AAA

개념
AAA(Authentication Authorization Accounting) 프로토콜의 정의 - 불법적인 네트워크 서비스 사용을 방지하고자 사용자 인증, 권한제어, 과금을 위해 다양한 네트워크 기술과 플랫폼들에 대한 개별 규칙들을 조화시키기 위한 프레임워크

Ⅰ. DIAMETER AAA의 이해

가. AAA(Authentication Authorization Accounting) 프로토콜의 정의

- 불법적인 네트워크 서비스 사용을 방지하고자 사용자 인증, 권한제어, 과금을 위해 다양한 네트워크 기술과 플랫폼들에 대한 개별 규칙들을 조화시키기 위한 프레임워크

 

나. DIAMETER AAA 프로토콜의 정의

- 복잡한 Inter-domain 응용 서비스를 지원하기 위하여 기존의 PPP와 로밍, Mobile IP 의 AAA 서비스를 지원하기 위한 Peer 기반의 AAA 프로토콜

 

다. DIAMETER AAA의 주요기능

주요기능

설 명

Authentication

-사용자가 네트워크 접속을 하기하기 전에 사용자의 신원 확인

-계정/패스워드, Challenge and Response, 암호화의 기능을 제공

Authorization

-네트워크 접속이 허가된 사용자에게 사용가능한 접근권한 정의

-사용자의 권한 정보는 NAS나 원격의 AAA서버의 데이터베이스에 저장됨

-One-time 인가, 서비스별 허가, 계정별 프로파일, 그룹별 허가 등의 접근제어 방법을 제공함

Accounting

-사용자의 자원 사용에 대한 정보를 수집하여 과금, 감사, 보고서 기능을 제공

-사용자 계정, 서비스 사용 시작시간/종료시간, 사용한 명령어, 네트워크 트래픽량 등의 정보를 포함함

 

Ⅱ. DIAMETER AAA 프로토콜 형식 및 동작원리

가. DIAMETER AAA 헤더 형식

그림 6 DIAMETER 헤더 형식 (출처: ETRI, DIAMETER 프로토콜)

 

구성요소

크기

설 명

RADIUS PCC

1 Octet

-RADIUS Packet Compatibility Code (PCC)

-RADIOUS와의 호환성을 유지하기 위하여 사용됨

Flags

5 Bit

-현재는 사용되지 않고, 반드시 0으로 설정되어야 함

Version

3 Bit

-DIAMETER 버전 1을 나타내기 위해 1로 설정됨

Message Length

2 Octet

-헤더 필드를 포함한 DIAMETER 메시지의 길이를 표시함

Identifier

4 Octet

-송신측이 보내는 메시지를 유일하게 구별하는 데 사용됨

-요구와 응답을 매칭시키기 위해서 사용됨

AVPs

 

-DIAMETER 메시지에 관련된 정보를 Encapsulation하는 방법

-요구와 응답 같은 메시지 형식 표현

-인증, 과금 및 권한검증정보, 보안정보를 송수신하는데 사용됨

 

나. DIAMETER AAA 프로토콜의 동작원리

 

 그림 7 DIAMETER 상태 천이도(출처: ETRI, DIAMETER 프로토콜)

 

1) AAA서버가 부팅되었을 경우 그 사실을 알리기 위해 DIAMETER Peer에게 Device-Reboot-Ind(DRI)를 보냄

2) 사용자가 망을 사용하고자 할 때 DIAMETER 클라이언트는 로컬 서버에 인증 및 인가 요청을 보냄, 이때 Session-ID AVP를 포함하며 이 Session ID는 그 사용자의 세션에서 이후의 권한 검증과 과금 메시지에서 사용됨

3) 더 이상 세션이 필요 없을 경우 Session-Terminate-Request(STR)와 Session-Terminate-Answer(STA)에 의해서 세션을 종료함

 

Ⅲ. DIAMETER AAA 메시지 라우팅 및 AAA 프로토콜간 비교

가. DIAMETER AAA 메시지 라우팅

그림 8 DIAMETER AAA 브로커기반 라우팅

 

-DIAMETER는 로밍과 Mobile IP망을 지원하기 위한 목적으로 만들어 짐

-이동단말(Mobile Node)이 Foreign 네트워크로 접속을 시도할 경우 Foreign 네트워크의 Diameter서버와 Home Network의 Diameter서버의 연동을 통한 인증 수행

-각 DIAMETER서버는 AAA 기능을 수행하기 위한 Broker의 Peer로 동작함

-DIAMETER서버와 Broker사이의 통신은 Broker가 CA(Certificate Authority)역할을 수행하여 안전한 연결상에서 동작함

 

  1. AAA프로토콜간 비교

항목

RADIUS

TACACS+

DIAMETER

프로토콜 구조

서버-클라이언트

(단방향)

서버-클라이언트

(단방향)

Peer-to-Peer

(양방향)

전송계층

UDP

TCP

TCP/SCTP

인증과 권한정보

결합된 메세지로 전달

분리된 메세지로 전달

분리된 메시지로 전달

패킷 암호화

패스워드만 암호화

패킷 전체 암호화

패킷 전체 암호화

보안기능

공유 비밀키

공유비밀키

End-to-End (TLS)

전송계층(Psec/TLS)

오류처리

Silently Discard

Silently Discard

모든 오류 처리 지원

Failover 기능 제공

Proxy 분산환경

지원하지 않음

지원하지 않음

매우 적합함

 

 

댓글