[go: up one dir, main page]

KR102178884B1 - System and method for performing a private network access of a terminal through application - Google Patents

System and method for performing a private network access of a terminal through application Download PDF

Info

Publication number
KR102178884B1
KR102178884B1 KR1020180018822A KR20180018822A KR102178884B1 KR 102178884 B1 KR102178884 B1 KR 102178884B1 KR 1020180018822 A KR1020180018822 A KR 1020180018822A KR 20180018822 A KR20180018822 A KR 20180018822A KR 102178884 B1 KR102178884 B1 KR 102178884B1
Authority
KR
South Korea
Prior art keywords
terminal
network
epdg
internal network
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020180018822A
Other languages
Korean (ko)
Other versions
KR20190001897A (en
Inventor
조원창
김영환
이진근
정치욱
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20190001897A publication Critical patent/KR20190001897A/en
Application granted granted Critical
Publication of KR102178884B1 publication Critical patent/KR102178884B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/18Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

단말을 사내망으로 접속시키는 시스템으로서, 사내망 접속 어플리케이션이 실행되면, 저장된 ePDG 식별 정보에 대응하는 ePDG(Evolved Packet Data Gateway)로 사내망 접속 요청을 전송하는 단말, 그리고 상기 사내망 접속 요청을 수신하면, 상기 사내망 접속 요청에 포함된 상기 단말의 가입자 정보에 기초하여 상기 단말의 사내망 접속 요청을 허가하고 상기 사내망에 연결된 P-GW와 세션을 설정하는 ePDG를 포함하며, 상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 단말은 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속한다.As a system for connecting a terminal to an internal network, when the internal network access application is executed, a terminal that transmits an internal network connection request to the ePDG (Evolved Packet Data Gateway) corresponding to the stored ePDG identification information, and receives the internal network connection request Then, based on the subscriber information of the terminal included in the internal network access request, the terminal includes an ePDG that allows the internal network access request of the terminal and establishes a session with the P-GW connected to the corporate network, and the ePDG and the When a session is created between P-GWs, the terminal accesses the corporate network through the ePDG and the P-GW.

Figure R1020180018822
Figure R1020180018822

Description

사내망 접속 어플리케이션을 통해 단말의 사내망 접속을 수행하는 시스템 및 방법{System and method for performing a private network access of a terminal through application}System and method for performing a private network access of a terminal through application

본 발명은 사내망 접속 어플리케이션을 통해 단말의 사내망 접속을 수행하는 기술에 관한 것이다.The present invention relates to a technology for accessing a terminal to an internal network through an internal network access application.

최근 스마트폰 등과 같은 이동통신단말을 통한 업무 수행이 기하급수적으로증가함에 따라, 스마트폰을 기업 서비스에 활용하고자 하는 요구가 증가하고 있다. 이에 따라, LTE 망 또는 WiFi 망을 통해 기업 서비스를 제공하는 사내망에 접속하고, 기존에 특정한 망으로 접속 중인 이동통신단말의 통신이 망 전환시에도 끊기지 않도록 하는 기술이 활용되고 있다.Recently, as business performance through mobile communication terminals such as smartphones has increased exponentially, there is an increasing demand to utilize smartphones for corporate services. Accordingly, a technology that connects to an in-house network providing corporate services through an LTE network or a WiFi network and prevents communication of a mobile communication terminal connected to a specific network from being disconnected even when the network is switched is being used.

한편, 종래 기술은 기존에 접속 중인 망에서 다른 사업자에 의해 서비스되는 사내망으로 접속시, 사내망에 접속하기 위한 정보를 확인할 수 없어 사내망 접속이 어려운 문제가 있었다.Meanwhile, in the prior art, when connecting from an existing network to an internal network serviced by another service provider, information for accessing the internal network cannot be checked, making it difficult to access the corporate network.

본 발명이 해결하고자 하는 과제는 사내망 접속을 요청할 ePDG 정보를 사내망 접속 어플리케이션을 통해 이동통신단말에 제공하고, 이동통신단말이 제공받은 ePDG 정보에 대응하는 ePDG를 통해 사내망으로 접속하도록 하는 시스템 및 방법을 제공하는 것이다.The problem to be solved by the present invention is a system that provides ePDG information for requesting internal network access to a mobile communication terminal through an internal network access application, and allows the mobile communication terminal to access the internal network through ePDG corresponding to the provided ePDG information And to provide a method.

본 발명의 일 실시예에 따른 단말을 사내망으로 접속시키는 시스템은 사내망 접속 어플리케이션이 실행되면, 저장된 ePDG(Evolved Packet Data Gateway) 식별 정보에 대응하는 ePDG로 사내망 접속 요청을 전송하는 단말, 그리고 상기 사내망 접속 요청을 수신하면, 상기 사내망 접속 요청에 포함된 상기 단말의 가입자 정보에 기초하여 상기 단말의 사내망 접속 요청을 허가하고 상기 사내망에 연결된 P-GW(Packet data network Gateway)와 세션을 설정하는 ePDG를 포함하며, 상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 단말은 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속한다.In the system for connecting a terminal to an internal network according to an embodiment of the present invention, when an internal network access application is executed, a terminal that transmits an internal network connection request to an ePDG corresponding to the stored evolved packet data gateway (ePDG) identification information, and Upon receiving the internal network access request, the terminal permits the internal network access request based on the subscriber information of the terminal included in the internal network access request, and a packet data network gateway (P-GW) connected to the corporate network It includes an ePDG for establishing a session, and when a session is created between the ePDG and the P-GW, the terminal accesses the corporate network through the ePDG and the P-GW.

상기 단말은 상기 사내망 접속 어플리케이션이 최초로 실행되면, 상기 사내망에 대한 정보를 저장하는 관리 서버로부터 상기 ePDG 식별 정보를 수신한다.When the internal network access application is first executed, the terminal receives the ePDG identification information from a management server that stores information on the internal network.

상기 가입자 정보는 상기 단말의 IMSI(International Mobile Station Identity), MSISDN(Mobile Station International ISDN Number) 또는 가입자 아이디 및 패스워드 중 적어도 하나를 포함한다.The subscriber information includes at least one of an International Mobile Station Identity (IMSI), a Mobile Station International ISDN Number (MSISDN), or a subscriber ID and password of the terminal.

상기 사내망 접속 요청은 상기 단말이 LTE 망을 사용하여 상기 사내망에 접속하였다가 WiFi 망으로 접속을 변경하는 경우, 상기 LTE 망에서 사용한 IP 주소를 더 포함하고, 상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 단말은 상기 IP 주소를 사용하여 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속한다.The internal network access request further includes an IP address used in the LTE network when the terminal accesses the corporate network using the LTE network and then changes the connection to the WiFi network, and between the ePDG and the P-GW When a session is created in the terminal, the terminal accesses the corporate network through the ePDG and the P-GW using the IP address.

상기 ePDG는 인증 서버로부터 상기 가입자 정보에 대한 인증 완료 메시지를 수신하면, 상기 단말의 사내망 접속 요청을 허가한다.When the ePDG receives an authentication completion message for the subscriber information from the authentication server, the ePDG permits the terminal to access the corporate network.

상기 ePDG는 상기 단말의 가입자 정보에 기초하여 상기 단말이 가입한 사내망에 연결된 P-GW를 식별하고, 상기 식별된 P-GW와 세션을 설정한다.The ePDG identifies a P-GW connected to an internal network to which the terminal subscribes based on subscriber information of the terminal, and establishes a session with the identified P-GW.

본 발명의 일 실시예에 따른 단말이 사내망으로 접속하는 방법은 단말에 설치된 사내망 접속 어플리케이션이 실행되면, 저장된 ePDG 식별 정보에 대응하는 ePDG로 사내망 접속 요청을 전송하는 단계, 그리고 상기 사내망 접속 요청에 따라 상기 ePDG와 상기 사내망에 연결된 P-GW 사이에 세션이 생성되면, 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속하는 단계를 포함한다.A method for a terminal to access an internal network according to an embodiment of the present invention includes transmitting an internal network access request to an ePDG corresponding to the stored ePDG identification information when an internal network access application installed in the terminal is executed, and the internal network And when a session is created between the ePDG and the P-GW connected to the corporate network according to a connection request, accessing the corporate network through the ePDG and the P-GW.

상기 단말이 사내망으로 접속하는 방법은 상기 사내망 접속 요청을 전송하는 단계 이전에, 상기 사내망 접속 어플리케이션이 최초로 실행되면, 상기 사내망에 대한 정보를 저장하는 관리 서버로부터 상기 ePDG 식별 정보를 수신하는 단계를 더 포함한다.The method of accessing the terminal to the corporate network is to receive the ePDG identification information from a management server that stores information on the corporate network when the internal network access application is first executed before the step of transmitting the corporate network access request. It further includes the step of.

상기 사내망 접속 요청은 상기 단말이 LTE 망을 사용하여 상기 사내망에 접속하였다가 WiFi 망으로 접속을 변경하는 경우, 상기 LTE 망에서 사용한 IP 주소를 포함하고, 상기 사내망에 접속하는 단계는 상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 IP 주소를 사용하여 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속한다.The internal network connection request includes the IP address used in the LTE network when the terminal accesses the corporate network using the LTE network and then changes the connection to the WiFi network, and the step of accessing the corporate network includes the When a session is created between the ePDG and the P-GW, the IP address is used to access the corporate network through the ePDG and the P-GW.

본 발명의 일 실시예에 따른 사내망 접속 시스템에서 ePDG(Evolved Packet Data Gateway)의 동작 방법은 단말로부터 사내망 접속 요청을 수신하는 단계, 상기 사내망 접속 요청에 포함된 상기 단말의 가입자 정보에 기초하여, 상기 단말의 사내망 접속 요청을 허가하는 단계, 그리고 상기 사내망에 연결된 P-GW와 세션을 설정하는 단계를 포함한다.The operating method of an evolved packet data gateway (ePDG) in an internal network access system according to an embodiment of the present invention includes the steps of receiving an internal network access request from a terminal, based on subscriber information of the terminal included in the internal network access request. And allowing the terminal to access the corporate network, and establishing a session with the P-GW connected to the corporate network.

상기 가입자 정보는 상기 단말의 IMSI, MSISDN 또는 가입자 아이디 및 패스워드 중 적어도 하나를 포함한다.The subscriber information includes at least one of IMSI, MSISDN, or subscriber ID and password of the terminal.

상기 단말의 사내망 접속 요청을 허가하는 단계는 상기 단말의 가입자 정보를 인증 서버로 전송하는 단계, 그리고 상기 인증 서버로부터 상기 가입자 정보에 대한 인증 완료 메시지를 수신하면, 상기 단말의 사내망 접속 요청을 허가하는 단계를 포함한다.The step of allowing the terminal to access the corporate network includes: transmitting subscriber information of the terminal to an authentication server, and upon receiving an authentication completion message for the subscriber information from the authentication server, the terminal's internal network access request It includes the step of authorizing.

상기 사내망에 연결된 P-GW와 세션을 설정하는 단계는 상기 단말의 가입자 정보에 기초하여 상기 단말이 가입한 사내망에 연결된 P-GW를 식별하는 단계, 상기 식별된 P-GW로 세션 생성 요청 메시지를 전송하는 단계, 그리고 상기 식별된 P-GW로부터 세션 생성 응답 메시지를 수신하면, 상기 P-GW와 세션을 설정하는 단계를 포함한다.The step of establishing a session with a P-GW connected to the corporate network includes: identifying a P-GW connected to the corporate network to which the terminal has subscribed based on subscriber information of the terminal, and requesting to create a session with the identified P-GW Transmitting a message, and upon receiving a session creation response message from the identified P-GW, establishing a session with the P-GW.

본 발명에 따르면, 사용자가 사내망으로 접속하는데 있어, 펌웨어의 도움 없이 사내망 접속 어플리케이션을 통해 간편하게 사내망으로 접속할 수 있다.According to the present invention, when a user connects to an internal network, it is possible to easily access the internal network through an internal network access application without the help of firmware.

본 발명에 따르면, 무선네트워크 환경에 맞게 자동으로 망 전환이 수행되는바, 망 전환을 위한 전용 단말 개발이 필요 없어 단말 종속성에서 자유로울 수 있다.According to the present invention, since network switching is automatically performed according to a wireless network environment, there is no need to develop a dedicated terminal for network switching, so that the terminal dependency can be free.

본 발명에 따르면, 기존에 서비스되고 있는 사내망에서도 다른 사업자에 의한 접근을 허용할 수 있는바, 기존에 서비스되고 있는 사내망에 대한 사업지위를 유지할 수 있다.According to the present invention, it is possible to allow access by other operators even in an existing in-house network, and thus, it is possible to maintain a business position with respect to the existing in-house network.

도 1은 본 발명의 한 실시예에 따른 사내망 접속 어플리케이션을 통해 단말의 사내망 접속을 수행하는 시스템이 구현되는 환경을 도시한 도면이다.
도 2는 본 발명의 한 실시예에 따른 단말이 사내망으로 접속하기 위한 준비과정을 도시한 도면이다.
도 3은 본 발명의 한 실시예에 따른 단말이 사내망으로 접속하기 위한 다른준비 과정을 도시한 도면이다.
도 4는 본 발명의 한 실시예에 따른 단말이 도 2 또는 도 3에서 설치된 사내망 접속 어플리케이션을 통해 사내망으로 초기 접속하는 방법을 도시한 도면이다.
도 5는 본 발명의 한 실시예에 따른 단말이 도 2 또는 도 3에서 설치된 사내망 접속 어플리케이션을 통해 EAP-MSCHAPv2 인증 방식을 이용하여 사내망으로 초기 접속 방법을 도시한 도면이다.
도 6은 본 발명의 한 실시예에 따른 LTE 망에 접속 중인 단말이 망을 전환하여 WiFi 망을 통해 사내망으로 접속하는 방법을 도시한 도면이다.
도 7은 본 발명의 한 실시예에 따른 LTE 망에 접속 중인 단말이 망을 전환하여 EAP-MSCHAPv2 인증 방식을 이용하여 WiFi 망을 통해 사내망으로 접속하는 방법을 도시한 도면이다.
도 8은 본 발명의 한 실시예에 따른 WiFi 망에 접속 중인 단말이 망을 전환하여 LTE 망을 통해 사내망으로 접속하는 방법을 도시한 도면이다.
도 9는 본 발명의 한 실시예에 따른 WiFi 망에 접속 중인 단말이 망을 전환하여 LTE 망을 통해 사내망으로 접속하는 다른 방법을 도시한 도면이다.
도 10 및 도 11은 본 발명의 한 실시예에 따른 WiFi 망에 접속 중인 단말이 다른 WiFi망으로 전환하여 사내망으로 접속하는 구조 및 방법을 도시한 도면이다.
도 12 내지 도 14는 본 발명의 한 실시예에 따른 사내망 접속 어플리케이션이 기 설정된 세션을 해제하는 과정을 수행하는 방법을 도시한 도면이다.1 is a diagram illustrating an environment in which a system for accessing an internal network of a terminal through an internal network access application according to an embodiment of the present invention is implemented.
2 is a diagram showing a preparation process for a terminal to access an internal network according to an embodiment of the present invention.
3 is a diagram showing another preparation process for a terminal to access an internal network according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating a method of initially connecting a terminal to an internal network through an internal network access application installed in FIG. 2 or 3 according to an embodiment of the present invention.
FIG. 5 is a diagram illustrating a method of initial access to an internal network by a terminal according to an embodiment of the present invention using an EAP-MSCHAPv2 authentication method through an internal network access application installed in FIG. 2 or 3.
6 is a diagram illustrating a method for a terminal accessing an LTE network according to an embodiment of the present invention to switch a network to access an internal network through a WiFi network.
7 is a diagram illustrating a method for a terminal accessing an LTE network according to an embodiment of the present invention to switch a network and access an internal network through a WiFi network using an EAP-MSCHAPv2 authentication method.
8 is a diagram illustrating a method for a terminal accessing a WiFi network according to an embodiment of the present invention to switch a network to access an internal network through an LTE network.
FIG. 9 is a diagram illustrating another method for a terminal accessing a WiFi network according to an embodiment of the present invention to switch a network to access an internal network through an LTE network.
10 and 11 are diagrams illustrating a structure and a method for a terminal connected to a WiFi network to switch to another WiFi network and access the internal network according to an embodiment of the present invention.
12 to 14 are diagrams illustrating a method of performing a process of releasing a preset session by an internal network access application according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art can easily implement the embodiments of the present invention. However, the present invention may be implemented in various different forms and is not limited to the embodiments described herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and similar reference numerals are assigned to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part "includes" a certain component, it means that other components may be further included rather than excluding other components unless otherwise stated. In addition, terms such as "... unit", "... group", and "module" described in the specification mean units that process at least one function or operation, which can be implemented by hardware or software or a combination of hardware and software. have.

도 1은 본 발명의 한 실시예에 따른 사내망 접속 어플리케이션을 통해 단말의 사내망 접속을 수행하는 시스템이 구현되는 환경을 도시한 도면이다.1 is a diagram illustrating an environment in which a system for accessing an internal network of a terminal through an internal network access application according to an embodiment of the present invention is implemented.

도 1을 참고하면, 단말(100)은 기지국(210)에 연결될 수 있다. 기지국(210)은 S-GW(Serving Gateway)(220)에 연결되며, S-GW(220)는 사내망(270)에 연결된 P-GW(Packet data network Gateway)(230)에 연결된다.Referring to FIG. 1, the terminal 100 may be connected to the base station 210. The base station 210 is connected to a serving gateway (S-GW) 220, and the S-GW 220 is connected to a packet data network gateway (P-GW) 230 connected to the internal network 270.

즉, 단말(100)이 기지국(210)에 연결되면, 단말(100)은 기지국(210), S-GW(220) 및 P-GW(230)를 통해 LTE 망을 이용하여 사내망(270)에 접속한다. 상기 구성요소들과 관련하여, LTE 통신 시스템에서 사용되는 통신 기술, 네트워크 장치 구성들의 개념이 본 발명의 실시예에서 참조될 수 있다.That is, when the terminal 100 is connected to the base station 210, the terminal 100 uses the LTE network through the base station 210, the S-GW 220 and the P-GW 230, and the internal network 270 Connect to With respect to the above components, the concept of communication technology and network device configurations used in the LTE communication system may be referred to in an embodiment of the present invention.

단말(100)은 PDA(Personal Digital Assistant), 셀룰러폰, PCS(Personal Communication Service)폰, 핸드 헬드 PC(Hand-Held PC), GSM(Global System for Mobile)폰, WCDMA(Wideband CDMA)폰, CDMA-2000폰, MBS(Mobile Broadband System)폰 등과 같이 LTE 망 또는 WiFi 망을 이용하여 사내망(270)으로 접속하는 이동 통신 단말을 지칭할 수 있다.The terminal 100 is a PDA (Personal Digital Assistant), a cellular phone, a PCS (Personal Communication Service) phone, a handheld PC (Hand-Held PC), a GSM (Global System for Mobile) phone, a WCDMA (Wideband CDMA) phone, and a CDMA. -It may refer to a mobile communication terminal connected to the corporate network 270 using an LTE network or a WiFi network, such as a 2000 phone or a Mobile Broadband System (MBS) phone.

기지국(210)은 LTE 기지국을 지칭하며, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.The base station 210 refers to an LTE base station, and may include all or part of functions such as an access point, a radio access station, a node B, a transceiver base station, and an MMR-BS.

S-GW(220)는 E-UTRAN에 포함된 eNB와 다른 기지국 간, 3GPP 네트워크와 EUTRAN 간에 단말의 이동성을 관리할 수 있으며, 설정된 세션에 따라 페이로드 트래픽(payload traffic)을 처리하는 세션 제어 기능을 수행할 수 있다.The S-GW 220 can manage the mobility of the terminal between the eNB and other base stations included in the E-UTRAN, between the 3GPP network and the EUTRAN, and a session control function that processes payload traffic according to the established session. Can be done.

P-GW(230)는 단말(100)을 사내망(270)과 연결해주고 IP 라우팅 및 포워딩 기능을 제공할 수 있으며, 패킷 필터링을 제공할 수 있다. 또한, P-GW(230)는 단말(100)의 IP 주소를 할당할 수 있다.The P-GW 230 may connect the terminal 100 with the corporate network 270, provide IP routing and forwarding functions, and provide packet filtering. In addition, the P-GW 230 may allocate an IP address of the terminal 100.

사내망(270)은 기업 사내망, 전용망, 전용 네트워크, 인트라넷(Intranet)을 지칭할 수 있다. 사내망(270)은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공한다.The corporate network 270 may refer to a corporate corporate network, a dedicated network, a dedicated network, and an intranet. The corporate network 270 provides a mobile communication service with limited external access to a specific subscriber.

또한, 단말(100)은 액세스 포인트(Access Point)(240)에 연결될 수도 있다. 액세스 포인트(240)는 ePDG(Evolved Packet Data Gateway)(250)에 연결되며, ePDG(250)는 인증 서버(260) 및 사내망(270)에 연결된 P-GW(Packet data network Gateway)(230)에 연결된다.In addition, the terminal 100 may be connected to an access point 240. The access point 240 is connected to the evolved packet data gateway (ePDG) 250, and the ePDG 250 is a packet data network gateway (P-GW) 230 connected to the authentication server 260 and the corporate network 270 Is connected to

즉, 단말(100)이 액세스 포인트(240)에 연결되면, 단말(100)은 액세스 포인트(240), ePDG(250) 및 P-GW(230)를 통해 WiFi 망을 이용하여 사내망(270)에 접속한다. 상기 구성요소들과 관련하여, WiFi 통신 시스템에서 사용되는 통신 기술, 네트워크 장치 구성 들의 개념이 본 발명의 실시예에서 참조될 수 있다.That is, when the terminal 100 is connected to the access point 240, the terminal 100 uses the WiFi network through the access point 240, the ePDG 250, and the P-GW 230 to the internal network 270 Connect to In relation to the above components, the concept of communication technology and network device configurations used in a WiFi communication system may be referred to in an embodiment of the present invention.

액세스 포인트(240)는 WiFi 액세스 포인트를 지칭한다.The access point 240 refers to a WiFi access point.

ePDG(250)는 단말(100)로부터 WiFi 접속 요청을 수신하면, 인증 요청을 인증 서버(260)로 전송한다.When the ePDG 250 receives a WiFi access request from the terminal 100, it transmits an authentication request to the authentication server 260.

ePDG(250)는 인증 서버(260)에 의해 단말(100)의 인증이 성공적으로 완료되면, 단말(100)의 사내망(270)으로의 접속을 허용하는 접속 응답을 단말(100)로 전송한다.When the authentication of the terminal 100 by the authentication server 260 is successfully completed, the ePDG 250 transmits a connection response allowing the terminal 100 to access the corporate network 270 to the terminal 100. .

접속 응답을 수신한 단말(100)이 사내망(270)으로 접속시, ePDG(250)는 단말(100)과 P-GW(230)에 연결된 사내망(270)을 연결한다.When the terminal 100 receiving the connection response connects to the corporate network 270, the ePDG 250 connects the terminal 100 and the corporate network 270 connected to the P-GW 230.

인증 서버(260)는 단말(100)의 인증을 위한 인증 전용 서버로서, ePDG(250)와 연결된다.The authentication server 260 is an authentication-only server for authentication of the terminal 100 and is connected to the ePDG 250.

또한, 단말(100)은 기지국(210)과는 다른 사업자에 의해 관리되는 타사 기지국(미도시)에 연결될 수도 있다. 이 경우, 단말(100)은 타사 기지국을 관리하는 사업자가 운영하는 망에 연결되어 상기 사업자가 서비스하는 이동 통신 서비스를 제공받을 수 있다.In addition, the terminal 100 may be connected to a third-party base station (not shown) managed by a different operator than the base station 210. In this case, the terminal 100 may be connected to a network operated by a provider managing a third-party base station to receive a mobile communication service provided by the provider.

관리 서버(300)는 사내망(270)에 대한 정보를 저장하는 서버를 지칭한다.The management server 300 refers to a server that stores information on the corporate network 270.

관리 서버(300)는 ePDG(250)로부터 ePDG(250)의 식별 정보를 수신하여 사내망 접속 어플리케이션을 생성하고, 단말(100)에 사내망 접속 어플리케이션을 제공하며, 이 경우 단말(100)은 사내망 접속 어플리케이션을 통해 ePDG(250)의 식별 정보를 수신한다.The management server 300 receives identification information of the ePDG 250 from the ePDG 250 to generate an internal network connection application, and provides the internal network connection application to the terminal 100. In this case, the terminal 100 The identification information of the ePDG 250 is received through the network access application.

도 2는 본 발명의 한 실시예에 따른 단말이 사내망으로 접속하기 위한 준비과정을 도시한 도면이다.2 is a diagram showing a preparation process for a terminal to access an internal network according to an embodiment of the present invention.

도 2를 참고하면, 관리 서버(300)는 ePDG(250)으로부터 ePDG(250)의 식별 정보를 수신한다(S100). 이 경우, 관리 서버(300)는 단말(100)과 인증 서버(260)와의 인증에 필요한 root CA(root Certificate Authority)및 서버 인증서를 추가로 수신할 수 있다.Referring to FIG. 2, the management server 300 receives identification information of the ePDG 250 from the ePDG 250 (S100). In this case, the management server 300 may additionally receive a root Certificate Authority (CA) and a server certificate required for authentication between the terminal 100 and the authentication server 260.

관리 서버(300)는 ePDG 식별 정보를 단말(100)에 제공하도록 하는 사내망 접속 어플리케이션을 생성한다(S101).The management server 300 creates an in-house network access application for providing ePDG identification information to the terminal 100 (S101).

단말(100)이 관리 서버(300)에 사내망 접속 어플리케이션을 요청하면(S103), 관리 서버(300)는 생성한 사내망 접속 어플리케이션을 단말(100)에 제공한다(S105). 이 경우, 관리 서버(300)는 웹 URL을 통해 해당 사내망 접속 어플리케이션에 대한 다운로드를 제공할 수 있다.When the terminal 100 requests an internal network connection application from the management server 300 (S103), the management server 300 provides the created internal network connection application to the terminal 100 (S105). In this case, the management server 300 may provide a download for a corresponding internal network access application through a web URL.

단말(100)은 관리 서버(300)로부터 제공받은 사내망 접속 어플리케이션을 설치한다(S107).The terminal 100 installs the internal network access application provided from the management server 300 (S107).

이후, 단말(100)이 사내망 접속 어플리케이션을 실행하면(S109), 단말(100)은 관리 서버(300)에 ePDG 식별 정보를 요청하고(S111), 관리 서버(300)는 단말(100)에 해당 사내망 접속 어플리케이션이 설치되고 실행됨을 확인하여 단말(100)이 사내망 접속을 요청할 ePDG(250)의 식별 정보를 단말(100)로 전송한다(S113).Thereafter, when the terminal 100 executes the internal network access application (S109), the terminal 100 requests ePDG identification information from the management server 300 (S111), and the management server 300 sends the terminal 100 After confirming that the corresponding internal network access application is installed and executed, the terminal 100 transmits identification information of the ePDG 250 to request access to the internal network to the terminal 100 (S113).

도 3은 본 발명의 한 실시예에 따른 단말이 사내망으로 접속하기 위한 다른준비 과정을 도시한 도면이다.3 is a diagram showing another preparation process for a terminal to access an internal network according to an embodiment of the present invention.

도 2와 달리, 예를 들면, 단말(100)이 타사 가입자이거나 단말(100)로부터 사용자 정보를 추출할 수 없는 경우, 단말(100)을 식별할 가입자 정보를 인증 서버(260)가 별도로 저장하여야 한다.Unlike FIG. 2, for example, if the terminal 100 is a third-party subscriber or the user information cannot be extracted from the terminal 100, the authentication server 260 must separately store subscriber information to identify the terminal 100. do.

도 3을 참고하면, 단말(100)의 사용자가 사내망(270)에 가입시, 인증 서버(260)는 단말(100)의 가입자 정보를 저장한다(S200).Referring to FIG. 3, when a user of the terminal 100 joins the corporate network 270, the authentication server 260 stores subscriber information of the terminal 100 (S200).

이 경우, 단말(100)의 가입자 정보는 가상 IMSI(International Mobile Station Identity), 가상 MSISDN(Mobile Station International ISDN Number) 또는 가상 가입자 아이디 및 패스워드 중 적어도 하나를 포함할 수 있다.In this case, the subscriber information of the terminal 100 may include at least one of a virtual IMSI (International Mobile Station Identity), a virtual MSISDN (Mobile Station International ISDN Number), or a virtual subscriber ID and password.

관리 서버(300)는 ePDG(250)로부터 ePDG(250)의 식별 정보를 수신한다(S201). 또한, 관리 서버(300)는 인증 서버(260)로부터 단말(100)의 가입자 정보를 수신한다(S203).The management server 300 receives identification information of the ePDG 250 from the ePDG 250 (S201). In addition, the management server 300 receives subscriber information of the terminal 100 from the authentication server 260 (S203).

관리 서버(300)는 ePDG 식별 정보 및 가입자 정보를 단말(100)에 제공하도록 하는 어플리케이션을 생성한다(S205). 이후 단계는 도 2의 단계 S103 내지 S113과 동일하되, 단말(100)은 단계 S215에서 ePDG 식별 정보 및 가입자 정보를 요청하고, 단계 S217에서 관리 서버(300)는 단말(100)에 사내망 접속 어플리케이션이 설치되고 실행됨을 확인하여 단말(100)이 사내망 접속을 요청할 ePDG(250)의 식별 정보 및 가입자 정보를 단말(100)로 전송한다.The management server 300 creates an application for providing ePDG identification information and subscriber information to the terminal 100 (S205). After the steps are the same as steps S103 to S113 of FIG. 2, the terminal 100 requests ePDG identification information and subscriber information in step S215, and in step S217, the management server 300 provides the internal network access application to the terminal 100. After confirming that is installed and executed, the terminal 100 transmits the identification information and subscriber information of the ePDG 250 to request access to the corporate network to the terminal 100.

도 4는 본 발명의 한 실시예에 따른 단말이 도 2 또는 도 3에서 설치된 사내망 접속 어플리케이션을 통해 사내망으로 초기 접속하는 방법을 도시한 도면이다.FIG. 4 is a diagram illustrating a method of initially connecting a terminal to an internal network through an internal network access application installed in FIG. 2 or 3 according to an embodiment of the present invention.

도 4의 단계들은 도 2 및 도 3에서 설치된 사내망 접속 어플리케이션이 단말(100)에서 실행된 상태에서 수행될 수 있다. 즉, 단말(100)의 사용자는 단말(100)에 사내망 접속 어플리케이션을 실행시킨 상태로 아래의 단계들을 수행할 수 있으며, 도 4의 단계들은 단말(100)에 사내망 접속 어플리케이션이 실행된 상태에서 수행되는 것으로 이해되어야 할 것이다.The steps of FIG. 4 may be performed while the internal network access application installed in FIGS. 2 and 3 is executed in the terminal 100. That is, the user of the terminal 100 can perform the following steps while running the internal network access application on the terminal 100, and the steps in FIG. 4 are a state in which the internal network access application is executed on the terminal 100 It should be understood as being performed in.

도 4를 참고하면, 단말(100)의 사용자가 사내망 접속 어플리케이션을 실행하면(S300), 단말(100)은 사내망 접속을 요청할 ePDG(250)의 식별 정보를 수신한다(S301).Referring to FIG. 4, when a user of the terminal 100 executes an internal network access application (S300), the terminal 100 receives identification information of the ePDG 250 to request access to the internal network (S301).

이 경우, 사내망 접속 어플리케이션이 최초로 실행되는 경우에 단말(100)은 관리 서버(300)로부터 ePDG(250)의 식별 정보를 수신할 수 있으며, 단말이 도 3에 따른 사내망 접속 어플리케이션을 실행한 경우 단말(100)은 사용자 정보를 추가로 수신할 수 있다.In this case, when the internal network access application is executed for the first time, the terminal 100 may receive identification information of the ePDG 250 from the management server 300, and the terminal executes the internal network access application according to FIG. In this case, the terminal 100 may additionally receive user information.

단말(100)은 ePDG 식별 정보에 대응하는 ePDG(250)로 사내망(270)에 대한 접속 요청을 전송한다(S303). 이 경우, 단계 S303은 단말(100)의 사용자가 기 설정된 사내망 접속 어플리케이션에 대한 아이디 및 패스워드를 이용하여 로그인하는 단계를 포함할 수 있다.The terminal 100 transmits a connection request to the corporate network 270 to the ePDG 250 corresponding to the ePDG identification information (S303). In this case, step S303 may include a step of logging in by a user of the terminal 100 using an ID and password for a preset internal network access application.

접속 요청은 단말(100)의 가입자 정보를 포함하며, 단말(100)의 가입자 정보는 IMSI(International Mobile Station Identity), MSISDN(Mobile Station International ISDN Number) 또는 가입자 아이디 및 패스워드 중 적어도 하나를 포함할 수 있거나, 단말(100)이 타사 가입자인 경우 가상 IMSI, MSISDN 또는 가상 가입자 아이디 및 패스워드 중 적어도 하나를 포함할 수 있다.The access request includes subscriber information of the terminal 100, and the subscriber information of the terminal 100 may include at least one of IMSI (International Mobile Station Identity), MSISDN (Mobile Station International ISDN Number), or a subscriber ID and password. Alternatively, if the terminal 100 is a third party subscriber, it may include at least one of a virtual IMSI, MSISDN, or a virtual subscriber ID and password.

ePDG(250)는 단말(100)로부터 사내망 접속 요청을 수신하면, 사내망 접속 요청에 포함된 단말(100)의 가입자 정보에 기초하여 단말(100)의 사내망(270)에 대한 접속 요청을 허가한다(S305).When the ePDG 250 receives the internal network access request from the terminal 100, the ePDG 250 makes an access request to the internal network 270 of the terminal 100 based on subscriber information of the terminal 100 included in the internal network access request. Allow (S305).

일 실시예에서, ePDG(250)는 단말(100)의 가입자 정보를 단말(100)과 인증 절차를 수행하는 인증 서버(260)로 전송하고, 단말(100)과 인증 절차를 완료한 인증 서버(260)로부터 인증 완료 메시지를 수신하면 단말(100)의 사내망(270)에 대한 접속 요청을 허가한다.In one embodiment, the ePDG 250 transmits subscriber information of the terminal 100 to the authentication server 260 performing the authentication procedure with the terminal 100, and the authentication server ( Upon receiving the authentication completion message from 260), the terminal 100 permits a request for access to the corporate network 270.

다른 실시예에서, ePDG(250)는 사내망(270)에 가입한 가입자 정보에 대한 데이터베이스를 저장할 수 있고, 사내망 접속 요청에 포함된 가입자 정보를 데이터베이스와 비교하여 단말(100)의 접속 요청을 허가할 수 있다.In another embodiment, the ePDG 250 may store a database for subscriber information who has subscribed to the corporate network 270, and compare the subscriber information included in the corporate network access request with the database to make an access request from the terminal 100. I can do it.

ePDG(250)가 단말(100)의 접속 요청을 허가하면, 사내망(270)에 연결된 P-GW(230)와 세션을 설정한다(S307).When the ePDG 250 permits the access request of the terminal 100, it establishes a session with the P-GW 230 connected to the corporate network 270 (S307).

구체적으로, ePDG(250)는 단말(100)의 가입자 정보에 기초하여 단말(100)이 가입한 사내망(270)에 연결된 P-GW(230)을 식별하고, 식별된 P-GW(230)로 세션 생성 요청 메시지를 전송하며, P-GW(230)로부터 세션 생성 응답 메시지를 수신하면 P-GW(230)와 세션을 설정한다.Specifically, the ePDG 250 identifies the P-GW 230 connected to the internal network 270 to which the terminal 100 is subscribed based on the subscriber information of the terminal 100, and the identified P-GW 230 A session creation request message is transmitted to the device, and when a session creation response message is received from the P-GW 230, a session is established with the P-GW 230.

ePDG(250)와 P-GW(230) 사이에 세션이 생성되면, 단말(100)은 ePDG(250) 및 P-GW(230)를 통해 사내망(270)에 접속한다(S309).When a session is created between the ePDG 250 and the P-GW 230, the terminal 100 accesses the corporate network 270 through the ePDG 250 and the P-GW 230 (S309).

도 5는 본 발명의 한 실시예에 따른 단말이 도 2 또는 도 3에서 설치된 사내망 접속 어플리케이션을 통해 EAP-MSCHAPv2 인증 방식을 이용하여 사내망으로 초기 접속 방법을 도시한 도면이다.FIG. 5 is a diagram illustrating a method of initial access to an internal network by a terminal according to an embodiment of the present invention using an EAP-MSCHAPv2 authentication method through an internal network access application installed in FIG. 2 or 3.

비록 도 5에서는 단말(100)이 사내망(270)에 접속하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 사내망(270)에 접속할 수도 있다.Although FIG. 5 is limited to the EAP-MSCHAPv2 authentication method in order to specifically explain how the terminal 100 accesses the corporate network 270, it is possible to access the corporate network 270 through another authentication method.

도 5를 참고하면, 단말(100)의 사용자가 사내망 접속 어플리케이션을 실행하면(S400), 단말(100)은 관리 서버(300)로부터 ePDG 식별 정보를 수신한다(S401). 이 경우, 단말이 도 3에 따른 사내망 접속 어플리케이션을 실행한 경우, 단말(100)은 사용자 정보를 추가로 수신할 수 있다.Referring to FIG. 5, when a user of the terminal 100 executes an internal network access application (S400), the terminal 100 receives ePDG identification information from the management server 300 (S401). In this case, when the terminal executes the internal network access application according to FIG. 3, the terminal 100 may additionally receive user information.

이후, 단말(100)과 ePDG(250)는 초기 암호화를 수행하기 위해, IKEv2_SA_INIT를 교환한다(S403).Thereafter, the terminal 100 and the ePDG 250 exchange IKEv2_SA_INIT to perform initial encryption (S403).

IKEv2_SA_INT 메시지 교환을 통해, IKE 메시지 보호에 필요한 IKE_SA를 생성하며, 교환 이후 모든 메시지는 IKEv2_SA_INIT 교환에서 협상된 암호화 알고리즘 및 키를 사용하여 암호로 보호된다.Through the IKEv2_SA_INT message exchange, IKE_SA required for IKE message protection is created. After exchange, all messages are encrypted using the encryption algorithm and key negotiated in the IKEv2_SA_INIT exchange.

IKE_SA를 생성한 후, 단말(100)은 EAP-MSCHAPv2 방식으로 인증을 수행하겠다는 정보를 포함하는 제1 IKEv2_AUTH_REQ 메시지를 ePDG(250)로 전송한다(S405). 이 경우, ePDG(250)는 제1 IKEv2_AUTH_REQ 메시지에 포함된 IP 정보가 포함되지 않음을 확인하여 단말(100)이 최초 접속한 것으로 결정할 수 있다.After generating the IKE_SA, the terminal 100 transmits a first IKEv2_AUTH_REQ message including information indicating that authentication is to be performed in the EAP-MSCHAPv2 method to the ePDG 250 (S405). In this case, the ePDG 250 may determine that the terminal 100 has first accessed by confirming that the IP information included in the first IKEv2_AUTH_REQ message is not included.

제1 IKEv2_AUTH_REQ 메시지를 수신한 ePDG(250)는 단말(100)의 사용자 인증을 위해 필요한 인증 정보를 포함하는 제1 DER 메시지를 인증 서버(260)로 전송한다(S407). 이 경우, 인증 정보는 단계 S401에서 사설망 접속 어플리케이션의 실행을 통해 관리 서버(300)로부터 추가로 수신할 수 있다.Upon receiving the first IKEv2_AUTH_REQ message, the ePDG 250 transmits a first DER message including authentication information necessary for user authentication of the terminal 100 to the authentication server 260 (S407). In this case, the authentication information may be additionally received from the management server 300 through execution of the private network access application in step S401.

인증 서버(260)는 EAP-MSCHAPv2 인증에 필요한 Challenge 값을 포함하는 제1 DEA 메시지를 ePDG(250)로 전송한다(S409).The authentication server 260 transmits a first DEA message including a challenge value required for EAP-MSCHAPv2 authentication to the ePDG 250 (S409).

ePDG(250)는 서버 인증서 및 EAP-MSCHAPv2 인증에 필요한 Challenge 값을 포함하는 제1 IKEv2 AUTH_RESP 메시지를 단말(100)에 전송한다(S411).The ePDG 250 transmits a first IKEv2 AUTH_RESP message including a server certificate and a challenge value required for EAP-MSCHAPv2 authentication to the terminal 100 (S411).

제1 IKEv2 AUTH_RESP 메시지를 수신한 단말(100)은 가입자 정보, 인증 정보를 포함하는 제2 IKEv2 AUTH_REQ 메시지를 ePDG(250)로 전송한다(S413).Receiving the first IKEv2 AUTH_RESP message, the terminal 100 transmits a second IKEv2 AUTH_REQ message including subscriber information and authentication information to the ePDG 250 (S413).

ePDG(250)는 단말(100)의 가입자 정보, 인증 정보를 포함하는 제2 DER 메시지를 인증 서버(260)로 전송한다(S415).The ePDG 250 transmits a second DER message including subscriber information and authentication information of the terminal 100 to the authentication server 260 (S415).

인증 서버(260)는 제2 DER 메시지에 포함된 가입자 정보, 인증 정보를 데이터베이스와 비교하여 인증을 수행하며, 인증이 성공적으로 완료되면 인증 서버(260)는 ePDG(250)로 제2 DEA 메시지를 전송한다(S417).The authentication server 260 performs authentication by comparing subscriber information and authentication information included in the second DER message with a database, and when authentication is successfully completed, the authentication server 260 sends a second DEA message to the ePDG 250. Transmit (S417).

제2 DEA 메시지를 수신한 ePDG(250)는 인증 서버(260)로부터 수신한 EAP-MSCHAPv2 메시지 및 EAP-Payload를 포함하는 제2 IKEv2 AUTH_RESP 메시지를 단말(100)로 전송한다(S419).Upon receiving the second DEA message, the ePDG 250 transmits the EAP-MSCHAPv2 message received from the authentication server 260 and the second IKEv2 AUTH_RESP message including the EAP-Payload to the terminal 100 (S419).

단말(100)은 EAP-MSCHAPv2 메시지에 응답하는 제3 IKEv2_AUTH_REQ 메시지를 ePDG(250)로 전송한다(S421).The terminal 100 transmits a third IKEv2_AUTH_REQ message in response to the EAP-MSCHAPv2 message to the ePDG 250 (S421).

ePDG(250)는 단말(100)에 설치된 사내망 접속 어플리케이션에서 전송한 EAP-Payload를 포함하는 제3 DER 메시지를 인증 서버(260)로 전송한다(S423).The ePDG 250 transmits a third DER message including the EAP-Payload transmitted from the internal network access application installed in the terminal 100 to the authentication server 260 (S423).

인증 서버(260)는 EAP-MSCHAPv2 인증 성공 메시지를 포함하는 제3 DEA 메시지를 ePDG(250)로 전송한다(S425). 이 경우, 단말(100)과 인증 서버(260) 간의 EAP-MSCHAPv2를 통한 상호 인증 절차가 완료되며, 마스터 키(Master Key, MSK)가 생성된다.The authentication server 260 transmits a third DEA message including the EAP-MSCHAPv2 authentication success message to the ePDG 250 (S425). In this case, the mutual authentication procedure between the terminal 100 and the authentication server 260 through EAP-MSCHAPv2 is completed, and a master key (MSK) is generated.

ePDG(250)는 EAP-Payload 및 인증 서버(260)로부터 수신한 EAP-MSCHAPv2 메시지를 포함하는 제3 IKEv2 AUTH_RESP 메시지를 단말(100)로 전송한다(S427).The ePDG 250 transmits the EAP-Payload and the third IKEv2 AUTH_RESP message including the EAP-MSCHAPv2 message received from the authentication server 260 to the terminal 100 (S427).

상호 인증 절차가 완료되면 단말(100)과 ePDG(250) 사이에 IPSec 터널이 생성되고, ePDG(250)와 P-GW(230) 사이에 GRE 터널 또는 GTP 터널이 생성된다(S429). 이 경우, P-GW(230)는 IPSec 터널에서 사용할 IP를 할당하여, 단말(100)로 전송한다.When the mutual authentication procedure is completed, an IPSec tunnel is created between the terminal 100 and the ePDG 250, and a GRE tunnel or a GTP tunnel is created between the ePDG 250 and the P-GW 230 (S429). In this case, the P-GW 230 allocates an IP to be used in the IPSec tunnel and transmits it to the terminal 100.

터널이 생성되면, 단말(100)은 생성된 터널을 통해 사내망(270)과 데이터를 송수신한다(S431).When the tunnel is created, the terminal 100 transmits and receives data to and from the corporate network 270 through the created tunnel (S431).

도 6은 본 발명의 한 실시예에 따른 LTE 망에 접속 중인 단말이 망을 전환하여 WiFi 망을 통해 사내망으로 접속하는 방법을 도시한 도면이다.6 is a diagram illustrating a method for a terminal accessing an LTE network according to an embodiment of the present invention to switch a network to access an internal network through a WiFi network.

도 6의 단계들은 도 2 및 도 3에서 설치된 사내망 접속 어플리케이션이 단말(100)에서 실행된 상태에서 수행될 수 있다. 즉, 단말(100)의 사용자는 단말(100)에 사내망 접속 어플리케이션을 실행시킨 상태로 아래의 단계들을 수행할 수 있으며, 도 6의 단계들은 단말(100)에 사내망 접속 어플리케이션이 실행된 상태에서 수행되는 것으로 이해되어야 할 것이다.The steps of FIG. 6 may be performed while the internal network access application installed in FIGS. 2 and 3 is executed in the terminal 100. That is, the user of the terminal 100 can perform the following steps while running the internal network access application on the terminal 100, and the steps in FIG. 6 are a state in which the internal network access application is executed on the terminal 100 It should be understood as being performed in.

도 6을 참고하면, LTE 망에 접속하여 사내망(270)에 접속 중인 단말(100)이 기 설정된 신호 세기 이상의 WiFi 신호 세기를 감지하면(S500), 단말(100)은 접속 중인 LTE 망을 해제 과정을 수행한다(S501). 이 경우, 단말(100)은 LTE 망 접속 해제 과정을 펌웨어에서 수행할 수 있다.Referring to FIG. 6, when the terminal 100 connected to the internal network 270 by accessing the LTE network detects a WiFi signal strength greater than or equal to a preset signal strength (S500), the terminal 100 releases the connected LTE network. The process is performed (S501). In this case, the terminal 100 may perform an LTE network connection release process in firmware.

단말(100)은 접속 중인 LTE 망의 해제 과정을 수행하며, ePDG 식별 정보에 대응하는 ePDG(250)로 사내망(270)에 대한 접속 요청을 전송한다(S503). 이 경우, 사내망 접속 요청은 단말(100)의 사용자 정보 외에도 단말(100)이 LTE 망에서 사용한 IP 주소를 더 포함한다.The terminal 100 performs a process of canceling the LTE network being accessed, and transmits an access request for the internal network 270 to the ePDG 250 corresponding to the ePDG identification information (S503). In this case, the internal network access request further includes an IP address used by the terminal 100 in the LTE network in addition to the user information of the terminal 100.

ePDG(250)가 단말(100)에 대해 접속 요청을 허가하면(S505), P-GW(230)와 세션을 설정하며(S507), ePDG(250)와 P-GW(230) 사이에 세션이 생성되면 단말(100)은 ePDG(250) 및 P-GW(230)를 통해 사내망(270)으로 접속한다(S509).When the ePDG 250 permits the connection request to the terminal 100 (S505), a session with the P-GW 230 is established (S507), and a session is established between the ePDG 250 and the P-GW 230. When generated, the terminal 100 accesses the internal network 270 through the ePDG 250 and the P-GW 230 (S509).

이 경우, 단말(100)은 LTE 망에서 사용한 IP 주소를 사용하여 사내망(270)으로 접속한다.In this case, the terminal 100 accesses the corporate network 270 using the IP address used in the LTE network.

구체적으로, 단말(100)이 ePDG(250)에 IP 주소를 포함하는 접속 요청을 전송하면, ePDG(250)는 IP 주소를 P-GW(230)로 전송하며, P-GW(230)는 단말(100)과 ePDG(250) 사이의 IPSec 터널에 사용할 IP 로서 상기 IP 주소를 할당한다.Specifically, when the terminal 100 transmits a connection request including an IP address to the ePDG 250, the ePDG 250 transmits the IP address to the P-GW 230, and the P-GW 230 The IP address is allocated as an IP to be used for the IPSec tunnel between the (100) and ePDG (250).

다만, 단말(100)이 타사 가입자인 경우, 단말(100)이 접속 중이었던 LTE 망의 P-GW 정보 및 단말(100)이 LTE 망에서 사용하였던 IP 주소를 알 수 없는바, LTE 망에서 사용한 IP 주소가 아닌 다른 IP 주소를 사용하여 사내망(270)에 접속하게 된다.However, if the terminal 100 is a third-party subscriber, the P-GW information of the LTE network to which the terminal 100 was connected and the IP address used by the terminal 100 in the LTE network are unknown. An IP address other than the IP address is used to access the corporate network 270.

도 7은 본 발명의 한 실시예에 따른 LTE 망에 접속 중인 단말이 망을 전환하여 EAP-MSCHAPv2 인증 방식을 이용하여 WiFi 망을 통해 사내망으로 접속하는 방법을 도시한 도면이다.7 is a diagram illustrating a method for a terminal accessing an LTE network according to an embodiment of the present invention to switch a network and access an internal network through a WiFi network using an EAP-MSCHAPv2 authentication method.

비록 도 7에서는 LTE 망에 접속 중인 단말(100)이 망을 전환하여 WiFi 망을 통해 사내망(270)에 접속하는 방법을 구체적으로 설명하기 위해 EAP-MSCHAPv2 인증방식에 한정하였으나, 다른 인증방식을 통해 사내망(270)에 접속할 수도 있음은 물론이다.Although FIG. 7 is limited to the EAP-MSCHAPv2 authentication method in order to specifically explain how the terminal 100 connected to the LTE network switches the network to access the corporate network 270 through the WiFi network, another authentication method is used. It goes without saying that it is also possible to access the internal network 270 through.

또한, 암호화 과정 및 EAP-MSCHAPv2 인증방식을 수행함에 있어, 도 5와 동일한 과정은 자세한 설명은 생략한다.Further, in performing the encryption process and the EAP-MSCHAPv2 authentication method, a detailed description of the same process as in FIG. 5 will be omitted.

도 7을 참고하면, 단말(100)의 사용자가 사내망 접속 어플리케이션을 실행하면(S600), 단말(100)은 관리 서버(300)로부터 ePDG 식별 정보를 수신하고(S601), WiFi 신호 세기가 일정 신호 세기 이상으로 감지된 경우 단말(100)은 접속 중인 LTE 망을 해제한다(S603). 이 경우, 단말(100)은 LTE 망 접속 해제과정을 펌웨어에서 수행할 수 있다.Referring to FIG. 7, when a user of the terminal 100 executes an internal network access application (S600), the terminal 100 receives ePDG identification information from the management server 300 (S601), and the WiFi signal strength is constant. When it is detected that the signal strength is higher, the terminal 100 releases the connected LTE network (S603). In this case, the terminal 100 may perform an LTE network connection release process in firmware.

단말(100)과 ePDG(250)는 초기 암호화를 수행하기 위해, 도 5의 단계 S403과 같이 IKEv2_SA_INIT를 교환한다(S605).In order to perform initial encryption, the terminal 100 and the ePDG 250 exchange IKEv2_SA_INIT as in step S403 of FIG. 5 (S605).

IKE_SA를 생성한 후, 단말(100)은 접속 중이었던 LTE 망에서 사용하였던 IP 정보를 포함하는 제1 IKEv2_AUTH_REQ 메시지를 ePDG(250)로 전송한다(S607). 이 경우, ePDG(250)는 제1 IKEv2_AUTH_REQ 메시지에 포함된 IP 정보를 확인하여 단말(100)이 최초 접속한 것이 아닌 망 전환하였음을 결정할 수 있다.After generating the IKE_SA, the terminal 100 transmits a first IKEv2_AUTH_REQ message including IP information used in the LTE network being accessed to the ePDG 250 (S607). In this case, the ePDG 250 may check the IP information included in the first IKEv2_AUTH_REQ message to determine that the terminal 100 has switched to the network rather than the first access.

이후, 단계 S609 내지 S631에서, 도 5의 단계 S407 내지 S427에서 수행되는 것과 같은 EAP-MSCHAPv2를 통한 상호 인증 절차를 수행하고 마스터 키(Master Key, MSK)가 생성하되, 단계 S627에서는 단말(100)이 접속 중이었던 LTE 망의 P-GW 식별 정보(예를 들면, P-GW의 IP 주소)를 제3 DEA 메시지에 포함시켜 전송한다.Thereafter, in steps S609 to S631, a mutual authentication procedure through EAP-MSCHAPv2 as performed in steps S407 to S427 of FIG. 5 is performed, and a master key (MSK) is generated, but in step S627, the terminal 100 The P-GW identification information (eg, the P-GW's IP address) of the LTE network that was being connected is included in the third DEA message and transmitted.

상호 인증 절차가 완료되면 단말(100)과 ePDG(250) 사이에 IPSec 터널이 생성되고, ePDG(250)와 P-GW(230) 사이에 GRE 터널 또는 GTP 터널이 생성된다(S631). 이 경우, P-GW(230)는 IPSec 터널에서 사용할 IP로서, 단말(100)이 기존에 접속한 LTE 망에서 사용한 IP 주소를 할당한다.When the mutual authentication procedure is completed, an IPSec tunnel is created between the terminal 100 and the ePDG 250, and a GRE tunnel or a GTP tunnel is created between the ePDG 250 and the P-GW 230 (S631). In this case, the P-GW 230 is an IP to be used in the IPSec tunnel, and allocates an IP address used in the LTE network to which the terminal 100 has previously accessed.

터널이 생성되면, 단말(100)은 기존에 접속한 LTE 망에서 사용한 IP 주소를 사용하여 생성된 터널을 통해 사내망(270)과 데이터를 송수신한다(S633).When the tunnel is created, the terminal 100 transmits and receives data to and from the corporate network 270 through a tunnel created using an IP address used in an existing LTE network (S633).

다만, 단말(100)이 타사 가입자인 경우, 단말(100)이 접속 중이었던 LTE 망의 P-GW 정보 및 단말(100)이 LTE 망에서 사용하였던 IP 주소를 알 수 없는바, 단말(100)이 접속 중이었던 LTE 망의 P-GW 및 IP 주소를 유지할 수 없다. 이 경우, 단말(100)은 단계 S603에서 LTE 망 해제 과정을 수행한 후, 도 5의 단계 S403 내지 S431과 같은 방법으로 사내망(270)으로 새롭게 접속할 수 있다(S605 내지 S633).However, if the terminal 100 is a third-party subscriber, the P-GW information of the LTE network to which the terminal 100 is connected and the IP address used by the terminal 100 in the LTE network are unknown. It is not possible to maintain the P-GW and IP address of the LTE network that was being connected. In this case, after performing the LTE network release process in step S603, the terminal 100 may newly access the internal network 270 in the same manner as steps S403 to S431 of FIG. 5 (S605 to S633).

도 8은 본 발명의 한 실시예에 따른 WiFi 망에 접속 중인 단말이 망을 전환하여 LTE 망을 통해 사내망으로 접속하는 방법을 도시한 도면이다.8 is a diagram illustrating a method for a terminal accessing a WiFi network according to an embodiment of the present invention to switch a network to access an internal network through an LTE network.

도 8의 단계들은 도 2에서 설치된 사내망 접속 어플리케이션이 단말(100)에서 실행된 상태에서 수행될 수 있다. 즉, 단말(100)의 사용자는 단말(100)에 사내망 접속 어플리케이션을 실행시킨 상태로 아래의 단계들을 수행할 수 있으며, 도 8의 단계들은 단말(100)에 사내망 접속 어플리케이션이 실행된 상태에서 수행되는 것으로 이해되어야 할 것이다.The steps of FIG. 8 may be performed while the internal network access application installed in FIG. 2 is executed in the terminal 100. That is, the user of the terminal 100 can perform the following steps while running the internal network access application on the terminal 100, and the steps in FIG. 8 are a state in which the internal network access application is executed on the terminal 100 It should be understood as being performed in.

도 8을 참고하면, 사내망 접속 어플리케이션이 단말(100)에서 수신되는 WiFi 신호 세기가 일정 신호 세기 미만으로 감지된 것으로 결정한 경우(S700), 단말(100)은 접속 중인 WiFi를 비활성화시킴과 동시에 LTE 데이터 네트워크를 활성화시킨다(S701).Referring to FIG. 8, when the internal network access application determines that the WiFi signal strength received from the terminal 100 is detected to be less than a certain signal strength (S700), the terminal 100 deactivates the connected WiFi and simultaneously The data network is activated (S701).

단말(100)은 단말(100)에 설정된 APN(Access Point Name)을 LTE APN으로 변경하여 LTE 망 접속 과정을 수행한다(S703). 이 경우, 단말(100)은 LTE 망을 통해 사내망(270)으로 접속하여 이동 통신 서비스를 제공받는다.The terminal 100 performs an LTE network access procedure by changing an APN (Access Point Name) set in the terminal 100 to an LTE APN (S703). In this case, the terminal 100 accesses the corporate network 270 through an LTE network to receive a mobile communication service.

이후, 단말(100)에 설치된 사내망 접속 어플리케이션에 의한 세션 해제 과정이 수행되며(S705), 이에 대한 자세한 설명은 도 12 내지 도 14를 통해 설명한다.Thereafter, a session release process is performed by the internal network access application installed in the terminal 100 (S705), and a detailed description thereof will be described with reference to FIGS. 12 to 14.

세션 해제 과정이 완료되면 단말(100)과 ePDG(250)의 IPSec 터널 및 ePDG(250)와 P-GW(230) 사이의 GRE 터널 또는 GTP 터널이 해제된다(S707).When the session release process is completed, the IPSec tunnel between the terminal 100 and the ePDG 250 and the GRE tunnel or the GTP tunnel between the ePDG 250 and the P-GW 230 are released (S707).

도 9는 본 발명의 한 실시예에 따른 WiFi 망에 접속 중인 단말이 망을 전환하여 LTE 망을 통해 사내망으로 접속하는 다른 방법을 도시한 도면이다.9 is a diagram illustrating another method of connecting a terminal to a WiFi network to an internal network through an LTE network by switching a network according to an embodiment of the present invention.

도 9의 단계들은 도 3에서 설치된 사내망 접속 어플리케이션이 단말(100)에서 실행된 상태에서 수행될 수 있다. 즉, 단말(100)의 사용자는 단말(100)에 사내망 접속 어플리케이션을 실행시킨 상태로 아래의 단계들을 수행할 수 있으며, 도 9의 단계들은 단말(100)에 사내망 접속 어플리케이션이 실행된 상태에서 수행되는 것으로 이해되어야 할 것이다.The steps of FIG. 9 may be performed while the internal network access application installed in FIG. 3 is executed in the terminal 100. That is, the user of the terminal 100 can perform the following steps while running the internal network access application on the terminal 100, and the steps in FIG. 9 are a state in which the internal network access application is executed on the terminal 100 It should be understood as being performed in.

만일 단말(100)이 타사 가입자인 경우, 도 8과 같이 APN을 변경하여 사내망(270)을 서비스하는 제공자가 운영하는 LTE 망에 접속할 수 없다.If the terminal 100 is a third-party subscriber, it cannot access the LTE network operated by a provider serving the in-house network 270 by changing the APN as shown in FIG. 8.

도 9를 참고하면, 사내망 접속 어플리케이션이 단말(100)에서 수신되는 WiFi 신호 세기가 일정 신호 세기 미만으로 감지된 것으로 결정한 경우(S800), 단말(100)은 접속 중인 WiFi를 비활성화시킴과 동시에 LTE 데이터 네트워크를 활성화시킨다(S801).Referring to FIG. 9, when the internal network access application determines that the WiFi signal strength received from the terminal 100 is detected to be less than a certain signal strength (S800), the terminal 100 deactivates the connected WiFi and at the same time LTE The data network is activated (S801).

단말(100)은 타사에서 운영하는 LTE 망에 접속한다(S803).The terminal 100 accesses an LTE network operated by a third party (S803).

단말(100)에 설치된 사내망 접속 어플리케이션에 의한 세션 해제 과정이 수행되며(S805), 세션 해제 과정이 완료되면 단말(100)과 ePDG(250)의 IPSec 터널 및 ePDG(250)와 P-GW(230) 사이의 GRE 터널 또는 GTP 터널이 해제된다(S807).The session release process is performed by the in-house network access application installed in the terminal 100 (S805), and when the session release process is completed, the IPSec tunnel between the terminal 100 and the ePDG 250 and the ePDG 250 and the P-GW ( 230), the GRE tunnel or the GTP tunnel is released (S807).

이후, 사내망 접속 어플리케이션이 단말(100)에서 수신되는 WiFi 신호 세기가 일정 신호 세기 이상으로 감지된 것으로 결정한 경우(S809), 단말(100)은 어플리케이션 실행시 수신한 ePDG(250) 식별 정보 및 사용자 정보를 통해 도 5의 단계 S403 내지 S431과 같은 방법으로 사내망(270)으로 새롭게 접속할 수 있다(S811 내지 S839).Thereafter, when the internal network access application determines that the WiFi signal strength received from the terminal 100 is detected to be greater than a certain signal strength (S809), the terminal 100 identifies the ePDG 250 received when the application is executed and the user Through the information, it is possible to newly access the internal network 270 in the same manner as steps S403 to S431 of FIG. 5 (S811 to S839).

도 10 및 도 11은 본 발명의 한 실시예에 따른 WiFi 망에 접속 중인 단말이 다른 WiFi망으로 전환하여 사내망으로 접속하는 구조 및 방법을 도시한 도면이다.10 and 11 are diagrams illustrating a structure and a method for a terminal connected to a WiFi network to switch to another WiFi network and access the internal network according to an embodiment of the present invention.

도 10을 참고하면, 단말(100)은 도 5에서 설명한 방법으로 제1 액세스 포인트(241)에 연결되어 제1 WiFi 망을 통해 사내망(270)에 접속하고 있다가, ePDG(250)에 연결된 제2 액세스 포인트(242)에 새롭게 접속하여 제2 WiFi 망을 통해 사내망(270)으로 접속한다.Referring to FIG. 10, the terminal 100 is connected to the first access point 241 in the manner described in FIG. 5 and is connected to the internal network 270 through the first WiFi network, and then connected to the ePDG 250. A new connection is made to the second access point 242 to access the corporate network 270 through the second WiFi network.

도 11을 참고하면, 사내망 접속 어플리케이션이 단말(100)에서 수신되는 제1 WiFi 신호 세기가 일정 신호 세기 미만이고 제2 WiFi 신호 세기가 일정 신호 세기 이상인 것으로 결정한 경우(S900), 제1 WiFi와 연결을 해제하고(S901), 제2 WiFi와 연결한다(S903). 이 경우, 단말(100)은 도 10의 제2 액세스 포인트(242)를 통해 ePDG(250)와 연결될 수 있다.Referring to FIG. 11, when the internal network access application determines that the first WiFi signal strength received from the terminal 100 is less than a certain signal strength and the second WiFi signal strength is more than a certain signal strength (S900), the first WiFi and The connection is released (S901) and connected to the second WiFi (S903). In this case, the terminal 100 may be connected to the ePDG 250 through the second access point 242 of FIG. 10.

단말(100)은 사내망 접속 어플리케이션을 통해, 제1 WiFi에서 사용한 IP 정보를 포함하는 IKE INFORMATIONAL Request UPDATE_SA_ADDRESS 메시지를 ePDG(250)로 전송한다(S905).The terminal 100 transmits an IKE INFORMATIONAL Request UPDATE_SA_ADDRESS message including IP information used in the first WiFi to the ePDG 250 through an in-house network access application (S905).

ePDG(250)는 IKE INFORMATIONAL Response 메시지를 단말(100)로 전송하고(S907), 단말(100)이 제1 WiFi에서 사용한 IP 정보에 포함된 IP 주소를 유지하도록 터널 정보 매핑을 업데이트 한다(S909).The ePDG 250 transmits an IKE INFORMATIONAL Response message to the terminal 100 (S907), and updates the tunnel information mapping so that the terminal 100 maintains the IP address included in the IP information used in the first WiFi (S909). .

도 12 내지 도 14는 본 발명의 한 실시예에 따른 사내망 접속 어플리케이션이 기 설정된 세션을 해제하는 과정을 수행하는 방법을 도시한 도면이다.12 to 14 are diagrams illustrating a method of performing a process of releasing a preset session by an internal network access application according to an embodiment of the present invention.

도 12 내지 도 14의 단계들은 도 2 또는 도 3에서 설치된 사내망 접속 어플리케이션이 단말(100)에서 실행된 상태에서 수행될 수 있다. 즉, 단말(100)의 사용자는 단말(100)에 사내망 접속 어플리케이션을 실행시킨 상태로 아래의 단계들을 수행할 수 있으며, 도 12 내지 도 14의 단계들은 단말(100)에 사내망 접속 어플리케이션이 실행된 상태에서 수행되며, 단말(100)의 동작은 사내망 접속 어플리케이션에 의해 수행되는 것으로 이해되어야 할 것이다.The steps of FIGS. 12 to 14 may be performed while the internal network access application installed in FIG. 2 or 3 is executed in the terminal 100. That is, the user of the terminal 100 can perform the following steps while running the internal network access application on the terminal 100, and the steps of FIGS. 12 to 14 are It is performed in the executed state, and it should be understood that the operation of the terminal 100 is performed by an in-house network access application.

도 12를 참고하면, 단말(100)은 사내망 접속 어플리케이션을 통해 ePDG(250)로 세션 해제 요청 메시지를 전송한다(S1000). 예를 들면, 단말(100)은 도 8에서 설명한 바와 같이, WiFi 망에 접속 중이었던 단말(100)이 LTE 망으로 전환하여 사내망(270)에 접속하는 경우, 사내망 접속 어플리케이션에 의해 세션 해제 과정을 요청할 수 있다. 또한, 이 경우 단말(100)은 IKEv2 INFORMATIONAL Request 메시지를 통해 세션 해제를 요청할 수 있다.Referring to FIG. 12, the terminal 100 transmits a session release request message to the ePDG 250 through an internal network access application (S1000). For example, as described in FIG. 8, when the terminal 100 that has been connected to the WiFi network switches to the LTE network and accesses the corporate network 270, the terminal 100 releases the session by the corporate network access application. You can request a course. Also, in this case, the terminal 100 may request a session release through an IKEv2 INFORMATIONAL Request message.

ePDG(250)는 P-GW(230)에 세션 해제 요청 메시지를 전달하며(S1001), P-GW(230)는 ePDG(250)로 세션 해제 응답 메시지를 전송한다(S1003).The ePDG 250 transmits a session release request message to the P-GW 230 (S1001), and the P-GW 230 transmits a session release response message to the ePDG 250 (S1003).

ePDG(250)는 세션 해제 응답 메시지를 단말(100)로 전송한다(S1005). 이 경우, IKEv2 INFORMATIONAL Response 메시지를 통해 세션 해제 응답을 전송할 수 있다.The ePDG 250 transmits a session release response message to the terminal 100 (S1005). In this case, a session release response may be transmitted through an IKEv2 INFORMATIONAL Response message.

또한, ePDG(250)는 인증 서버(260)로 STR(Session Termination Request) 메시지를 전송하고(S1007), 인증 서버(260)는 STA(Session-Termination-Answer) 메시지를 전송한다(S1009). 상기 단계들을 통해 단말(100)과 ePDG(250)의 IPSec 터널 및 ePDG(250)와 P-GW(230) 사이의 GRE 터널 또는 GTP 터널이 해제된다(S1011).In addition, the ePDG 250 transmits a STR (Session Termination Request) message to the authentication server 260 (S1007), and the authentication server 260 transmits an STA (Session-Termination-Answer) message (S1009). Through the above steps, the IPSec tunnel between the terminal 100 and the ePDG 250 and the GRE tunnel or the GTP tunnel between the ePDG 250 and the P-GW 230 are released (S1011).

도 13 및 도 14를 참고하면, 사내망 접속 어플리케이션이 아닌 P-GW(230) 또는 ePDG(250)에 의해 세션 해제 과정이 요청될 수도 있다.13 and 14, a session release process may be requested by the P-GW 230 or the ePDG 250 rather than the internal network access application.

예를 들면, 현재 단말(100)의 접속이 불안정한 경우, P-GW(230)는 단말(100)을 재접속 시키기 위해 세션 해제 과정을 요청할 수 있다. 또한, P-GW(230)에 장애 사항이 발견되거나 로드가 집중된 경우, ePDG(250)는 사내망(270)에 연결된 다른 P-GW를 통해 단말(100)을 연결하기 위해 세션 해제 과정을 요청할 수도 있다.For example, if the current connection of the terminal 100 is unstable, the P-GW 230 may request a session release process to reconnect the terminal 100. In addition, when a fault is found in the P-GW 230 or the load is concentrated, the ePDG 250 requests a session release process to connect the terminal 100 through another P-GW connected to the corporate network 270. May be.

본 발명에 따르면, 이종망을 통해 사내망으로 접속시, 사용자가 망에 접속하기 위한 별도의 설정없이 간편하게 사내망으로 접속할 수 있다.According to the present invention, when connecting to an internal network through a heterogeneous network, a user can easily access the internal network without a separate setting for accessing the network.

본 발명에 따르면, 무선네트워크 환경에 맞게 자동으로 망 전환이 수행되는바, 망 전환을 위한 전용 단말 개발이 필요 없어 단말 종속성에서 자유로울 수 있다.According to the present invention, since network switching is automatically performed according to a wireless network environment, there is no need to develop a dedicated terminal for network switching, so that the terminal dependency can be free.

본 발명에 따르면, 기존에 서비스되고 있는 사내망에서도 다른 사업자에 의한 접근을 허용할 수 있는바, 기존에 서비스되고 있는 사내망에 대한 사업지위를 유지할 수 있다.According to the present invention, it is possible to allow access by other operators even in an existing in-house network, and thus, it is possible to maintain a business position with respect to the existing in-house network.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements by those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

Claims (13)

단말을 사내망으로 접속시키는 시스템으로서,
사내망 접속 어플리케이션이 실행되면, WiFi 망을 통해, 상기 사내망 접속 어플리케이션에 저장된 ePDG(Evolved Packet Data Gateway) 식별 정보에 대응하는 ePDG로 사내망 접속 요청을 전송하는 단말, 그리고
상기 WiFi 망을 통해 상기 사내망 접속 요청을 수신하면, 상기 사내망 접속 요청에 포함된 상기 단말의 가입자 정보에 기초하여 상기 단말이 가입한 사내망에 연결된 P-GW(Packet data network Gateway)를 식별하고, 상기 단말의 사내망 접속 요청을 허가하며, 상기 P-GW와 세션을 설정하는 ePDG를 포함하며,
상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 단말은 상기 WiFi 망에 접속한 동안 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속하는 사내망 접속 시스템.As a system that connects the terminal to the corporate network,
When the internal network access application is executed, a terminal that transmits an internal network connection request to the ePDG corresponding to the ePDG (Evolved Packet Data Gateway) identification information stored in the internal network access application through the WiFi network, and
Upon receiving the internal network connection request through the WiFi network, the terminal identifies a packet data network gateway (P-GW) connected to the internal network to which the terminal has subscribed based on subscriber information of the terminal included in the internal network connection request. And, allowing the terminal to access the corporate network, and including an ePDG for establishing a session with the P-GW,
When a session is created between the ePDG and the P-GW, the terminal accesses the internal network through the ePDG and the P-GW while accessing the WiFi network. 제1항에서,
상기 단말은
상기 사내망 접속 어플리케이션이 최초로 실행되면, 상기 사내망에 대한 정보를 저장하는 관리 서버로부터 상기 ePDG 식별 정보를 수신하는 사내망 접속 시스템.In claim 1,
The terminal
When the internal network access application is first executed, the internal network access system receives the ePDG identification information from a management server that stores information on the internal network. 제1항에서,
상기 가입자 정보는 상기 단말의 IMSI(International Mobile Station Identity), MSISDN(Mobile Station International ISDN Number) 또는 가입자 아이디 및 패스워드 중 적어도 하나를 포함하는 사내망 접속 시스템.In claim 1,
The subscriber information includes at least one of an International Mobile Station Identity (IMSI), a Mobile Station International ISDN Number (MSISDN), or a subscriber ID and password of the terminal. 제1항에서,
상기 사내망 접속 요청은
상기 단말이 LTE 망을 사용하여 상기 사내망에 접속하였다가 상기 WiFi 망으로 접속을 변경하는 경우, 상기 LTE 망에서 사용한 IP 주소를 더 포함하고,
상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 단말은 상기 IP 주소를 사용하여 상기 사내망에 접속하는 사내망 접속 시스템.In claim 1,
The above internal network access request
When the terminal accesses the corporate network using the LTE network and then changes the connection to the WiFi network, the IP address used in the LTE network is further included,
When a session is created between the ePDG and the P-GW, the terminal accesses the corporate network by using the IP address. 제1항에서,
상기 ePDG는
인증 서버로부터 상기 가입자 정보에 대한 인증 완료 메시지를 수신하면, 상기 단말의 사내망 접속 요청을 허가하는 사내망 접속 시스템.In claim 1,
The ePDG is
When receiving an authentication completion message for the subscriber information from an authentication server, an internal network access system that allows the terminal to access an internal network. 삭제delete 단말이 사내망으로 접속하는 방법으로서,
사내망 접속 어플리케이션이 최초로 실행되면, 사내망에 대한 정보를 저장하는 관리 서버로부터, WiFi 망에서 접속하는 ePDG 식별 정보를 수신하는 단계,
상기 사내망 접속 어플리케이션이 실행되면, 상기 WiFi 망을 통해, 상기 사내망 접속 어플리케이션에 저장된 ePDG 식별 정보에 대응하는 ePDG로, 상기 단말의 가입자 정보를 포함하는 사내망 접속 요청을 전송하는 단계, 그리고
상기 사내망 접속 요청에 따라 상기 ePDG와 상기 사내망에 연결된 P-GW 사이에 세션이 생성되면, 상기 WiFi 망에 접속한 동안 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속하는 단계
를 포함하는 사내망 접속 방법.As a method for the terminal to access the corporate network,
When the in-house network access application is first executed, receiving ePDG identification information connected to the WiFi network from a management server that stores information on the corporate network,
When the internal network access application is executed, transmitting an internal network access request including subscriber information of the terminal to an ePDG corresponding to the ePDG identification information stored in the internal network access application through the WiFi network, and
When a session is created between the ePDG and the P-GW connected to the corporate network according to the corporate network access request, accessing the corporate network through the ePDG and the P-GW while accessing the WiFi network
In-house network access method comprising a. 삭제delete 제7항에서,
상기 사내망 접속 요청은
상기 단말이 LTE 망을 사용하여 상기 사내망에 접속하였다가 WiFi 망으로 접속을 변경하는 경우, 상기 LTE 망에서 사용한 IP 주소를 포함하고,
상기 사내망에 접속하는 단계는
상기 ePDG와 상기 P-GW 사이에 세션이 생성되면, 상기 IP 주소를 사용하여 상기 ePDG 및 상기 P-GW를 통해 상기 사내망에 접속하는 사내망 접속 방법.In clause 7,
The above internal network access request
When the terminal accesses the corporate network using the LTE network and then changes the connection to the WiFi network, the IP address used in the LTE network is included,
The step of accessing the corporate network
When a session is created between the ePDG and the P-GW, an internal network access method for accessing the internal network through the ePDG and the P-GW using the IP address. 사내망 접속 시스템에서 ePDG(Evolved Packet Data Gateway)의 동작 방법으로서,
WiFi 망을 통해, 단말로부터 사내망 접속 요청을 수신하는 단계,
상기 사내망 접속 요청에 포함된 상기 단말의 가입자 정보에 기초하여, 상기 단말의 사내망 접속 요청을 허가하는 단계,
상기 가입자 정보에 기초하여 상기 단말이 가입한 사내망에 연결된 P-GW를 식별하는 단계, 그리고
상기 사내망에 연결된 P-GW와 세션을 설정하는 단계
를 포함하는 동작 방법.As an operation method of ePDG (Evolved Packet Data Gateway) in an internal network access system,
Receiving an in-house network connection request from a terminal through a WiFi network,
Allowing the terminal to access the corporate network based on subscriber information of the terminal included in the corporate network access request,
Identifying a P-GW connected to an internal network to which the terminal subscribes based on the subscriber information, and
Establishing a session with the P-GW connected to the corporate network
Operation method comprising a. 제10항에서,
상기 가입자 정보는 상기 단말의 IMSI, MSISDN 또는 가입자 아이디 및 패스워드 중 적어도 하나를 포함하는 동작 방법.In claim 10,
The subscriber information includes at least one of IMSI, MSISDN, subscriber ID and password of the terminal. 제10항에서,
상기 단말의 사내망 접속 요청을 허가하는 단계는
상기 단말의 가입자 정보를 인증 서버로 전송하는 단계, 그리고
상기 인증 서버로부터 상기 가입자 정보에 대한 인증 완료 메시지를 수신하면, 상기 단말의 사내망 접속 요청을 허가하는 단계
를 포함하는 동작 방법.In claim 10,
The step of allowing the terminal to access the corporate network
Transmitting subscriber information of the terminal to an authentication server, and
Upon receiving an authentication completion message for the subscriber information from the authentication server, allowing the terminal to access the corporate network
Operation method comprising a. 제10항에서,
상기 사내망에 연결된 P-GW와 세션을 설정하는 단계는
상기 식별된 P-GW로 세션 생성 요청 메시지를 전송하는 단계, 그리고
상기 식별된 P-GW로부터 세션 생성 응답 메시지를 수신하면, 상기 P-GW와 세션을 설정하는 단계
를 포함하는 동작 방법.In claim 10,
The step of establishing a session with the P-GW connected to the corporate network
Transmitting a session creation request message to the identified P-GW, and
Upon receiving a session creation response message from the identified P-GW, establishing a session with the P-GW
Operation method comprising a.
KR1020180018822A 2017-06-28 2018-02-14 System and method for performing a private network access of a terminal through application Active KR102178884B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170082068 2017-06-28
KR20170082068 2017-06-28

Publications (2)

Publication Number Publication Date
KR20190001897A KR20190001897A (en) 2019-01-07
KR102178884B1 true KR102178884B1 (en) 2020-11-13

Family

ID=65017049

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180018822A Active KR102178884B1 (en) 2017-06-28 2018-02-14 System and method for performing a private network access of a terminal through application

Country Status (1)

Country Link
KR (1) KR102178884B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101678472B1 (en) * 2015-10-26 2016-11-23 주식회사 케이티 Method and apparatus for managing access to private network, mobile terminal and method for accessing private network thereby

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102279486B1 (en) * 2014-03-13 2021-07-20 삼성전자 주식회사 Method and apparatus for establishing bearer in mobile communication systems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101678472B1 (en) * 2015-10-26 2016-11-23 주식회사 케이티 Method and apparatus for managing access to private network, mobile terminal and method for accessing private network thereby

Also Published As

Publication number Publication date
KR20190001897A (en) 2019-01-07

Similar Documents

Publication Publication Date Title
CN110800331B (en) Network verification method, related equipment and system
US9204416B2 (en) Gateway apparatus, control method therefor and computer program
CN108702381B (en) Message transmission method and core network interface equipment
US9521077B2 (en) Network connection via a proxy device using a generic access point name
CN102695236B (en) A kind of data routing method and system
US9769784B2 (en) Serving gateway-based presence/location detection
WO2016155012A1 (en) Access method in wireless communication network, related device and system
KR20140055857A (en) System and method for providing mobility in heterogeneous network
KR101215456B1 (en) Device management in visiting networks
US9713176B2 (en) Telecommunication method and telecommunication system
CN101516123A (en) Data service packet access roaming control method and system
CN102685714B (en) A kind of method and system for supporting double-mode and double-standby terminal while communication
CN103002428A (en) Attach method and attach system for internet-of-things terminal
WO2017054190A1 (en) Voice communication method and device
KR20110117252A (en) Wireless communication device of mobile communication system
JP3854148B2 (en) Method and apparatus for selecting identification confirmation information
US9872124B2 (en) Mobility management method and system in M2M network
WO2018030349A1 (en) Mobile communication system control method, mobile communication system, and proxy server
KR102185215B1 (en) Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal
KR102069806B1 (en) Operating method of mme, p-gw and subscriber server in communication system for providing multi-tennant private network service
EP2299748A1 (en) Method and system for supporting mobility security in the next generation network
KR20230156685A (en) Method, device, and system for core network device reallocation in a wireless network
KR102178884B1 (en) System and method for performing a private network access of a terminal through application
KR102209289B1 (en) Security and information supporting method and system for proximity based service in mobile telecommunication system environment
KR20190001899A (en) Communication system and communication method using the same

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20180214

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20190130

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20180214

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20200514

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20201008

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20201109

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20201109

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20241023

Start annual number: 5

End annual number: 5