[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20240039819A - System and method for providing enterprise dedicated network service applying network separation structure - Google Patents

System and method for providing enterprise dedicated network service applying network separation structure Download PDF

Info

Publication number
KR20240039819A
KR20240039819A KR1020220118634A KR20220118634A KR20240039819A KR 20240039819 A KR20240039819 A KR 20240039819A KR 1020220118634 A KR1020220118634 A KR 1020220118634A KR 20220118634 A KR20220118634 A KR 20220118634A KR 20240039819 A KR20240039819 A KR 20240039819A
Authority
KR
South Korea
Prior art keywords
management device
plane management
primary terminal
address
user plane
Prior art date
Application number
KR1020220118634A
Other languages
Korean (ko)
Inventor
신태영
김일용
김현근
김혜연
이현송
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020220118634A priority Critical patent/KR20240039819A/en
Publication of KR20240039819A publication Critical patent/KR20240039819A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1차 단말이 상기 1차 단말에 연결된 2차 단말의 기업 전용망 접속을 위해 동작하는 방법으로서, 사용자 평면 관리 장치의 공개된 IP 주소인 제어 IP 주소를 이용하여, 상기 사용자 평면 관리 장치에게 1차 단말 정보가 포함된 1차 단말 인증 요청을 전송하는 단계, 상기 1차 단말 정보에 기초한 단말 인증에 성공하면, 상기 사용자 평면 관리 장치의 데이터 IP 주소를 포함하는 1차 단말 인증 응답을 상기 사용자 평면 관리 장치로부터 수신하는 단계, 그리고 상기 데이터 IP 주소를 이용하여, 상기 사용자 평면 관리 장치와 상기 2차 단말의 사용자 평면 데이터를 송수신하기 위한 전용망 세션을 설정하는 단계를 포함한다.A method in which a primary terminal operates to access a corporate dedicated network of a secondary terminal connected to the primary terminal, by using a control IP address, which is a public IP address of the user plane management device, to provide the primary terminal to the user plane management device. Transmitting a primary terminal authentication request containing information, if terminal authentication based on the primary terminal information is successful, sending a primary terminal authentication response including a data IP address of the user plane management device to the user plane management device. Receiving from, and using the data IP address, setting up a dedicated network session for transmitting and receiving user plane data of the user plane management device and the secondary terminal.

Figure P1020220118634
Figure P1020220118634

Description

망 분리 구조를 적용한 기업 전용망 서비스를 제공하는 시스템 및 그 방법{SYSTEM AND METHOD FOR PROVIDING ENTERPRISE DEDICATED NETWORK SERVICE APPLYING NETWORK SEPARATION STRUCTURE}System and method for providing corporate dedicated network service applying network separation structure {SYSTEM AND METHOD FOR PROVIDING ENTERPRISE DEDICATED NETWORK SERVICE APPLYING NETWORK SEPARATION STRUCTURE}

본 개시는 망 분리 구조를 적용한 기업 전용망 서비스를 제공하는 시스템 및 그 방법에 관한 것이다.This disclosure relates to a system and method for providing a corporate dedicated network service applying a network separation structure.

Private LTE/5G라고 불리우는 기업 전용망 서비스는 EPC(Evolved Packet Core)를 통해 인터넷망 등과 같은 공중망(Public Network)과 기업 전용망(Enterprise Private Network)을 분리하고 기업 가입자의 단말을 공용망 또는 기업 전용망으로 접속시키는 기술이다.The enterprise private network service, called Private LTE/5G, separates the public network such as the Internet network from the enterprise private network through EPC (Evolved Packet Core) and connects the terminal of the enterprise subscriber to the public network or enterprise private network. It is a technique to do.

이러한 기업 전용망 서비스는 기업에 소속된 직원들이 전국 어디에서라도 사무실과 동일한 업무를 경험할 수 있게 하므로, 재택/이동 근무 활성화에 따라 더욱 그 필요성이 증가하는 추세에 있다.This corporate network service allows corporate employees to experience the same work as in the office anywhere in the country, so the need for it is increasing as work from home and mobile work becomes more active.

기업 직원들은 기업 전용망에 접속된 모바일 라우터(1차 단말이라고 함)에, 노트북 등의 전자 장치(2차 단말이라고 함)를 연결하여, 2차 단말에서 기업 전용망 서비스를 이용할 수 있다. 1차 단말과 2차 단말은 WiFi, USB(Universal Serial Bus), UTP(Unshielded Twisted Pair) 등과 같은 근거리 통신 방식으로 연결될 수 있다.Corporate employees can use corporate network services from the secondary terminal by connecting an electronic device such as a laptop (referred to as a secondary terminal) to a mobile router (referred to as a primary terminal) connected to the corporate network. The primary terminal and the secondary terminal can be connected through short-distance communication methods such as WiFi, USB (Universal Serial Bus), or UTP (Unshielded Twisted Pair).

이때, 1차 단말은 통신 표준에 따라 통신 사업자의 코어 시스템인 EPC에서 제어할 수 있지만, 2차 단말에 대한 인증 제어, 트래픽 제어 등은 별도의 기업 전용망 접속 제어 기술을 필요로 한다. 따라서, 통신 사업자는 기업 전용망 접속을 제어하는 장치들을 구축하여 1차 단말 및 2차 단말의 전용망 접속 제어를 가능하게 한다. At this time, the primary terminal can be controlled by EPC, the core system of the communication service provider, according to communication standards, but authentication control and traffic control for the secondary terminal require a separate enterprise network access control technology. Accordingly, communication service providers build devices that control access to a corporate dedicated network to enable private network access control of primary and secondary terminals.

종래의 기업 전용망 접속을 제어하는 장치들은 서로 다른 기업 가입자들의 트래픽을 수용하여 처리하고 있다. Devices that control access to a conventional corporate network accept and process traffic from different corporate subscribers.

그런데, 보안이 중요한 국가망 사업이나 공공기관 가입자들의 경우, 다른 가입자들과의 트래픽 분리를 요구하므로, 이를 달성하기 위한 방안이 필요하다. However, in the case of subscribers to national network projects or public institutions where security is important, traffic separation from other subscribers is required, so a method to achieve this is needed.

본 개시는 1차 단말에 연결된 2차 단말의 기업 전용망 접속을 제어하는 관리 장치를 사용자 평면 데이터를 다루는 사용자 평면 관리 장치와 제어 평면 데이터를 다루는 제어 평면 관리 장치로 분리하고, APN(Access Point Name)과 VLAN(Virtual LAN) ID를 매핑한 정보, VLAN ID와 사용자 평면 관리 장치의 IP 주소를 매핑한 정보를 이용하여 트래픽을 복수의 기업 가입자 별로 또는 한 기업 가입자가 제공하는 복수의 서비스 슬라이스 별로 논리적으로 구분하는 망 분리 구조를 적용한 기업 전용망 서비스를 제공하는 시스템 및 그 방법에 관한 것이다. The present disclosure separates the management device that controls access to the corporate network of the secondary terminal connected to the primary terminal into a user plane management device that handles user plane data and a control plane management device that handles control plane data, and APN (Access Point Name) Using the information mapping the VLAN (Virtual LAN) ID and the information mapping the VLAN ID and the IP address of the user plane management device, traffic is logically distributed by multiple corporate subscribers or by multiple service slices provided by one corporate subscriber. It relates to a system and method for providing corporate dedicated network services using a network separation structure.

본 개시는 제어 평면 관리 장치를 사용자 평면 관리 장치의 후단에 위치시켜 사용자 평면 관리 장치와의 내부 통신으로 접속하도록 제한하며, 2차 단말이 접근 가능한 사용자 평면 관리 장치의 IP 주소를 1차 단말의 인증 여부에 따라 다르게 운용함으로써, 보안이 강화된 기업 전용망 서비스를 제공하는 시스템 및 그 방법에 관한 것이다.The present disclosure places the control plane management device at the rear of the user plane management device and restricts connection to internal communication with the user plane management device, and uses the IP address of the user plane management device accessible to the secondary terminal for authentication of the primary terminal. It relates to a system and method for providing a corporate dedicated network service with enhanced security by operating differently depending on availability.

하나의 특징에 따르면, 1차 단말이 상기 1차 단말에 연결된 2차 단말의 기업 전용망 접속을 위해 동작하는 방법으로서, 사용자 평면 관리 장치의 공개된 IP 주소인 제어 IP 주소를 이용하여, 상기 사용자 평면 관리 장치에게 1차 단말 정보가 포함된 1차 단말 인증 요청을 전송하는 단계, 상기 1차 단말 정보에 기초한 단말 인증에 성공하면, 상기 사용자 평면 관리 장치의 데이터 IP 주소를 포함하는 1차 단말 인증 응답을 상기 사용자 평면 관리 장치로부터 수신하는 단계, 그리고 상기 데이터 IP 주소를 이용하여, 상기 사용자 평면 관리 장치와 상기 2차 단말의 사용자 평면 데이터를 송수신하기 위한 전용망 세션을 설정하는 단계를 포함한다.According to one feature, a method in which a primary terminal operates to access a corporate private network of a secondary terminal connected to the primary terminal, using a control IP address that is a public IP address of a user plane management device, the user plane Transmitting a primary terminal authentication request containing primary terminal information to a management device; if terminal authentication based on the primary terminal information is successful, a primary terminal authentication response including a data IP address of the user plane management device. Receiving from the user plane management device, and using the data IP address, setting up a dedicated network session for transmitting and receiving user plane data of the user plane management device and the secondary terminal.

상기 수신하는 단계와 상기 설정하는 단계 사이에, 상기 데이터 IP 주소를 이용하여, 2차 단말 정보가 포함된 2차 단말 인증 요청을 상기 사용자 평면 관리 장치로 전송하여, 상기 2차 단말 정보에 기초한 단말 인증 결과가 포함된 2차 단말 인증 응답을 수신하는 단계를 더 포함하고, 상기 설정하는 단계는, 상기 2차 단말 정보에 기초한 단말 인증 결과가 인증 성공인 경우에, 수행될 수 있다.Between the receiving step and the setting step, a secondary terminal authentication request containing secondary terminal information is transmitted to the user plane management device using the data IP address, and the terminal based on the secondary terminal information is transmitted to the user plane management device. It may further include receiving a secondary terminal authentication response including an authentication result, and the setting step may be performed when the terminal authentication result based on the secondary terminal information is authentication success.

상기 데이터 IP 주소는, 복수의 기업 가입자 또는 하나의 기업 가입자의 서비스 별로 구분된 복수의 슬라이스 별로 다르게 설정될 수 있다.The data IP address may be set differently for a plurality of slices divided by service of a plurality of corporate subscribers or one corporate subscriber.

상기 1차 단말 인증 요청은, 상기 복수의 기업 가입자를 구분하기 위한 APN(Access Point Name) 또는 상기 복수의 슬라이스를 구분하기 위한 슬라이스 식별자를 포함할 수 있다.The primary terminal authentication request may include an Access Point Name (APN) for distinguishing the plurality of corporate subscribers or a slice identifier for distinguishing the plurality of slices.

상기 제어 IP 주소는, 복수의 기업 가입자 또는 하나의 기업 가입자의 서비스 별로 구분된 복수의 슬라이스에 공통으로 설정될 수 있다.The control IP address can be commonly set to a plurality of slices divided by service of a plurality of corporate subscribers or one corporate subscriber.

다른 특징에 따르면, 1차 단말 및 상기 1차 단말과 연결된 2차 단말의 전용망 접속을 제어하는 기업 전용망 서비스 시스템으로서, 상기 1차 단말 및 상기 2차 단말에 대한 전용망 접속 권한을 판단하는 단말 인증을 수행하는 제어 평면 관리 장치, 그리고 상기 1차 단말과 상기 2차 단말의 전용망 트래픽을 송수신하기 위한 전용망 세션을 설정하는 사용자 평면 관리 장치를 포함하고, 상기 사용자 평면 관리 장치는, 복수의 기업 가입자 또는 하나의 기업 가입자의 서비스 별로 구분된 복수의 슬라이스 별로 다르게 할당된 IP 주소를 이용하여 각각의 전용망 트래픽을 논리적으로 구분하여 처리한다.According to another feature, it is a corporate dedicated network service system that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal, and includes terminal authentication that determines dedicated network access rights for the primary terminal and the secondary terminal. A control plane management device that performs a control plane management device, and a user plane management device that establishes a dedicated network session for transmitting and receiving dedicated network traffic between the primary terminal and the secondary terminal, wherein the user plane management device is configured to connect a plurality of enterprise subscribers or one Each dedicated network traffic is logically separated and processed using IP addresses differently assigned to multiple slices divided by service of corporate subscribers.

상기 기업 전용망 서비스 시스템은 상기 1차 단말과 상기 사용자 평면 관리 장치에 위치하여 상기 2차 단말의 전용망 트래픽을 라우팅하는 네트워크 장치를 더 포함하고, 상기 네트워크 장치는, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 다르게 할당된 VLAN ID를 이용하여 각각의 전용망 트래픽을 논리적으로 구분하여 처리할 수 있다.The enterprise dedicated network service system further includes a network device located in the primary terminal and the user plane management device to route dedicated network traffic of the secondary terminal, wherein the network device is connected to the plurality of corporate subscribers or the plurality of corporate subscribers. Each dedicated network traffic can be logically separated and processed using VLAN IDs assigned differently for each slice.

상기 네트워크 장치는, 상기 1차 단말로부터 수신한 전용망 트래픽의 APN(Access Point Name)에 매칭되는 VLAN ID를 상기 전용망 트래픽에 포함시켜 상기 사용자 평면 관리 장치로 전달할 수 있다.The network device may include a VLAN ID matching the APN (Access Point Name) of the dedicated network traffic received from the primary terminal in the dedicated network traffic and transmit it to the user plane management device.

상기 사용자 평면 관리 장치는, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스에 공통으로 할당된 제어 IP 주소를 이용하여 상기 1차 단말로부터 1차 단말 인증 요청을 수신할 수 있다.The user plane management device may receive a primary terminal authentication request from the primary terminal using a control IP address commonly assigned to the plurality of enterprise subscribers or the plurality of slices.

상기 제어 IP 주소는, 상기 1차 단말이 코어망과 전용망 세션을 설립하는 과정에서 상기 코어망으로부터 획득할 수 있다.The control IP address can be obtained from the core network during the process of establishing a dedicated network session with the primary terminal.

상기 사용자 평면 관리 장치는, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 다르게 할당된 데이터 IP 주소를 이용하여 상기 1차 단말과 전용망 세션을 설정할 수 있다. The user plane management device may establish a dedicated network session with the primary terminal using data IP addresses differently assigned to each of the plurality of enterprise subscribers or the plurality of slices.

상기 사용자 평면 관리 장치는, 1차 단말 인증에 성공한 경우, 상기 제어 평면 관리 장치로부터 상기 데이터 IP 주소를 수신하여 상기 1차 단말에게 전송할 수 있다.If primary terminal authentication is successful, the user plane management device may receive the data IP address from the control plane management device and transmit it to the primary terminal.

상기 사용자 평면 관리 장치는, 상기 데이터 IP 주소를 이용하여 2차 단말 인증 요청을 수신하고, 상기 2차 단말 인증 요청을 상기 제어 평면 관리 장치로 전달할 수 있다.The user plane management device may receive a secondary terminal authentication request using the data IP address and transmit the secondary terminal authentication request to the control plane management device.

상기 사용자 평면 관리 장치는, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 다르게 할당된 코어 IP 주소를 사용하여 상기 제어 평면 관리 장치와 내부망 통신을 수행할 수 있다.The user plane management device may perform internal network communication with the control plane management device using core IP addresses differently assigned to each of the plurality of enterprise subscribers or the plurality of slices.

상기 사용자 평면 관리 장치는, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 구분되는 복수의 망 분리 식별자와 복수의 내부 코어 IP 주소를 매칭한 식별자-코어 IP 정보를 저장하고, 상기 1차 단말로부터 수신하는 전용망 트래픽으로부터 확인한 망 분리 식별자에 매칭되는 코어 IP 주소를 선택할 수 있다.The user plane management device stores identifier-core IP information matching a plurality of network separation identifiers divided by the plurality of corporate subscribers or the plurality of slices and a plurality of internal core IP addresses, and receives it from the primary terminal. You can select a core IP address that matches the network isolation identifier identified from the dedicated network traffic.

상기 사용자 평면 관리 장치는, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 구분되는 각각의 코어 IP 주소를 사용하여 상기 제어 평면 관리 장치와 단말 인증 관련 데이터를 송수신하는 복수의 내부망 연동 노드, 상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 구분되는 각각의 데이터 IP 주소를 사용하여 상기 1차 단말과 전용망 세션을 설정하고, 상기 2차 단말에 대한 인증 요청을 수신하는 복수의 데이터 처리 노드, 그리고 상기 제어 IP 주소를 사용하여 상기 1차 단말과 통신하는 게이트웨이 노드를 포함할 수 있다.The user plane management device includes a plurality of internal network interoperating nodes that transmit and receive terminal authentication-related data with the control plane management device using respective core IP addresses distinguished for each of the plurality of enterprise subscribers or the plurality of slices, the plurality of internal network interconnection nodes A plurality of data processing nodes that establish a dedicated network session with the primary terminal using corporate subscribers or respective data IP addresses distinguished for each of the plurality of slices and receive an authentication request for the secondary terminal, and the control It may include a gateway node that communicates with the primary terminal using an IP address.

또 다른 특징에 따르면, 1차 단말 및 상기 1차 단말과 연결된 2차 단말의 전용망 접속을 제어하는 사용자 평면 관리 장치의 동작 방법으로서, 상기 사용자 평면 관리 장치의 공개된 IP 주소인 제어 IP 주소를 이용하여, 상기 1차 단말로부터 1차 단말 정보가 포함된 1차 단말 인증 요청을 수신하는 단계, 상기 1차 단말 정보에 기초하여 1차 단말 인증을 수행하는 제어 평면 관리 장치에게 상기 1차 단말 인증 요청을 전달하는 단계, 상기 1차 단말 인증에 성공한 경우, 상기 사용자 평면 관리 장치의 데이터 IP 주소가 포함된 1차 단말 인증 응답을 상기 제어 평면 관리 장치로부터 수신하는 단계, 상기 1차 단말 인증 응답을 상기 1차 단말에게 전송하는 단계, 그리고 상기 1차 단말과 상기 데이터 IP 주소를 이용하여 상기 2차 단말의 사용자 평면 데이터를 송수신하기 위한 전용망 세션을 설정하는 단계를 포함한다.According to another feature, a method of operating a user plane management device that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal, using a control IP address that is a public IP address of the user plane management device. Thus, receiving a primary terminal authentication request including primary terminal information from the primary terminal, requesting the primary terminal authentication to a control plane management device that performs primary terminal authentication based on the primary terminal information. transmitting, if the first terminal authentication is successful, receiving a first terminal authentication response including a data IP address of the user plane management device from the control plane management device, receiving the first terminal authentication response from the control plane management device. Transmitting to a primary terminal, and establishing a dedicated network session for transmitting and receiving user plane data of the secondary terminal using the data IP address with the primary terminal.

상기 전달하는 단계는, 상기 1차 단말 인증 요청에 포함된 VLAN ID에 매칭되는 코어 IP 주소를 사용하여 상기 제어 평면 관리 장치에게 상기 1차 단말 인증 요청을 전달할 수 있다.In the forwarding step, the primary terminal authentication request may be transmitted to the control plane management device using a core IP address matching the VLAN ID included in the primary terminal authentication request.

상기 데이터 IP 주소는, 상기 제어 평면 관리 장치에 의해 상기 코어 IP 주소에 따라 할당될 수 있다.The data IP address may be assigned according to the core IP address by the control plane management device.

상기 VLAN ID는, 상기 1차 단말과 상기 사용자 평면 관리 장치 사이에 위치하는 네트워크 장치에 의해 추가될 수 있다.The VLAN ID may be added by a network device located between the primary terminal and the user plane management device.

실시예에 따르면, 1차 단말에 연결된 2차 단말을 대상으로 기업 전용망 서비스를 제공하는 이동통신 환경에서 전용망 접속 관리 장치를 제어 평면을 다루는 제어 평면 관리 장치와 사용자 평면을 다루는 사용자 평면 관리 장치로 분리하고, VLAN을 이용하여 기업 가입자 별로 또는 서비스 슬라이스 별로 논리적으로 구분하여 트래픽을 처리하는 망 분리 구조를 제공함으로써, 기업 가입자가 원하는 전용망 서비스를 효율적으로 제공함과 동시에 가입/인증 정보를 다루는 제어 평면 관리 장치를 외부로부터 보호할 수 있다.According to an embodiment, in a mobile communication environment that provides enterprise dedicated network services to secondary terminals connected to the primary terminal, the dedicated network access management device is divided into a control plane management device that handles the control plane and a user plane management device that handles the user plane. And, by providing a network separation structure that processes traffic by logically dividing it by corporate subscriber or service slice using VLAN, it efficiently provides the dedicated network service desired by corporate subscribers and at the same time, a control plane management device that handles subscription/authentication information. can be protected from the outside.

도 1은 실시예에 따른 기업 전용망 서비스 시스템의 구성도이다.
도 2는 실시예에 따른 기업 전용망 서비스 시스템의 망 분리 구조를 나타낸다.
도 3은 도 2의 망 분리 구조에서 1차 단말의 인증 트래픽의 흐름을 나타낸다.
도 4는 도 2의 망 분리 구조에서 2차 단말의 인증 트래픽의 흐름을 나타낸다.
도 5는 도 2의 망 분리 구조에서 2차 단말의 사용자 트래픽의 흐름을 나타낸다.
도 6은 실시예에 따른 1차 단말 인증 절차를 나타낸 흐름도이다.
도 7은 실시예에 따른 2차 단말 인증 절차를 나타낸 흐름도이다.
도 8은 다른 실시예에 따른 망 분리 구조를 적용한 기업 전용망 시스템을 도시한다.
도 9는 실시예에 따른 망 분리 구조의 장애 모니터링 구조를 나타낸다.1 is a configuration diagram of a corporate dedicated network service system according to an embodiment.
Figure 2 shows the network separation structure of a corporate dedicated network service system according to an embodiment.
Figure 3 shows the flow of authentication traffic of the primary terminal in the network separation structure of Figure 2.
FIG. 4 shows the flow of authentication traffic of a secondary terminal in the network separation structure of FIG. 2.
FIG. 5 shows the flow of user traffic of a secondary terminal in the network separation structure of FIG. 2.
Figure 6 is a flowchart showing the primary terminal authentication procedure according to an embodiment.
Figure 7 is a flowchart showing a secondary terminal authentication procedure according to an embodiment.
Figure 8 shows a corporate dedicated network system applying a network separation structure according to another embodiment.
Figure 9 shows a failure monitoring structure of a network separation structure according to an embodiment.

아래에서는 첨부한 도면을 참고로 하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Below, with reference to the attached drawings, embodiments of the present disclosure will be described in detail so that those skilled in the art can easily practice them. However, the present disclosure may be implemented in many different forms and is not limited to the embodiments described herein. In order to clearly explain the present disclosure in the drawings, parts that are not related to the description are omitted, and similar parts are given similar reference numerals throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part is said to “include” a certain element, this means that it may further include other elements rather than excluding other elements, unless specifically stated to the contrary.

또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In addition, terms such as "... unit", "... unit", and "... module" used in the specification refer to a unit that processes at least one function or operation, which may be implemented through hardware or software or a combination of hardware and software. You can.

본 발명에서 설명하는 장치들은 적어도 하나의 프로세서, 메모리 장치, 통신 장치 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도면들을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서와 메모리 장치 등의 하드웨어와 결합하여 본 발명을 실행한다.The devices described in the present invention are composed of hardware including at least one processor, a memory device, a communication device, etc., and a program that is executed in conjunction with the hardware is stored in a designated location. The hardware has a configuration and performance capable of executing the method of the present invention. The program includes instructions that implement the operating method of the present invention described with reference to the drawings, and executes the present invention by combining it with hardware such as a processor and memory device.

본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것 뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.In this specification, “transmission or provision” may include not only direct transmission or provision, but also indirect transmission or provision through another device or by using a circuitous route.

본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.In this specification, expressions described as singular may be interpreted as singular or plural, unless explicit expressions such as “one” or “single” are used.

본 명세서에서 도면에 관계없이 동일한 도면번호는 동일한 구성요소를 지칭하며, "및/또는" 은 언급된 구성 요소들의 각각 및 하나 이상의 모든 조합을 포함한다.In this specification, the same reference numbers refer to the same elements regardless of the drawings, and “and/or” includes each and all combinations of one or more of the mentioned elements.

본 명세서에서, 제1, 제2 등과 같이 서수를 포함하는 용어들은 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를들어, 본 개시의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.In this specification, terms including ordinal numbers, such as first, second, etc., may be used to describe various components, but the components are not limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, a first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component without departing from the scope of the present disclosure.

본 명세서에서 도면을 참고하여 설명한 흐름도에서, 동작 순서는 변경될 수 있고, 여러 동작들이 병합되거나, 어느 동작이 분할될 수 있고, 특정 동작은 수행되지 않을 수 있다.In the flowcharts described herein with reference to the drawings, the order of operations may be changed, several operations may be merged, certain operations may be divided, and certain operations may not be performed.

명세서에서, 기업 전용망 서비스는 기업 가입자의 단말을 대상으로 외부 접근이 제한된 이동통신 서비스를 제공한다. 기업 전용망 서비스는 통신사 네트워크의 코어망을 통해 공중망(Public Network)과 전용망(Dedicated Network)을 분리한다. 전용망은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공하며, 예를 들면, 사설망(Private Network), 인트라넷(Intranet)으로 호칭될 수 있다. 이때, 실시예에서는 기업 가입자를 대상으로 하므로, 기업 전용망이라 호칭한다. 기업 전용망은 불특정 다수를 대상으로 이동통신 서비스를 제공하는 인터넷 망 등의 공중망과 구분된다. In the specification, the corporate dedicated network service provides mobile communication services with restricted external access to corporate subscriber terminals. The corporate dedicated network service separates the public network and dedicated network through the core network of the telecommunication company network. A private network provides mobile communication services with limited external access to specific subscribers, and may be called, for example, a private network or an intranet. At this time, since the embodiment targets corporate subscribers, it is called a corporate dedicated network. A corporate network is distinguished from a public network such as an Internet network that provides mobile communication services to an unspecified number of people.

이때, 통신사 네트워크는 3G 네트워크, LTE(Long Term Evolution) 네트워크, 또는 5G 네트워크일 수 있는데, 설명에서는 5G 네트워크를 예로 들어 설명한다.At this time, the telecommunication company network may be a 3G network, a Long Term Evolution (LTE) network, or a 5G network, and the explanation will use the 5G network as an example.

본 명세서에서 5G 네트워크는 1차 단말이 무선 접속하는 접속망(Radio Access network, RAN), 그리고 복수의 네트워크 기능들(Network Functions)로 구성되는 코어망(Core Network)을 포함한다. 코어망은 접속 및 이동성 관리 기능(Access and Mobility Management Function, AMF), 세션 관리 기능(Session Management Function, SMF), SMF에 의해 PDU(Packet Data Unit) 세션을 생성하고 데이터 네트워크(Data Network, DN)에 연결되어 트래픽을 처리하는 사용자 플레인 기능(User Plane Function, UPF), 과금 및 서비스 품질 정책을 제어하는 정책 제어 기능(Policy Control Function, PCF), 가입자 정보를 관리하는 통합 데이터 관리 기능(Unified Data Management, UDM) 및 통합 데이터 저장소(Unified Data Repository, UDR), 네트워크 노출 기능(Network Exposure function, NEF) 등을 포함할 수 있다.In this specification, the 5G network includes a Radio Access network (RAN) through which primary terminals wirelessly access, and a Core Network consisting of a plurality of network functions. The core network has an Access and Mobility Management Function (AMF), a Session Management Function (SMF), and creates a PDU (Packet Data Unit) session through the SMF and a data network (Data Network, DN). User Plane Function (UPF), which is connected to and processes traffic, Policy Control Function (PCF), which controls charging and quality of service policies, and Unified Data Management function, which manages subscriber information. , UDM), Unified Data Repository (UDR), and Network Exposure function (NEF).

본 명세서에서 5G 네트워크에 직접 연결된 단말을 1차 단말 또는 상위 단말이라고 부르고, 1차 단말에 연결되어 5G 네트워크에 접속하는 단말을 2차 단말 또는 하위 단말이라고 부를 수 있다. 2차 단말은 1차 단말에 직접 연결된 하위 단말로만 한정되지 않고, n차 단말일 수 있다. 1차 단말은 무선 에그와 같은 모바일 라우터, 또는 모바일 라우팅 기능이 탑재된 모바일 단말일 수 있고, 설명에서는 주로 모바일 라우터라고 설명할 수 있다. 2차 단말은 1차 단말에 근거리 통신 방식으로 연결될 수 있는 단말로서, 설명에서는 주로 노트북이라고 설명할 수 있다. In this specification, a terminal directly connected to the 5G network may be referred to as a primary terminal or a higher-level terminal, and a terminal connected to the primary terminal and accessing the 5G network may be referred to as a secondary terminal or lower-level terminal. The secondary terminal is not limited to lower level terminals directly connected to the primary terminal, and may be an nth terminal. The primary terminal may be a mobile router such as a wireless egg, or a mobile terminal equipped with a mobile routing function, and in the description, it can mainly be described as a mobile router. The secondary terminal is a terminal that can be connected to the primary terminal through short-distance communication, and can mainly be described as a laptop in the description.

도 1은 실시예에 따른 기업 전용망 서비스 시스템의 구성도이다.1 is a configuration diagram of a corporate dedicated network service system according to an embodiment.

도 1을 참조하면, 기업 전용망 서비스 시스템(100)은 제어 평면 관리 장치(Control plane)(101), 사용자 평면 관리 장치(User plane)(102), 기업 전용 스위치(103), 기업 전용 UPF(104), 무선 접속망(105), 1차 단말(106), 2차 단말(107), 코어 시스템(108)을 포함한다.Referring to FIG. 1, the enterprise dedicated network service system 100 includes a control plane management device (Control plane) 101, a user plane management device (102), an enterprise dedicated switch 103, and an enterprise dedicated UPF (104). ), wireless access network 105, primary terminal 106, secondary terminal 107, and core system 108.

제어 평면 관리 장치(101), 사용자 평면 관리 장치(102), 기업 전용 UPF(104)는 1차 단말(106)에 연결된 2차 단말(107)을 기업 전용망(109, 110)에 접속시키기 위한 전용 장비들이다. 특히, 제어 평면 관리 장치(101), 사용자 평면 관리 장치(102)는 기업 전용망(109, 110) 접속을 위한 인증 및 접속 제어를 하는 기업 전용 장비이다. The control plane management device 101, the user plane management device 102, and the enterprise dedicated UPF 104 are dedicated for connecting the secondary terminal 107 connected to the primary terminal 106 to the enterprise dedicated network 109, 110. It's equipment. In particular, the control plane management device 101 and the user plane management device 102 are enterprise-specific equipment that performs authentication and access control for access to the enterprise-specific networks 109 and 110.

제어 평면 관리 장치(101)는 1차 단말(106) 및 2차 단말(107)이 기업 전용망(109, 110)에 접속할 수 있는 권한이 있는지 판단하는 인증 등과 같이 기업 전용망 접속 제어에 관련된 제어 평면 데이터를 처리한다. 또한, 제어 평면 관리 장치(101, 105)는 2차 단말(107)에 IP 할당, 2차 단말 상태 관리 등을 수행할 수 있다.The control plane management device 101 controls control plane data related to access control to the corporate network, such as authentication to determine whether the primary terminal 106 and the secondary terminal 107 are authorized to access the corporate network 109 and 110. Process. Additionally, the control plane management devices 101 and 105 may perform IP allocation to the secondary terminal 107, secondary terminal status management, etc.

사용자 평면 관리 장치(102)는 1차 단말(106)과 연결된 전용망 세션을 통해 2차 단말(107)이 1차 단말(106)을 통해 기업 전용망(109, 110)과 송수신하는 사용자 평면 데이터를 처리한다. 사용자 평면 관리 장치(102)는 2차 단말(107)과 기업 전용망(109, 110) 간에 상향링크 데이터 및 하향링크 데이터를 라우팅한다.The user plane management device 102 processes user plane data transmitted and received from the secondary terminal 107 to the enterprise dedicated network 109 and 110 through the primary terminal 106 through a dedicated network session connected to the primary terminal 106. do. The user plane management device 102 routes uplink data and downlink data between the secondary terminal 107 and the enterprise dedicated network (109, 110).

기업 전용 스위치(103)는 사용자 평면 관리 장치(102)와 기업 전용 UPF(104) 사이에 위치하는 L3 스위치일 수 있다. The enterprise-only switch 103 may be an L3 switch located between the user plane management device 102 and the enterprise-only UPF 104.

기업 전용 UPF(104)는 코어 장치로서, 1차 단말(106)과 5G 표준에 따른 전용망 세션을 연결한다. The corporate UPF 104 is a core device that connects the primary terminal 106 to a dedicated network session according to the 5G standard.

1차 단말(106)은 네트워크에 직접 연결되고 적어도 하나의 2차 단말(107)과 근거리 통신으로 연결된다. The primary terminal 106 is directly connected to the network and connected to at least one secondary terminal 107 through short-distance communication.

1차 단말(106)은 적어도 하나의 2차 단말(107)과 사용자 평면 관리 장치(102) 간에 송수신하는 전용망 트래픽을 라우팅한다. The primary terminal 106 routes dedicated network traffic transmitted and received between at least one secondary terminal 107 and the user plane management device 102.

예를들면, 1차 단말(106)은 5G 네트워크에 접속하는 모바일 라우터, 또는 모바일 라우팅 기능을 탑재한 모바일 단말일 수 있다. For example, the primary terminal 106 may be a mobile router connected to a 5G network, or a mobile terminal equipped with a mobile routing function.

1차 단말(106)은 무선 접속망(Radio Access network, RAN)의 기지국(예, gNB)(105)에 접속하여 기업 전용 UPF(104), 사용자 평면 관리 장치(102)로 트래픽을 전송할 수 있다.The primary terminal 106 may connect to a base station (e.g., gNB) 105 of a radio access network (RAN) and transmit traffic to the enterprise-specific UPF 104 and the user plane management device 102.

2차 단말(107)은 1차 단말(106)과 연결되는 디바이스로서, 예를 들면, 노트북 등의 전자 기기일 수 있다. The secondary terminal 107 is a device connected to the primary terminal 106 and may be, for example, an electronic device such as a laptop.

여기서, 2차 단말(107)은 1차 단말(106)과 다양한 방식으로 연결될 수 있는데, 예를 들어, WiFi, USB(Universal Serial Bus), UTP(Unshielded Twisted Pair) 등의 방식으로 연결될 수 있다.Here, the secondary terminal 107 may be connected to the primary terminal 106 in various ways, for example, WiFi, USB (Universal Serial Bus), UTP (Unshielded Twisted Pair), etc.

2차 단말(107)은 제어 평면 관리 장치(101)에서 전용망 접속 인증하도록 관리되는 단말일 수 있고, 예를 들면, 제어 평면 관리 장치(101)에 등록된 업무용 디바이스 또는 사용자가 등록한 디바이스일 수 있다. The secondary terminal 107 may be a terminal managed by the control plane management device 101 to authenticate a dedicated network connection, and may be, for example, a business device registered with the control plane management device 101 or a device registered by a user. .

코어 시스템(108)은 코어 장치들로 구성되며, 1차 단말(106)의 가입자 정보에 기초하여 1차 단말(106)을 기업 전용 UPF(104)와 연결시킨다. 이러한 연결 과정은 공지된 기술을 사용하므로, 자세한 설명은 생략한다. The core system 108 is composed of core devices and connects the primary terminal 106 with the enterprise-only UPF 104 based on subscriber information of the primary terminal 106. Since this connection process uses known technology, detailed description is omitted.

이때, 기업 가입자 A와 기업 가입자 B의 전용망 트래픽은 모두 물리적으로 동일한 사용자 평면 관리 장치(102)와 동일한 기업 전용 UPF(104)에서 처리되지만, 논리적인 망 분리 구조를 적용하여 복수의 기업 가입자 별로 구별하여 처리된다. At this time, the dedicated network traffic of corporate subscriber A and corporate subscriber B is all physically processed by the same user plane management device 102 and the same corporate UPF 104, but is distinguished for each corporate subscriber by applying a logical network separation structure. It is processed.

본 발명의 실시예에서는 사용자 평면 관리 장치(102)의 IP 주소를 기업 가입자 별로 구분하고, 논리적인 망 분리 구분자인 APN(Access Point Name)과 VLAN(Virtual LAN) ID를 기업 가입자 별로 다르게 할당하여 운용함으로써, 전용망 트래픽을 복수의 기업 가입자 별로 분리하여 처리하는 망 분리 구조를 제공한다. 이러한 망 분리 구조를 도 2 ~ 도 5를 통해 자세히 설명한다. In an embodiment of the present invention, the IP address of the user plane management device 102 is divided into corporate subscribers, and the APN (Access Point Name) and VLAN (Virtual LAN) ID, which are logical network separation identifiers, are assigned and operated differently for each corporate subscriber. By doing so, it provides a network separation structure that separates and processes dedicated network traffic for each corporate subscriber. This network separation structure will be described in detail through FIGS. 2 to 5.

도 2는 실시예에 따른 기업 전용망 서비스 시스템의 망 분리 구조를 나타내고, 도 3은 도 2의 망 분리 구조에서 1차 단말의 인증 트래픽의 흐름을 나타내고, 도 4는 도 2의 망 분리 구조에서 2차 단말의 인증 트래픽의 흐름을 나타내며, 도 5는 도 2의 망 분리 구조에서 2차 단말의 사용자 트래픽의 흐름을 나타낸다.Figure 2 shows the network separation structure of the corporate dedicated network service system according to an embodiment, Figure 3 shows the flow of authentication traffic of the primary terminal in the network separation structure of Figure 2, and Figure 4 shows the network separation structure of Figure 2. It shows the flow of authentication traffic of the secondary terminal, and FIG. 5 shows the flow of user traffic of the secondary terminal in the network separation structure of FIG. 2.

이때, 도 1의 기업 전용망 서비스 시스템에서 망 분리 구조와 관련된 세부 구성을 도시한다.At this time, the detailed configuration related to the network separation structure in the corporate dedicated network service system of FIG. 1 is shown.

먼저, 도 2를 참조하면, 제어 평면 관리 장치(101)는 사용자 평면 관리 장치(102)의 후단에 위치하고, 사용자 평면 관리 장치(102)와 내부 통신을 한다. 따라서, 제어 평면 관리 장치(101)의 IP 주소(이하, '코어 IP-C'로 통칭함)는 사용자 평면 관리 장치(102)와의 내부 통신을 위해 할당된 IP 주소로서, 외부에 공개되지 않는다.First, referring to FIG. 2, the control plane management device 101 is located behind the user plane management device 102 and communicates internally with the user plane management device 102. Accordingly, the IP address of the control plane management device 101 (hereinafter collectively referred to as 'Core IP-C') is an IP address allocated for internal communication with the user plane management device 102 and is not disclosed to the outside.

사용자 평면 관리 장치(102)는 복수개의 IP 주소를 사용하고, 각 IP 주소를 사용하는 복수개의 노드를 포함한다. The user plane management device 102 uses a plurality of IP addresses and includes a plurality of nodes using each IP address.

복수개의 IP 주소는 제어 IP 주소, 데이터 IP 주소, 코어 IP 주소(이하, '코어 IP-U'로 통칭함)를 포함한다. The plurality of IP addresses includes a control IP address, a data IP address, and a core IP address (hereinafter collectively referred to as 'Core IP-U').

사용자 평면 관리 장치(102)는 제어 IP 주소를 사용하는 게이트웨이 노드, 기업 가입자 별로 구분된 복수의 데이터 IP 주소를 사용하는 복수의 데이터 처리 노드, 기업 가입자 별로 구분된 복수의 코어 IP-U를 사용하는 복수의 내부망 연동 노드를 포함한다.The user plane management device 102 includes a gateway node using a control IP address, a plurality of data processing nodes using a plurality of data IP addresses divided by corporate subscriber, and a plurality of core IP-Us divided by corporate subscriber. Includes multiple internal network interconnection nodes.

제어 IP 주소는 외부에 공개되는 IP 주소이다. 1차 단말(106, 106a, 106b)은 전용망 접속 권한을 판단하는 단말 인증이 완료되기 전에 제어 IP 주소를 이용하여 사용자 평면 관리 장치(102)의 게이트웨이 노드로 접속한다. The control IP address is an IP address that is exposed to the outside world. The primary terminals 106, 106a, and 106b connect to the gateway node of the user plane management device 102 using the control IP address before terminal authentication to determine access authority to the dedicated network is completed.

이때, 제어 IP 주소는 복수의 기업 가입자에게 공통으로 사용된다.At this time, the control IP address is commonly used by multiple corporate subscribers.

1차 단말(106, 106a, 106b)은 코어 시스템(108)으로부터 코어 시스템(108)과 네트워크 접속 절차를 수행하는 과정에서 제어 IP 주소를 획득하거나 또는 제어 IP 주소를 획득하기 위한 도메인 네임 및 DNS(Domain Name Server) 정보를 획득할 수 있다. 1차 단말(106, 106a, 106b)은 DNS 정보를 이용하여 도메인 네임에 매칭되는 제어 IP 주소를 획득할 수 있다.The primary terminals 106, 106a, 106b acquire a control IP address in the process of performing a network connection procedure with the core system 108, or use a domain name and DNS (DNS) to obtain a control IP address. Domain Name Server) information can be obtained. The primary terminal (106, 106a, 106b) can obtain a control IP address matching the domain name using DNS information.

데이터 IP 주소는 1차 단말(106, 106a, 106b)이 단말 인증에 성공한 경우에 제어 평면 관리 장치(101)의 단말 인증 응답에 포함되어 1차 단말(106, 106a, 106b)에게 제공된다. 2차 단말(107, 107a, 107b)의 인증 트래픽 및 사용자 트래픽은 데이터 IP 주소를 사용하여 사용자 평면 관리 장치(102)로 전달된다. The data IP address is included in the terminal authentication response of the control plane management device 101 and provided to the primary terminals 106, 106a, and 106b when the primary terminals 106, 106a, and 106b succeed in terminal authentication. Authentication traffic and user traffic from the secondary terminals 107, 107a, and 107b are delivered to the user plane management device 102 using the data IP address.

이때, 데이터 IP 주소는 기업 가입자 마다 다르게 할당되어 운용된다. 따라서, 기업 #1의 2차 단말(107a)의 인증 트래픽 및 사용자 트래픽은 데이터 IP #1을 사용하는 데이터 처리 노드 #1에 의해 처리되고, 기업 #2의 2차 단말(107b)의 인증 트래픽 및 사용자 트래픽은 데이터 IP #2를 사용하는 데이터 처리 노드 #2에 의해 처리된다.At this time, data IP addresses are allocated and operated differently for each corporate subscriber. Therefore, the authentication traffic and user traffic of enterprise #1's secondary terminal 107a are processed by data processing node #1 using data IP #1, and the authentication traffic and user traffic of enterprise #2's secondary terminal 107b are processed by data processing node #1 using data IP #1. User traffic is processed by data processing node #2 using data IP #2.

데이터 처리 노드 #1은 기업 #1의 1차 단말(106a)과 터널링 세션을 설정하고, 설정한 터널링 세션을 통해 2차 단말(107a)과 기업 #1의 전용망(109) 간에 송수신하는 사용자 트래픽을 라우팅한다.Data processing node #1 establishes a tunneling session with the primary terminal (106a) of enterprise #1, and transmits and receives user traffic between the secondary terminal (107a) and the dedicated network (109) of enterprise #1 through the established tunneling session. Routing.

데이터 처리 노드 #2는 기업 #2의 1차 단말(106b)과 터널링 세션을 설정하고, 설정한 터널링 세션을 통해 2차 단말(107b)과 기업 #2의 전용망(110) 간에 송수신하는 사용자 트래픽을 라우팅한다.Data processing node #2 establishes a tunneling session with the primary terminal (106b) of enterprise #2, and transmits and receives user traffic between the secondary terminal (107b) and the dedicated network (110) of enterprise #2 through the established tunneling session. Routing.

코어 IP-U는 사용자 평면 관리 장치(102)가 제어 평면 관리 장치(101)와 인증 트래픽을 송수신하기 위해 사용되는 IP 주소이다. Core IP-U is an IP address used by the user plane management device 102 to transmit and receive authentication traffic with the control plane management device 101.

코어 IP-U는 기업 가입자 별로 다르게 운용된다. 따라서, 기업 #1의 내부망 연동 노드는 코어 IP-U #1을 사용하여 제어 평면 관리 장치(101)와 인증 트래픽을 송수신한다. 그리고 기업 #2의 내부망 연동 노드는 코어 IP-U #2를 사용하여 제어 평면 관리 장치(101)와 인증 트래픽을 송수신한다.Core IP-U is operated differently for each corporate subscriber. Accordingly, the internal network interconnection node of company #1 transmits and receives authentication traffic to and from the control plane management device 101 using core IP-U #1. And the internal network interconnection node of company #2 transmits and receives authentication traffic to the control plane management device 101 using core IP-U #2.

이와 같이, 사용자 평면 관리 장치(102)는 1차 단말(106a, 106b)의 인증이 완료되기 전에는 1차 단말(106a, 106b)과 제어 IP 주소를 이용하여 통신한다. 사용자 평면 관리 장치(102)의 데이터 IP 주소는 1차 단말(106a, 106b)의 인증이 완료된 이후에 1차 단말(106a, 106b)에게 공개되어 2차 단말(107a, 107b)의 인증 트래픽/사용자 트래픽을 처리하는데 사용된다.In this way, the user plane management device 102 communicates with the primary terminals 106a and 106b using the control IP address before the authentication of the primary terminals 106a and 106b is completed. The data IP address of the user plane management device 102 is disclosed to the primary terminals 106a and 106b after the authentication of the primary terminals 106a and 106b is completed to collect authentication traffic/users of the secondary terminals 107a and 107b. Used to process traffic.

제어 평면 관리 장치(101)의 IP 주소는 1차 단말(106a, 106b)에게 공개되지 않는 내부망 IP 주소로서, 사용자 평면 관리 장치(102)에게만 공개된다. 따라서, 가입/인증 정보를 처리하는 사용자 평면 관리 장치(102)의 외부 침입 자체를 원천 차단할 수 있어 보안성이 강화될 수 있다.The IP address of the control plane management device 101 is an internal network IP address that is not disclosed to the primary terminals 106a and 106b, and is disclosed only to the user plane management device 102. Accordingly, external intrusion into the user plane management device 102 that processes subscription/authentication information can be blocked at the source, and security can be strengthened.

또한, 사용자 평면 관리 장치(102)는 기업 가입자 별로 다른 데이터 IP 주소와 코어 IP-U를 운용함으로써, 1차 단말(106a, 106b)의 인증 트래픽, 2차 단말(107a, 107b)의 인증 트래픽/사용자 트래픽, 즉, 전용망 트래픽을 기업 가입자 별로 구분하여 처리한다.In addition, the user plane management device 102 operates different data IP addresses and core IP-Us for each corporate subscriber, so that authentication traffic of the primary terminals 106a and 106b, authentication traffic of the secondary terminals 107a and 107b User traffic, that is, dedicated network traffic, is processed separately for each corporate subscriber.

또한, 전용망 트래픽은 APN과 VLAN ID를 이용하여 기업망 별로 구분하여 처리된다. 1차 단말(106, 106a, 106b)과 기업 전용 UPF(104) 사이의 구간에서는 APN을 이용하여 기업 가입자 별로 전용망 트래픽이 논리적으로 구분되어 처리된다. 기업 전용 UPF(104)와 기업 전용 스위치(103) 사이의 구간, 그리고 기업 전용 스위치(103)와 사용자 평면 관리 장치(102) 사이의 구간에서는 VLAN ID를 이용하여 기업 가입자 별로 전용망 트래픽이 논리적으로 구분되어 처리된다.Additionally, dedicated network traffic is processed separately by corporate network using APN and VLAN ID. In the section between the primary terminals (106, 106a, 106b) and the corporate UPF (104), dedicated network traffic is logically divided and processed for each corporate subscriber using APN. In the section between the corporate UPF (104) and the corporate switch (103), and the section between the corporate switch (103) and the user plane management device (102), dedicated network traffic is logically divided by corporate subscriber using VLAN ID. and processed.

또한, 전용망 트래픽은 사용자 평면 관리 장치(102)의 내부에서는 IP 주소들, 즉, 데이터 IP 주소 및 코어 IP-U를 이용하여 기업 가입자 별로 논리적으로 구분되어 처리된다. Additionally, dedicated network traffic is logically classified and processed for each corporate subscriber using IP addresses, that is, data IP address and core IP-U, inside the user plane management device 102.

또한, 전용망 트래픽은 사용자 평면 관리 장치(102)와 제어 평면 관리 장치(101) 사이의 구간에서는 사용자 평면 관리 장치(102) 코어 IP-U를 이용하여 기업 가입자 별로 논리적으로 구분되어 처리된다.In addition, dedicated network traffic is logically divided and processed for each corporate subscriber in the section between the user plane management device 102 and the control plane management device 101 using the core IP-U of the user plane management device 102.

전용망 트래픽은 인증과 관련된 제어 평면 데이터와 사용자 평면 데이터를 포함한다.Private network traffic includes control plane data and user plane data related to authentication.

기업 전용 UPF(104)는 기업 #1의 1차 단말(106a)로부터 수신한 전용망 트래픽의 APN #1에 기초하여 기업 #1의 VLAN ID #1을 전용망 트래픽의 VLAN 태그 필드에 기재한다. VLAN 태그 필드가 적용되는 패킷 구조는 이미 알려진 기술이므로, 자세한 설명은 생략한다.The enterprise-only UPF 104 records the VLAN ID #1 of enterprise #1 in the VLAN tag field of the dedicated network traffic based on the APN #1 of the dedicated network traffic received from the primary terminal 106a of enterprise #1. Since the packet structure to which the VLAN tag field is applied is already a known technology, detailed description is omitted.

기업 전용 UPF(104)는 기업 #2의 1차 단말(106b)로부터 수신한 전용망 트래픽의 APN #2에 기초하여 기업 #2의 VLAN ID #2를 전용망 트래픽의 VLAN 태그 필드에 기재한다. The enterprise-only UPF 104 records the VLAN ID #2 of enterprise #2 in the VLAN tag field of the dedicated network traffic based on the APN #2 of the dedicated network traffic received from the primary terminal 106b of enterprise #2.

이와 같이, APN과 VLAN ID는 기업 가입자 별로 다르게 할당되어 기업망을 논리적으로 구분하기 위한 망 구분자로 사용된다. 이를 위해 기업 전용 UPF(104)는 APN과 VLAN ID를 기업 가입자마다 구분한 매핑 테이블을 저장하여 관리한다. 매핑 테이블의 예시로서, 표 1과 같이 구성할 수 있다.In this way, APN and VLAN ID are assigned differently to each corporate subscriber and are used as a network separator to logically divide the corporate network. To this end, the corporate UPF 104 stores and manages a mapping table that divides the APN and VLAN ID for each corporate subscriber. As an example of a mapping table, it can be configured as shown in Table 1.

기업구분자
(LTEID)Company identifier
(LTEID) APNAPNs VLAN IDVLAN ID LTEID_ALTEID_A APNID_AAPNID_A VLANID_AVLANID_A LTEID_BLTEID_B APNID_BAPNID_B VLANID_BVLANID_B LTEID_CLTEID_C APNID_CAPNID_C VLANID_CVLANID_C

기업 전용 UPF(104)는 각각의 APN에 매칭되는 각각의 VLAN ID가 포함된 전용망 트래픽을 기업 전용 스위치(103)로 전송한다. The enterprise-only UPF (104) transmits dedicated network traffic containing each VLAN ID matching each APN to the enterprise-only switch (103).

기업 전용 스위치(103)는 기업 전용 UPF(104)로부터 수신한 각각의 VLAN ID가 포함된 전용망 트래픽을 사용자 평면 관리 장치(102)로 라우팅한다.The enterprise dedicated switch 103 routes dedicated network traffic including each VLAN ID received from the corporate UPF 104 to the user plane management device 102.

이때, 전용망 트래픽이 1차 단말(106a, 106b)에 대한 인증 트래픽인 경우, 목적지 IP는 제어 IP 주소로 설정되어 있다. 따라서, 인증 트래픽은 사용자 평면 관리 장치(102)의 게이트웨이 노드로 전달된다.At this time, when the dedicated network traffic is authentication traffic for the primary terminals 106a and 106b, the destination IP is set to the control IP address. Accordingly, authentication traffic is delivered to the gateway node of the user plane management device 102.

전용망 트래픽이 단말 인증에 성공한 1차 단말(106a, 106b)에 연결된 2차 단말(107a, 107b)의 인증/사용자 트래픽인 경우, 목적지 IP는 데이터 IP 주소로 설정되어 있다. 따라서, 인증/사용자 트래픽은 사용자 평면 관리 장치(102)의 데이터 처리 노드로 전달된다.If the dedicated network traffic is authentication/user traffic of the secondary terminals 107a and 107b connected to the primary terminals 106a and 106b that have successfully authenticated the terminal, the destination IP is set to the data IP address. Accordingly, authentication/user traffic is routed to the data processing nodes of the user plane management device 102.

사용자 평면 관리 장치(102)는 VLAN ID 별로 데이터 IP 주소, 코어 IP-U를 매핑한 테이블을 저장하여 관리한다. 매핑 테이블의 예시로서, 표 2와 같이 구성될 수 있다.The user plane management device 102 stores and manages a table mapping data IP addresses and core IP-Us for each VLAN ID. As an example of a mapping table, it may be structured as shown in Table 2.

기업구분자
(LTEID)Company identifier
(LTEID) VLAN IDVLAN ID 데이터 IP 주소data IP address 내부망 연동 IP 주소(코어 IP-U)Internal network linked IP address (Core IP-U) LTEID_ALTEID_A VLANID_AVLANID_A Data IP_1Data IP_1 Core IP_1Core IP_1 LTEID_BLTEID_B VLANID_BVLANID_B Data IP_2Data IP_2 Core IP_2Core IP_2 LTEID_CLTEID_C VLANID_CVLANID_C Data IP_2Data IP_2 Core IP_3CoreIP_3

사용자 평면 관리 장치(102)의 게이트웨이 노드, 그리고 데이터 처리 노드는 기업 전용 스위치(103)로부터 수신한 전용망 트래픽의 VLAN ID에 대응하는 코어 IP-U를 선택하고, 선택한 코어 IP-U를 사용하는 내부망 연동 노드로 전용망 트래픽을 전달한다. 그러면, 내부망 연동 노드는 해당 코어 IP-U를 사용하여 제어 평면 관리 장치(101)와 연동하여 인증을 처리한다.The gateway node of the user plane management device 102 and the data processing node select a core IP-U corresponding to the VLAN ID of the dedicated network traffic received from the enterprise dedicated switch 103, and internally use the selected core IP-U. Delivers dedicated network traffic to network-interconnected nodes. Then, the internal network interworking node processes authentication in conjunction with the control plane management device 101 using the corresponding core IP-U.

제어 평면 관리 장치(101)는 표 3과 같은 기업 가입자 별로 구분되는 사용자 평면 관리 장치(102)의 코어 IP-U를 관리할 수 있다.The control plane management device 101 can manage the core IP-U of the user plane management device 102 divided by corporate subscriber as shown in Table 3.

기업구분자
(LTEID)Company identifier
(LTEID) 코어 IP-UCore IP-U 데이터 IP 주소data IP address LTEID_ALTEID_A Core IP_1Core IP_1 데이터 IP 주소 #1Data IP Address #1 LTEID_BLTEID_B Core IP_2Core IP_2 데이터 IP 주소 #2Data IP Address #2 LTEID_CLTEID_C Core IP_3CoreIP_3 데이터 IP 주소 #3Data IP Address #3

제어 평면 관리 장치(101)는 표 3을 참고하여, 기업 가입자 별로 인증 트래픽을 구분하여 처리한다. 즉, 제어 평면 관리 장치(101)는 내부망 연동 노드로부터 수신한 1차 단말 인증 요청의 소스 IP 주소에 수록된 코어 IP-U에 매칭되는 데이터 IP 주소를 표 3으로부터 확인하고, 확인한 데이터 IP 주소가 포함된 1차 단말 인증 응답을 내부망 연동 노드로 전송할 수 있다.The control plane management device 101 processes authentication traffic separately for each corporate subscriber, referring to Table 3. That is, the control plane management device 101 checks the data IP address matching the core IP-U included in the source IP address of the primary terminal authentication request received from the internal network interconnection node from Table 3, and the confirmed data IP address is The included primary terminal authentication response can be transmitted to the internal network interconnection node.

이상 설명한 망 분리 구조에서, 전용망 트래픽의 종류 별로 트래픽 경로를 나타내면, 도 3, 4, 5와 같다.In the network separation structure described above, traffic paths for each type of dedicated network traffic are shown in Figures 3, 4, and 5.

도 3을 참조하면, 기업 #1의 1차 단말(106a)의 인증 트래픽은 '기업 전용 UPF(104) ↔ 기업 전용 스위치(103) ↔ 사용자 평면 관리 장치(102)의 게이트웨이 노드(제어 IP 주소) ↔ 사용자 평면 관리 장치(102)의 내부망 연동 노드(코어 IP-U #1) ↔ 제어 평면 관리 장치(101)'의 경로로 송수신된다.Referring to Figure 3, the authentication traffic of the primary terminal (106a) of enterprise #1 is 'enterprise-only UPF (104) ↔ enterprise-only switch (103) ↔ gateway node (control IP address) of the user plane management device (102). It is transmitted and received through the path of ↔ the internal network interconnection node (Core IP-U #1) of the user plane management device 102 ↔ the control plane management device 101.

기업 #2의 1차 단말(106b)의 인증 트래픽은 '기업 전용 UPF(104) ↔ 기업 전용 스위치(103) ↔ 사용자 평면 관리 장치(102)의 게이트웨이 노드(제어 IP 주소) ↔ 사용자 평면 관리 장치(102)의 내부망 연동 노드(코어 IP-U #2) ↔ 제어 평면 관리 장치(101)'의 경로로 송수신된다.The authentication traffic of Enterprise #2's primary terminal (106b) is 'enterprise dedicated UPF (104) ↔ enterprise dedicated switch (103) ↔ gateway node (control IP address) of user plane management device (102) ↔ user plane management device ( 102)'s internal network interconnection node (Core IP-U #2) ↔ Control plane management device 101'.

도 4를 참조하면, 기업 #1의 2차 단말(107a)의 인증 트래픽은 '기업 전용 UPF(104) ↔ 기업 전용 스위치(103) ↔ 사용자 평면 관리 장치(102)의 데이터 처리 노드(데이터 IP 주소 #1) ↔ 사용자 평면 관리 장치(102)의 내부망 연동 노드(코어 IP-U #1) ↔ 제어 평면 관리 장치(101)'의 경로로 송수신된다.Referring to Figure 4, the authentication traffic of the secondary terminal (107a) of enterprise #1 is 'enterprise-only UPF (104) ↔ enterprise-only switch (103) ↔ data processing node (data IP address) of the user plane management device (102). #1) ↔ The internal network interconnection node (Core IP-U #1) of the user plane management device 102 ↔ Control plane management device 101 is transmitted and received.

기업 #2의 2차 단말(107b)의 인증 트래픽은 '기업 전용 UPF(104) ↔ 기업 전용 스위치(103) ↔ 사용자 평면 관리 장치(102)의 데이터 처리 노드(데이터 IP 주소 #2) ↔ 사용자 평면 관리 장치(102)의 내부망 연동 노드(코어 IP-U #2) ↔ 제어 평면 관리 장치(101)'의 경로로 송수신된다.The authentication traffic of the secondary terminal (107b) of enterprise #2 is 'enterprise-only UPF (104) ↔ enterprise-only switch (103) ↔ data processing node (data IP address #2) of the user plane management device (102) ↔ user plane. It is transmitted and received through the path of the internal network interconnection node (Core IP-U #2) of the management device 102 ↔ control plane management device 101.

도 5를 참조하면, 기업 #1의 2차 단말(107a)의 사용자 트래픽은 '기업 전용 UPF(104) ↔ 기업 전용 스위치(103) ↔ 사용자 평면 관리 장치(102)의 데이터 처리 노드(데이터 IP 주소 #1) ↔ 기업 #1 전용망(109)'의 경로로 송수신된다.Referring to Figure 5, the user traffic of the secondary terminal 107a of enterprise #1 is 'enterprise-only UPF 104 ↔ enterprise-only switch 103 ↔ data processing node (data IP address) of the user plane management device 102. #1) ↔ It is transmitted and received through the path of ‘Corporate #1 dedicated network (109)’.

기업 #2의 2차 단말(107b)의 사용자 트래픽은 '기업 전용 UPF(104) ↔ 기업 전용 스위치(103) ↔ 사용자 평면 관리 장치(102)의 데이터 처리 노드(데이터 IP 주소 #2) ↔ 기업 #2 전용망(110)'의 경로로 송수신된다.The user traffic of the secondary terminal (107b) of enterprise #2 is 'enterprise-only UPF (104) ↔ enterprise-only switch (103) ↔ data processing node (data IP address #2) of the user plane management device (102) ↔ enterprise # 2 It is transmitted and received through the path of ‘dedicated network 110’.

기업 #1, 기업 #2의 각각의 인증/사용자 트래픽은 기업 전용 UPF(104) ↔ 기업 전용 스위치(103)에서 APN과 VLAN ID에 기초하여 분리하여 처리되고, 제어 평면 관리 장치(101) 및 사용자 평면 관리 장치(102)에서 IP 주소를 달리하여 처리된다.Each authentication/user traffic of Enterprise #1 and Enterprise #2 is processed separately based on APN and VLAN ID in the enterprise-only UPF (104) ↔ enterprise-only switch (103), and is processed separately by the control plane management device (101) and the user. It is processed by changing the IP address in the plane management device 102.

도 6은 실시예에 따른 1차 단말 인증 절차를 나타낸 흐름도이다.Figure 6 is a flowchart showing the primary terminal authentication procedure according to an embodiment.

도 6을 참조하면, 1차 단말(106)이 기업 전용 UPF(104)로 1차 단말 인증 요청을 전송한다(S101). Referring to FIG. 6, the primary terminal 106 transmits a primary terminal authentication request to the enterprise-only UPF 104 (S101).

S101에서, 1차 단말 인증 요청은 기업 식별자, APN, 1차 단말 인증에 사용되는 1차 단말 정보를 포함하고, 목적지 IP는 제어 IP 주소로 설정되어 있다.In S101, the primary terminal authentication request includes a company identifier, APN, and primary terminal information used for primary terminal authentication, and the destination IP is set to the control IP address.

1차 단말 정보는 단말 식별자로서, IMSI(International Mobile Subscriber Identity), MSISDN(Mobile Station International ISDN Number), MAC 주소((Media Access Control Address) 등을 포함할 수 있다.Primary terminal information is a terminal identifier and may include IMSI (International Mobile Subscriber Identity), MSISDN (Mobile Station International ISDN Number), MAC address (Media Access Control Address), etc.

실시예에 따르면, 1차 단말(106)에는 제어 IP 주소에 대응하는 도메인 네임이 설정되어 있을 수 있다. 1차 단말(106)은 S101 이전에, 코어 시스템(108)과 전용망 세션 생성 절차를 진행하고, 이 과정에서 코어 시스템(108)으로부터 DNS(Domain Name Server) 주소를 획득할 수 있다. 1차 단말(106)은 DNS 주소로 도메인 네임에 대한 DNS 쿼리를 전송하여 도메인 네임에 대응하는 제어 IP 주소를 획득할 수 있다.According to the embodiment, a domain name corresponding to the control IP address may be set in the primary terminal 106. Before S101, the primary terminal 106 may proceed with a dedicated network session creation procedure with the core system 108 and obtain a DNS (Domain Name Server) address from the core system 108 during this process. The primary terminal 106 may obtain a control IP address corresponding to the domain name by transmitting a DNS query for the domain name to the DNS address.

기업 전용 UPF(104)는 표 1과 같은 APN-VLAN DB로부터 1차 단말 인증 요청의 APN에 매칭되는 VLAN ID를 추출한다(S102).The enterprise-only UPF 104 extracts the VLAN ID matching the APN of the primary terminal authentication request from the APN-VLAN DB as shown in Table 1 (S102).

기업 전용 UPF(104)는 S102에서 추출한 VLAN ID를 1차 단말 인증 요청의 VLAN 태그 필드에 수록한다(S103). 이때, S101에서 수신한 1차 단말 인증 요청에서 APN은 제거되고, APN에 매칭되는 VLAN ID로 치환될 수 있다.The enterprise-only UPF 104 records the VLAN ID extracted in S102 in the VLAN tag field of the primary terminal authentication request (S103). At this time, the APN may be removed from the primary terminal authentication request received at S101 and replaced with a VLAN ID matching the APN.

기업 전용 UPF(104)는 VLAN ID가 포함된 1차 단말 인증 요청을 기업 전용 스위치(103)를 거쳐 사용자 평면 관리 장치(102)에게 전송한다(S104). 이때, S104의 1차 단말 인증 요청에는 기업 식별자, VLAN ID 및 1차 단말 정보가 포함된다. The enterprise UPF 104 transmits a primary terminal authentication request including the VLAN ID to the user plane management device 102 via the enterprise switch 103 (S104). At this time, the primary terminal authentication request of S104 includes the company identifier, VLAN ID, and primary terminal information.

S104에서 1차 단말 인증 요청은 목적지 IP, 제어 IP 주소를 사용하는 사용자 평면 관리 장치(102)의 게이트웨이 노드가 수신한다. In S104, the primary terminal authentication request is received by the gateway node of the user plane management device 102 using the destination IP and control IP addresses.

사용자 평면 관리 장치(102)의 게이트웨이 노드는 표 2와 같은 VLAN ID-IP DB로부터 1차 단말 인증 요청의 VLAN ID에 매칭되는 내부망 연동 노드의 IP 주소인 코어 IP-U를 확인한다(S105).The gateway node of the user plane management device 102 checks the core IP-U, which is the IP address of the internal network interconnection node, matching the VLAN ID of the primary terminal authentication request from the VLAN ID-IP DB as shown in Table 2 (S105) .

사용자 평면 관리 장치(102)의 게이트웨이 노드는 VLAN 태그 필드를 제거한 1차 단말 인증 요청을 S105에서 확인한 코어 IP-U를 사용하는 내부망 연동 노드에게 전송한다(S106). 이때, 게이트웨이 노드는 목적지 IP를 제어 IP에서 코어 IP-U로 변환하여 전송한다.The gateway node of the user plane management device 102 transmits a primary terminal authentication request with the VLAN tag field removed to the internal network interworking node using the core IP-U confirmed in S105 (S106). At this time, the gateway node converts the destination IP from control IP to core IP-U and transmits it.

내부망 연동 노드는 S106에서 수신한 1차 단말 인증 요청의 목적지 IP를 제어 평면 관리 장치(101)의 IP 주소인 코어 IP-C로 변환한 후, 이를 제어 평면 관리 장치(101)에게 전송한다(S107). 이때, 1차 단말 인증 요청의 소스 IP는 내부망 연동 노드의 코어 IP-U로 설정되고, 목적지 IP는 코어 IP-C로 설정되어 있다.The internal network interconnection node converts the destination IP of the primary terminal authentication request received in S106 into core IP-C, which is the IP address of the control plane management device 101, and then transmits it to the control plane management device 101 ( S107). At this time, the source IP of the primary terminal authentication request is set to the core IP-U of the internal network interworking node, and the destination IP is set to the core IP-C.

제어 평면 관리 장치(101)는 S107에서 수신한 1차 단말 인증 요청으로부터 획득한 1차 단말 정보를 토대로, 1차 단말(106)이 기업 전용망 접속 권한이 있는지 판단하는 1차 단말 인증을 수행한다(S108).The control plane management device 101 performs primary terminal authentication to determine whether the primary terminal 106 has permission to access the corporate network, based on the primary terminal information obtained from the primary terminal authentication request received in S107 ( S108).

이때, 제어 평면 관리 장치(101)는 1차 단말 인증 요청의 소스 IP에 수록된 코어 IP-U에 따라 1차 단말 인증 절차를 기업 가입자 마다 구분하여 처리할 수 있다. 예를 들어, 단말 인증 방식이나 단말 인증에 사용되는 정보를 기업 가입자마다 설정된 인증 정책에 따라 구분하여 처리할 수 있다.At this time, the control plane management device 101 can process the primary terminal authentication procedure separately for each corporate subscriber according to the core IP-U included in the source IP of the primary terminal authentication request. For example, the terminal authentication method or information used for terminal authentication can be classified and processed according to the authentication policy set for each corporate subscriber.

제어 평면 관리 장치(101)는 S108의 1차 단말 인증에 성공하는지 판단(S109)하고, 1차 단말 인증에 성공하면, 내부망 연동 노드의 코어 IP 주소에 매칭되는 데이터 IP 주소를 할당한다(S110). 그리고 S110에서 할당한 사용자 평면 관리 장치(102)의 데이터 IP 주소를 1차 단말 인증 응답에 포함시켜 내부망 연동 노드로 전송한다(S111). The control plane management device 101 determines whether the primary terminal authentication of S108 is successful (S109), and if the primary terminal authentication is successful, it assigns a data IP address matching the core IP address of the internal network interworking node (S110) ). Then, the data IP address of the user plane management device 102 allocated in S110 is included in the primary terminal authentication response and transmitted to the internal network interconnection node (S111).

S110에서 제어 평면 관리 장치(101)는 코어 IP-U 마다 매칭되는 데이터 IP 주소, 혹은 코어 IP-U에 매칭되는 기업 식별자에 설정된 데이터 IP 주소를 저장하는 데이터 IP DB를 관리하고, 데이터 IP DB를 이용하여 데이터 IP 주소를 할당할 수 있다.In S110, the control plane management device 101 manages a data IP DB that stores a data IP address matching each core IP-U or a data IP address set to a corporate identifier matching the core IP-U, and stores the data IP DB. You can assign a data IP address using .

내부망 연동 노드는 제어 평면 관리 장치(101)로부터 수신한 1차 단말 인증 응답을 게이트웨이 노드로 전달한다(S112).The internal network interconnection node transmits the primary terminal authentication response received from the control plane management device 101 to the gateway node (S112).

게이트웨이 노드는 1차 단말 인증 응답을 기업 전용 UPF(104)로 전달한다(S113).The gateway node transmits the primary terminal authentication response to the enterprise-only UPF (104) (S113).

기업 전용 UPF(104)는 1차 단말 인증 응답을 1차 단말(106)에게 전달한다(S114). S114를 통해 1차 단말(106)은 사용자 평면 관리 장치(102)의 데이터 IP 주소를 획득할 수 있게 된다.The enterprise-only UPF 104 delivers the primary terminal authentication response to the primary terminal 106 (S114). Through S114, the primary terminal 106 can obtain the data IP address of the user plane management device 102.

반면, S108의 1차 단말 인증에 실패하면, 1차 단말 인증 실패 응답을 전송(S115, S116, S117, S118)하는데, 이때, 1차 단말 인증 실패 응답에는 데이터 IP 주소가 포함되지 않는다. 따라서, 1차 단말(106)은 사용자 평면 관리 장치(102)의 데이터 처리 노드에 접속할 수 없다. On the other hand, if the primary terminal authentication of S108 fails, a primary terminal authentication failure response is transmitted (S115, S116, S117, S118). At this time, the primary terminal authentication failure response does not include the data IP address. Accordingly, the primary terminal 106 cannot connect to the data processing node of the user plane management device 102.

도 7은 실시예에 따른 2차 단말 인증 절차를 나타낸 흐름도로서, 도 6의 S113을 통해 데이터 IP 주소를 획득한 이후의 동작을 나타낸다.FIG. 7 is a flowchart showing a secondary terminal authentication procedure according to an embodiment, and shows operations after acquiring a data IP address through S113 of FIG. 6.

도 7을 참조하면, 1차 단말(106)이 2차 단말(107)로부터 전용망 접속 요청을 수신한다(S201). S201의 전용망 접속 요청은 2차 단말 인증에 사용되는 2차 단말 정보가 포함된다. 예컨대, 2차 단말 정보는 2차 단말(107)의 MAC 주소일 수 있다.Referring to FIG. 7, the primary terminal 106 receives a dedicated network connection request from the secondary terminal 107 (S201). S201's dedicated network connection request includes secondary terminal information used for secondary terminal authentication. For example, the secondary terminal information may be the MAC address of the secondary terminal 107.

1차 단말(106)은 기업 전용 UPF(104)로 2차 단말 인증 요청을 전송한다(S202). The primary terminal 106 transmits a secondary terminal authentication request to the enterprise-only UPF 104 (S202).

S202에서, 2차 단말 인증 요청은 기업 식별자, APN, 2차 단말 정보를 포함하고, 목적지 IP는 도 6의 S114에서 획득한 데이터 IP 주소로 설정되어 있다.In S202, the secondary terminal authentication request includes a company identifier, APN, and secondary terminal information, and the destination IP is set to the data IP address obtained in S114 of FIG. 6.

기업 전용 UPF(104)는 표 1과 같은 APN-VLAN DB로부터 2차 단말 인증 요청의 APN에 매칭되는 VLAN ID를 추출한다(S203).The enterprise-only UPF 104 extracts the VLAN ID matching the APN of the secondary terminal authentication request from the APN-VLAN DB as shown in Table 1 (S203).

기업 전용 UPF(104)는 S203에서 추출한 VLAN ID를 2차 단말 인증 요청의 VLAN 태그 필드에 수록한다(S204).The enterprise-only UPF 104 records the VLAN ID extracted in S203 in the VLAN tag field of the secondary terminal authentication request (S204).

기업 전용 UPF(104)는 VLAN ID가 포함된 2차 단말 인증 요청을 기업 전용 스위치(103)를 거쳐 사용자 평면 관리 장치(102)에게 전송한다(S205). S205에서 2차 단말 인증 요청은 목적지 IP에 대응하는 사용자 평면 관리 장치(102)의 데이터 처리 노드가 수신한다. The enterprise UPF 104 transmits a secondary terminal authentication request including the VLAN ID to the user plane management device 102 via the enterprise switch 103 (S205). In S205, the secondary terminal authentication request is received by the data processing node of the user plane management device 102 corresponding to the destination IP.

사용자 평면 관리 장치(102)의 데이터 처리 노드는 표 2와 같은 VLAN ID-IP DB로부터 2차 단말 인증 요청의 VLAN ID에 매칭되는 코어 IP 주소를 확인한다(S206).The data processing node of the user plane management device 102 checks the core IP address matching the VLAN ID of the secondary terminal authentication request from the VLAN ID-IP DB as shown in Table 2 (S206).

사용자 평면 관리 장치(102)의 데이터 처리 노드는 VLAN 태그 필드를 제거한 2차 단말 인증 요청을 S206에서 확인한 코어 IP 주소를 사용하는 내부망 연동 노드에게 전송한다(S207). 이때, 데이터 처리 노드는 목적지 IP를 데이터 IP 주소에서 코어 IP-U로 변환하여 전송한다.The data processing node of the user plane management device 102 transmits a secondary terminal authentication request with the VLAN tag field removed to the internal network interworking node using the core IP address confirmed in S206 (S207). At this time, the data processing node converts the destination IP from a data IP address to a core IP-U and transmits it.

내부망 연동 노드는 S207에서 수신한 2차 단말 인증 요청의 목적지 IP를 제어 평면 관리 장치(101)의 코어 IP-C로 변환한 후, 이를 제어 평면 관리 장치(101)에게 전송한다(S208). S208의 2차 단말 인증 요청의 소스 IP는 코어 IP-U로 설정되고, 목적지 IP는 코어 IP-C로 설정되어 있다.The internal network interworking node converts the destination IP of the secondary terminal authentication request received in S207 into the core IP-C of the control plane management device 101 and then transmits it to the control plane management device 101 (S208). The source IP of the secondary terminal authentication request of S208 is set to Core IP-U, and the destination IP is set to Core IP-C.

제어 평면 관리 장치(101)는 S208에서 수신한 2차 단말 인증 요청으로부터 획득한 2차 단말 정보를 토대로, 2차 단말(107)이 기업 전용망 접속 권한이 있는지 판단하는 단말 인증을 수행한다(S209).The control plane management device 101 performs terminal authentication to determine whether the secondary terminal 107 has permission to access the corporate network, based on the secondary terminal information obtained from the secondary terminal authentication request received in S208 (S209). .

이때, 제어 평면 관리 장치(101)는 2차 단말 인증 요청의 소스 IP에 따라 2차 단말 인증 절차를 기업 가입자 마다 구분하여 처리할 수 있다. 예를 들어, 단말 인증 방식이나 단말 인증에 사용되는 정보를 기업 가입자마다 설정된 인증 정책에 따라 구분하여 처리할 수 있다.At this time, the control plane management device 101 can process the secondary terminal authentication procedure separately for each corporate subscriber according to the source IP of the secondary terminal authentication request. For example, the terminal authentication method or information used for terminal authentication can be classified and processed according to the authentication policy set for each corporate subscriber.

제어 평면 관리 장치(101)는 단말 인증 결과가 포함된 2차 단말 인증 응답을 내부망 연동 노드로 전송한다(S210). The control plane management device 101 transmits a secondary terminal authentication response containing the terminal authentication result to the internal network interconnection node (S210).

내부망 연동 노드는 제어 평면 관리 장치(101)로부터 수신한 2차 단말 인증 응답을 데이터 처리 노드로 전달한다(S211).The internal network interconnection node transmits the secondary terminal authentication response received from the control plane management device 101 to the data processing node (S211).

데이터 처리 노드는 2차 단말 인증 응답을 기업 전용 UPF(104)로 전달한다(S212).The data processing node transmits the secondary terminal authentication response to the enterprise-only UPF 104 (S212).

기업 전용 UPF(104)는 2차 단말 인증 응답을 1차 단말(106)에게 전달한다(S213). The enterprise-only UPF 104 delivers the secondary terminal authentication response to the primary terminal 106 (S213).

1차 단말(106)은 전용망 접속 응답을 2차 단말(107)에게 전송한다(S214). The primary terminal 106 transmits a dedicated network connection response to the secondary terminal 107 (S214).

1차 단말(106)은 S213의 2차 단말 인증 응답이 단말 인증 성공 결과를 포함하는지 판단(S215)하고, 단말 인증 성공 결과로 판단되면, 사용자 평면 관리 장치(102)의 데이터 처리 노드와 전용망 세션을 설정한다(S216). 따라서, 1차 단말 인증 및 2차 단말 인증이 모두 성공적으로 완료되면, 2차 단말(107)의 사용자 트래픽은 사용자 평면 관리 장치(102)의 데이터 처리 노드를 통해 기업 전용망(109, 110)과 송수신된다.The primary terminal 106 determines whether the secondary terminal authentication response of S213 includes a successful terminal authentication result (S215), and if it is determined to be a successful terminal authentication result, the data processing node of the user plane management device 102 and the dedicated network session Set (S216). Therefore, when both the primary terminal authentication and the secondary terminal authentication are successfully completed, the user traffic of the secondary terminal 107 is transmitted to and received from the corporate private network 109 and 110 through the data processing node of the user plane management device 102. do.

도 8은 다른 실시예에 따른 망 분리 구조를 적용한 기업 전용망 시스템을 도시한다.Figure 8 shows a corporate dedicated network system applying a network separation structure according to another embodiment.

도 8을 참조하면, 한 기업 가입자에 대해서 복수의 슬라이스 별로 구분하여 처리할 수 있다. 복수의 슬라이스는 서비스 별로 구분될 수 있는데, 예컨대, 업무망, 인터넷망, 화상회의망을 슬라이스 단위로 구분할 수 있다. 이 경우에, 각 슬라이스를 구분하기 위한 슬라이스 식별자와 VLAN ID를 매핑하고, VLAN ID 별로 사용자 평면 관리 장치(102)의 데이터 IP 주소와 코어 IP 주소를 구분하여 운용할 수 있다. Referring to FIG. 8, one corporate subscriber can be processed separately for each of a plurality of slices. A plurality of slices can be divided by service. For example, a business network, an Internet network, and a video conference network can be divided by slice. In this case, the slice identifier and VLAN ID to distinguish each slice can be mapped, and the data IP address and core IP address of the user plane management device 102 can be distinguished and operated for each VLAN ID.

도 8의 실시예는 도 1 ~ 도 7에서 설명한 내용과 동일하므로, 중복되는 설명은 생략한다. 즉, 도 1 ~ 도 7과 다른 점은, APN 대신 슬라이스 식별자를 사용하여 한 기업 가입자 내에서 복수의 슬라이스 별로 논리적으로 구분하여 전용망 트래픽을 처리한다는 점이다.Since the embodiment of FIG. 8 is the same as the content described in FIGS. 1 to 7, overlapping descriptions will be omitted. That is, the difference from FIGS. 1 to 7 is that a slice identifier is used instead of an APN to logically divide each slice into a plurality of slices within a corporate subscriber to process dedicated network traffic.

한편, 도 9는 실시예에 따른 망 분리 구조의 장애 모니터링 구조를 나타낸다.Meanwhile, Figure 9 shows a failure monitoring structure of a network separation structure according to an embodiment.

도 9를 참조하면, 도 2 ~ 도 8에서 설명한 기업 전용 스위치(103)는 전용망 스위치(103-1(a), 103-1(b))와 집선 스위치(103-2(a), 103-2(b))로 구성될 수 있다. 그러나, 이는 기업 단위로 논리적으로 구분된 VLAN 링크가 복잡한 경로로 형성됨을 나타내기 위한 구성 예시일 뿐이다. 따라서, 기업 전용 스위치(103)의 구성은 사업자의 운용 구조에 따라 다양하게 구현될 수 있어 도면에 예시한 대로 국한되는 것은 아니다.Referring to FIG. 9, the enterprise dedicated switch 103 described in FIGS. 2 to 8 includes dedicated network switches 103-1(a) and 103-1(b) and aggregation switches 103-2(a) and 103- 2(b)). However, this is only a configuration example to show that VLAN links logically divided by enterprise are formed with complex paths. Accordingly, the configuration of the enterprise switch 103 can be implemented in various ways depending on the operation structure of the business operator and is not limited to the example in the drawing.

전용망 스위치(103-1(a), 103-1(b))는 L3 스위치로서, 일단이 기업 전용 UPF(104)에 연결되고, 타단이 집선 스위치(103-2(a), 103-2(b))에 연결된다.The dedicated network switches 103-1(a) and 103-1(b) are L3 switches, with one end connected to the enterprise-only UPF 104 and the other end connected to the aggregation switches 103-2(a) and 103-2( It is connected to b)).

집선 스위치(103-2(a), 103-2(b))는 L2 스위치로서, 일단이 전용망 스위치(103-1(a), 103-1(b))에 연결되고, 타단이 사용자 평면 관리 장치(102(a), 102(b))에 연결된다.The aggregation switches 103-2(a) and 103-2(b) are L2 switches, one end of which is connected to the dedicated network switches 103-1(a) and 103-1(b), and the other end of which is used for user plane management. Connected to devices 102(a) and 102(b).

전용망 스위치(103-1(a), 103-1(b)), 집선 스위치(103-2(a), 103-2(b)), 사용자 평면 관리 장치(102(a), 102(b))는 기업 가입자 단위로 논리적으로 구분되고, VLAN ID에 매칭되는 각각의 VLAN 링크를 통해 연결되어 있다.Dedicated network switches (103-1(a), 103-1(b)), aggregation switches (103-2(a), 103-2(b)), user plane management devices (102(a), 102(b) ) is logically divided into corporate subscriber units and connected through each VLAN link matching the VLAN ID.

장애를 대비하여 전용망 스위치(103-1(a), 103-1(b)), 집선 스위치(103-2(a), 103-2(b)), 사용자 평면 관리 장치(102)는 각각 마스터 장치(103-1(a), 103-2(a), 102(a))와 슬레이브 장치(103-1(b), 103-2(b), 102(b))로 구성되고, 상호 연결되어 있다. 기본적으로, 마스터 장치들(103-1(a), 103-2(a), 102(1)) 간에 연결되어 있고, 장애 여부에 따라 슬레이브 장치들(103-1(b), 103-2(b), 102(b))과 연결될 수 있다. To prepare for failures, the dedicated network switches (103-1(a), 103-1(b)), aggregation switches (103-2(a), 103-2(b)), and user plane management device 102 are each master. Consisting of devices 103-1(a), 103-2(a), 102(a) and slave devices 103-1(b), 103-2(b), 102(b), and interconnected It is done. Basically, it is connected between the master devices 103-1(a), 103-2(a), and 102(1), and depending on whether there is a failure, the slave devices 103-1(b) and 103-2( b), can be connected to 102(b)).

마스터 장치는 마스터 장치로만 연결되어야 하는 것은 아니고, 예를 들어, 전용망 스위치는 마스터 장치이고, 집선 스위치는 슬레이브 장치로 연결될 수 있다.The master device does not have to be connected only to the master device. For example, a dedicated network switch can be a master device, and an aggregation switch can be connected as a slave device.

또한, 장애 여부를 모니터링하기 위한 논리적인 회선으로서, 모니터링 VLAN ID를 사용하는 모니터링 링크가 추가로 연결되어 있다. 즉, 모니터링 링크는 전용망 스위치(103-1(a), 103-1(b)), 집선 스위치(103-2(a), 103-2(b)), 사용자 평면 관리 장치(102(a), 102(b)) 간에 직렬로 연결되어 있다.Additionally, as a logical line for monitoring failures, a monitoring link using a monitoring VLAN ID is additionally connected. That is, the monitoring link is a dedicated network switch (103-1(a), 103-1(b)), an aggregation switch (103-2(a), 103-2(b)), and a user plane management device (102(a)). , 102(b)) are connected in series.

이때, 사용자 평면 관리 장치(102(a), 102(b))에는 도 2 ~ 도 8에서 설명한 구성에 더불어 장애 여부를 모니터링하기 위한 장애 관리 노드가 추가될 수 있다.At this time, in addition to the configurations described in FIGS. 2 to 8, a fault management node for monitoring the presence of a fault may be added to the user plane management devices 102(a) and 102(b).

장애 관리 노드는 전용망 스위치(103-1(a), 103-1(b)와 집선 스위치(103-2(a), 103-2(b))로 주기적인 상태 체크(health check) 신호를 전송하여 정상적인 응답이 도착하면, 액티브 노드 동작을 유지하고, 정상적인 응답이 도착하지 않으면, 스탠바이 모드 동작을 실행한다. The fault management node transmits periodic health check signals to the dedicated network switches (103-1(a), 103-1(b)) and aggregation switches (103-2(a), 103-2(b)). If a normal response arrives, the active node operation is maintained, and if a normal response does not arrive, standby mode operation is performed.

장애 관리 노드는 집선 스위치(103-2(a), 103-2(b))와 모니터링 링크로 연결되고, 집선 스위치(103-2(a), 103-2(b))는 전용망 스위치(103-1(a), 103-1(b))와 모니터링 링크로 연결된다.The fault management node is connected to the aggregation switch (103-2(a), 103-2(b)) and a monitoring link, and the aggregation switch (103-2(a), 103-2(b)) is connected to the dedicated network switch (103-2(b)). It is connected to -1(a), 103-1(b)) through a monitoring link.

장애 관리 노드는 주기적으로, 집선 스위치(103-2(a), 103-2(b))에게 상태 체크(Health Check) 메시지를 전송하여 응답을 수신한다. 집선 스위치(103-2(a), 103-2(b))는 전용망 스위치(103-1(a), 103-1(b))에게 상태 체크 메시지를 전달하고, 응답이 수신되면 응답을 장애 관리 노드로 전달한다. 이러한 과정을 통해 장애 관리 노드는 각 스위치들((103-1(a), 103-2(a), 102(a), (103-1(b), 103-2(b), 102(b))의 상태를 체크할 수 있다. The failure management node periodically transmits a health check message to the aggregation switches 103-2(a) and 103-2(b) and receives a response. The aggregation switches 103-2(a) and 103-2(b) transmit a status check message to the dedicated network switches 103-1(a) and 103-1(b), and when a response is received, the response is disabled. Delivered to the management node. Through this process, the fault management node manages each switch ((103-1(a), 103-2(a), 102(a), (103-1(b), 103-2(b), 102(b) You can check the status of )).

장애 관리 노드는 액티브 모드에서 상태 체크를 수행하고, 상태 체크 결과에 따라 장애 여부를 판단한다. 장애 관리 노드는 장애가 발생한 스위치가 마스터 스위치로 판단되면, 슬레이스 스위치로 절체시킨다. 예를 들어, 집선 스위치(마스터)(103-2(a))에서 정해진 시간 내에 상태 체크 응답이 수신되지 않으면, 장애 관리 노드는 사용자 평면 관리 장치(마스터)(102(a))를 집선 스위치(마스터)(103-2(a))와의 연결을 끊고, 집선 스위치(슬레이스)(103-2(b))와 연결시킬 수 있다. The failure management node performs a status check in active mode and determines whether there is a failure based on the status check result. If the fault management node determines that the faulty switch is the master switch, it transfers the switch to the slave switch. For example, if a health check response is not received from the aggregation switch (master) 103-2(a) within a specified time, the fault management node may connect the user plane management device (master) 102(a) to the aggregation switch ( It is possible to disconnect from the master (103-2(a)) and connect to the aggregation switch (slace) (103-2(b)).

이후, 장애 관리 노드는 집선 스위치(슬레이스)(103-2(b))에 대해 주기적으로 스탠바이 모드에서 상태 체크를 수행하고, 상태 체크 결과, 응답이 수신되지 않으면 장애로 판단할 수 있다. 이 경우, 집선 스위치(103-2(a), 103-2(b))의 장애로 판단하여, 전체 기업 가입자들의 VLAN 링크의 장애로 간주할 수 있다.Thereafter, the failure management node periodically performs a status check on the aggregation switch (slace) 103-2(b) in standby mode, and if no response is received as a result of the status check, it may be determined to be a failure. In this case, it can be considered a failure of the aggregation switches 103-2(a) and 103-2(b) and a failure of the VLAN links of all corporate subscribers.

따라서, 기업 가입자들의 VLAN 링크가 n개 이더라도 이들을 모두 모니터링하는 부하를 최소화하여 효율적인 감시가 가능하다.Therefore, even if there are n VLAN links of corporate subscribers, efficient monitoring is possible by minimizing the load of monitoring all of them.

이상에서 설명한 본 개시의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 개시의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present disclosure described above are not only implemented through devices and methods, but may also be implemented through programs that implement functions corresponding to the configurations of the embodiments of the present disclosure or recording media on which the programs are recorded.

이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속하는 것이다.Although the embodiments of the present disclosure have been described in detail above, the scope of the rights of the present disclosure is not limited thereto, and various modifications and improvements made by those skilled in the art using the basic concept of the present disclosure defined in the following claims are also possible. It falls within the scope of rights.

Claims (20)

1차 단말이 상기 1차 단말에 연결된 2차 단말의 기업 전용망 접속을 위해 동작하는 방법으로서,
사용자 평면 관리 장치의 공개된 IP 주소인 제어 IP 주소를 이용하여, 상기 사용자 평면 관리 장치에게 1차 단말 정보가 포함된 1차 단말 인증 요청을 전송하는 단계,
상기 1차 단말 정보에 기초한 단말 인증에 성공하면, 상기 사용자 평면 관리 장치의 데이터 IP 주소를 포함하는 1차 단말 인증 응답을 상기 사용자 평면 관리 장치로부터 수신하는 단계, 그리고
상기 데이터 IP 주소를 이용하여, 상기 사용자 평면 관리 장치와 상기 2차 단말의 사용자 평면 데이터를 송수신하기 위한 전용망 세션을 설정하는 단계
를 포함하는, 방법.A method in which a primary terminal operates to connect a secondary terminal connected to the primary terminal to a corporate dedicated network,
Transmitting a primary terminal authentication request containing primary terminal information to the user plane management device using a control IP address that is a public IP address of the user plane management device,
If terminal authentication based on the primary terminal information is successful, receiving a primary terminal authentication response including a data IP address of the user plane management device from the user plane management device, and
Setting up a dedicated network session for transmitting and receiving user plane data of the user plane management device and the secondary terminal using the data IP address.
Method, including. 제1항에서,
상기 수신하는 단계와 상기 설정하는 단계 사이에,
상기 데이터 IP 주소를 이용하여, 2차 단말 정보가 포함된 2차 단말 인증 요청을 상기 사용자 평면 관리 장치로 전송하여, 상기 2차 단말 정보에 기초한 단말 인증 결과가 포함된 2차 단말 인증 응답을 수신하는 단계를 더 포함하고,
상기 설정하는 단계는,
상기 2차 단말 정보에 기초한 단말 인증 결과가 인증 성공인 경우에, 수행되는, 방법.In paragraph 1:
Between the receiving step and the setting step,
Using the data IP address, transmit a secondary terminal authentication request containing secondary terminal information to the user plane management device, and receive a secondary terminal authentication response containing a terminal authentication result based on the secondary terminal information. It further includes steps of:
The setting steps are:
A method performed when the terminal authentication result based on the secondary terminal information is authentication success. 제1항에서,
상기 데이터 IP 주소는,
복수의 기업 가입자 또는 하나의 기업 가입자의 서비스 별로 구분된 복수의 슬라이스 별로 다르게 설정되는, 방법.In paragraph 1:
The data IP address is,
A method that is set differently for a plurality of slices divided by service of a plurality of corporate subscribers or one corporate subscriber. 제3항에서,
상기 1차 단말 인증 요청은,
상기 복수의 기업 가입자를 구분하기 위한 APN(Access Point Name) 또는 상기 복수의 슬라이스를 구분하기 위한 슬라이스 식별자를 포함하는, 방법.In paragraph 3,
The first terminal authentication request is,
A method including an Access Point Name (APN) for distinguishing the plurality of corporate subscribers or a slice identifier for distinguishing the plurality of slices. 제1항에서,
상기 제어 IP 주소는,
복수의 기업 가입자 또는 하나의 기업 가입자의 서비스 별로 구분된 복수의 슬라이스에 공통으로 설정되는, 방법.In paragraph 1:
The control IP address is,
A method commonly set for a plurality of slices divided by service of a plurality of corporate subscribers or one corporate subscriber. 1차 단말 및 상기 1차 단말과 연결된 2차 단말의 전용망 접속을 제어하는 기업 전용망 서비스 시스템으로서,
상기 1차 단말 및 상기 2차 단말에 대한 전용망 접속 권한을 판단하는 단말 인증을 수행하는 제어 평면 관리 장치, 그리고
상기 1차 단말과 상기 2차 단말의 전용망 트래픽을 송수신하기 위한 전용망 세션을 설정하는 사용자 평면 관리 장치를 포함하고,
상기 사용자 평면 관리 장치는,
복수의 기업 가입자 또는 하나의 기업 가입자의 서비스 별로 구분된 복수의 슬라이스 별로 다르게 할당된 IP 주소를 이용하여 각각의 전용망 트래픽을 논리적으로 구분하여 처리하는, 기업 전용망 서비스 시스템.A corporate dedicated network service system that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal,
A control plane management device that performs terminal authentication to determine dedicated network access rights for the primary terminal and the secondary terminal, and
A user plane management device that establishes a dedicated network session for transmitting and receiving dedicated network traffic between the primary terminal and the secondary terminal,
The user plane management device,
A corporate dedicated network service system that logically separates and processes each dedicated network traffic using IP addresses differently assigned to a plurality of slices divided by service of multiple corporate subscribers or one corporate subscriber. 제6항에서,
상기 1차 단말과 상기 사용자 평면 관리 장치에 위치하여 상기 2차 단말의 전용망 트래픽을 라우팅하는 네트워크 장치를 더 포함하고,
상기 네트워크 장치는,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 다르게 할당된 VLAN ID를 이용하여 각각의 전용망 트래픽을 논리적으로 구분하여 처리하는, 기업 전용망 서비스 시스템.In paragraph 6:
Further comprising a network device located in the primary terminal and the user plane management device to route dedicated network traffic of the secondary terminal,
The network device is,
A corporate dedicated network service system that logically separates and processes each dedicated network traffic using VLAN IDs differently assigned to each of the plurality of corporate subscribers or the plurality of slices. 제7항에서,
상기 네트워크 장치는,
상기 1차 단말로부터 수신한 전용망 트래픽의 APN(Access Point Name)에 매칭되는 VLAN ID를 상기 전용망 트래픽에 포함시켜 상기 사용자 평면 관리 장치로 전달하는, 기업 전용망 서비스 시스템.In paragraph 7:
The network device is,
A corporate dedicated network service system that includes a VLAN ID matching the APN (Access Point Name) of the dedicated network traffic received from the primary terminal in the dedicated network traffic and transmits it to the user plane management device. 제7항에서,
상기 사용자 평면 관리 장치는,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스에 공통으로 할당된 제어 IP 주소를 이용하여 상기 1차 단말로부터 1차 단말 인증 요청을 수신하는, 기업 전용망 서비스 시스템.In paragraph 7:
The user plane management device,
A corporate dedicated network service system that receives a primary terminal authentication request from the primary terminal using a control IP address commonly assigned to the plurality of corporate subscribers or the plurality of slices. 제9항에서,
상기 제어 IP 주소는,
상기 1차 단말이 코어망과 전용망 세션을 설립하는 과정에서 상기 코어망으로부터 획득하는, 기업 전용망 서비스 시스템.In paragraph 9:
The control IP address is,
A corporate dedicated network service system that the primary terminal obtains from the core network in the process of establishing a dedicated network session with the core network. 제9항에서,
상기 사용자 평면 관리 장치는,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 다르게 할당된 데이터 IP 주소를 이용하여 상기 1차 단말과 전용망 세션을 설정하는, 기업 전용망 서비스 시스템.In paragraph 9:
The user plane management device,
A corporate dedicated network service system that establishes a dedicated network session with the primary terminal using data IP addresses differently assigned to the plurality of corporate subscribers or the plurality of slices. 제11항에서,
상기 사용자 평면 관리 장치는,
1차 단말 인증에 성공한 경우, 상기 제어 평면 관리 장치로부터 상기 데이터 IP 주소를 수신하여 상기 1차 단말에게 전송하는, 기업 전용망 서비스 시스템.In paragraph 11:
The user plane management device,
An enterprise dedicated network service system that receives the data IP address from the control plane management device and transmits it to the primary terminal when primary terminal authentication is successful. 제11항에서,
상기 사용자 평면 관리 장치는,
상기 데이터 IP 주소를 이용하여 2차 단말 인증 요청을 수신하고, 상기 2차 단말 인증 요청을 상기 제어 평면 관리 장치로 전달하는, 기업 전용망 서비스 시스템.In paragraph 11:
The user plane management device,
An enterprise dedicated network service system that receives a secondary terminal authentication request using the data IP address and transmits the secondary terminal authentication request to the control plane management device. 제11항에서,
상기 사용자 평면 관리 장치는,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 다르게 할당된 코어 IP 주소를 사용하여 상기 제어 평면 관리 장치와 내부망 통신을 수행하는, 기업 전용망 서비스 시스템.In paragraph 11:
The user plane management device,
An enterprise dedicated network service system that performs internal network communication with the control plane management device using core IP addresses differently assigned to each of the plurality of corporate subscribers or the plurality of slices. 제14항에서,
상기 사용자 평면 관리 장치는,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 구분되는 복수의 망 분리 식별자와 복수의 내부 코어 IP 주소를 매칭한 식별자-코어 IP 정보를 저장하고, 상기 1차 단말로부터 수신하는 전용망 트래픽으로부터 확인한 망 분리 식별자에 매칭되는 코어 IP 주소를 선택하는, 기업 전용망 서비스 시스템.In paragraph 14:
The user plane management device,
Stores identifier-core IP information that matches a plurality of network separation identifiers for each of the plurality of enterprise subscribers or the plurality of slices and a plurality of internal core IP addresses, and confirms network separation from dedicated network traffic received from the primary terminal. A corporate dedicated network service system that selects a core IP address matching an identifier. 제14항에서,
상기 사용자 평면 관리 장치는,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 구분되는 각각의 코어 IP 주소를 사용하여 상기 제어 평면 관리 장치와 단말 인증 관련 데이터를 송수신하는 복수의 내부망 연동 노드,
상기 복수의 기업 가입자 또는 상기 복수의 슬라이스 별로 구분되는 각각의 데이터 IP 주소를 사용하여 상기 1차 단말과 전용망 세션을 설정하고, 상기 2차 단말에 대한 인증 요청을 수신하는 복수의 데이터 처리 노드, 그리고
상기 제어 IP 주소를 사용하여 상기 1차 단말과 통신하는 게이트웨이 노드를 포함하는, 기업 전용망 서비스 시스템.In paragraph 14:
The user plane management device,
A plurality of internal network interworking nodes that transmit and receive terminal authentication-related data with the control plane management device using each core IP address divided by the plurality of corporate subscribers or the plurality of slices,
A plurality of data processing nodes that establish a dedicated network session with the primary terminal using each data IP address distinguished for each of the plurality of enterprise subscribers or the plurality of slices and receive an authentication request for the secondary terminal, and
An enterprise dedicated network service system comprising a gateway node that communicates with the primary terminal using the control IP address. 1차 단말 및 상기 1차 단말과 연결된 2차 단말의 전용망 접속을 제어하는 사용자 평면 관리 장치의 동작 방법으로서,
상기 사용자 평면 관리 장치의 공개된 IP 주소인 제어 IP 주소를 이용하여, 상기 1차 단말로부터 1차 단말 정보가 포함된 1차 단말 인증 요청을 수신하는 단계,
상기 1차 단말 정보에 기초하여 1차 단말 인증을 수행하는 제어 평면 관리 장치에게 상기 1차 단말 인증 요청을 전달하는 단계,
상기 1차 단말 인증에 성공한 경우, 상기 사용자 평면 관리 장치의 데이터 IP 주소가 포함된 1차 단말 인증 응답을 상기 제어 평면 관리 장치로부터 수신하는 단계,
상기 1차 단말 인증 응답을 상기 1차 단말에게 전송하는 단계, 그리고
상기 1차 단말과 상기 데이터 IP 주소를 이용하여 상기 2차 단말의 사용자 평면 데이터를 송수신하기 위한 전용망 세션을 설정하는 단계
를 포함하는, 방법.A method of operating a user plane management device that controls access to a dedicated network of a primary terminal and a secondary terminal connected to the primary terminal, comprising:
Receiving a primary terminal authentication request containing primary terminal information from the primary terminal using a control IP address that is a public IP address of the user plane management device,
Forwarding the primary terminal authentication request to a control plane management device that performs primary terminal authentication based on the primary terminal information,
If the primary terminal authentication is successful, receiving a primary terminal authentication response including a data IP address of the user plane management device from the control plane management device,
transmitting the primary terminal authentication response to the primary terminal, and
Establishing a dedicated network session for transmitting and receiving user plane data of the secondary terminal using the primary terminal and the data IP address
Method, including. 제17항에서,
상기 전달하는 단계는,
상기 1차 단말 인증 요청에 포함된 VLAN ID에 매칭되는 코어 IP 주소를 사용하여 상기 제어 평면 관리 장치에게 상기 1차 단말 인증 요청을 전달하는, 방법.In paragraph 17:
The delivery step is,
Method for transmitting the primary terminal authentication request to the control plane management device using a core IP address matching the VLAN ID included in the primary terminal authentication request. 제18항에서,
상기 데이터 IP 주소는,
상기 제어 평면 관리 장치에 의해 상기 코어 IP 주소에 따라 할당되는, 방법.In paragraph 18:
The data IP address is,
Allocated according to the core IP address by the control plane management device. 제18항에서,
상기 VLAN ID는,
상기 1차 단말과 상기 사용자 평면 관리 장치 사이에 위치하는 네트워크 장치에 의해 추가되는, 방법.In paragraph 18:
The VLAN ID is,
Added by a network device located between the primary terminal and the user plane management device.
KR1020220118634A 2022-09-20 2022-09-20 System and method for providing enterprise dedicated network service applying network separation structure KR20240039819A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220118634A KR20240039819A (en) 2022-09-20 2022-09-20 System and method for providing enterprise dedicated network service applying network separation structure

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220118634A KR20240039819A (en) 2022-09-20 2022-09-20 System and method for providing enterprise dedicated network service applying network separation structure

Publications (1)

Publication Number Publication Date
KR20240039819A true KR20240039819A (en) 2024-03-27

Family

ID=90480756

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220118634A KR20240039819A (en) 2022-09-20 2022-09-20 System and method for providing enterprise dedicated network service applying network separation structure

Country Status (1)

Country Link
KR (1) KR20240039819A (en)

Similar Documents

Publication Publication Date Title
US11979798B2 (en) Session establishment to join a group communication
US7693507B2 (en) Wireless network control device and wireless network control system
EP2624525B1 (en) Method, apparatus and virtual private network system for issuing routing information
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
CN110881014B (en) Method and device for physically isolating services of wireless private network
JP2019506053A (en) Communication system for communication in a communication network having a sub-network
US8665849B2 (en) Methods and systems for implementing inter-network roam, querying and attaching network
EP2854335A1 (en) Data network management
KR101689012B1 (en) Network apparatus and terminal for multinet aggregation transmission, and operating method thereof
CN114980243B (en) Data forwarding method, device and storage medium
JP7268203B2 (en) Access control component and method for controlling usage of mobile communication system
KR20200020544A (en) Method and system for private network service in 5g communication network
JP2005244964A (en) Session information management method and session information management apparatus
KR20240039819A (en) System and method for providing enterprise dedicated network service applying network separation structure
KR20210047386A (en) Method for controlling the link between a plurality of sessions and apparatus therefor
WO2019160061A1 (en) Communication device, distribution device, communication system, transmission method, and non-transitory computer-readable medium
JP3668648B2 (en) Session information management method and session information management apparatus
WO2017003065A1 (en) Network device and terminal for multi-net aggregation transmission, and operating method thereof
KR20240039519A (en) Method and apparatus for providing virtual lan service supporting device to device communication
CN115567986B (en) Communication network based on load balancing
JP2007049503A (en) Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device
KR20240042960A (en) Enterprise dedicated network service system for providing multi authentication
JP4094485B2 (en) User terminal connection control method and connection control server
US20230319684A1 (en) Resource filter for integrated networks
CN113438641B (en) Group processing method, equipment and storage medium