Hlavní navigace

Roaming mezi WLAN a GSM

Rita Pužmanová 14. 10. 2004

Co všechno obnáší realizace roamingu mezi dvěma docela odlišnými sítěmi, WLAN a mobilní sítí (GSM/GPRS nebo UMTS)? Ponecháme-li stranou obchodní záležitosti, zbude nám řada technických problémů nejen pro zajištění bezpečnosti při komunikaci mezi WLAN hotspoty a mobilní sítí. Jak se s nimi vypořádat?

Nad tématem roamingu a WLAN jsme se na těchto stránkách sešli již dvakrát. A jako by to nebylo málo, stále je ještě k tomuto tématu třeba něco dodat. Nejprve jsme si objasnili, jak je to s předáváním uživatele mezi sousedícími přístupovými body WLAN v jedné homogenní bezdrátové síti, síti jednoho subjektu (vlastníka, provozovatele i uživatele), typicky podnikové síti. Minule jsme se z většího odstupu podívali na možnosti a vůbec důvody, proč by mohlo být zajímavé využít „propojení“ WLAN s mobilní sítí, které může uživatelům nabídnout vlastně trvalé bezdrátové připojení k Internetu, respektive podnikové síti. Zaměřili jsme se zejména na využití hotspotů, veřejných přístupových míst realizovaných právě WLAN. Ale v podstatě principiálně stejná je možnost využít roamingu mezi WLAN a mobilní sítí pro výše zmiňované podnikové uživatele, kteří by mohli ušetřit na mobilních poplatcích při přechodu do WLAN, kdykoli jsou v její blízkosti.

Celý roamingový miniseriál jsme začali diskusí o bezpečnosti roamingu ve WLAN, takže se také dnes soustředíme především na bezpečnostní záležitosti, které je třeba řešit při připojení k hotspotům a mobilní síti.

AAA v hotspotech

Ve veřejných přístupových sítích se aplikuje bezpečnostní architektura AAA (Authentication, Authorization and Accounting) pro autentizaci, autorizaci a účtování. Autentizace ověřuje uživatele typicky na základě uživatelského jména a hesla pomocí autentizačního serveru. Autorizace se odehrává pro každou transakci a AP tak dostává informace o tom, která spojení může povolit a co uživatel smí dělat.

V rámci účtování je potřeba zaznamenat veškeré relace uživatelů, včetně jejich délek. Získaná data slouží nejen pro vyúčtování zpoplatněných služeb, ale také pro plánování kapacity sítě, bezpečnostní analýzu a audit. Systém účtování musí spolupracovat mezi různými bezdrátovými ISP (WISP) i mobilními provozovateli, protože uživatelé chtějí mít pokud možno jedinou dohodu s jedním poskytovatelem služby a od něj dostávat jeden účet za různé služby.

S WiFi aliancí spolupracuje otevřené konsorcium Internet Protocol Detail Record Organization (IPDR.org), jehož úkolem je podporovat jednotné účtování mezi různorodými provozovateli nejen bezdrátových sítí. Pro potřeby WLAN vznikl koncept přístupu k veřejným WLAN s univerzálním účtem WLANAS (WLAN Accounting and Settlement) na základě sjednocených prostředků výměny informací a finančního vyrovnání mezi roamingovými partnery.

Jako AAA server se typicky u hotspotů používá RADIUS (Remote Authentication Dial-In User Service). Ten je zde téměř důležitější než v podnikových sítích, protože ve veřejných přístupových sítích působí více subjektů a navíc uživatelé stále častěji žádají možnost roamingu mezi různými sítěmi a provozovateli.

Jakmile se ve veřejné WLAN uživatel autentizuje a autorizuje, musí se ochránit jeho komunikace před odposlechem. Utajení dat lze realizovat na různých úrovních. Na druhé vrstvě – mezi klientem a přístupovým bodem – lze šifrovat přenášená data pomocí WPA nebo pomocí 802.11i (více informací o bezpečnosti ve WLAN viz WLAN konečně bezpečné a Bezpečnost WLAN opět v řečech). Relační klíče pro jednotlivé uživatele se generují a distribuují během výměny autentizačních údajů s domácím AAA serverem. To eliminuje potřebu konfigurace MAC adres a klíče předem na přístupovém bodu.

Pro ochranu dat přenášených přes Internet jako veřejnou nezabezpečenou síť je třeba pro koncové zabezpečení využít vyšších úrovní zabezpečení. Nejčastěji se uplatní VPN, která umožní komunikaci přes Internet prostřednictvím zabezpečených tunelů mezi klientem a firemní sítí (branou VPN).

Bezpečnost přístupu k hotspotu

Přístup k WLAN není povolen, dokud neproběhne řádně a úspěšně vlastní autentizace. Nejčastěji používanou metodou pro přístup uživatelů k hotspotu je UAM (Universal Access Method), která klade na uživatele minimální nároky a je velice jednoduchá na implementaci. Výhodou logování přes web je jeho univerzalita, protože není závislé na zařízení.

Autentizace probíhá prostřednictvím klasického webového rozhraní, kdy uživatel zadá své uživatelské jméno a heslo, které se pro ověření předá AAA serveru. Nevýhodou jsou bezpečnostní slabiny tohoto přístupu, protože hrozí únos webové relace a nejsou chráněna data. Únos může znamenat také odhalení identifikačních údajů uživatele – webovému serveru navštívené sítě, falešnému AP nebo roamingovému partnerovi.

Proto je potřeba ochránit login nejlépe prostřednictvím jednorázového hesla (OTP, One Time Password) na stírací kartě nebo zaslaného ve zprávě SMS na mobilní telefon a ochránit login uživatele prostřednictvím HTTPS. Ochrana přenášených data není takto zajištěna, takže se doporučuje použít IP VPN. Webová autentizace je obecně řešením pro situace, kde zabezpečení spočívá na bedrech uživatele spíše než na správci sítě.

Autentizace podle 802.1×/EAP

Silnější autentizace uživatelů probíhá na základě 802.1×, konkrétně metod EAP (Extensible Authentication Protocol) pro vzájemnou autentizaci, případně založenou na certifikátech. V závislosti na možnostech použitého koncového zařízení a také na uživatelském profilu (pravidelný zákazník-předplatitel, nebo náhodný uživatel) lze využít různých metod autentizace. Služby dostupné pro uživatele jsou ihned po úspěšné autentizaci prostřednictvím EAP automaticky zpřístupněny.

Jednou z možností je řízení přístupu na bázi 802.1× s EAP na bázi SIM (Subscriber Identity Module) karty. Metoda EAP-SIM je výhodná pro služby veřejných WLAN prostřednictvím provozovatelů GSM sítí, kteří SIM karty běžně používají pro úschovu identifikačních údajů pro autentizaci uživatele daného zařízení. V tomto případě se posílají identifikační údaje uživatele na HLR (Home Location Register) prostřednictvím AAA serveru (viz obrázek). Tato metoda je využitelná v případě předplatitele služeb daného provozovatele a samozřejmě vyžaduje SIM kartu na koncovém zařízení. Umožňuje plně využít stávající (bezpečnostní) infrastrukturu sítě a podporuje roaming a bezpečnou autentizaci.

1390
Autentizace pomocí SIM

Normalizovaná technologie čipových karet pro WLAN zatím neexistuje, ale pro účel vzájemné spolupráce bylo založeno průmyslové sdružení WLAN Smart Card Consortium, jehož členy jsou výrobci čipových karet, bezdrátových produktů a akademické instituce. Koncem roku 2003 konsorcium schválilo specifikaci WLAN-SIM V1.0, která definuje rozhraní pro autentizaci, distribuci relačních klíčů a management identity na základě 802.1× a EAP-SIM.

Pro prostředí UMTS se pracuje na metodě autentizace EAP-AKA (Authentication and Key Agreement) s využitím USIM (Universal SIM), „vylepšené“ SIM karty. AKA je založena na mechanizmu výzva-odpověď a symetrickém šifrování. Na rozdíl od GSM používá vzájemnou autentizaci a delší klíče.

Na světě je také nový návrh další metody EAP pro ověřování na základě obecně čipové karty, EAP-SC (Smart Card), který může podporovat i výše zmíněnou autentizaci pomocí SIM či USIM.

Jednotný rámec AAA

Cílem roamingu mezi veřejnými WLAN a mobilními sítěmi je umožnit uživateli, aby měl jedinou smlouvu se svým „domácím“ provozovatelem, na jehož AAA serveru jsou uloženy všechny potřebné údaje pro autentizaci (např. sdílené klíče), pro autorizaci a účtování a také profil uživatele (např. třída služeb, minimální šířka pásma). Tento jediný účet má uživateli zajistit volný pohyb mezi různými „cizími“ sítěmi (s jejichž provozovateli má provozovatel roamingové dohody) s možností přístupu k datovým a jiným službám, a to s jediným vyúčtováním. Cizí síť si musí před povolením přístupu uživatele vyžádat ověření jeho identity právě v domovské síti.

Vlastní roaming pak probíhá na základě využití protokolů pro AAA jako RADIUS nebo DIAMETER a sítí zprostředkovatelů AAA (broker, proxy).

Server AAA v navštívené síti vyšle požadavek na autentizaci uživatele AAA serveru domácí (mobilní) sítě. Požadavek se může předávat přes AAA proxy. Většina serverů RADIUS podporuje AAA proxy. Server autentizuje uživatele a dotáže se HLR na autentizaci pro mobilní síť. Pokud je autentizace v domácí síti úspěšná, AAA ve WLAN dostane informaci o možnosti povolit přístup uživatele do sítě. AAA v navštívené síti pak pošle informaci pro zúčtování do domácí sítě.

Oslovený RADIUS server zkontroluje doménovou část uživatelského jména klienta, který se chce připojit do sítě, v závislosti na doménovém jméně rozhodne, zda může autentizovat uživatele lokálně, nebo zda má předat prostřednictvím proxy požadavek na externí server. Specifický proxy (broker, clearing house) se stará o všechny zprávy AAA mezi WISP (přitom každý RADIUS server na cestě si uchovává vlastní zprávy). Po autentizaci uživatele na domácím serveru se odpověď dostane do RADIUS serveru navštívené sítě prostřednictvím clearing house proxy. Tento centrální proxy se kromě autentizace stará také o účtování.

EBF16

Pěkné řešení mezinárodního roamingu v akademických sítích na bázi hierarchické struktury RADIUS serverů reprezentuje projekt eduRoam, jehož koordinátorem je sdružení CESNET a který slouží v pan-evropském měřítku těm, kdo jsou připojeni do sítě CESNET2.

Roaming budoucnosti

Roaming mezi veřejnými přístupovými WLAN a mobilními sítěmi je komplexní problematika, na jejímž řešení se stále pracuje. Pohodlná autentizace na základě SIM, umožňující jednotnou autentizaci a účtování (na základě jedné smlouvy a jednoho účtu u mobilního provozovatele, za telefonní i datové služby), není dosud ošetřen žádnou normou, ale tyto snahy podporují organizace jako SIM Alliance nebo Unlicensed Mobile Access (UMA).

Anketa

Jaké alternativy roamingu WLAN/GSM se Vám zamlouvají?

Našli jste v článku chybu?
Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Skylink: Cinemax 2 nejspíše až 2017

Skylink: Cinemax 2 nejspíše až 2017

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma