LTE와 Wi-Fi 네트워크 연동 구조 (1편: Network Reference Model)

3GPP에서 얘기하는 Trusted, Untrusted Network이란?

3GPP에서 규정하고 있지 않은(표준화 하지 않은) WiBro나 Wi-Fi 액세스망을 Non-3GPP 망이라 부르고, 이 Non-3GPP 망은 "Trust"일 수도 있고 "Untrust"일 수도 있습니다. 

여기서 Trust와 Untrust의 기준은 보안(Security) 수준 입니다. 즉, 3GPP Core(EPC)망과 연동할 Non-3GPP 액세스망의 보안 수준이 믿을만 하면 "Trust"이고, 그렇지 않으면 "Unstrust"로 분류하고 있습니다. 그리고 그에 따라 연동 규격을 달리 하고 있습니다.

• WiBro 액세스망의 경우 가입자가 WiBro 망에 접속하기 위해서는 인증(EAP-TLS/TTLS/AKA등)을 받아야 하고, 인증 후 단말(MS)와 기지국(RAS)간에 주고 받는 트래픽은 모두 암호화(Encryption) 및 무결성 보호(Integrity Protected)되어 전송됩니다. 따라서 3GPP에서는 WiBro 액세스망은 보안이 훌륭하니 "Trust"라 정의합니다.
• 반면 Wi-Fi 액세스망의 경우 EAP 기반(EAP-TLS/TTLS-AKA등)으로 인증을 하고 또한 TKIP/AES 알고리즘을 통해 단말(STA)과 AP간 트래픽을 암호화 및 무결성 보호 할 수도 있지만, 웹인증/무인증의 경우 무선 구간 암호화/무결성 보호를 하지 못합니다. 그래서 3GPP에서는 Wi-Fi 액세스망은 보안이 안될 수도 있으니 "Untrust"라 규정하고 있습니다.

아래 글은 Trust/Untrust에 대한 내용을 책에서 발췌한 것인데요. 한번 읽어 보세요.

3.1.5 Interworking between 3GPP access technologies and non-3GPP access technologies What is a 'trusted' and a 'non-trusted' access network? Simply put, this is really an indicator on if the 3GPP operator (owning the PDN GW and the HSS) trust the security of the non-3GPP access network. A typical 'trusted' network may be an eHRPD network, while a 'non-trusted' network may be, for example, usage of WLAN(Wi-Fi) in a public cafe and connecting to the PDG GW over the public Internet. 7.3.5 Access security in untrusted non-3GPP access  WLAN can be used in many scenarios, for example, in corporate environments, in the home or in public places such as airports and coffee shops. The level of security provided by a WLAN access also differs between deployments. For home and corporate use, WLAN security solutions such as WEP and WPA are often used. In public places it is, however, more common to turn WLAN security off completely. Instead access control is provided by the means of a web page where the user can enter a username and a password. The user may for example, have received a username and password for a temporary subscription at the same time he or she bought a cup of coffee. Once the user has entered the credentials on the web page, Internet access is provided. The WLAN access does in this case not provide any encryption or integrity protection of the user plane and is vulnerable to many types of attacks. In such deployments, WLAN access to EPS will therefore most likely be handled as an un-trusted non-3GPP access. In other deployments with WLAN security turned on, WLAN might be treated as a trusted access

출처: Magnus Olsson, SAE and the Evolved Packet Core: Driving the Mobile Broadband Revolution, 2009, Elsevier

여기서 잠깐! 넷매니아즈 블로그에서는 "LTE"란 용어를 LTE 망을 구성하는 전체 엔터티 즉, EPS와 동의어의 의미로 사용하고 있지만 엄밀히 따지면 아래와 같이 구분이 됩니다.

• LTE = E-UTRAN: 관련 엔터티는 eNB
• EPC = SAE: 관련 엔터티는 S-GW, P-GW, MME, HSS, PCRF, OCS, OFCS 등
• EPS = LTE(E-UTRAN) + EPC(SAE)

3GPP에서 규정한 연동 구조

아래는 3GPP TS 23.402에 나와 있는 EPS와 Non-3GPP 액세스 네트워크의 연동 구조를 보여 주고 있습니다. 그림 상에서 S2a 인터페이스가 WiBro와 같은 "Trusted Non-3GPP Access 망"과의 연동이고, S2b 인터페이스가 오늘 말씀드릴 Wi-Fi와 같은 "Untrusted Non-3GPP Access 망"과의 연동입니다. (Wi-Fi 연동을 위한 엔터티만 색을 입힘)

기존 EPS 엔터티 외에 Wi-Fi 액세스망과의 연동을 위해 ePDG와 3GPP AAA가 추가 되었고, 새로 추가된 엔터티와 기존 EPS 노드간에 인터페이스가 정의 되었습니다.

ePDG의 역할은 보안(Security)상 문제가 있는 Untrust 액세스망을 "Trust"하게 만들고자, UE와 ePDG간에(이 둘 사이에 Untrust한 망 즉, Wi-Fi망이 위치함) 인증(EAP-AKA)을 하고 터널(IPSec)을 생성 하는 것입니다. 그리고 이를 통해 Trust하게 된 UE는 ePDG를 거쳐 EPC(P-GW)로 연결시켜 주는 것입니다.

여기서 잠깐. 그림 상에서 ePDG와 PCRF간 Gxb 인터페이스에 대해 3GPP 표준에서 다음과 같이 기술하고 있습니다.

"This interface is not specified within this release of the specification" 

그래서 본 글에서 요 인터페이스에 대한 설명은 없습니다.

넷매니아즈 스타일로 다시 그리면...

이제 3GPP의 연동 그림을 넷매니아즈 스타일로 재구성 해 보겠습니다. 훨씬 보기 좋죠? ^^*

1. UE

UE는 2개의 안테나(LTE 및 Wi-Fi)를 가지고 있는 Dual-Radio 기능이 있는 단말입니다. Dual-Radio라 함은 이기종 망(LTE & Wi-Fi)간에 핸드오버를 위해 2개의 안테나를 동시에 키고 있을 수 있다는 의미입니다.

2. UE가 LTE 망에 접속

LTE 네트워크 구조는 여기를 클릭하셔서 그 내용을 참조하시고, 본 글에서는 간단히 넘어 가겠습니다.

2.1 LTE 망에 접속

• Authentication: EPS-AKA를 통해 상호인증(UE도 LTE 망을 인증하고, LTE 망도 UE를 인증)을 하기 위해 MME는 HSS로 부터 인증 정보를 가지고 와서 UE(UE의 경우 USIM에 이미 인증 정보가 들어있음)와 인증 절차를 밟습니다.
• Security Setup: 인증이 성공하면 UE와 eNB간 무선 구간에서 주고 받는 패킷은 모두 암호화 및 무결성 체크를 통해 보호됩니다.
• IP Allocation: P-GW는 UE에게 IP 주소를 할당합니다.
• EPS Session Establishment: UE를 위한 GTP 터널(eNB와 S-GW 구간 & S-GW와 P-GW 구간)이 생성됩니다.

2.2 사용자 데이터 흐름

• UE가 보낸 데이터는 무선 구간을 통해 eNB가 수신하고, eNB는 GTP 터널을 통해 UE 패킷을 S-GW로 보내고, S-GW는 GTP 터널을 통해 P-GW로 보냅니다. 그리고 P-GW는 GTP 터널 헤더를 제거하고 인터넷(= PDN = IP망)으로 패킷을 포워딩합니다.
• 반대로 인터넷에서 P-GW로 패킷이 들어온 경우도 P-GW와 S-GW간에 GTP 터널, S-GW와 eNB간에 GTP 터널을 거쳐 UE로 패킷이 전달됩니다.

3. UE가 Wi-Fi 망에 접속

3.1 Wi-Fi 망에 접속

• 앞서 설명드린 바와 같이 Wi-Fi 망은 EAP 기반으로 가입자 인증을 할 수도 있고 웹인증/무인증일 수도 있습니다. EAP 기반의 인증인 경우, UE는 AP를 거쳐 3GPP AAA와 EAP-AKA 프로토콜로 인증을 합니다.
• Wi-Fi망 인증(무인증) 절차가 끝나면 UE에 IP 주소가 할당 되는데 그 주소는 AP가 줄 수도 있고, 위 그림과 같이 별도 DHCP 서버를 통해 줄 수도 있습니다. (DHCP 서버가 별도 존재하는 경우, AP는 DHCP Relay로 동작)

3.2 UE와 ePDG간에 IPSec 터널 생성 & ePDG와 P-GW간에 GRE 터널 생성

• Wi-Fi 망 접속절차가 끝나면 이제 UE는 IKEv2 프로토콜을 통해 ePDG와 IPSec 터널을 생성합니다. 터널 생성 과정에서 UE는 ePDG를 거쳐 3GPP AAA와 EAP-AKA로 인증을 하게 되고(MME와 마찬가지로 3GPP AAA는 HSS로 부터 UE 인증 정보를 가져와서 인증 수행)
• ePDG는 P-GW와 PMIPv6(Proxy Mobile IPv6) 프로토콜을 통해 GRE 터널을 생성합니다.

3.3 사용자 데이터 흐름

• UE는 IPSec 터널을 통해 패킷을 전송하면(IPSec 터널 헤더를 달아 전송하면) 그 패킷은 Wi-Fi AP를 거쳐 ePDG로 전달됩니다. ePDG는 IPSec 터널 헤더 제거 후 P-GW로 GRE 터널을 통해 패킷을 전달하면, P-GW는 GRE 터널 헤더 제거 후 인터넷(= PDN = IP망)으로 패킷을 포워딩합니다.
• 반대로 인터넷에서 P-GW로 패킷이 들어온 경우도 P-GW와 ePDG간에 GRE 터널, ePDG와 UE간에 IPSec 터널을 통해 UE로 패킷이 전달됩니다.

Protocol Stack

아래 그림은 UE, ePDG, P-GW간에 Signaling을 수행하는 Control Plane과 유저 데이터가 흐르는 Data Plane의 Protocol Stack을 보이고 있습니다. 

Control Plane

• UE와 ePDG: IKEv2 (Internet Key Exchange version 2)
• ePDG와 P-GW: PMIPv6 (Proxy Mobile IP version 6)

Data Plane

• UE와 ePDG: IPSec Tunnel
• ePDG와 P-GW: GRE Tunnel

MAG(Mobile Access Gateway)와 LMA(Local Mobility Anchor)는 PMIPv6에서 나오는 용어로 MAG는 단말(UE)을 대신하여 Mobile IP 프로토콜을 수행하는(대신해 준다는 의미로 Proxy Mobile IP임. 단말에서 Mobile IP 프로토콜을 수행하는 경우는 Client Mobile IP라 부름) 노드이고, LMA는 Mobile IPv4에서의 HA(Home Agent)와 같이 IP Anchoring을 해 주는 노드입니다.

즉, 이 그림상에서는 ePDG가 UE를 대신해 Mobile IP를 수행하고 P-GW가 IP Anchor가 되는 것입니다.

 

 

 

 

 

 

 

출처 : http://blog.naver.com/netmaniascom?Redirect=Log&logNo=80160064834