5.3 – ARQUITETURAS PARA ROAMING WLAN

Com a abrangência das redes WLAN surgiu necessidade de se definir arquiteturas para

Servidor de Autenticação

AP

(Authenticator) Estação (Supplicant)

802.11 Probe Request/Response Autenticação 802.11 open-system Associação 802.11 Autenticação 802.1x/EAP PMK Envio de PMK _PMK 4-Way Handshake PTK GTK PTK GTK Transferência de dados segura

Group Key Handshake

GTK GTK

Transferência de dados segura

Porta controlada 802.1x não autorizada Porta controlada 802.1x autorizada

padronização oferecido pelo IEEE e IETF, algumas iniciativas surgiram para definir um escopo mínimo de requerimentos e interfaces. Entre estas, podemos citar a iniciativa IRAP (International Roaming Access Protocols), descrita abaixo, e as orientações propostas pelo GSMA (GSM Association) no documento IR.61 [80].

O programa original para o desenvolvimento da iniciativa IRAP começou como uma colaboração entre o fabricante Intel e o a autoridade de desenvolvimento de Singapura IDA (Infocomm Development Authority of Singapore). A iniciativa original previa o desenvolvimento e validação de uma arquitetura completa fim-a-fim, baseada em padrões reconhecidos, para roaming de dispositivos entre redes WLAN e entre redes WLAN e WWAN [65]. Esta iniciativa original se transformou em uma entidade formada por fabricantes e operadoras de redes WLAN que foi responsável pela definição da arquitetura IRAP, descrita em [19].

A arquitetura IRAP visa definir um framework e as interfaces para redes de acesso WLAN (hot spots) com o objetivo de permitir roaming entre redes WLAN públicas, eliminado as barreiras técnicas para autenticação do usuário visitante na sua rede caseira e para cobrança do mesmo quando utilizar uma rede visitada [19]. Um dos princípios que norteiam especificação do IRAP é a utilização dos padrões existentes ou em desenvolvimento entre diferentes órgãos de padronização, tais como 3GPP, ETSI, IEEE, IETF e GSMA, em uma arquitetura concisa e prática.

Nenhum novo protocolo foi definido, mas sim reutilizado os trabalhos existentes com os padrões IEEE 802.1x [7] e 802.11i [32] em uma arquitetura de servidores AAA implementando o protocolo RADIUS [11]. O framework IRAP suporta métodos de autenticações baseadas no padrão IEEE 802.1x, bem como baseadas em UAM (Universal

Access Method), que consiste no redirecionamento do tráfego HTTP para um portal de

autenticação para o usuário se identificar manualmente através de informação de usuário e senha. A figura 5.21 ilustra o framework da arquitetura proposta e as premissas básicas adotadas.

Figura 5.21 – Framework da arquitetura IRAP (IRAP, modificado [19])

Uma dos pontos principais da arquitetura é a definição de um conjunto de interfaces que possam suportar roaming seguro e com abrangência mundial. Estas interfaces devem definir um conjunto básico comum de recursos necessários para garantir interoperação e resolver ambiguidades no roaming em redes WLAN públicas. Um dos problemas atacados é a falta de perfil padronizado para interconexões AAA baseada em protocolo RADIUS. Este problema pode ser resolvido através de acordos bilaterais entre provedores de serviços interessados, mas esta solução não tem fator de escala, considerando um cenário de interconexão global entre múltiplos provedores de serviço. Um dos objetivos é evitar a existência de uma grande base instalada de redes fragmentadas e com implementações incompatíveis, conforme descrito em [19].

As interfaces padrões definidas preveem a troca de informações de autenticação, contabilização e gerência entre provedores de roaming em redes públicas WLAN. Na especificação IRAP, o termo interface é utilizado para indicar um protocolo ou um conjunto de protocolos e suas respectivas configurações e perfil entre dois sistemas [19]. Quatro interfaces foram propostas, conforme ilustrado na figura 5.22. Cada elemento de rede mostrado possui interfaces que podem necessitar se adequar ao padrão.

Tipos de credenciais:

Usuário/Senha SIM/USIM Certificados

Rede de Acesso / Provedor de Serviço Visitado

Intermediário/

Agregador Operador Celular GSM, WCDMA (Provedor de Serviço Caseiro)

Tarifação / Clearing House Servidor RADIUS AAA AP Servidor RADIUS AAA Servidor RADIUS AAA HLR/HSS AAA Registros de Tarifação Estação Móvel Rede de Acesso Intermediária N N >= 0 Provedor de Serviços Caseiro 1S 1A 2A 3A 2I-H 3I-H 2I-A 3I-A 2H 3H 1 2 3 2 3

Figura 5.22 – Interfaces IRAP (IRAP, modificado [19])

Os termos “1S”, “1A” e assim por diante são utilizados para identificar as terminações das

interfaces. “1S” refere à terminação da interface 1 que é suportada pela estação móvel e

“1A” refere à terminação da interface 1 que é suportada pela rede de acesso. As demais terminações mostradas na figura 5.22 devem ser interpretadas de forma similar.

A descrição geral das interfaces é:

a) Interface 1: Estação Móvel para Rede de Acesso. Esta interface suporta clientes de autenticação baseados em navegadores Web e os métodos de nova geração definidos pelos padrões IEEE 802.1x e 802.11i;

b) Interface 2: Rede de Acesso para o sistema de autenticação da rede caseira do usuário. A interface 2 suporta conexões AAA para autenticação e autorização de serviços entre a rede visitada WLAN e a rede caseira do usuário em roaming.

c) Interface 3: Rede de Acesso para o sistema de tarifação da rede caseira do usuário. A

interface 3 provê dados de contabilização para permitir a cobrança de forma escalar e

consistente para múltiplas redes caseiras e modelos de cobrança. Devido à necessidade de suporte a auditoria, não-repudiação e gerência de fraude esta interface tem elementos comuns à interface 2;

d) Interface 4: Rede de Acesso para o sistema operacional da rede caseira do usuário. A

interface 4 permite a segregação de falhas no momento em que elas ocorrem, via

mecanismo de diagnóstico remoto.

Em muitos sistemas reais implantados podem ser envolvidos intermediários para os serviços de roaming e de contabilização. Estes intermediários também necessitam suportar as interfaces 2 e 3 e devem ser testados quanto à conformidade das mesmas.

A interface 3 trata dos aspectos de contabilidade do protocolo AAA e na maioria dos casos termina no servidor AAA da rede caseira do usuário final. Entretanto, a separação dos requerimentos de autenticação e autorização dos de contabilidade em duas interfaces possibilita à rede caseira realizar a terceirização dos aspectos de contabilização para outra entidade, através da interface 3 [19].

Para cada uma das interfaces listadas existe um conjunto de requerimentos definidos em [19], alguns dos quais são indicações de trabalhos em andamento dentro do IETF, principalmente no que diz respeito à necessidade de novos atributos no protocolo RADIUS.

A interface 1 tem como requerimento básico o suporte ao padrão IEEE 802.1x [7] e 802.11i [32], principalmente no que diz respeito à utilização de criptografia e segurança (WPA2). Outro requerimento fundamental é que todos os elementos a se interconectar através desta interface tenham certificação da WFA (Wi-Fi Alliance).

A interface 2 tem como requerimento básico o suporte ao protocolo RADIUS [11] e de algumas das extensões definidas para o mesmo, tais como: accounting e suporte a EAP. Um dos requisitos mais realçados é o suporte aos atributos Idle-Timeout e Session-Timeout para permitir a rede desconectar terminais sem atividade por longo período, bem como, terminais que tenha esgotado alguma temporização de sessão, como por exemplo: expiração de crédito de conta pré-paga. Estes requerimentos são válidos para a interface 2 da rede de acesso, da rede caseira e da rede intermediária.

A interface 3 tem como requerimento básico o suporte a RADIUS [11] e às extensões de

accounting. Os requisitos principais a serem suportados são: mensagens de início e de fim

de sessão (por desconexão, inatividade, temporização); envio de mensagens interinas de contabilização; identificação da sessão entre diferentes entidades físicas, e; envio de volta do atributo de identidade do usuário.

A interface 3 da rede intermediária necessita também ser capaz de realizar proxy da mensagens de accounting, podendo também introduzir algum atributo de classe caso necessário. Algumas extensões necessárias para a interface 3, prevendo suporte a contas pré-pagas e a localização do terminal ainda estão em discussão dentro do IETF [19].

A interface 4 ainda está em discussão no documento em referência [19], mas os requisitos a serem suportados são relacionados à monitoração e relatório de parâmetros de nível de serviço, ou SLA. A utilização de protocolos in-band tal como SNMP é prevista, bem como

A arquitetura IRAP é compatível com as recomendações do GSMA descritas no documento IR61[80] e foi utilizada como base para o padrão ETSI/TISPAN TS 183 020 [81] sobre roaming em acessos NGN. O que se verifica na prática é que as interfaces definidas pelo IRAP são muito complexas e foram resumidas para transportar as informações de autenticação, autorização e contabilização dos terminais em roaming. Como exemplo, no padrão ETSI referenciado acima, as interfaces entre a rede visitada, as redes intermediárias e a rede caseira são únicas, denominadas e5, e transportam somente informações de AAA (Authentication, Authorization and Accounting).