록 구성된 소프트웨어 모듈일 수 있으며, 데이터 패킷의 Source IP 주소를 미리 설정된 터널의 Inner IP 주소로 변환할 수 있다. 예를 들어, 주소 변환부(114)는 제1 사설 네트워크와 통신이 허용되는 IP 주소가 할당된 사용자 단말(141)로부터 수신한 데이터 패킷의 Source IP 주소를, 제1 사설 네트워크에 대해 미리 설정된 제1 터널(121)의 Inner IP 주소로 변경할 수 있다. 마찬가지로, 주소 변환부(114)는 제2 사설 네트워크와 통신이 허용되는 IP 주소가 할당된 사용자 단말(142)로부터 수신한 데이터 패킷의 Source IP 주소를, 제2 사설 네트워크에 대해 미리 설정된 제2 터널(122)의 Inner IP 주소로 변경할 수 있다.The address translation unit 114 may be a software module configured to perform Network Address Translation (NAT), and may convert a source IP address of a data packet into an inner IP address of a preset tunnel. For example, the address conversion unit 114 converts the source IP address of the data packet received from the user terminal 141 to which the IP address allowed to communicate with the first private network is assigned to a preset number for the first private network. 1 It can be changed to the inner IP address of the tunnel 121 . Similarly, the address conversion unit 114 converts the source IP address of the data packet received from the user terminal 142 to which the IP address allowing communication with the second private network is assigned to the second tunnel preset for the second private network. It can be changed to the inner IP address of (122).

터널링부(115)는 데이터 패킷의 Source IP에 따라 캡슐화를 수행하는 모듈일 수 있다. 터널링부(115)는 데이터 패킷에 대한 캡슐화를 진행하여, 데이터 패킷을 개별 사설 네트워크에 전송할 수 있다. 보다 구체적으로, 터널링부(115)는 주소 변환부(114)를 통해 Source IP주소가 변환된 데이터 패킷을 변환된 Source IP 주소에 대응되는 터널 outer IP 주소 및 터널 종단 IP 주소에 기초하여 캡슐화함으로써, 미리 결정된 터널을 통해 데이터 패킷을 타깃 IP 주소로 전송할 수 있다. 개별 터널(121, 122)에 따라서, 터널 outer IP 주소 및 터널 종단 IP 주소가 달리 설정될 수 있고, 이를 통해 각각의 데이터 패킷은 서로 다른 터널을 통해 목적지인 사설 네트워크로 전송될 수 있다.The tunneling unit 115 may be a module that performs encapsulation according to the source IP of the data packet. The tunneling unit 115 may perform encapsulation of the data packet and transmit the data packet to an individual private network. More specifically, the tunneling unit 115 encapsulates the data packet whose source IP address is converted through the address conversion unit 114 based on the tunnel outer IP address and the tunnel end IP address corresponding to the converted source IP address, A data packet can be sent to a target IP address through a predetermined tunnel. Depending on the individual tunnels 121 and 122 , the tunnel outer IP address and the tunnel end IP address may be set differently, and through this, each data packet may be transmitted to a private network as a destination through different tunnels.

설명된 주소 변환부(114) 및 터널링부(115)의 동작을 통해 데이터 패킷은 사설 네트워크 별로 서로 다른 터널을 통해 전송될 수 있다.Through the operations of the address conversion unit 114 and the tunneling unit 115 described above, the data packet may be transmitted through different tunnels for each private network.

일 실시예에 따른 AP(110)에서는 각각의 SSID 별로 서로 다른 VLan(Virtual local area network)(111, 112, 113)이 할당될 수 있고, 각각의 VLan은 서로 다른 IP 대역에 대응될 수 있다. 또한, IP 대역에 따라 서로 다른 터널(121, 122)가 매핑될 수 있다. SSID 별로 할당된 VLan(111, 112, 113)에 기초하여, 서로 다른 SSID를 통해 AP(110)에 접속하는 사용자 단말들 사이에서는 상호간에 통신이 수행될 수 없다. 이를 통해 제3 VLan(113)에 대응하는 공용 네트워크에 접속되는 사용자 단말(143)은 제1 VLan(111), 제2 VLan(112)에 대응되는 네트워크에 접속한 사용자 단말(141, 142)과 통신이 원천적으로 차단될 수 있고, 각각의 네트워크는 높은 보안성을 유지할 수 있다.In the AP 110 according to an embodiment, different virtual local area networks (VLans) 111 , 112 and 113 may be allocated to each SSID, and each VLan may correspond to a different IP band. Also, different tunnels 121 and 122 may be mapped according to IP bands. Based on the VLans 111, 112, and 113 allocated for each SSID, communication cannot be performed between user terminals accessing the AP 110 through different SSIDs. Through this, the user terminal 143 connected to the public network corresponding to the third VLan 113 is connected to the user terminals 141 and 142 connected to the network corresponding to the first VLan 111 and the second VLan 112 and Communication can be fundamentally blocked, and each network can maintain high security.

도 5a는 다른 실시예에 따른 통신 중계 방법이 구현된 시스템의 일례를 도시하는 도면이다.5A is a diagram illustrating an example of a system in which a communication relay method according to another embodiment is implemented.

도 5a는 사설 네트워크 별로 SSID가 구별되어 설정된 도 1의 시스템과 달리, 서로 다른 사설 네트워크(151, 152)에 대한 접속과 관련하여 동일한 제2 SSID가 부여된 시스템에 해당한다. 이는 AP(110)에서 제공할 수 있는 SSID의 개수가 한정된 상황에서 복수의 사설 네트워크(151, 152)에 대한 접속을 지원하기 위함이다. Unlike the system of FIG. 1 in which SSIDs are distinguished for each private network, FIG. 5A corresponds to a system to which the same second SSID is assigned in connection with access to different private networks 151 and 152 . This is to support access to a plurality of private networks 151 and 152 in a situation where the number of SSIDs that can be provided by the AP 110 is limited.

도 5a를 참조하면, 제1 SSID를 통해 AP(110)에 접속한 사용자 단말은 공용 네트워크를 통한 경로(123)를 통해 통신을 수행할 수 있으며, 제2 SSID를 통해 AP(110)에 접속한 사용자 단말(141, 142)은 각각 구별된 터널(121, 122)를 통해 대응되는 사설 네트워크(151, 152)와 통신을 수행할 수 있다. 도 5a에 따른 AP(110)의 동작은 도 5b를 통해 보다 상세히 설명된다.Referring to FIG. 5A , the user terminal accessing the AP 110 through the first SSID may communicate through the path 123 through the public network, and accessing the AP 110 through the second SSID. The user terminals 141 and 142 may communicate with the corresponding private networks 151 and 152 through separate tunnels 121 and 122, respectively. The operation of the AP 110 according to FIG. 5A is described in more detail with reference to FIG. 5B .

도 5b는 다른 실시예에 따른 AP의 통신 중계 방법에서 AP에서 수행되는 동작을 예시적으로 설명하는 도면이다.5B is a diagram exemplarily illustrating an operation performed by an AP in a communication relay method of an AP according to another embodiment.

도 5b를 참조하면, 제1 SSID를 통해 AP(110)에 접속한 사용자 단말(143)은 공용 네트워크 경유하는 경로(123)를 통해 외부와 통신을 수행할 수 있다.Referring to FIG. 5B , the user terminal 143 accessing the AP 110 through the first SSID may communicate with the outside through the path 123 through the public network.

또한, 제2 SSID를 통해 AP(110)에 접속한 사용자 단말(141, 142)은 각각의 IP 주소에 대응하는 터널(121, 122)을 통해 데이터 패킷을 대응되는 사설 네트워크에 전송할 수 있다. 각각의 터널(121, 122)은 서로 다른 사설 네트워크에 대응될 수 있고, 각각의 터널(121, 122)을 통해 데이터 패킷을 전송할 수 있는 사용자 단말의 IP 주소는 미리 결정될 수 있다. 앞서 설명된 도 3의 인증 절차에서 설명된 바와 유사하게, 사용자 단말의 MAC 정보가 개별 사설 네트워크에 접속할 수 있도록 미리 등록된 MAC 정보에 해당하는지 여부에 기초하여 인증을 수행하고, 인증이 완료된 사용자 단말에 개별 사설 네트워크에 대응되는 IP 주소가 할당될 수 있다.In addition, the user terminals 141 and 142 accessing the AP 110 through the second SSID may transmit data packets to the corresponding private network through the tunnels 121 and 122 corresponding to the respective IP addresses. Each of the tunnels 121 and 122 may correspond to different private networks, and an IP address of a user terminal capable of transmitting a data packet through each of the tunnels 121 and 122 may be predetermined. Similar to that described in the authentication procedure of FIG. 3 described above, authentication is performed based on whether the MAC information of the user terminal corresponds to MAC information registered in advance to access an individual private network, and authentication is completed. may be assigned an IP address corresponding to an individual private network.

사설 네트워크 접속을 위해 제공되는 제2 SSID를 통해 AP(110)에 접속한 사용자 단말(141, 142)은 각각의 사용자 단말(141, 142)에 할당된 IP 주소에 대응되는 터널(121, 122)를 통해, 각각의 터널에 대응되는 사설 네트워크와 통신을 수행할 수 있다.The user terminals 141 and 142 accessing the AP 110 through the second SSID provided for private network access are tunnels 121 and 122 corresponding to the IP addresses assigned to the user terminals 141 and 142, respectively. Through this, communication with the private network corresponding to each tunnel can be performed.

이를 위하여, 주소 변환부(114)는 사용자 단말(141, 142)에 할당된 IP 주소에 대응하여 미리 결정된 터널 Inner IP 주소로 수신한 데이터 패킷의 Source IP 주소를 변환하고, 터널링부(115)는 각각의 터널 Inner IP 주소에 대응하여 미리 결정된 터널 Outer IP 주소, 터널 종단 IP 주소를 통해 각각의 데이터 패킷을 캡슐화함으로써, 각각의 데이터 패킷을 대응되는 터널을 통해 연결된 사설 네트워크에 전송할 수 있다.To this end, the address conversion unit 114 converts the source IP address of the received data packet into a predetermined tunnel inner IP address corresponding to the IP address assigned to the user terminals 141 and 142, and the tunneling unit 115 By encapsulating each data packet through a predetermined tunnel outer IP address and tunnel end IP address corresponding to each tunnel inner IP address, each data packet can be transmitted to a connected private network through the corresponding tunnel.

도 4에서와 마찬가지로, 각각의 SSID 별로 VLan(111, 113)이 할당되어, 통신 보안성이 향상될 수 있다.As in FIG. 4 , VLans 111 and 113 are allocated for each SSID, so that communication security can be improved.

도 6은 일 실시예에 따른 AP의 전체적인 구성을 도시하는 도면이다.6 is a diagram illustrating an overall configuration of an AP according to an embodiment.

도 6에 도시된 바와 같이, AP(600)는 프로세서(610), 통신부(620) 및 메모리(630)를 포함한다.As shown in FIG. 6 , the AP 600 includes a processor 610 , a communication unit 620 , and a memory 630 .

프로세서(610)는 통신부(620)를 통해 컨트롤러와 연동하여 사용자 단말의 인증을 수행하고, 사용자 단말에 개별 터널에 대응되는 IP 주소를 할당할 수 있다. 이외에도, 프로세서(610)는 앞선 도 4 및 도 5b를 통해 설명된 일련의 동작을 제어할 수 있다. 또한, 프로세서(610)는 앞서 설명된 AP가 수행하는 일련의 동작을 제어할 수 있다.The processor 610 may perform authentication of the user terminal by interworking with the controller through the communication unit 620 , and may allocate an IP address corresponding to an individual tunnel to the user terminal. In addition, the processor 610 may control a series of operations described above with reference to FIGS. 4 and 5B . Also, the processor 610 may control a series of operations performed by the above-described AP.

통신부(620)는 프로세서(610)의 제어에 의해 동작할 수 있다. 통신부(620)는 프로세서(610)의 명령에 따라 유선 통신 방식 또는 무선 통신 방식으로 신호를 전송할 수 있다. 통신부(620)는 무선 통신 또는 유선 통신 방식으로 외부 장치, 예를 들어, 컨트롤러, 서비스 게이트웨이와 통신할 수 있다. 통신부(620)는 연동되는 타 컴퓨팅 장치와 요청과 응답을 송수신할 수 있는 바, 일 예시로서 그러한 요청과 응답은 동일한 TCP(transmission control protocol) 세션(session)에 의하여 이루어질 수 있지만, 이에 한정되지는 않는 바, 예컨대 UDP(user datagram protocol) 데이터그램(datagram)으로서 송수신될 수도 있을 것이다.The communication unit 620 may operate under the control of the processor 610 . The communication unit 620 may transmit a signal using a wired communication method or a wireless communication method according to a command of the processor 610 . The communication unit 620 may communicate with an external device, for example, a controller, or a service gateway using a wireless communication method or a wired communication method. The communication unit 620 may transmit/receive a request and a response to/from another computing device that is interlocked. As an example, such a request and a response may be made by the same TCP (transmission control protocol) session, but is not limited thereto. For example, it may be transmitted and received as a user datagram protocol (UDP) datagram.

프로세서(610)는 메모리(630)에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(610)는 중앙 처리 장치(central processing unit; CPU)와 같이 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(630)는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있다. 예를 들어, 메모리(930)는 읽기 전용 메모리(read only memory; ROM) 및/또는 랜덤 액세스 메모리(random access memory; RAM)로 구성될 수 있다. 또한, 프로세서(610)는 MPU(micro processing unit), CPU(central processing unit) 또는 TPU(tensor processing unit), 캐시 메모리(cache memory), 데이터 버스(data bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.The processor 610 may execute a program command stored in the memory 630 . The processor 610 may mean a dedicated processor on which the methods according to the present invention are performed, such as a central processing unit (CPU). The memory 630 may be configured as a volatile storage medium and/or a non-volatile storage medium. For example, the memory 930 may be configured as a read only memory (ROM) and/or a random access memory (RAM). In addition, the processor 610 may include a hardware configuration such as a micro processing unit (MPU), a central processing unit (CPU) or a tensor processing unit (TPU), a cache memory, and a data bus. . In addition, it may further include an operating system, a software configuration of an application for performing a specific purpose.

도 6를 참조하여 설명한 AP(600)의 구성은 예시적인 것에 불과할 뿐, 실시예가 이에 제한되는 것은 아니다. 예를 들어, AP(600)는 도 6에 도시된 구성 외에도 다른 구성을 더 포함할 수 있다. 예를 들어, AP(600)는 입력 인터페이스부, 출력 인터페이스부 등을 더 포함할 수 있다.The configuration of the AP 600 described with reference to FIG. 6 is merely exemplary, and the embodiment is not limited thereto. For example, the AP 600 may further include other configurations in addition to the configuration shown in FIG. 6 . For example, the AP 600 may further include an input interface unit, an output interface unit, and the like.

위 실시 예의 설명에 기초하여 해당 기술분야의 통상의 기술자는, 본 발명의 방법 및/또는 프로세스들, 그리고 그 단계들이 하드웨어, 소프트웨어 또는 특정 용례에 적합한 하드웨어 및 소프트웨어의 임의의 조합으로 실현될 수 있다는 점을 명확하게 이해할 수 있다. 상기 하드웨어는 범용 컴퓨터 및/또는 전용 컴퓨팅 장치 또는 특정 컴퓨팅 장치 또는 특정 컴퓨팅 장치의 특별한 모습 또는 구성요소를 포함할 수 있다. 상기 프로세스들은 내부 및/또는 외부 메모리를 가지는, 하나 이상의 마이크로프로세서, 마이크로컨트롤러, 임베디드 마이크로컨트롤러, 프로그래머블 디지털 신호 프로세서 또는 기타 프로그래머블 장치에 의하여 실현될 수 있다. 게다가, 혹은 대안으로서, 상기 프로세스들은 주문형 집적회로(application specific integrated circuit; ASIC), 프로그래머블 게이트 어레이(programmable gate array), 프로그래머블 어레이 로직(Programmable Array Logic; PAL) 또는 전자 신호들을 처리하기 위해 구성될 수 있는 임의의 다른 장치 또는 장치들의 조합으로 실시될 수 있다. 더욱이 본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 기계 판독 가능한 기록 매체에 기록될 수 있다. 상기 기계 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기계 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 기계 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD, Blu-ray와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 전술한 장치들 중 어느 하나뿐만 아니라 프로세서, 프로세서 아키텍처 또는 상이한 하드웨어 및 소프트웨어의 조합들의 이종 조합, 또는 다른 어떤 프로그램 명령어들을 실행할 수 있는 기계 상에서 실행되기 위하여 저장 및 컴파일 또는 인터프리트될 수 있는, C와 같은 구조적 프로그래밍 언어, C++ 같은 객체지향적 프로그래밍 언어 또는 고급 또는 저급 프로그래밍 언어(어셈블리어, 하드웨어 기술 언어들 및 데이터베이스 프로그래밍 언어 및 기술들)를 사용하여 만들어질 수 있는바, 기계어 코드, 바이트코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 이에 포함된다. Based on the description of the above embodiments, those skilled in the art will recognize that the method and/or processes of the present invention, and the steps thereof, may be implemented in hardware, software, or any combination of hardware and software suitable for a particular application. point can be clearly understood. The hardware may include general purpose computers and/or dedicated computing devices or specific computing devices or special features or components of specific computing devices. The processes may be realized by one or more microprocessors, microcontrollers, embedded microcontrollers, programmable digital signal processors or other programmable devices, having internal and/or external memory. Additionally, or alternatively, the processes may be configured to process an application specific integrated circuit (ASIC), programmable gate array, programmable array logic (PAL) or electronic signals. It may be implemented with any other device or combination of devices. Moreover, the objects of the technical solution of the present invention or parts contributing to the prior arts may be implemented in the form of program instructions that can be executed through various computer components and recorded in a machine-readable recording medium. The machine-readable recording medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the machine-readable recording medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software. Examples of the machine-readable recording medium include a hard disk, a magnetic medium such as a floppy disk and a magnetic tape, an optical recording medium such as CD-ROM, DVD, Blu-ray, and a magneto-optical medium such as a floppy disk (magneto-optical media), and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include any one of the devices described above, as well as heterogeneous combinations of processors, processor architectures or combinations of different hardware and software, or stored and compiled or interpreted for execution on a machine capable of executing any other program instructions. can be created using a structured programming language such as C, an object-oriented programming language such as C++, or This includes not only bytecode, but also high-level language code that can be executed by a computer using an interpreter or the like.

따라서 본 명세서에 따른 일 태양에서는, 앞서 설명된 방법 및 그 조합들이 하나 이상의 컴퓨팅 장치들에 의하여 수행될 때, 그 방법 및 방법의 조합들이 각 단계들을 수행하는 실행 가능한 코드로서 실시될 수 있다. 다른 일 태양에서는, 상기 방법은 상기 단계들을 수행하는 시스템들로서 실시될 수 있고, 방법들은 장치들에 걸쳐 여러 가지 방법으로 분산되거나 모든 기능들이 하나의 전용, 독립형 장치 또는 다른 하드웨어에 통합될 수 있다. 또 다른 일 태양에서는, 위에서 설명한 프로세스들과 연관된 단계들을 수행하는 수단들은 앞서 설명한 임의의 하드웨어 및/또는 소프트웨어를 포함할 수 있다. 그러한 모든 순차 결합 및 조합들은 본 명세서의 범위 내에 속하도록 의도된 것이다.Accordingly, in one aspect according to the present specification, when the method and combinations thereof described above are performed by one or more computing devices, the methods and combinations of methods may be implemented as executable code for performing respective steps. In another aspect, the method may be implemented as systems that perform the steps, the methods may be distributed in various ways across devices or all functions may be integrated into one dedicated, standalone device or other hardware. In another aspect, the means for performing the steps associated with the processes described above may include any of the hardware and/or software described above. All such sequential combinations and combinations are intended to fall within the scope of this specification.

예를 들어, 상기 하드웨어 장치는 본 명세서에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 MPU, CPU, GPU, TPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고받을 수 있는 통신부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.For example, the hardware device may be configured to operate as one or more software modules to perform processing in accordance with the present disclosure, and vice versa. The hardware device may include a processor such as an MPU, CPU, GPU, TPU coupled with a memory such as ROM/RAM for storing program instructions and configured to execute instructions stored in the memory, and an external device and signal It may include a communication unit that can send and receive. In addition, the hardware device may include a keyboard, a mouse, and other external input devices for receiving commands written by developers.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시 예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 사람이라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.In the above, the present invention has been described with specific matters such as specific components and limited embodiments and drawings, but these are only provided to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments, Those of ordinary skill in the art to which the present invention pertains can make various modifications and variations from these descriptions.

따라서, 본 발명의 사상은 상기 설명된 실시 예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the above-described embodiments, and not only the claims described below, but also all modifications equivalently or equivalently to the claims described below belong to the scope of the spirit of the present invention. will do it

그와 같이 균등하게 또는 등가적으로 변형된 것에는, 예컨대 본 명세서에 따른 방법을 실시한 것과 동일한 결과를 낼 수 있는, 논리적으로 동치(logically equivalent)인 방법이 포함될 것인바, 본 발명의 진의 및 범위는 전술한 예시들에 의하여 제한되어서는 아니되며, 법률에 의하여 허용 가능한 가장 넓은 의미로 이해되어야 한다.Such equivalent or equivalent modifications will include, for example, logically equivalent methods capable of producing the same results as practiced with the methods according to the present disclosure, and the spirit and scope of the present invention should not be limited by the above examples, and should be understood in the broadest sense permitted by law.

Claims (10)

복수의 SSID(Service Set IDentifier)를 제공하는 AP(Access Point)에 의해 수행되는, SSID 기반 통신 중계 방법에 있어서,
사용자 단말로부터 데이터 패킷을 수신하는 단계;
상기 데이터 패킷이, 공용 네트워크에 대응하도록 미리 결정된 제1 SSID을 포함하는 경우, 상기 공용 네트워크를 통해 상기 데이터 패킷을 타겟 IP 주소로 전송하는 단계; 및
상기 데이터 패킷이, 각각의 사설 네트워크에 대응하도록 미리 결정된 제2 SSID를 포함하는 경우, 상기 제2 SSID에 대응하는 사설 네트워크에 대해 미리 결정된 터널(Tunnel)을 통해 상기 데이터 패킷을 타겟 IP 주소로 전송하는 단계
를 포함하는, 통신 중계 방법.
In the SSID-based communication relay method performed by an access point (AP) providing a plurality of service set identifiers (SSIDs),
receiving a data packet from a user terminal;
transmitting the data packet to a target IP address through the public network when the data packet includes a first SSID predetermined to correspond to a public network; and
When the data packet includes a second SSID predetermined to correspond to each private network, the data packet is transmitted to a target IP address through a predetermined tunnel for the private network corresponding to the second SSID step to do
Including, a communication relay method.
 제1항에 있어서,
상기 데이터 패킷을 수신하는 단계 이전에 수행되는 단계들로써,
상기 사용자 단말의 네트워크 접속에 응답하여, 상기 사용자 단말에 대한 인증을 수행하는 단계;
상기 인증이 완료된 경우, 상기 사용자 단말의 상기 AP에 대한 접속을 허용하는 단계
를 더 포함하고,
상기 인증을 수행하는 단계는,
상기 네트워크 접속이 상기 제2 SSID에 기초하여 수행된 경우,
상기 사용자 단말의 MAC 정보에 기초하여 제1 인증을 수행하는 단계;
상기 제1 인증이 완료된 경우, 상기 MAC 정보에 대응하여 미리 결정된 IP 주소를 상기 사용자 단말에 제공하는 단계; 및
상기 사용자 단말로부터 수신한 ID/PW 정보에 기초하여 제2 인증을 수행하는 단계
를 포함하는, 통신 중계 방법.
According to claim 1,
Steps performed prior to the step of receiving the data packet,
performing authentication for the user terminal in response to the network connection of the user terminal;
When the authentication is completed, allowing the user terminal to access the AP
further comprising,
The step of performing the authentication is
When the network connection is performed based on the second SSID,
performing first authentication based on the MAC information of the user terminal;
providing a predetermined IP address to the user terminal in response to the MAC information when the first authentication is completed; and
performing a second authentication based on the ID/PW information received from the user terminal
Including, a communication relay method.
 제2 항에 있어서,
상기 미리 결정된 터널을 통해 상기 데이터 패킷을 타겟 주소로 전송하는 단계는,
상기 데이터 패킷의 Source IP 주소를, 상기 사용자 단말에 제공된 IP 주소에 대응하여 미리 결정된 터널에 대응되는 소정의 IP 주소로 변경하는 단계; 및
상기 Source IP 주소가 변경된 데이터 패킷을 캡슐화함으로써, 상기 미리 결정된 터널을 통해 상기 데이터 패킷을 전송하는 단계
를 포함하는, 통신 중계 방법.
3. The method of claim 2,
Transmitting the data packet to the target address through the predetermined tunnel comprises:
changing the source IP address of the data packet to a predetermined IP address corresponding to a predetermined tunnel corresponding to the IP address provided to the user terminal; and
Transmitting the data packet through the predetermined tunnel by encapsulating the data packet with the source IP address changed
Including, a communication relay method.
 제1 항에 있어서,
상기 제2 SSID는 검색 과정에서 노출되지 않는 Hidden SSID를 포함하는, 통신 중계 방법.
The method of claim 1,
The second SSID includes a hidden SSID that is not exposed during a search process.
 제1 항에 있어서,
각각의 제2 SSID는,
서로 다른 IP 대역이 각각 할당된 서로 다른 VLAN에 매핑되고,
서로 다른 VLAN에 대응되는 사용자 단말 사이에서는 통신이 제한되는, 통신 중계 방법.
The method of claim 1,
Each second SSID is
Different IP bands are mapped to different VLANs assigned to each,
A communication relay method in which communication is restricted between user terminals corresponding to different VLANs.
 컴퓨팅 장치로 하여금, 제1항 내지 제5항의 방법을 수행하도록 구현된 명령어(instructions)를 포함하는 프로그램이 수록된 기계 판독 가능한 비일시적 기록 매체.
A machine-readable, non-transitory recording medium containing a program including instructions implemented to cause a computing device to perform the method of claim 1 .
 복수의 SSID(Service Set IDentifier)를 제공하는 AP(Access Point)에 있어서,
사용자 단말로부터 데이터 패킷을 수신하는 통신부;
상기 데이터 패킷에 대응되는 SSID에 따라 서로 다른 방식으로 상기 데이터 패킷을 전송하는 프로세서
를 포함하고,
상기 프로세서는,
상기 데이터 패킷이, 공용 네트워크에 대응하도록 미리 결정된 제1 SSID을 포함하는 경우,
상기 공용 네트워크를 통해 상기 데이터 패킷을 전송하고,
상기 데이터 패킷이, 각각의 사설 네트워크에 대응하도록 미리 결정된 제2 SSID을 포함하는 경우, 상기 제2 SSID에 대응하는 사설 네트워크에 대해 미리 결정된 터널(Tunnel)을 통해 상기 데이터 패킷을 전송하는, AP.
In the AP (Access Point) that provides a plurality of SSID (Service Set IDentifier),
a communication unit for receiving a data packet from a user terminal;
A processor that transmits the data packet in different ways according to the SSID corresponding to the data packet
including,
The processor is
When the data packet includes a first SSID predetermined to correspond to a public network,
transmitting the data packet over the public network;
When the data packet includes a second SSID predetermined to correspond to each private network, the AP transmits the data packet through a predetermined tunnel to the private network corresponding to the second SSID.
 제7항에 있어서,
상기 프로세서는,
상기 데이터 패킷을 수신하는 단계 이전에, 상기 사용자 단말로부터 수신한 네트워크 접속에 응답하여, 상기 사용자 단말에 대한 인증을 수행하고, 상기 인증이 완료된 경우, 상기 사용자 단말의 상기 AP에 대한 접속을 허용하고,
상기 인증을 수행하는 과정에서,상기 네트워크 접속이 상기 제2 SSID에 기초하여 수행된 경우,
상기 사용자 단말로부터 수신한 상기 사용자 단말의 MAC 정보에 기초하여 제1 인증을 수행하고,
상기 제1 인증이 완료된 경우, 상기 MAC 정보에 대응하여 미리 결정된 IP 주소를 상기 사용자 단말에 제공하고,
상기 사용자 단말로부터 수신한 ID/PW 정보에 기초하여 제2 인증을 수행하는, AP
8. The method of claim 7,
The processor is
Prior to receiving the data packet, in response to the network connection received from the user terminal, authentication is performed on the user terminal, and when the authentication is completed, the user terminal allows access to the AP; ,
In the process of performing the authentication, when the network connection is performed based on the second SSID,
performing a first authentication based on the MAC information of the user terminal received from the user terminal;
When the first authentication is completed, a predetermined IP address is provided to the user terminal in response to the MAC information;
AP that performs the second authentication based on the ID / PW information received from the user terminal
 제8항에 있어서,
상기 프로세서는,
상기 데이터 패킷의 Source IP 주소를, 상기 미리 결정된 터널에 대응하여 미리 결정된 IP 주소로 변경하고,
상기 Source IP 주소가 변경된 데이터 패킷을 캡슐화함으로써, 상기 미리 결정된 터널을 통해 상기 데이터 패킷을 전송하는, AP
9. The method of claim 8,
The processor is
changing the source IP address of the data packet to a predetermined IP address corresponding to the predetermined tunnel;
The AP transmits the data packet through the predetermined tunnel by encapsulating the data packet with the source IP address changed.
 제9 항에 있어서,
각각의 제2 SSID는 서로 다른 IP 대역이 할당된 서로 다른 VLAN에 매핑되는, AP
10. The method of claim 9,
Each second SSID is mapped to a different VLAN assigned a different IP band, AP
KR1020200051211A 2020-04-28 2020-04-28 Method for relaying communication using ssid and apparatus using the same KR102337285B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200051211A KR102337285B1 (en) 2020-04-28 2020-04-28 Method for relaying communication using ssid and apparatus using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200051211A KR102337285B1 (en) 2020-04-28 2020-04-28 Method for relaying communication using ssid and apparatus using the same

Publications (2)

Publication Number Publication Date
KR20210132829A true KR20210132829A (en) 2021-11-05
KR102337285B1 KR102337285B1 (en) 2021-12-08

Family

ID=78507834

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200051211A KR102337285B1 (en) 2020-04-28 2020-04-28 Method for relaying communication using ssid and apparatus using the same

Country Status (1)

Country Link
KR (1) KR102337285B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040075380A (en) * 2003-02-20 2004-08-30 삼성전자주식회사 Method for encrypting data of access VPN
US20120027002A1 (en) * 2002-12-20 2012-02-02 Sprint Spectrum L.P. Method and System for Selecting VPN Connections in Response to Wireless Network Identifiers
CN104302015A (en) * 2014-09-15 2015-01-21 浙江生辉照明有限公司 Adaptive WI-FI network connection method and system with hidden SSID

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120027002A1 (en) * 2002-12-20 2012-02-02 Sprint Spectrum L.P. Method and System for Selecting VPN Connections in Response to Wireless Network Identifiers
KR20040075380A (en) * 2003-02-20 2004-08-30 삼성전자주식회사 Method for encrypting data of access VPN
CN104302015A (en) * 2014-09-15 2015-01-21 浙江生辉照明有限公司 Adaptive WI-FI network connection method and system with hidden SSID

Also Published As

Publication number Publication date
KR102337285B1 (en) 2021-12-08

Similar Documents

Publication Publication Date Title
JP5050849B2 (en) Remote access system and its IP address assignment method
US8925044B2 (en) System and method for WLAN roaming traffic authentication
CN107819732B (en) Method and device for user terminal to access local network
US20190013968A1 (en) Access control method, apparatus, and system
JP4561983B2 (en) Local content connection system, mobile terminal, local content connection method, and client program
US11888809B2 (en) Communication method, gateway, and management method and apparatus in hybrid cloud environment
TW201815131A (en) Data transmission method and network equipment
WO2019011203A1 (en) Device access method, device and system
KR101743559B1 (en) Virtual private network, internet cafe network using the same, and manager apparatus for the same
US11546190B2 (en) Method and apparatus for controlling communication for isolating network
US8874693B2 (en) Service access using a service address
JP6573917B2 (en) Discriminating method and corresponding terminal, computer program product, and storage medium
US20180262393A1 (en) Abstracting wireless device to virtual ethernet interface
CN111565237B (en) Network parameter determination method and device, computer equipment and storage medium
KR102337285B1 (en) Method for relaying communication using ssid and apparatus using the same
CN111163463B (en) Method, device, equipment and storage medium for wireless equipment to access router
KR101378313B1 (en) Method, appratus, system and computer-readable recording medium for assisting communication between terminal and local host by using openflow
KR102270140B1 (en) Method for providing communication using network tunnel and apparatus using the same
KR101690498B1 (en) Method for setting network configuration and switch and computer-readable recording medium using the same
KR102023115B1 (en) Communication method based on integrated flat id and system
KR101947170B1 (en) Method and apparatus for dynamic vpn manegenment
JP2016511961A (en) Method for controlling simultaneous access to data generated by a device coupled to a mobile system coupled to a CPE
KR102270142B1 (en) Method for determining network tunnel status and apparatus using the same
CN115701692A (en) VPN terminal communication system and method based on IPSec protocol
CN115701693A (en) VPN terminal access method based on IPSec protocol, VPN center terminal and storage medium

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right