[go: up one dir, main page]

KR20110030126A - How to provide seamless FMC services - Google Patents

How to provide seamless FMC services

Info

Publication number
KR20110030126A
KR20110030126A KR1020090088116A KR20090088116A KR20110030126A KR 20110030126 A KR20110030126 A KR 20110030126A KR 1020090088116 A KR1020090088116 A KR 1020090088116A KR 20090088116 A KR20090088116 A KR 20090088116A KR 20110030126 A KR20110030126 A KR 20110030126A
Authority
KR
South Korea
Prior art keywords
fmc
user terminal
network
supporting apparatus
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020090088116A
Other languages
Korean (ko)
Inventor
노재훈
구명완
문호건
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020090088116A priority Critical patent/KR20110030126A/en
Publication of KR20110030126A publication Critical patent/KR20110030126A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/18Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 심리스한 FMC 서비스 제공 방법에 관한 것으로, FMC 지원장치에서 상기 제1망으로의 접속을 요청한 사용자 단말에게 터널 IP 주소를 할당하고 상기 제1 망에서 할당한 상기 사용자 단말의 IP 주소와 매칭하여 저장하는 단계, 상기 FMC 지원장치가 상기 사용자 단말과 제1 VPN 터널을 설정하는 단계, 상기 FMC 지원장치와 상기 사용자 단말에서 상기 생성한 제1 암호화키를 이용하여 전송할 데이터를 패킷 데이터로 만들고 상기 제1 VPN 터널을 통해 상기 패킷 데이터를 교환하는 단계, 상기 FMC 지원장치에서 상기 제2 망으로의 접속을 요청한 상기 사용자 단말이 핸드오버한 단말인지를 파악하는 단계, 상기 FMC 지원장치에서 상기 사용자 단말이 핸드오버한 사용자 단말인 경우에 기 저장된 상기 사용자 단말의 IP 주소를 상기 제2 망에서 할당한 IP 주소로 갱신하는 단계, 상기 FMC 지원장치에서 상기 사용자 단말과 제2 VPN 터널을 설정하는 단계, 그리고 상기 FMC 지원장치와 상기 사용자 단말에서 상기 단계에서 생성한 제2 암호화키를 이용하여 전송할 데이터를 패킷 데이터로 만들고 상기 제2 VPN 터널을 통해 상기 패킷 데이터를 교환하는 단계를 포함한다.

Figure P1020090088116

FMC 서비스, 핸드오버, 터널링, 심리스

The present invention relates to a method for providing a seamless FMC service, wherein the FMC supporting apparatus allocates a tunnel IP address to a user terminal requesting access to the first network and matches the IP address of the user terminal allocated in the first network. Storing the data; establishing, by the FMC supporting apparatus, a first VPN tunnel with the user terminal; making data to be transmitted using the first encryption key generated by the FMC supporting apparatus and the user terminal as packet data; Exchanging the packet data through a first VPN tunnel; determining whether the user terminal requesting access to the second network from the FMC supporting apparatus is a handed over terminal; the user terminal in the FMC supporting apparatus In the case of the handovered user terminal, the previously stored IP address of the user terminal is assigned to the IP address allocated from the second network. Establishing a second VPN tunnel with the user terminal in the FMC-supporting device, and transmitting data to the packet data by using the second encryption key generated in the step in the FMC-supporting device and the user terminal. Creating and exchanging the packet data over the second VPN tunnel.

Figure P1020090088116

FMC Service, Handover, Tunneling, Seamless

Description

심리스한 FMC 서비스 제공 방법{Method for providing a seamless FMC service}How to provide seamless FMC service {Method for providing a seamless FMC service}

본 발명은 FMC(Fixed Mobile Convergence) 서비스에 관한 것이다. 특히, 무선 단말에 대한 기업망에서 공인망으로의 핸드오버시 심리스(seamless)한 FMC 서비스 제공 방법에 관한 것이다.The present invention relates to a Fixed Mobile Convergence (FMC) service. In particular, the present invention relates to a seamless FMC service providing method during handover from an enterprise network to a public network for a wireless terminal.

최근 기업에서는 무선 단말(예; 휴대폰, PDA, 스마트폰 등)로 실내에서는 근거리 무선통신 네트워크(예; WLAN(Wireless Local Area Network) 등)을 이용하고 건물 밖에서는 셀룰러 네트워크를 사용하는 FMC(Fixed Mobile Convergence) 서비스가 상용화 중에 있다.Recently, FMC (Fixed Mobile) uses a wireless terminal (e.g. mobile phone, PDA, smart phone, etc.) as a local wireless communication network (e.g., Wireless Local Area Network (WLAN), etc.) and a cellular network outside the building. Convergence) service is commercially available.

이러한 FMC 서비스가 활성화됨에 따라 기업에서는 기업 응용 서비스(예; United Communications, Groupware, E-mail 등) 사용에 대한 욕구도 높아지고 있는 추세이다. With the activation of these FMC services, companies are increasingly inclined to use corporate application services (eg, United Communications, Groupware, E-mail, etc.).

현재 FMC의 무선 보안은 기업 내에서 WLAN의 WPA(Wi-Fi Protected Access) 방식을 통하여 보안 기능을 제공하고 있고 기업 응용 서비스 사용에 따른 정보 유출을 보호하고 있다.Currently, FMC's wireless security provides security functions through WLAN's Wi-Fi Protected Access (WPA) method and protects information leakage due to the use of enterprise application services.

그러나 FMC 가입자들이 기업 WLAN을 벗어나 옥외 셀룰러 네트워크에 접속하여 기업 응용 서비스를 사용할 경우 기업 정보가 제3자에게 쉽게 누출될 수 있다는 문제점이 발생한다.However, when FMC subscribers use an enterprise application service by accessing an outdoor cellular network outside a corporate WLAN, corporate information may be easily leaked to third parties.

FMC 서비스는 서비스 특성상 근거리 무선통신 네트워크와 셀룰러 네트워크를 자유롭게 이동하면서 기업에서 제공하는 여러 가지 응용 서비스들을 언제 어디서나 접속 네트워크와 상관없이 사용할 수 있도록 서비스의 연속성이 제공되어야 하고, 이러한 서비스 연속성과 동시에 정보 누출에 대한 보안성도 유지되어야 한다.FMC service must provide continuity of service so that various application services provided by enterprise can be used anytime and anywhere regardless of access network while moving freely between local area wireless network and cellular network. Security must also be maintained.

따라서, 근거리 무선통신 네트워크에서 셀룰러 네트워크 간에 심리스한 핸드오버와 동시에 보안성과 기밀성을 제공하는 FMC 서비스가 요구된다.Accordingly, there is a need for an FMC service that provides security and confidentiality at the same time as seamless handover between cellular networks in a short range wireless communication network.

본 발명이 이루고자 하는 기술적 과제는 근거리 무선통신 네트워크로 이루어진 기업망에서 셀룰러 네트워크의 공인망으로 이동하는 경우에 심리스한 이동성과 셀룰러 네트워크 내 데이터 통신의 보안성 및 기밀성을 보장하는 심리스한 FMC 서비스 제공 방법을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention provides a seamless FMC service providing method for ensuring seamless mobility and security and confidentiality of data communication in a cellular network when moving from an enterprise network consisting of a short-range wireless communication network to an authorized network of a cellular network. To provide.

이를 위하여 본 발명의 특징에 따르면 본 발명은 FMC(Fixed Mobile Convergence) 서비스가 적용되는 제1망과 제2망 간에서의 심리스한 FMC 서비스 제공 방법을 제공한다. 상기 심리스한 FMC 서비스 제공 방법은 (a) FMC 지원장치에서 상기 제1망으로의 접속을 요청한 사용자 단말에게 터널 IP 주소를 할당하고 상기 제1 망에서 할당한 상기 사용자 단말의 IP 주소와 매칭하여 저장하는 단계, (b) 상기 FMC 지원장치가 상기 사용자 단말과 제1 VPN(Virtual Private Network) 터널을 설정하는 단계, (c) 상기 FMC 지원장치와 상기 사용자 단말에서 상기 (a) 단계에서 생성한 제1 암호화키를 이용하여 전송할 데이터를 패킷 데이터로 만들고 상기 제1 VPN 터널을 통해 상기 패킷 데이터를 교환하는 단계, (d) 상기 FMC 지원장치에서 상기 제2 망으로의 접속을 요청한 상기 사용자 단말이 핸드오버한 단말인지를 파악하는 단계, (e) 상기 FMC 지원장치에서 상기 사용자 단말이 핸드오버한 사용자 단말인 경우에 기 저장된 상기 사용자 단말의 IP 주소를 상기 제2 망에서 할당한 IP 주소로 갱신하는 단계, (f) 상기 FMC 지원장치에서 상기 사용자 단말과 제2 VPN 터널을 설정하는 단계, 그리고 (g) 상기 FMC 지원장치와 상기 사용자 단말에서 상기 (f) 단계에서 생성한 제2 암호화키를 이용하여 전송할 데이터를 패킷 데이터로 만들고 상기 제2 VPN 터널을 통해 상기 패킷 데이터를 교환하는 단계를 포함하며, 상기 FMC 지원장치는 상기 제1망과 제2망 중 커버리지가 작은 망에 위치하는 것을 특징으로 한다.To this end, the present invention provides a seamless FMC service providing method between a first network and a second network to which a Fixed Mobile Convergence (FMC) service is applied. The seamless FMC service providing method includes (a) assigning a tunnel IP address to a user terminal requesting access to the first network from an FMC supporting apparatus and matching and storing the IP address of the user terminal assigned in the first network. (B) establishing, by the FMC-supporting device, a first virtual private network (VPN) tunnel with the user terminal; and (c) generating, by the FMC-supporting device and the user terminal, in step (a). 1) making data to be transmitted using an encryption key into packet data and exchanging the packet data through the first VPN tunnel; and (d) the user terminal requesting access to the second network from the FMC support apparatus. Determining whether the terminal has been overwritten, (e) when the user terminal is a handovered user terminal in the FMC supporting apparatus, the stored IP address of the user terminal; Updating to an IP address allocated from the second network; (f) establishing a second VPN tunnel with the user terminal in the FMC supporting apparatus; and (g) (f) in the FMC supporting apparatus and the user terminal. And converting the packet data into packet data using the second encryption key generated in the step, and exchanging the packet data through the second VPN tunnel, wherein the FMC supporting apparatus is one of the first network and the second network. It is characterized in that the coverage is located in a small net.

상기에서 제1 VPN 터널은 상기 FMC 지원장치와 상기 사용자 단말 간에 이루어지는 마스터키를 생성하는 보안 협상과 암호화키를 생성하는 암호화 협상에 의해 설정되고, 상기 제2 VPN 터널은 상기 FMC 지원장치와 상기 사용자 단말 간에 이루어지는 상기 암호화 협상에 의해 설정되되, 상기 보안 협상은 상기 제1 VPN 터널 설정시의 상기 보안 협상이 사용되는 것을 특징으로 한다.The first VPN tunnel is established by a security negotiation for generating a master key between the FMC support device and the user terminal and an encryption negotiation for generating an encryption key, and the second VPN tunnel is configured by the FMC support device and the user. It is set by the encryption negotiation between the terminal, wherein the security negotiation is characterized in that the security negotiation at the time of establishing the first VPN tunnel is used.

그리고 상기 제1 및 제2 VPN 터널 설정은 IPsec(Internet Protocol Security) 또는 SSL(Secure Socket Layer)을 이용하는 것을 특징으로 한다. The first and second VPN tunnel settings may be configured using IPsec (Internet Protocol Security) or SSL (Secure Socket Layer).

상기 (d) 단계에서 상기 FMC 지원장치는 상기 제2 망으로 수신된 상기 사용자 단말의 IP 주소를 상기 기 저장된 상기 사용자 단말의 IP 주소와 비교하여 상기 사용자 단말의 핸드오버 여부를 파악하는 것을 특징으로 한다. In step (d), the FMC supporting apparatus compares the IP address of the user terminal received to the second network with the IP address of the previously stored user terminal to determine whether the user terminal is handovered. do.

그리고 상기 제1망은 기업망이고 상기 제2망은 공인망이며, 상기 FMC 지원장치는 상기 제1망에 위치하는 것을 특징으로 한다.The first network is an enterprise network, the second network is an authorized network, and the FMC support apparatus is located in the first network.

본 발명의 실시 예에 따르면, 사용자 단말이 기업망에서 공인망에서 이동하여 기업망의 응용 서비스를 사용할 경우에 제3 자에게 기업 정보가 누출되는 문제점을 해소하면서, 심리스한 FMC 서비스를 제공하는 효과가 있다.According to an exemplary embodiment of the present invention, when a user terminal moves from an authorized network in an enterprise network and uses an application service of an enterprise network, an issue of providing a seamless FMC service while solving a problem of leaking corporate information to a third party is provided. There is.

또한 본 발명의 실시 예에 따르면, 사용자 단말이 접속하는 기업망/공인망에서 보안 프로토콜 기반의 FMC 서비스를 제공함으로써 기업 응용 서비스의 영역을 확대시킬 수 있으며 동시에 FMC 서비스를 활성화시킬 수 있는 효과가 있다.In addition, according to an embodiment of the present invention, by providing a security protocol based FMC service in the enterprise network / authorized network to which the user terminal is connected, it is possible to expand the scope of the enterprise application services and at the same time activate the FMC service. .

또한 본 발명의 실시 예에 따르면, FMC 서비스가 기업 정보 누출을 위한 다양한 공격으로부터 보호함으로써, FMC 서비스 활성화에 따른 FMC 가입자 증가와 함께 새로운 수익모델 기반을 마련하는 효과가 있다.In addition, according to an embodiment of the present invention, by protecting the FMC service from various attacks for corporate information leakage, there is an effect of providing a new revenue model base with the increase of FMC subscribers due to the activation of the FMC service.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상 세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

이제, 도면을 참조하여 본 발명의 실시예에 따른 심리스한 FMC 서비스 제공 방법에 대하여 상세히 설명하기로 한다.Now, the seamless FMC service providing method according to an embodiment of the present invention with reference to the drawings will be described in detail.

도 1은 본 발명의 실시 예에 따른 네트워크 구성도를 보인 도면이다.1 is a diagram illustrating a network configuration according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 실시 예에 따른 네트워크는 근거리 무선통신 네트워크인 기업망(N1)과 공인 IP(Internet Protocl)를 기반으로 하는 공인 IP망 즉, 공인망(N2)과, 기업망(N1)의 에지(edge)에 위치하여 사용자 단말(10)의 FMC 서비스를 지원하는 FMC 지원장치(100)를 포함한다.As shown in FIG. 1, the network according to the embodiment of the present invention includes a public IP network, that is, a public network N2 based on an enterprise network N1 and a public IP (Internet Protocol), which are short-range wireless communication networks, and Located at the edge (edge) of the enterprise network (N1) includes an FMC support device 100 for supporting the FMC service of the user terminal 10.

사용자 단말(10)은 기업망(N1)과 공인망(N2) 모두에서 무선 통신이 가능한 단말기로서, 예컨대, 스마트폰, 휴대폰, PDA, 노트북 및 컴퓨터 등이다. 그러나 사용자 단말(10)은 스마트폰, 휴대폰, PDA, 노트북 및 컴퓨터 등의 명칭에 구속되지 않으며, 기존 또는 향후 개발될 모든 단말기를 포함한다.The user terminal 10 is a terminal capable of wireless communication in both the enterprise network N1 and the authorized network N2, for example, a smartphone, a mobile phone, a PDA, a notebook computer and a computer. However, the user terminal 10 is not limited to names of smartphones, mobile phones, PDAs, notebook computers, and the like, and includes all terminals existing or developed in the future.

기업망(N1)은 공인망(N2)과 독립되는 근거리 무선통신 네트워크로 이루어지며, 가장 보편적으로 사용되는 형태로는 WLAN이다. 따라서 이하에서는 기업망(N1)이 WLAN이라고 하여 설명한다.Enterprise network (N1) consists of a short-range wireless communication network independent of the public network (N2), the most commonly used form of WLAN. Therefore, hereinafter, the enterprise network N1 will be described as WLAN.

공인망(N2)은 공인 IP를 사용하여 통신하는 네트워크로서, UMTS(Universal Mobile Telecommunication Systems)(예; CDMA, WCDMA 등), 와이브로 등이다. 이하에서는 이해를 돕기 위해 공인망(N2)이 WCDMA라고 하여 설명한다.The public network N2 is a network for communicating using public IP, and is a Universal Mobile Telecommunication Systems (UMTS) (for example, CDMA, WCDMA, etc.), WiBro, and the like. Hereinafter, for the sake of understanding, the public network N2 will be described as WCDMA.

FMC 지원장치(100)는 사용자 단말(10)에 대하여 기업망(N1) 내 통신을 지원하고, 공인망(N2) 내 통신을 지원하며, 기업망(N1)에서 공인망(N2)으로의 이동성 지원 및 공인망(N2)에서 기업망(N1)으로의 이동성을 지원한다.The FMC support apparatus 100 supports communication in the corporate network N1 for the user terminal 10, supports communication in the authorized network N2, and mobility from the corporate network N1 to the authorized network N2. Support and mobility from N2 to enterprise network N1.

FMC 지원장치(100)는 기업망(N1) 또는 공인망(N2)의 통신 시스템(예; WLAN의 AP(Access Point), WCDMA의 GGSN(Gateway GPRS Support Node) 등)과 연결되어 있으며, 이를 통해 기업망(N1) 또는 공인망(N2)으로부터 사용자 단말(10)의 접속 알림을 수신한다.The FMC support apparatus 100 is connected to a communication system of an enterprise network N1 or an authorized network N2 (eg, an AP (Access Point) of a WLAN, a Gateway GPRS Support Node (GGSN, etc.) of WCDMA), and through this, Receive a connection notification of the user terminal 10 from the enterprise network (N1) or authorized network (N2).

FMC 지원장치(100)는 해당 망(N1 또는 N2)으로부터 사용자 단말(10)의 접속알림을 수신하는 경우에, 해당 망(N1 또는 N2) 내 통신 지원 또는 FMC 서비스를 위한 이동성 지원을 수행한다.When the FMC supporting apparatus 100 receives the access notification of the user terminal 10 from the network N1 or N2, the FMC supporting apparatus 100 performs communication support or mobility support for the FMC service in the network N1 or N2.

여기서, 해당 망(N1 또는 N2) 내 통신 지원을 위해 FMC 지원장치(100)는 사용자 단말(10)과 VPN(Virtual Priviate Network) 터널을 생성하고 VPN 터널을 통해 사용자 단말(10)과 무선 통신을 수행한다.Here, in order to support communication in the corresponding network (N1 or N2), the FMC support apparatus 100 creates a VPN (Virtual Priviate Network) tunnel with the user terminal 10 and performs wireless communication with the user terminal 10 through the VPN tunnel. To perform.

그리고 FMC 서비스를 위한 이동성 지원을 위해 FMC 지원장치(100)는 핸드오버 이전에 위치한 망에서 형성한 VPN 터널을 업데이트한 VPN 터널을 새로이 생성하고, 새로 생성한 VPN 터널을 통해 사용자 단말(10)과 무선 통신을 수행한다.In order to support mobility for the FMC service, the FMC supporting apparatus 100 newly creates a VPN tunnel that updates a VPN tunnel formed in a network located before the handover, and the user terminal 10 and the newly created VPN tunnel. Perform wireless communication.

이하에서는 도 2를 참조로 하여 본 발명의 실시 예에 따른 FMC 지원장치(100) 에 대하여 상세히 설명한다. 도 2는 본 발명의 실시 예에 따른 FMC 지원장치의 블록 구성도이다.Hereinafter, the FMC support apparatus 100 according to an embodiment of the present invention will be described in detail with reference to FIG. 2. 2 is a block diagram of an FMC support apparatus according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 실시 예에 따른 FMC 지원장치(100)는 로컬 통신부(110), 인증부(120), 핸드오버 확인부(130), 가입자정보 저장부(140), 단말주소 저장부(150), 터널 생성부(160), 보안/암호 협상부(170), 암호화부(180) 및 복호화부(190)를 포함한다.As shown in FIG. 2, the FMC supporting apparatus 100 according to an exemplary embodiment of the present invention includes a local communication unit 110, an authentication unit 120, a handover confirmation unit 130, a subscriber information storage unit 140, Terminal address storage unit 150, tunnel generation unit 160, security / password negotiation unit 170, encryption unit 180 and decryption unit 190.

로컬 통신부(110)는 사용자 단말(10)이 요청한 백본망 내의 서비스 서버(또는 장치)(미도시)에 접속하여, 사용자 단말(10)에서 전송하는 데이터를 서비스 서버에 제공하고, 서비스 서버에서 제공하는 데이터를 수신한다.The local communication unit 110 accesses a service server (or device) (not shown) in the backbone network requested by the user terminal 10, provides data transmitted from the user terminal 10 to the service server, and provides the service server. Receive data.

인증부(120)는 가입자정보 저장부(140)와 연계하여 사용자 단말(10)에 대한 인증을 수행한다. The authentication unit 120 performs authentication on the user terminal 10 in association with the subscriber information storage unit 140.

핸드오버 확인부(130)는 기업망(N1) 또는 공인망(N2)으로부터 사용자 단말(10)의 접속 알림을 수신하면, 단말주소 저장부(150)와 연계하여 사용자 단말(10)이 기업망(N1)에서 공인망(N2)으로 이동하였는지 또는, 공인망(N2)에서 기업망(N1)으로 이동하였는지 또는, 초기 접속인지를 확인한다. When the handover confirmation unit 130 receives the access notification of the user terminal 10 from the enterprise network (N1) or authorized network (N2), the user terminal 10 is connected to the terminal address storage unit 150 is the enterprise network Check whether it is moved from (N1) to the public network (N2), or from the public network (N2) to the enterprise network (N1), or whether the initial connection.

가입자정보 저장부(140)는 사용자 단말(10)과 연동하기 위하여 가입자 식별정보, 사용자 단말의 식별정보(예; MAC(Media Access Control) 주소, 전화번호, ESN(Electric Serial Number) 등), 마스터키(master key) 등이 저장되어 있다.Subscriber information storage unit 140, the subscriber identification information, identification information of the user terminal (for example, MAC (Media Access Control) address, telephone number, ESN (Electric Serial Number), etc.), master in order to interwork with the user terminal 10, Key (master key) and the like are stored.

단말주소 저장부(150)는 기업망(N1) 또는 공인망(N2)에 현재 접속중인 사용자 단말(10)의 IP 주소나 터널링 IP 주소를 저장한다. 단말주소 저장부(150)에 저장 된 IP 주소는 사용자 단말(10)의 현재 위치 파악에 이용된다.The terminal address storage unit 150 stores the IP address or tunneling IP address of the user terminal 10 currently connected to the corporate network N1 or the authorized network N2. The IP address stored in the terminal address storage unit 150 is used to determine the current location of the user terminal 10.

터널 생성부(160)는 사용자 단말(10)에게 터널 IP 주소를 제공하고 사용자 단말(10)과의 터널을 생성한다. 사용자 단말(10)에게 제공한 터널 IP 주소는 단말주소 저장부(150)에 사용자 단말(10)의 식별정보와 매칭되어 저장된다.The tunnel generator 160 provides the tunnel IP address to the user terminal 10 and generates a tunnel with the user terminal 10. The tunnel IP address provided to the user terminal 10 is matched with the identification information of the user terminal 10 and stored in the terminal address storage 150.

보안/암호 협상부(170)는 표준화된 인터넷 보안 프로토콜인 IPsec(Internet Protocol Security) 또는 SSL(Secure Socket Layer)(또는 TLS(Transport Layer Security))을 기반으로 동작하여 터널 생성부(160)에 의해 생성된 터널을 통해 송신되는 데이터에 대한 보안성과 기밀성을 위해 보안 협상과 암호화 협상 및 암호화 키들의 생성과 관리를 한다.The security / password negotiation unit 170 is operated by the tunnel generation unit 160 by operating based on a standardized Internet security protocol such as Internet Protocol Security (IPsec) or Secure Socket Layer (SSL) (or TLS (Transport Layer Security)). Security negotiation, encryption negotiation, and generation and management of encryption keys are performed for security and confidentiality of data transmitted through the created tunnel.

암호화부(180)는 보안/암호 협상부(170)에 의해 생성된 암호화 키를 이용하여 터널을 통해 송신할 데이터를 암호화하여 전송한다. 복호화부(190)는 보안/암호 협상부(170)에 의해 생성된 암호화 키를 이용하여 터널을 통해 수신되는 데이터를 복호화한다.The encryption unit 180 encrypts and transmits data to be transmitted through the tunnel by using the encryption key generated by the security / password negotiation unit 170. The decryptor 190 decrypts data received through the tunnel by using the encryption key generated by the security / password negotiation unit 170.

도 3은 본 발명의 실시 예에 따른 사용자 단말과 FMC 지원장치 간의 VPN 터널 생성 및 VPN 터널을 이용한 통신 과정을 보인 도면으로서, 보안 프로토콜로서 IPsec을 이용한 경우이다.3 is a diagram illustrating a VPN tunnel generation and a communication process using a VPN tunnel between a user terminal and an FMC supporting apparatus according to an embodiment of the present invention, in which IPsec is used as a security protocol.

사용자 단말(10)은 기업망(N1) 또는 공인망(N2)에 접속하는 경우에 FMC 지원장치(100)로 VPN 터널 생성을 요청하는 요청 메시지를 전송한다(S301). 여기서 요청 메시지에는 사용자 단말(10)의 식별정보, IP 주소 등의 사용자 단말(10)의 정보 를 포함한다. 물론, VPN 터널 생성을 요청하는 요청 메시지는 사용자 단말(10)을 대신하여 기업망(N1)에서는 사용자 단말(10)이 접속한 AP에서 전송하거나, 공인망(N2)에서는 GGSN에서 전송할 수 있다.When the user terminal 10 is connected to the enterprise network (N1) or authorized network (N2) and transmits a request message for requesting the creation of a VPN tunnel to the FMC support apparatus 100 (S301). Here, the request message includes information of the user terminal 10 such as identification information and IP address of the user terminal 10. Of course, the request message requesting the creation of the VPN tunnel may be transmitted in the AP connected to the user terminal 10 in the enterprise network N1 on behalf of the user terminal 10 or in the GGSN in the authorized network N2.

요청 메시지를 수신한 FMC 지원장치(100)는 요청 메시지에 포함된 사용자 단말(10)의 정보를 확인하고(S302), 가입자정보 저장부(140)를 이용하여 사용 인증을 수행한다(S303).Upon receiving the request message, the FMC apparatus 100 checks the information of the user terminal 10 included in the request message (S302), and performs user authentication using the subscriber information storage unit 140 (S303).

그리고 사용 인증에 성공하면, FMC 지원장치(100)는 사용자 단말(10)과의 VPN 터널을 설정하기 위한 동작을 수행한다.If the user authentication succeeds, the FMC support apparatus 100 performs an operation for establishing a VPN tunnel with the user terminal 10.

즉, VPN 터널의 생성 과정에서 FMC 지원장치(100)는 터널 IP 주소를 생성하여 사용자 단말(10)에 제공하여, 사용자 단말(10)이 터널 IP 주소를 이용하여 VPN 터널로 데이터를 전송할 수 있게 한다.That is, in the process of creating a VPN tunnel, the FMC supporting apparatus 100 generates and provides a tunnel IP address to the user terminal 10 so that the user terminal 10 can transmit data to the VPN tunnel using the tunnel IP address. do.

그런 다음, FMC 지원장치(100)는 IKE(Internet Key Exchange) 프로토콜을 이용하여 사용자 단말(10)과 함께 암호화 알고리즘, 해쉬 알고리즘, 키 교환 절차 등에 대한 SA(Security Association) 협상을 하고 Diffie-Helman 키 교환 프로토콜을 사용하여 마스터키를 생성한다(S304).Then, the FMC supporting apparatus 100 negotiates a Security Association (SA) for encryption algorithm, hash algorithm, key exchange procedure, etc. with the user terminal 10 using the IKE (Internet Key Exchange) protocol, and the Diffie-Helman key. A master key is generated using an exchange protocol (S304).

이렇게 IKE SA 설정 과정에 의해 생성된 마스터키는 사용자 단말(10)과 FMC 지원장치(100)에 공유된다(S305).The master key generated by the IKE SA setting process is shared between the user terminal 10 and the FMC support apparatus 100 (S305).

FMC 지원장치(100)는 IKE SA를 설정하면, IPsec SA 설정 과정을 수행한다(S306). 이때 FMC 지원장치(100)와 사용자 단말(10)은 마스터키를 이용하여 IPsec SA 설정을 위해 상호 교환하는 메시지를 암호화한다.When the FMC supporting apparatus 100 sets the IKE SA, the FMC supporting apparatus 100 performs the IPsec SA setting process (S306). At this time, the FMC support apparatus 100 and the user terminal 10 encrypts the messages exchanged for the IPsec SA settings using the master key.

IPsec SA 설정 과정에서는 실질적으로 송수신되는 패킷에 대하여 ESP(Encapsulating Security Payload) 모드에서 사용할 암호화 알고리즘, AH(Authentication Header) 모드에서 사용할 인증 알고리즘 등을 포함하는 IPsec SA 협상을 수행하고, VPN 터널링에서 사용할 세션키를 생성한다.In the IPsec SA setup process, IPsec SA negotiation including the encryption algorithm to be used in the Encapsulating Security Payload (ESP) mode and the authentication algorithm to be used in the Authentication Header (AH) mode is performed on the actually transmitted / received packets. Create a key.

여기서 암호화 알고리즘은 3DES, AES 등이 있으며, SHA-1, MD5 등은 해쉬 알고리즘으로 사용된다.Here, encryption algorithms include 3DES and AES, and SHA-1 and MD5 are used as hash algorithms.

이렇게 IPsec SA 설정이 완료되면, 사용자 단말(10)과 FMC 지원장치(100)는 송신할 데이터를 IPsec SA 설정 과정에서 협상된 ESP 또는/및 AH를 이용하여 IPsec 패킷으로 만들어 전송한다.When the IPsec SA setup is completed in this way, the user terminal 10 and the FMC support apparatus 100 transmit the data to be transmitted into an IPsec packet using ESP or / and AH negotiated during the IPsec SA setup process.

예컨대, 사용자 단말(10)은 송신할 데이터를 IPsec 패킷으로 만들고(S307), IPsec 패킷을 해당 망(N1 또는 N2)에 생성된 VPN 터널을 통해 FMC 지원장치(100)로 전송한다(S308).For example, the user terminal 10 makes the data to be transmitted into an IPsec packet (S307), and transmits the IPsec packet to the FMC support apparatus 100 through the VPN tunnel generated in the corresponding network N1 or N2 (S308).

그러면 FMC 지원장치(100)는 사용자 단말(10)에서 전송한 IPsec 패킷을 수신하고, IPsec SA 설정 과정에서 생성한 세션키를 이용하여 데이터(즉, IPsec 패킷)에 대한 인증 및 복호화를 수행한다(S309).Then, the FMC support apparatus 100 receives the IPsec packet transmitted from the user terminal 10 and performs authentication and decryption on the data (that is, the IPsec packet) using the session key generated in the IPsec SA setting process ( S309).

이때, FMC 지원장치(100)는 데이터가 변조되었거나 복호화 과정에서 문제가 발생하는 경우에, 사용자 단말(10)로부터의 수신을 거부한다.In this case, the FMC support apparatus 100 rejects the reception from the user terminal 10 when data is modified or a problem occurs in the decoding process.

FMC 지원장치(100)는 데이터의 인증 및 복호화를 마치면 복호화한 데이터를 백본망을 통해 기업망(N1) 내의 서비스 서버에게 송신한다.The FMC support apparatus 100 transmits the decrypted data to the service server in the enterprise network N1 through the backbone network after completing the authentication and decryption of the data.

그리고 서비스 서버로부터 사용자 단말(10)로 전송할 데이터를 수신하면, S310과 마찬가지로, 전송할 데이터를 IPsec 패킷으로 만들고(S310), IPsec 패킷을 VPN 터널을 통해 사용자 단말(10)로 전송한다(S311).When receiving data to be transmitted to the user terminal 10 from the service server, as in S310, the data to be transmitted is made into an IPsec packet (S310), and the IPsec packet is transmitted to the user terminal 10 through the VPN tunnel (S311).

물론, 사용자 단말(10)에서도 수신한 IPsec 패킷에 대하여 세션키를 이용하여 데이터에 대한 인증 및 복호화를 수행한다.Of course, the user terminal 10 also performs authentication and decryption on the received IPsec packet using the session key.

여기서, 사용자 단말(10)과 FMC 지원장치(100) 간에 송수신되는 IPsec 패킷의 형태에 대한 일 예가 도 4에 도시되어 있다. 도 4는 본 발명의 실시 예에 따른 도 3에서 사용되는 IPsec 패킷 형태의 예를 보인 도면이다.Here, an example of the form of the IPsec packet transmitted and received between the user terminal 10 and the FMC support apparatus 100 is shown in FIG. 4 illustrates an example of an IPsec packet type used in FIG. 3 according to an embodiment of the present invention.

도 4에서, (a)는 AH만을 이용하여 IPsec 패킷을 생성한 형태이고, (b)는 ESP만을 이용하여 IPsec 패킷을 생성한 형태이며, (c)는 AH와 ESP를 이용하여 IPsec 패킷을 생성한 형태이다.In FIG. 4, (a) is an IPsec packet generated using only AH, (b) is an IPsec packet generated using only ESP, and (c) is an IPsec packet generated using AH and ESP. It is a form.

(a)에 도시된 IPsec 패킷 형식의 경우에는 메시지가 변조되었는지 여부를 체크하기 위하여 HMAC(keyed-hash message authentication code)를 사용한다. 그리고 AH에는 페이로드 길이(payload length), SPI(Security Parameter Index)와 인증 데이터(authentication data)를 포함하고 있다. IPsec 패킷 수신자는 SPI를 보고 인증 데이터에 적용된 해쉬 알고리즘을 알아내고, 페이로드 데이터와 IP 주소 등을 입력값으로 해쉬 함수를 수행하여 인증 데이터를 비교한다.In the case of the IPsec packet format shown in (a), a keyed-hash message authentication code (HMAC) is used to check whether the message has been tampered with. The AH includes payload length, security parameter index (SPI), and authentication data. The IPsec packet receiver finds the hash algorithm applied to the authentication data by looking at the SPI, and compares the authentication data by performing a hash function using the payload data and the IP address as input values.

(b)에 도시된 IPsec 패킷 형식 즉, ESP 형식은 사용자 단말(10)과 FMC 지원장치(100) 이외에 제3 자가 데이터를 볼 수 없도록 암호화하여 기밀성을 제공한다. IPsec 패킷 수신자는 ESP에 포함된 SPI에 정의된 암호 알고리즘을 사용하여 암호화 된 페이로드 데이터를 복호화한다.The IPsec packet format illustrated in (b), that is, the ESP format, provides confidentiality by encrypting data so that a third party other than the user terminal 10 and the FMC support apparatus 100 cannot see the data. The IPsec packet receiver decrypts the encrypted payload data using the encryption algorithm defined in the SPI included in the ESP.

물론 도 4의 (a), (b), (c)에 도시된 IPsec 패킷의 형태는 표준화된 IPsec을 이용하여 경우에 나타나는 형태로서, 공지 공용의 기술에 해당된다.Of course, the form of the IPsec packet shown in (a), (b), and (c) of FIG. 4 is a form that appears in the case of using standardized IPsec, and corresponds to a publicly known technique.

이제, 도 5를 참조로 하여 본 발명의 실시 예에 따른 심리스한 FMC 서비스 제공 방법을 설명한다. 도 5는 본 발명의 실시 예에 따른 심리스한 FMC 서비스 제공 방법의 데이터 흐름도로서, 사용자 단말(10)이 기업망(N1)에서 공인망(N2)으로 핸드오버한 경우에 대한 것이다. 이하에서는 기업망(N1)을 WLAN이라고 하고, 공인망(N2)을 WCDMA라 한다.Now, a seamless FMC service providing method according to an embodiment of the present invention will be described with reference to FIG. 5. 5 is a data flow diagram of a seamless FMC service providing method according to an exemplary embodiment of the present invention, in which the user terminal 10 performs a handover from the enterprise network N1 to the authorized network N2. Hereinafter, the corporate network N1 is referred to as WLAN and the authorized network N2 is referred to as WCDMA.

사용자 단말(10)이 WLAN(N1) 내에 위치하여 WLAN(N1) 내의 서비스 서버로의 접속을 요청하면(S501), WLAN(N1)의 AP(미도시)는 사용자 단말(10)에 대한 접속 인증을 수행하고 IP 주소를 할당한다(S502).When the user terminal 10 is located in the WLAN N1 and requests a connection to a service server in the WLAN N1 (S501), the AP (not shown) of the WLAN N1 authenticates the connection to the user terminal 10. Perform and assign an IP address (S502).

WLAN(N1)의 AP는 사용자 단말(10)에 대한 접속을 인증하면, FMC 지원장치(100)로 사용자 단말(10)에 대한 VPN 터널 생성을 요청한다(S503). When the AP of the WLAN N1 authenticates the connection to the user terminal 10, the FMC supporting apparatus 100 requests creation of a VPN tunnel for the user terminal 10 (S503).

이때 VPN 터널 생성을 요청하는 메시지에는 할당받은 IP 주소가 포함되어 있다. 물론 VPN 터널 생성 요청은 접속 인증을 받은 사용자 단말(10)에서 FMC 지원장치(100)로 할 수 있다.At this time, the message for requesting the creation of the VPN tunnel includes the assigned IP address. Of course, the VPN tunnel creation request may be made by the FMC supporting apparatus 100 in the user terminal 10 authenticated access.

FMC 지원장치(100)는 사용자 단말(10)에 대한 VPN 터널 생성 요청을 수신하면 사용자 단말(10)이 할당받은 IP 주소를 저장하고 가입자정보 저장부(140)를 기반으로 사용자 단말(10)에 대한 인증을 수행한다.When the FMC support apparatus 100 receives the VPN tunnel creation request for the user terminal 10, the FMC support apparatus 100 stores the IP address assigned by the user terminal 10 and transmits the IP address to the user terminal 10 based on the subscriber information storage 140. Perform authentication for

여기서, FMC 지원장치(100)에서 수행하는 사용자 단말(10)에 대한 인증은 이미 AP에서 수행된 절차이므로 중복이다. 그러므로 FMC 지원장치(100)에서는 WLAN(N1)을 통해서 수신되는 VPN 터널 생성 요청에 대응한 인증 절차를 생략할 수 있고, 사용자 단말(10)보다 신뢰성 있는 AP로부터 VPN 터널 생성 요청을 수신하는 경우라면 특히 그러하다.In this case, the authentication for the user terminal 10 performed by the FMC support apparatus 100 is duplicated because the procedure has already been performed in the AP. Therefore, the FMC support apparatus 100 may omit the authentication procedure corresponding to the VPN tunnel creation request received through the WLAN (N1), and if the VPN tunnel creation request is received from an AP that is more reliable than the user terminal 10. This is especially true.

FMC 지원장치(100)는 VPN 터널 생성 요청에 따라 도 3을 참조로 한 VPN 터널 생성 과정, IKE SA 설정 과정 및 IPsec SA 설정 과정을 통해 사용자 단말(10)과의 VPN 터널(이하 "제1 VPN 터널"이라 한다)을 설정한다(S504).According to the VPN tunnel creation request, the FMC support apparatus 100 performs a VPN tunnel with the user terminal 10 through a VPN tunnel generation process, an IKE SA setup process, and an IPsec SA setup process with reference to FIG. Tunnel "is set (S504).

사용자 단말(10)과 FMC 지원장치(100) 간에 터널링이 이루어지면, 사용자 단말(10)과 FMC 지원장치(100)는 제1 VPN 터널을 통해 IPsec 패킷을 교환하는 데이터 통신을 수행한다(S505).When tunneling is performed between the user terminal 10 and the FMC support apparatus 100, the user terminal 10 and the FMC support apparatus 100 perform data communication for exchanging IPsec packets through the first VPN tunnel (S505). .

제1 VPN 터널을 통한 데이터 통신 중에 사용자 단말(10)이 WCDMA(N2)로 이동하면, 사용자 단말(10)은 핸드오버 상황이라고 판단하고(S506), WCDMA(N2)로 접속 요청을 한다(S507).If the user terminal 10 moves to the WCDMA N2 during the data communication through the first VPN tunnel, the user terminal 10 determines that the handover situation is performed (S506), and makes a connection request to the WCDMA N2 (S507). ).

사용자 단말(10)의 접속 요청에 따라 WCDMA(N2)는 사용자 단말(10)와 핸드오버 절차를 수행하며, 이때 WCDMA(N2)은 사용자 단말(10)에게 새로운 IP 주소를 할당한다(S508). In response to the access request of the user terminal 10, the WCDMA N2 performs a handover procedure with the user terminal 10. At this time, the WCDMA N2 allocates a new IP address to the user terminal 10 (S508).

사용자 단말(10)의 접속이 완료되면 WCDMA(N2)의 GGSN은 FMC 지원장치(100)로 사용자 단말(10)의 식별정보와 함께 사용자 단말(10)이 새로 할당받은 IP 주소를 알려, IP 주소의 업데이트를 요청한다(S509).When the connection of the user terminal 10 is completed, the GGSN of the WCDMA N2 informs the FMC supporting apparatus 100 of the newly allocated IP address of the user terminal 10 together with the identification information of the user terminal 10 and the IP address. Request the update of (S509).

FMC 지원장치(100)는 사용자 단말(10)에 대한 IP 주소 업데이트 요청에 따라 사용자 단말(10)에 대한 인증을 수행하고, 사용자 단말(10)의 IP 주소 또는/및 터널 IP 주소가 단말주소 저장부(150)에 있는지를 파악한다. 이러한 파악을 통해 FMC 지원장치(100)는 사용자 단말(10)이 핸드오버한 사용자 단말인지 아닌지를 확인할 수 있다.The FMC supporting apparatus 100 performs authentication on the user terminal 10 according to the IP address update request for the user terminal 10, and the IP address or / and tunnel IP address of the user terminal 10 stores the terminal address. Determine if it is in the unit 150. Through such grasping, the FMC supporting apparatus 100 may check whether the user terminal 10 is a handed over user terminal.

FMC 지원장치(100)는 사용자 단말(10)이 핸드오버한 사용자 단말이면 기존 사용하던 터널 IP를 그대로 사용하게 한 채로, 단말주소 저장부(150)에 저장된 해당 사용자 단말(10)의 IP 주소를 갱신한다(S510).If the user terminal 10 is a user terminal handed over, the FMC supporting apparatus 100 uses the existing tunnel IP as it is, and uses the IP address of the corresponding user terminal 10 stored in the terminal address storage unit 150. Update (S510).

물론 FMC 지원장치(100)는 핸드오버한 사용자 단말(10)에게 새로운 터널 IP 주소를 할당하고, 단말주소 저장부(150)에서 해당 터널 IP 주소를 갱신할 수 있다.Of course, the FMC supporting apparatus 100 may allocate a new tunnel IP address to the handovered user terminal 10 and update the corresponding tunnel IP address in the terminal address storage unit 150.

그런 다음 FMC 지원장치(100)는 도 3에 도시한 IKE SA 설정 과정(S307)을 생략하여 VPN 터널(이하 "제2 VPN 터널"이라 한다)을 설정한다(S511). 물론 제2 VPN 터널 설정시에 생략한 IKE SA 설정을 위한 정보는 WLAN(N1)에서 제1 VPN 터널을 설정시에 이용한 IKE SA 설정을 위한 정보를 사용한다.Then, the FMC supporting apparatus 100 sets up a VPN tunnel (hereinafter referred to as a “second VPN tunnel”) by omitting the IKE SA setting process (S307) illustrated in FIG. 3 (S511). Of course, the information for setting the IKE SA, which is omitted when the second VPN tunnel is set, uses the information for setting the IKE SA used when the first VPN tunnel is set in the WLAN N1.

WCDMA 네트워크 상에서 사용자 단말(10)과 FMC 지원장치(100) 간에 터널링이 이루어지면, 사용자 단말(10)과 FMC 지원장치(100)는 제2 VPN 터널을 통해 IPsec 패킷을 교환하는 데이터 통신을 수행한다(S512).When tunneling is performed between the user terminal 10 and the FMC support apparatus 100 on the WCDMA network, the user terminal 10 and the FMC support apparatus 100 perform data communication for exchanging IPsec packets through a second VPN tunnel. (S512).

한편, 사용자 단말(10)이 WCDMA(N2)에서 기업망인 WLAN(N1)으로 이동하는 경우에 대한 본 발명의 실시 예에 따른 심리스한 FMC 서비스 제공 방법은 도 5를 참조로 한 설명으로부터 당업자라면 용이하게 예측 가능하므로 생략한다.On the other hand, the seamless FMC service providing method according to an embodiment of the present invention for the case where the user terminal 10 moves from WCDMA (N2) to WLAN (N1), which is an enterprise network, is readily available to those skilled in the art from the description with reference to FIG. It is predictable so it will be omitted.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

도 1은 본 발명의 실시 예에 따른 네트워크 구성도를 보인 도면이다.1 is a diagram illustrating a network configuration according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 FMC 지원장치의 블록 구성도이다.2 is a block diagram of an FMC support apparatus according to an embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 사용자 단말과 FMC 지원장치 간의 VPN 터널 생성 및 VPN 터널을 이용한 통신 과정을 보인 도면이다.3 is a diagram illustrating a VPN tunnel generation and a communication process using a VPN tunnel between a user terminal and an FMC supporting apparatus according to an exemplary embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 도 3에서 사용되는 IPsec 패킷 형태의 예를 보인 도면이다.4 illustrates an example of an IPsec packet type used in FIG. 3 according to an embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 심리스한 FMC 서비스 제공 방법의 데이터 흐름도이다.5 is a data flowchart of a seamless FMC service providing method according to an embodiment of the present invention.

Claims (5)

FMC(Fixed Mobile Convergence) 서비스가 적용되는 제1망과 제2망 간에서의 심리스한 FMC 서비스 제공 방법에 있어서,In the seamless FMC service providing method between the first network and the second network to which Fixed Mobile Convergence (FMC) service is applied, (a) FMC 지원장치에서 상기 제1망으로의 접속을 요청한 사용자 단말에게 터널 IP 주소를 할당하고 상기 제1 망에서 할당한 상기 사용자 단말의 IP 주소와 매칭하여 저장하는 단계,(a) assigning a tunnel IP address to a user terminal requesting access to the first network in the FMC supporting apparatus and storing the same as the IP address of the user terminal allocated in the first network; (b) 상기 FMC 지원장치가 상기 사용자 단말과 제1 VPN(Virtual Private Network) 터널을 설정하는 단계,(b) establishing, by the FMC supporting apparatus, a first VPN (Virtual Private Network) tunnel with the user terminal; (c) 상기 FMC 지원장치와 상기 사용자 단말에서 상기 (a) 단계에서 생성한 제1 암호화키를 이용하여 전송할 데이터를 패킷 데이터로 만들고 상기 제1 VPN 터널을 통해 상기 패킷 데이터를 교환하는 단계,(c) the FMC supporting apparatus and the user terminal making the data to be transmitted using the first encryption key generated in the step (a) into packet data and exchanging the packet data through the first VPN tunnel; (d) 상기 FMC 지원장치에서 상기 제2 망으로의 접속을 요청한 상기 사용자 단말이 핸드오버한 단말인지를 파악하는 단계,(d) determining whether the user terminal requesting access to the second network is a handover terminal by the FMC supporting apparatus; (e) 상기 FMC 지원장치에서 상기 사용자 단말이 핸드오버한 사용자 단말인 경우에 기 저장된 상기 사용자 단말의 IP 주소를 상기 제2 망에서 할당한 IP 주소로 갱신하는 단계,(e) updating the previously stored IP address of the user terminal with the IP address allocated in the second network when the user terminal is a handovered user terminal in the FMC supporting apparatus; (f) 상기 FMC 지원장치에서 상기 사용자 단말과 제2 VPN 터널을 설정하는 단계, 그리고(f) establishing a second VPN tunnel with the user terminal in the FMC supporting apparatus, and (g) 상기 FMC 지원장치와 상기 사용자 단말에서 상기 (f) 단계에서 생성한 제2 암호화키를 이용하여 전송할 데이터를 패킷 데이터로 만들고 상기 제2 VPN 터널을 통해 상기 패킷 데이터를 교환하는 단계를 포함하며,(g) making the data to be transmitted using the second encryption key generated in step (f) in the FMC supporting apparatus and the user terminal into packet data and exchanging the packet data through the second VPN tunnel. , 상기 FMC 지원장치는 상기 제1망과 제2망 중 커버리지가 작은 망에 위치하는 것을 특징으로 하는 심리스한 FMC 서비스 제공 방법.The FMC support device is a seamless FMC service providing method, characterized in that the network is located in the smaller coverage of the first network and the second network. 제1항에 있어서,The method of claim 1, 상기 제1 VPN 터널은 상기 FMC 지원장치와 상기 사용자 단말 간에 이루어지는 마스터키를 생성하는 보안 협상과 암호화키를 생성하는 암호화 협상에 의해 설정되고,The first VPN tunnel is established by a security negotiation for generating a master key made between the FMC supporting apparatus and the user terminal and an encryption negotiation for generating an encryption key, 상기 제2 VPN 터널은 상기 FMC 지원장치와 상기 사용자 단말 간에 이루어지는 상기 암호화 협상에 의해 설정되되, 상기 보안 협상은 상기 제1 VPN 터널 설정시의 상기 보안 협상이 사용되는 것을 특징으로 하는 심리스한 FMC 서비스 제공 방법.The second VPN tunnel is established by the encryption negotiation between the FMC supporting apparatus and the user terminal, and the security negotiation is seamless FMC service, wherein the security negotiation at the time of establishing the first VPN tunnel is used. How to Provide. 제1항 또는 제2항에 있어서,The method according to claim 1 or 2, 상기 제1 및 제2 VPN 터널 설정은 IPsec(Internet Protocol Security) 또는 SSL(Secure Socket Layer)을 이용하는 것을 특징으로 하는 심리스한 FMC 서비스 제공 방법.The first and the second VPN tunnel configuration is a seamless FMC service providing method characterized in that using the Internet Protocol Security (IPsec) or Secure Socket Layer (SSL). 제3항에 있어서,The method of claim 3, 상기 (d) 단계에서 상기 FMC 지원장치는 상기 제2 망으로 수신된 상기 사용자 단말의 IP 주소를 상기 기 저장된 상기 사용자 단말의 IP 주소와 비교하여 상기 사용자 단말의 핸드오버 여부를 파악하는 것을 특징으로 하는 심리스한 FMC 서비스 제공 방법.In step (d), the FMC supporting apparatus compares the IP address of the user terminal received to the second network with the IP address of the previously stored user terminal to determine whether the user terminal is handovered. How to provide seamless FMC services. 제3항에 있어서,The method of claim 3, 상기 제1망은 기업망이고 상기 제2망은 공인망이며, 상기 FMC 지원장치는 상기 제1망에 위치하는 것을 특징으로 하는 심리스한 FMC 서비스 제공 방법.And the first network is an enterprise network and the second network is an authorized network, and the FMC supporting apparatus is located in the first network.
KR1020090088116A 2009-09-17 2009-09-17 How to provide seamless FMC services Withdrawn KR20110030126A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090088116A KR20110030126A (en) 2009-09-17 2009-09-17 How to provide seamless FMC services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090088116A KR20110030126A (en) 2009-09-17 2009-09-17 How to provide seamless FMC services

Publications (1)

Publication Number Publication Date
KR20110030126A true KR20110030126A (en) 2011-03-23

Family

ID=43935927

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090088116A Withdrawn KR20110030126A (en) 2009-09-17 2009-09-17 How to provide seamless FMC services

Country Status (1)

Country Link
KR (1) KR20110030126A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119922042A (en) * 2025-01-27 2025-05-02 中国联合网络通信集团有限公司 Data transmission method, device, medium, equipment and product

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119922042A (en) * 2025-01-27 2025-05-02 中国联合网络通信集团有限公司 Data transmission method, device, medium, equipment and product

Similar Documents

Publication Publication Date Title
JP5597676B2 (en) Key material exchange
US11025597B2 (en) Security implementation method, device, and system
US6418130B1 (en) Reuse of security associations for improving hand-over performance
CN107079023B (en) User plane security for next generation cellular networks
US7926098B2 (en) Handoff of a secure connection among gateways
EP3512291B1 (en) Data transmission method, relevant device and system
CN110891269B (en) A data protection method, device and system
US8726019B2 (en) Context limited shared secret
CN103781066A (en) Wireless transmit/receive units and implementation method using the same
JP2011511519A (en) Route optimization in mobile IP networks
JP5290323B2 (en) Integrated handover authentication method for next-generation network environment to which radio access technology and mobile IP-based mobility control technology are applied
US9084111B2 (en) System and method for determining leveled security key holder
US20190215903A1 (en) Network Handover Protection Method, Related Device, and System
CN108353279A (en) An authentication method and authentication system
CN101895882A (en) Data transmission method, system and device in WiMAX system
CN113872755A (en) A key exchange method and device
WO2018161862A1 (en) Private key generation method, device and system
JP4681990B2 (en) Communication system and communication system
KR20100092353A (en) Methods and apparatus of managing a traffic encryption key
KR20110030126A (en) How to provide seamless FMC services
WO2017070973A1 (en) Internet protocol security tunnel establishing method, user equipment and base station
CN1650580B (en) Method for ensuring link security and data terminal for realizing the method
Southern et al. Wireless security: securing mobile UMTS communications from interoperation of GSM
WO2017206125A1 (en) Network connection method, and secure node determination method and device
CN117728880A (en) Access verification method, satellite, gateway station and storage medium

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20090917

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid