LTE 인증프로토콜에 PAP, CHAP, IPCP 등 이렇게 있는데요
단말에서는 위의 3가지 중 하나를 선택해 네트웍에 요청하는데요.
질문1 > PAP의 경우 요청 후 , 인증 확인 방식이라 따로 스택이 단말에 올라갈 필요가 없는데, CHAP의 경우 hash 파일로 인증을 해야하는데,
그럼 단말에도 CHAP 스택이 올라가야하나요?
질문2> PAP나 CHAP이나 단말과 SGSN 사이의 인증인지 아니면 단말과 SGSN 에 연결된 다른 서비스(eg.AAA)와의 인증인지??
질문3> 만약 CHAP 프로토콜이 단말에 올라가야 한다면 NAS 메시지에 CHAP에 관한(eg. hash 인증) 메시지가 없는데, 어디서 정보를 확인해야하는지??
이렇게 궁금합니다 ㅠㅠ
어디다가 물어봐야할지도 모르겠고...
3gpp 스펙에는 그냥 쓴다라고만 나오니... 답답합니다... 혹시 어떤 스펙을 봐야할까요...
상호: (주)엔앰씨컨설팅그룹 주소: 서울시 강남구 테헤란로 128, 3층 387호 대표이사: 손장우 전화: 02-3444-5747 메일: webmaster@netmanias.com 등록번호: 서울 아03722 제호: 넷매니아즈 등록일자: 2015년 5월 4일 발행/편집인: 손장우 청소년보호책임자: 이수정
주소: 본사: 서울시 강남구 테헤란로 128, 3층 387호 Netmanias USA: 5214 36th Ave. NE Seattle, WA 98105 USA
Copyright ⓒ 2002-2023 NMC Consulting Group. All rights reserved.
|
지나가다 몇 자 남깁니다.
pap/chap은 LTE이전세대까지 주로 많이 사용되었습니다.
LTE protocol에서는 PCO(ptotocol configuraiton option)에 pap/chap 정보가 포함됩니다.
pap/chap 정보는 windows network driver 쪽에서 정보를 얻기가 쉽습니다.
이전 세대에서 dial network 등에서 주로 사용이 많이 되었기 때문입니다.
감사합니다. 몰랐던 내용입니다
제가 알기로 PAP/CHAP등이 사용되는 경우는 PGW가 RADIUS로 이차 인증을 하는 경우에만
사용되는 것으로 알고 있습니다
GGSN 뿐만 아니라 PGW는 단순 인터넷 접속을 하는 서비스 뿐만 아니라
필요하다면 APN 이름에 따라 단말이 특정 네트워크에 직접 연동을 해 주는 서비스를 제공할 수 있습니다.
예를 들면 단말에서 “my-office.com” 이란 APN을 선택하면 3G/LTE를 통해서 회사 intranet에 직접 연동을
하는 것이지요. 이름을 붙인다면 Enterprise-APN 서비스 정도 될까요 ?
규격 문서에 적절하게 설명한 그림이 없어 참조할만한 링크를 알려 드립니다.
http://www.eoconnor.net/downloads/3g-mobile-internet-access.pdf
링크의 4 페이지를 보시면 GGSN (LTE의 PGW 역할) 뒤쪽에 “Enterprise PDN” 과 RADIUS, DHCP, DNS가 보이는 데
이 노드들이 GGSN과 연동해서 가입자에게 Enterprise intranet에 접속을 할 수 있도록 해 줍니다.
평범한 LTE를 이용한 인터넷 접속이라면 PAP, CHAP,등을 쓰지 않고 단말의 LTE 접속 절차와 LTE Core 노드들간의
연동만으로 서비스가 제공되지만
위에서처럼 Enterprise intranet 접속인 경우에는 회사가 보유한 인증 서버를 통해 2차 인증을 받아야 합니다
그래야 회사에서 직원 계정 및 접속 관리를 능동적으로 수행할 수 있으니까요
(LTE Attach 시그널링은 단말이 통신사에 접속하기 위해, PAP/CHAP은 회사 접속 인증을 위해)
이 때 회사에서 사용하는 인증 서버는 일반적으로 RADIUS 서버가 되므로 이 서버와의 계정 인증 (회사 접속용)을
위해 단말에 PAP/CHAP이 필요하고 GGSN/PGW는 Initial Attach시에 받은 PAP/CHAP 정보를 임시 저장했다가
적절한 시점에 RADIUS Client로써 회사 인증 서버에 PAP/CHAP 정보를 보내 회사 접속 인증을 수행하게 됩니다.
(링크 문서의 13 페이지의 RADIUS Access Request 메시지 참고)
링크의 문서는 GGSN 기준으로 설명이 되어 있고 LTE에서의 PCO/PAP/CHAP 부분은
TS 23.401의 5.3.2.1항의 Initial Attach절차 중 1번 Initial Attach 와 6번 Cipher Options 메시지 설명을 보시면
될 것 같습니다. LTE에서 2차 인증 부분을 전체적으로 정리한 문서는 저도 보질 못했네요.
링크 문서의 11~12 페이지상의 MT~SGSN 간 플로우를 23.401 5.3.2.1항의 플로우로 대체해서 보시면
될 것 같습니다.
답변 1)
예전 Dialup에서 사용하던 CHAP/PAP 스택이 단말에 올라가는 형태가 아니라
Initial attach에 Embedded 되는 형태긴 하지만 관련 기능이 필요한 건 맞습니다.
답변 2)
위에 설명드린 것처럼 회사에 있는 인증 서버와 연동합니다.
인증 서버와의 직접적인 연동 주체는 PGW입니다.
답변 3)
23.401 5.3.2.1 부분을 참고하시면 됩니다.
또한 24.301의 6.5.1.2도 보시기 바랍니다. (단 한 줄만 설명이 되어 있지만 ^^;
결론은 단말이 Initial Attach시에 APN을 지정하고 Cipher Option을 설정하면 이건
Enterprise APN 서비스라고 보고 PAP/CHAP이 필요한 것이고 그 외의 경우에는
PAP/CHAP은 사용되지 않습니다.
이 기능이 실제 상용 망에서 사용되는 경우가 있을지 모르겠습니다.
그냥 노트북 (링크상의 TE 노드)이 휴대폰과 WiFi 테더링을 한 후에
회사 VPN 서버에 접속해서 인트라넷에 들어가는 것이 더 쉬운 게 아닐지.. ^^;
글이 좀 길었네요. 도움이 되셨으면 좋겠습니다.
답변 감사합니다!! 도움많이 되었구요~ 행복한 하루 보내세요 ㅋ