mapga_wp

ホワ イ ト ペーパー

Cisco

ITP MAP Gateway

によ る

パブ リ ッ ク

WLAN の SIM 認証および許可

概要

高 速 ワ イ ヤ レ ス デー タ サ ー ビ ス の 必要性 を 意識す る Global System for Mobile Communications （GSM） モバ イ ル事業者が増え てい ま す。 こ れ ら の事業者は、 既存の 2.5G および将来の第 3 世代携帯電話 （3G） ア ク セ スおよびサービ ス を補完する も の と し て、 自社のサービ スお よ びア ク セ ス ポー ト フ ォ リ オへの Wireless LAN （WLAN; ワ イ ヤ レ スLAN） テ ク ノ ロ ジーの導入を決定 し ています。 こ の よ う なサービ スへのア ク セ ス には、 適切なユーザ認証が不可欠です。 こ のため、 シ ス コ シ ス テ ム ズでは、 実績あ る 既存のGSM ベース のユーザ認証 と 既存の GSM プ ロ ビ ジ ョ ニ ン グ フ ァ シ リ テ ィ を使用 し た WLAN 加入者認証の実現へ向けた取 り 組みを開始 し ま し た。 認証プ ロ セ ス は、 あ ら ゆ る ユーザ ト ラ ンザ ク シ ョ ンに と っ て重要です。 市場に投入 さ れた初期のWLAN シ ス テ ムでは、 ユーザ名 と パス ワー ド に基づ く 認証プ ロ セ ス が使用 さ れてい ま し た。 当初はSecure Hypertext Transfer Protocol （HTTPS） Web ページ を通 じ て証明書を入力 し てい ま し たが、 こ れ ら は後にExtensible Authentication Protocol （EAP; 拡張認証プ ロ ト コ ル） （RFC 2284）、 つま り 802.1X ベース の ソ リ ューシ ョ ンへ と 進化 し てい ます。EAP （802.1X） を使用する こ と に よ り 、 た と えば、 GSM ネ ッ ト ワー ク 内で 現在使用 さ れてい る 同様の技術に比べ、よ り 高いエン ト ロ ピーを持つ共有秘密鍵お よ び 暗号鍵交換をサポー ト す る 認証方式への移行が促進 さ れます。 WLAN 技術で使われてい る認証お よび許可 メ カニズ ム と 、既存の GSM ベース の認証お よ びプ ロ ビ ジ ョ ニ ン グ モデル と を橋渡 し す る 必要性を認識 し た シ ス コ シ ス テ ム ズは、 Cisco IP Transfer Point （ITP） Mobile Application Part （MAP） Gateway 機能を開発 し ま し た。Cisco ITP MAP Gateway 機能を使用する と 、 既存の GSM サービ ス プ ロ バ イ ダーは Subscriber Identity Mobile （SIM） カー ド を使用 し て、 802.11 テ ク ノ ロ ジーを既存の GSM ネ ッ ト ワ ー ク に完全に統合で き ます。 こ の場合、Cisco ITP MAP Gateway は、 シ ス コ の パブ リ ッ クWLAN ソ リ ューシ ョ ン アーキテ ク チ ャ の一部 と な り ます。

Cisco ITP MAP Gateway 機能に よ っ て WLAN SIM 認証および許可が可能にな る だけでな く 、MAP ベース の付加機能 （ITP Multi-layer Router [MLR]） を導入すれば 「SMS ルー テ ィ ン グ」 な ど も 使用可能にな り ます。ITP Multi-layer Router に関する詳細については、 該当す る ホ ワ イ ト ペーパーを参照 し て く だ さ い。

Cisco ITP MAP Gateway ソ リ ュ ー シ ョ ンの概要

Cisco ITP MAP Gateway では、 WLAN EAP （802.1X） と GSM SIM 認証 メ カニズ ムが ト ラ ン スペア レ ン ト に融合 さ れ、 モバ イ ル ノ ー ド では、 標準的な EAP Remote Access Dial-In User Service （RADIUS） ベース の認証を使用し て、 GSM Authentication Center （AUC） に対する SIM 認証が実行で き る よ う にな り ます。 こ れに よ っ て得 ら れる利点は、 GSM 事業者がネ ッ ト ワ ー ク にWLAN ホ ッ ト ス ポ ッ ト を導入する場合、 すでに GSM サービ ス に対 し て提供 し てい る も の

と 同 じ 加入者プ ロ ビ ジ ョ ニ ン グ、 認証、 お よ びサービ ス許可の仕組みを その ま ま利用で き る こ と です。

WLAN ク ラ イ ア ン ト が SIM カー ド と SIM カー ド リ ーダーを備えていれば、Cisco ITP MAP Gateway に よ っ て、WLAN ネ ッ ト ワ ー ク で使用 さ れてい るRADIUS ベース認証 と GSM ネ ッ ト ワー ク で使用 さ れてい る SIM 認証が ト ラ ン スペア レ ン ト に相互接続 さ れます （図1 を参照）。

• GSM Home Location Register （HLR） 側か ら 見た場合、 Cisco ITP は Signaling System 7 （SS7） ネ ッ ト ワー ク 内の別 の ノ ー ド と し て動作 し ます （通常、Home Public Land Mobile Network [HPLMN] ベース の Visitor Location Register [VLR] に相当 し ます。 こ の資料の別項を参照 し て く だ さ い）。

• RADIUS サーバ側か ら 見た場合、 Cisco ITP は別の RADIUS サーバ と し て動作 し ます。

図1

Cisco ITP MAP Gateway によ り WLAN および GSM の認証を融合

Cisco ITP MAP Gateway の利点

GSM および WLAN のテ ク ノ ロ ジーを、 同一のサービ ス プ ロ バ イ ダー ネ ッ ト ワー ク 内のそれぞれ異な る地域で同時 に使用す る 場合を想定 し ます。

図2 に示すよ う に、 MAP ゲー ト ウ ェ イ ソ リ ューシ ョ ン を使用 し ない と 、 WLAN と GSM の両方を使用する サービ ス プ ロ バ イ ダーは、2 つの認証シグナ リ ン グ プ ロ セ ス を個別に維持する必要があ り ます。 こ のため、 個別のプ ロ ビ ジ ョ

ニ ン グ費用が必要 と な り 、2 つの認証サービ ス間でサービ ス品質に差が生 じ ます。 GSM ユーザは MAP SS7 ベース の

HLR と AUC に対 し て認証 さ れますが、 WLAN ユーザ （同 じ GSM ユーザが WLAN サービ ス の領域に移動 し た場合な ど） は複合的な メ カ ニズ ム （802.1X [EAP] および RADIUS ベース な ど） を使用 し て認証 さ れます。 図2 WLAN および GSM の認証シグナ リ ング プ ロ セス ： 本来は個別に動作 RADIUS IP IP _ITP SS7 AUC HLR SS7 MAP MAP-Proxy RADIUS EAP SS7 Network GSM SIM Authentication

EAP / Radius Authentication BTS IP HLR/AUC VLR Mobile phone BSC MSC Home Authentication Server (RADIUS) WLAN Access Point Client IP UDP RADIUS MTP SCCP TCAP MAP

MAP ゲー ト ウ ェ イ機能を携帯電話ネ ッ ト ワーク に導入する と （図 3 を参照）、サービ ス プ ロバイ ダーは WLAN と GSM のテ ク ノ ロ ジーを １ つのセキ ュ リ テ ィ メ カニズムに統合で き ます。 こ れには、 次のよ う な数多 く の利点があ り ます。

• 均質で よ り セキ ュ アな認証 ― Cisco ITP MAP Gateway の機能を使用する と 、 SIM カー ド を利用 し た WLAN 認証が 可能にな り ます。SIM カー ド では、 加入者 ID と エン ト ロ ピーの高い秘密鍵が、 不正開封が防止 さ れる メ モ リ に保 存 さ れます。SIM ベース の認証は、 従来の WLAN ネ ッ ト ワー ク で使用 さ れてい る ユーザ名 と パス ワー ド に よ る認 証 よ り も ハ ッ キ ン グに対す る 強度が優れてい ます。SIM 認証は、 携帯電話ネ ッ ト ワー ク で現在最 も 多 く 使用 さ れ てい る 認証 メ カ ニズ ムであ る ため、 不正行為や ク ロ ーニ ン グの リ ス ク はほ と ん ど あ り ません。 • すでに GSM ネ ッ ト ワー ク で利用 さ れてい る既存のプ ロ ビ ジ ョ ニ ン グ シ ス テ ムの再利用 ― MAP ゲー ト ウ ェ イ を 使用す る と 、 事業者はサービ ス のプ ロ ビ ジ ョ ニ ン グ と ア ク セ ス許可に既存のGSM の HLR/AUC を活用 し、 GSM ベース のサービ ス で使われてい る 既存のプ ロ セ ス を再利用で き ます。Cisco ITP MAP Gateway に よ る SIM ベース の 認証プ ロ セ ス を使用 し ない場合、WLAN サービ ス にア ク セ スする ために別の独立 し たプ ロ セ ス が必要にな る ため、

事業者は既存のHLR と AUC のほかに専用のデー タベース を導入 し、 運用する必要があ り ます。

図3

Cisco ITP MAP Gateway によ り WLAN および GSM のア ク セス セキ ュ リ テ ィ を融合

Cisco ITP MAP Gateway が提供する機能を理解する ためには、 WLAN と GSM の認証で使用 さ れてい る セキ ュ リ テ ィ メ カ ニズ ム それぞれについて理解 し てお く こ と が有効です。 こ こ か ら は、WLAN ベースおよび GSM ベース のネ ッ ト ワ ー ク に使用 さ れてい る 認証機能について個別に詳 し く 説明 し てい き ます。 さ ら に、MAP ゲー ト ウ ェ イ がどの よ う に こ れ ら の機能をWLAN および GSM ネ ッ ト ワー ク に最適な共通の機能 と し て統合 し てい る かについて説明 し ます。 802.11 および RADIUS と EAP を組み合わせた従来の認証方式 IEEE 802.1X は、 ポー ト ベース のネ ッ ト ワー ク ア ク セ ス制御を行 う ための規格です。 IEEE 802.1X を使用する と 、 認 証 さ れたユーザだけがWLAN ア ク セ ス ポ イ ン ト を経由し てネ ッ ト ワー ク にア ク セ ス で き ます。 IEEE 802.1X 規格は、 イ ーサネ ッ ト 、 ト ー ク ン リ ン グ、 お よ び802.11 WLAN な どの IEEE 802 メ デ ィ アへの認証ア ク セ ス を実現する ために 設計 さ れま し た。802.1X 規格では、 WLAN の認証フ レーム ワー ク を規定 し てお り 、 HPLMN な ど を使用 し た一元的な ユーザ認証を可能に し ます。 ただ し 、 ユーザが認証 さ れてい る か ど う か を判断す る ための特定のアルゴ リ ズ ムは規定 さ れてお ら ず、 複数のオプシ ョ ン を使用で き ます。 802.1X は EAP をサポー ト し ます。EAP は複数の認証 メ カニズ ム をサポー ト し てい る一般的な認証プ ロ ト コ ルであ り 、 イ ーサネ ッ ト 、 ト ー ク ン リ ン グ、 ま たはWLAN 上で動作 し ます。 802.1X を使用 し てい る WLAN では、 ユーザ （要求 元） はア ク セ ス ポ イ ン ト （認証者） へのア ク セ ス を要求 し ます。 認証サーバは、 多 く の場合、 サーバ と ア ク セ ス ポ イ ン ト 上の認証ピ ア間で RADIUS プ ロ ト コ ルを使用 し ます。 こ の 場合、EAP 要求元 と バ ッ ク エン ド の認証サーバ間での通信を可能にする ために、 EAP メ ッ セージは RADIUS プ ロ ト コ ルを使用 し て カプセル化 さ れます。

GSM SIM Authentication

WLAN SIM Authentication BTS IP HLR/AUC VLR Mobile phone SS7 Network BSC MSC Authentication Server (RADIUS) WLAN Access Point Client IP UDP RADIUS MTP SCCP TCAP MAP ITP

図4 に示すよ う に、 こ の複合型 EAP 認証プ ロ セ ス には 3 つの要素が含まれてい ます。

1. WLAN サービ スへのア ク セ ス を要求する ク ラ イ ア ン ト デバ イ ス ― Microsoft Windows XP オペレーテ ィ ン グ シ ス テ ムで提供 し てい る よ う な802.1X 準拠の ク ラ イ ア ン ト ソ フ ト ウ ェ アが稼働 し てい る必要があ り ます。 2. ク ラ ア イ ン ト を実際に認証する RADIUS 認証サーバ ― 認証サーバは ク ラ ア イ ン ト の ID を確認 し、WLAN サービ スへのア ク セ ス を許可す る か ど う か を ア ク セ ス ポ イ ン ト に通知 し ます。 ア ク セ ス ポ イ ン ト はプ ロ キシ と し て機能 す る ため、 認証サービ ス は ク ラ イ ア ン ト に対 し て ト ラ ン スペア レ ン ト です。 3. ク ラ イ アン ト の認証状態に基づいてネ ッ ト ワーク への物理ア ク セス を制御する ア ク セス ポ イ ン ト ― ア ク セ ス ポ イ ン ト は ク ラ イ ア ン ト と 認証サーバ間の仲介装置 （プ ロ キ シ） と し て機能 し 、 ク ラ イ ア ン ト の ID 情報要求、 認証 サーバでのID 情報確認、 および ク ラ イ ア ン ト への応答中継を行い ます。 ア ク セ ス ポ イ ン ト には RADIUS ク ラ イ ア ン ト が存在 し 、EAP フ レームのカプセル化 と カプセル化解除、 および認証サーバ と のや り と り を行い ます。 図4 802.1X および RADIUS 認証 と EAP と の組み合わせによ る認証方式 EAP およびその他の非 SIM ベー ス認証メ カ ニズムの限界 WLAN ア ク セ ス では、 すでに多様な認証アプ リ ケーシ ョ ンが開発 さ れてお り 、 実際に使用 さ れてい ます。 一般的に専 門家は、 ク ラ イ ア ン ト と サーバ間で認証のために使用 さ れ る 長期秘密鍵の種類お よ び保管場所に よ っ てセキ ュ リ テ ィ レベルを判断 し ます。 現在使用 さ れてい る 方式には、 次の3 つがあ り ます。 • 長期秘密鍵 と し て、 ク ラ イ ア ン ト と ユーザ間で英数字パス ワー ド の交換を行 う 方式。 こ の方式は、 エン ト ロ ピー が最 も 低 く 、 辞書攻撃な ど に よ る 攻撃が容易です。

• よ り 複雑な構造を持つ長期秘密鍵をユーザ デバ イ ス （PC や Personal Digital Assistant [PDA; 携帯情報端末 ] な ど） のハー ド ド ラ イ ブに保管す る 方式。 こ の方法では、 実際に使用す る メ カ ニズ ム （EAP ま たは非 EPA） が何であ ろ う と 、 長期秘密鍵を容易に調べ出す こ と がで き ます。 デバ イ ス のOS （オペレーテ ィ ン グ シ ス テ ム） 自体に不正ア ク セ ス を防止す る 仕組みがな く 、 ハー ド デ ィ ス ク 上の情報へのア ク セ ス が可能であ る ためです。 • 長期秘密鍵を ス マー ト カー ド な どの不正開封が防止 さ れ る 環境に保管す る最 も 安全で強力な方式。 こ の方式は不 正ア ク セ ス を防止す る こ と がで き 、 アプ リ ケーシ ョ ン レベルのセキ ュ リ テ ィ を実現で き る ため、 銀行や民間企業 がユーザ デバ イ スへの導入を進めています。 ス マー ト カー ド を使用する と 、秘密鍵やパス ワー ド な どの重要情報、 健康管理デー タ な ど の個人情報を安全に保管で き ます。 ま た、 公開鍵ま たは秘密鍵に よ る 暗号化な ど のセキ ュ ア プ ロ セ ス を安全に実行で き ます。 GSM ネ ッ ト ワ ー ク での SIM ベー ス認証 GSM ネ ッ ト ワー ク では、ス マー ト カー ド ベース のユーザ認証およびデータ暗号化方式が使用 さ れています。SIM カー ド はユーザの携帯電話機に挿入 さ れ る ス マー ト カー ド で、International Mobile Subscriber Identity （IMSI） と い う ID 番 号を使用 し てユーザを一意に認識 し ます。 SIM 認証は、 ユーザ と ユーザ データベース （HLR） 内にあ る AUC と の間のエン ド ツーエン ド の メ カニズムです （図 5 を参照）。 EAP Authentication 802.1x RADIUS IP Home Authentication Server (RADIUS) WLAN Access Point Client IP UDP RADIUS

図5

GSM の SIM 認証アーキテ ク チ ャ

GSM 認証プ ロ セ スは 3 つの コ ンポーネン ト で構成 さ れてい ます。

1. モバ イ ル端末 ― モバ イ ル端末には SIM カー ド が装着 さ れてお り 、 こ こ に AUC と 共有する IMSI と 秘密鍵 （Ki）、 お よ び認証アルゴ リ ズ ム （A3） と 鍵交換アルゴ リ ズ ム （A8） が保管 さ れてい ます。

2. Mobile Switching Center （MSC; 移動通信交換局） および VLR ― こ れ ら は個別の コ ンポーネ ン ト にな っ てい る場 合があ り ますが、 簡素化す る ために1 つの コ ンポーネ ン ト と し て示し ます。

3. HLR および AUC ― こ れ ら は個別の コ ンポーネン ト にな っ てい る場合があ り ますが、 簡素化する ために 1 つの コ ン ポーネ ン ト と し て示 し ます。

GSM 認証は、 チ ャ レ ン ジ / レ ス ポ ン ス方式に基づいてい ます。 SIM 上で実行 さ れる認証アルゴ リ ズ ムは、 128 ビ ッ ト の乱数 RAND をチ ャ レ ン ジ と し て使用 し ます。 次に、 SIM は事業者固有の機密アルゴ リ ズ ム （A3） を実行 し ます。 A3 では SIM に保管 さ れてい る RAND と 秘密鍵 （Ki） を入力 と し て使用 し （Ki は加入時に IMSI と と も に割 り 当て ら れ る ）、32 ビ ッ ト の応答用 Secret Response （SRES） を生成 し ます。 さ ら に、 も う 1 つのアルゴ リ ズ ム （A8） を使用 し て、Ki と RAND か ら 64 ビ ッ ト の鍵 （Kc） を計算 し ます。 こ の鍵 Kc は、 無線 イ ン ターフ ェ イ ス上の暗号鍵 と し て使 用す る こ と を目的 と し てい ます。

SIM と AUC に よ っ て算出 さ れた SRES 値は、 AUC に よ っ て比較 さ れて、 値が一致し た場合に認証が許可 さ れます。

Cisco ITP を使用し た複合型 EAP SIM 認証

すでに説明 し た よ う に、Cisco ITP MAP Gateway に よ っ て RADIUS サーバ と HLR/AUC が融合 さ れて、 SIM に類似 し た認証をGSM の HLR/AUC に対 し て実現で き ます。

• HLR 側か ら 見た場合、 Cisco ITP は VLR と し て動作 し ます。

• RADISU サーバ側か ら 見た場合、 Cisco ITP は別の RADIUS サーバ と し て動作 し ます。

図6 は、 ク ラ イ ア ン ト 、 RADIUS サーバ （ こ こ では Cisco Access Registrar）、 Cisco ITP、 および HLR/AUC の間に発生 す る デー タ フ ローの概略を示 し てい ます。 SS7 Network GSM SIM Authentication BTS HLR/AUC VLR Mobile phone BSC MSC MTP SCCP TCAP MAP

図6

Cisco ITP を使用 し た EAP SIM 認証のデー タ フ ロー

注 ： こ れはデー タ フ ローの一部であ り 、 IMSI に関連する部分のみを示 し ています。 GSM SIM 認証と の相違点

複数のRAND チ ャ レ ン ジ を使用 し て複数の 64 ビ ッ ト 鍵 Kc を生成 し、それ ら を組み合わせて特定の 802.11 暗号ス イー ト に必要なセ ッ シ ョ ン鍵を作成す る と い う 点で、EAP SIM は GSM と 異な り ます。

ま た、EAP SIM はネ ッ ト ワー ク 認証を使用し て、 GSM の基本認証 メ カニズ ム を強化し てい ます。 GSM 認証が定義 さ れた時点では、 違法なBase Transceiver Station （BTS; 無線基地局） はセキ ュ リ テ ィ 上の脅威 と は見な さ れてい ません で し た。EAP SIM ではネ ッ ト ワー ク の ク ラ イ ア ン ト チ ャ レ ン ジが定義 さ れてお り 、 メ ッ セージ認証コー ド を使っ て RAND チ ャ レ ン ジ を実行する こ と で、 相互認証を可能に し てい ます。

EAP SIM プ ロ セス ： 相互認証

ネ ッ ト ワー ク 認証

最初に、 ク ラ イ ア ン ト は、 要求元に よ っ て生成 さ れた Nonce と 呼ばれる 16 バ イ ト （128 ビ ッ ト ） 乱数を送信する こ と に よ り 、EAP、 SIM、 ま たは Start 要求に応答 し ます。 次に、 RADIUS サーバは、 その乱数 と ユーザの IMSI、 Ki、 お よ び2 つま たは 3 つの GSM 乱数 RAND[n] を使用 し て、SIM ま たは EAP チ ャ レ ン ジ パケ ッ ト に格納 さ れる 20 バ イ ト の MAC （ メ デ ィ ア ア ク セ ス制御） であ る MAC_RAND を計算 し 、 ク ラ イ ア ン ト に返 し ます。 ま た、 チ ャ レ ン ジ パ ケ ッ ト に も 、 セ ッ シ ョ ン鍵の生成に使用 さ れ る 2 つま たは 3 つの乱数 RAND[n] が含まれてい ます。 ク ラ イ ア ン ト が 最初にチ ャ レ ン ジ （すなわち、 ネ ッ ト ワー ク ） を認証 し ます。 こ の認証では、 ク ラ イ ア ン ト が固有のMAC_RAND を 計算 し 、 それを ネ ッ ト ワ ー ク か ら 受信 し たMAC_RAND と 比較 し ます。 こ れ ら が一致すれば、 ク ラ イ ア ン ト はユーザ のAUC と 接続 さ れてい る認証サーバ と 通信 し てい る と 判断 し ます。 こ れは、 ユーザの HPLMN と WLAN のア ク セ ス ポ イ ン ト 事業者 と の間に信頼関係が確立 さ れてい る こ と を示 し てい ます。 AR IP IP _ITP SS7 AUC HLR MAP-Proxy IMSI SRESc RADIUS Access-Request

GetAuthInfo, IMSI _MAP

SendAuthInfo Req (IMSI) RAND RADIUS Access-Accept AuthTriplets (RAND, SRES, Kc)_n

If (SRESc == SRES) Authenticated Else Denied

Session keys calculated from triplets may be used for encryption MAP SendAuthInfo Resp (RAND, SRES, Kc)_n A3 IMSI SRESc SRESc Ki, RAND A3 IMSI Ki, RAND

ク ラ イ ア ン ト 認証

次に、 ク ラ イ ア ン ト はRAND[n] と GSM の A3 お よび A8 アルゴ リ ズ ム を使用し て、 一致する SRES[i] と Kc[n] を それ ぞれ計算 し ます。IMSI、 Ki、 および SRES[n] は、 応答 と し て返 さ れる別の MAC （MAC_SRES） を計算する ために使 われます。 ネ ッ ト ワ ー ク は MAC_SRES を使用 し て ク ラ イ ア ン ト を認証 し ます。 SRES[n] が無線を経由 し て直接返 さ れ る こ と はないため、RAND ま たは SRES のペア を使用 し て も 、 秘密鍵 （Ki） を不正に入手する こ と はで き ません。

利点 ： 認証 メ カ ニズムの安全性向上

総合的に見 る と 、Cisco ITP MAP Gateway を 使用す る こ と に よ っ て、 GSM や Universal Telecommunications System （UMTS） 携帯電話ネ ッ ト ワー ク と 同 じ レベルの保護を実現する こ と がで き ます。 MAC_RAND ま たは MAC_SRES の 計算に使用 さ れ る デー タ 暗号鍵 Kc[n] が無線経由で送信 さ れ る こ と はあ り ません。 ネ ッ ト ワー ク と ク ラ イ ア ン ト は、 Kc[n]、 IMSI、 Nonce、 お よびバージ ョ ン情報を使用 し て、 無線 リ ン ク 上でのデー タ の暗号化に使用す る暗号鍵 （Kc） を計算 し ます。SRES も 無線経由で送信 さ れ る こ と はあ り ません。 EAP ま たは SIM に攻撃を加え る こ と に よ っ て、 GSM の ト リ プ レ ッ ト （RAND、 SRES、 Kc） のすべて を入手する方法は発見 さ れていません。

Cisco ITP MAP Gateway Protocol の適合性と イ ン タ ー オペラ ビ リ テ ィ

既存の標準 と の適合性

図7 は、 Cisco ITP MAP Gateway、 RADIUS サーバ、 お よび従来の Time Division Multiplexing （TDM; 時分割多重） ベー ス のSS7 HLR 間の イ ン ターフ ェ イ ス部分の詳細を示 し てい ます。 Cisco ITP MAP Gateway は、 モバ イ ル ネ ッ ト ワー ク におけ る 業界の主要なHLR お よび Signaling Transfer Point （STP） サプ ラ イ ヤ と の イ ン ターオペ ラ ビ リ テ ィ を確保 し て い ます。 ま た、RADIUS （Cisco Access Registrar） と の イ ン ターオペ ラ ビ リ テ ィ も すでに確保 さ れています。

図7

シ ス コ のRADIUS サーバおよび従来の SS7 HLR と のイ ン タ ー フ ェ イ ス を提供する Cisco ITP MAP Gateway

さ ら に、Cisco ITP MAP Gateway は、 Internet Engineering Task Force （IETF） の SIGTRAN M3UA および SIGTRAN SCCP User Adaptation （SUA） ベース の HLR を含めた、 従来型 と は異な る SS7 エン ド ノ ー ド と の イ ン ターオペ ラ ビ リ テ ィ も 有 し てい ます。SIGTRAN は SS7-over-IP （SS7oIP） アプ リ ケーシ ョ ンに関する IETF ベース の規格であ り 、 UMTS ネ ッ ト ワ ー ク な ど に向けて設計 さ れた も のです。

図8 に示すよ う に、 Cisco ITP は SS7 ネ ッ ト ワー ク と の イ ン ターフ ェ イ ス を確保する ために、 次の よ う な多様な実装 形態をサポー ト し てい ます。

• ITU ま たは ANSI の MTP1、 MTP2、 お よび MTP3 上での従来の SS7 プ ロ ト コ ル リ ン ク

• ATM Adaptation Layer 5 （AAL5）、 Service Specific Connection Oriented Protocol （SSCOP）、 お よび Service Specific Coordination Function （SSCF） の Node-to-Network Interface （NNI） プ ロ ト コ ル上での高速 ATM ベース リ ン ク • IETF SIGTRAN M2PA Peer-to-Peer Protocol for MTP3 over IP

• IP ネ イ テ ィ ブ SS7 HLR アプ リ ケーシ ョ ンに対する IETF SIGTRAN Client Server M3UA for SCCP over IP および SUA for MAP over IP プ ロ ト コ ル

MAPUA IP MTP1 MTP2 HLR MAP Proxy AR SS7 Network

MAP messages Authentication Req/Reply

MTP3 SCCP TCAP MAP IP Network MTP1 MTP2 MTP3 SCCP TCAP MAP IWF UDP RADIUS GTT IP AR App UDP RADIUS

図8

Cisco ITP MAP Gateway のプ ロ ト コル ス タ ッ ク

今後の標準適合性

シ ス コ の ソ リ ュ ーシ ョ ンは、SIM EAP に準拠 し てい ます。 SIM EAP と は、 認証 メ カニズ ム と し て EAP の メ カニズ ム を使用 し なが ら 、 鍵の配布にGSM の SIM を利用する方式の こ と です。 SIM EAP は将来的に IETF の正式な標準 と な る 予定です。

設定可能なCisco ITP MAP Gateway 機能

EAP SIM ベースの認証

認証要求がRADIUS サーバに送信 さ れる と 、RADIUS サーバは認証要求を Cisco ITP に転送 し ます。Cisco ITP は、MAP SendAuthInfo 要求を AUC に送信 し て認証 ト リ プ レ ッ ト を取得 し、 こ れを認証応答に埋め込んで RADIUS サーバに返

し ます。 その後、RADIUS サーバは、 ク ラ イ ア ン ト に対する標準的な認証応答を実行 し ます。

SIM ベースの許可

こ の機能を使用す る と 、EAP SIM 認証が完了済みだ と 仮定し た場合、 事業者は加入者が WLAN サービ ス の契約を結

んでい る 場合にのみ接続を許可す る こ と がで き ます （図9 を参照）。

一般的に、 許可サービ ス はHLR の加入者プ ロ フ ァ イ ルに記載 さ れています。 し か し、 大半の HLR には WLAN サー ビ ス 専用の フ ィ ール ド が存在 し ま せん。 こ れは、WLAN サー ビ ス が European Telecommunication Standards Institute

（ETSI） の勧告事項に含まれていなかっ たためです。 現在、 標準化団体が こ の機能の実装に取 り 組んでい ます。 正式 な標準化が制定 さ れ る ま での間は、 使用頻度の少ないサービ ス フ ィ ール ド を WLAN 用 と し て使用する こ と がで き ま す。Cisco ITP では、 ベア ラ サービ ス （BS） と テ レサービ ス （TS） の 2 つのフ ィ ール ド をサポー ト し ています。 HLR 加入者プ ロ フ ァ イ ル内の既存のBS ま たは TS サービ スはいずれ も 使用で き、 設定変更が可能です （一般的に、 事業 者はBS 31 を使用）。 IP

Data Path Options

SCTP MTP1 MTP2 AAL5 SCCOP SSCF-NNI M2PA UDP M3UA RADIUS MTP3 (b) SUA SCCP TCAP IS-41 MAP MAP-User API

図9

認証お よび許可プ ロ セスのデー タ フ ローの概要

ト リ プ レ ッ ト のキ ャ ッ シ ング

Cisco ITP MAP Gateway は、 設定変更可能な数の ト リ プ レ ッ ト を HLR か ら キ ャ ッ シ ュ し て、 必要に応 じ て ローカルで 認証を実行で き ます。

ま た、Cisco ITP の コ ン フ ィ ギ ュ レーシ ョ ンでは、 事業者の実装ポ リ シーに応 じ て、 同 じ ユーザの認証プ ロ セ ス が複数 回行われ る 場合に ト リ プ レ ッ ト を再利用す る こ と がで き ます。

さ ら に、 ト リ プ レ ッ ト をCisco ITP MAP Gateway のキ ャ ッ シ ュ メ モ リ に保管する時間を設定する こ と がで き ます。 性能およびキ ャ パシ テ ィ 表1 は、 Cisco ITP の主な特長を示し てい ます。 表1 Cisco ITP の特長 カ テ ゴ リ 内容 Cisco 7513 シ ャ ーシの寸法 （高 さ ×幅×奥行） 85.73 × 44.45 × 55.88 cm （33.75 × 17.5 × 22 イ ン チ） ― 高 さ 3 フ ィ ー ト 未満 Cisco 7206VXR シ ャ ーシの寸法 （高 さ ×幅×奥行） 13.34 × 42.67 × 43.18 cm （5.25 × 16.8 × 17 イ ン チ） リ ン ク キ ャパシテ ィ 最大720 の SS7 リ ン ク （Cisco 7513） 最大24 の SS7 リ ン ク （Cisco 7206VXR） 認証数 最大1800/ 秒 認証および許可数 最大400/ 秒 AR IP IP _ITP SS7 AUC HLR MAP-Proxy IMSI RADIUS Access-Request

GetAuthInfo, IMSI _{MAP SendAuthInfo Req (IMSI)}

RAND

RADIUS Access-Accept AuthTriplets (RAND, SRES, Kc)_n

Check if WLAN Service Provisioned

MAP SendAuthInfo Resp (RAND, SRES, Kc)_n MAP RestoreData Req (IMSI)

MAP InsertSubscriberData Req (profile)

MAP InsertSubscriberData Req (profile) MAP RestoreData Resp (OK)

Cisco ITP MAP Gateway の ト ポ ロ ジ ー

実際にど の よ う な ト ポ ロ ジーを採用す る かはネ ッ ト ワー ク 設計者が選択す る も のであ り 、 ネ ッ ト ワー ク の仕様に大 き く 左右 さ れます。 こ こ では、Cisco ITP 機能を集中配置ま た分散配置する こ と に よ り 、 冗長性の向上 と コ ス ト 削減を可 能にす るCisco ITP ベース の ト ポ ロ ジーの例について説明 し ます。

• 分散型 ト ポ ロ ジーでは、 Cisco ITP MAP Gateway ノ ー ド は各地域の RADIUS サーバに隣接 し て配置 （同 じデー タ セ ン タ ー内に配置） さ れます。 こ の場合、 ロ ーカルRADIUS サーバ と 同 じ数の MAP ゲー ト ウ ェ イ が配備 さ れま す。 すべてのMAP ゲー ト ウ ェ イ は、 中央の HLR ま たは AUC と SS7 接続 さ れてい ます。

• 中央集中型アーキテ ク チ ャ では、 MAP ゲー ト ウ ェ イ は 1 つだけで、 通常、 HLR ま たは AUC と と も に配置 さ れま す。 こ の場合、 ロ ーカルRADIUS サーバ と の間に複数の RADIUS 接続が確立 さ れます。 長距離 リ ン ク は IP ベー ス で、 ト ポ ロ ジーに応 じ て既存のIP ネ ッ ト ワー ク を利用する こ と に よ り 、 伝送コ ス ト を削減で き ます。 Cisco ITP と RADIUS サーバ間の IP リ ン ク 上で IP Security （IPSec） を使用する と 、 重要なシグナ リ ン グ ト ラ フ ィ ッ ク を保 護で き ます。

• そのほかに、 Cisco ITP の SIGTRAN IP ベース M2PA バ ッ ク ホール機能を利用する ト ポ ロ ジーがあ り ます。 こ の ト ポ ロ ジーでは、各 ロ ーカル データ セン ターに リ モー ト MAP ゲー ト ウ ェ イ を配置 し、中央集中型 MAP ゲー ト ウ ェ イ をHLR ク ラ ス タ と と も に配置 し ます。中央の MAP ゲー ト ウ ェ イ は、SIGTRAN M2PA と い う IETF 標準の SS7oIP ピ ア ツーピ ア プ ロ ト コ ルを使用 し て、 リ モー ト MAP ゲー ト ウ ェ イ と 通信 し ます。

Cisco ITP MAP Gateway の信頼性と冗長性

ノ ー ド およびアーキテ ク チ ャ の冗長性

Cisco ITP MAP Gateway 製品は、実績のあ る Cisco 7500 ま たは Cisco 7200VXR シ リ ーズ ルータ のハー ド ウ ェ ア プ ラ ッ ト フ ォームに組み込む設計にな っ てい ます。Cisco 7500 および 7200VXR シ リ ーズ ルータ は、 通信、 医療、 銀行、 証 券、 航空、 お よ び官公庁な ど の、 高い信頼性 と アベ イ ラ ビ リ テ ィ が要求 さ れ る 業界で幅広 く 使用 さ れてい ます。 シ ス コ のCustomer Advocacy 部門では、 Cisco 7500 シ リ ーズのハー ド ウ ェ ア と ソ フ ト ウ ェ アの Mean Time Between Failure （MTBF; 平均故障間隔） と Mean Time To Repair （MTTR; 平均復旧時間） をモニ タ し てい ます。 お客様の使用実績に よ る と 、 単一の Cisco ITP で 「シ ッ ク ス ナ イ ン」 （99.9999％） のアベ イ ラ ビ リ テ ィ が実現 さ れてい ます。 こ れを年間の 停止時間に換算す る と 約1 秒にな り ます。 完全に冗長なCisco ITP プ ラ ッ ト フ ォーム を使用する と 、 リ ン ク 、 ポー ト アダプ タ、 ま たは中央処理装置に障害が発 生 し た場合の ス イ ッ チオーバーが可能にな り 、 サービ ス の停止時間を最小限に抑え る こ と がで き ます。 ス イ ッ チオー バーの際に ト ラ フ ィ ッ ク が中断 さ れ る と 、 パケ ッ ト が消失す る ため、RADIUS サーバは再送を行い ます。 リ ン ク が再 度確立 さ れ る と 、HLR と RADIUS サーバか ら のパケ ッ ト は MAP ゲー ト ウ ェ イ で再度処理 さ れます。 ま た、 アーキ テ ク チ ャ その も のを冗長構成に し て、 負荷分散やバ ッ ク ア ッ プ用に複数のITP を使用する こ と も で き ま す。 特に、Cisco Access Registrar を使用する と 、 複数の ITP MAP ゲー ト ウ ェ イ を定義で き ます。 こ の場合、 MAP ゲー ト ウ ェ イ に障害が発生す る と 、 ト ラ フ ィ ッ ク はバ ッ ク ア ッ プITP に リ ダ イ レ ク ト さ れます。 複数の ITP を ラ ウ ン ド ロ ビ ン方式で使用す る よ う にRADIUS サーバを設定する こ と も で き ます。

ネ ッ ト ワ ー ク管理

Cisco ITP のネ ッ ト ワー ク 管理 ソ リ ューシ ョ ンは、 Cisco Signaling Gateway Manager （SGM） と 既存のシ ス コ製お よび サー ド パーテ ィ 製のIP ネ ッ ト ワー ク 管理製品を融合 さ せます。 Cisco SGM を CiscoWorks、 CiscoView、 お よび Agilent acceSS7 や HP OpenView な どのエ コ シ ス テ ム パー ト ナー製品 と 併せて使用する と 、 Cisco ITP SS7 ネ ッ ト ワー ク のエ ン ド ツーエン ド の管理ス イ ー ト を実現で き ます。 こ れに よ り 、 ネ ッ ト ワー ク 管理者はCisco ITP ネ ッ ト ワー ク の検出、 管理、 お よ び ト ラ ブルシ ュ ーテ ィ ン グ を行 う こ と がで き ます。 市販のSS7 ネ ッ ト ワー ク 管理アプ リ ケーシ ョ ン （エン

ド ツーエン ド の コ ール ト レース、 パケ ッ ト 分析、 および長期 ト レ ン ド 分析な ど） の主要ベンダー と の連携に よ り 、 こ の管理 ソ リ ュ ーシ ョ ンでは、 既存のSS7 管理アプ リ ケーシ ョ ン と の迅速な統合が可能 と な っ てい ます。

Cisco SGM は、 ネ ッ ト ワー ク 管理者が Cisco ITP ネ ッ ト ワー ク の SS7oIP レ イ ヤを管理で き る よ う にする ソ フ ト ウ ェ ア アプ リ ケーシ ョ ンです。Cisco SGM は ク ラ イ ア ン ト / サーバ アーキテ ク チ ャ で、 Windows、 Solaris、 および Web ベー ス ク ラ イ ア ン ト をサポー ト し てい ます。図 10 は、Cisco SGM に よ る SS7oIP ネ ッ ト ワー ク の ト ポ ロ ジー表示の画面です。

図10

Cisco SGM の ト ポロ ジー表示

ま と め

ネ ッ ト ワ ー ク にCisco ITP MAP Gateway の機能を導入する と 、モバ イ ル事業者は既存の GSM アーキテ ク チ ャ に WLAN テ ク ノ ロ ジーを容易に統合 し 、 高レベルで均質なセキ ュ リ テ ィ と サービ ス ア ク セ ス許可を実現で き ます。 さ ま ざ ま な

中央集中型ま たは分散型のオプシ ョ ンが用意 さ れてい る ため、Cisco ITP MAP Gateway は柔軟な実装が可能です。 ま

た、Cisco ITP は、 ITU、 ANSI、 および IETF SS7oIP の各種標準をサポー ト し てい る ため、 さ ま ざ ま な方法で GSM 事 業者のHLR と の イ ン ターフ ェ イ ス を確保で き ます。

Cisco ITP MAP Gateway は、 Cisco 7200VXR シ リ ーズおよび Cisco 7500 シ リ ーズ上で提供 さ れる ため、 使用状況に合 わせて リ ン ク 密度、 性能、 お よ び冗長性を柔軟に選択で き ます。Cisco ITP MAP Gateway を Cisco 7500 シ リ ーズに導 入 し て高い処理能力 を 得 る こ と に よ り 、 ネ ッ ト ワ ー ク と ト ラ フ ィ ッ ク を同一プ ラ ッ ト フ ォ ーム上で拡張で き ま す。 Cisco ITP MAP Gateway を使用すれば、 モバ イ ル事業者は新たな技術を容易に導入する こ と がで き ます。

略語の解説

AUC ： GSM Authentication Center （認証セン ター） AP ： WLAN Access Point （ア ク セ ス ポ イ ン ト ）

CAR ： Cisco CNS Access Registrar （シ ス コ の EAP 対応 RADIUS 製品） EAP ： Extensible Authentication Protocol （RFC 2284）

GSM ： Global System for Mobile Communications （第 2 世代携帯電話 [2G] ネ ッ ト ワー ク の ETSI 規格） HLR ： Home Location Register （GSM ネ ッ ト ワー ク の加入者データベース）

IMSI ： International Mobile Subscriber Identity HPLMN ： Home Public Land Mobile Network

ITP ： Cisco IP Transfer Point （SS7 および IP ネ ッ ト ワー ク のシグナ リ ン グ ゲー ト ウ ェ イ ）

MAP ： Mobile Application Part （携帯電話ネ ッ ト ワー ク 内でのモビ リ テ ィ 管理シ グナ リ ン グの ETSI GSM 規格） MS ： Mobile Station （モバ イ ル端末）、 GSM ネ ッ ト ワー ク 内では携帯電話機に相当

RADIUS ： Remote Access Dial-In User Service

SIM ： Subscriber Identity Mobile （GSM 加入者を一意に識別する）

UMTS ： Universal Telecommunications System （第 3 世代携帯電話シ ス テ ムの 3GPP 規格）

VLR ： Visitor Location Register （加入者の HLR プ ロ キシ と し て機能する ローカル GSM デー タベース） WLAN ： Wireless LAN （IETF 802.11 規格 よ り ）

©2004 Cisco Systems, Inc. All rights reserved.

Cisco、 Cisco Systems、 および Cisco ロゴは米国およびその他の国における Cisco Systems, Inc. の商標または登録商標です。 この文書で説明した商品、 サービスはすべて、 それぞれの所有者の商標、 サービスマーク、 登録商標、 登録サービスマークです。 この資料に記載された仕様は予告なく変更する場合があります。