TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2006-04호)
트위터 페이스북 미투데이

[NGN] 네트워크 액세스 인증 표준 기술

ITU-SG11.Q7에서 다루는 네트워크 접속을 위한 인증 표준 시그널링은 표준화한 링크 레이어에서의 인증 표준과 네트워크 레이어 인증 표준으로 구분할 수 있다. 이외에 특정 접속 표준을 위한 접속 인증을 지원하는 인증 관련 기반 기술들이 있다. 이를 위해 NGN 네트워크 접속을 위한 액세스 보안과 인증 기술을 표준화하기 위해 필요한 인증 모델 및 통합인증 구조 등이 이번 ITU-T SG11.Q7에서 주요한 의제로 다루어졌다.

 

표준화 진행현황

IEEE나 IETF 등에서도 액세스 인증 기술의 표준화 작업이 활발한데 본래 IEEE 802 표준화 영역이 주로 네트워크 접속 기술에 초점을 맞추고 있기 때문에 인증 기술을 포함한 것이며 802.11이나 802.16과 같은 접속 표준들에서 인증 기술을 포함하고 있다. IEEE는 초기에 802.11 기반의 인증을 위해 WEP(Wired Equivalent Privacy) 알고리즘을 포함하였으며 WEP은 오픈 인증과 공유키 인증 방법 그리고 키 스트림을 이용한 암호화를 정의하였다. 그러나 암호화 방법과 CRC를 사용하는 메시지 인증 등에 보안적 문제점이 발견되었다. IEEE 2001년에 802.1X 포트기반의 네트워크 접속 제어 표준을 발표하였는데 이 표준은 supplicant와 authenticator 사이에 EAPOL 기반으로 인증을 수행하며 authenticator와 인증 서버 사이에 RADIUS로 동작한다. 2004년에 발표된 802.11i는 무선랜 접속 환경에서 사용자의 인증 및 무선 구간의 암호 알고리즘이 정의되어 있다. 이 표준은 AP가 자신이 관리하는 영역에서 접속을 요청하는 station을 인증하고 키를 교환하며 무선 구간에서 암호화를 수행하기 위해 IEEE 802.1X 인증과 4-Way Handshake 키 교환 그리고 CCMP(Counter mode with CBC-MAC Protocol)과 WEP을 보완한 Temporary Key Integrity Protocol(TKIP)을 포함한다.

 


<그림 1> IEEE 802.11i 절차

 

그러나 IEEE 802.11i는 하나의 AP를 가정하고 있으므로 사용자의 동적 이동에 대해 연속적인 인증과 접속 서비스를 제공하지 못한다. 유선 접속 환경이 무선 접속 환경으로 변화하면서 인증 또한 이동하는 단말에 대한 지속적인 인증 서비스의 지원이 필요하게 되었고 기존의 일반적인 인증 표준들은 사용자의 이동으로 인한 재인증에서 많은 지연 시간으로 인하여 실시간 서비스에 악영향을 미친다. 이러한 이동성 지원을 위해 IEEE 80211 TGr에서 station의 핸드오버 시에 지연 시간을 최소화하여 실시간 서비스를 지원하는 인증 기술에 대한 표준을 개발하고 있다.

 

IETF에서는 네트워크 접속을 위한 인증 기술 표준으로 PANA(Protocol for carrying Authentication for Network Access)을 개발하고 있다. PANA는 네트워크 레이어에서 인증을 수행하는 프로토콜로서 IP 기반의 환경에서 링크 프로토콜에 상관없이 인증을 수행할 수 있도록 설계되었으며 멀티 접속이나 점대점 접속에 모두 적용할 수 있다. 그림 2에서 PANA는 단말인 PaC (PANA client)가 이미 IP 주소를 할당받았고 이 IP 주소는 제한된 접속만이 허용된다고 가정하며, PaC가 PAA (PANA authentication agent)와 인증 서버를 통해 인증되면, 새로운 IP 주소가 할당되고 EP(Enforcement Point)는 이 새로운 IP 주소의 필터링 룰을 변경하여 패킷의 네트워크 유입을 허용한다. PANA WG은 현재 보안 분석과 요구 사항에 대한 RFC 4016과 4058 등 2개의 표준을 개발했으며 구체적인 표준이 워킹 그룹 표준으로 개발되고 있다.

 


<그림 2> PANA 시그널링 흐름

 

IETF는 또한 EAP(Extensible Authentication Protocol)와 AAA(Authentication, Authorization and Accounting) 등의 표준화 작업을 진행 중이다. EAP WG는 인증을 위한 기본적인 메시지를 정의하고 있으며 EAP와 동시에 키를 관리하는 프레임워크 표준을 작업 중이다. EAP method 드래프트들에 대한 논의가 이 워킹 그룹에서 있었으나 64회 IETF 회의에서 다양한 EAP method를 표준화하기 위해 EMU(EAP Method Update) BOF가 생성되어 논의되었다. AAA WG에서는 authenticator와 인증 서버 사이의 인증 메시지 전달을 위해 Diameter 프로토콜을 정의하고 있다. Diameter는 Mobile IPv4와 network access server 그리고 EAP 어플리케이션을 위한 다양한 형태가 정의되어 있다. 현재 Diameter를 위한 API와 SIP 응용을 위한 워킹 그룹 드래프트가 작업 중이다.

AKA (Authentication and Key Agreement)는 유럽기업이 주도하는 3GPP (3 Generation Partnership Project)의 제 3세대 이동 통신 서비스 UMTS (Universal Mobile Telecommunications System)에서 네트워크 액세스 인증을 위한 보안 메커니즘이다. AKA는 UMTS 단말과 홈 서버간의 사전에 공유된 비밀 정보를 사용하여 상호 인증과 무선 구간에서 데이터의 기밀성 및 무결성을 제공한다.

 

이러한 타 표준기구에서 개발되는 인증 관련 표준들은 통합된 NGN 환경에서 그대로 적용하기에는 여러 가지 문제점을 갖고 있으므로 통합 인증을 위해 NGN 액세스 시스템에서 통합인증에 관련된 인증 시그널링 표준을 개발하는 것이 현재 SG11.Q7의 주요 표준화 항목중의 하나이다.

 

통합 인증 기술 표준화를 위해서는 산업체에서 이미 사용하고 있는 기존의 인증 기술을 토대로 통합 인증 서버 기술을 개발하고 관련 기술의 국제 표준화를 적극적으로 추진하는 것이 요구되는 상황이다 

정수환 (숭실대학교 정보통신전자공학부 교수, souhwanj@ssu.ac.kr)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.