無線LANの認証方式
無線LANの2つのモード(パーソナルモード、エンタープライズモード)とその違い、また、それぞれの認証方式であるPSKとIEEE802.1Xを解説します。
パーソナルモード
- パーソナルモードの認証方式は、WPA-PSKです。
- 事前共有鍵(PSK:Pre Shared Key)で認証します。
- 端末とAPに事前に設定していたPSKを比較し、一致すれば認証成功です。
- PSKが一致すると、PMK(Pairwise Master Key)という共有鍵の素を生成します。
エンタープライズモード
IEEE802.1X
- エンタープライズモードの認証方式は、IEEE802.1Xです。
- 認証サーバを用いて、利用者が入力するID/パスワードやデジタル証明書(クライアント証明書・サーバ証明書)、SIMカードなどで認証します。
- 認証サーバで一元的に認証できるので、企業の無線LAN環境などでよく使用されます。
- 認証サーバで認証成功すると、セッション鍵がAPと無線LAN端末に配布され、PMKという共有鍵の素を生成します。
- メリットは、社員の追加、退職、端末の紛失などでも認証サーバの登録情報の変更で対応できること。
- デメリットは、認証情報を継続的に運用するためのコストがかかること。
EAP
- IEEE802.1XではEAP(Extensible Authentication Protocol)という認証プロトコルを使用して認証を行います。
- EAPはもともとダイヤルアップで使用するPPPを拡張したプロトコルです。
- そのままではLANに流せないので、LANに流せるように、EAPoLでカプセル化します。
- 無線LAN端末~アクセスポイントはEAPoLで、アクセスポイント~認証サーバはRADIUSというUDPの認証プロトコルでカプセル化します。
- EAPをEAPoLからRADIUSに乗せ換えるイメージです。
EAPの種類
方式名 | クライアント認証 | サーバ認証 | 特徴 |
---|---|---|---|
EAP-TLS | クライアント証明書 | サーバ証明書 | 端末認証 |
PEAP | ID/パスワード | サーバ証明書 | ユーザ認証。証明書の管理を省略できる。 |
EAP-SIM | SIM | SIM | 加入者情報で認証。 |