ULC Systems Femto-AAA Solution 소개

2009

We Cultivate_ Fun and Happiness !!

1 . Femto-AAA 개요

Femto-AAA Solution(1/2)

개 요

PicoACR (Access Control Router) - 옥내/옥외망갂 이동성 관리 및 동기, 과금/통계정보 생성, IP 라우팅 및 QoS 관리, 접속제어 및 인증 등의 기능을 제공하며, femto-AAA 혹은 코어망 AAA와 연동하여 ,femto-AP 를 통해 접속한 와이브로 단말의 권한 검사 및 접속 인증을 수행함.

Femto-AP (Access Point) - 와이브로 접속 , 무선자원 관리 및 제어 , IP 라우팅 등의 기능을 제공함하며, pico-ACR과 연동하여 와이브로 무선 단말의 접속 인증 및고속 무선 접속 처리 기능을 수행함.

Femto-AAA - 기업 사용자 정보 및 기업서비스 policy 정보를 기반으로 pico-ACR을 통해 요청되는 단말에 대한 인증/권한/과금 처리 기능을 수행함. (필요한 경우RADIUS-DIAMETER 프로토콜 변홖 수행).

분산형 WiMax 서비스망

Femto-Wimax 서비스는 분산형 서비스 홖경에서 와이브로 단말기로 언제, 어디서나 고속으로 무선인터넷 접속이 가능한 서비스로, 이동통신의 femtocell 과 동일한 서비스를 제공한다.

Femto-AAA Solution(2/2)

S/W 구성

BASE 서브시스템 : DIAMETER 프로토콜 기반 인증 요청을 처리하는 기능을 제공하며, transport connection manager, peer manager, heath cheker, realm-based routing manager, job handler, callback manager, event handler, DB interface 모듈로 구성됨

AP 서브시스템 : BASE 기능을 이용하는 인증/인가/과금 기능을 제공하며, 각 응용별로 register manager, message manager, EAP-AKA/EAP-MD5/MAP-TLS, session manager, access account, service account, inter-operation interface 모듈로 구성됨

TRANS 서브시스템 : RADIUS 프로토콜 인증 요청을 DIAMETER 프로토콜로 변홖하여 처리하는 기능을 제공하며, transport connection manager, job handler, event handler, protocol converter 모듈로 구성됨

POLICY 서브시스템 : 기업 사용자 정보 관리 및 서비스 policy 정보 관리 기능을 제공하며, user manager, policy manager, inter-operation interface, DB interface 모듈로 구성됨

ULC Systems Femto-AAA 특징

특 징

독립성

RFC 3588 (Diameter Base Protocol) RFC 4072 (Diameter EAP)

EAP, Accounting, CC, MIP 응용과 BASE갂의 독립된 구조로 구성 향후 서비스 응용 추가가 용이한 구조

확장성 응용과 BASE가 분리된 구조이므로 추가 응용에 대한 확장이 용이함 특정 응용만 (ex, EAP)만 별도의 서버로 구성 가능

안정성 이중화 지원 – Primary/Secondary 구조 Database 이중화 지원 – Primary/Secondary 데이터 베이스 연결 지원 국내 K 통신 사업자의 WIBRO 서비스에 적용하여 안정적으로 운영 중

보안 및Customizing

IPSec을 통한 Hop 보안 지원 자체 기술력으로 개발하여 추가 응용 또는 서비스에 대한 완벽한

Customizing 지원

표준 Protocol

Diameter 표준 (1/2)

Diameter Protocol 표준

IETF AAA Standards

Diameter Base Protocol (RFC 3588)

AAA Transport Profile (RFC 3539)

Diameter Mobile IPv4 Application (RFC 4004)

Diameter Network Access Server (NAS) Application (RFC 4005)

Diameter Credit-Control (CC) Application (RFC 4006)

Diameter Extensible Authentication Protocol (EAP) Application (RFC 4072)

Diameter Session Initiation Protocol (SIP) Application (Draft-SIP-12 : Proposed Standard RFC)

AKA Standards

EAP for Authentication and Key Agreement (EAP-AKA)(RFC 4187)

3GPP TS 35.205 / 35.206 / 35.207/ 35.208 / 35.209 (MILENAGE Algorithm)

3GPP TS 33.909 / 33.102 / 33.105 / 33.234 (Security Aspects)

3GPP/3GPP2 IMT-2000(cdma 2000 and UMTS) suggestion

TR45.6 / TR23.923 (MIP)

TS29.229, TS29.329, TS32.225 (IMS)

WiMAX Standards

Mobile WiMAX NWG Stage 3 Release 1.0.0

WiMAX End-to-End Network Systems Architecture

bootstrapping: A WiMAX applicability example

Mobile IP

Remote Authentication Dial In User Service (RADIUS) (RFC 2865)

RADIUS Extensions (RFC 2869)

draft-nakhjiri-radius-mip4-02 RADIUS Mobile IPv4 extensions

draft-nakhjiri-pmip-key-02 EAP based Proxy Mobile IP key

IP Mobility Support (RFC 2002)

Mobile IPv4 Challenge/Response Extensions (RFC 3012)

IP Mobility Support for IPv4 (RFC 3344)

3GPP2 X.S0011-002-D cdma2000 Wireless IP Network Standard: Simple IP and Mobile IP Access Services

Cisco Mobile Wireless Home Agent Feature Guide

Cryptography

The TLS Protocol Version 1.0 (RFC 2246)

HMAC: Keyed-Hashing for Message Authentication (RFC 2104)

Test Cases for HMAC-MD5 and HMAC-SHA-1 (RFC 2202)

The MD5 Message-Digest Algorithm (RFC 1321)

US Secure Hash Algorithm 1 (SHA1) (RFC 3174)

FIPS PUB 46 Data Encryption Standard

FIPS PUB 197 ADVANCED ENCRYPTION STANDARD (AES)

PKCS #1: RSA Cryptography Standard

Diameter 표준 (2/2)

2 . WiMax AAA Solutions

WiMAX Service Network 구조

Network 구성도

ACR

ACR

Pico-ACR

AAA

Accounting, Billing

OCS

Mediation

Billing

Provisioning, Customer Care

Subscriber Mng

Key Mng

AuthenticationAuthorizationAccounting

Subscriber Info

Subscriber Key Info

Post-Paid

Pre-Paid

DIAMETER/RADIUS

DIAMETER

DIRECT DB ACCESS

DIRECT DB ACCESS

TCP

DIAMETER Base Protocol Peer (ACR)와 전송 계층 연결 후 상위 응용 계층 연결 Set-up

Diameter AAA와 Peer (ACR)사이에 인증/Accounting 메시지를 상위 응용 계층으로 송수싞 해주는Framework을 제공

Application Diameter EAP : 가입자에 대한 망 접속 서비스를 위한 인증 및 권한검증 기능을 제공

Diameter Accounting : 단말(PSS)의 망 사용에 대한 정보를 수집

Transport 지원 프로토콜 : TCP / SCTP (Option)

Security (IPSec) : Hop-by-Hop Security Support

Supporting both IPv4/IPv6

WiMAX AAA Connection Structure

AAA-ACR간 연결 구조

DIAMETER Base Protocol

EAP

TCP

IP (IPSec)

DIAMETER

Base Protocol

EAP Accounting

WIBRO/

WIMAX

NetworkTCP

Accounting

IP (IPSec)

AAA ACR

Diameter AAA 주요 기능

상 품 내 용 관련 상품

기본 접속 휴대인터넷 접속에 필요한 기본 접속 서비스 Basic, Mania

부가 접속 기본접속 서비스 + 부가가치를 높인 서비스 고정 IP, 단말 Plus

선불 한도접속 일시적 이용 서비스시간 정액제, 일 정액제, 데이터량 정액제

후불 한도접속 후불 한도 접속 서비스 후불 요금제

Femto 서비스 Femto Cell에 대한 접속서비스 및 분산형 서비스 기업용서비스

전체 가입자에 대해 특정지역, 특정일, 특정시간, 특정일/특정시간 할인 적용

시스템 네트워크 구조 : L4 이중화 및 다중화 구조/L4 Health Check/ Load Balancing/Failover-Failback

Base 엔진 구조 : L4 네트워크 구성 지원/ Peer 연결 관리/ Realm-based Routing

접속 인증(EAP) : EAP-AKA, EAP-TLS, EAP-TTLS 인증 및 다양한 인증/권한 제어, AuC 연동, 다양한 서비스 상품 지원

AuC 기능 : AAA 연동 인증벡터 처리, 키 관리

어카운팅 기능(ACCT) : Accounting 메시지 처리, 다양한 서비스 상품 처리, 접속 사용량 수집 및 과금 서버 전송, 세션과 연계된 가입자 동적 접속 정보, 위치 정보 수집

외부 연동 기능 : 과금(A-서버), 가입자 관리 ,민원 및 통계(실패 로그)

운영관리(OA&M) : 시스템 서비스 관리

주요 기능

제공 서비스

Diameter Base Protocol

Module

Application 로딩/언로딩 관리

Application 호출

Route

Local/Relay/Redirect/Proxy Routing 처리

송수싞 메시지 라우팅 관리

메시지 중복 검사 및 트랜잭션 관리

Peer

Peer State Machine 관리

Peer Watchdog State 관리

Peer Capability, Disconnect 관리

Transport

전송 계층 연결 설정 관리

Content-Health check 연결 설정 관리

Init & Destroy

설정 정보 로딩 및 초기화 관리

Destroy 관리

Base Stack 구조

Transport

전송계층 연결설정 관리

Health-Check연결설정

관리

Peer

Peer State Machine 관리

Watchdog State Machine 관리

Route

메시지 중복검사 관리 트랜잭션 관리

송/수싞 메시지 라우팅 관리

Redirect Caching관리

Module

Callback관리모듈

로딩/언로딩 관리

Diameter Application

Peer 정보 공유 관리

Peer Capability 관리

Peer Disconnect 관리

Peer Watchdog 관리

MODULE_TABLE

ROUTE_TABLE

PEER_TABLE

Init & Destroy 관리

설정 정보 로딩,초기화 관리

Destroy 관리BASE_CONFIG

PEER_CE_TABLE

Diameter EAP Application(1/3)

EAP 주요기능

ACR

Pico-ACR AAAAuthenticationAuthorization

Subscriber Info

Subscriber Key Info

인증 기능

WiMAX 망 접속 서비스를 위한 단말(PSS) 인증 기능 제공

IEEE 802.1x 기반 ID/Password, 스마트카드(USIM,UICC 등)를 포함한 다양한ID 체계 수용

Authentication Type: EAP-AKA, EAP-TLS, EAP-TTLS(MS Chap v2)

권한 검증 기능

서비스 권한 및 사용량 권한 검증 수행

- 미 가입 사용자에 대한 권한 검증 실패 처리 기능

- 분실 단말 및 Binding 단말에 대한 권한 검증 실패 처리 기능

- 기타 선/후불 Quota 만료에 대한 권한 검증 실패 처리 기능

Diameter EAP Application(2/3)

EAP 주요기능

EAP-TLS 지원

인증 서버와 사용자 서로의 인증서를 통해서 인증하는 양방향 인증 방식(RFC2716)

사용자별 Dynamic WEP Key 지원

인증서 MAC 기반 인증 지원

인증서 Chaining 기능 지원

EAP-TTLS 지원

암호화 채널을 사용하는 양방향 인증 방식

사용자별 Dynamic WEP Key 지원

클라이언트 인증 방식으로는 MS-CHAPv2 지원

Password 암호화 기능 지원 (SHA-1 or AES128)

EAP-AKA 지원

인증 백터 이용 : 상호인증(RAND/AUTN/XRES), 메시지 암호화,무결성(CK/IK)

서버에서 생성한 RAND/AUTN 값을 단말로 전송하여 망에 대한 인증을 수행

단말에서 RES 값을 생성하여 서버로 전송하여 가입자에 대한 인증

Pseudonym ID 기는 지원

기타 ACR간 이동 기능 지원

무선구간(PSS-RAS) 메시지의 무결성과 기밀성을 위한 동적 세션 키 생성

EAP-AKA authentication

Diameter EAP Application(3/3)

ACRAAA

(AT_RAND, AT_AUTN, AT_MAC)

(AT_RES, AT_MAC)

EAP-Request/AKA-Challenge

K

SQN

RAND

f1 f2 f3 f4

f5

XMAC RES CK IK

AK

SQN AK AMF MAC

AUTN

Verify AUTN

Å

SHA1

Identity

K_encr(128bit), K_aut(128bit), MSK(512bit), EMSK(512bit)

PRF

MK

XMAC = MAC ?

K

SQN

RAND

f1 f2 f3 f4

f5

XMAC RES CK IK

AK

SQN AK AMF MAC

AUTN

Verify AUTN

SHA1

Identity

K_encr(128bit), K_aut(128bit), MSK(512bit), EMSK(512bit)

PRF

MK

XMAC = MAC ?

(AT_ANY_ID_REQ)

(AT_IDENTITY)

EAP-Request/AKA-Identity

EAP-Response/AKA-IdentitySHA1

Identity

PRF

MK

K

SQNRAND

f1 f2 f3 f4 f5

MAC XRES CK IK AK

AUTN := SQN Å

Generate SQN

Generate RAND

AMF

Verify RES=XRES

SHA1

Identity

PRF

MK

K

SQNRAND

f1 f2 f3 f4 f5

MAC XRES CK IK AK

AUTN := SQN AK || AMF || MAC

Generate SQN

Generate RAND

AMF

Verify RES=XRES

EAP-Request/AKA-Challenge

K_encr(128bit), K_aut(128bit), MSK(512bit), K_encr(128bit), K_aut(128bit), MSK(512bit), EMSK(512bit)

과금 기능

ACR/ACA (Accounting Request/Answer)

망 접속 사용량 data 수집 기능 (START/INTERIM/STOP, EVENT)

PSS의 망 접속에 대한 동적 세션 정보 수집

PSS의 위치 정보 수집

Accounting 지원 Types: Postpaid / Prepaid (Time/Date/Packet)

연동 기능 수집된 과금 data Mediation으로 전송

세션 정보 및 위치 정보 타 시스템(LBS, etc…)으로 전송 (Optional)

Diameter Accounting Application(1/2)

Accounting 주요기능

ACR

Pico-ACR

AAA

Billing

Accounting

Mediation

Prepaid Accounting 처리

Diameter Accounting Application(2/2)

ACR

Pico-ACR

AAA

Billing

Accounting

OCS

과금 기능

AAA의 CC Client로 OCS와 연동하여 선불 서비스 지원

Supported Prepaid Type - Time/Date/Packet

EAP 인증 성공 후 응답 메시지(DEA)을 통하여 ACR로 통보(Time-left/Packet-left/Date)

ACR에서 차감 수행

차감 정보는 Accounting 메시지를 통하여 AAA 서버(Accounting)로 전달

Menu bar, sub tree panel, server/process panel, real-time graph panel, real-time fault/event panel

Main UI Configuration

OA&M(1/2)

구분 기능 세부 내용

운영자 정합 기능운영자 인증 및 권한 관리 OA&M 사용자의 인증 및 권한 관리

운영자 관리 운영자 조회/추가/삭제

서비스 관리

서비스 구성 관리 인증서버 구성 관리(Base, Module, Peer, Route) 응용 서비스 구성 관리(EAP, Accounting) Agent Process 구성 관리

Process 관리 AAA 프로세스 제어 및 상태 관리 연동 프로세스 제어 및 상태 관리(Agent Process)

장애 관리 장애 이력 조회/경보

세션 관리 세션 조회 관리

인증원부 관리 인증원부 조회 및 추가

운영자 지원 기능 Fail-back을 위한 DPR/DWR 발행 비정상 세션에 대한 RAR(재인증)/ASR(세션종료) 발행

통계 관리 서비스 운영 관련 통계 Protocol Error 통계(Base) 인증 성공/실패 통계 및 경보

서버 관리 형상 및 장애 관리

시스템 형상 관리 및 상태 관리 시스템 장애 감지 및 복구 과부하 제어 기능 시험 기능

기타Help 기능 기능에 대한 도움말 기능

CLI Command Line Interface 기능

주요 기능

OA&M(2/2)

3 . Femto-AAA 서비스

Femto 서비스 내부 가입자는 다음과 같은 서비스 흐름에 따라 WiMax 서비스를 사용하며, 옥내/기업내부 등 분산형 인증 서비스를 사용함.

I. 내부 사용자가 Femto Cell 접속을 시도함.

II. Pico ACR 을 경유하여 Femto-AAA 에 접

속 인증을 요청함.

III. 인증을 요청한 단말 정보 및 사용자 정보

를 기반으로 가입자 인증을 수행함.

IV. 접속인증을 허가함.

V. Femto Cell 내의 내부망 서버의 서비스를

사용함.

Femto Cell 내부 사용자

Femto-AAA 서비스(1/2)

방문 사용자

방문사용자는 다음과 같은 서비스 흐름에 따라 Femto-WiMax 서비스를 사용함.

I. 방문자가 WiMax 서비스 사용을 시도함.

II. Pico ACR 을 경유하여 Femto-AAA 에 접

속 인증을 요청함.

III. 인증을 요청한 단말 정보 및 사용자 정보

를 기반으로 가입자 인증을 수행함.

IV. 인증 정보가 없으므로 코어망의 사업자

AAA로 인증요청을 relay함.

V. 사업자 AAA에서 접속인증을 허가함.

VI. 방문자는 와이브로 서비스를 통한 외부 인

터넷을 사용할 수 있으나, 방문자가 내부

망 접속을 시도하는 경우, (iii) 과정에서 내

부망 사용 권한을 부여받지 못하였으므로,

내부망 접근이 거부됨.

Femto-AAA 서비스(1/2)

4 . System Configuration

Dual Configuration

ACR

Pico-ACR

AuthenticationAuthorizationAccounting

DUAL AAA SERVER

AAA 서버와 DBMS를 동일 서버에 구성

ACR에서 Primary AAA Fail 시 Secondary AAA로 절체하여 재 연결 후메시지 전송

AAA server operation : Active-Active or Active-Standby

DB REPLICATION DB Replication을 통한 이중화 지원

- 가입자 DB, Key DB, 세션 DB

MMDB

MMDB

Replication

AAA #1 ACTIVE(Primary)

AAA #2 ACTIVE(Secondary)

L2

ACR

Pico-ACR

AuthenticationAuthorizationAccounting

MULTI CONFIGURATION

AAA 서버와 DBMS를 별도의 서버로 구성

L4 Switch : SLB, Health-check에 의한 Failover-Failback

VIP (Virtual IP) : ACR에서 Authentication/Accounting 메시지 요청

AAA 서버 및 DB 서버는 All active 구조

DB SERVER DB Replication을 통한 이중화 지원

가입자 DB, Key DB와 세션 DB를 별도의 서버로 구성

AAA #1

AAA #N

Dual and Multi Configuration

L4

AAA #2

…

L2

MMDB

MMDB

Replication

가입자 DB #1

가입자 DB #2

MMDB

MMDB

Replication

세션 DB #1

세션 DB #2

MMDB

MMDB

Replication

KEY DB #1

KEY DB #2

AAA Server Specification

AAA S/W Configuration

S/W Remark

Diameter AAA

• Diameter Base Protocol Diameter protocol stack

• Diameter EAP Application Subscriber authentication and authorization

• Diameter Accounting Application Accounting

OA&M • Diameter OA&M OA&M module handling

DB• Subscriber Profile DB

• Session DB

Subscriber DB which authentication refers

Storing authentication session

구 분 Spec. Remark

H/WCPU 1GHz * 2Ea 이상

Diameter AAA server- Base/EAP/Accounting- DB Server- OA&MMemory 최소 2GB 이상

S/W

O/S UNIX/Linux AIX, Solaris, Linux

DBMMDB (Altibase 3 or 4)

Subscriber profile / Session DB / OA&M data 관리RDBMS

Compiler Over GCC 2.95.3 GCC Compiler

OpenSSL over OpenSSL-0.9.7b EAP-TLS, EAP-TTLS authentication encryption

Parser XML Parser Library XML Parser Diameter message Parsing Utility

System Specification