Контакты
Подписка
МЕНЮ
Контакты
Подписка

В рубрику "Решения операторского класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Приложение FreeRADIUS в сети WiMAX

Наиболее популярным протоколом для обеспечения функций ААА (Authentication, Authorization, Accounting) является протокол RADIUS (Remote Authentication Dial-In User Service – Служба удаленной аутентификации входящих пользователей). Протокол RADIUS используется для авторизации, аутентификации и учета пользователей в самых разных системах.
Михаил Светлов
Старший инженер службы IT НПЦ "Дэйтлайн"

Каковы преимущества авторизации с помощью RADIUS?

Прежде всего использование RADIUS позволяет дифференцировать пользователей. Предустановленный ключ у всех пользователей общий, а RADIUS позволяет выдать каждому пользователю персональное имя учетной записи и пароль (или персональный сертификат). Второе преимущество RADIUS заключается в возможности вести учет сетевой активности пользователей.

Из всей эталонной сетевой модели IEEE 802.16-2005 непосредственно по протоколу RADIUS взаимодействуют только ASN-GW, который является RADIUS-клиентом, и AAA-сервер, который является RADIUS-сервером.

На сегодняшний день FreeRADIUS – это одно из самых мощных в функциональном плане RADIUS-приложений. Это хорошо масштабируемый, гибкий и надежный RADIUS-сервер. Кроме всего прочего, он свободно распространяется и представляет собой весьма интересную альтернативу дорогим коммерческим продуктам.

Работа FreeRADIUS в качестве ААА-сервера в сети Mobile WiMAX

Функциональная схема опытного участка сети WiMAX приведена на рис. 1. Сегмент сети WiMAX, содержащий испытуемое и вспомогательное сетевое оборудование, подключен к технологической сети оператора, которая имеет выход в Интернет и включает в себя в том числе и AAA-сервер S1 на базе приложения FreeRADIUS.


Базовая станция WiMAX функционально состоит из блоков. Первый блок – "Модуль доступа", представляет собой устройство, отвечающее за передачу данных по беспроводному соединению. Последний включает в себя аппаратно-программные модули доступа и шлюз доступа (ASN-GW). Таким образом, базовая станция совмещает в себе как собственно функцию базовой станции WiMAX, так и функцию ASN-GW. ASN-GW включает в себя модуль решения (DP), участвующий в данном случае в процессе EAP-аутентификации и выполняющий функции ААА-клиента, и модуль исполнения (EP), отвечающий за создание GRE-туннеля между абонентскими станциями CPE1, CPE2 и ASN-GW с соответствующим динамическим назначением IP-адресов абонентским станциям.

Перед началом испытаний необходимо обеспечить выполнение следующих процедур:

  • Убедиться, что в RADIUS-сервере имеется поддержка протоколов аутентификации EAP, MS-Chap и MS-Chap v2 (PEAP). В противном случае могут возникнуть проблемы совместимости способов аутентификации некоторых клиентских устройств с используемыми в сети.
  • Стоит обратить внимание на то, что этот диалог устройств внутри сети WiMAX по протоколу RADIUS сопровождается передачей специализированных атрибутов, например WiMAX-BS-Id, WiMAX-MN-NAI или WiMAX-MSK, которые должны быть обработаны и, если нужно, сформированы специальным образом. Для поддержки данного функционала у FreeRADIUS есть специальный модуль – "wimax", но для того, чтобы этот модуль присутствовал в системе, FreeRADIUS должен быть собран (скомпилирован) с параметром "with-experimental-modules", но, к сожалению, в большинстве дистрибутивов, использующих пакеты deb или rpm, FreeRADIUS поставляется в собранном виде без поддержки модуля "wimax". Поэтому FreeRADIUS придется собирать из исходных кодов. В ходе тестов использовался FreeRADIUS v.2.1.9.
  • Подготовить ssl-сертификаты для применения протоколов TLS и TTLS при передаче данных.

Проверка корректности выполнения функций AAA

Рассмотрим механизм аутентификации мобильной станции (MSS) при подключении к сети WiMAX на примере EAP-TTLS Chap (см. рис. 2).


На первом шаге ААА инициирует процедуру сообщением EAP TTLS Start Request с указанием максимально поддерживаемой версии TTLS: v0 или v1. В ответ MSS начинает установление TLS-канала с помощью процедуры TLS handshake – посылает TLS-сообщение Client Hello, содержащее случайное число (client_random) и список поддерживаемых алгоритмов шифрования и передачи ключей шифрования.

Далее защищенный канал устанавливается с помощью процедуры Full TLS handshake: ААА посылает сообщение Server Hello, содержащее случайное число (server_random), выбранный метод шифрования и передачи ключей, а также список сертификатов (первым идет сертификат сервера, далее каждый последующий в списке сертификат подтверждает предыдущий).

MSS проверяет сертификат и отвечает сообщением Client Key Exchange, содержащим зашифрованный ключ шифрования (для RSA) либо открытый ключ (для DH). С этого момента защищенный канал между SS и AA установлен и по нему можно производить аутентификацию пользователя по протоколу PAP, CHAP или MS-CHAP.

На рис. 3 наглядно изображено, что процедура аутентификации представляет собой диалог между клиентом и сервером, начиная с посыла запроса Access-Request и заканчивая получением ответа от сервера Access-Accept, в    котором    передаются    атрибуты, необходимые ASN GW для управления создаваемой сессией.


Отметим, что функционал RADIUS-сервера включает в себя такой необходимый процесс, как Accounting – сбор статистики о трафике. Источником данных с информацией о трафике является ASN-GW.

Описанная реализация ААА-процедур с использованием приложения FreeRADIUS может применяться как в составе биллинговых систем операторских сетей WiMAX различного масштаба, так и в корпоративных сетях в качестве отдельной ААА-подсистемы. В последнем случае целесообразность применения FreeRADIUS особенно высока в силу уже упомянутой выше бесплатной распространяемости приложения. В самом деле, в корпоративной сети WiMAX, где не актуальны функции биллинга, а AAA-сервер является фактически единственным необходимым узлом базовой сети, функциональные возможности FreeRA-DIUS необходимы и достаточны для эффективной реализации ААА-процедур и безопасности в сети.

Опубликовано: Журнал "Технологии и средства связи" #3, 2011
Посещений: 9460

Статьи по теме

  Автор

Михаил Светлов

Михаил Светлов

Старший инженер службы IT НПЦ "Дэйтлайн"

Всего статей:  2

В рубрику "Решения операторского класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций