無線LANサービスやホットスポットにおけるユーザ認証の手段として,「IEEE802.1x」と呼ばれる認証技術が使われ始めている。この技術はもともと有線LANのネットワーク機器において,LANポートの利用権限を設定・管理するために開発されたが,無線LANのセキュリティを高める場面でもおおいに役立つ。ここでは,IEEE802.1xの仕組みを具体的に解説する。

 パソコンを手近にあるLANケーブルにつなげば,すぐにサーバやインターネットを利用できる――。多くのオフィスではごく当たり前のようにこのような環境が構築されているが,これにはセキュリティ上の問題がある。もし悪意を持つ何者かが社内に潜り込み,自らのパソコンを近くのLANコネクタに接続すると,それだけで社内のリソースにアクセスされる危険性が出てくる。

 それでも有線LANの場合は,パソコンをオフィスに据え付けられているLANコネクタに物理的に接続しなければならないので,人目につかずに不正アクセスするのは容易でない。だが無線LANとなれば話は別。場合によっては,オフィスの外からでも社内ネットに侵入されかねない。

 このような不正なLANアクセスを防ぎ,正規ユーザだけにLANを使わせるために開発された技術が「IEEE802.1x」である。

セキュリティと利便性を両立

 IEEE802.1xの仕様はIEEE(米国電気電子技術者協会)において1998年頃から検討が開始された。中心メンバとなったのは米Microsoft社,米Cisco Systems社などである。議論のために提出されたドラフトは10以上ある。議論の結果,2001年に仕様が策定され,2002年2月に公開された。

 IEEE802.1xはもともと有線LAN向けの仕様として策定が進められてきた。ユーザ端末が接続しているLAN機器の物理的なLANポートごとに,利用を許すかどうかを管理する。ただし全く,同じ仕組みを無線LANにそのまま持ち込める。無線LANの場合は,ユーザ端末が接続してきた時点で生成される論理的なポートが管理対象となる。

 IEEE802.1xはセキュリティを保つ用途だけでなく,ユーザの利便性を高める際にも使える。例えば,自分のデスクだけでなく,会議室などの共用スペースでも社内LANにアクセスしたいというニーズがある。パソコンを持って社内を移動し,移動した先でいつものように社内LANを利用するという使い方だ。外資系の企業では,国内外の他のオフィスに出向いたときだけでなく,自宅にいるときも,オフィスの自席にいるときと同じリソースにアクセスできるような環境が構築され始めている。IEEE802.1xは,こうした環境を構築する際に有効である。

 また最近では,無線LANサービスのユーザ認証技術としてIEEE802.1xを導入する動きも活発になっている。

利用権限をLANのポートで管理

図1●IEEE802.1xを適用した無線LANネットワーク

 802.1xの基本的な仕組みを,無線LANのクライアントがアクセス・ポイントに接続する場合を例に説明しよう(図1[拡大表示])。

 認証作業は,ユーザ端末がアクセス・ポイントに接続したときから始まる。まず802.1xクライアントが認証用データを送り出す。これは,無条件にポートを通過し,認証サーバへ届けられる。認証に成功するとそのポートの利用が許可される。認証に失敗すると,そのポートにデータを送り込んでも,データは中継されない。

 このようにポート単位で個別にユーザを管理できる機能は無線LANに向いている。有線LANに比べて,不特定多数に対してサービスを提供する場合があるからだ。無線LANにもセキュリティ機能はあるが,ユーザ認証の仕組みはない。

 なお,IEEE802.1xではクライアントをSupplicant,アクセス・ポイントやLANスイッチなどユーザの認証窓口となる機器をAuthenticator,実際に認証を行うサーバをAuthentication Serverと呼ぶ,またポートそのものは,プロトコル上,PAE(Port Access Entity)と呼ばれている。

EAPと認証方式の組み合わせ

図2●IEEE802.1xで利用するプロトコルのブロック図

 IEEE802.1xは,複数のプロトコル・スタックを組み合わせることで成り立っている。そこで用いられるプロトコルは,三つの階層に分けることができる。データリンク,EAP,Authenticationの3階層である(図2[拡大表示])。

 このなかで重要なのがEAP層である。EAPはPPP Extensible Authentication Protocolの略で,その名が示すとおりPPP(Point-to-Point Protocol)を拡張したプロトコルである。IETFがRFC2284で規定している。

 EAPの役割は,使用する認証プロトコルを選択できるようにすることである。認証プロトコルはAuthentication層に属するもので,「TLS(Transport Layer Security)」や「MD5-Challenge」,「OTP(One Time Password)」などがある。例えばWindows XPはIEEE802.1xを備えているが,標準装備する認証プロトコルはMD5-ChallengeとTLSである。この認証プロトコルがクライアントとサーバで一致しないと,IEEE802.1x認証は成立しない。EAPとデータリンク層の間で,EAPOL(EAP over LAN)というプロトコルが使われることもある。これは,LAN上にあるユーザ端末(Supplicant)とネットワーク機器(Authenticator)の間でEAPのパケットをやり取りするためのものである。


森山 浩幹

東日本電信電話 研究開発センタ 担当部長。OSIの頃から,X.400(電子メール)などのプロトコルの標準化,実装に携わる。現在は,IP系システムの開発に従事している。