無線LANの認証方式

無線LANの2つのモード(パーソナルモード、エンタープライズモード)とその違い、また、それぞれの認証方式であるPSKとIEEE802.1Xを解説します。

 

パーソナルモード

  • パーソナルモードの認証方式は、WPA-PSKです。
  • 事前共有鍵(PSK:Pre Shared Key)で認証します。
  • 端末とAPに事前に設定していたPSKを比較し、一致すれば認証成功です。
  • PSKが一致すると、PMK(Pairwise Master Key)という共有鍵の素を生成します。

ネットワークスペシャリスト 無線LANパーソナルモード

 

エンタープライズモード

IEEE802.1X
  • エンタープライズモードの認証方式は、IEEE802.1Xです。
  • 認証サーバを用いて、利用者が入力するID/パスワードやデジタル証明書(クライアント証明書・サーバ証明書)、SIMカードなどで認証します。
  • 認証サーバで一元的に認証できるので、企業の無線LAN環境などでよく使用されます。
  • 認証サーバで認証成功すると、セッション鍵がAPと無線LAN端末に配布され、PMKという共有鍵の素を生成します。
  • メリットは、社員の追加、退職、端末の紛失などでも認証サーバの登録情報の変更で対応できること。
  • デメリットは、認証情報を継続的に運用するためのコストがかかること。

ネットワークスペシャリスト 無線LANエンタープライズモード

 

EAP
  • IEEE802.1XではEAP(Extensible Authentication Protocol)という認証プロトコルを使用して認証を行います。
  • EAPはもともとダイヤルアップで使用するPPPを拡張したプロトコルです。
  • そのままではLANに流せないので、LANに流せるように、EAPoLでカプセル化します。
  • 無線LAN端末~アクセスポイントはEAPoLで、アクセスポイント~認証サーバはRADIUSというUDPの認証プロトコルでカプセル化します。
  • EAPをEAPoLからRADIUSに乗せ換えるイメージです。

ネットワークスペシャリスト EAPからRADIUS乗り換え

 

EAPの種類
方式名 クライアント認証 サーバ認証 特徴
EAP-TLS クライアント証明書 サーバ証明書 端末認証
PEAP ID/パスワード サーバ証明書 ユーザ認証。証明書の管理を省略できる。
EAP-SIM SIM SIM 加入者情報で認証。

午前問題の出題

午後問題の出題