KR102000717B1 - 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법 - Google Patents

비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법 Download PDF

Info

Publication number
KR102000717B1
KR102000717B1 KR1020170134866A KR20170134866A KR102000717B1 KR 102000717 B1 KR102000717 B1 KR 102000717B1 KR 1020170134866 A KR1020170134866 A KR 1020170134866A KR 20170134866 A KR20170134866 A KR 20170134866A KR 102000717 B1 KR102000717 B1 KR 102000717B1
Authority
KR
South Korea
Prior art keywords
user terminal
authentication
private network
access
location information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020170134866A
Other languages
English (en)
Other versions
KR20190001485A (ko
Inventor
이종경
이진근
정치욱
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20190001485A publication Critical patent/KR20190001485A/ko
Application granted granted Critical
Publication of KR102000717B1 publication Critical patent/KR102000717B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법으로서, 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하기 위한 접속 요청을 수신하는 단계, 상기 접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 단계, 그리고 상기 인증이 성공적으로 완료되면, 상기 패킷 데이터 네트워크 게이트웨이를 통해 상기 사용자 단말이 상기 사설망으로 접속하도록 허용하는 단계를 포함한다.

Description

비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법 {SYSTEM AND METHOD FOR CONTROLLING ACCESS OF A USER TERMINAL ACCESING A PRIVATE NETWORK THROUGH THE UNTRUSTED NETWORK ACCESS POINT}
본 발명은 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 기술에 관한 것이다.
IMS 플랫폼을 통해 LTE망에서 ALL-IP 서비스를 제공하려는 시도가 지속적으로 이루어지고 있고, WiFi 네트워크 또한 비면허 대역을 이용한 무선통신 기술이라는 장점을 바탕으로 GiGA급 전송기술로의 고도화가 이루어지고 있다. 이에 따라, LTE와 WiFi 네트워크를 연동/병합할 필요성이 증가하고, 이를 위해 여러 기술들(LTE-A, LTE-U, LWA 및 MPTCP Proxy 등)이 시도되고 있다.
WiFi와 같은 비신뢰망에서 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하려면 신뢰망을 경유하여야 한다. 구체적으로, WiFi 액세스 포인트와 같은 비신뢰망 접속 장치를 통해 사설망으로 접속하려는 사용자 단말은 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG)를 거쳐 신뢰망의 기지국으로 액세스한다. 이를 위해, 사용자 단말은 인증 서버와 상호 인증 과정을 수행하며, 인증 서버는 상호 인증에 성공한 경우 사용자 단말의 액세스를 허용한다.
상호 인증 과정에서, 종래 기술은 SIM 기반의 인증방식(EAP-AKA 또는 EAP-SIM) 또는 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말과 인증 서버간 상호 인증을 수행하였다.
그러나, SIM 기반의 인증방식(예를 들어, EAP-AKA 또는 EAP-SIM 인증)은 통신사에 대한 종속성이 있어 B2B(Business to Business)를 대상으로 하는 서비스에서 사용될 경우 특정 사업자가 각기 다른 임직원의 통신사에 맞춰 서비스를 제공하기 어렵다는 문제가 있다.
또한, 종래의 EAP-MSCHAPv2 방식은 사용자 단말의 위치정보(예를 들면, 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보)를 인증 서버로 전송할 수 없는바, 종업원이 비신뢰망을 통해 사설망으로 접속하는 경우, 어떤 액세스 포인트를 통해 접속하였는지, 어떤 지역에서 접속하였는지 결정하기 어려워 보안 측면에서 취약한 단점이 있었다.
본 발명이 해결하고자 하는 과제는 사용자 단말의 위치 정보에 기초하여 사용자 단말의 사설망으로의 접속을 제어하는 시스템 및 방법을 제공하는 것이다.
본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법은 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하기 위한 접속 요청을 수신하는 단계, 상기 접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 단계, 그리고 상기 인증이 성공적으로 완료되면, 상기 패킷 데이터 네트워크 게이트웨이를 통해 상기 사용자 단말이 상기 사설망으로 접속하도록 허용하는 단계를 포함한다.
상기 인증하는 단계는 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.
상기 사용자 단말의 위치 정보는 상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고, 상기 사설망으로 접속이 허용된 지역의 위치 정보는 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함한다.
상기 사용자 단말 접속 제어 방법은 상기 사용자 단말로 재인증 요청을 전송하는 단계, 상기 사용자 단말로부터 상기 재인증 요청에 대응하는 재인증 응답을 수신하는 단계, 상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고 상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계를 더 포함한다.
상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며, 상기 재인증하는 단계는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.
상기 사용자 단말 접속 제어 방법은 상기 사용자 단말로부터 재인증 요청을 수신하는 단계, 상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고 상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계를 더 포함한다.
상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며, 상기 재인증하는 단계는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.
상기 사용자 단말 접속 제어 방법은 상기 비신뢰망 접속 장치와는 다른 새로운 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 상기 사설망으로 재접속하기 위한 재접속 요청을 수신하는 단계, 상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고 상기 재인증이 성공적으로 완료되면, 상기 사용자 단말이 상기 사설망으로 재접속하도록 하는 단계를 더 포함한다.
상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보는 상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보를 포함하며, 상기 재인증하는 단계는 상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정한다.
본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템은 비신뢰망 접속 장치에 접속한 사용자 단말로부터 패킷 데이터 네트워크 게이트웨이에 연결된 사설망 접속을 위한 접속 요청을 수신하고, 상기 접속 요청에서 상기 사용자 단말의 위치 정보를 추출하는 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG), 그리고 상기 진화된 패킷 데이터 게이트웨이로부터 상기 사용자 단말의 위치 정보를 포함하는 인증 요청을 수신하고, 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 인증 서버를 포함하며, 상기 인증이 성공적으로 완료되면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망을 연결한다.
상기 인증 서버는 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 인증 응답을 전송한다.
상기 사용자 단말의 위치 정보는 상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고, 상기 사설망으로 접속이 허용된 지역의 위치 정보는 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함한다.
상기 사용자 단말 접속 제어 시스템은 고객 관리 서버를 더 포함하고, 상기 사용자 단말은 상기 고객 관리 서버를 통해 재인증 요청을 상기 인증 서버로 전송하며, 상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하고, 상기 재인증이 성공적으로 완료되면 상기 진화된 패킷 데이터 게이트웨이로 재인증 응답을 전송하고, 상기 재인증 응답을 수신하면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망의 접속을 유지하도록 한다.
상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 재인응 응답을 전송한다.
상기 사용자 단말의 위치 정보는 상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고, 상기 사설망으로 접속이 허용된 지역의 위치 정보는 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함한다.
본 발명에 따르면, 사용자 단말의 위치 정보에 기초하여 사용자 단말의 접속을 제어함으로써, 더욱 정교한 보안 솔루션을 제공할 수 있다.
도 1은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 구현되는 환경을 도시하는 도면이다.
도 2는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.
도 3은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.
도 4는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 환경을 도시하는 도면이다.
도 5는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 다른 방법을 나타낸 흐름도이다.
도 7은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 8은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 핸드오버 발생시 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 9는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하는 환경을 도시하는 도면이다.
도 10은 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하여 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 구현되는 환경을 도시하는 도면이다.
도 1을 참고하면, 사용자 단말(100)은 IP(Internet Protocol)를 지원하는 운영 시스템(Operating System, OS), WiFi 모뎀, LTE 모뎀, LAN 등 IP 기반의 통신을 가능하게 하는 하드웨어를 포함하여, 인터넷에 접속이 가능한 단말이다.
사용자 단말(100)은 비신뢰망 접속 장치(200)를 통해 패킷데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)(400)에 연결된 사설망(500)으로 접속을 시도한다.
사용자 단말(100)은 사설망(500)으로 접속하기 위해, 전용 어플리케이션을 탑재하여 실행할 수 있고, 전용 어플리케이션은 스마트폰 앱, PC의 클라이언트 프로그램 등을 위한 응용 프로그램의 형태로 구현될 수 있다.
사용자 단말(100)이 사설망(500)으로 접속을 시도하는 경우, 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)로 사설망(500)에 대한 접속을 요청한다. 이 경우, 접속 요청은 사용자 단말(100)의 위치 정보를 포함한다.
사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 또는 사용자 단말(100)의 GPS 정보 중 적어도 하나를 포함할 수 있다.
비신뢰망 접속 장치(200)는 비신뢰 접속망의 접속 장치로서, WiFi 액세스 포인트를 지칭할 수 있다.
사용자 단말 접속 제어 시스템(300)은 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG)(310) 및 인증 서버(320)를 포함한다.
진화된 패킷 데이터 게이트웨이(310)는 3GPP에서 표준화된 네트워크 장치로서, 인증 서버(320) 및 패킷 데이터 네트워크 게이트웨이(400)와 연결된다.
진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)로부터 접속 요청을 수신하면, 접속 요청에서 사용자 단말(100)의 위치 정보를 추출하고, 사용자 단말(100)의 위치 정보를 포함하는 인증 요청을 인증 서버(320)로 전송한다.
진화된 패킷 데이터 게이트웨이(310)는 인증 서버(320)에 의해 사용자 단말(100)의 인증이 성공적으로 완료되면, 사용자 단말(100)의 사설망(500)으로의 접속을 허용하는 접속 응답을 사용자 단말(100)로 전송한다.
접속 응답을 수신한 사용자 단말(100)이 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)으로 접속시, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)과 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)을 연결한다.
이 경우, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)에서 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)으로 데이터를 이동시키는 게이트웨이 기능을 한다.
인증 서버(320)는 사용자 단말(100)의 인증을 위한 인증 전용 서버로서, 진화된 패킷 데이터 게이트웨이(310)와 연결된다.
인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로부터 수신한 사용자단말(100)의 위치 정보에 기초하여 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 인증한다.
구체적으로, 인증 서버(320)는 사설망(500)으로 접속이 허용된 사용자 단말의 위치 정보를 저장한다. 예를 들면, 인증 서버(320)는 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보를 포함할 수 있다.
인증 서버(320)는 사용자 단말(100)의 위치 정보가 사설망(500)으로 접속이 허용된 사용자 단말의 위치 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료되었음을 알리는 인증 응답을 진화된 패킷 데이터 게이트웨이(310)로 전송한다.
인증 응답을 수신한 진화된 패킷 데이터 게이트웨이(310)는 사설망(500)으로의 접속을 허용하는 접속 응답을 사용자 단말(100)로 전송한다.
패킷 데이터 네트워크 게이트웨이(400)는 3GPP 표준 노드로서, 진화된 패킷 데이터 게이트웨이(310) 및 사설망(500)과 연결된다.
패킷 데이터 네트워크 게이트웨이(400)는 사설망(500)을 위한 전용 P-GW일 수 있다.
사설망(500)은 기업 인트라넷일 수 있다.
이제, 도 2를 참고하여, 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 위치 정보에 기초하여 사용자 단말(100)의 사설망(500)으로의 접속을 허용하는 실시예를 설명한다.
도 2는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.
도 2를 참고하면, 비신뢰망 접속 장치를 통해 사설망으로 접속하려는 사용자는 사용자 단말(100)에 탑재된 전용 어플리케이션(미도시)을 실행하고 로그인한다(S100).
로그인이 성공적으로 수행되면, 사용자 단말(100)은 기 저장된 사용자 단말(100)의 위치 정보를 획득하거나, 사용자가 로그인할 당시 사용자 단말(100)의 위치 정보를 획득한다.
사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 또는 사용자 단말(100)의 GPS 정보 중 적어도 하나를 포함할 수 있다.
사용자 단말(100)은 사용자 단말(100)의 위치 정보를 획득하기 위해, 사용자 단말(100)에 탑재된 위치 어플리케이션을 실행하여 위치 정보를 수집할 수 있다.
사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)로 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500) 접속을 위한 접속 요청을 전송한다(S110).
접속 요청은 단계 S100에서 획득한 사용자 단말(100)의 위치 정보를 포함한다. 구체적으로, 사용자 단말(100)이 접속 요청으로서 접속 요청 메시지를 진화된 패킷 데이터 게이트웨이(310)로 전송하는 경우, 사용자 단말(100)은 접속 요청 메시지의 비어있는 슬롯(slot) 상에 사용자 단말(100)의 위치 정보 데이터를 포함시킬 수 있다.
또한, 접속 요청은 사설망(500)으로 접속하기 위해 사용자 단말(100)의 인증이 필요한지 여부를 알리는 정보를 포함할 수 있다. 이러한 정보는 사용자 단말(100)이 진화된 패킷 데이터 게이트웨이(310) 및 인증 서버(320)와 이미 인증 과정을 수행하였는지 여부를 표시하는 정보를 포함할 수 있다.
진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)의 접속 요청을 분석하여 사용자 단말(100)의 인증이 필요한지 여부를 확인하고, 인증이 필요한 경우 인증 요청을 인증 서버(320)로 전송한다(S120).
이 때, 진화된 패킷 데이터 게이트웨이(310)는 접속 요청에서 사용자 단말(100)의 위치 정보를 추출하고, 추출한 위치 정보를 인증 요청에 포함시킨다.
인증 서버(320)는 인증 요청에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 인증한다(S130).
구체적으로, 인증 서버(320)는 사용자 단말(100)의 위치 정보가 사설망(500)으로 접속이 허용된 지역의 위치 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.
예를 들면, 사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 및/또는 사용자 단말(100)의 GPS 정보를 포함할 수 있다. 이 경우, 인증 서버(320)는 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보를 사설망(500)으로 접속이 허용된 지역의 위치 정보로서 저장할 수 있다.
이 때, 인증 서버(320)는 비신뢰망 접속 장치(200)의 식별 정보 및/또는 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정할 수 있다.
사용자 단말(100)의 인증이 성공적으로 완료되면, 인증 서버(320)는 사용자 단말(100)의 인증이 성공적으로 완료되었음을 알리는 인증 응답을 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S140).
인증 응답을 수신한 진화된 패킷 데이터 게이트웨이(310)는 사설망(500)으로의 접속을 허용하는 접속 응답을 사용자 단말(100)로 전송한다(S150). 이 경우, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)과 패킷 데이터 네트워크 게이트웨이(400)에 연결된 사설망(500)을 연결한다.
도 2에서, 사용자 단말(100)은 사용자 단말(100)의 단말 식별 정보 및 사용자 단말(100)의 사용자 식별 정보를 추가로 획득할 수 있다.
예를 들면, 사용자 단말(100)은 단말 설정 상에 저장된 정보로부터 사용자 단말(100)의 단말 식별 정보를 획득할 수 있다. 또한, 사용자 단말(100)은 사용자 단말(100)의 보안을 위해 저장된 사용자의 생체인식 정보(예를 들면, 지문 등)를 사용자 식별 정보로서 획득할 수 있다.
사용자 단말(100)은 단말 식별 정보 및 사용자 식별 정보를 접속 요청에 추가로 포함시킬 수 있다.
이 경우, 인증 서버(320)는 사설망(500)으로의 접속이 허용된 단말의 단말 식별 정보 및 사용자 식별 정보를 추가로 저장한다.
또한, 인증 서버(320)는 사용자 단말(100)의 단말 식별 정보 및 사용자 식별 정보가 사설망(500)으로의 접속이 허용된 단말의 단말 식별 정보 및 사용자 식별 정보와 각각 대응되는지 추가적으로 확인하여, 위치 정보, 단말 식별 정보 및 사용자 식별 정보가 모두 대응하는 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정할 수 있다.
도 3은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 사설망으로의 접속을 제어하는 방법을 나타낸 흐름도이다.
비록 도 3에서는 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 접속을 제어하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 사용자 단말(100)의 접속을 제어할 수 있다.
도 3을 참고하면, 비신뢰망 접속 장치(200)를 통해 사설망(500)으로 접속하려는 사용자는 사용자 단말(100)에 탑재된 전용 어플리케이션을 실행하고 EAP-MSCHAPv2 인증을 위해 필요한 아이디 및 패스워드를 이용하여 로그인한다(S200).
로그인이 성공적으로 완료되면, 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)로 사설망(500)에 대한 접속 요청을 전송한다(S210).
사용자 단말 접속 제어 시스템(300)이 접속 요청을 수신하면, 사용자 단말(100)과 진화된 패킷 데이터 게이트웨이(310)는 초기 암호화를 수행하기 위해, IKEv2_SA_INIT를 교환한다(S220).
IKEv2_SA_INT 메시지 교환을 통해, IKE 메시지 보호에 필요한 IKE_SA를 생성하며, 교환 이후 모든 메시지는 IKEv2_SA_INIT 교환에서 협상된 암호화 알고리즘 및 키를 사용하여 암호로 보호된다.
IKE_SA를 생성한 후, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함한 IKEv2_AUTH_REQ 메시지를 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S230).
구체적으로, 사용자 단말(100)은 기 저장된 사용자 단말(100)의 위치 정보를 획득하거나, 사용자가 로그인할 당시 사용자 단말(100)의 위치 정보를 획득한다.
사용자 단말(100)의 위치 정보는 비신뢰망 접속 장치(200)의 식별 정보 또는 사용자 단말(100)의 GPS 정보 중 적어도 하나를 포함할 수 있다.
이 후, 사용자 단말(100)은 IKEv2_AUTH_REQ 메시지에 포함된 IDi(Identification - Initiator)의 데이터 포맷을 변경하여 IDi에 사용자 단말(100)의 위치 정보를 추가한다.
구체적으로, EAP-MSCHAPv2에서 IDi값은 NAI 포맷을 따르며, NAI에 대한 넘버링 규정 및 포맷은 3GPP TS23.003에 정의되어 있다. TS23.003에서 정의하는 IDi의 포맷은 다음과 같다.
*<IMSI>nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
사용자 단말(100)은 위와 같은 IDi 포맷에 ACCESS POINT INFORMATION 섹션을 추가하고, 추가된 섹션에 사용자 단말(100)의 위치 정보의 데이터 값을 포함시킨다. 추가 데이터가 포함된 IDi의 포맷은 다음과 같다.
*<IMSI>@LOCATION INFORMATION: nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
추가 데이터가 포함된 IDi의 포맷은 다음의 규칙을 따른다.
추가 데이터 값은 nai앞에 위치한다.
만일 사용자 단말(100)의 접속 정보의 데이터 값이 추가적으로 포함된 경우, 비신뢰망 접속 장치(200)의 식별 정보의 데이터 값과 사용자 단말(100)의 접속 정보의 데이터 값은"_"을 이용하여 구분한다.
추가된 데이터 값은 ":"으로 끝난다.
예를 들면, 사용자 단말(100)의 위치 정보로서 비신뢰망 접속 장치(200)의 식별 정보와 사용자 단말(100)의 GPS 정보가 포함된 경우, IDi의 포맷은 다음과 같은 포맷을 예시로 가질 수 있다.
*<IMSI>@12-45-67-89_3735.0079.6646: nai.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
상기 예시에서 추가된 데이터 값 "12-45-67-89_3735.0079.6646"을 살펴보면, 전단의 "12-45-67-89"는 비신뢰망 접속 장치(200)의 식별 정보에 대한 데이터 값의 예시이며, 후단의 "3735.0079.6646"은 사용자 단말(100)의 GPS 정보에 대한 데이터 값의 예시이다. 사용자 단말(100)이 접속한 비신뢰망 접속 장치(200)의 식별 정보에 대한 데이터 값과 사용자 단말(100)의 GPS 정보에 대한 데이터 값은"_"로 구분한다.
이 후, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함한 IKEv2_AUTH_REQ 메시지를 진화된 패킷 데이터 게이트웨이(310)에 전송한다.
IKEv2_AUTH_REQ 메시지를 수신한 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)의 위치 정보를 추출하고, 사용자 단말(100)의 위치 정보를 포함하는 DER 메시지를 인증 서버(320)로 전송한다(S240).
인증 서버(320)는 DER 메시지에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 인증한다(S250).
구체적으로, 인증 서버(320)는 EAP-MSCHAPv2 인증 방식으로 사용자 단말(100)과 상호 인증 과정을 수행하되, 사용자 단말(100)의 위치 정보와 사설망(500)으로의 접속이 허용된 위치 정보가 대응하는지 추가적으로 결정한다.
만일 사용자 단말(100)의 위치 정보가 사설망(500)으로 접속이 허용된 지역의 위치 정보인 경우, 인증 서버(320)는 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.
사용자 단말(100)의 위치 정보가 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 포함하는 상기 예시에서, 인증 서버(320)는 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 및/또는 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 사설망(500)으로 접속이 허용된 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정할 수 있다.
사용자 단말(100)의 인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 DEA 메시지를 전송한다(S260).
DEA 메시지를 수신한 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)로 IKEv2_AUTH_RESP 메시지를 전송한다(S270). 상기 단계들을 통해, 사용자 단말(100)과 인증 서버(320) 사이에 EAP-MSCHAPv2를 통한 상호 인증 절차가 완료된다.
상호 인증 절차가 완료되면 사용자 단말(100)과 진화된 패킷 데이터 게이트웨이(310) 사이에 IPSec 터널이 생성되고, 진화된 패킷 데이터 게이트웨이(310)와 패킷 데이터 네트워크 게이트웨이(400) 사이에 GRE 터널 또는 GTP 터널이 생성된다(S280).
터널이 생성되면, 사용자 단말(100)은 생성된 터널을 통해 사설망(500)과 데이터를 송수신한다(S290).
이제, 도 4 내지 도 10을 참고하여, 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 위치 정보에 기초하여 사용자 단말(100)의 재인증을 수행하는 실시예를 설명한다.
도 4는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 환경을 도시하는 도면이다.
도 1 내지 도 3에 따라 사용자 단말(100)의 사설망(500)으로의 접속이 허용된 경우에도, 사용자 단말 접속 제어 시스템(300)은 사용자 단말(100)을 재인증함으로써, 사용자 단말(100)의 사설망(500)으로의 접속을 실시간으로 제어할 수 있다.
도 4를 참고하면, 제1 비신뢰망 접속 장치(210)를 통해 사설망(500)으로 접속한 사용자 단말(100)은 사용자가 이동함에 따라 제1 비신뢰망 접속 장치(210)와의 연결을 해제하고, 제2 비신뢰망 접속 장치(220)를 통해 사설망(500)으로 접속할 수 있다.
이 경우, 사용자 단말(100)은 사설망(500)과의 접속을 유지하기 위해 재인증 절차를 거칠 수 있고, 재인증이 성공적으로 완료되면 사용자 단말(100)과 사설망(500)과의 접속이 유지된다.
또한, 사용자 단말(100)은 사용자 단말(100) 또는 인증 서버(320)에 설정된 주기마다 재인증 절차를 거칠 수 있고, 재인증이 성공적으로 완료되면 사용자 단말(100)과 사설망(500)과의 접속이 유지된다.
도 5는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
도 5를 참고하면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)를 통해 사용자 단말(100)로 재인증 요청을 전송한다(S300).
한 실시예에서, 인증 서버(320)는 재인증 요청을 사용자 단말(100)로 주기적으로 전송할 수 있다.
재인증 요청을 수신한 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)를 통해 인증 서버(320)로 사용자 단말(100)의 위치 정보를 포함하는 재인증 응답을 전송한다(S310).
구체적으로, 사용자 단말(100)은 최초 인증 이후 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 사용자 단말(100)의 위치 정보로서 획득할 수 있다.
또한, 사용자 단말(100)은 재인증 응답의 비어있는 슬롯 상에 획득한 위치 정보를 포함시킬 수 있다.
인증 서버(320)는 재인증 응답에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 재인증한다(S320).
예를 들면, 인증 서버(320)는 재인증 응답에서 추출한 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 사용자 단말(100)의 사설망(500)으로의 접속을 유지한다. 이 경우, 사용자 단말(100)은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S330).
도 6은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 사용자 단말의 재인증을 수행하는 다른 방법을 나타낸 흐름도이다.
도 6을 참고하면, 사용자 단말(100)은 진화된 패킷 데이터 게이트웨이(310)를 통해 인증 서버(320)로 사용자 단말(100)의 위치 정보를 포함하는 재인증 요청을 전송한다(S400).
한 실시예에서, 사용자 단말(100)은 주기적으로 재인증 요청을 인증 서버(320)로 전송할 수 있다.
다른 실시예에서, 사용자 단말(100)에 핸드오버가 발생하여 사용자 단말(100)이 다른 비신뢰망 접속 장치에 접속한 경우, 사용자 단말(100)은 접속한 비신뢰망 접속 장치가 변경된 것을 알리는 메시지를 재인증 요청으로서 인증 서버(320)로 전송할 수 있다.
또한, 사용자 단말(100)은 도 5에서 설명한 방법으로 사용자 단말(100)의 위치 정보를 획득하고, 획득한 위치 정보를 재인증 요청에 포함시킬 수 있다.
인증 서버(320)는 도 5에서 설명한 방법으로 사용자 단말(100)의 재인증 절차를 수행한다(S410).
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 사용자 단말로 사설망(500)으로의 접속이 유지됨을 알리는 재인증 응답을 전송한다(S420). 이 경우, 사용자 단말(100)은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S430).
도 7은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 EAP-MSCHAPv2 인증 방식을 통해 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
비록 도 7에서는 사용자 단말 접속 제어 시스템(300)이 사용자 단말(100)의 재인증을 수행하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 사용자 단말(100)의 재인증을 수행할 수 있다.
도 7을 참고하면, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함하는 IKEv2 INFORMATIONAL Exchange Request 메시지를 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S500).
구체적으로, 사용자 단말(100)은 최초 인증 이후 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 사용자 단말(100)의 위치 정보로서 획득할 수 있다.
이후, 사용자 단말(100)은 획득한 위치 정보를 IKEv2 INFORMATIONAL Exchange Request 메시지에 포함시킨다.
구체적으로, 사용자 단말 접속 제어 시스템(300)이 IKE 프로토콜을 이용하는 경우, IKEv2의 공급자 아이디 페이로드(Vendor ID Payload)는 IKEv2의 모든 메시지에 포함될 수 있다. 따라서, 사용자 단말(100)은 사용자 단말(100)의 식별 정보의 데이터 포맷을 변경하여 사용자 단말(100)의 식별 정보에 사용자 단말(100)의 업데이트된 위치 정보를 추가할 수 있다. 나아가, 사용자 단말(100)은 사용자 단말(100)의 식별 정보를 공급자 아이디 페이로드에 실어 IKEv2 정보 교환 요청 메시지에 포함시킬 수 있다.
진화된 패킷 데이터 게이트웨이(310)는 IKEv2 INFORMATIONAL Exchange Request 메시지에서 사용자 단말(100)의 위치 정보를 추출하고, 추출된 위치 정보가 포함된 Re-Auth-Request 메시지를 인증 서버(320)로 전송한다(S510).
인증 서버(320)는, 도 5에서 설명한 방법으로, Re-Auth-Request 메시지에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)이 사설망(500)으로 접속이 허용된 단말인지 재인증한다(S520).
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 Re-Auth-Answer 메시지를 전송한다(S530).
진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)로 IKEv2 INFORMATIONAL Exchange Answer 메시지를 전송한다(S540).
이 경우, 사용자 단말은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S550).
도 8은 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 핸드오버 발생시 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
사용자 단말(100)이 새로운 비신뢰망 접속 장치를 통해 사설망으로 접속하는 경우, MOBIKE에 의해 핸드오버가 발생한다(S600).
이 경우, 사용자 단말(100)은 사용자 단말(100)의 위치 정보를 획득하고, 도 7에서 설명한 방법으로 획득한 위치 정보를 MOBIKE 메시지에 포함시킨다.
사용자 단말(100)의 위치 정보는 새로운 비신뢰망 접속 장치의 식별 정보 또는 최초 인증 이후 사용자 단말(100)의 GPS 정보를 포함할 수 있다.
사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함하는 MOBIKE 메시지를 재접속 요청으로서 진화된 패킷 데이터 게이트웨이(310)로 전송한다(S610).
진화된 패킷 데이터 게이트웨이(310)는 MOBIKE 메시지에서 사용자 단말(100)의 위치 정보를 추출하고, 사용자 단말(100)의 위치 정보를 포함하는 Re-AUTH-Request 메시지를 인증 서버(320)로 전송한다(S620).
인증 서버(320)는 Re-AUTH-Request 메시지에 포함된 사용자 단말(100)의 위치 정보에 기초하여, 사용자 단말(100)의 재인증 절차를 수행한다(S630).
구체적으로, 인증 서버(320)는 새로운 비신뢰망 접속 장치의 식별 정보 또는 최초 인증 이후 사용자 단말(100)의 GPS 정보가 사설망(500)으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 GPS 정보인 경우, 사용자 단말(100)의 인증이 성공적으로 완료된 것으로 결정한다.
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 Re-AUTH-Answer 메시지를 전송한다(S640).
이 경우, 사용자 단말(100)이 새로운 비신뢰망 접속 장치에 대해 사용자 단말(100)과 진화된 패킷 데이터 게이트웨이(310) 사이에 IPSec 터널이 생성되고, 진화된 패킷 데이터 게이트웨이(310)와 패킷 데이터 네트워크 게이트웨이(400) 사이에 GRE 터널 또는 GTP 터널이 생성된다(S650). 상기 과정을 통해, 사용자 단말(100)은 사설망(500)에 재접속한다.
터널이 생성되면, 사용자 단말(100)은 생성된 터널을 통해 사설망(500)과 데이터를 송수신한다(S660).
도 9는 본 발명의 한 실시예에 따른 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하는 환경을 도시하는 도면이다.
도 9를 참고하면, 고객 관리 서버(600)는 사용자 단말(100) 및 인증 서버(320)와 데이터 전송 프로토콜을 통해 연결된다. 예를 들면, 고객 관리 서버(600)는 사용자 단말(100) 및 인증 서버(320)와 IKEv2 프로토콜과 같은 인증 프로토콜이 아닌 HTTPS 프로토콜을 통해 연결될 수 있다.
도 10은 사용자 단말 접속 제어 시스템이 고객 관리 서버와 연동하여 사용자 단말의 재인증을 수행하는 방법을 나타낸 흐름도이다.
사용자 단말(100)은 사용자 단말(100)의 위치 정보를 포함하는 재인증 요청을 고객 관리 서버(600)를 통해 인증 서버(320)로 전송한다(S700).
구체적으로, 사용자 단말(100)은 최초 인증 이후 사용자 단말(100)이 접속한 비신뢰망 접속 장치의 식별 정보 또는 사용자 단말(100)의 GPS 정보를 사용자 단말(100)의 위치 정보로서 획득할 수 있다.
또한, 사용자 단말(100)은 도 5에서 설명한 방법으로, 획득한 위치 정보를 재인증 응답에 포함시킬 수 있다.
고객 관리 서버(600)는 사용자 단말(100)의 위치 정보를 저장함으로써, 사용자 단말(100)의 실시간 이용 정보를 저장할 수 있다.
인증 서버(320)는 도 5에서 설명한 방법으로 사용자 단말(100)의 재인증 절차를 수행한다(S710).
사용자 단말(100)의 재인증이 성공적으로 완료되면, 인증 서버(320)는 진화된 패킷 데이터 게이트웨이(310)로 재인증 성공을 알리는 재인증 응답 메시지를 전송한다(S720). 이 경우, 진화된 패킷 데이터 게이트웨이(310)는 사용자 단말(100)과 사설망(500)의 접속을 유지하며, 사용자 단말(100)은 기존에 생성된 터널을 통해 사설망(500)과 데이터를 계속 송수신한다(S730).
본 발명에 따르면, 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보에 기초하여 사용자 단말의 인증/재인증 과정을 수행함으로써, 더욱 정교한 보안 솔루션을 제공할 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (15)

  1. 사용자 단말 접속 제어 시스템이 사용자 단말의 사설망으로의 접속을 제어하는 방법으로서,
    비신뢰망 접속 장치에 접속한 사용자 단말로부터, 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway, P-GW)에 연결된 사설망으로 접속하기 위한 접속 요청을 수신하는 단계,
    상기 접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 단계,
    상기 인증이 성공적으로 완료되면, 상기 패킷 데이터 네트워크 게이트웨이를 통해 상기 사용자 단말이 상기 사설망으로 접속하도록 허용하는 단계, 그리고
    상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말에 대해 재인증 절차를 수행하여, 상기 사용자 단말의 상기 사설망으로의 접속을 제어하는 단계
    를 포함하는 사용자 단말 접속 제어 방법.
  2. 제1항에서,
    상기 인증하는 단계는
    상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.
  3. 제2항에서,
    상기 사용자 단말의 위치 정보는
    상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고,
    상기 사설망으로 접속이 허용된 지역의 위치 정보는
    상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함하는 사용자 단말 접속 제어 방법.
  4. 제1항에서,
    상기 접속을 제어하는 단계는
    상기 사용자 단말로 재인증 요청을 전송하는 단계,
    상기 사용자 단말로부터 상기 재인증 요청에 대응하는 재인증 응답을 수신하는 단계,
    상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고
    상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계
    를 포함하는 사용자 단말 접속 제어 방법.
  5. 제4항에서,
    상기 재인증 응답에서 추출한 상기 사용자 단말의 위치 정보는
    상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며,
    상기 재인증하는 단계는
    상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.
  6. 제1항에서,
    상기 접속을 제어하는 단계는
    상기 사용자 단말로부터 재인증 요청을 수신하는 단계,
    상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고
    상기 재인증이 성공적으로 완료되면, 상기 사용자 단말의 상기 사설망으로의 접속을 유지하도록 하는 단계
    를 포함하는 사용자 단말 접속 제어 방법.
  7. 제6항에서,
    상기 재인증 요청에서 추출한 상기 사용자 단말의 위치 정보는
    상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하며,
    상기 재인증하는 단계는
    상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.
  8. 제1항에서,
    상기 접속을 제어하는 단계는
    상기 비신뢰망 접속 장치와는 다른 새로운 비신뢰망 접속 장치에 접속한 사용자 단말로부터, 상기 사설망으로 재접속하기 위한 재접속 요청을 수신하는 단계,
    상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보에 기초하여, 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하는 단계, 그리고
    상기 재인증이 성공적으로 완료되면, 상기 사용자 단말이 상기 사설망으로 재접속하도록 하는 단계
    를 더 포함하는 사용자 단말 접속 제어 방법.
  9. 제8항에서,
    상기 재접속 요청에서 추출한 상기 사용자 단말의 위치 정보는
    상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보를 포함하며,
    상기 재인증하는 단계는
    상기 새로운 비신뢰망 접속 장치의 식별 정보 또는 상기 인증 이후 상기 사용자 단말의 GPS 정보가 상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보인 경우, 상기 사용자 단말의 인증이 성공적으로 완료된 것으로 결정하는 사용자 단말 접속 제어 방법.
  10. 사용자 단말 접속 제어 시스템으로서,
    비신뢰망 접속 장치에 접속한 사용자 단말로부터 패킷 데이터 네트워크 게이트웨이에 연결된 사설망 접속을 위한 접속 요청을 수신하고, 상기 접속 요청에서 상기 사용자 단말의 위치 정보를 추출하는 진화된 패킷 데이터 게이트웨이(Evolved Packet Data Gateway, ePDG), 그리고
    상기 진화된 패킷 데이터 게이트웨이로부터 상기 사용자 단말의 위치 정보를 포함하는 인증 요청을 수신하고, 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 인증하는 인증 서버를 포함하며,
    상기 인증이 성공적으로 완료되면 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망을 연결하고, 상기 사용자 단말은 상기 사설망과의 접속을 유지하기 위해 상기 사용자 단말의 위치 정보에 기초하여 상기 인증 서버와 재인증 절차를 수행하는 사용자 단말 접속 제어 시스템.
  11. 제10항에서,
    상기 인증 서버는 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 인증 응답을 전송하는 사용자 단말 접속 제어 시스템.
  12. 제11항에서,
    상기 사용자 단말의 위치 정보는
    상기 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고,
    상기 사설망으로 접속이 허용된 지역의 위치 정보는
    상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함하는 사용자 단말 접속 제어 시스템.
  13. 제10항에서,
    고객 관리 서버를 더 포함하고,
    상기 사용자 단말은 상기 고객 관리 서버를 통해 재인증 요청을 상기 인증 서버로 전송하며,
    상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보에 기초하여 상기 사용자 단말이 상기 사설망으로 접속이 허용된 단말인지 재인증하고, 상기 재인증이 성공적으로 완료되면 상기 진화된 패킷 데이터 게이트웨이로 재인증 응답을 전송하고,
    상기 재인증 응답을 수신하면, 상기 진화된 패킷 데이터 게이트웨이는 상기 사용자 단말과 상기 사설망의 접속을 유지하도록 하는 사용자 단말 접속 제어 시스템.
  14. 제13항에서,
    상기 인증 서버는 상기 재인증 요청에 포함된 상기 사용자 단말의 위치 정보가 상기 사설망으로 접속이 허용된 지역의 위치 정보인 경우, 상기 진화된 패킷 데이터 게이트웨이로 상기 재인증 응답을 전송하는 사용자 단말 접속 제어 시스템.
  15. 제14항에서,
    상기 사용자 단말의 위치 정보는
    상기 인증 이후 상기 사용자 단말이 접속한 비신뢰망 접속 장치의 식별 정보 또는 상기 사용자 단말의 GPS 정보를 포함하고,
    상기 사설망으로 접속이 허용된 지역의 위치 정보는
    상기 사설망으로 접속이 허용된 비신뢰망 접속 장치의 식별 정보 또는 상기 사설망으로 접속이 허용된 GPS 정보를 포함하는 사용자 단말 접속 제어 시스템.
KR1020170134866A 2017-06-27 2017-10-17 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법 Active KR102000717B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170080910 2017-06-27
KR20170080910 2017-06-27

Publications (2)

Publication Number Publication Date
KR20190001485A KR20190001485A (ko) 2019-01-04
KR102000717B1 true KR102000717B1 (ko) 2019-07-16

Family

ID=65018122

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170134866A Active KR102000717B1 (ko) 2017-06-27 2017-10-17 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102000717B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102672637B1 (ko) * 2023-11-14 2024-06-05 주식회사 스타버킷 높은 보안성을 가지는 가상사설망 서비스 제공 시스템
CN119172106A (zh) * 2024-08-19 2024-12-20 中国联合网络通信集团有限公司 基于时空管控的网络通信方法、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101629006B1 (ko) * 2015-07-03 2016-06-13 주식회사 케이티 사설망 서비스 제공방법 및 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101629006B1 (ko) * 2015-07-03 2016-06-13 주식회사 케이티 사설망 서비스 제공방법 및 시스템

Also Published As

Publication number Publication date
KR20190001485A (ko) 2019-01-04

Similar Documents

Publication Publication Date Title
EP3545702B1 (en) User identity privacy protection in public wireless local access network, wlan, access
US10848970B2 (en) Network authentication method, and related device and system
US9306748B2 (en) Authentication method and apparatus in a communication system
CN101983517B (zh) 演进分组系统的非3gpp接入的安全性
EP3408988B1 (en) Method and apparatus for network access
KR101170191B1 (ko) 비승인 모바일 액세스 시그널링에 대한 개선된 가입자 인증
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
KR100494558B1 (ko) 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템
US10425448B2 (en) End-to-end data protection
CN107529160B (zh) 一种VoWiFi网络接入方法和系统、终端及无线访问接入点设备
EP3175639B1 (en) Authentication during handover between two different wireless communications networks
EP1770940A1 (en) Method and apparatus for establishing a communication between a mobile device and a network
US11848926B2 (en) Network authentication
EP3649760A1 (en) Secure communications using network access identity
WO2015100974A1 (zh) 一种终端认证的方法、装置及系统
EP1760945A2 (en) Wireless LAN security system and method
CN104683296A (zh) 安全认证方法和系统
US12267672B2 (en) Providing UE capability information to an authentication server
KR102000717B1 (ko) 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법
CN112423299A (zh) 一种基于身份认证进行无线接入的方法及系统
KR101338487B1 (ko) I-wlan에서 인증 서버 및 그의 접속 인증 방법
KR101480706B1 (ko) 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법
GB2417856A (en) Wireless LAN Cellular Gateways
KR101361198B1 (ko) I-wlan에서 인증 서버 및 그의 접속 인증 방법
CN118573385A (zh) 通信方法和通信装置

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20171017

A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20180406

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20171017

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20181129

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20190527

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20190710

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20190710

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20220624

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20220624

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20230628

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20240625

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20250625

Start annual number: 7

End annual number: 7