AAA 프로토콜의 정의
- 불법적인 네트워크 서비스 사용을 방지하고자 사용자 인증, 권한제어, 과금을 위해 다양한 네트워크 기술과 플랫폼에 대한 개별 규칙들을 조회시키기 위한 프레임 워크
- 로밍 가입자의 경우 AAA 서버는 로밍 가입자의 사업자 망 AAA 서버로 해당 메시지를 전달하는 Proxy 기능을 수행
DIAMETER AAA의 이해
- 복잡한 Inter-Domain 응용 서비스를 지원하기 위하여 기존의 PPP와 로밍, Mobile IP의 AAA 서비스를 지원하기 위한 Peer 기반 AAA 프로토콜
주요 기능
- Authentication (인증)
-
사용자가 네트워크 접속을 하기전에 사용자의 신원 확인
-
계정/패스워드, Challenge and Response, 암호화의 기능을 제공
-
망 접근을 시도하는 가입자 또는 단말의 Identity를 확인
- Accounting (과금)
-
사용자의 자원 사용에 대한 정보를 수집하여 과금, 감사, 보고서 기능을 제공
-
사용자 계정, 서비스 사용 시작시간/종료시간, 사용한 명령어, 네트워크 트래픽량 등의 정보를 포함
-
사용 시간 패킷수, QOS 정보, 발신 위치등 망 자원의 사용정보와 이력을 수집
- Authorization (인가)
-
네트워크 접속이 허가된 사용자에게 사용가능한 접근 권한 정의
-
사용자의 권한 정보는 NAS나 원격 AAA 서버의 데이터베이스에 저장
-
One-time 인가, 서비스별 허가, 계정별 프로파일, 그룹별 허가 등의 접근제어 방법을 제공
-
가입자 DB에 연동, 가입자나 단말에 허가된 서비스와 QOS 등의 정보를 제공
DIAMETER AAA 프로토콜 형식 및 동작원리
- 헤더 형식
- 헤더 설명
DIAMETER AAA 프로토콜의 동작원리
1. AAA 서버가 부팅되었을 경우 그 사실을 알리기 위해 DIAMETER Peer에게 Device-Reboot-Ind(DRI)를 보냄
2. 사용자가 망을 사용하고자 할 때 DIAMETER 클라이언트는 로컬 서버에 인증 및 인가 요청을 보냄, 이때 Session-ID AVP를 포함하며 이 Session ID는 그 사용자의 세션에서 이후의 권한 검증과 과금 메시지에서 사용
3. 더 이상 세션이 필요 없을 경우 Seesion-Terminate-Request (STR)와 Session-Terminate-Answer (STA)에 의해서 세션을 종료
DIAMETER AAA 메시지 라우팅 및 AAA 프로토콜간 비교
- DIAMETER AAA 메시지 라우팅
- DIAMETER AAA 브로커 기반 라우팅에 대한 그림
- MIAMETER는 로밍과 Mobile IP망을 지원하기 위한 목적으로 만들어짐
- Mobile Node가 Foregin 네트워크로 접속을 시도할 경우 Foreign 네트워크의 Diameter 서버와 Home Network의 Diameter 서버의 연동을 통한 인증 수행
- 각 DIAMETER 서버는 AAA 기능을 수행하기 위한 Broker의 Peer로 동작
- DIAMETER 서버와 Broker 사이의 통신은 Broker가 CA(Certificate Authority)역활을 수행하여 안전한 연결상에서 동작함
- AAA 프로토콜간 비교
참조 URL
http://www.jidum.com/jidums/view.do?jidumId=619
https://kjs1981.tistory.com/entry/AAAAuthentication-Authorization-and-Accounting-%EA%B0%9C%EB%85%90