Ⅰ. DIAMETER AAA의 이해
가. AAA(Authentication Authorization Accounting) 프로토콜의 정의
- 불법적인 네트워크 서비스 사용을 방지하고자 사용자 인증, 권한제어, 과금을 위해 다양한 네트워크 기술과 플랫폼들에 대한 개별 규칙들을 조화시키기 위한 프레임워크
나. DIAMETER AAA 프로토콜의 정의
- 복잡한 Inter-domain 응용 서비스를 지원하기 위하여 기존의 PPP와 로밍, Mobile IP 의 AAA 서비스를 지원하기 위한 Peer 기반의 AAA 프로토콜
다. DIAMETER AAA의 주요기능
| 주요 기능 | 설 명 |
| Authentication | -사용자가 네트워크 접속을 하기하기 전에 사용자의 신원 확인 -계정/패스워드, Challenge and Response, 암호화의 기능을 제공 |
| Authorization | -네트워크 접속이 허가된 사용자에게 사용가능한 접근권한 정의 -사용자의 권한 정보는 NAS나 원격의 AAA서버의 데이터베이스에 저장됨 -One-time 인가, 서비스별 허가, 계정별 프로파일, 그룹별 허가 등의 접근제어 방법을 제공함 |
| Accounting | -사용자의 자원 사용에 대한 정보를 수집하여 과금, 감사, 보고서 기능을 제공 -사용자 계정, 서비스 사용 시작시간/종료시간, 사용한 명령어, 네트워크 트래픽량 등의 정보를 포함함 |
Ⅱ. DIAMETER AAA 프로토콜 형식 및 동작원리
가. DIAMETER AAA 헤더 형식
| 구성요소 | 크기 | 설 명 |
| RADIUS PCC | 1 Octet | -RADIUS Packet Compatibility Code (PCC) -RADIOUS와의 호환성을 유지하기 위하여 사용됨 |
| Flags | 5 Bit | -현재는 사용되지 않고, 반드시 0으로 설정되어야 함 |
| Version | 3 Bit | -DIAMETER 버전 1을 나타내기 위해 1로 설정됨 |
| Message Length | 2 Octet | -헤더 필드를 포함한 DIAMETER 메시지의 길이를 표시함 |
| Identifier | 4 Octet | -송신측이 보내는 메시지를 유일하게 구별하는 데 사용됨 -요구와 응답을 매칭시키기 위해서 사용됨 |
| AVPs | -DIAMETER 메시지에 관련된 정보를 Encapsulation하는 방법 -요구와 응답 같은 메시지 형식 표현 -인증, 과금 및 권한검증정보, 보안정보를 송수신하는데 사용됨 |
나. DIAMETER AAA 프로토콜의 동작원리
1) AAA서버가 부팅되었을 경우 그 사실을 알리기 위해 DIAMETER Peer에게 Device-Reboot-Ind(DRI)를 보냄
2) 사용자가 망을 사용하고자 할 때 DIAMETER 클라이언트는 로컬 서버에 인증 및 인가 요청을 보냄, 이때 Session-ID AVP를 포함하며 이 Session ID는 그 사용자의 세션에서 이후의 권한 검증과 과금 메시지에서 사용됨
3) 더 이상 세션이 필요 없을 경우 Session-Terminate-Request(STR)와 Session-Terminate-Answer(STA)에 의해서 세션을 종료함
Ⅲ. DIAMETER AAA 메시지 라우팅 및 AAA 프로토콜간 비교
가. DIAMETER AAA 메시지 라우팅
- DIAMETER는 로밍과 Mobile IP망을 지원하기 위한 목적으로 만들어 짐
- 이동단말(Mobile Node)이 Foreign 네트워크로 접속을 시도할 경우 Foreign 네트워크의 Diameter서버와 Home Network의 Diameter서버의 연동을 통한 인증 수행
- 각 DIAMETER서버는 AAA 기능을 수행하기 위한 Broker의 Peer로 동작함
- DIAMETER서버와 Broker사이의 통신은 Broker가 CA(Certificate Authority)역할을 수행하여 안전한 연결상에서 동작함
# AAA프로토콜간 비교
| 항목 | RADIUS | TACACS+ | DIAMETER |
| 프로토콜 구조 | 서버-클라이언트 (단방향) |
서버-클라이언트 (단방향) |
Peer-to-Peer (양방향) |
| 전송계층 | UDP | TCP | TCP/SCTP |
| 인증과 권한정보 | 결합된 메세지로 전달 | 분리된 메세지로 전달 | 분리된 메시지로 전달 |
| 패킷 암호화 | 패스워드만 암호화 | 패킷 전체 암호화 | 패킷 전체 암호화 |
| 보안기능 | 공유 비밀키 | 공유비밀키 | End-to-End (TLS) 전송계층(Psec/TLS) |
| 오류처리 | Silently Discard | Silently Discard | 모든 오류 처리 지원 Failover 기능 제공 |
| Proxy 분산환경 | 지원하지 않음 | 지원하지 않음 | 매우 적합함 |
[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술
[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술
DOI(Digital Object Identifier)의 정의- 책이나 잡지등에 매겨진 국제표준도서번호(ISBN)와 같이 모든 디지털 콘텐츠에 부여되는 고유 식별번호 INDECS(INteroperability of Data in E-Commerce System)의 정의- 디지
infoofit.tistory.com
[용어/개념] WCCP(Web Cache Communication Protocol ) - Cisco에서 개발한 Content-Routing Protocol
[용어/개념] WCCP(Web Cache Communication Protocol ) - Cisco에서 개발한 Content-Routing Protocol
웹 캐시 통신 프로토콜 (WCCP)은 Cisco에서 개발한 콘텐츠 라우팅 프로토콜로, 트래픽 흐름을 실시간으로 리디렉션하는 메커니즘을 제공합니다. 로드 밸런싱 , 확장, 장애 허용 및 서비스 보증(장
infoofit.tistory.com