Cisco IP Transfer Point

Cisco ITP MAP GatewayによるパブリックWLANのSIM認証および許可

ダウンロード
Cisco ITP MAP GatewayによるパブリックWLANのSIM認証および許可

ホワイト ペーパー


Cisco ITP MAP Gatewayによる


パブリックWLANのSIM認証および許可


概要

高速ワイヤレス データ サービスの必要性を意識するGlobal System for Mobile Communications(GSM)モバイル事業者が増えています。これらの事業者は、既存の2.5Gおよび将来の第3世代携帯電話(3G)アクセスおよびサービスを補完するものとして、自社のサービスおよびアクセス ポートフォリオへのWireless LAN(WLAN;ワイヤレスLAN)テクノロジーの導入を決定しています。

このようなサービスへのアクセスには、適切なユーザ認証が不可欠です。このため、シスコシステムズでは、実績ある既存のGSMベースのユーザ認証と既存のGSMプロビジョニング ファシリティを使用したWLAN加入者認証の実現へ向けた取り組みを開始しました。

認証プロセスは、あらゆるユーザ トランザクションにとって重要です。市場に投入された初期のWLANシステムでは、ユーザ名とパスワードに基づく認証プロセスが使用されていました。当初はSecure Hypertext Transfer Protocol(HTTPS)Webページを通じて証明書を入力していましたが、これらは後にExtensible Authentication Protocol(EAP;拡張認証プロトコル)(RFC 2284)、つまり802.1Xベースのソリューションへと進化しています。EAP(802.1X)を使用することにより、たとえば、GSMネットワーク内で現在使用されている同様の技術に比べ、より高いエントロピーを持つ共有秘密鍵および暗号鍵交換をサポートする認証方式への移行が促進されます。

WLAN技術で使われている認証および許可メカニズムと、既存のGSMベースの認証およびプロビジョニング モデルとを橋渡しする必要性を認識したシスコシステムズは、Cisco IP Transfer Point(ITP)Mobile Application Part(MAP)Gateway機能を開発しました。Cisco ITP MAP Gateway機能を使用すると、既存のGSMサービス プロバイダーはSubscriber Identity Mobile(SIM)カードを使用して、802.11テクノロジーを既存のGSMネットワークに完全に統合できます。この場合、Cisco ITP MAP Gatewayは、シスコのパブリックWLANソリューション アーキテクチャの一部となります。

Cisco ITP MAP Gateway機能によってWLAN SIM認証および許可が可能になるだけでなく、MAPベースの付加機能(ITP Multi-layer Router [MLR])を導入すれば「SMSルーティング」なども使用可能になります。ITP Multi-layer Routerに関する詳細については、該当するホワイト ペーパーを参照してください。

Cisco ITP MAP Gatewayソリューションの概要

Cisco ITP MAP Gatewayでは、WLAN EAP(802.1X)とGSM SIM認証メカニズムがトランスペアレントに融合され、モバイル ノードでは、標準的なEAP Remote Access Dial-In User Service(RADIUS)ベースの認証を使用して、GSM Authentication Center(AUC)に対するSIM認証が実行できるようになります。これによって得られる利点は、GSM事業者がネットワークにWLANホット スポットを導入する場合、すでにGSMサービスに対して提供しているものと同じ加入者プロビジョニング、認証、およびサービス許可の仕組みをそのまま利用できることです。

WLANクライアントがSIMカードとSIMカード リーダーを備えていれば、Cisco ITP MAP Gatewayによって、WLANネットワークで使用されているRADIUSベース認証とGSMネットワークで使用されているSIM認証がトランスペアレントに相互接続されます(図1を参照)。

  • GSM Home Location Register(HLR)側から見た場合、Cisco ITPはSignaling System 7(SS7)ネットワーク内の別のノードとして動作します(通常、Home Public Land Mobile Network [HPLMN]ベースのVisitor Location Register [VLR]に相当します。この資料の別項を参照してください)。
  • RADIUSサーバ側から見た場合、Cisco ITPは別のRADIUSサーバとして動作します。

図1
Cisco ITP MAP GatewayによりWLANおよびGSMの認証を融合

Cisco ITP MAP Gatewayの利点

GSMおよびWLANのテクノロジーを、同一のサービス プロバイダー ネットワーク内のそれぞれ異なる地域で同時に使用する場合を想定します。

図2に示すように、MAPゲートウェイ ソリューションを使用しないと、WLANとGSMの両方を使用するサービス プロバイダーは、2つの認証シグナリング プロセスを個別に維持する必要があります。このため、個別のプロビジョニング費用が必要となり、2つの認証サービス間でサービス品質に差が生じます。GSMユーザはMAP SS7ベースのHLRとAUCに対して認証されますが、WLANユーザ(同じGSMユーザがWLANサービスの領域に移動した場合など)は複合的なメカニズム(802.1X[EAP]およびRADIUSベースなど)を使用して認証されます。


図2
WLANおよびGSMの認証シグナリング プロセス:本来は個別に動作

MAPゲートウェイ機能を携帯電話ネットワークに導入すると(図3を参照)、サービス プロバイダーはWLANとGSMのテクノロジーを1つのセキュリティ メカニズムに統合できます。これには、次のような数多くの利点があります。

  • 均質でよりセキュアな認証 ? Cisco ITP MAP Gatewayの機能を使用すると、SIMカードを利用したWLAN認証が可能になります。SIMカードでは、加入者IDとエントロピーの高い秘密鍵が、不正開封が防止されるメモリに保存されます。SIMベースの認証は、従来のWLANネットワークで使用されているユーザ名とパスワードによる認証よりもハッキングに対する強度が優れています。SIM認証は、携帯電話ネットワークで現在最も多く使用されている認証メカニズムであるため、不正行為やクローニングのリスクはほとんどありません。
  • すでにGSMネットワークで利用されている既存のプロビジョニング システムの再利用 ? MAPゲートウェイを使用すると、事業者はサービスのプロビジョニングとアクセス許可に既存のGSMのHLR/AUCを活用し、GSMベースのサービスで使われている既存のプロセスを再利用できます。Cisco ITP MAP GatewayによるSIMベースの認証プロセスを使用しない場合、WLANサービスにアクセスするために別の独立したプロセスが必要になるため、事業者は既存のHLRとAUCのほかに専用のデータベースを導入し、運用する必要があります。

図3
Cisco ITP MAP GatewayによりWLANおよびGSMのアクセス セキュリティを融合

Cisco ITP MAP Gatewayが提供する機能を理解するためには、WLANとGSMの認証で使用されているセキュリティ メカニズムそれぞれについて理解しておくことが有効です。ここからは、WLANベースおよびGSMベースのネットワークに使用されている認証機能について個別に詳しく説明していきます。さらに、MAPゲートウェイがどのようにこれらの機能をWLANおよびGSMネットワークに最適な共通の機能として統合しているかについて説明します。

802.11およびRADIUSとEAPを組み合わせた従来の認証方式

IEEE 802.1Xは、ポートベースのネットワーク アクセス制御を行うための規格です。IEEE 802.1Xを使用すると、認証されたユーザだけがWLANアクセス ポイントを経由してネットワークにアクセスできます。IEEE 802.1X規格は、イーサネット、トークンリング、および802.11 WLANなどのIEEE 802メディアへの認証アクセスを実現するために設計されました。802.1X規格では、WLANの認証フレームワークを規定しており、HPLMNなどを使用した一元的なユーザ認証を可能にします。ただし、ユーザが認証されているかどうかを判断するための特定のアルゴリズムは規定されておらず、複数のオプションを使用できます。

802.1XはEAPをサポートします。EAPは複数の認証メカニズムをサポートしている一般的な認証プロトコルであり、イーサネット、トークンリング、またはWLAN上で動作します。802.1Xを使用しているWLANでは、ユーザ(要求元)はアクセス ポイント(認証者)へのアクセスを要求します。

認証サーバは、多くの場合、サーバとアクセス ポイント上の認証ピア間でRADIUSプロトコルを使用します。この場合、EAP要求元とバックエンドの認証サーバ間での通信を可能にするために、EAPメッセージはRADIUSプロトコルを使用してカプセル化されます。

図4に示すように、この複合型EAP認証プロセスには3つの要素が含まれています。

1. WLANサービスへのアクセスを要求するクライアント デバイス ? Microsoft Windows XPオペレーティング システムで提供しているような802.1X準拠のクライアント ソフトウェアが稼働している必要があります。

2. クラアイントを実際に認証するRADIUS認証サーバ ? 認証サーバはクラアイントのIDを確認し、WLANサービスへのアクセスを許可するかどうかをアクセス ポイントに通知します。アクセス ポイントはプロキシとして機能するため、認証サービスはクライアントに対してトランスペアレントです。

3. クライアントの認証状態に基づいてネットワークへの物理アクセスを制御するアクセス ポイント ? アクセス ポイントはクライアントと認証サーバ間の仲介装置(プロキシ)として機能し、クライアントのID情報要求、認証サーバでのID情報確認、およびクライアントへの応答中継を行います。アクセス ポイントにはRADIUSクライアントが存在し、EAPフレームのカプセル化とカプセル化解除、および認証サーバとのやりとりを行います。


図4
802.1XおよびRADIUS認証とEAPとの組み合わせによる認証方式

EAPおよびその他の非SIMベース認証メカニズムの限界

WLANアクセスでは、すでに多様な認証アプリケーションが開発されており、実際に使用されています。一般的に専門家は、クライアントとサーバ間で認証のために使用される長期秘密鍵の種類および保管場所によってセキュリティ レベルを判断します。現在使用されている方式には、次の3つがあります。

  • 長期秘密鍵として、クライアントとユーザ間で英数字パスワードの交換を行う方式。この方式は、エントロピーが最も低く、辞書攻撃などによる攻撃が容易です。
  • より複雑な構造を持つ長期秘密鍵をユーザ デバイス(PCやPersonal Digital Assistant [PDA;携帯情報端末]など)のハードドライブに保管する方式。この方法では、実際に使用するメカニズム(EAPまたは非EPA)が何であろうと、長期秘密鍵を容易に調べ出すことができます。デバイスのOS(オペレーティング システム)自体に不正アクセスを防止する仕組みがなく、ハードディスク上の情報へのアクセスが可能であるためです。
  • 長期秘密鍵をスマートカードなどの不正開封が防止される環境に保管する最も安全で強力な方式。この方式は不正アクセスを防止することができ、アプリケーション レベルのセキュリティを実現できるため、銀行や民間企業がユーザ デバイスへの導入を進めています。スマートカードを使用すると、秘密鍵やパスワードなどの重要情報、健康管理データなどの個人情報を安全に保管できます。また、公開鍵または秘密鍵による暗号化などのセキュア プロセスを安全に実行できます。

GSMネットワークでのSIMベース認証

GSMネットワークでは、スマートカード ベースのユーザ認証およびデータ暗号化方式が使用されています。SIMカードはユーザの携帯電話機に挿入されるスマートカードで、International Mobile Subscriber Identity(IMSI)というID番号を使用してユーザを一意に認識します。

SIM認証は、ユーザとユーザ データベース(HLR)内にあるAUCとの間のエンドツーエンドのメカニズムです(図5を参照)。


図5
GSMのSIM認証アーキテクチャ

GSM認証プロセスは3つのコンポーネントで構成されています。

1. モバイル端末 ? モバイル端末にはSIMカードが装着されており、ここにAUCと共有するIMSIと秘密鍵(Ki)、および認証アルゴリズム(A3)と鍵交換アルゴリズム(A8)が保管されています。

2. Mobile Switching Center(MSC;移動通信交換局)およびVLR ? これらは個別のコンポーネントになっている場合がありますが、簡素化するために1つのコンポーネントとして示します。

3. HLRおよびAUC ? これらは個別のコンポーネントになっている場合がありますが、簡素化するために1つのコンポーネントとして示します。

GSM認証は、チャレンジ/レスポンス方式に基づいています。SIM上で実行される認証アルゴリズムは、128ビットの乱数RANDをチャレンジとして使用します。次に、SIMは事業者固有の機密アルゴリズム(A3)を実行します。A3ではSIMに保管されているRANDと秘密鍵(Ki)を入力として使用し(Kiは加入時にIMSIとともに割り当てられる)、32ビットの応答用Secret Response(SRES)を生成します。さらに、もう1つのアルゴリズム(A8)を使用して、KiとRANDから64ビットの鍵(Kc)を計算します。この鍵Kcは、無線インターフェイス上の暗号鍵として使用することを目的としています。

SIMとAUCによって算出されたSRES値は、AUCによって比較されて、値が一致した場合に認証が許可されます。

Cisco ITPを使用した複合型EAP SIM認証

すでに説明したように、Cisco ITP MAP GatewayによってRADIUSサーバとHLR/AUCが融合されて、SIMに類似した認証をGSMのHLR/AUCに対して実現できます。

  • HLR側から見た場合、Cisco ITPはVLRとして動作します。
  • RADISUサーバ側から見た場合、Cisco ITPは別のRADIUSサーバとして動作します。

図6は、クライアント、RADIUSサーバ(ここではCisco Access Registrar)、Cisco ITP、およびHLR/AUCの間に発生するデータ フローの概略を示しています。


図6
Cisco ITPを使用したEAP SIM認証のデータ フロー

注:これはデータ フローの一部であり、IMSIに関連する部分のみを示しています。

GSM SIM認証との相違点

複数のRANDチャレンジを使用して複数の64ビット鍵Kcを生成し、それらを組み合わせて特定の802.11暗号スイートに必要なセッション鍵を作成するという点で、EAP SIMはGSMと異なります。

また、EAP SIMはネットワーク認証を使用して、GSMの基本認証メカニズムを強化しています。GSM認証が定義された時点では、違法なBase Transceiver Station(BTS;無線基地局)はセキュリティ上の脅威とは見なされていませんでした。EAP SIMではネットワークのクライアント チャレンジが定義されており、メッセージ認証コードを使ってRANDチャレンジを実行することで、相互認証を可能にしています。

EAP SIMプロセス:相互認証

ネットワーク認証

最初に、クライアントは、要求元によって生成されたNonceと呼ばれる16バイト(128ビット)乱数を送信することにより、EAP、SIM、またはStart要求に応答します。次に、RADIUSサーバは、その乱数とユーザのIMSI、Ki、および2つまたは3つのGSM乱数RAND[n]を使用して、SIMまたはEAPチャレンジ パケットに格納される20バイトのMAC(メディア アクセス制御)であるMAC_RANDを計算し、クライアントに返します。また、チャレンジ パケットにも、セッション鍵の生成に使用される2つまたは3つの乱数RAND[n]が含まれています。クライアントが最初にチャレンジ(すなわち、ネットワーク)を認証します。この認証では、クライアントが固有のMAC_RANDを計算し、それをネットワークから受信したMAC_RANDと比較します。これらが一致すれば、クライアントはユーザのAUCと接続されている認証サーバと通信していると判断します。これは、ユーザのHPLMNとWLANのアクセス ポイント事業者との間に信頼関係が確立されていることを示しています。

クライアント認証

次に、クライアントはRAND[n]とGSMのA3およびA8アルゴリズムを使用して、一致するSRES[i]とKc[n]をそれぞれ計算します。IMSI、Ki、およびSRES[n]は、応答として返される別のMAC(MAC_SRES)を計算するために使われます。ネットワークはMAC_SRESを使用してクライアントを認証します。SRES[n]が無線を経由して直接返されることはないため、RANDまたはSRESのペアを使用しても、秘密鍵(Ki)を不正に入手することはできません。

利点:認証メカニズムの安全性向上

総合的に見ると、Cisco ITP MAP Gatewayを使用することによって、GSMやUniversal Telecommunications System(UMTS)携帯電話ネットワークと同じレベルの保護を実現することができます。MAC_RANDまたはMAC_SRESの計算に使用されるデータ暗号鍵Kc[n]が無線経由で送信されることはありません。ネットワークとクライアントは、Kc[n]、IMSI、Nonce、およびバージョン情報を使用して、無線リンク上でのデータの暗号化に使用する暗号鍵(Kc)を計算します。SRESも無線経由で送信されることはありません。EAPまたはSIMに攻撃を加えることによって、GSMのトリプレット(RAND、SRES、Kc)のすべてを入手する方法は発見されていません。

Cisco ITP MAP Gateway Protocolの適合性とインターオペラビリティ

既存の標準との適合性

図7は、Cisco ITP MAP Gateway、RADIUSサーバ、および従来のTime Division Multiplexing(TDM;時分割多重)ベースのSS7 HLR間のインターフェイス部分の詳細を示しています。Cisco ITP MAP Gatewayは、モバイル ネットワークにおける業界の主要なHLRおよびSignaling Transfer Point(STP)サプライヤとのインターオペラビリティを確保しています。また、RADIUS(Cisco Access Registrar)とのインターオペラビリティもすでに確保されています。


図7
シスコのRADIUSサーバおよび従来のSS7 HLRとのインターフェイスを提供するCisco ITP MAP Gateway

さらに、Cisco ITP MAP Gatewayは、Internet Engineering Task Force(IETF)のSIGTRAN M3UAおよびSIGTRAN SCCP User Adaptation(SUA)ベースのHLRを含めた、従来型とは異なるSS7エンド ノードとのインターオペラビリティも有しています。SIGTRANはSS7-over-IP(SS7oIP)アプリケーションに関するIETFベースの規格であり、UMTSネットワークなどに向けて設計されたものです。

図8に示すように、Cisco ITPはSS7ネットワークとのインターフェイスを確保するために、次のような多様な実装形態をサポートしています。

  • ITUまたはANSIのMTP1、MTP2、およびMTP3上での従来のSS7プロトコル リンク
  • ATM Adaptation Layer 5(AAL5)、Service Specific Connection Oriented Protocol(SSCOP)、およびService Specific Coordination Function(SSCF)のNode-to-Network Interface(NNI)プロトコル上での高速ATMベース リンク
  • IETF SIGTRAN M2PA Peer-to-Peer Protocol for MTP3 over IP
  • IPネイティブSS7 HLRアプリケーションに対するIETF SIGTRAN Client Server M3UA for SCCP over IPおよびSUA for MAP over IPプロトコル

図8
Cisco ITP MAP Gatewayのプロトコル スタック

今後の標準適合性

シスコのソリューションは、SIM EAPに準拠しています。SIM EAPとは、認証メカニズムとしてEAPのメカニズムを使用しながら、鍵の配布にGSMのSIMを利用する方式のことです。SIM EAPは将来的にIETFの正式な標準となる予定です。

設定可能なCisco ITP MAP Gateway機能

EAP SIMベースの認証

認証要求がRADIUSサーバに送信されると、RADIUSサーバは認証要求をCisco ITPに転送します。Cisco ITPは、MAP SendAuthInfo要求をAUCに送信して認証トリプレットを取得し、これを認証応答に埋め込んでRADIUSサーバに返します。その後、RADIUSサーバは、クライアントに対する標準的な認証応答を実行します。

SIMベースの許可

この機能を使用すると、EAP SIM認証が完了済みだと仮定した場合、事業者は加入者がWLANサービスの契約を結んでいる場合にのみ接続を許可することができます(図9を参照)。

一般的に、許可サービスはHLRの加入者プロファイルに記載されています。しかし、大半のHLRにはWLANサービス専用のフィールドが存在しません。これは、WLANサービスがEuropean Telecommunication Standards Institute(ETSI)の勧告事項に含まれていなかったためです。現在、標準化団体がこの機能の実装に取り組んでいます。正式な標準化が制定されるまでの間は、使用頻度の少ないサービス フィールドをWLAN用として使用することができます。Cisco ITPでは、ベアラ サービス(BS)とテレサービス(TS)の2つのフィールドをサポートしています。HLR加入者プロファイル内の既存のBSまたはTSサービスはいずれも使用でき、設定変更が可能です(一般的に、事業者はBS 31を使用)。


図9
認証および許可プロセスのデータ フローの概要

トリプレットのキャッシング

Cisco ITP MAP Gatewayは、設定変更可能な数のトリプレットをHLRからキャッシュして、必要に応じてローカルで認証を実行できます。

また、Cisco ITPのコンフィギュレーションでは、事業者の実装ポリシーに応じて、同じユーザの認証プロセスが複数回行われる場合にトリプレットを再利用することができます。

さらに、トリプレットをCisco ITP MAP Gatewayのキャッシュ メモリに保管する時間を設定することができます。

性能およびキャパシティ

表1は、Cisco ITPの主な特長を示しています。

表1   Cisco ITPの特長

カテゴリ 内容

Cisco 7513シャーシの寸法(高さ×幅×奥行)

85.73×44.45×55.88 cm

(33.75×17.5×22インチ) - 高さ3フィート未満

Cisco 7206VXRシャーシの寸法(高さ×幅×奥行)

13.34×42.67×43.18 cm

(5.25×16.8×17インチ)

リンク キャパシティ

最大720のSS7リンク(Cisco 7513)

最大24のSS7リンク(Cisco 7206VXR)

認証数

最大1800/秒

認証および許可数

最大400/秒

Cisco ITP MAP Gatewayのトポロジー

実際にどのようなトポロジーを採用するかはネットワーク設計者が選択するものであり、ネットワークの仕様に大きく左右されます。ここでは、Cisco ITP機能を集中配置また分散配置することにより、冗長性の向上とコスト削減を可能にするCisco ITPベースのトポロジーの例について説明します。

  • 分散型トポロジーでは、Cisco ITP MAP Gatewayノードは各地域のRADIUSサーバに隣接して配置(同じデータ センター内に配置)されます。この場合、ローカルRADIUSサーバと同じ数のMAPゲートウェイが配備されます。すべてのMAPゲートウェイは、中央のHLRまたはAUCとSS7接続されています。
  • 中央集中型アーキテクチャでは、MAPゲートウェイは1つだけで、通常、HLRまたはAUCとともに配置されます。この場合、ローカルRADIUSサーバとの間に複数のRADIUS接続が確立されます。長距離リンクはIPベースで、トポロジーに応じて既存のIPネットワークを利用することにより、伝送コストを削減できます。Cisco ITPとRADIUSサーバ間のIPリンク上でIP Security(IPSec)を使用すると、重要なシグナリング トラフィックを保護できます。
  • そのほかに、Cisco ITPのSIGTRAN IPベースM2PAバックホール機能を利用するトポロジーがあります。このトポロジーでは、各ローカル データ センターにリモートMAPゲートウェイを配置し、中央集中型MAPゲートウェイをHLRクラスタとともに配置します。中央のMAPゲートウェイは、SIGTRAN M2PAというIETF標準のSS7oIPピアツーピア プロトコルを使用して、リモートMAPゲートウェイと通信します。

Cisco ITP MAP Gatewayの信頼性と冗長性

ノードおよびアーキテクチャの冗長性

Cisco ITP MAP Gateway製品は、実績のあるCisco 7500またはCisco 7200VXRシリーズ ルータのハードウェア プラットフォームに組み込む設計になっています。Cisco 7500および7200VXRシリーズ ルータは、通信、医療、銀行、証券、航空、および官公庁などの、高い信頼性とアベイラビリティが要求される業界で幅広く使用されています。シスコのCustomer Advocacy部門では、Cisco 7500シリーズのハードウェアとソフトウェアのMean Time Between Failure(MTBF;平均故障間隔)とMean Time To Repair(MTTR;平均復旧時間)をモニタしています。お客様の使用実績によると、単一のCisco ITPで「シックス ナイン」(99.9999%)のアベイラビリティが実現されています。これを年間の停止時間に換算すると約1秒になります。

完全に冗長なCisco ITPプラットフォームを使用すると、リンク、ポート アダプタ、または中央処理装置に障害が発生した場合のスイッチオーバーが可能になり、サービスの停止時間を最小限に抑えることができます。スイッチオーバーの際にトラフィックが中断されると、パケットが消失するため、RADIUSサーバは再送を行います。リンクが再度確立されると、HLRとRADIUSサーバからのパケットはMAPゲートウェイで再度処理されます。

また、アーキテクチャそのものを冗長構成にして、負荷分散やバックアップ用に複数のITPを使用することもできます。特に、Cisco Access Registrarを使用すると、複数のITP MAPゲートウェイを定義できます。この場合、MAPゲートウェイに障害が発生すると、トラフィックはバックアップITPにリダイレクトされます。複数のITPをラウンドロビン方式で使用するようにRADIUSサーバを設定することもできます。

ネットワーク管理

Cisco ITPのネットワーク管理ソリューションは、Cisco Signaling Gateway Manager(SGM)と既存のシスコ製およびサードパーティ製のIPネットワーク管理製品を融合させます。Cisco SGMをCiscoWorks、CiscoView、およびAgilent acceSS7やHP OpenViewなどのエコシステム パートナー製品と併せて使用すると、Cisco ITP SS7ネットワークのエンドツーエンドの管理スイートを実現できます。これにより、ネットワーク管理者はCisco ITPネットワークの検出、管理、およびトラブルシューティングを行うことができます。市販のSS7ネットワーク管理アプリケーション(エンドツーエンドのコール トレース、パケット分析、および長期トレンド分析など)の主要ベンダーとの連携により、この管理ソリューションでは、既存のSS7管理アプリケーションとの迅速な統合が可能となっています。

Cisco SGMは、ネットワーク管理者がCisco ITPネットワークのSS7oIPレイヤを管理できるようにするソフトウェア アプリケーションです。Cisco SGMはクライアント/サーバ アーキテクチャで、Windows、Solaris、およびWebベース クライアントをサポートしています。図10は、Cisco SGMによるSS7oIPネットワークのトポロジー表示の画面です。


図10
Cisco SGMのトポロジー表示

まとめ

ネットワークにCisco ITP MAP Gatewayの機能を導入すると、モバイル事業者は既存のGSMアーキテクチャにWLANテクノロジーを容易に統合し、高レベルで均質なセキュリティとサービス アクセス許可を実現できます。さまざまな中央集中型または分散型のオプションが用意されているため、Cisco ITP MAP Gatewayは柔軟な実装が可能です。また、Cisco ITPは、ITU、ANSI、およびIETF SS7oIPの各種標準をサポートしているため、さまざまな方法でGSM事業者のHLRとのインターフェイスを確保できます。

Cisco ITP MAP Gatewayは、Cisco 7200VXRシリーズおよびCisco 7500シリーズ上で提供されるため、使用状況に合わせてリンク密度、性能、および冗長性を柔軟に選択できます。Cisco ITP MAP GatewayをCisco 7500シリーズに導入して高い処理能力を得ることにより、ネットワークとトラフィックを同一プラットフォーム上で拡張できます。Cisco ITP MAP Gatewayを使用すれば、モバイル事業者は新たな技術を容易に導入することができます。

略語の解説

AUC:GSM Authentication Center(認証センター)

AP:WLAN Access Point(アクセス ポイント)

CAR:Cisco CNS Access Registrar(シスコのEAP対応RADIUS製品)

EAP:Extensible Authentication Protocol(RFC 2284)

GSM:Global System for Mobile Communications(第2世代携帯電話[2G]ネットワークのETSI規格)

HLR:Home Location Register(GSMネットワークの加入者データベース)

IMSI:International Mobile Subscriber Identity

HPLMN:Home Public Land Mobile Network

ITP:Cisco IP Transfer Point(SS7およびIPネットワークのシグナリング ゲートウェイ)

MAP:Mobile Application Part(携帯電話ネットワーク内でのモビリティ管理シグナリングのETSI GSM規格)

MS:Mobile Station(モバイル端末)、GSMネットワーク内では携帯電話機に相当

RADIUS:Remote Access Dial-In User Service

SIM:Subscriber Identity Mobile(GSM加入者を一意に識別する)

UMTS:Universal Telecommunications System(第3世代携帯電話システムの3GPP規格)

VLR:Visitor Location Register(加入者のHLRプロキシとして機能するローカルGSMデータベース)

WLAN:Wireless LAN(IETF 802.11規格より)





お問い合わせ