ulc systems femto-aaa solution 소개femto-aaa solution(2/2) s/w 구성 base 서브시스템:...
TRANSCRIPT
ULC Systems Femto-AAA Solution 소개
2009
We Cultivate_ Fun and Happiness !!
1 . Femto-AAA 개요
Femto-AAA Solution(1/2)
개 요
PicoACR (Access Control Router) - 옥내/옥외망갂 이동성 관리 및 동기, 과금/통계정보 생성, IP 라우팅 및 QoS 관리, 접속제어 및 인증 등의 기능을 제공하며, femto-AAA 혹은 코어망 AAA와 연동하여 ,femto-AP 를 통해 접속한 와이브로 단말의 권한 검사 및 접속 인증을 수행함.
Femto-AP (Access Point) - 와이브로 접속 , 무선자원 관리 및 제어 , IP 라우팅 등의 기능을 제공함하며, pico-ACR과 연동하여 와이브로 무선 단말의 접속 인증 및고속 무선 접속 처리 기능을 수행함.
Femto-AAA - 기업 사용자 정보 및 기업서비스 policy 정보를 기반으로 pico-ACR을 통해 요청되는 단말에 대한 인증/권한/과금 처리 기능을 수행함. (필요한 경우RADIUS-DIAMETER 프로토콜 변홖 수행).
분산형 WiMax 서비스망
Femto-Wimax 서비스는 분산형 서비스 홖경에서 와이브로 단말기로 언제, 어디서나 고속으로 무선인터넷 접속이 가능한 서비스로, 이동통신의 femtocell 과 동일한 서비스를 제공한다.
Femto-AAA Solution(2/2)
S/W 구성
BASE 서브시스템 : DIAMETER 프로토콜 기반 인증 요청을 처리하는 기능을 제공하며, transport connection manager, peer manager, heath cheker, realm-based routing manager, job handler, callback manager, event handler, DB interface 모듈로 구성됨
AP 서브시스템 : BASE 기능을 이용하는 인증/인가/과금 기능을 제공하며, 각 응용별로 register manager, message manager, EAP-AKA/EAP-MD5/MAP-TLS, session manager, access account, service account, inter-operation interface 모듈로 구성됨
TRANS 서브시스템 : RADIUS 프로토콜 인증 요청을 DIAMETER 프로토콜로 변홖하여 처리하는 기능을 제공하며, transport connection manager, job handler, event handler, protocol converter 모듈로 구성됨
POLICY 서브시스템 : 기업 사용자 정보 관리 및 서비스 policy 정보 관리 기능을 제공하며, user manager, policy manager, inter-operation interface, DB interface 모듈로 구성됨
ULC Systems Femto-AAA 특징
특 징
독립성
RFC 3588 (Diameter Base Protocol) RFC 4072 (Diameter EAP)
EAP, Accounting, CC, MIP 응용과 BASE갂의 독립된 구조로 구성 향후 서비스 응용 추가가 용이한 구조
확장성 응용과 BASE가 분리된 구조이므로 추가 응용에 대한 확장이 용이함 특정 응용만 (ex, EAP)만 별도의 서버로 구성 가능
안정성 이중화 지원 – Primary/Secondary 구조 Database 이중화 지원 – Primary/Secondary 데이터 베이스 연결 지원 국내 K 통신 사업자의 WIBRO 서비스에 적용하여 안정적으로 운영 중
보안 및Customizing
IPSec을 통한 Hop 보안 지원 자체 기술력으로 개발하여 추가 응용 또는 서비스에 대한 완벽한
Customizing 지원
표준 Protocol
Diameter 표준 (1/2)
Diameter Protocol 표준
IETF AAA Standards
Diameter Base Protocol (RFC 3588)
AAA Transport Profile (RFC 3539)
Diameter Mobile IPv4 Application (RFC 4004)
Diameter Network Access Server (NAS) Application (RFC 4005)
Diameter Credit-Control (CC) Application (RFC 4006)
Diameter Extensible Authentication Protocol (EAP) Application (RFC 4072)
Diameter Session Initiation Protocol (SIP) Application (Draft-SIP-12 : Proposed Standard RFC)
AKA Standards
EAP for Authentication and Key Agreement (EAP-AKA)(RFC 4187)
3GPP TS 35.205 / 35.206 / 35.207/ 35.208 / 35.209 (MILENAGE Algorithm)
3GPP TS 33.909 / 33.102 / 33.105 / 33.234 (Security Aspects)
3GPP/3GPP2 IMT-2000(cdma 2000 and UMTS) suggestion
TR45.6 / TR23.923 (MIP)
TS29.229, TS29.329, TS32.225 (IMS)
WiMAX Standards
Mobile WiMAX NWG Stage 3 Release 1.0.0
WiMAX End-to-End Network Systems Architecture
bootstrapping: A WiMAX applicability example
Mobile IP
Remote Authentication Dial In User Service (RADIUS) (RFC 2865)
RADIUS Extensions (RFC 2869)
draft-nakhjiri-radius-mip4-02 RADIUS Mobile IPv4 extensions
draft-nakhjiri-pmip-key-02 EAP based Proxy Mobile IP key
IP Mobility Support (RFC 2002)
Mobile IPv4 Challenge/Response Extensions (RFC 3012)
IP Mobility Support for IPv4 (RFC 3344)
3GPP2 X.S0011-002-D cdma2000 Wireless IP Network Standard: Simple IP and Mobile IP Access Services
Cisco Mobile Wireless Home Agent Feature Guide
Cryptography
The TLS Protocol Version 1.0 (RFC 2246)
HMAC: Keyed-Hashing for Message Authentication (RFC 2104)
Test Cases for HMAC-MD5 and HMAC-SHA-1 (RFC 2202)
The MD5 Message-Digest Algorithm (RFC 1321)
US Secure Hash Algorithm 1 (SHA1) (RFC 3174)
FIPS PUB 46 Data Encryption Standard
FIPS PUB 197 ADVANCED ENCRYPTION STANDARD (AES)
PKCS #1: RSA Cryptography Standard
Diameter 표준 (2/2)
2 . WiMax AAA Solutions
WiMAX Service Network 구조
Network 구성도
ACR
ACR
Pico-ACR
AAA
Accounting, Billing
OCS
Mediation
Billing
Provisioning, Customer Care
Subscriber Mng
Key Mng
AuthenticationAuthorizationAccounting
Subscriber Info
Subscriber Key Info
Post-Paid
Pre-Paid
DIAMETER/RADIUS
DIAMETER
DIRECT DB ACCESS
DIRECT DB ACCESS
TCP
DIAMETER Base Protocol Peer (ACR)와 전송 계층 연결 후 상위 응용 계층 연결 Set-up
Diameter AAA와 Peer (ACR)사이에 인증/Accounting 메시지를 상위 응용 계층으로 송수싞 해주는Framework을 제공
Application Diameter EAP : 가입자에 대한 망 접속 서비스를 위한 인증 및 권한검증 기능을 제공
Diameter Accounting : 단말(PSS)의 망 사용에 대한 정보를 수집
Transport 지원 프로토콜 : TCP / SCTP (Option)
Security (IPSec) : Hop-by-Hop Security Support
Supporting both IPv4/IPv6
WiMAX AAA Connection Structure
AAA-ACR간 연결 구조
DIAMETER Base Protocol
EAP
TCP
IP (IPSec)
DIAMETER
Base Protocol
EAP Accounting
WIBRO/
WIMAX
NetworkTCP
Accounting
IP (IPSec)
AAA ACR
Diameter AAA 주요 기능
상 품 내 용 관련 상품
기본 접속 휴대인터넷 접속에 필요한 기본 접속 서비스 Basic, Mania
부가 접속 기본접속 서비스 + 부가가치를 높인 서비스 고정 IP, 단말 Plus
선불 한도접속 일시적 이용 서비스시간 정액제, 일 정액제, 데이터량 정액제
후불 한도접속 후불 한도 접속 서비스 후불 요금제
Femto 서비스 Femto Cell에 대한 접속서비스 및 분산형 서비스 기업용서비스
전체 가입자에 대해 특정지역, 특정일, 특정시간, 특정일/특정시간 할인 적용
시스템 네트워크 구조 : L4 이중화 및 다중화 구조/L4 Health Check/ Load Balancing/Failover-Failback
Base 엔진 구조 : L4 네트워크 구성 지원/ Peer 연결 관리/ Realm-based Routing
접속 인증(EAP) : EAP-AKA, EAP-TLS, EAP-TTLS 인증 및 다양한 인증/권한 제어, AuC 연동, 다양한 서비스 상품 지원
AuC 기능 : AAA 연동 인증벡터 처리, 키 관리
어카운팅 기능(ACCT) : Accounting 메시지 처리, 다양한 서비스 상품 처리, 접속 사용량 수집 및 과금 서버 전송, 세션과 연계된 가입자 동적 접속 정보, 위치 정보 수집
외부 연동 기능 : 과금(A-서버), 가입자 관리 ,민원 및 통계(실패 로그)
운영관리(OA&M) : 시스템 서비스 관리
주요 기능
제공 서비스
Diameter Base Protocol
Module
Application 로딩/언로딩 관리
Application 호출
Route
Local/Relay/Redirect/Proxy Routing 처리
송수싞 메시지 라우팅 관리
메시지 중복 검사 및 트랜잭션 관리
Peer
Peer State Machine 관리
Peer Watchdog State 관리
Peer Capability, Disconnect 관리
Transport
전송 계층 연결 설정 관리
Content-Health check 연결 설정 관리
Init & Destroy
설정 정보 로딩 및 초기화 관리
Destroy 관리
Base Stack 구조
Transport
전송계층 연결설정 관리
Health-Check연결설정
관리
Peer
Peer State Machine 관리
Watchdog State Machine 관리
Route
메시지 중복검사 관리 트랜잭션 관리
송/수싞 메시지 라우팅 관리
Redirect Caching관리
Module
Callback관리모듈
로딩/언로딩 관리
Diameter Application
Peer 정보 공유 관리
Peer Capability 관리
Peer Disconnect 관리
Peer Watchdog 관리
MODULE_TABLE
ROUTE_TABLE
PEER_TABLE
Init & Destroy 관리
설정 정보 로딩,초기화 관리
Destroy 관리BASE_CONFIG
PEER_CE_TABLE
Diameter EAP Application(1/3)
EAP 주요기능
ACR
Pico-ACR AAAAuthenticationAuthorization
Subscriber Info
Subscriber Key Info
인증 기능
WiMAX 망 접속 서비스를 위한 단말(PSS) 인증 기능 제공
IEEE 802.1x 기반 ID/Password, 스마트카드(USIM,UICC 등)를 포함한 다양한ID 체계 수용
Authentication Type: EAP-AKA, EAP-TLS, EAP-TTLS(MS Chap v2)
권한 검증 기능
서비스 권한 및 사용량 권한 검증 수행
- 미 가입 사용자에 대한 권한 검증 실패 처리 기능
- 분실 단말 및 Binding 단말에 대한 권한 검증 실패 처리 기능
- 기타 선/후불 Quota 만료에 대한 권한 검증 실패 처리 기능
Diameter EAP Application(2/3)
EAP 주요기능
EAP-TLS 지원
인증 서버와 사용자 서로의 인증서를 통해서 인증하는 양방향 인증 방식(RFC2716)
사용자별 Dynamic WEP Key 지원
인증서 MAC 기반 인증 지원
인증서 Chaining 기능 지원
EAP-TTLS 지원
암호화 채널을 사용하는 양방향 인증 방식
사용자별 Dynamic WEP Key 지원
클라이언트 인증 방식으로는 MS-CHAPv2 지원
Password 암호화 기능 지원 (SHA-1 or AES128)
EAP-AKA 지원
인증 백터 이용 : 상호인증(RAND/AUTN/XRES), 메시지 암호화,무결성(CK/IK)
서버에서 생성한 RAND/AUTN 값을 단말로 전송하여 망에 대한 인증을 수행
단말에서 RES 값을 생성하여 서버로 전송하여 가입자에 대한 인증
Pseudonym ID 기는 지원
기타 ACR간 이동 기능 지원
무선구간(PSS-RAS) 메시지의 무결성과 기밀성을 위한 동적 세션 키 생성
EAP-AKA authentication
Diameter EAP Application(3/3)
ACRAAA
(AT_RAND, AT_AUTN, AT_MAC)
(AT_RES, AT_MAC)
EAP-Request/AKA-Challenge
K
SQN
RAND
f1 f2 f3 f4
f5
XMAC RES CK IK
AK
SQN AK AMF MAC
AUTN
Verify AUTN
Å
SHA1
Identity
K_encr(128bit), K_aut(128bit), MSK(512bit), EMSK(512bit)
PRF
MK
XMAC = MAC ?
K
SQN
RAND
f1 f2 f3 f4
f5
XMAC RES CK IK
AK
SQN AK AMF MAC
AUTN
Verify AUTN
SHA1
Identity
K_encr(128bit), K_aut(128bit), MSK(512bit), EMSK(512bit)
PRF
MK
XMAC = MAC ?
(AT_ANY_ID_REQ)
(AT_IDENTITY)
EAP-Request/AKA-Identity
EAP-Response/AKA-IdentitySHA1
Identity
PRF
MK
K
SQNRAND
f1 f2 f3 f4 f5
MAC XRES CK IK AK
AUTN := SQN Å
Generate SQN
Generate RAND
AMF
Verify RES=XRES
SHA1
Identity
PRF
MK
K
SQNRAND
f1 f2 f3 f4 f5
MAC XRES CK IK AK
AUTN := SQN AK || AMF || MAC
Generate SQN
Generate RAND
AMF
Verify RES=XRES
EAP-Request/AKA-Challenge
K_encr(128bit), K_aut(128bit), MSK(512bit), K_encr(128bit), K_aut(128bit), MSK(512bit), EMSK(512bit)
과금 기능
ACR/ACA (Accounting Request/Answer)
망 접속 사용량 data 수집 기능 (START/INTERIM/STOP, EVENT)
PSS의 망 접속에 대한 동적 세션 정보 수집
PSS의 위치 정보 수집
Accounting 지원 Types: Postpaid / Prepaid (Time/Date/Packet)
연동 기능 수집된 과금 data Mediation으로 전송
세션 정보 및 위치 정보 타 시스템(LBS, etc…)으로 전송 (Optional)
Diameter Accounting Application(1/2)
Accounting 주요기능
ACR
Pico-ACR
AAA
Billing
Accounting
Mediation
Prepaid Accounting 처리
Diameter Accounting Application(2/2)
ACR
Pico-ACR
AAA
Billing
Accounting
OCS
과금 기능
AAA의 CC Client로 OCS와 연동하여 선불 서비스 지원
Supported Prepaid Type - Time/Date/Packet
EAP 인증 성공 후 응답 메시지(DEA)을 통하여 ACR로 통보(Time-left/Packet-left/Date)
ACR에서 차감 수행
차감 정보는 Accounting 메시지를 통하여 AAA 서버(Accounting)로 전달
Menu bar, sub tree panel, server/process panel, real-time graph panel, real-time fault/event panel
Main UI Configuration
OA&M(1/2)
구분 기능 세부 내용
운영자 정합 기능운영자 인증 및 권한 관리 OA&M 사용자의 인증 및 권한 관리
운영자 관리 운영자 조회/추가/삭제
서비스 관리
서비스 구성 관리 인증서버 구성 관리(Base, Module, Peer, Route) 응용 서비스 구성 관리(EAP, Accounting) Agent Process 구성 관리
Process 관리 AAA 프로세스 제어 및 상태 관리 연동 프로세스 제어 및 상태 관리(Agent Process)
장애 관리 장애 이력 조회/경보
세션 관리 세션 조회 관리
인증원부 관리 인증원부 조회 및 추가
운영자 지원 기능 Fail-back을 위한 DPR/DWR 발행 비정상 세션에 대한 RAR(재인증)/ASR(세션종료) 발행
통계 관리 서비스 운영 관련 통계 Protocol Error 통계(Base) 인증 성공/실패 통계 및 경보
서버 관리 형상 및 장애 관리
시스템 형상 관리 및 상태 관리 시스템 장애 감지 및 복구 과부하 제어 기능 시험 기능
기타Help 기능 기능에 대한 도움말 기능
CLI Command Line Interface 기능
주요 기능
OA&M(2/2)
3 . Femto-AAA 서비스
Femto 서비스 내부 가입자는 다음과 같은 서비스 흐름에 따라 WiMax 서비스를 사용하며, 옥내/기업내부 등 분산형 인증 서비스를 사용함.
I. 내부 사용자가 Femto Cell 접속을 시도함.
II. Pico ACR 을 경유하여 Femto-AAA 에 접
속 인증을 요청함.
III. 인증을 요청한 단말 정보 및 사용자 정보
를 기반으로 가입자 인증을 수행함.
IV. 접속인증을 허가함.
V. Femto Cell 내의 내부망 서버의 서비스를
사용함.
Femto Cell 내부 사용자
Femto-AAA 서비스(1/2)
방문 사용자
방문사용자는 다음과 같은 서비스 흐름에 따라 Femto-WiMax 서비스를 사용함.
I. 방문자가 WiMax 서비스 사용을 시도함.
II. Pico ACR 을 경유하여 Femto-AAA 에 접
속 인증을 요청함.
III. 인증을 요청한 단말 정보 및 사용자 정보
를 기반으로 가입자 인증을 수행함.
IV. 인증 정보가 없으므로 코어망의 사업자
AAA로 인증요청을 relay함.
V. 사업자 AAA에서 접속인증을 허가함.
VI. 방문자는 와이브로 서비스를 통한 외부 인
터넷을 사용할 수 있으나, 방문자가 내부
망 접속을 시도하는 경우, (iii) 과정에서 내
부망 사용 권한을 부여받지 못하였으므로,
내부망 접근이 거부됨.
Femto-AAA 서비스(1/2)
4 . System Configuration
Dual Configuration
ACR
Pico-ACR
AuthenticationAuthorizationAccounting
DUAL AAA SERVER
AAA 서버와 DBMS를 동일 서버에 구성
ACR에서 Primary AAA Fail 시 Secondary AAA로 절체하여 재 연결 후메시지 전송
AAA server operation : Active-Active or Active-Standby
DB REPLICATION DB Replication을 통한 이중화 지원
- 가입자 DB, Key DB, 세션 DB
MMDB
MMDB
Replication
AAA #1 ACTIVE(Primary)
AAA #2 ACTIVE(Secondary)
L2
ACR
Pico-ACR
AuthenticationAuthorizationAccounting
MULTI CONFIGURATION
AAA 서버와 DBMS를 별도의 서버로 구성
L4 Switch : SLB, Health-check에 의한 Failover-Failback
VIP (Virtual IP) : ACR에서 Authentication/Accounting 메시지 요청
AAA 서버 및 DB 서버는 All active 구조
DB SERVER DB Replication을 통한 이중화 지원
가입자 DB, Key DB와 세션 DB를 별도의 서버로 구성
AAA #1
AAA #N
Dual and Multi Configuration
L4
AAA #2
…
L2
MMDB
MMDB
Replication
가입자 DB #1
가입자 DB #2
MMDB
MMDB
Replication
세션 DB #1
세션 DB #2
MMDB
MMDB
Replication
KEY DB #1
KEY DB #2
AAA Server Specification
AAA S/W Configuration
S/W Remark
Diameter AAA
• Diameter Base Protocol Diameter protocol stack
• Diameter EAP Application Subscriber authentication and authorization
• Diameter Accounting Application Accounting
OA&M • Diameter OA&M OA&M module handling
DB• Subscriber Profile DB
• Session DB
Subscriber DB which authentication refers
Storing authentication session
구 분 Spec. Remark
H/WCPU 1GHz * 2Ea 이상
Diameter AAA server- Base/EAP/Accounting- DB Server- OA&MMemory 최소 2GB 이상
S/W
O/S UNIX/Linux AIX, Solaris, Linux
DBMMDB (Altibase 3 or 4)
Subscriber profile / Session DB / OA&M data 관리RDBMS
Compiler Over GCC 2.95.3 GCC Compiler
OpenSSL over OpenSSL-0.9.7b EAP-TLS, EAP-TTLS authentication encryption
Parser XML Parser Library XML Parser Diameter message Parsing Utility
System Specification