1. AAA(Authentication, Authorization, Accounting)의 정의
NAS에 접속하는 가입자에 대한 인증(Authentication)을 통해
가입자에게 주어진 권한 레벨을 검증(Authorization)하고
가입자의 사용량(UDR)을 NAS로부터 전달 받아
과금(Accounting) 기능을 수행하는 기반 구조 서비스 또는 프로토콜
SCTP(Stream Control Transmission Protocol) 기반의
통신망 인증, 권한, 과금을 위한 양방향 AAA표준
2. AAA 프로토콜의 종류
|
종류 |
설명 |
|
RADIUS |
Remote Authentication Dial in User Service NAS 장비에 인증과 과금 서비스를 제공 |
|
DIAMETER |
RADIUS의 fail over, 오류처리 등의 단점 극복을 위해 만든 새로운 정보보호 프레임워크 |
가-1. RADIUS(Remote Authentication Dial in User Service)
다이얼 업 네트워킹(ADSL 등)을 통해 서버에 접속할 때
보안을 위해 사용자 이름과 암호 및 권한 등에 대해 인증하는 프로토콜.
- RADIUS 절차
Clien PC → ADSL모뎀→ 전화국의 NAS(Network Access Server) ↔ RADIUS Server
NAS 장비를 통해 사용자가 인증되고, 사용권한을 획득, 접속기록 등이 저장.
가-3. RADIUS 프로토콜의 특징
|
특징 |
설명 |
|
확장성 |
Diameter 프로토콜은 Base 프로토콜 위에 새로운 응용, 커맨드 및 AVPs(Attribute Value Pairs)의 추가를 통하여 확장성 제공 |
|
보안기능 및 전송보장 |
TLS(Transport Layer Security) / IPSec(IP Security)를 이용하여 전송계층의 Hop-by-Hop보안(IPv6) 제공 TLS를 통한 End-to-End 보안제공 |
|
연결 신뢰성 |
TCP , SCTP(Stream Control Transmission Protocol) 사용으로 안전하고 신회성있는 메시지 전송 프로토콜 사용자 요구가 없어도 메시지 전송가능(과금이나 연결종료 통보가능하여 과금의 99%까지 회수가능) |
|
기존AAA프로토콜 한계극복 |
RADIUS 주소공간 256쌍으로 제한, Diameter는 32bit 주소공간 |
|
호환성 |
기존 RADIUS 프로토콜의 변환을 통한 호환성 제공 |
|
세션관리 |
서버의 초기화(Initiate) 메시지를 통해 AAA서버가 NAS에게 특종 세션의 종료나 재인증, 재권한 메시지메 Next-Hop의 Peer로 재전송(Proxy 분산환경 적합) |
※ Next-hop : 패킷이 특정목적지로 가기 위해 거쳐야하는 어트리뷰트가 Next-hop 이라하고 이 IP를 Next Hop Address 라함.
나. RADIUS 한계를 극복한 차세대 AAA 프로토콜, DIAMETER
기존의 RADIUS보다 전송계층, Proxy환경, 세션관리 및 보안측면 등에서 한층 개선되고
확장성(초기 Dial-up PPP, Terminal Server, Mobile IP, Wireless 등 지원)있는 프로토콜.
나-1. DIAMETER의 등장배경(RADIUS의 지원미비)
- Attribute 데이터 크기의 제약
- 동시에 통신할 수 있는 메세지 수의 제약
- 서버 장애에 대한 제한된 감지
- 서버로의 메세지 흐름을 제어할 수 없음.
- 비효율적인 서버 절체(fail-over)
- Proxy 환경에서 RADIUS 서버의 비효율적인 사용
- Replay 공격 가능
- Hop-by-Hop 보안만 지원하고 end-to-end 보안 미지원
나-2. DIAMETER과 RADIUS의 비교
|
구분 |
RADIUS |
DIAMETER |
|
특징 |
Client-Server Model 사용자의 비밀번호만 암호화 |
PKI 인증 Broker 기반의 Peer to Peer 모델 |
|
Protocol |
서버-클라이언트(단방향) |
Peer-to-Peer(양방향) |
|
전송계층 |
Connectionless(UDP) |
Connection Oriendted (TCP/SCTP) |
|
Proxy분산환경 |
부적합 재전송하지 않음 |
적합 재전송 수행 |
|
Fail Over |
비효율적이며 제한적 |
효율적인 전송계층 관리 |
|
보안기능 |
공유비밀키 종단간 보안 지원하지 않음 |
End-to-End(TLS) 전송계층(IPSec/TLS/SSL) |
|
Attribute Data Size |
255(1 Octets) - 1 Octets = 8byte |
3 Octets(2의 24승)
|
|
Concurrent Pending Messages |
4 Octets(2의 32승) | |
|
오류처리 |
Silently Discard |
모든 오류처리 지원 |
'정보관리기술사 > 디지털보안' 카테고리의 다른 글
| DRM(Digital Rights Management) (0) | 2014.09.11 |
|---|---|
| DDoS (0) | 2014.08.31 |
| SSL (0) | 2014.06.25 |
| 아이핀(i-PIN) (0) | 2014.05.31 |
| 안티 포렌식(Anti-Forensic) (0) | 2014.05.30 |
