WO2020222537A1

WO2020222537A1 - 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말

Info

Publication number: WO2020222537A1
Application number: PCT/KR2020/005694
Authority: WO
Inventors: 이현송; 신태영
Original assignee: 주식회사 케이티
Priority date: 2019-04-30
Filing date: 2020-04-29
Publication date: 2020-11-05

Abstract

1차 단말을 통해 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 1차 단말이 제공된다. 전용망 접속 제어 서버는 통신 장치, 메모리, 그리고상기 메모리에 저장된 프로그램을 실행하는 프로세서를 포함하고, 상기 프로세서는, 1차(Primary) 단말로부터 1차 접속 요청을 수신하고, 상기 1차 접속 요청에 포함된 상기 1차 단말의 고유 식별자가 사전 등록된 전용망 가입자 정보에 포함되면, 상기 1차 접속 요청을 승인하는 1차 접속 승인 메시지를 상기 1차 단말에게 전송하고, 상기 1차 단말로부터 상기 1차 단말에 연결된 2차(Secondary) 단말의 2차 접속 요청을 수신하여 상기 2차 접속 요청에 포함된 상기 2차 단말의 고유 식별자가 상기 전용망 가입자 정보에 포함되면, 상기 1차 단말에게 상기 2차 접속 요청을 승인하는 2차 접속 승인 메시지를 전송하며, 상기 1차 단말로부터 수신되는 상기 2차 단말의 상향링크 데이터를 전용망으로 전달하고 상기 전용망으로부터 수신된 상기 2차 단말로 향하는 하향링크 데이터를 상기 1차 단말로 전송한다.

Description

1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말

본 발명은 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말에 관한 것이다.

광대역 이동통신 시장이 활성화되고 스마트폰 등의 보급률이 확대됨에 따라 광대역 이동통신과 스마트폰을 기업 서비스에 활용하고자 하는 요구가 증가하였다. 이러한 기업 서비스는 Private LTE(Long Term Evolution)/5G 기술을 기반으로 한다.

Private LTE/5G 기술은 LTE/5G 통신 시스템의 EPC(Evolved Packet Core)를 통해 인터넷망 등과 같은 공중망(Public Network)과 기업 사내망 등의 전용망(Private Network)을 분리하고 단말을 공용망 또는 전용망으로 접속시킨다. Private LTE/5G 기술에 따르면, EPC는 이동통신 단말이 초기 접속시 제공하는 APN(Access Point Name)을 기초로, 이동통신 단말을 공중망 또는 전용망으로 접속시킨다.

Private LTE/5G 기술에 따르면, EPC는 보안성 강화를 위하여 단말을 인증하는 절차를 통해 인가된 단말에만 고정 IP(Internet Protocol)를 할당하여 전용망에 접속할 수 있게 한다. 따라서, Private LTE/5G 기술은 전용망 서비스를 제공하는 특정 이동통신 사업자의 가입자 단말에만 적용되는 기술적인 한계를 갖는다.

타 통신 사업자의 이동통신 단말이나 와이파이(WiFi)를 통해 접속하는 노트북 등과 같은 2차(Secondary) 단말은 에그(Egg)나 모바일 라우터(Mobile Router)나 스마트폰과 같은 1차(Primary) 단말을 통해서 전용망에 접속할 수 있다.

이때, 전용망 서비스를 제공하는 특정 이동통신 사업자의 가입자 단말에 대하여 수행되었던 인증 절차 및 할당된 고정 IP는 1차 단말을 대상으로 한다. 즉, 1차 단말에 연결된 2차 단말에는 전용망에서 사용하는 고정 IP를 할당하고 인증할 수가 없다. 1차 단말내 설정된 규칙에 의해서 2차 단말에 대한 IP 할당이 수행된다. 그리고 2차 단말로부터 전용망으로 유입되는 트래픽은 NAT(Network Address Translation) 또는 PAT(Port Address Translation)를 통해 1차 단말이 부여받은 IP로 전환되어 전송된다. 따라서, 전용망에서 2차 단말에 대한 보안 관리 및 제어는 불가능하다.

또한, 1차 단말은 2차 단말에게 1차 단말에 설정된 규칙에 의하여 유동 IP를 할당하므로, 1차 단말간 2차 단말의 IP 이동성을 근본적으로 제공할 수가 없다. 왜냐하면, 2차 단말이 1차 단말 A에 접속해서 IP를 할당받아 서비스를 이용하다가 1차 단말 B에 접속하면, 이전에 1차 단말 A로부터 할당받은 IP는 사용할 수 없고 새로 접속한 1차 단말 B로부터 IP를 할당받아야 하기 때문이다. 따라서, 전용망 관리자는 1차 단말을 거쳐 전용망에 접속하는 2차 단말에 대해서는 2차 단말이 사용하는 IP를 알 수 없으므로, 2차 단말에 대한 관리 및 제어를 할 수 있는 방법이 없다.

본 발명이 해결하고자 하는 과제는 1차 단말을 통하여 전용망에 접속하는 2차 단말에 대한 전용망 접속 제어 및 IP 이동성 관리를 할 수 있는 전용망 접속 제어 서버 및 1차 단말을 제공하는 것이다.

본 발명의 하나의 특징에 따르면, 전용망 접속 제어 서버는 통신 장치, 메모리, 그리고 상기 메모리에 저장된 프로그램을 실행하는 프로세서를 포함하고, 상기 프로세서는, 1차(Primary) 단말로부터 1차 접속 요청을 수신하고, 상기 1차 접속 요청에 포함된 상기 1차 단말의 고유 식별자가 사전 등록된 전용망 가입자 정보에 포함되면, 상기 1차 접속 요청을 승인하는 1차 접속 승인 메시지를 상기 1차 단말에게 전송하고, 상기 1차 단말로부터 상기 1차 단말에 연결된 2차(Secondary) 단말의 2차 접속 요청을 수신하여 상기 2차 접속 요청에 포함된 상기 2차 단말의 고유 식별자가 상기 전용망 가입자 정보에 포함되면, 상기 1차 단말에게 상기 2차 접속 요청을 승인하는 2차 접속 승인 메시지를 전송하며, 상기 1차 단말로부터 수신되는 상기 2차 단말의 상향링크 데이터를 전용망으로 전달하고 상기 전용망으로부터 수신된 상기 2차 단말로 향하는 하향링크 데이터를 상기 1차 단말로 전송한다.

상기 프로세서는, 상기 1차 단말과 터널을 생성하고, 상기 터널의 주소와 상기 2차 단말의 IP 주소를 연결한 라우팅 정보를 설정하며, 상기 라우팅 정보에 기초하여, 상기 상향링크 데이터에서 터널링 헤더를 제거한 후 상기 전용망으로 전달하고, 상기 하향링크 데이터에 상기 터널링 헤더를 추가하여 상기 1차 단말로 전달할 수 있다.

상기 1차 접속 승인 메시지는, 상기 1차 단말에 할당된 SSID(Service Set ID)를 포함하고, 상기 SSID는, 상기 1차 단말에 의해 근거리 통신 커버리지에서 브로드캐스팅되어 상기 2차 단말에게 제공될 수 있다.

상기 프로세서는, 상기 2차 단말이 전송한 IP 주소 할당을 요청하는 DHCP(Dynamic Host Configuration Protocol) 릴레이 메시지를 상기 1차 단말로부터 수신하고, 상기 2차 단말에 할당한 IP 주소를 포함하는 DHCP 응답 메시지를 상기 1차 단말로 전송하며, 상기 DHCP 응답 메시지는, 상기 1차 단말에 의해 상기 2차 단말로 전송될 수 있다.

상기 프로세서는, 상기 2차 단말이 연결된 서빙 1차 단말의 IP 주소와 상기 2차 단말의 IP 주소를 연결한 라우팅 정보를 설정하고, 타겟 1차 단말로부터 수신된 상기 2차 단말에 대한 2차 접속 요청이 승인되면, 상기 라우팅 정보를 삭제하고 상기 타겟 1차 단말의 IP 주소를 상기 2차 단말의 IP 주소와 연결한 라우팅 정보로 갱신하며, 상기 타겟 1차 단말은, 상기 2차 단말이 이동하여 상기 서빙 1차 단말의 서비스 커버리지를 이탈한 후 새로 진입한 커버리지를 서비스하는 1차 단말일 수 있다.

상기 프로세서는, 상기 1차 단말과 상기 1차 단말에 연결된 2차 단말의 접속 상태 정보를 포함하는 인증 메시지를 주기적으로 교환하고, 상기 인증 메시지를 통해 획득한 2차 단말의 MAC(Media Access Control Address) 주소를 이용하여 상기 2차 단말의 접속 상태를 관리할 수 있다.

본 발명의 다른 특징에 따르면, 2차(Secondary) 단말을 전용망으로 접속하게 하는 1차(Primary) 단말로서, 통신 장치, 상기 1차 단말의 동작을 제어하는 프로그램을 저장하는 메모리, 그리고 상기 프로그램을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 2차 단말과 근거리 통신으로 접속하고 상기 전용망에 연결된 전용망 접속 제어 서버와 이동통신 코어망을 통해 연결되며, 상기 전용망 접속 제어 서버로 상기 1차 단말의 전용망 접속을 요청하는 1차 접속 요청을 전송하여 1차 접속 승인 메시지를 수신하고, 상기 전용망 접속 제어 서버로 상기 2차 단말의 전용망 접속을 요청하는 2차 접속 요청을 전송하여 2차 접속 승인 메시지를 수신하며, 상기 2차 단말과 상기 전용망 사이에서 상기 2차 단말의 상향링크 데이터 및 하향링크 데이터의 송수신을 중계하고, 상기 2차 단말의 상향링크 데이터 및 하향링크 데이터는, 상기 전용망 접속 제어 서버를 경유하여 상기 2차 단말과 상기 전용망 간에 송수신된다.

상기 프로세서는, 상기 전용망 접속 제어 서버와 터널을 생성하고, 상기 생성한 터널의 주소를 상기 2차 단말의 IP 주소와 연계한 라우팅 정보를 설정하며, 상기 2차 단말의 상향링크 데이터 발생시 상기 상향링크 데이터에 터널링 헤더를 추가하여 상기 전용망 접속 제어 서버로 전달하고, 상기 전용망 접속 제어 서버로부터 수신한 하향링크 데이터로부터 상기 터널링 헤더를 제거한 후 상기 2차 단말로 전달하며, 상기 터널링 헤더는, 상기 1차 단말의 터널링 IP 주소 및 상기 전용망 접속 제어 서버의 터널링 IP 주소가 설정될 수 있다.

상기 프로세서는, 1차 접속 승인 메시지로부터 획득한 상기 1차 단말에 할당된 SSID(Service Set ID)를 무선랜 구간에서 브로드캐스팅하고, 상기 SSID는, 상기 2차 단말과 접속을 위해 사용될 수 있다.

상기 프로세서는, 상기 2차 단말로부터 수신한 상기 2차 단말의 IP 주소 할당을 요청하는 DHCP(Dynamic Host Configuration Protocol) 릴레이 메시지를 상기 전용망 접속 제어 서버로 전송하고, 상기 전용망 접속 제어 서버로부터 수신한 상기 2차 단말의 IP 주소가 포함된 DHCP 응답 메시지를 상기 2차 단말에게 전달하며, 상기 DHP 릴레이 메시지는, 상기 2차 접속 승인 메시지를 통해 수신한 IP 주소를 이용하여 상기 전용망 접속 제어 서버로 전송될 수 있다.

상기 프로세서는, 상기 2차 단말의 접속 상태 정보를 포함하는 인증 메시지를 상기 전용망 접속 제어 서버와 주기적으로 교환할 수 있다.

실시예에 따르면, 1차 단말을 통해 전용망에 접속하는 2차 단말에 대해 인증, 접속 통제, 관리 및 IP 이동성을 제공할 수 있다. 따라서, 2차 단말에 대한 트래픽 추적 및 모니터링이 가능하므로 해킹이나 장애 발생시 신속하고 정확하게 대처할 수 있을 뿐만 아니라, 기업 관리자가 실시간으로 단말의 접속 상태를 모니터링하고 제어할 수 있기 때문에, 전용망 서비스에서 강력한 보안성을 제공할 수 있다.

도 1은 본 발명의 한 실시예에 따른 네트워크 구성도이다.

도 2는 본 발명의 다른 실시예에 따른 네트워크 구성도이다.

도 3은 본 발명의 또 다른 실시예에 따른 네트워크 구성도이다.

도 4는 본 발명의 실시예에 따른 1차 단말 및 전용망 접속 제어 서버의 세부 연결 구성을 나타낸 블록도이다.

도 5는 본 발명의 한 실시예에 따른 1차 단말의 접속 과정을 나타낸 흐름도이다.

도 6은 본 발명의 한 실시예에 따른 2차 단말의 접속 과정을 나타낸 흐름도이다.

도 7은 본 발명의 다른 실시예에 따른 1차 단말의 접속 과정을 나타낸 흐름도이다.

도 8은 본 발명의 다른 실시예에 따른 2차 단말의 접속 과정을 나타낸 흐름도이다.

도 9는 본 발명의 실시예에 따른 2차 단말이 IP를 할당받는 과정을 나타낸 흐름도이다.

도 10은 본 발명의 실시예에 따른 상향링크 데이터의 터널링 과정을 나타낸다.

도 11은 본 발명의 실시예에 따른 하향링크 데이터의 터널링 과정을 나타낸다.

도 12는 본 발명의 실시예에 따른 2차 단말의 접속 상태를 관리하는 과정을 나타낸 흐름도이다.

도 13은 본 발명의 또 다른 실시예에 따른 네트워크 구성도이다.

도 14는 본 발명의 실시예에 따른 2차 단말의 이동성을 설명하는 도면이다.

도 15는 본 발명의 실시예에 따른 2차 단말의 이동성을 제공하는 터널링 과정을 나타낸다.

도 16은 본 발명의 실시예에 따른 1차 단말이 2차 단말의 이동성을 제공하는 과정을 나타낸 흐름도이다.

도 17은 본 발명의 실시예에 따른 컴퓨팅 장치의 하드웨어 구성을 나타낸 블록도이다.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.

또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.

본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.

본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.

본 명세서에서 단말은 통신에서의 사용자 단말을 의미하는 포괄적 개념으로서, UE(User Equipment), MS(Mobile Station), MT(Mobile Terminal), SS(Subscriber Station), PSS(Portable Subscriber Station), AT(Access Terminal), 이동국, 이동 단말, 가입자국, 휴대 가입자국, 사용자 장치, 접근 단말, 무선 기기 등의 용어로 불릴 수도 있고, UE, MS, MT, SS, PSS, AT, 이동국, 이동 단말, 가입자국, 휴대 가입자국, 사용자 장치, 접근 단말, 무선 기기 등의 전부 또는 일부의 기능을 포함할 수도 있다.

단말은 기지국(base station, BS), 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 고도화 노드B(evolved NodeB, eNodeB), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등과 같은 네트워크 장치에 접속하여 원격의 서버에 연결될 수 있다.

기지국(Base Station, BS)은 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.

본 발명의 실시예에서는 Private LTE(Long Term Evolution) 기술을 이용한다. 이러한 Private LTE 기술은 코어망을 통해 PDN(Packet Data Network)들을 분리한다. 여기서, PDN은 공중망(Public Network)과 전용망(Dedicated Network)을 포함한다. 전용망은 특정 가입자를 대상으로 외부 접근이 제한된 이동통신 서비스를 제공하며, 예를들면, 전용 네트워크, 사설망(Private Network), 인트라넷(Intranet), 전용 LTE망이라고도 할 수 있다. 이러한 전용망은 불특정 다수를 대상으로 이동통신 서비스를 제공하는 공중망과 구분된다. 공중망은 공용 네트워크, 인터넷(Internet), 일반 LTE망이라고도 할 수 있다.

본 발명에서, 공용망과 전용망은 분리된 트래픽 경로를 의미하고, 반드시 물리적으로 분리될 필요는 없다. 예를들어, 공용망과 전용망은 동일한 물리적 경로에 생성된 서로 다른 베어러일 수 있다. 그리고, 본 발명에서, 주로 LTE EPC(Evolved Packet Core)를 예로 들어 설명하나, 5G 코어에도 동일하게 적용될 수 있다.

이제, 도면을 참고하여 본 발명의 실시예에 따른 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말에 대하여 설명한다.

도 1은 본 발명의 한 실시예에 따른 네트워크 구성도이고, 도 2는 본 발명의 다른 실시예에 따른 네트워크 구성도이며, 도 3은 본 발명의 또 다른 실시예에 따른 네트워크 구성도이다.

먼저, 도 1을 참고하면, 복수의 2차(Secondary) 단말(100)은 근거리 통신망(700)을 통하여 1차 단말(200)에 접속한다. 1차 단말(200)은 기지국(300), 코어망(400) 및 전용망 접속 제어 서버(500)를 경유하여 전용망(600)에 접속한다.

복수의 2차 단말(100)은 1차 단말(200)를 통해 전용망(600)에 접속한다. 근거리 통신망(700)은 유선 또는 무선을 포함하는데, 예를들어, 무선랜 통신 또는 USB(Universal Serial Bus) 테더링(tethering) 통신을 포함할 수 있다.

복수의 2차 단말(100)은 무선랜 통신 또는 USB 테더링 통신 기능이 구비된 단말로서, 노트북(notebook), 패드(pad), 스마트폰(smartphone), IoT(Internet of Things) 단말, PDA(Personal Digital Assistants), MP3, 태블릿(tablet) PC(Personal Computer), PMP(Portable Multimedia Player), 랩탑(laptop) 컴퓨터(computer), 퍼스널(personal) 컴퓨터 등이 될 수 있으나, 이에 한정되는 것은 아니다.

1차 단말(200)은 이동통신 기능 및 WiFi 무선랜 통신 또는 USB 테더링 통신 기능이 구비된 단말로서, 모바일 라우터, 핸드폰, 에그(Egg) 등이 될 수 있으나, 이에 한정하는 것은 아니다.

1차 단말(200)은 기지국(300)을 통해 코어망(400)에 접속한다.

코어망(400)은 도 2에서와 같이, 5G 코어망이거나 또는 도 3에서와 같이 4G LTE 코어망일 수 있다.

도 2를 참조하면, 본 발명의 실시예를 5G 코어망에 적용한 실시예를 나타낸다.

코어망(400)은 AMF(Access and Mobility Function)(401), UDM(User Data Management)(403), SMF(Session Management Function)(405), PCF(Policy Control Function)(407), 공중 UPF(User Plane Function)(409) 및 전용 UPF(411)를 포함한다. 이러한 구성(401, 403, 405, 407, 409, 411)은 공지된 5G 코어 장비로서 자세한 설명은 생략한다.

기지국(300)은 1차 단말(200)과 5G 액세스 기술을 이용하여 통신을 한다. 기지국(300)은 전용망(600)에 연결되는 전용 UPF(411)와 공중망(700)에 연결된 공중 UPF(409)와 연결되고, AMF(401)와 연결된다.

이때, 전용망 접속 제어 서버(500)은 전용 UPF(411) 및 전용망(600)에 연결된다. 전용 UPF(411)와 전용망(600) 사이에 송수신되는 데이터는 전용망 접속 제어 서버(500)을 경유한다. 즉, 전용망 접속 제어 서버(500)은 2차 단말(100)과 전용망(600) 사이에 상향링크 데이터 및 하향링크 데이터를 라우팅한다.

여기서, SMF(405)는 1차 단말(200)을 공중 UPF(409)에 연결시킬지 또는 전용 UPF(411)에 연결시킬지를 결정한다. SMF(405)는 1차 단말(200)이 전용망(600)으로의 접속을 요청한 경우, 1차 단말(200)이 정당한 접속 권한이 있는지 판단하는 인증을 하고, 정당한 접속 권한이 있으면, 전용망(600)으로의 접속을 허가한다. 이때, PCF(407)와 연동하여 1차 단말(200)이 사용할 IP 주소를 할당한다. 또한, SMF(405) 또는 전용 UPF(411)는 위치 기반 서비스를 제공할 수도 있다. 1차 단말(200)과 전용 UPF(411) 간에 전용망 세션이 생성되는 과정은 이미 공지된 기술로서 자세한 설명은 생략한다.

도 3을 참조하면, 본 발명의 실시예를 LTE망에 적용한 실시예를 나타낸다. 코어망(400)은 MME(Mobility Management Entity)(413), HSS(Home Subscriber System)(415), SGW(Serving Gateway)(417), 공중 PGW(Packet data network Gateway)(419), 전용 PGW(421), PCRF(Policy and Charging Rule Function)(423)를 포함한다. 이러한 구성(413, 415, 417, 419, 421, 423)은 공지된 4G LTE 코어 장비로서 자세한 설명은 생략한다.

기지국(300)는 1차 단말(200)과 LTE 기술을 이용하여 통신을 한다. 기지국(300)은 전용망(600)에 연결되는 전용 PGW(421)와 공중망(700)에 연결된 공중 PGW(419)와 연결되고, SGW(417) 및 MME(413)와 연결된다.

이때, 전용망 접속 제어 서버(500)는 전용 PGW(421) 및 전용망(600)에 연결된다. 전용 PGW(421)와 전용망(600) 사이에 송수신되는 데이터는 전용망 접속 제어 서버(500)를 경유한다. 즉, 전용망 접속 제어 서버(500)는 단말(100)과 전용망(600) 사이에 상향링크 데이터 및 하향링크 데이터를 라우팅한다.

여기서, 전용 PGW(421)는 PCRF(423)와 연동하여 1차 단말(200)이 정당한 접속 권한이 있는지 판단하는 인증을 하고, 정당한 접속 권한이 있으면, 전용망(600)으로의 접속을 허가한다. 이때, PCRF(423)와 연동하여 1차 단말(200)이 사용할 IP 주소를 할당한다. 또한, 전용 PGW(421)는 위치 기반 서비스를 제공할 수도 있다. 1차 단말(200)과 전용 PGW(421) 간에 전용망 세션이 생성되는 과정은 이미 공지된 기술로서 자세한 설명은 생략한다.

다시, 도 1을 참조하면, 1차 단말(200)은 기지국(300)으로부터 수신한 LTE(Long Term Evolution), 5G 등의 셀룰러(Cellular) 신호를 통해, 와이파이(WiFi) 등과 같은 무선 LAN(wireless local area network) 통신 또는 USB 테더링 통신 등을 사용하는 서비스 지역 내 위치한 복수의 2차 단말(100)에게 망 접속 경로를 제공한다. 이때, 1차 단말(200)은 전용망 접속이 허가되면, 전용망 접속 제어 서버(500)로 접속한다. 그리고 전용망 접속 제어 서버(500)와 연동하여 2차 단말(100)에 대한 전용망 접속 절차를 제어한다. 전용망 접속 제어 서버(500)는 1차 단말(200)을 통해 전용망(600)에 접속하는 2차 단말(100)들을 관리하는 전용 장치로서, EMG(Enterprise Mobile Gateway)와 같은 서비스명을 가진 전용 장치로 개발될 수 있다. 전용망 접속 제어 서버(500)는 복수의 2차 단말(100)에 대한 전용망 접속 인증, 관리 및 IP 이동성을 제공한다.

전용망 접속 제어 서버(500)는 1차 단말(200)로부터 접속이 요청되면, 1차 단말(200)이 정당한 접속 권한이 있는지 판단하는 1차 접속 인증을 한다. 전용망 접속 제어 서버(500)는 1차 단말(200)의 식별자, 예를들어, MSISDN(Mobile Station International Subscriber Directory Number), MAC 등이 등록된 정보인지 판단하는 인증을 할 수 있다. 또한, 1차 접속 승인 메시지를 1차 단말(200)로 송신시, 1차 접속 승인 메시지 내에 SSID (Service Set Identifier) 정보를 포함하여 전달한다.

전용망 접속 제어 서버(500)는 1차 단말(200)로부터 2차 단말(100)의 2차 접속이 요청되면, 2차 단말(100)이 정당한 접속 권한이 있는지 판단하는 인증을 한다. 전용망 접속 제어 서버(500)는 2차 단말(200)의 식별자, 예를들어, MAC(Media Access Control) 주소, 사용자 ID/Password가 등록된 정보인지 판단하는 인증을 한다.

전용망 접속 제어 서버(500)는 2차 단말 의 접속 인증에 성공하면, 2차 접속 승인 메시지를 1차 단말(200)로 전송한다. 이후, 2차 단말(100)의 상향링크 데이터 및 하향링크 데이터를 1차 단말(200)과 설정된 터널을 통해 1차 단말(200)과 송수신한다.

전용망 접속 제어 서버(500)는 2차 단말(100)이 이동하면서 서로 다른 1차 단말들(200)에 접속할 때, 고정된 IP를 연속해서 사용할 수 있는 IP 이동성을 제공한다. 따라서, 전용망 접속 제어 서버(500)에서 2차 단말(100)에 대한 트래픽 추적 및 모니터링이 가능하기 때문에 해킹이나 장애 발생시 신속하고 정확하게 대처할 수 있을 뿐만 아니라, 전용망 관리자가 실시간으로 단말의 접속 상태를 모니터링하고 제어할 수 있기 때문에, 무선 전용망 서비스에서 강력한 보안성을 제공할 수 있다.

도 4는 본 발명의 실시예에 따른 1차 단말 및 단말 관리 시스템의 세부 연결 구성을 나타낸 블록도이다. 이때, 도 4의 구성은 1차 단말(200)과 전용망 접속 제어 서버(500) 간의 상호 연동을 설명하기 위한 구성을 나타낸 것으로서, 본 발명의 실시예를 구현하기 위하여 1차 단말(200)과 전용망 접속 제어 서버(500)가 도 4에 나타낸 구성만을 포함하는 것은 아니다.

도 4를 참조하면, 1차 단말(200)은 통신 모듈(201), 인증 클라이언트(203), 터널링 클라이언트(205), 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol, 이하, 'DHCP'로 통칭함) 릴레이(207) 및 접속 관리부(209)를 포함한다. 이때, 통신 모듈(201), 인증 클라이언트(203), 터널링 클라이언트(205), DHCP 릴레이(207), 접속 관리부(209)는 독립된 구성으로 도시하였지만, 상호 연동하여 동작한다.

통신 모듈(201)은 와이파이 등의 무선랜 또는 USB 테더링 통신으로 2차 단말(100)과 접속하고, 5G 또는 LTE 통신으로 코어망(400)과 접속한다. 통신 모듈(201)은 코어망(400)을 통해 전용망(600) 또는 공용망(700)에 접속한다. 그리고 통신 모듈(201)은 통신 모듈(201)에 접속된 2차 단말(100)과 전용망(600) 또는 공용망(700) 간에 무선 통신을 중계한다.

특히, 통신 모듈(201)은 전용망 게이트웨이(411, 421)를 거쳐 전용망 접속 제어 서버(500) 및 전용망(600)에 접속한다.

2차 단말(100)은 와이파이 또는 USB 테더링 통신 등을 통해 통신 모듈(201)에 접속하고, 통신 모듈(201)을 통해 전용망 서비스를 이용할 수 있다.

2차 단말(100)과 와이파이 통신을 할 경우, 통신 모듈(201)은 전용망 접속 제어 서버(500)로부터 수신한 SSID를 사용할 수 있다. 통신 모듈(201)은 SSID를 브로드캐스팅하고, 브로드캐스팅한 SSID를 이용하여 접속한 2차 단말(100)과 연결된다.

인증 클라이언트(203)는 전용망 접속 제어 서버(500)의 인증 서버(503)와 연동하여 1차 단말(200)과 접속 인증을 수행하고, 2차 단말(100)의 접속 요청 수신시 필요한 정보를 인증 서버로(503) 전송하여 인증을 중계한다.

여기서, 1차 단말(200)의 전용망 접속 요청은 1차 접속 요청이라 하고, 1차 접속 요청 이후 2차 단말(100)의 전용망 접속 요청은 2차 접속 요청이라 한다.

터널링 클라이언트(205)는 전용망 접속 제어 서버(500)의 터널링 서버(505)와 연동하여 2차 단말의 고정 IP 할당 및 이동성 제공을 위한 터널링을 처리한다. 터널링 클라이언트(205)는 2차 단말(100)에 대한 인증 및 IP 할당이 완료된 후에 터널링 서버(505)와 터널을 생성하고, 생성한 터널을 관리한다. DHCP 릴레이(207)는 전용망 접속 제어 서버(500)의 DHCP 서버(507)와 연동하여 DHCP 서버(507)가 2차 단말(100)에 할당하는 IP를 수신하여 2차 단말(100)로 전달한다. 이때, DHCP 릴레이(207)는 실시예에 따라 1차 단말(200)에 선택적으로 탑재될 수 있다. 예를들어, 2차 단말(100)에 미리 입력된 고정 IP를 사용하는 경우 DHCP 릴레이(207)는 사용되지 않는다. 또는, DHCP 릴레이(207) 대신에 DHCP 서버가 탑재될 수 있다. DHCP 서버가 탑재되면, DHCP 서버는 2차 단말(100)의 2차 접속 승인 메시지를 수신할 때 직접 2차 단말(100)의 IP를 수신하고, 2차 단말(100)의 요청에 따른 2차 단말(100)의 IP 주소를 직접 2차 단말(100)로 전송한다.

또한, 전용망 접속 제어 서버(500)는 통신 장치(501), 인증 서버(503), 터널링 서버(505), DHCP 서버(507) 및 접속 관리부(509)를 포함한다.

통신 장치(501)는 통신 모듈(201)로부터 수신되는 상향링크 데이터를 전용망(600)으로 라우팅하고, 전용망(600)으로부터 수신되는 하향링크 데이터를 통신 모듈(201)로 라우팅한다.

인증 서버(503)는 1차 단말(200)의 인증 클라이언트(203)와 연동하여 1차 단말(100)과 2차 단말(200)에 대한 접속 인증을 한다.

인증 서버(503)는 인가된 특정한 1차 단말(200)과 2차 단말(100)만이 전용망(600)에 접속할 수 있도록 인증 정보를 관리할 수 있다. 예를들어, 전용망(600) 접속이 허가된 1차 단말(200)과 2차 단말(100)의 식별자를 저장해두고, 접속 인증을 요청한 1차 단말(100)과 2차 단말(100)의 식별자가 기 등록된 식별자인지를 판단하는 인증을 할 수 있다.

터널링 서버(505)는 2차 단말(200)의 인증이 완료된 후, 1차 단말(200)의 터널링 클라이언트(205)와 연동하여 터널을 생성하고, 생성한 터널을 관리한다. DHCP 서버(507)는 2차 단말(100)에 DHCP 방식으로 IP를 할당할 수 있다. 그러나, 앞서 기재한 것처럼, DHCP 서버(507)는 전용망 접속 제어 서버(500)에 선택적으로 탑재되는 구성으로서, 2차 단말(100)이 미리 입력된 고정 IP를 사용하거나 인증 서버(503)에서 단말(100)에 IP를 할당하는 경우, 전용망 접속 제어 서버(500)에 포함되지 않을 수 있다.

접속 관리부(509)는 1차 단말(200)과 2차 단말(100)의 접속 상태를 관리한다. 이때, 라디우스(RADIUS, Remote Authentication Dial In User Service) 프로토콜이 사용될 수 있다. 예를들어, 접속 관리부(509)는 1차 단말(200)의 접속 관리부(209)와 라디우스 어카운팅(RADIUS Accounting) 메시지를 주기적으로 교환하거나 또는 핑 테스트 등을 통해 2차 단말(100)의 접속 상태를 관리한다.

라디우스 어카운팅(RADIUS Accounting) 메시지를 통해 획득한 1차 단말(200)과 2차 단말(100)의 접속 상태 정보를 기초로, 1차 단말(200)과 2차 단말(100)의 망 접속 여부, 망 접속 시간 등을 관리하고, 이를 포털 사이트 등을 통해 관리자에게 제공할 수 있다. 1차 단말(200)은 연결된 적어도 하나의 2차 단말(100)의 식별자 별로 각 2차 단말(100)과 망 접속의 시작 시간, 망 접속의 종료 시간, 총 연결 시간 등을 포함하는 접속 상태 정보를 접속 관리부(509)로 주기적으로 전송할 수 있다. 그러면, 접속 관리부(509)는 1차 단말(200)로부터 수신한 접속 상태 정보를 저장하고, 이를 별도의 사용자 인터페이스(또는 운용자 인터페이스)를 통해 제공할 수 있다.

도 5는 본 발명의 한 실시예에 따른 1차 단말의 접속 과정을 나타낸 흐름도이다. 즉, 1차 단말(200)과 전용망 접속 제어 서버(500) 간에 사전 접속이 설정되는 절차를 나타낸다.

도 5를 참조하면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 가입자 정보를 사전 등록한다(S101). 사전 등록되는 가입자 정보는 1차 단말 정보 및 2차 단말 정보로서, 표 1과 같은 테이블 형태로 저장될 수 있다.

가입 식별자(LTE_ID)	1차 단말 식별자(MSISDN)	2차 단말 식별자(MAC)	고정 IP
enterprise_a	010-1111-1234	12:34:56:78:90:AB	10.0.1.2
enterprise_a	010-1111-5678	12:34:56:78:90:BB	10.0.1.3
enterprise_b	010-2222-5678	12:34:56:78:90:BC	30.0.1.2
…	…	…	…

표 1을 참조하면, 가입 식별자(LTE_ID)는 가입자를 구분하는 정보로서, 예를들어, 기업 가입자이면 회사명일 수 있다. 가입 식별자(LTE_ID)에는 적어도 하나의 1차 단말(200)을 식별하는 정보 및 적어도 하나의 2차 단말(100)을 식별하는 정보가 매칭되어 있다. 1차 단말 식별자는 MSISDN(Mobile Station Integrated System Digital Network), MAC(Media Access Control) 등이 사용되고, 2차 단말 식별자는 MAC, 사용자 ID/Password 등이 사용될 수 있다. 본 발명의 실시예에서는 1차 단말(200)의 MSISDN, 2차 단말(100)은 MAC과 고정 IP만으로 설명하지만 사용되는 단말의 식별자가 이에 한정되는 것은 아니다.고정 IP는 2차 단말(100)에서 사용하는 IP 주소로서, 2차 단말(100)에 할당하거나 또는 2차 단말(100)에 기 설정되어 있을 수 있다. 고정 IP가 2차 단말(100)에 이미 설정되어 있는 경우, 고정 IP는 2차 단말(100)을 인증할 때 사용될 수 있다.

1차 단말(200)의 전원이 온(S103)되면, 통신 모듈(201)은 코어망(400)에 접속하여 전용망 접속 절차를 수행하고, IP를 할당받는다(S105). 즉, 통신 모듈(201)은 코어망(400)으로 'Attach Request' 메시지를 전송하여 전용망 접속을 요청하고 전용망 접속 권한이 인증되면 전용망(600)에 접속시 사용하도록 지정된 IP를 할당받는다. 이는 일반적으로 단말이 코어망(400)을 통해 전용망(600)에 접속하는 절차와 동일하므로, 자세한 설명은 생략한다.

코어망(400)을 통해 전용망(600)으로의 접속 절차가 완료되면, 1차 단말(200)의 인증 클라이언트(203)는 전용망 접속 제어 서버(500)로 접속을 요청하는 1차 접속 요청 메시지를 전달한다(S107). 이때 라디우스 어카운팅 리퀘스트(RADIUS ACCOUNTING REQUEST) 메시지가 사용될 수 있다.

이때, S107 단계에서 전송되는 1차 접속 요청 메시지의 항목에는 1차 단말(200)의 전용망 IP 주소, 1차 단말(200)의 고유 식별자(MSISDN, MAC 등)가 포함된다.

전용망 접속 제어 서버(500)의 인증 서버(503)는 S107 단계에서 수신한 1차 단말 정보, 즉, MSISDN, MAC 등이 S101 단계의 가입자 정보에 등록되어 있는지 판단하는 인증을 한다(S109). 즉, 인증 서버(503)는 접속을 요청한 1차 단말(200)이 등록된 전용망 서비스 가입자인지 판단한다.

전용망 접속 제어 서버(500)의 인증 서버(503)는 S109 단계의 인증이 성공하는지 판단(S111)한다.

인증에 실패하면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 1차 단말(200)의 인증 클라이언트(203)에게 인증 실패로 인한 접속을 불허하는 메시지(RADIUS ACCOUNTING RESPONSE)를 전송한다(S113).

반면, 인증에 성공하면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 1차 단말(200)의 인증 클라이언트(203)에게 인증 성공으로 인한 접속을 승인하는 1차 접속 승인 메시지(RADIUS ACCOUNTING RESPONSE)를 전송한다(S115).

이때, 1차 접속 승인 메시지(RADIUS ACCOUNTING RESPONSE)는 DHCP(Dynamic Host Configuration Protocol) 서버 IP 주소, 터널 IP 주소 및 1차 단말이 사용하는 SSID를 포함할 수 있다.

1차 단말(200)의 인증 클라이언트(203)는 S115 단계에서 수신한 DHCP IP 주소, 터널 IP 주소 및 1차 단말의 SSID를 등록한다(S117). 즉, 인증 클라이언트(203)는 DHCP IP 주소를 DHCP 릴레이(207)에게 등록하고 1차 단말이 사용할 SSID를 통신 모듈(201)에 등록한다.

이후, 터널링 클라이언트(205)는 등록된 터널 IP 주소로 터널링 생성을 요청하고 전용망 접속 제어 서버(500)의 터널링 서버(505)는 터널링 클라이언트(205)와 터널링을 생성한다(S119). 이러한 이러한 터널링은 IPSec (IP Security) VPN, SSL(Secure Sockets Layer) VPN, PPTP(Point-to-Point Tunneling Protocol), GRE(Generic Routing Encapsulation), GTP(General Packet Radio Service Tunneling Protocol), LWAPP(Lightweight Access Point Protocol) 등을 사용할 수 있으나, 이에 한정되는 것은 아니다. 또한, 터널링 생성 절차는 이미 공지된 기술에 해당하므로, 그 자세한 절차에 대한 설명은 생략한다. 도 6은 본 발명의 한 실시예에 따른 2차 단말 접속 과정을 나타낸 흐름도로서, 도 5의 단계 이후에 추가된다.

도 6을 참조하면, 2차 단말(100)은 적어도 하나의 1차 단말(200)이 브로드캐스팅하는 SSID를 리스닝(Listening)한다(S201). 그리고 리스닝한 SSID를 선택한다(S203). 여기서, S203 단계는 사용자가 선택할 수도 있고, 네트워크 설정에 따라 자동으로 선택될 수도 있다.

2차 단말(100)은 선택한 SSID에 해당하는 1차 단말(200)로 접속을 요청하는 EAP(Extensible Authentication Protocol)-Start 메시지를 전송한다(S205).

1차 단말(200)의 통신 모듈(201)은 2차 단말(100)에게 가입자 인증을 위한 ID 정보를 요청하는 EAP-Request(Identity)메시지를 전송한다(S207).

2차 단말(100)은 가입자 인증 정보로 사용할 MAC 주소를 포함하는 EAP-Response(Identity) 메시지를 1차 단말(200)에게 전송한다(S209).

이때, 2차 단말(100)은 2차 단말(100)에 고정 IP 주소가 설정된 경우, MAC 주소 및 고정 IP 주소를 포함하는 EAP-Response(Identity) 메시지를 1차 단말(200)에게 전송한다.

1차 단말(200)의 인증 클라이언트(203)는 2차 단말(100)의 2차 접속을 요청하는 라디우스 액세스 리퀘스트(RADIUS Access Request) 메시지를 전용망 접속 제어 서버(500)에 전송한다(S211). 여기서, 라디우스 액세스 리퀘스트 메시지는 2차 단말(100)의 MAC 주소를 포함한다. 물론, S209 단계에서 2차 단말(100)의 고정 IP 주소를 수신한 경우, 고정 IP도 라디우스 액세스 리퀘스트 메시지에 포함된다.

전용망 접속 제어 서버(500)의 인증 서버(503)는 S211 단계에서 수신한 라디우스 액세스 리퀘스트 메시지에 2차 단말(100)의 고정 IP 주소가 포함되어 있는지 판단한다(S213).

S213 단계에서 고정 IP 주소가 포함된 경우로 판단되면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 S213 단계에서 수신한 단말의 MAC 주소 및 고정 IP 주소가 표 1에 등록된 정보인지 판단한다(S215). 예를들어, 인증 서버(503)는 라디우스 액세스 리퀘스트 메시지에 단말(100)의 MAC 주소 12:34:56:78:90:AB와 IP 주소 10.0.1.3가 포함된 경우, MAC 주소는 표 1에 있지만, MAC 주소에 매칭되는 IP 주소가 10.0.1.3이 아니므로, 2차 단말(100)의 접속 인증을 불승인할 수 있다.

반면, S213 단계에서 고정 IP 주소가 미포함된 경우로 판단되면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 S211 단계에서 수신한 단말의 MAC 주소가 표 1에 등록된 정보인지 판단한다(S217).

전용망 접속 제어 서버(500)의 인증 서버(503)는 S215 단계 또는 S217 단계의 인증이 성공하는지 확인한다(S219).

인증에 실패하면, 인증 서버(503)는 인증 실패로 인한 2차 접속 불허 메시지(RADIUS ACCESS RESPONSE)를 1차 단말(200)의 인증 클라이언트(203)로 전송한다(S221). 그러면, 1차 단말(200)의 통신 모듈(201)은 2차 단말(100)에게 인증 실패를 알리는 EAP Failure 메시지를 전송한다(S223).

인증에 성공하면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 2차 단말(100)과 1차 단말(200)이 사용할 네트워크 대역인 단말 인터페이스 대역을 설정한다(S225). 그리고 설정(S225)한 단말 인터페이스 대역을 2차 접속 승인 메시지(RADIUS ACCESS RESPONSE)에 포함시켜 1차 단말(200)의 인증 클라이언트(203)로 전송한다(S227).

만약, 2차 단말(100)에 고정 IP 주소가 설정된 경우, 인증 서버(503)는 단말(100)의 고정 IP 주소 대역에 따른 무선랜 IP 주소를 1차 단말(200)에게 할당한다.

그러나, 2차 단말(100)에 고정 IP 주소가 설정되지 않은 경우, 인증 서버(503)는 단말 인터페이스에서 사용할 네트워크 대역을 설정한다. 그리고 설정한 네트워크 대역 내에서 서버 주소로서 1차 단말(200)의 무선랜 IP 주소를 할당하여 전송(S227)한다.

1차 단말(200)의 통신 모듈(201)은 S227 단계에서 수신한 단말 인터페이스 대역을 기초로, 단말 인터페이스를 생성한다(S229). 여기서, 단말 인터페이스는 2차 단말(100)과 1차 단말(200)의 통신 모듈(201)간의 통신을 말한다. 따라서, S229 단계는, 통신 모듈(201)가 인증 서버(503)로부터 수신(S227)한 1차 단말(200)의 무선랜 IP 주소를 2차 단말(100)과 통신할 IP 주소로 설정 또는 등록하는 것을 포함한다.

이어서, 1차 단말(200)의 통신 모듈(201)은 접속 인증 성공을 알리는 EAP Success 메시지를 2차 단말(100)로 전송한다(S231).

일반적으로, 통신에서 두 장비의 네트워크 대역은 동일하다. 예를들어, S225 단계에서 인증 서버(503)가 네트워크 대역을 10.0.0.0/30으로 설정하고, 1차 단말(200)의 무선랜 IP 주소를 10.0.0.1/30로 설정하면, 2차 단말(100)에는 10.0.0.2/30가 할당되어야 한다. 이러한 2차 단말(100)의 IP 주소 설정은 도 9의 과정을 통해 이루어진다.

이상의 도 5 및 도 6에서는 1차 단말(200)이 전용망 접속 제어 서버(500)와 설정한 터널에 2차 단말(100)이 연결되는 실시예를 설명하였다.

이하, 도 7 및 도 8에서는 2차 단말(100) 별로 터널이 생성되는 방식의 실시예를 설명한다.

도 7은 본 발명의 다른 실시예에 따른 1차 단말의 접속 과정을 나타낸 흐름도이다. 즉, 1차 단말(200)과 전용망 접속 제어 서버(500) 간에 사전 접속이 설정되는 절차를 나타낸다.

도 7을 참조하면, 도 7의 S301 단계 ~ S317 단계는 도 5의 S101 단계 ~ S117 단계와 모두 동일하고, 다만, 도 5의 S119 단계가 도 7에는 없다.

즉, 도 7의 실시예에서는 1차 단말(200)은 전용망 접속 제어 서버(500)와 터널을 생성하지 않는다. 이 터널은 이후 2차 단말(200)과 전용망 접속 제어 서버(500) 간에 생성된다. 이에 대해 설명하면, 도 8과 같다.

도 8은 본 발명의 다른 실시예에 따른 2차 단말 접속 과정을 나타낸 흐름도이다.

도 8을 참조하면, 2차 단말(100)은 적어도 하나의 1차 단말(200)이 브로드캐스팅하는 SSID를 리스닝(Listening)한다(S401). 그리고 리스닝한 SSID를 선택한다(S403). 여기서, S403 단계는 사용자가 선택할 수도 있고, 네트워크 설정에 따라 자동으로 선택될 수도 있다.

2차 단말(100)은 선택한 SSID에 해당하는 1차 단말(200)로 접속을 요청하는 EAP(Extensible Authentication Protocol)-Start 메시지를 전송한다(S405).

1차 단말(200)의 통신 모듈(201)은 2차 단말(100)에게 가입자 인증을 위한 ID 정보를 요청하는 EAP-Request(Identity)메시지를 전송한다(S407).

2차 단말(100)은 가입자 인증 정보로 사용할 MAC 주소, 사용자 ID/Password를 포함하는 EAP-Response(Identity) 메시지를 1차 단말(200)에게 전송한다(S409). 여기서, 사용자 ID/Password는 2차 단말(100)이 1차 단말(200)에 접속(예를들어, 로그인)하는데 사용되고, 사전에 2차 단말(100)로부터 1차 단말(200)에 등록되어 있다.

1차 단말(200)의 인증 클라이언트(203)는 2차 단말(100)의 2차 접속 요청을 전용망 접속 제어 서버(500)로 전송한다(S411). 이때, 라디우스 프로토콜이 사용될 수 있다.

본 발명의 실시예에서는 라디우스 프로토콜을 사용하여 1차 단말(200)과 전용망 접속 제어 서버(500)의 인증 절차를 설명하지만 이에 한정되는 것은 아니다.

1차 단말(200)은 라디우스 액세스 리퀘스트(RADIUS Access Request) 메시지를 전용망 접속 제어 서버(500)에 전송한다(S411). 여기서, 라디우스 액세스 리퀘스트 메시지는 2차 단말(100)의 MAC 주소, 사용자 ID/Password 및 1차 단말(200)의 MSISDN을 포함할 수 있다. 사용자 ID/Password는 도 7의 S301 단계의 가입자 정보로 등록되어 있을 수 있다.

전용망 접속 제어 서버(500)의 인증 서버(503)는 표 1을 참조하여, S411 단계에서 수신한 라디우스 액세스 리퀘스트 메시지에 2차 단말(100)의 고정 IP 주소가 포함되어 있는지 판단한다(S413).

S413 단계에서 고정 IP 주소가 포함된 경우로 판단되면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 S411 단계에서 수신한 2차 단말(100)의 MAC 주소, 사용자 ID/Password 및 고정 IP 주소가 표 1에 등록된 정보인지 판단한다(S415). 예를들어, 인증 서버(503)는 라디우스 액세스 리퀘스트 메시지에 2차 단말(100)의 MAC 주소 12:34:56:78:90:AB와 IP 주소 10.0.1.3가 포함된 경우, MAC 주소는 표 1에 있지만, MAC 주소에 매칭되는 IP 주소가 10.0.1.3이 아니므로, 2차 단말(100)의 접속 인증을 불승인할 수 있다.

반면, S413 단계에서 고정 IP 주소가 미포함된 경우로 판단되면, 전용망 접속 제어 서버(500)의 인증 서버(503)는 S411 단계에서 수신한 단말의 MAC 주소, 사용자 ID/Password가 표 1에 등록된 정보인지 판단한다(S417).

전용망 접속 제어 서버(500)의 인증 서버(503)는 S415 단계 또는 S417 단계의 인증이 성공하는지 확인한다(S419).

인증에 실패하면, 인증 서버(503)는 인증 실패로 인한 접속 불허 메시지(RADIUS ACCESS RESPONSE)를 1차 단말(200)의 인증 클라이언트(203)로 전송한다(S421). 그러면, 1차 단말(200)의 통신 모듈(201)은 2차 단말(100)에게 인증 실패를 알리는 EAP Failure 메시지를 전송한다(S423).

인증에 성공하면, 인증 서버(503)는 인증 성공으로 인한 2차 접속 승인 메시지(RADIUS ACCESS RESPONSE)를 1차 단말(200)의 인증 클라이언트(203)로 전송한다(S425). 여기서, 사용되는 EAP 인증 방법에 따라 추가적으로 Challenge 인증 과정이 수행될 수 있으며, 이것은 이미 공지된 기술로서 자세한 설명은 생략한다.

이후, 1차 단말(200)의 터널링 클라이언트(205)는 등록된 전용망 접속 제어 서버(500)의 터널링 서버(505)로 터널링 생성을 요청하고 전용망 접속 제어 서버(500)의 터널링 서버(505)는 터널링 클라이언트(205)와 터널링을 생성한다(S427) 이러한 터널링은 도 5에서 설명한 바와 동일하다.

1차 단말(200)과 전용망 접속 제어 서버(500) 사이에 터널링 생성이 완료되면, 1차 단말(200)의 통신 모듈(201)은 2차 단말(100)에게 2차 접속 요청의 인증 성공을 알리는 EAP Success 메시지를 전송한다(S429).

도 9는 본 발명의 실시예에 따른 2차 단말이 IP를 할당받는 DHCP 릴레이 과정을 나타낸 흐름도로서, 도 6의 S231 단계 또는 도 8의 S429 단계 이후의 동작을 나타낸 것이다.

이때, 도 9는 실시예에 따라 생략될 수 있다. 예를들어, 2차 단말(100)에 미리 입력된 고정 IP를 사용하는 경우 DHCP 릴레이 절차는 사용되지 않는다.

또 다른 실시예로서, 1차 단말(200)에는 DHCP 릴레이 대신에 DHCP 서버가 탑재될 수 있다. DHCP 서버가 탑재되면, 1차 단말(200)은 2차 단말(100)의 2차 접속 승인 메시지 수신 단계에서 직접 2차 단말(100)의 IP를 수신하고, 2차 단말(100)의 요청에 따라 2차 단말(100)의 IP 주소를 직접 2차 단말(100)로 전송한다.

도 9를 참조하면, 전용망 접속 제어 서버(500)는 2차 단말(100)의 MAC 주소 및 사용 IP 대역을 등록한다(S501).

2차 단말(100)은 1차 단말(200)로 2차 단말(100)의 IP 주소 할당을 요청하는 DHCP 요청 메시지를 전송한다(S503). 이때, DHCP 요청 메시지는 2차 단말(100)의 MAC을 포함한다.

1차 단말(200)의 DHCP 릴레이(207)는 DHCP 릴레이 메시지를 전용망 접속 제어 서버(500)의 DHCP 서버(507)로 전송한다(S505). 이때, DHCP 릴레이(207)는 도 5의 S117 단계 또는 도 7의 S317 단계에서 획득한 DHCP 서버 IP 주소를 사용하여 DHCP 릴레이 메시지를 전송한다. DHCP 릴레이 메시지는 S503 단계에서 수신한 2차 단말(100)의 MAC을 포함한다.

전용망 접속 제어 서버(500)의 DHCP 서버(507)는 등록된 사용 IP 대역, 즉, S501 단계에서 설정한 2차 단말(100)의 MAC에 매핑되는 단말 IP 주소를 할당한다(S507). 전용망 접속 제어 서버(500)의 DHCP 서버(507)는 할당(S507)한 2차 단말 IP 주소를 포함하는 DHCP 응답 메시지를 1차 단말(200)로 전송한다(S509).

1차 단말(200)의 DHCP 릴레이(207)는 수신(S509)한 DHCP 응답 메시지를 2차 단말(100)로 전달한다(S511).

도 10은 본 발명의 실시예에 따른 상향링크(Up Link, UL) 데이터의 터널링 과정을 나타낸다.

도 10을 참조하면, 2차 단말(100)이 1차 단말(200)과 무선랜 통신시 사용하기로 할당된 IP 주소는 1.1.1.2이다. 1차 단말(200)이 코어망(400)으로부터 할당받은 전용망 IP 주소는 10.1.1.2이다. 전용망 접속 제어 서버(500)이 코어망(400)과 통신시 사용하는 전용망 IP 주소는 50.1.1.2이다.

이때, 1차 단말(200)과 전용망 접속 제어 서버(500)은 터널링 통신을 한다.

1차 단말(200)의 터널링 IP 주소는 192.168.0.4이다. 전용망 접속 제어 서버(500)의 터널링 IP 주소는 192.168.0.1이다. 1차 단말(200)의 터널링 클라이언트(205)와 전용망 접속 제어 서버(500)의 터널링 서버(505)는 이러한 터널링 IP 주소들을 이용하여 터널링 통신을 한다.

2차 단말(100)이 전용망(600) 내 특정 서버의 IP 주소(인터넷 IP)를 목적지로 하는 상향링크 데이터를 1차 단말(200)로 전송한다. 이때, 상향링크 데이터의 IP 헤더에는 SIP(Source IP)가 1.1.1.2, 즉, 단말(100)의 IP 주소로 설정된다. 그리고 DIP(Destination IP)는 특정 서버의 IP 주소(인터넷 IP)로 설정된다.

1차 단말(200)의 통신 모듈(도 4의 201)은 2차 단말(100)로부터 수신한 상향링크 데이터를 터널링 클라이언트(도 4의 205)로 전달한다. 그러면, 터널링 클라이언트(205)는 단말(100)로부터 수신한 상향링크 데이터에 터널링 헤더를 추가한다. 터널링 헤더의 SIP는 1차 단말(200)의 터널링 IP 주소(192.168.0.4)로 설정되고, DIP는 전용망 접속 제어 서버(500)의 터널링 IP 주소(192.168.0.1)로 설정된다. 이처럼 터널링 헤더가 추가된 상향링크 데이터는 전용망 접속 제어 서버(500)로 전송된다.

전용망 접속 제어 서버(500)의 터널링 서버(도 4의 505)는 1차 단말(200)로부터 수신한 상향링크 데이터에서 터널링 헤더를 제거한다. 그리고 터널링 헤더가 제거된 원래 2차 단말(100)에서 전송된 상향링크 데이터를 특정 서버로 전송한다.

도 11은 본 발명의 실시예에 따른 하향링크 데이터의 터널링 과정을 나타낸다. 이때, 도 10과 동일한 내용의 설명은 생략하고, 하향링크 데이터에 대한 내용만 설명한다.

도 11을 참조하면, 전용망 접속 제어 서버(500)가 전용망(600) 내 특정 서버로부터 하향링크 데이터를 수신한다. 이때, 하향링크 데이터의 IP 헤더에는 SIP가 특정 서버의 IP 주소(인터넷 IP)로 설정되고, DIP(Destination IP)는 단말(100)의 IP 주소(1.1.1.2)로 설정된다.

전용망 접속 제어 서버(500)의 통신 장치(501)는 수신한 하향링크 데이터를 터널링 서버(505)로 전달한다. 터널링 서버(505)는 하향링크 데이터에 터널링 헤더를 추가한다. 터널링 헤더의 SIP는 전용망 접속 제어 서버(500)의 터널링 IP 주소(192.168.0.1)로 설정되고, DIP는 1차 단말(200)의 터널링 IP 주소(192.168.0.4)로 설정된다. 이처럼 터널링 헤더가 추가된 하향링크 데이터는 1차 단말(200)로 전송된다.

1차 단말(200)의 터널링 클라이언트(207)는 터널링 서버(205)로부터 수신된 하향링크 데이터에서 터널링 헤더를 제거한다. 그리고 터널링 헤더가 제거된 원래 서버에서 2차 단말(100)로 전송된 하향링크 데이터를 2차 단말(100)로 전달한다.

도 12는 본 발명의 실시예에 따른 단말의 접속 상태 관리 과정을 나타낸 흐름도이다.

도 12를 참고하면, 도 6, 7, 8, 9의 과정을 통해 2차 단말(100)에 대한 접속 인증(1차 접속 인증/2차 접속 인증)이 완료되면, 1차 단말(200)의 접속 관리부(209)는 2차 단말(100)의 접속 상태 관리를 요청하는 메시지를 전송한다. 이때, 라디우스 프로토콜이 사용될 수 있다.

예를 들어, 1차 단말(200)은 라디우스 어카운팅 리퀘스트 : 시작(Start) 메시지를 전용망 접속 제어 서버(500)로 전송한다(S601). 여기서, S601 단계의 메시지는 2차 단말(100)의 식별자와 접속 상태 정보 등을 포함한다. 접속 상태 정보는 연결(Connect)로 설정된다.

전용망 접속 제어 서버(500)의 접속 관리부(509)는 S401 단계에서 수신한 정보를 등록한다(S603). 이때, S601 단계에서 수신한 정보를 기초로, 표 2와 같이 접속 상태를 관리할 수 있다.

단말 유형	MAC	접속 상태
노트북	12:34:56:78:90:AB	Disconnected
패드	12:34:56:78:90:BB	Disconnected
스마트폰	12:34:56:78:90:BC	Connected
…	…	…

여기서, 단말 유형은 S601 단계에서 수신될 수도 있고, 사전에 MAC 주소와 매핑되어 등록되어 있을 수도 있다. 2차 단말(100)의 접속 상태 정보 등록이 완료되면, 전용망 접속 제어 서버(500)의 접속 관리부(509)는 응답 메시지(RADIUS Accounting Response)를 1차 단말(200)로 전송한다(S605).이후, 1차 단말(200)의 접속 관리부(209)는 트리거링 이벤트가 발생(S407)하면, 단말(100)의 접속 상태 업데이트를 요청하는 라디우스 어카운팅 리퀘스트 : interim update 메시지를 전용망 접속 제어 서버(500)로 전송한다(S609). 이때, 트리거링 이벤트는 주기일 수도 있다.

전용망 접속 제어 서버(500)의 접속 관리부(509)는 S409 단계의 메시지를 기초로, 2차 단말의 접속 상태 정보를 갱신(S611)한다. 그리고 응답 메시지(RADIUS Accounting Response)를 1차 단말(200)로 전송한다(S613).

한편, 1차 단말(200)은 2차 단말(100)과의 접속이 종료(S615)되면, 2차 단말(100)의 접속 상태 관리 종료를 요청하는 메시지(RADIUS Accounting Request: Stop)를 전용망 접속 제어 서버(500)로 전송한다(S617). 이때, 메시지에 포함되는 접속 상태 정보는 미연결(Disconnect)로 설정된다.

그러면, 전용망 접속 제어 서버(500)의 접속 관리부(509)는 S617 단계의 메시지를 기초로, 2차 단말(100)에 대한 접속 상태를 미연결(Disconnect)로 변경(S619)하고, 응답 메시지(RADIUS Accounting Response)를 1차 단말(200)로 전송한다(S621).

이러한 과정을 통해, 전용망 접속 제어 서버(500)는 2차 단말(100)의 전용망 접속 여부를 판단하고, 관리자 포탈 등을 통해 기업 관리자에게 단말(100)의 전용망 접속 상태를 알려줄 수 있다.

한편, 도 13은 본 발명의 또 다른 실시예에 따른 네트워크 구성도로서, 도 1과 동일한 구성에 대한 설명은 생략한다.

도 13을 참조하면, 도 1과 구성이 대부분 동일하나, 다른 점은 2차 단말(100)의 입장에서 복수개의 1차 단말(200)에 접속할 수 있는 점을 나타내었다. 각각의 1차 단말 #A(200A), 1차 단말 #B(200B), 1차 단말 #N(200C)은 각각의 서비스 커버리지를 가진다. 2차 단말(100)은 2차 단말(100)이 위치하는 서비스 커버리지를 제공하는 1차 단말 #A(200A), 1차 단말 #B(200B), 1차 단말 #N(200C)로 접속한다. 2차 단말(100)이 이동하여 서비스 커버리지가 바뀌면, 2차 단말(100)이 접속하는 1차 단말 #A(200A), 1차 단말 #B(200B), 1차 단말 #N(200C)도 변경된다.

도 14는 본 발명의 실시예에 따른 2차 단말이 이동하여 1차 단말을 변경하는 과정을 나타낸 예시도이다.

도 14를 참조하면, 2차 단말(100)이 1차 단말 #A(200A) 에 접속된 경우, 2차 단말(100)은 1차 단말 #A(200A)-기지국(300)-코어망(400)-전용망 접속 제어 서버(500)를 포함하는 데이터 경로 A를 통해 전용망(600)과 데이터를 송수신한다.

2차 단말(100)이 이동하여 1차 단말 #B(200B)의 서비스 커버리지로 진입하면, 2차 단말(100)은 도 8 및 도 9의 절차를 1차 단말 #B(200B)와 수행한다. 이러한 절차를 통해 접속 인증 및 IP 할당이 완료되면, 전용망 접속 제어 서버(500)는 2차 단말(100)의 이동을 인지한다. 따라서, 전용망 접속 제어 서버(500)는 2차 단말(100)이 기존에 가지고 있던 터널, 즉, 1차 단말 #A(200A)와 전용망 접속 제어 서버(500) 간의 터널로의 라우팅 설정을 삭제한다. 그리고 1차 단말 #B(200B)와 전용망 접속 제어 서버(500)간의 터널로의 라우팅 설정을 새로 생성한다. 이후, 2차 단말(100)과 전용망(600) 간의 데이터 경로는 데이터 경로 A에서 데이터 경로 B로 변경된다.

이처럼, 데이터 경로가 변경되더라도 상향링크 데이터의 전송 절차는 도 10과 유사하다. 즉, 2차 단말(100)이 접속된 1차 단말(200)이 변경되었으므로, 2차 단말(100)이 접속된 1차 단말(200)을 통해 도 10의 절차가 수행된다.

반면, 하향링크 데이터의 전송 절차는 도 11과 유사하나, 다만, 터널링 헤더에 1차 단말 #B(200B)의 정보가 수록된다. 이에 대하여, 도 15를 참고하여 설명한다.

도 15는 본 발명의 실시예에 따른 단말의 이동성을 제공하는 터널링 과정을 나타낸다. 특히, 하향링크 데이터 터널링 과정시 단말의 이동성을 제공하는 실시예를 나타내며, 도 10 및 도 11과 동일한 내용에 대한 설명은 생략하고, 다른 내용에 대해서만 설명한다.

도 15를 참고하면, 전용망 접속 제어 서버(500)가 1차 단말 #A(200A)와 터널링 통신시 사용하는 터널 IP 주소는 192.168.0.1이다. 전용망 접속 제어 서버(500)가 1차 단말 #B(200B)와 터널링 통신시 사용하는 터널 IP 주소는 192.168.1.1이다.

2차 단말(100)이 1차 단말 #A(200A)에 접속된 상태에서, 전용망 접속 제어 서버(500)가 SIP: 인터넷 IP, DIP: 1.1.1.2로 설정된 하향링크 데이터를 전용망(600)으로부터 수신한다.

전용망 접속 제어 서버(500)의 터널링 서버(507)는 하향링크 데이터에 터널링 헤더를 추가한다. 이때, 터널링 헤더의 SIP(Source IP)는 1차 단말 #A(200A)와의 연결을 위한 전용망 접속 제어 서버(500)의 터널 IP 주소(192.168.0.1)로 설정되고, DIP는 1차 단말 #A(200A)의 IP 주소(192.168.0.4)로 설정된다. 이처럼, 터널링 헤더가 추가된 하향링크 데이터는 1차 단말 #A(200A)로 전송된다. 1차 단말 #A(200A)는 수신한 하향링크 데이터에서 터널링 헤더를 제거한 후, 이를 2차 단말(100)로 전송한다.

이후, 2차 단말(100)이 1차 단말 #B(200B)로 접속하면, 전용망 접속 제어 서버(500)의 터널링 서버(507)는 전용망(600)에서 2차 단말(100)로 향하는 하향링크 데이터에 터널링 헤더를 추가한다. 이때, 터널링 헤더의 SIP는 1차 단말 #B(200B)와의 연결을 위한 전용망 접속 제어 서버(500)의 터널 IP 주소(192.168.1.1)로 설정되고 터널링 헤더의 DIP를 1차 단말 #B(200B)의 IP 주소(192.168.1.4)로 설정한다. 그러면, 터널링 헤더가 추가된 하향링크 데이터는 1차 단말 #A(200A)가 아닌 1차 단말 #B(200B)로 전송된다. 1차 단말 #B(200B)는 수신한 하향링크 데이터에서 터널링 헤더를 제거한 후, 이를 2차 단말(100)로 전송한다.

도 16은 본 발명의 실시예에 따른 1차 단말의 라우팅 정보를 변경하는 과정을 나타낸 흐름도로서, 2차 단말(100)의 이동성을 제공하는 과정을 나타낸다.

도 16을 참고하면, 2차 단말(100)이 1차 단말 #A(200A)와 접속(S701)되는 경우, 전용망 접속 제어 서버(500)의 터널링 서버(507)는 1차 단말 #A(200A)의 IP 주소와 2차 단말(100)의 IP 주소를 연계하는 라우팅 정보를 설정한다(S703). 그러면, 터널링 서버(507)는 이 라우팅 정보를 기초로, 2차 단말(100)의 상향링크 데이터 또는 하향링크 데이터에 터널링 헤더를 제거하거나 또는 추가한다.

이후, 2차 단말(100)이 이동하여 1차 단말 #A(200A)의 서비스 커버리지에서 이탈하여 접속이 끊기고, 1차 단말 #B(200B)가 서비스하는 커버리지에 진입하면, 2차 단말(100)은 1차 단말 #B(200B)에 접속된다(S705).

1차 단말 #B(200B)는 전용망 접속 제어 서버(500)로 2차 단말의 MAC을 포함하는 2차 접속 요청을 전송한다(S707). 그러면, 전용망 접속 제어 서버(500)의 터널링 서버(507)는 2차 단말(100)의 MAC에 기 설정된 라우팅 정보가 있는지 판단하고, 기 설정된 라우팅 정보가 있으면, 단말(100)이 모바일 라우터를 이동한 경우이므로, 기 설정된 1차 단말 #A(200A)의 IP 주소와 2차 단말(200)의 IP 주소를 포함하는 라우팅 정보를 삭제하고, 1차 단말 #B(200B)의 IP 주소와 2차 단말(200)의 IP 주소를 연계한 라우팅 정보로 갱신한다(S709).

한편, 2차 단말(100)의 MAC에 대한 기 설정된 라우팅 정보가 없으면, 2차 단말(100)과 1차 단말(200)의 최초 접속이므로, 도 8 및 도 9에서 설명한 바와 동일하게, 1차 단말 #B의 IP 주소와 2차 단말(100)의 IP 주소를 포함하는 라우팅 정보를 설정한다.

이후, 터널링 서버(507)가 전송하는 터널링 헤더가 추가된 하향링크 데이터는 1차 단말 #B(200B)로 전송된다. 이처럼, 2차 단말(100)이 1차 단말 간(200)을 이동하더라도 2차 단말(100)은 연속된 서비스를 이용할 수 있다. 또한, 1차 단말(200)이 변경되더라도 2차 단말(100)의 접속 상태를 연속적으로 관리할 수 있다.

도 17은 본 발명의 실시예에 따른 컴퓨팅 장치의 하드웨어 구성을 나타낸 블록도로서, 도 1 ~ 도 16에서 설명한 1차 단말(200) 및/또는 전용망 접속 제어 서버(500)의 동작을 구현하는 컴퓨팅 장치의 구성을 나타낸다.

도 17을 참조하면, 컴퓨팅 장치(900)는 통신 장치(901), 메모리(903), 저장 장치(905) 및 적어도 하나의 프로세서(907) 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도 1부터 도 16를 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)들을 포함하고, 메모리 장치(903) 및 프로세서(907) 등의 하드웨어와 결합하여 본 발명을 구현한다.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims

통신 장치,

메모리, 그리고

상기 메모리에 저장된 프로그램을 실행하는 프로세서를 포함하고,

상기 프로세서는,

1차(Primary) 단말로부터 1차 접속 요청을 수신하고, 상기 1차 접속 요청에 포함된 상기 1차 단말의 고유 식별자가 사전 등록된 전용망 가입자 정보에 포함되면, 상기 1차 접속 요청을 승인하는 1차 접속 승인 메시지를 상기 1차 단말에게 전송하고,

상기 1차 단말로부터 상기 1차 단말에 연결된 2차(Secondary) 단말의 2차 접속 요청을 수신하여 상기 2차 접속 요청에 포함된 상기 2차 단말의 고유 식별자가 상기 전용망 가입자 정보에 포함되면, 상기 1차 단말에게 상기 2차 접속 요청을 승인하는 2차 접속 승인 메시지를 전송하며,

상기 1차 단말로부터 수신되는 상기 2차 단말의 상향링크 데이터를 전용망으로 전달하고 상기 전용망으로부터 수신된 상기 2차 단말로 향하는 하향링크 데이터를 상기 1차 단말로 전송하는, 전용망 접속 제어 서버.
제1항에서,

상기 프로세서는,

상기 1차 단말과 터널을 생성하고, 상기 터널의 주소와 상기 2차 단말의 IP 주소를 연결한 라우팅 정보를 설정하며,

상기 라우팅 정보에 기초하여, 상기 상향링크 데이터에서 터널링 헤더를 제거한 후 상기 전용망으로 전달하고, 상기 하향링크 데이터에 상기 터널링 헤더를 추가하여 상기 1차 단말로 전달하는, 전용망 접속 제어 서버
제1항에서,

상기 1차 접속 승인 메시지는,

상기 1차 단말에 할당된 SSID(Service Set ID)를 포함하고,

상기 SSID는,

상기 1차 단말에 의해 근거리 통신 커버리지에서 브로드캐스팅되어 상기 2차 단말에게 제공되는, 전용망 접속 제어 서버.
제1항에서,

상기 프로세서는,

상기 2차 단말이 전송한 IP 주소 할당을 요청하는 DHCP(Dynamic Host Configuration Protocol) 릴레이 메시지를 상기 1차 단말로부터 수신하고, 상기 2차 단말에 할당한 IP 주소를 포함하는 DHCP 응답 메시지를 상기 1차 단말로 전송하며,

상기 DHCP 응답 메시지는,

상기 1차 단말에 의해 상기 2차 단말로 전송되는, 전용망 접속 제어 서버.
제1항에서,

상기 프로세서는,

상기 2차 단말이 연결된 서빙 1차 단말의 IP 주소와 상기 2차 단말의 IP 주소를 연결한 라우팅 정보를 설정하고,

타겟 1차 단말로부터 수신된 상기 2차 단말에 대한 2차 접속 요청이 승인되면, 상기 라우팅 정보를 삭제하고 상기 타겟 1차 단말의 IP 주소를 상기 2차 단말의 IP 주소와 연결한 라우팅 정보로 갱신하며,

상기 타겟 1차 단말은,

상기 2차 단말이 이동하여 상기 서빙 1차 단말의 서비스 커버리지를 이탈한 후 새로 진입한 커버리지를 서비스하는 1차 단말인, 전용망 접속 제어 서버.
제1항에서,

상기 프로세서는,

상기 1차 단말과 상기 1차 단말에 연결된 2차 단말의 접속 상태 정보를 포함하는 인증 메시지를 주기적으로 교환하고,

상기 인증 메시지를 통해 획득한 2차 단말의 MAC(Media Access Control Address) 주소를 이용하여 상기 2차 단말의 접속 상태를 관리하는, 전용망 접속 제어 서버.
2차(Secondary) 단말을 전용망으로 접속하게 하는 1차(Primary) 단말로서,

통신 장치,

상기 1차 단말의 동작을 제어하는 프로그램을 저장하는 메모리, 그리고

상기 프로그램을 실행하는 프로세서를 포함하고,

상기 프로세서는,

상기 2차 단말과 근거리 통신으로 접속하고

상기 전용망에 연결된 전용망 접속 제어 서버와 이동통신 코어망을 통해 연결되며,

상기 전용망 접속 제어 서버로 상기 1차 단말의 전용망 접속을 요청하는 1차 접속 요청을 전송하여 1차 접속 승인 메시지를 수신하고,

상기 전용망 접속 제어 서버로 상기 2차 단말의 전용망 접속을 요청하는 2차 접속 요청을 전송하여 2차 접속 승인 메시지를 수신하며,

상기 2차 단말과 상기 전용망 사이에서 상기 2차 단말의 상향링크 데이터 및 하향링크 데이터의 송수신을 중계하고,

상기 2차 단말의 상향링크 데이터 및 하향링크 데이터는,

상기 전용망 접속 제어 서버를 경유하여 상기 2차 단말과 상기 전용망 간에 송수신되는, 1차 단말.
제7항에서,

상기 프로세서는,

상기 전용망 접속 제어 서버와 터널을 생성하고, 상기 생성한 터널의 주소를 상기 2차 단말의 IP 주소와 연계한 라우팅 정보를 설정하며,

상기 2차 단말의 상향링크 데이터 발생시 상기 상향링크 데이터에 터널링 헤더를 추가하여 상기 전용망 접속 제어 서버로 전달하고,

상기 전용망 접속 제어 서버로부터 수신한 하향링크 데이터로부터 상기 터널링 헤더를 제거한 후 상기 2차 단말로 전달하며,

상기 터널링 헤더는,

상기 1차 단말의 터널링 IP 주소 및 상기 전용망 접속 제어 서버의 터널링 IP 주소가 설정되는, 1차 단말.
제7항에서,

상기 프로세서는,

1차 접속 승인 메시지로부터 획득한 상기 1차 단말에 할당된 SSID(Service Set ID)를 무선랜 구간에서 브로드캐스팅하고,

상기 SSID는,

상기 2차 단말과 접속을 위해 사용되는, 1차 단말.
제7항에서,

상기 프로세서는,

상기 2차 단말로부터 수신한 상기 2차 단말의 IP 주소 할당을 요청하는 DHCP(Dynamic Host Configuration Protocol) 릴레이 메시지를 상기 전용망 접속 제어 서버로 전송하고, 상기 전용망 접속 제어 서버로부터 수신한 상기 2차 단말의 IP 주소가 포함된 DHCP 응답 메시지를 상기 2차 단말에게 전달하며,

상기 DHP 릴레이 메시지는,

상기 2차 접속 승인 메시지를 통해 수신한 IP 주소를 이용하여 상기 전용망 접속 제어 서버로 전송되는, 1차 단말.
제7항에서,

상기 프로세서는,

상기 2차 단말의 접속 상태 정보를 포함하는 인증 메시지를 상기 전용망 접속 제어 서버와 주기적으로 교환하는, 1차 단말.