KR20240042960A - Enterprise dedicated network service system for providing multi authentication - Google Patents
Enterprise dedicated network service system for providing multi authentication Download PDFInfo
- Publication number
- KR20240042960A KR20240042960A KR1020220121881A KR20220121881A KR20240042960A KR 20240042960 A KR20240042960 A KR 20240042960A KR 1020220121881 A KR1020220121881 A KR 1020220121881A KR 20220121881 A KR20220121881 A KR 20220121881A KR 20240042960 A KR20240042960 A KR 20240042960A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- terminal
- plane management
- control plane
- management device
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 34
- 230000008569 process Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims description 26
- 230000004913 activation Effects 0.000 claims description 3
- 238000004886 process control Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 133
- 230000005641 tunneling Effects 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 8
- 230000001815 facial effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 230000009349 indirect transmission Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
1차 단말 및 상기 1차 단말과 근거리 통신으로 연결된 2차 단말의 전용망 접속을 제어하는 기업 전용망 서비스 시스템으로서, 상기 1차 단말과 연결된 세션을 통해 상기 2차 단말이 상기 1차 단말을 통해 기업 전용망과 송수신하는 사용자 평면 데이터를 처리하는 사용자 평면 관리 장치(User plane), 그리고 상기 1차 단말 및 상기 2차 단말이 상기 기업 전용망의 접속 제어와 관련된 제어 평면 데이터를 처리하는 제어 평면 관리 장치(Control plane)를 포함한다.
제어 평면 관리 장치는 상기 1차 단말 및 상기 2차 단말에 대한 단말 인증과 다른 별도의 인증 수단을 이용한 다중 인증이 확인되기 전까지 상기 1차 단말과 상기 사용자 평면 관리 장치 간에 트래픽 전달을 차단하도록 상기 사용자 평면 관리 장치에게 지시하고, 상기 다중 인증이 확인되면 상기 트래픽 전달을 허용하도록 지시한다.A corporate dedicated network service system that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal through short-distance communication, wherein the secondary terminal connects to the corporate dedicated network through the primary terminal through a session connected to the primary terminal. A user plane management device (User plane) that processes user plane data transmitted and received, and a control plane management device (Control plane) in which the primary terminal and the secondary terminal process control plane data related to access control of the enterprise dedicated network. ) includes.
The control plane management device blocks traffic transmission between the primary terminal and the user plane management device until multi-authentication using a separate authentication method different from terminal authentication for the primary terminal and the secondary terminal is confirmed. Instructs the plane management device to allow the traffic to be forwarded if the multi-authentication is confirmed.
Description
본 개시는 1차 단말과 연결된 2차 단말의 기업 전용망 접속을 위한 다중 인증을 수행하는 기업 전용망 서비스 시스템에 관한 것이다.This disclosure relates to a corporate dedicated network service system that performs multi-factor authentication for a secondary terminal connected to a primary terminal to access a corporate dedicated network.
Private LTE/5G라고 불리우는 기업 전용망 서비스는 EPC(Evolved Packet Core)를 통해 인터넷망 등과 같은 공중망(Public Network)과 기업 전용망(Enterprise Private Network)을 분리하고 기업 가입자의 단말을 공용망 또는 기업 전용망으로 접속시키는 기술이다.The enterprise private network service, called Private LTE/5G, separates the public network such as the Internet network from the enterprise private network through EPC (Evolved Packet Core) and connects the terminal of the enterprise subscriber to the public network or enterprise private network. It is a technique to do.
이러한 기업 전용망 서비스는 기업에 소속된 직원들이 전국 어디에서라도 사무실과 동일한 업무를 경험할 수 있게 하므로, 재택/이동 근무 활성화에 따라 더욱 그 필요성이 증가하는 추세에 있다.This corporate network service allows corporate employees to experience the same work as in the office anywhere in the country, so the need for it is increasing as work from home and mobile work becomes more active.
기업 직원들은 기업 전용망에 접속된 모바일 라우터(1차 단말이라고 함)에, 노트북 등의 전자 장치(2차 단말이라고 함)를 연결하여, 2차 단말에서 기업 전용망 서비스를 이용할 수 있다. 1차 단말과 2차 단말은 WiFi, USB(Universal Serial Bus), UTP(Unshielded Twisted Pair) 등과 같은 근거리 통신 방식으로 연결될 수 있다.Corporate employees can use corporate network services from the secondary terminal by connecting an electronic device such as a laptop (referred to as a secondary terminal) to a mobile router (referred to as a primary terminal) connected to the corporate network. The primary terminal and the secondary terminal can be connected through short-distance communication methods such as WiFi, USB (Universal Serial Bus), or UTP (Unshielded Twisted Pair).
이때, 1차 단말은 통신 표준에 따라 통신 사업자의 코어 시스템인 EPC에서 제어할 수 있지만, 2차 단말에 대한 인증 제어, 트래픽 제어 등은 별도의 기업 전용망 접속 제어 기술을 필요로 한다. 따라서, 통신 사업자는 기업 전용망 접속을 제어하는 장치들을 구축하여 1차 단말 및 2차 단말의 전용망 접속 제어를 가능하게 한다. At this time, the primary terminal can be controlled by EPC, the core system of the communication service provider, according to communication standards, but authentication control and traffic control for the secondary terminal require a separate enterprise network access control technology. Accordingly, communication service providers build devices that control access to a corporate dedicated network to enable private network access control of primary and secondary terminals.
재택/원격 근무 등의 일상화로, 보안성을 강화하면서 사용자의 편의성을 높일 수 있도록 기업 전용망 서비스가 고도화되고 있으며, 다양한 외부 IT(Information Technology) 기술의 융합이 시도되고 있다. As work from home/remote work becomes a daily routine, corporate network services are being advanced to enhance user convenience while strengthening security, and attempts are being made to converge various external IT (Information Technology) technologies.
그러나, 보안을 중요시하는 기업 가입자들은 기업 전용망에 접속된 단말들이 인터넷을 통해 외부 IT 서비스를 제공받기를 원하지 않는다. 이러한 니즈를 충족시키기 위해서 기업 전용망 서비스와 외부 IT 기술과의 연동을 위한 구조가 설계될 필요가 있다. However, corporate subscribers who value security do not want terminals connected to the corporate network to receive external IT services through the Internet. In order to meet these needs, a structure for linking corporate network services and external IT technology needs to be designed.
본 개시는 인터넷을 통하지 않고도 다중 인증을 제공하는 다양한 써드파티(3rd party) 인증 시스템과 연동하여, 1차 단말을 통해 기업 전용망에 접속하는 2차 단말에 대한 기업 전용망 접속을 제어할 수 있는 기업 전용망 서비스 시스템을 제공한다.This disclosure is a company that can control access to the corporate network for secondary terminals that connect to the corporate network through the primary terminal by linking with various third party authentication systems that provide multiple authentication without going through the Internet. Provides a dedicated network service system.
하나의 특징에 따르면, 1차 단말 및 상기 1차 단말과 근거리 통신으로 연결된 2차 단말의 전용망 접속을 제어하는 기업 전용망 서비스 시스템으로서, 상기 1차 단말과 연결된 세션을 통해 상기 2차 단말이 상기 1차 단말을 통해 기업 전용망과 송수신하는 사용자 평면 데이터를 처리하는 사용자 평면 관리 장치(User plane), 그리고 상기 1차 단말 및 상기 2차 단말이 상기 기업 전용망의 접속 제어와 관련된 제어 평면 데이터를 처리하는 제어 평면 관리 장치(Control plane)를 포함하고, 상기 제어 평면 관리 장치는, 상기 1차 단말 및 상기 2차 단말에 대한 단말 인증과 다른 별도의 인증 수단을 이용한 다중 인증을 수행하는 다중 인증 시스템으로 다중 인증을 요청하고, 상기 다중 인증 시스템으로부터 다중 인증 성공 응답이 수신되기 전까지 상기 1차 단말과 상기 사용자 평면 관리 장치 간에 트래픽 전달을 차단하도록 상기 사용자 평면 관리 장치에게 지시하고,상기 다중 인증 성공 응답이 수신되면, 상기 트래픽 전달을 허용하도록 상기 사용자 평면 관리 장치에게 지시한다.According to one feature, it is a corporate dedicated network service system that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal through short-distance communication, wherein the secondary terminal is connected to the first terminal through a session connected to the primary terminal. A user plane management device (User plane) that processes user plane data transmitted and received from and to the corporate dedicated network through a secondary terminal, and a control that processes control plane data related to access control of the corporate dedicated network by the primary terminal and the secondary terminal. It includes a control plane, wherein the control plane management device is a multi-authentication system that performs multi-authentication using a separate authentication method different from terminal authentication for the primary terminal and the secondary terminal. Request and instruct the user plane management device to block traffic transmission between the primary terminal and the user plane management device until a multi-authentication success response is received from the multi-authentication system, and when the multi-authentication success response is received. , instructs the user plane management device to allow forwarding the traffic.
상기 기업 전용망 서비스 시스템은 상기 다중 인증 시스템과 상기 제어 평면 관리 장치 간에 다중 인증에 관련된 데이터를 전달하는 외부망 연동 장치를 더 포함하고, The enterprise dedicated network service system further includes an external network interconnection device that transmits data related to multi-authentication between the multi-authentication system and the control plane management device,
상기 다중 인증 시스템은, 상기 다중 인증 시스템에 관한 정보를 저장하고, 상기 저장한 정보를 토대로 상기 제어 평면 관리 장치로부터 수신한 다중 인증 요청을 전달할 수 있다.The multi-authentication system may store information about the multi-authentication system and transmit a multi-authentication request received from the control plane management device based on the stored information.
상기 외부망 연동 장치는, 가입자 식별자 별로 다중 인증 종류를 매칭한 다중 인증 DB와 다중 인증 종류 별로 대응하는 다중 인증 시스템의 IP 주소를 매칭한 연동 DB를 저장하고, 상기 제어 평면 관리 장치로부터 수신한 다중 인증 요청에 포함된 가입자 식별자에 매칭되는 다중 인증 종류를 상기 인증 DB로부터 확인하고, 확인한 다중 인증 종류에 대응하는 다중 인증 시스템의 IP 주소를 상기 연동 DB로부터 확인할 수 있다.The external network interconnection device stores a multi-authentication DB matching multi-authentication types for each subscriber identifier and an interconnection DB matching the IP address of the multi-authentication system corresponding to each multi-authentication type, and stores the multi-authentication DB matching the multi-authentication types for each subscriber identifier, and the multi-authentication DB matching the IP addresses of the multi-authentication systems corresponding to each multi-authentication type. The multi-authentication type matching the subscriber identifier included in the authentication request can be confirmed from the authentication DB, and the IP address of the multi-authentication system corresponding to the confirmed multi-authentication type can be confirmed from the linked DB.
상기 외부망 연동 장치는, 다중 인증 종류를 나타내는 다중 인증 타입 지시자 별로 대응하는 다중 인증 시스템의 IP 주소를 매칭한 연동 DB를 저장하고, 상기 제어 평면 관리 장치로부터 수신한 다중 인증 요청에 포함된 다중 인증 타입 지시에 대응하는 다중 인증 시스템의 IP 주소를 상기 연동 DB로부터 확인하며, 상기 제어 평면 관리 장치는, 상기 1차 단말 및 상기 2차 단말의 식별자 또는 기업 식별자와 매칭되는 다중 인증 타입 지시자 정보를 저장하여 관리할 수 있다. The external network interconnection device stores an interconnection DB matching the IP address of the multi-authentication system corresponding to each multi-authentication type indicator indicating the multi-authentication type, and multi-authentication included in the multi-authentication request received from the control plane management device. The IP address of the multi-authentication system corresponding to the type indication is confirmed from the interworking DB, and the control plane management device stores multi-authentication type indicator information matching the identifiers or corporate identifiers of the primary terminal and the secondary terminal. You can manage it by doing this.
상기 제어 평면 관리 장치는, 1차 단말 식별자 또는 2차 단말 식별자 중 적어도 하나의 식별자 별로 다중 인증 활성화 여부를 나타내는 정보를 관리하고, 상기 2차 단말에 대한 인증을 수행할 때, 상기 다중 인증 활성화가 확인되면, 상기 외부망 연동 장치로 다중 인증 요청을 전송할 수 있다.The control plane management device manages information indicating whether to activate multiple authentication for each identifier of at least one of a primary terminal identifier or a secondary terminal identifier, and when performing authentication for the secondary terminal, the multi-authentication activation is performed. Once confirmed, a multi-authentication request can be transmitted to the external network-connected device.
실시예에 따르면, 인터넷 접속 없이도 다양한 외부 IT 기술과 융합하여 다중 인증을 수행함으로써, 1차 단말 및 상기 1차 단말을 통하여 기업 전용망에 접속하는 2차 단말의 전용망 접속 제어를 수행할 수 있다.According to the embodiment, by performing multi-authentication by combining various external IT technologies without Internet access, it is possible to control the private network access of the primary terminal and the secondary terminal that connects to the corporate network through the primary terminal.
도 1은 실시예에 따른 기업 전용망 서비스 시스템의 구성도이다.
도 2는 실시예에 따른 다중 인증이 포함된 기업 전용망 접속 절차를 나타낸 흐름도이다.
도 3은 실시예에 따른 제어 평면 관리 장치의 다중 인증 제어 절차를 나타낸 순서도이다.
도 4는 한 실시예에 따른 외부망 연동 장치의 동작을 설명하는 흐름도이다.
도 5는 다른 실시예에 따른 외부망 연동 장치의 동작을 설명하는 흐름도이다.1 is a configuration diagram of a corporate dedicated network service system according to an embodiment.
Figure 2 is a flowchart showing a corporate network access procedure including multi-authentication according to an embodiment.
Figure 3 is a flowchart showing a multi-authentication control procedure of a control plane management device according to an embodiment.
Figure 4 is a flowchart explaining the operation of an external network interworking device according to an embodiment.
Figure 5 is a flowchart explaining the operation of an external network interworking device according to another embodiment.
아래에서는 첨부한 도면을 참고로 하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Below, with reference to the attached drawings, embodiments of the present disclosure will be described in detail so that those skilled in the art can easily practice them. However, the present disclosure may be implemented in many different forms and is not limited to the embodiments described herein. In order to clearly explain the present disclosure in the drawings, parts that are not related to the description are omitted, and similar parts are given similar reference numerals throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part "includes" a certain element, this means that it may further include other elements rather than excluding other elements, unless specifically stated to the contrary.
또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In addition, terms such as “…unit”, “…unit”, and “…module” used in the specification refer to a unit that processes at least one function or operation, which may be implemented through hardware or software or a combination of hardware and software. You can.
본 발명에서 설명하는 장치들은 적어도 하나의 프로세서, 메모리 장치, 통신 장치 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도면들을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서와 메모리 장치 등의 하드웨어와 결합하여 본 발명을 실행한다.The devices described in the present invention are composed of hardware including at least one processor, a memory device, a communication device, etc., and a program that is executed in conjunction with the hardware is stored in a designated location. The hardware has a configuration and performance capable of executing the method of the present invention. The program includes instructions that implement the operating method of the present invention described with reference to the drawings, and executes the present invention by combining it with hardware such as a processor and memory device.
본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것 뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.In this specification, “transmission or provision” may include not only direct transmission or provision, but also indirect transmission or provision through another device or using a circuitous route.
본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.In this specification, expressions described as singular may be interpreted as singular or plural, unless explicit expressions such as “one” or “single” are used.
본 명세서에서 도면에 관계없이 동일한 도면번호는 동일한 구성요소를 지칭하며, "및/또는" 은 언급된 구성 요소들의 각각 및 하나 이상의 모든 조합을 포함한다.In this specification, the same reference numbers refer to the same elements regardless of the drawings, and “and/or” includes each and all combinations of one or more of the mentioned elements.
본 명세서에서, 제1, 제2 등과 같이 서수를 포함하는 용어들은 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 개시의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.In this specification, terms including ordinal numbers, such as first, second, etc., may be used to describe various components, but the components are not limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, a first component may be referred to as a second component, and similarly, the second component may be referred to as a first component without departing from the scope of the present disclosure.
본 명세서에서 도면을 참고하여 설명한 흐름도에서, 동작 순서는 변경될 수 있고, 여러 동작들이 병합되거나, 어느 동작이 분할될 수 있고, 특정 동작은 수행되지 않을 수 있다.In the flowcharts described herein with reference to the drawings, the order of operations may be changed, several operations may be merged, certain operations may be divided, and certain operations may not be performed.
명세서에서, 기업 전용망 서비스는 기업 가입자의 단말을 대상으로 외부 접근이 제한된 이동통신 서비스를 제공한다. 기업 전용망 서비스는 통신사 네트워크의 코어망을 통해 공중망(Public Network)과 전용망(Dedicated Network)을 분리한다. 전용망은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공하며, 예를들면, 사설망(Private Network), 인트라넷(Intranet)으로 호칭될 수 있다. 이때, 실시예에서는 기업 가입자를 대상으로 하므로, 기업 전용망이라 호칭한다. 기업 전용망은 불특정 다수를 대상으로 이동통신 서비스를 제공하는 인터넷 망등의 공중망과 구분된다. In the specification, the corporate dedicated network service provides mobile communication services with restricted external access to corporate subscriber terminals. The corporate dedicated network service separates the public network and dedicated network through the core network of the telecommunication company network. A private network provides mobile communication services with limited external access to specific subscribers, and may be called, for example, a private network or an intranet. At this time, since the embodiment targets corporate subscribers, it is called a corporate dedicated network. A corporate network is distinguished from a public network such as an Internet network that provides mobile communication services to an unspecified number of people.
이때, 통신사 네트워크는 3G 네트워크, LTE(Long Term Evolution) 네트워크, 또는 5G 네트워크일 수 있는데, 설명에서는 5G 네트워크를 예로 들어 설명한다.At this time, the telecommunication company network may be a 3G network, a Long Term Evolution (LTE) network, or a 5G network, and the explanation will use the 5G network as an example.
본 명세서에서 5G 네트워크는 1차 단말이 무선 접속하는 접속망(Radio Access network, RAN), 그리고 복수의 네트워크 기능들(Network Functions)로 구성되는 코어망(Core Network)을 포함한다. 코어망은 접속 및 이동성 관리 기능(Access and Mobility Management Function, AMF), 세션 관리 기능(Session Management Function, SMF), SMF에 의해 PDU(Packet Data Unit) 세션을 생성하고 데이터 네트워크(Data Network, DN)에 연결되어 트래픽을 처리하는 사용자 플레인 기능(User Plane Function, UPF), 과금 및 서비스 품질 정책을 제어하는 정책 제어 기능(Policy Control Function, PCF), 가입자 정보를 관리하는 통합 데이터 관리 기능(Unified Data Management, UDM) 및 통합 데이터 저장소(Unified Data Repository, UDR), 네트워크 노출 기능(Network Exposure function, NEF) 등을 포함할 수 있다.In this specification, the 5G network includes a Radio Access network (RAN) through which primary terminals wirelessly access, and a Core Network consisting of a plurality of network functions. The core network has an Access and Mobility Management Function (AMF), a Session Management Function (SMF), and creates a PDU (Packet Data Unit) session through the SMF and a data network (Data Network, DN). User Plane Function (UPF), which is connected to and processes traffic, Policy Control Function (PCF), which controls charging and quality of service policies, and Unified Data Management function, which manages subscriber information. , UDM), Unified Data Repository (UDR), and Network Exposure function (NEF).
본 명세서에서 5G 네트워크에 직접 연결된 단말을 1차 단말 또는 상위 단말이라고 부르고, 1차 단말에 연결되어 5G 네트워크에 접속하는 단말을 2차 단말 또는 하위 단말이라고 부를 수 있다. 2차 단말은 1차 단말에 직접 연결된 하위 단말로만 한정되지 않고, n차 단말일 수 있다. 1차 단말은 무선 에그와 같은 모바일 라우터, 또는 모바일 라우팅 기능이 탑재된 모바일 단말일 수 있고, 설명에서는 주로 모바일 라우터라고 설명할 수 있다. 2차 단말은 1차 단말에 근거리 통신 방식으로 연결될 수 있는 단말로서, 설명에서는 주로 노트북이라고 설명할 수 있다. In this specification, a terminal directly connected to the 5G network may be referred to as a primary terminal or a higher-level terminal, and a terminal connected to the primary terminal and accessing the 5G network may be referred to as a secondary terminal or lower-level terminal. The secondary terminal is not limited to lower level terminals directly connected to the primary terminal, and may be an nth terminal. The primary terminal may be a mobile router such as a wireless egg, or a mobile terminal equipped with a mobile routing function, and in the description, it can mainly be described as a mobile router. The secondary terminal is a terminal that can be connected to the primary terminal through short-distance communication, and can mainly be described as a laptop in the description.
도 1은 실시예에 따른 기업 전용망 서비스 시스템의 구성도이다.1 is a configuration diagram of a corporate dedicated network service system according to an embodiment.
도 1을 참조하면, 기업 전용망 서비스 시스템(100)은 제어 평면 관리 장치(101, 105), 사용자 평면 관리 장치(102, 106), 기업 전용 UPF(103, 107), 기업 전용망(104, 108), 코어망(109), 경로 라우팅 장치(110), 1차 단말(111), 2차 단말(112), 접속망(Access Network)/무선 접속망(Radio Access network, RAN)(113), 스위치(114), 외부망 연동 장치(115) 및 다중 인증 시스템(116)을 포함한다. Referring to Figure 1, the enterprise dedicated
여기서, 다중 인증은 단말 인증 외에 추가되는 인증으로서, 2팩터(Factor) 인증이라 호칭할 수 있다. 2팩터 인증은 2차 단말(112) 또는/및 2차 단말(112) 사용자가 보유한 제3의 단말에 의해 수행될 수 있다.Here, multi-authentication is additional authentication in addition to terminal authentication, and may be referred to as two-factor authentication. Two-factor authentication may be performed by the
제어 평면 관리 장치(101, 105), 사용자 평면 관리 장치(102, 106), 기업 전용 UPF(103, 107), 경로 라우팅 장치(110), 접속망/무선 접속망(113), 스위치(114), 외부망 연동 장치(115)는 1차 단말(111) 및 2차 단말(112)을 대상으로 기업 전용망 서비스를 제공하는 네트워크 장치로 호칭할 수 있다.Control plane management devices (101, 105), user plane management devices (102, 106), enterprise UPF (103, 107), path routing device (110), access network/wireless access network (113), switch (114), external The
접속망/무선 접속망(113)은 기지국과 동일한 의미로 사용될 수 있으며, 이하, 설명에서는 기지국(113)으로 호칭하기로 한다.The access network/
제어 평면 관리 장치(101, 105), 사용자 평면 관리 장치(102, 106), 기업 전용 UPF(103, 107)는 1차 단말(111)에 연결된 2차 단말(112)을 기업 전용망(104, 108)에 접속시키기 위한 전용 장비들이다. The control plane management devices (101, 105), user plane management devices (102, 106), and enterprise-only UPFs (103, 107) manage the secondary terminal (112) connected to the primary terminal (111) to the enterprise-only network (104, 108). ) These are dedicated devices for connecting to.
접속 제어 관리 장치(101, 102, 105, 106)는 기업 전용 UPF(103, 107)와 기업 전용망(104, 108) 사이에서 기업 전용망 접속 제어를 수행하는 장치로서, 1차 단말(111), 2차 단말(112)에 대한 기업 전용망 접속 인증, 터널링 제어, 2차 단말(112)에 IP 할당, 2차 단말 상태 관리, 2차 단말(112)에 대한 이동성 관리 등을 수행할 수 있다.The access control management devices (101, 102, 105, 106) are devices that perform corporate network access control between the corporate UPFs (103, 107) and the corporate dedicated networks (104, 108), and are connected to the primary terminal (111), 2 It is possible to perform corporate network connection authentication for the
접속 제어 관리 장치(101, 102, 105, 106)는 제어 평면 관리 장치(101, 105)와 사용자 평면 관리 장치(102, 106)로 구분되어 있다.The access
제어 평면 관리 장치(101, 105)는 1차 단말(111) 및 2차 단말(112)이 기업 전용망(104, 108)에 접속할 수 있는 권한이 있는지 판단하는 인증 등과 같이 기업 전용망 접속 제어에 관련된 제어 평면 데이터를 처리한다. 또한, 제어 평면 관리 장치(101, 105)는 2차 단말(112)에 IP 할당, 2차 단말 상태 관리 등을 수행할 수 있다.The control
제어 평면 관리 장치(101, 105)는 1차 단말 인증에 성공하면, 1차 단말(111)과 연결되는 사용자 평면 관리 장치 정보를 1차 단말(111)에게 전송한다. 따라서, 1차 단말(111)은 제어 평면 관리 장치(101, 105)로부터 획득한 사용자 평면 관리 장치 정보를 이용하여 사용자 평면 관리 장치(102, 106)에 접속할 수 있다.When the control
사용자 평면 관리 장치(102, 106)는 1차 단말(111)과 연결된 전용망 세션을 통해 2차 단말(112)이 1차 단말(111)을 통해 기업 전용망(104, 108)과 송수신하는 사용자 평면 데이터로서, 업링크 사용자 평면 데이터 및 다운링크 사용자 평면 데이터를 처리한다. The user
사용자 평면 관리 장치(102, 106)는 2차 단말(112)과 기업 전용망(104, 108) 간에 상향링크 데이터 및 하향링크 데이터를 라우팅한다.The user
기업 전용 UPF(103, 107)는 코어 장치로서, 1차 단말(111)과 기업 전용망(104, 108) 간의 5G 표준에 따른 전용망 세션을 연결한다.The corporate UPF (103, 107) is a core device that connects a dedicated network session according to the 5G standard between the
제어 평면 관리 장치(101, 105), 사용자 평면 관리 장치(102, 106)는 전용 회선으로 연결되어 있다. 사용자 평면 관리 장치(102, 106), 기업 전용 UPF(103, 107)는 전용 회선으로 연결되어 있다.The control
이러한 전용 장비들은 기업 가입자 단위로 독립적으로 운용될 수도 있고, 복수의 기업 가입자를 위해 통합적으로 운용될 수도 있다.These dedicated devices may be operated independently for each corporate subscriber, or may be operated integratedly for multiple corporate subscribers.
전용 장비들이 독립적으로 운용되는 구조를 구축형 구조라 하고, 전용 장비들이 통합적으로 운용되는 구조를 서비스형 구조라 한다.A structure in which dedicated equipment is operated independently is called a built-up structure, and a structure in which dedicated equipment is operated in an integrated manner is called a service-type structure.
가입자 A의 전용 장비들이 독립적으로 운용, 즉, 구축형 구조로 운용될 수 있다. 이 경우, 기업 전용망(104)과의 접속을 위한 제어 평면 관리 장치(101), 사용자 평면 관리 장치(102), 기업 전용 UPF(103)는 기업 사이트에 설치되어 운용될 수 있다. 사용자 평면 관리 장치(102), 기업 전용 UPF(103)는 스위치(114)를 통해 코어망(109), 기지국(113)에 연결될 수 있다.Subscriber A's dedicated equipment can be operated independently, that is, in a built-in structure. In this case, the control
가입자 B, 가입자 C, 가입자 D를 위한 전용 장비들은 통합적으로 운용, 즉, 서비스형 구조로 운용될 수 있다. 이 경우, 각 가입자의 기업 전용망(108)과의 접속을 위한 제어 평면 관리 장치(105), 사용자 평면 관리 장치(106), 기업 전용 UPF(107)는 통신사 사이트에 설치되어 운용될 수 있다. 기업 전용 UPF(107)는 코어망(109)에 연결된다. Dedicated equipment for subscriber B, subscriber C, and subscriber D can be operated in an integrated manner, that is, in a service-type structure. In this case, the control
이때, 사용자 평면 관리 장치(106)는 1차 단말(111)로부터 수신한 APN(Access Point Name)에 기초하여 가입자의 기업 전용망(108)을 구분하여 2차 단말(112)을 접속시킬 수 있다.At this time, the user
코어망(109)은 코어 장치들로 구성되며, 1차 단말(111)의 가입자 정보에 기초하여 1차 단말(111)을 기업 전용 UPF(103, 107)와 연결시킨다. 이러한 연결 과정은 공지된 기술을 사용하므로, 자세한 설명은 생략한다. The
코어망(109)은 코어 장치들로 구성되며, 1차 단말(111)의 가입자 정보에 기초하여 1차 단말(111)을 기업 전용 UPF(103, 107)와 연결시킨다. 이러한 연결 과정은 공지된 기술, 즉, 3GPP 표준에 따른 네트워크 접속 절차에 해당하므로, 자세한 설명은 생략한다. The
기업 전용 UPF(103, 107)는 코어 네트워크 장치로서, 1차 단말(111)과 기업 전용망(104, 108) 간의 5G 표준에 따른 전용망 세션을 연결한다.The
사용자 평면 관리 장치(102, 106)는 기업 전용 UPF(103, 107)에 물리적으로 직접 연결된다.The user
기업 전용망(104, 108)은 기업 가입자의 사내망, 특수망 등을 포함할 수 있다. 여기서, 특수망은 기업 가입자가 제공하는 특정 서비스망으로서, 예컨대, VDI(Virtual Desktop Infrastructure) 시스템일 수 있다.The corporate dedicated network (104, 108) may include the corporate subscriber's internal network, special network, etc. Here, the special network is a specific service network provided by corporate subscribers, and may be, for example, a VDI (Virtual Desktop Infrastructure) system.
경로 라우팅 장치(110)는 외부망 연동 장치(115)와 제어 평면 관리 장치(101, 105) 간의 다중 인증 패킷을 라우팅한다.The
경로 라우팅 장치(110)는 복수의 제어 평면 관리 장치(101, 105)와 연결되어 있다. 경로 라우팅 장치(110)는 기업 식별자와 제어 평면 관리 장치 IP 주소를 매칭한 경로 정보를 저장하는 라우팅 경로 데이터베이스를 구비할 수 있다. The
경로 라우팅 장치(110)는 라우팅 경로 데이터베이스를 이용하여, 외부망 연동 장치(115)가 제어 평면 관리 장치(101, 105)로 전송하는 다중 인증 패킷과 제어 평면 관리 장치(101, 105)가 외부망 연동 장치(115)로 전송하는 다중 인증 패킷을 라우팅한다.The
경로 라우팅 장치(110)는 외부망 연동 장치(115)로부터 수신한 다중 인증 패킷으로부터 기업 식별자를 확인하고, 라우팅 경로 데이터베이스로부터 기업 식별자에 매칭되는 제어 평면 관리 장치 IP 주소를 선택할 수 있다. 경로 라우팅 장치(110)는 선택한 제어 평면 관리 장치 IP 주소를 다중 인증 패킷의 목적지 IP로 설정하고, 해당하는 제어 평면 관리 장치(101)로 다중 인증 패킷을 전송할 수 있다.The
또한, 경로 라우팅 장치(110)는 제어 평면 관리 장치(101, 105)로부터 다중 인증 패킷이 수신되면, 다중 인증 패킷의 목적지 IP를 경로 라우팅 장치(110)의 IP 주소에서 외부망 연동 장치(115)의 IP 주소로 변환한 후, 이를 외부망 연동 장치(115)로 전송할 수 있다.In addition, when the
1차 단말(111)은 네트워크에 직접 연결되고 적어도 하나의 2차 단말(112)과 연결된다. 예를 들면, 1차 단말(111)은 5G 네트워크에 접속하는 모바일 라우터, 또는 모바일 라우팅 기능을 탑재한 모바일 단말일 수 있다. The
1차 단말(111)은 적어도 하나의 2차 단말(112)과 기업 전용 UPF(103, 107), 사용자 평면 관리 장치(102, 106) 간에 전용망 트래픽을 라우팅한다. The
1차 단말(111)은 기지국(113)에 접속하여 기업 전용 UPF(103, 107), 사용자 평면 관리 장치(102, 106)로 트래픽을 전송할 수 있다.The
2차 단말(112)은 1차 단말(111)과 연결되는 디바이스로서, 예를 들면, 노트북 등의 전자 기기일 수 있다. The
여기서, 2차 단말(112)은 1차 단말(111)과 다양한 방식으로 연결될 수 있으며, 예컨대, WiFi, USB(Universal Serial Bus), UTP(Unshielded Twisted Pair) 등의 방식으로 연결될 수 있다.Here, the
2차 단말(112)은 기업 가입자의 소속 직원 단말로서, 제어 평면 관리 장치(101, 105)에서 전용망 접속 인증하도록 관리되는 단말일 수 있다. 예를 들면, 2차 단말(112)은 제어 평면 관리 장치(101, 105)에 등록된 업무용 디바이스일 수 있다.The
1차 단말(111)은 2차 단말(112)과 제어 평면 관리 장치(101, 105) 간에 송수신하는 제어 평면 데이터를 라우팅한다. 1차 단말(111)은 기지국(113)에 접속하여 제어 평면 관리 장치(101, 105)에게 제어 평면 데이터를 전송할 수 있다. 여기서, 제어 평면 데이터는 1차 단말(111) 및 2차 단말(112)이 기업 전용망 접속 권한이 있는지 판단하는 인증과 관련된 데이터를 의미한다.The
1차 단말(111)은 2차 단말(112)이 기업 전용 UPF(103, 107)와 사용자 평면 관리 장치(102, 106)를 통해 기업 전용망(104, 108)과 송수신하는 사용자 평면 데이터를 라우팅한다. 1차 단말(111)은 기지국(113)에 접속하여 기업 전용 UPF(103, 107)와 연결된 사용자 평면 관리 장치(102, 106)에게 사용자 평면 데이터를 전송할 수 있다. 여기서, 사용자 평면 데이터는 1차 단말(111) 및 2차 단말(112)이 기업 전용망(104, 108)과 송수신하는 서비스 데이터를 의미한다. The
2차 단말(112)과 기업 전용망(104, 108) 간에 송수신하는 전용망 트래픽, 즉, 사용자 평면 데이터는 1차 단말(111), 기지국(113), 기업 전용 UPF(103, 107), 사용자 평면 관리 장치(102, 106)로 구성된 터널링 경로로 전달된다. Dedicated network traffic transmitted and received between the
이때, 기지국(113)은 기업 사이트에 위치한 기업 전용 기지국일 수 있다.At this time, the
제어 평면 관리 장치(101), 기업 전용 UPF(103), 경로 라우팅 장치(110)는 스위치(114)에 연결된다. 스위치(114)는 L3 스위치일 수 있다.The control
외부망 연동 장치(115)는 다중 인증 시스템(116)에 연결되어 다중 인증 시스템(116)과 제어 평면 관리 장치(101, 105) 간의 연동을 위한 제반 동작을 처리한다. The external
외부망 연동 장치(115)는 오픈(Open) API(Application Programming Interface)를 이용하여 다중 인증 시스템(116)과 제어 평면 관리 장치(101, 105) 간의 연동을 처리할 수 있다.The external
외부망 연동 장치(115)는 다중 인증 시스템(116)에서 발생하는 다양한 이벤트를 수용하고, 이를 제어 평면 관리 장치(101, 105)로 전송할 수 있다. 예컨대, 수용 가능한 이벤트는 트래픽 차단/허용하는 것 외에 트래픽 속도 제어, IP(또는 URL)기반 접속 제어, 사용자의 이벤트 관리 등을 포함할 수 있다. The external
다중 인증 시스템(116)은 2차 단말(112)에 대한 기업 전용망 접속 여부를 결정하기 위한 추가 인증을 수행한다. The
실시예에 따르면, 다중 인증 시스템(116)은 SMS(Short Message Service) OTP(One Time Password) 인증, QR 코드 인증, 안면 인증, 출입 인증 시스템 인증 등과 같이 다양한 인증 방식을 구현하는 시스템일 수 있다.According to an embodiment, the
다중 인증 시스템(116)은 써드파티(3rd party) 서버일 수 있다. The
한 실시예에 따르면, 다중 인증 시스템(116)은 SMS OTP 인증을 처리하기 위한 문자 인증 서버와 문자 발송 서버로 구성될 수 있다. 이 경우, 다중 인증 요청은 문자 인증 요청이 된다. According to one embodiment, the
문자 인증 서버는 제어 평면 관리 장치(101, 105)로부터 문자 인증 요청이 수신되면, OTP를 생성하여 문자 발송 서버로 전송을 요청할 수 있다. When a text authentication request is received from the control
문자 발송 서버는 문자 인증 서버로부터 수신한 문자 인증 요청에 포함된 사용자 전화번호로 OTP SMS를 전송한다. 이때, 사용자 전화번호는 1차 단말(111)/2차 단말(112)을 보유한 사용자의 제3의 단말(이하, 사용자 단말이라 함)의 전화번호일 수 있다. The text sending server sends an OTP SMS to the user's phone number included in the text authentication request received from the text authentication server. At this time, the user phone number may be the phone number of a third terminal (hereinafter referred to as user terminal) of the user who owns the
문자 인증 서버는 사용자 단말과 연결되어 OTP가 유효한지 판단하는 SMS OTP 인증을 수행하고, 인증 결과(성공 또는 실패)를 제어 평면 관리 장치(101, 105)에게 전송한다.The text authentication server is connected to the user terminal, performs SMS OTP authentication to determine whether the OTP is valid, and transmits the authentication result (success or failure) to the control
다른 실시예에 따르면, 다중 인증 시스템(116)은 QR 인증 서버 및 문자 발송 서버로 구성될 수 있다. 이 경우, 다중 인증 요청은 QR 인증 요청이 된다.According to another embodiment, the
QR 인증 서버는 제어 평면 관리 장치(101, 105)로부터 QR 인증 요청이 수신되면, QR 코드를 생성하여 문자 발송 서버로 전송을 요청할 수 있다. 문자 발송 서버는 QR 인증 서버로부터 수신한 QR 인증 요청에 포함된 사용자 전화번호로 QR SMS를 전송한다. QR 인증 서버는 사용자 단말과 연결되어 QR 코드가 유효한지 판단하는 QR OTP 인증을 수행하고, 인증 결과(성공 또는 실패)를 제어 평면 관리 장치(101, 105)에게 전송한다.When a QR authentication request is received from the control
또 다른 실시예에 따르면, 다중 인증 시스템(116)은 안면 인증 시스템일 수 있다. 이 경우, 다중 인증 요청은 안면 인증 요청이 된다.According to another embodiment,
안면 인증 시스템은 제어 평면 관리 장치(101, 105)로부터 안면 인증 요청이 수신되면, 2차 단말(112)과 연결되어 안면 인증을 수행할 수 있다. 2차 단말(112)은 사전에 안면 인증 시스템에 접속할 수 있는 소프트웨어를 설치하여 실행할 수 있다. 혹은, 2차 단말(112)은 웹을 통해 안면 인증 시스템에 접속하거나 또는 별도의 사용자 단말이 웹을 통해 안면 인증 시스템에 접속할 수 있다. When a facial authentication request is received from the control
또 다른 실시예에 따르면, 다중 인증 시스템(116)은 출입 인증 시스템일 수 있다. 이 경우, 다중 인증 요청은 출입 인증 요청이 된다.According to another embodiment, the
출입 인증 시스템은 제어 평면 관리 장치(101, 105)로부터 출입 인증 요청이 수신되면, 출입 인증을 처리하고, 그 결과를 반환할 수 있다.When an access authentication request is received from the control
도 2는 실시예에 따른 다중 인증이 포함된 기업 전용망 접속 절차를 나타낸 흐름도이다.Figure 2 is a flowchart showing a corporate network access procedure including multi-authentication according to an embodiment.
이때, 도 1의 구성 요소와 동일한 도면 부호를 사용하여 설명한다.At this time, the same reference numerals as the components in FIG. 1 will be used for explanation.
도 2를 참조하면, 1차 단말(111)은 제어 평면 관리 장치(101, 105)에게 1차 단말 정보가 포함된 1차 단말 인증 요청을 전송한다(S101). 1차 단말 정보는 IMSI(International Mobile Subscriber Identity), MDN(Mobile Directory Number) 등과 같은 단말 식별자일 수 있다.Referring to FIG. 2, the
제어 평면 관리 장치(101, 105)는 S101에서 획득한 1차 단말 정보를 토대로 1차 단말(111)이 기업 전용망 접속 권한이 있는지 판단하는 1차 단말 인증을 수행한다(S102).The control
제어 평면 관리 장치(101, 105)는 1차 단말 인증에 성공하면, 사용자 평면 관리 장치(102, 106)의 IP 주소가 포함된 1차 단말 인증 응답을 1차 단말(111)에게 전송한다(S103).If the control
1차 단말(111)은 2차 단말(112)로부터 2차 단말 정보가 포함된 기업 전용망 접속 요청을 수신할 수 있다(S104). 2차 단말 정보는 2차 단말(112)의 MAC 주소(Media Access Control Address)일 수 있다.The
1차 단말(111)은 2차 단말 정보가 포함된 2차 단말 인증 요청을 제어 평면 관리 장치(101, 105)에게 전송한다(S105). 제어 평면 관리 장치(101, 105)는 S105에서 획득한 2차 단말 정보를 토대로 2차 단말(112)이 기업 전용망 접속 권한이 있는지 판단하는 2차 단말 인증을 수행한다(S106). 제어 평면 관리 장치(101, 105)는 2차 단말 인증에 성공하면, 2차 단말(112)의 식별자에 매칭되는 가입/인증 정보의 다중 인증 필드를 확인(S107)하여 활성화 여부를 판단할 수 있다(S108).The
이때, 제어 평면 관리 장치(101, 105)는 1차 단말(111) 및 2차 단말(112)의 기업 식별자와 단말 식별자 별로 매칭된 가입/인증 정보를 저장하여 관리할 수 있다. 가입/인증 정보는 표 1과 같은 파라미터들을 포함할 수 있다.At this time, the control
제어 평면 관리 장치(101, 105)는 표 1의 다중 인증 필드에 'Inactive' 값이 수록되어 있으면, 2차 단말(112)이 다중 인증 대상이 아니라고 판단한다. 다중 인증 대상이 아니라고 판단되면, 제어 평면 관리 장치(101, 105)는 2차 단말 접속 허용을 포함한 2차 단말 인증 응답을 1차 단말(111)에게 전송한다(S109).If the value 'Inactive' is included in the multi-authentication field of Table 1, the control
제어 평면 관리 장치(101, 105)는 표 1의 다중 인증 필드에 'Active'값이 수록되어 있으면, 2차 단말(112)이 다중 인증 대상이라고 판단한다. 다중 인증 대상이라고 판단되면, 제어 평면 관리 장치(101, 105)는 트래픽 차단 지시가 포함된 2차 단말 인증 응답을 1차 단말(111)에게 전송한다(S110).If the value 'Active' is included in the multi-authentication field of Table 1, the control
1차 단말(111)은 기업 전용망 접속 응답을 2차 단말(112)에게 전송한다(S111). The
이때, S110의 2차 단말 인증 응답 및 S111의 기업 전용망 접속 응답은 다중 인증 지시를 포함할 수 있다. 다중 인증 지시를 수신한 2차 단말(112)은 다중 인증 시스템(116)과 연동을 준비할 수 있다.At this time, the secondary terminal authentication response of S110 and the corporate network connection response of S111 may include multiple authentication instructions. The
제어 평면 관리 장치(101, 105)는 S110 이후, 사용자 평면 관리 장치(102, 106)에게 트래픽 차단 지시를 전송한다(S112). 터널링 차단 지시를 수신한 사용자 평면 관리 장치(102, 106)는 1차 단말(111)과 IPSec 터널링 세션을 연결하되 트래픽 차단을 설정한다(S113). After S110, the control
제어 평면 관리 장치(101, 105)는 외부망 연동 장치(115)로 다중 인증 요청을 전송한다(S114). The control
외부망 연동 장치(115)는 다중 인증 시스템(116)에게 다중 인증 요청을 전송한다(S115). The external
다중 인증 시스템(116)은 외부망 연동 장치(115)에게 다중 인증 결과가 포함된 다중 인증 응답을 전송한다(S116).The
외부망 연동 장치(115)는 다중 인증 응답을 제어 평면 관리 장치(101, 105)에게 전송한다(S117).The external
이때, 외부망 연동 장치(115)는 REST(Representational State Transfer) API(Application Programming Interface)를 이용하여 제어 평면 관리 장치(101, 105)와 다중 인증 시스템(116) 간의 연동을 처리할 수 있다. 예컨대, S114, S115는 REST API Request 메시지가 이용될 수 있다. S116, S117는 REST API Response 메시지가 이용될 수 있다. 제어 평면 관리 장치(101, 105)는 S117에서 수신한 다중 인증 응답을 토대로, 다중 인증 성공 유무를 판단한다(S118).At this time, the external
제어 평면 관리 장치(101, 105)는 S118에서 다중 인증 성공으로 판단되면, 사용자 평면 관리 장치(102, 106)에게 트래픽 허용 지시를 전송한다(S119). 그러면, 사용자 평면 관리 장치(102, 106)는 1차 단말(111)과의 IPSec 터널링 세션을 트래픽 허용으로 변경한다(S120).If the control
이후, 2차 단말(112)에서 생성된 업링크 전용망 트래픽은 1차 단말(111), 기업 전용 UPF(103, 107), 사용자 평면 관리 장치(102, 106)의 순차적인 경로를 거쳐 기업 전용망(104, 108)으로 전달된다. 기업 전용망(104, 108)의 다운링크 전용망 트래픽은 사용자 평면 관리 장치(102, 106), 기업 전용 UPF(103, 107)의 순차적인 경로를 거쳐 1차 단말(111)로 전달되고, 1차 단말(111)에 의해 2차 단말(112)로 라우팅된다.Thereafter, the uplink dedicated network traffic generated in the
반면, 제어 평면 관리 장치(101, 105)는 S118에서 다중 인증 실패로 판단되면, 사용자 평면 관리 장치(102, 106)에게 터널링 세션 해지 지시를 전송한다(S121). 그러면, 사용자 평면 관리 장치(102, 106)는 1차 단말(111)과의 IPSec 터널링 세션을 해지한다(S122).On the other hand, if the control
또한, S107 이전에, 제어 평면 관리 장치(101, 105)는 2차 단말(112)로부터 1차 단말(111)로 제공된 사용자 로그인 ID 및 로그인 인증 정보를 이용한 사용자 로그인 인증을 수행한 이후에, 다중 인증 절차가 시작될 수 있다. In addition, before S107, the control
도 3은 실시예에 따른 제어 평면 관리 장치의 다중 인증 제어 절차를 나타낸 순서도이다.Figure 3 is a flowchart showing a multi-authentication control procedure of a control plane management device according to an embodiment.
도 3을 참조하면, 제어 평면 관리 장치(101)가 다중 인증 요청을 외부망 연동 장치(115)에게 전송한다(S201). Referring to FIG. 3, the control
다중 인증 요청에는 인증 주체에 관한 정보가 포함되어 있으며, 다중 인증 주체, 즉, 다중 인증 단말에 관한 정보는 제어 평면 관리 장치(101)가 사전에 저장하고 있다.The multi-authentication request includes information about the authentication subject, and the control
예컨대, 2차 단말(112)의 사용자가 보유한 제3의 단말의 전화번호가 포함되어 있을 수 있다. For example, the phone number of a third terminal owned by the user of the
혹은, 다중 인증 요청에는 2차 단말(112)의 식별자가 포함되어 있을 수 있다. 이 경우, 2차 단말(112)에는 사전에 다중 인증 시스템(116)과 연동하는 다중 인증 전용 앱이 설치되어 있다. 다중 인증 시스템(116)은 다중 인증 전용 앱과 연동하여 2차 단말 식별자를 이용해서 식별한 2차 단말(112)와 다중 인증을 수행하게 된다.Alternatively, the multi-authentication request may include the identifier of the
다른 실시예에 따르면, 다중 인증 주체에 관한 정보를 다중 인증 시스템(116)으로 전송하는 대신, 제어 평면 관리 장치(101)가 직접 다중 인증 단말에게 다중 인증 시스템(116)의 URL(Uniform Resource Locator)이 수록된 SMS 또는 SNS의 푸쉬 메시지를 전송할 수 있다. 여기서, 다중 인증 단말은 2차 단말(112)의 사용자가 보유한 제3의 단말 또는 2차 단말(112)일 수 있다.According to another embodiment, instead of transmitting information about the multi-authentication subject to the
이때, 본 발명의 실시예에서, 다중 인증은 초기 접속 다중 인증과 실시간 다중 인증(상시 다중 인증)으로 구분될 수 있다. At this time, in an embodiment of the present invention, multi-authentication can be divided into initial access multi-authentication and real-time multi-authentication (always-on multi-authentication).
초기 접속 다중 인증은 도 2에서와 같이, 1차 단말(111) 및 2차 단말(112)이 기업 전용망(104, 108)에 초기 접속하는 절차에서 수행되며, 2차 단말 인증 이후 시작될 수 있다. 이 경우에, S201은 도 2에서 S114에 해당한다. 예컨대, 초기 접속 인증은 SMS(Short Message Service) OTP(One-Time Password) 인증이 사용될 수 있다. As shown in FIG. 2, initial access multi-authentication is performed during the initial connection of the
실시간 다중 인증은 정해진 주기 또는 조건에 따라 반복해서 수행될 수 있다. 예컨대, 실시간 다중 인증은 안면 인증 등과 같은 생체 인증이 사용될 수 있다.Real-time multi-authentication can be performed repeatedly according to set cycles or conditions. For example, real-time multi-factor authentication may use biometric authentication such as facial authentication.
또한, 안면 인증의 경우, 주기, 예컨대, 몇 분 단위로 반복 수행될 수 있다. 혹은, 안면 인증의 경우, 정해진 조건에 따라 자리를 이탈하여 카메라에 사용자가 없으면 네트워크 데이터 차단하고, 자리로 돌아와 사용자 인증되면 네트워크 데이터 연결하도록 할 수 있으며, 이를 위해 안면 인증은 실시간으로 반복해서 수행될 수 있다.Additionally, in the case of face authentication, it may be performed repeatedly at intervals, for example, in minutes. Alternatively, in the case of face authentication, if the user leaves the seat and there is no camera at the camera according to set conditions, network data can be blocked, and network data can be connected when the user returns to the seat and is authenticated. To this end, face authentication can be performed repeatedly in real time. You can.
제어 평면 관리 장치(101)는 S201의 다중 인증이 초기 접속 인증인지 또는 실시간 인증인지 판단한다(S202). The control
S202에서, 제어 평면 관리 장치(101)는 가입/인증 정보의 다중 인증 필드가 활성화되어 있어 S201을 수행했다면, 초기 접속 인증으로 판단한다. In S202, the control
S202에서, 제어 평면 관리 장치(101)는 초기 접속 인증 이후에, 주기가 도래하여 S201을 수행했다면, 실시간 인증으로 판단한다.In S202, the control
제어 평면 관리 장치(101)는 S202에서 초기 접속 인증으로 판단되면, 초기 접속 인증 타이머(예, 3분)를 구동한다(S203).If it is determined that the initial connection is authenticated in S202, the control
제어 평면 관리 장치(101)는 초기 접속 인증 타이머가 만료하는지 판단(S204)하고, 초기 접속 인증 타이머가 만료하면, S201의 다중 인증 요청에 대해 외부망 연동 장치(115)로부터 다중 인증 성공 응답이 수신되는지 판단한다(S205). S205는 도 2의 S117, S118에 해당한다.The control
제어 평면 관리 장치(101)는 S205에서 다중 인증 성공 응답 수신으로 판단되면, 사용자 평면 관리 장치(102)에게 트래픽 허용 지시를 전송한다(S206).If the control
이때, 초기 접속 다중 인증의 경우, 도 2의 S112에 따라 사용자 평면 관리 장치(102)는 모든 트래픽에 대해 차단을 설정한 상태이므로, S206을 통해 모든 트래픽에 대한 차단을 해제하고, 트래픽 허용을 설정한다.At this time, in the case of initial access multi-authentication, the user
반면, S205에서 다중 인증 성공 응답이 수신되지 않거나 또는 다중 인증 실패 응답이 수신된 경우로 판단되면, 제어 평면 관리 장치(101)는 사용자 평면 관리 장치(102)에게 터널링 세션 해지 지시를 전송한다(S206).On the other hand, if it is determined in S205 that a multiple authentication success response is not received or a multiple authentication failure response is received, the control
한편, S202에서 실시간 인증으로 판단되면, 제어 평면 관리 장치(101)는 사용자 평면 관리 장치(102)에게 설정된 IPsec 터널링 세션(전용망 세션)에 대해 인증 트래픽을 제외한 사용자 트래픽에 대해 차단을 지시한다(S207). S207의 트래픽 차단 지시는 인증 트래픽 경로 정보가 포함된다. 인증 트래픽 경로 정보는 외부망 연동 장치(115)에 설정된 IP 주소 및 포트 정보를 포함할 수 있다. Meanwhile, if real-time authentication is determined in S202, the control
따라서, S207의 트래픽 차단 지시를 수신한 사용자 평면 관리 장치(102)는 목적지 IP 또는 소스 IP가 인증 트래픽 경로 정보에 포함되는 전용망 트래픽이 수신된 경우, 인증 트래픽으로 판단하여 해당 목적지로 전송을 허용한다.Therefore, when receiving dedicated network traffic whose destination IP or source IP is included in the authentication traffic path information, the user
한편, S207 이후, 제어 평면 관리 장치(101)는 실시간 인증 타이머(예, 1시간)를 구동한다(S208).Meanwhile, after S207, the control
제어 평면 관리 장치(101)는 S208의 타이머가 만료하는지 판단(S209)하고, 타이머가 만료하면, 다중 인증 성공 응답이 외부망 연동 장치(115)로부터 수신되는지 판단한다(S210). The control
실시간 인증에 대해서도 S207 이후의 동작은 도 2에서 S114 ~ S122와 동일하다. For real-time authentication, the operations after S207 are the same as S114 to S122 in FIG. 2.
제어 평면 관리 장치(101)는 S210에서 다중 인증 성공 응답으로 판단되면, 사용자 평면 관리 장치(102)에게 트래픽 허용 지시를 전송한다(S211).If the control
제어 평면 관리 장치(101)는 S210에서 다중 인증 성공 응답으로 판단되면, 사용자 평면 관리 장치(102)에게 터널링 세션 해지 지시를 전송한다(S212).If the control
한 실시예에 따르면, 제어 평면 관리 장치(101, 105)는 2차 단말(112)에 대한 다중 인증 수행 여부에 대한 정보를 저장하고, 다중 인증 종류에 대한 구체적인 정보는 외부망 연동 장치(115)가 관리할 수 있다. 이러한 실시예를 적용한 다중 인증 요청/응답 절차는 도 4와 같다.According to one embodiment, the control
도 4는 한 실시예에 따른 외부망 연동 장치의 동작을 설명하는 흐름도로서, 도 2의 S114, S115, S116, S117의 세부 실시예이다.FIG. 4 is a flowchart explaining the operation of an external network interworking device according to an embodiment, and is a detailed example of S114, S115, S116, and S117 of FIG. 2.
도 4를 참조하면, 외부망 연동 장치(115)는 가입자 식별자 별로 다중 인증 종류를 매칭한 다중 인증 DB를 생성한다(S301).Referring to FIG. 4, the external
외부망 연동 장치(115)는 다중 인증 종류 별로 대응하는 다중 인증 시스템(116)의 IP 주소를 매칭한 연동 DB를 생성한다(S302). The external
제어 평면 관리 장치(101, 105)는 다중 인증 요청을 외부망 연동 장치(115)에게 전송한다(S303). 다중 인증 요청은 S301에서 생성한 다중 인증 DB로부터 다중 인증 종류를 추출하기 위한 가입자 식별자가 포함될 수 있다. The control
한 실시예에 따르면, 다중 인증 방식은 기업 가입자 별로 설정될 수 있다. 이 경우, 가입자 식별자는 기업 식별자가 사용된다.According to one embodiment, a multi-authentication method may be set for each corporate subscriber. In this case, the subscriber identifier is a corporate identifier.
다른 실시예에 따르면, 다중 인증 방식은 기업 가입자 내에서도 단말 사용자 별로 설정될 수 있다. 이 경우, 가입자 식별자는 사용자 전화번호가 사용되며, 사용자 전화번호는 1차 단말 및 2차 단말을 보유한 사용자의 제3의 단말의 전화번호가 사용될 수 있다.According to another embodiment, the multi-authentication method can be set for each terminal user even within a corporate subscriber. In this case, the user's phone number may be used as the subscriber identifier, and the user's phone number may be the phone number of a third terminal of a user who has a primary terminal and a secondary terminal.
또 다른 실시예에 따르면, 다중 인증 방식은 1차 단말(111) 및/또는 2차 단말(112) 별로 설정될 수 있다. 이 경우, 가입자 식별자는 1차 단말 식별자(예, IMSI/MDN) 및/또는 2차 단말 식별자(예, MAC 주소)가 사용될 수 있다.According to another embodiment, the multi-authentication method may be set for each
외부망 연동 장치(115)는 S201에서 생성한 다중 인증 DB로부터 가입자 식별자에 매핑되는 다중 인증 종류를 확인한다(S304).The external
외부망 연동 장치(115)는 S304의 다중 인증 종류에 매칭되는 IP 주소를 연동 DB로부터 확인한다(S305).The external
외부망 연동 장치(115)는 S305에서 확인한 IP 주소를 이용하여 해당하는 다중 인증 시스템(116)으로 다중 인증 요청(가입자 식별자 포함)을 전송한다(S306).The external
외부망 연동 장치(115)는 다중 인증 시스템(116)으로부터 수신(S307)한 다중 인증 결과가 포함된 다중 인증 응답을 제어 평면 관리 장치(101, 105)에게 전송한다(S308).The external
다른 실시예에 따르면, 제어 평면 관리 장치(101, 105)는 2차 단말(112)에 대한 다중 인증 수행 여부 및 다중 인증 종류를 나타내는 타입 지시자를 저장하고, 외부망 연동 장치(115)는 다중 인증 종류 별로 해당되는 다중 인증 시스템(116)의 IP 주소를 저장할 수 있다. 이러한 실시예를 적용한 다중 인증 요청/응답 절차는 도 5와 같다.According to another embodiment, the control
도 5는 다른 실시예에 따른 외부망 연동 장치의 동작을 설명하는 흐름도로서, 도 2의 S114, S115, S116, S117의 세부 실시예이다.FIG. 5 is a flowchart explaining the operation of an external network interworking device according to another embodiment, and is a detailed embodiment of S114, S115, S116, and S117 of FIG. 2.
도 5를 참조하면, 외부망 연동 장치(115)는 다중 인증 타입 지시자 별로 대응하는 다중 인증 시스템(116)의 IP 주소를 매칭한 연동 DB를 생성할 수 있다(S401).Referring to FIG. 5, the external
제어 평면 관리 장치(101, 105)는 다중 인증 필드가 활성화되어 있으면, 가입/인증 정보의 다중 인증 종류 필드로부터 다중 인증 타입 지시자를 추가로 확인한다(S402). If the multi-authentication field is activated, the control
예를들어, 다중 인증 타입 지시자는 숫자 또는 기호 등으로 표현될 수 있는데, SMS OTP는 1, QR 인증은 2, 안면 인증은 3, 출입 인증은 4와 같이 설정될 수 있지만 이는 단지 예시에 불과하다. For example, the multi-authentication type indicator can be expressed as a number or symbol, such as SMS OTP can be set to 1, QR authentication can be set to 2, facial authentication can be set to 3, and access authentication can be set to 4, but this is only an example. .
제어 평면 관리 장치(101, 105)는 S402에서 확인한 타입 지시자가 포함된 다중 인증 요청을 외부망 연동 장치(115)로 전송한다(S403).The control
외부망 연동 장치(115)는 S403에서 확인한 타입 지시자에 대응하는 IP 주소를 연동 DB로부터 확인한다(S404).The external
외부망 연동 장치(115)는 S404에서 확인한 IP 주소를 이용하여 다중 인증 요청을 해당하는 다중 인증 시스템(116)으로 전송한다(S405).The external
외부망 연동 장치(115)는 다중 인증 시스템(116)으로부터 수신(S406)한 다중 인증 결과가 포함된 다중 인증 응답을 제어 평면 관리 장치(101, 105)에게 전송한다(S407).The external
이상에서 설명한 본 개시의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 개시의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present disclosure described above are not only implemented through devices and methods, but may also be implemented through programs that implement functions corresponding to the configurations of the embodiments of the present disclosure or recording media on which the programs are recorded.
이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속하는 것이다.Although the embodiments of the present disclosure have been described in detail above, the scope of the rights of the present disclosure is not limited thereto, and various modifications and improvements made by those skilled in the art using the basic concept of the present disclosure defined in the following claims are also possible. It falls within the scope of rights.
Claims (5)
상기 1차 단말과 연결된 세션을 통해 상기 2차 단말이 상기 1차 단말을 통해 기업 전용망과 송수신하는 사용자 평면 데이터를 처리하는 사용자 평면 관리 장치(User plane), 그리고
상기 1차 단말 및 상기 2차 단말이 상기 기업 전용망의 접속 제어와 관련된 제어 평면 데이터를 처리하는 제어 평면 관리 장치(Control plane)를 포함하고,
상기 제어 평면 관리 장치는,
상기 1차 단말 및 상기 2차 단말에 대한 단말 인증과 다른 별도의 인증 수단을 이용한 다중 인증을 수행하는 다중 인증 시스템으로 다중 인증을 요청하고,
상기 다중 인증 시스템으로부터 다중 인증 성공 응답이 수신되기 전까지 상기 1차 단말과 상기 사용자 평면 관리 장치 간에 트래픽 전달을 차단하도록 상기 사용자 평면 관리 장치에게 지시하고,
상기 다중 인증 성공 응답이 수신되면, 상기 트래픽 전달을 허용하도록 상기 사용자 평면 관리 장치에게 지시하는, 기업 전용망 서비스 시스템.A corporate dedicated network service system that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal through short-distance communication, comprising:
A user plane management device (User plane) that processes user plane data transmitted and received by the secondary terminal to and from the corporate dedicated network through the primary terminal through a session connected to the primary terminal, and
The primary terminal and the secondary terminal include a control plane management device (Control Plane) that processes control plane data related to access control of the enterprise network,
The control plane management device,
Requesting multiple authentication with a multiple authentication system that performs multiple authentication using a separate authentication method different from terminal authentication for the primary terminal and the secondary terminal,
Instructing the user plane management device to block traffic transmission between the primary terminal and the user plane management device until a multi-authentication success response is received from the multi-authentication system,
When the multi-authentication success response is received, instructing the user plane management device to allow forwarding the traffic.
상기 다중 인증 시스템과 상기 제어 평면 관리 장치 간에 다중 인증에 관련된 데이터를 전달하는 외부망 연동 장치를 더 포함하고,
상기 다중 인증 시스템은,
상기 다중 인증 시스템에 관한 정보를 저장하고, 상기 저장한 정보를 토대로 상기 제어 평면 관리 장치로부터 수신한 다중 인증 요청을 전달하는, 기업 전용망 서비스 시스템.In paragraph 1:
Further comprising an external network interconnection device that transmits data related to multi-authentication between the multi-authentication system and the control plane management device,
The multi-authentication system is,
An enterprise dedicated network service system that stores information about the multi-authentication system and delivers a multi-authentication request received from the control plane management device based on the stored information.
상기 외부망 연동 장치는,
가입자 식별자 별로 다중 인증 종류를 매칭한 다중 인증 DB와 다중 인증 종류 별로 대응하는 다중 인증 시스템의 IP 주소를 매칭한 연동 DB를 저장하고,
상기 제어 평면 관리 장치로부터 수신한 다중 인증 요청에 포함된 가입자 식별자에 매칭되는 다중 인증 종류를 상기 인증 DB로부터 확인하고, 확인한 다중 인증 종류에 대응하는 다중 인증 시스템의 IP 주소를 상기 연동 DB로부터 확인하는, 기업 전용망 서비스 시스템.In paragraph 2,
The external network interlocking device,
Stores a multi-authentication DB that matches multi-authentication types for each subscriber identifier and an interconnected DB that matches the IP address of the multi-authentication system corresponding to each multi-authentication type,
Confirming the multi-authentication type matching the subscriber identifier included in the multi-authentication request received from the control plane management device from the authentication DB, and confirming the IP address of the multi-authentication system corresponding to the confirmed multi-authentication type from the linking DB. , Enterprise dedicated network service system.
상기 외부망 연동 장치는,
다중 인증 종류를 나타내는 다중 인증 타입 지시자 별로 대응하는 다중 인증 시스템의 IP 주소를 매칭한 연동 DB를 저장하고,
상기 제어 평면 관리 장치로부터 수신한 다중 인증 요청에 포함된 다중 인증 타입 지시에 대응하는 다중 인증 시스템의 IP 주소를 상기 연동 DB로부터 확인하며,
상기 제어 평면 관리 장치는,
상기 1차 단말 및 상기 2차 단말의 식별자 또는 기업 식별자와 매칭되는 다중 인증 타입 지시자 정보를 저장하여 관리하는, 기업 전용망 서비스 시스템.In paragraph 2,
The external network interlocking device,
Stores an interconnected DB that matches the IP address of the corresponding multi-authentication system for each multi-authentication type indicator indicating the multi-authentication type,
Confirming the IP address of the multi-authentication system corresponding to the multi-authentication type indication included in the multi-authentication request received from the control plane management device from the linked DB,
The control plane management device,
A corporate dedicated network service system that stores and manages multi-authentication type indicator information matching the identifiers or corporate identifiers of the primary terminal and the secondary terminal.
상기 제어 평면 관리 장치는,
1차 단말 식별자 또는 2차 단말 식별자 중 적어도 하나의 식별자 별로 다중 인증 활성화 여부를 나타내는 정보를 관리하고, 상기 2차 단말에 대한 인증을 수행할 때, 상기 다중 인증 활성화가 확인되면, 상기 외부망 연동 장치로 다중 인증 요청을 전송하는, 기업 전용망 서비스 시스템.In paragraph 2,
The control plane management device,
Manage information indicating whether multi-authentication is activated for each identifier of at least one of the primary terminal identifier or the secondary terminal identifier, and when performing authentication for the secondary terminal, if the multi-authentication activation is confirmed, interconnection with the external network An enterprise private network service system that transmits multi-factor authentication requests to devices.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220121881A KR20240042960A (en) | 2022-09-26 | 2022-09-26 | Enterprise dedicated network service system for providing multi authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220121881A KR20240042960A (en) | 2022-09-26 | 2022-09-26 | Enterprise dedicated network service system for providing multi authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240042960A true KR20240042960A (en) | 2024-04-02 |
Family
ID=90714707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220121881A KR20240042960A (en) | 2022-09-26 | 2022-09-26 | Enterprise dedicated network service system for providing multi authentication |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20240042960A (en) |
-
2022
- 2022-09-26 KR KR1020220121881A patent/KR20240042960A/en unknown
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4754964B2 (en) | Radio network control apparatus and radio network control system | |
| KR101202671B1 (en) | Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal | |
| JP4782139B2 (en) | Method and system for transparently authenticating mobile users and accessing web services | |
| CN105307108B (en) | A kind of Internet of Things information exchange communication means and system | |
| EP3008935B1 (en) | Mobile device authentication in heterogeneous communication networks scenario | |
| US10178095B2 (en) | Relayed network access control systems and methods | |
| JP4713338B2 (en) | Method and apparatus for enabling re-authentication in a cellular communication system | |
| KR101971167B1 (en) | Reducing core network traffic caused by migrant | |
| EP3120591B1 (en) | User identifier based device, identity and activity management system | |
| JP5982389B2 (en) | Cross-access login controller | |
| US20130239181A1 (en) | Secure tunneling platform system and method | |
| CA2789495C (en) | Seamless mobile subscriber identification | |
| US8914867B2 (en) | Method and apparatus for redirecting data traffic | |
| CN106790251B (en) | User access method and user access system | |
| US8422428B1 (en) | Device management for a wireless communication device having and invalid user identifier | |
| EP3105900B1 (en) | Method and system for determining that a sim and a sip client are co-located in the same mobile equipment | |
| KR20240042960A (en) | Enterprise dedicated network service system for providing multi authentication | |
| JP5982706B2 (en) | Secure tunneling platform system and method | |
| WO2021188081A1 (en) | Method and system of verifying mobile phone information of users who are connected to the internet with a wired/wireless gateway other than the gsm mobile network with a mobile device in the gsm mobile network area | |
| JP5670926B2 (en) | Wireless LAN access point terminal access control system and authorization server device | |
| EP3032448B1 (en) | Method for authorizing access to information in a telecommunication system | |
| US11432158B2 (en) | Systems and methods for using a unique routing indicator to connect to a network | |
| KR20240036404A (en) | System, path routing apparatus and method for connecting secondary device connected to primary device to enterprise dedicated network | |
| KR20240039819A (en) | System and method for providing enterprise dedicated network service applying network separation structure | |
| JP6499733B2 (en) | Traffic analysis system, traffic information transmission method and program |