안녕하세요! 넷매니아즈 블로그입니다.
오늘은 3GPP 표준에서 얘기하고 있는 LTE망과 Wi-Fi망 간에 연동 구조에 대해서 살펴 보도록 하겠습니다.
3GPP에서 얘기하는 Trusted, Untrusted Network이란?
3GPP에서 규정하고 있지 않은(표준화 하지 않은) WiBro나 Wi-Fi 액세스망을 Non-3GPP 망이라 부르고, 이 Non-3GPP 망은 "Trust"일 수도 있고 "Untrust"일 수도 있습니다.
여기서 Trust와 Untrust의 기준은 보안(Security) 수준 입니다. 즉, 3GPP Core(EPC)망과 연동할 Non-3GPP 액세스망의 보안 수준이 믿을만 하면 "Trust"이고, 그렇지 않으면 "Untrust"로 분류하고 있습니다. 그리고 그에 따라 연동 규격을 달리 하고 있습니다.
- WiBro 액세스망의 경우 가입자가 WiBro 망에 접속하기 위해서는 인증(EAP-TLS/TTLS/AKA 등)을 받아야 하고, 인증 후 단말(MS)와 기지국(RAS)간에 주고 받는 트래픽은 모두 암호화(Encryption) 및 무결성 보호(Integrity Protected)되어 전송됩니다. 따라서 3GPP에서는 WiBro 액세스망은 보안이 훌륭하니 "Trust"라 정의합니다.
- 반면 Wi-Fi 액세스망의 경우 EAP 기반(EAP-TLS/TTLS-AKA 등)으로 인증을 하고 또한 TKIP/AES 알고리즘을 통해 단말(STA)과 AP간 트래픽을 암호화 및 무결성 보호 할 수도 있지만, 웹인증/무인증의 경우 무선 구간 암호화/무결성 보호를 하지 못합니다. 그래서 3GPP에서는 Wi-Fi 액세스망은 보안이 안될 수도 있으니 "Untrust"라 규정하고 있습니다.
아래 글은 Trust/Untrust에 대한 내용을 책에서 발췌한 것인데요. 한번 읽어 보세요.
|
3.1.5 Interworking between 3GPP access technologies and non-3GPP access technologies
What is a 'trusted' and a 'non-trusted' access network?
Simply put, this is really an indicator on if the 3GPP operator (owning the PDN GW and the HSS) trust the security of the non-3GPP access network. A typical 'trusted' network may be an eHRPD network, while a 'non-trusted' network may be, for example, usage of WLAN(Wi-Fi) in a public cafe and connecting to the PDG GW over the public Internet.
7.3.5 Access security in untrusted non-3GPP access
WLAN can be used in many scenarios, for example, in corporate environments, in the home or in public places such as airports and coffee shops. The level of security provided by a WLAN access also differs between deployments. For home and corporate use, WLAN security solutions such as WEP and WPA are often used. In public places it is, however, more common to turn WLAN security off completely. Instead access control is provided by the means of a web page where the user can enter a username and a password. The user may for example, have received a username and password for a temporary subscription at the same time he or she bought a cup of coffee. Once the user has entered the credentials on the web page, Internet access is provided. The WLAN access does in this case not provide any encryption or integrity protection of the user plane and is vulnerable to many types of attacks. In such deployments, WLAN access to EPS will therefore most likely be handled as an un-trusted non-3GPP access. In other deployments with WLAN security turned on, WLAN might be treated as a trusted access
|
|
출처: Magnus Olsson, SAE and the Evolved Packet Core: Driving the Mobile Broadband Revolution, 2009, Elsevier
여기서 잠깐! 넷매니아즈 블로그에서는 "LTE"란 용어를 LTE 망을 구성하는 전체 엔터티 즉, EPS와 동의어의 의미로 사용하고 있지만 엄밀히 따지면 아래와 같이 구분이 됩니다.
- LTE = E-UTRAN: 관련 엔터티는 eNB
- EPC = SAE: 관련 엔터티는 S-GW, P-GW, MME, HSS, PCRF, OCS, OFCS 등
- EPS = LTE(E-UTRAN) + EPC(SAE)
3GPP에서 규정한 연동 구조
아래는 3GPP TS 23.402에 나와 있는 EPS와 Non-3GPP 액세스 네트워크의 연동 구조를 보여 주고 있습니다. 그림 상에서 S2a 인터페이스가 WiBro와 같은 "Trusted Non-3GPP Access 망"과의 연동이고, S2b 인터페이스가 오늘 말씀드릴 Wi-Fi와 같은 "Untrusted Non-3GPP Access 망"과의 연동입니다. (Wi-Fi 연동을 위한 엔터티만 색을 입힘)
기존 EPS 엔터티 외에 Wi-Fi 액세스망과의 연동을 위해 ePDG와 3GPP AAA가 추가 되었고, 새로 추가된 엔터티와 기존 EPS 노드간에 인터페이스가 정의 되었습니다.
ePDG의 역할은 보안(Security)상 문제가 있는 Untrust 액세스망을 "Trust"하게 만들고자, UE와 ePDG간에(이 둘 사이에 Untrust한 망 즉, Wi-Fi망이 위치함) 인증(EAP-AKA)을 하고 터널(IPSec)을 생성 하는 것입니다. 그리고 이를 통해 Trust하게 된 UE는 ePDG를 거쳐 EPC(P-GW)로 연결시켜 주는 것입니다.
여기서 잠깐. 그림 상에서 ePDG와 PCRF간 Gxb 인터페이스에 대해 3GPP 표준에서 다음과 같이 기술하고 있습니다.
"This interface is not specified within this release of the specification"
그래서 본 글에서 요 인터페이스에 대한 설명은 없습니다.
넷매니아즈 스타일로 다시 그리면...
이제 3GPP의 연동 그림을 넷매니아즈 스타일로 재구성 해 보겠습니다. 훨씬 보기 좋죠? ^^*
1. UE
UE는 2개의 안테나(LTE 및 Wi-Fi)를 가지고 있는 Dual-Radio 기능이 있는 단말입니다. Dual-Radio라 함은 이기종 망(LTE & Wi-Fi)간에 핸드오버를 위해 2개의 안테나를 동시에 키고 있을 수 있다는 의미입니다.
2. UE가 LTE 망에 접속
LTE 네트워크 구조는 여기를 클릭하셔서 그 내용을 참조하시고, 본 글에서는 간단히 넘어 가겠습니다.
2.1 LTE 망에 접속
- Authentication: EPS-AKA를 통해 상호인증(UE도 LTE 망을 인증하고, LTE 망도 UE를 인증)을 하기 위해 MME는 HSS로 부터 인증 정보를 가지고 와서 UE(UE의 경우 USIM에 이미 인증 정보가 들어있음)와 인증 절차를 밟습니다.
- Security Setup: 인증이 성공하면 UE와 eNB간 무선 구간에서 주고 받는 패킷은 모두 암호화 및 무결성 체크를 통해 보호됩니다.
- IP Allocation: P-GW는 UE에게 IP 주소를 할당합니다.
- EPS Session Establishment: UE를 위한 GTP 터널(eNB와 S-GW 구간 & S-GW와 P-GW 구간)이 생성됩니다.
2.2 사용자 데이터 흐름
- UE가 보낸 데이터는 무선 구간을 통해 eNB가 수신하고, eNB는 GTP 터널을 통해 UE 패킷을 S-GW로 보내고, S-GW는 GTP 터널을 통해 P-GW로 보냅니다. 그리고 P-GW는 GTP 터널 헤더를 제거하고 인터넷(= PDN = IP망)으로 패킷을 포워딩합니다.
- 반대로 인터넷에서 P-GW로 패킷이 들어온 경우도 P-GW와 S-GW간에 GTP 터널, S-GW와 eNB간에 GTP 터널을 거쳐 UE로 패킷이 전달됩니다.
3. UE가 Wi-Fi 망에 접속
3.1 Wi-Fi 망에 접속
- 앞서 설명드린 바와 같이 Wi-Fi 망은 EAP 기반으로 가입자 인증을 할 수도 있고 웹인증/무인증일 수도 있습니다. EAP 기반의 인증인 경우, UE는 AP를 거쳐 3GPP AAA와 EAP-AKA 프로토콜로 인증을 합니다.
- Wi-Fi망 인증(무인증) 절차가 끝나면 UE에 IP 주소가 할당 되는데 그 주소는 AP가 줄 수도 있고, 위 그림과 같이 별도 DHCP 서버를 통해 줄 수도 있습니다. (DHCP 서버가 별도 존재하는 경우, AP는 DHCP Relay로 동작)
3.2 UE와 ePDG간에 IPSec 터널 생성 & ePDG와 P-GW간에 GRE 터널 생성
- Wi-Fi 망 접속절차가 끝나면 이제 UE는 IKEv2 프로토콜을 통해 ePDG와 IPSec 터널을 생성합니다. 터널 생성 과정에서 UE는 ePDG를 거쳐 3GPP AAA와 EAP-AKA로 상호 인증을 하게 되고(MME와 마찬가지로 3GPP AAA는 HSS로 부터 UE 인증 정보를 가져와서 인증 수행) 또한 ePDG는 UE가 보낸 AUTH값으로 UE를 인증합니다.
- ePDG는 P-GW와 PMIPv6(Proxy Mobile IPv6) 프로토콜을 통해 GRE 터널을 생성합니다.
3.3 사용자 데이터 흐름
- UE는 IPSec 터널을 통해 패킷을 전송하면(IPSec 터널 헤더를 달아 전송하면) 그 패킷은 Wi-Fi AP를 거쳐 ePDG로 전달됩니다. ePDG는 IPSec 터널 헤더 제거 후 P-GW로 GRE 터널을 통해 패킷을 전달하면, P-GW는 GRE 터널 헤더 제거 후 인터넷(= PDN = IP망)으로 패킷을 포워딩합니다.
- 반대로 인터넷에서 P-GW로 패킷이 들어온 경우도 P-GW와 ePDG간에 GRE 터널, ePDG와 UE간에 IPSec 터널을 통해 UE로 패킷이 전달됩니다.
Protocol Stack
아래 그림은 UE, ePDG, P-GW간에 Signaling을 수행하는 Control Plane과 유저 데이터가 흐르는 Data Plane의 Protocol Stack을 보이고 있습니다.
Control Plane
- UE와 ePDG: IKEv2 (Internet Key Exchange version 2)
- ePDG와 P-GW: PMIPv6 (Proxy Mobile IP version 6)
Data Plane
- UE와 ePDG: IPSec Tunnel
- ePDG와 P-GW: GRE Tunnel
MAG(Mobile Access Gateway)와 LMA(Local Mobility Anchor)는 PMIPv6에서 나오는 용어로 MAG는 단말(UE)을 대신하여 Mobile IP 프로토콜을 수행하는(대신해 준다는 의미로 Proxy Mobile IP임. 단말에서 Mobile IP 프로토콜을 수행하는 경우는 Client Mobile IP라 부름) 노드이고, LMA는 Mobile IPv4에서의 HA(Home Agent)와 같이 IP Anchoring을 해 주는 노드입니다.
즉, 이 그림상에서는 ePDG가 UE를 대신해 Mobile IP를 수행하고 P-GW가 IP Anchor가 되는 것입니다.
[기존] UE에서 HSS로 EPS-AKA/EAP-AKA 연결을
[수정] UE에서 MME로 EPS-AKA, UE에서 3GPP AAA로 EAP-AKA로 변경
이게 개념적으로 더 맞는 듯 해서요.
감사합니다.
현재 Visio 2010도 있지만 전 예전 버젼이 손에 익어 2003을 사용하고 있답니다.
그리고 그림상에 Network Entity 아이콘도 직접 만든거랍니다.
"ePDG는 P-GW와 PMIPv6(Proxy Mobile IPv6) 프로토콜을 통해 GRE 터널을 생성합니다."
ePDG는 MAG, P-GW는 LMA란 의미인가요? >> 죄송합니다^^, 바로 밑 그림에 있군요..
그치만, 터널은 IPinIP도 가능하지만, KT는 GRE를 사용하나요?
근데, ePDG가 pmip을 쓸만큼 자주 변경되나요?
- Release 9까지는 PMIPv6를 이용하여 GRE 터널링을 하구요 (IPinIP는 없는 것 같은데요.. 혹시 이와 관련된 3GPP 스펙을 아시면 좀 알려주세요)
- Release 10부터는 GTP-C를 이용하여 GTP-U 터널링(그냥 GTP 터널이라고들 하지요)도 지원하게 되었습니다.
그리고 현재 국내 통신사업자의 상황은(아주 최근 정보는 아니구요)
- LG U+는 국내 인스프리트(http://www.in-sprit.com/kr/content/main/index.php )의 ePDG를 도입하였고 (관련 기사:
http://news.inews24.com/php/news_view.php?g_menu=022100&g_serial=601248 )
- KT나 SKT는 아직 ePDG가 도입되지 않은 것으로 압니다.
그리고 LG U+가 도입한 ePDG도 P-GW와 연동을 통해 LTE/Wi-Fi 핸드오버를 하는 목적이 아니고,
LG U+에서 제공하는 서비스를 이용하고자 하는 사용자가 Wi-Fi 망에 붙었을 경우 보안을 위해 ePDG와 IPSec 터널을 뚫은 것으로 알고 있습니다. 즉, UE - WiFi AP - ePDG - LG U+ 서비스 서버
"즉, LG U+도 현재는 ePDG와 P-GW간에 터널은 없다"입니다.
그리구요. 사용자가 Wi-Fi 망을 통해 ePDG와 연결되고, ePDG와 P-GW간에 터널링되면,
단말이 LTE로 핸드오버를 하거나 전원을 끄기 전에는 ePDG가 변경되지 않습니다.
따라서 ePDG와 P-GW간에 PMIPv6는 ePDG의 변경을 위함이라기 보다는 터널링의 목적으로만 사용된다고 보셔도 될 것 같은데요.
1.LTE네트워크에서 s5/s8인터페이스에서 GTPv2대신에 PMIPv6를 사용하는 경우에 시험하는 방법이 있는지 궁금합니다.일반적인 attach,detach등으로 시험을 하는것인지? 아니면 다른 시험 시나리오 또는 방안이 있는지요?
2.PMIP을 전송하는 경우에 일반적으로 IPv4를 쓰는지 아니면 IPv6를 사용하는 궁금하고요 이와 관련하여
어떤 프로시저가 있는지요? 아니면 규격집이 있으면 알려주시면 감사드리겠습니다.
즉답을 못드려 안타깝네요.
넷매니아즈 회원분들 중에 LTE 전문가들이 꽤 계시니 "자유게시판(https://www.netmanias.com/ko/?m=board&id=qna )"에 질문을 올려 보시기 바랍니다.
그래서 "Untrusted Non-3GPP IP Access"와의 연동 규격을 찾아 보시면 되구요.
제가 참고한 문서는 아래와 같습니다.
- TS 23.402 Architecture enhancements for non-3GPP accesses (본 글 첫번째 그림이 있는 규격으로 일단 이 문서에 S2b 인터페이스를 보셔요)
즉 위 그림에서 ePDG와 PGW는 Network Based Protocol인 PMIPv6를 쓰고 있는데요.
IFOM을 쓰게되면 PGW와 UE간에 Host Based Protocol인 DSMIPv6를 사용해서 Direct로 Tunneling 할 수 있어서, ePDG를 사업자가 deploy이 하지 않아도 되는 것 처럼 보여서요.
이외에 Trusted WLAN 을 LTE망에 연동시키기 위한 게이트웨이로 TWAG도 있습니다.
즉, ePDG, TWAG등은 LTE Access 망(eNB/SGW/PGW)이 아닌 타 망을 LTE의 종단인 PGW 아래에 둬서
LTE 단말이 꼭 LTE Access를 쓰지 않아도 LTE의 관할 하에서 LTE에 준하는 서비스 체계(인증, 이동성등)를
제공하기 위한 용도로 사용됩니다.
IFOM은 위의 구조를 응용한 것으로 위와 같이 다수의 억세스망을 PGW 휘하에 둔 조건에서
사용자의 서비스 트래픽을 성향에 맞게 이종망으로 분산하는 방법을 고려하여 만들어진 것입니다.
예를 들자면 사용자는 웹 서비스를 쓰는데 트래픽이 많은 유투브는 Wifi로 전달하고
신뢰성이 중요시되는 금융권 접속이나 실시간성이 필요한 서비스는 LTE Access를 쓰도록 만드는 것입니다.
여기서 이 두가지는 모두 HTTP 서비스라는 것이고 IFOM은 HTTP 서비스라도 "접속 대상을 분류하여 단말과 PGW가
LTE Access와 Wifi로 적절히 트래픽을 분산시킨다" 라는 목적을 위해 만들어진 것입니다.
기존의 ePDG, TWAG는 Access 단위 정합 노드이므로 그런 개념이 있을수가 없고
IFOM은 다수의 Access를 가지는 단말과 다수으 Access를 제어하는 PGW간 연동이기 때문에 이런 개념이 가능해 집니다.
단순히 터널링이 있느냐는 부분으로 판단할 것은 아닙니다.
결론 : ePDG 구축과 IFOM은 별개입니다. WIFI 접속이 불필요하면 ePDG를 구축하지 않아도 됩니다.
IFOM의 범주는 LTE Access, WIFI, 3G, WiMax등 PGW에 정합할 수 있는 모든 access를 대상으로 합니다.
도움이 되셨으면 좋겠네요.
3G망에 붙은 UE가 Wifi에 접속을 한 후 다시 3G망에 붙으면 IP를 재할당하는 것으로 기기로 확인을 했는데요.
(SKT망, 팬택기기)
LTE도 동일하게 IP를 재할당 받게 되는건지요 ?
또한, 재할당 받는다면 initial 과정을 다시 거치는 건지요 ?
감사합니다. ^^;;
Wifi 사용시 S1 Release 상태로 빠졌다가 LTE망 접속시 예전에 사용하던 IP 그대로 사용됩니다.
LGU+ 망의 테스트 결과입니다.
혹, 이 와이파이의 문제점이 있다면 어떤것일지 다른 포스팅도 기대해봅니다!
다시한번 감사 드려요~
안녕하세요. 좋은 정보 잘 보고.. 질문이 생겨 질문 드립니다.
넷매니아즈 스타일로 다시 그린 그림에서..
UE와 AP 사이(802.11)에 주황색 터널이 있는 게.. 이 구간도 터널을 통과하는 걸 의미하는 건가요?
터널 헤드가 이 구간에는 안붙는 것 같은데요 궁금하네요 ㅎ
감사합니다.
UE와 AP간, AP와 ePDG간에는 터널이 없고, UE와 ePDG간 IPsec 터널이 존재합니다 (박종선님이 이해하고 계신게 맞습니다).
이 IPsec 터널이 AP를 지난 다는 의미로 그림이 표현된 것입니다.
최근에 그림을 다시 그려 보았습니다 (주: S2b interface를 PMIP -> GTP로 변경). 아래 링크 참조하세요.
https://www.netmanias.com/ko/?m=view&id=oneshot&no=8124
GTPv2를 이용한 LTE (E-UTRAN) <-> ePDG 핸드오버 외에
3G망 즉, UTRAN <-> ePDG 케이스도 존재할까요?
광의적으로 보면 UTRAN 도 3GPP 망인데 말이죠.
ePDG는 PGW하고만 연동이 가능하니 UTRAN <-> ePDG 케이스를 굳이 만들고자 한다면
NodeB ~ SGSN ~ SGW ~ PGW 순으로 UTRAN을 eUTRAN의 하위 억세스망으로 구성하고
SGSN ~ SGW 간을 S4 인터페이스로 연결한다면 가능할 수도 있을 것 같습니다.
하지만 3G 에서 음성은 데이타와 별개로 처리가 될테니 위 구성은 데이타 트래픽에 대한
3G <> ePDG 상호 연동망이 될 것입니다.
버너님//
국내에서는 사용되고 있지 않지만 VoWiFi (WiFi Calling) 가 해외에서는 많이 사용되고 있습니다.
LTE 커버리지가 약한 곳에서 WiFi 망이 접속 가능한 경우에 IMS 서비스를 끊김없이 사용하는 개념으로
이해하고 있는데요. 만약에 LTE -> 3G (GERAN, UTRAN) 으로 핸드오버 후, S2B 구간으로 (즉, ePDG)
핸드오버가 가능할까요?
TS 23.402 문서의 8.6.1.2 에서 확인한 바로는 ePDG 에서 GERAN 또는 UTRAN 으로 핸드오버 시에는
버너님이 말씀해 주신 S4 SGSN 을 이용한 핸드오버 시나리오가 있는데, 반대의 경우는 보이지를
않네요.
궁금한 점은 S5/S8 GTP 터널링후, Gn 으로 핸드오버 (GGSN 이용) 한 다음 ePDG 로
핸드오버가 가능하냐는 점입니다.
해외에서는 ePDG가 많이 사용되는 것으로 저도 알고 있습니다.
3GPP 문서가 case-by-case로 모든 시나리오를 설명을 하지는 않기 때문에
3GPP에 EUTRAN (S2b) à UTRAN 핸드오버가 기술되어 있다면 반대도 된다고 보시면 될 것 같습니다.
아마도 GSMA쪽 어딘가에 시나리오를 그려놓은 게 있을 것도 같은데 쉽게 찾아지지가 않네요.
(죄송합니다. 제가 호 플로우를 세부적으로 검토하진 못해서.. 추정 의견을 드리네요.)
처음에는 S2b / S4 SGSN 얘기를 하다가 S5/S8 GGSN 언급을 하시는 게 이해가 좀 가질 않습니다만
GGSN와 PGW는 분리된 노드이고 두 노드가 모두 IP 앵커이므로 GGSN ~ PGW 핸드오버 자체가 되지 않습니다.
단, 실제 상용 장비 예를 보면 GGSN/PGW를 일체형으로 통합한 장비들이 있기 때문에
이런 장비의 경우에는 표준과는 무관하게 UTRAN/EUTRAN 이동성을 장비 내부에서 자체적으로 제공하는 경우는
있을 수도 있다고 생각합니다.