 TOP |
|
 前へ |
|
 次へ |
|
第1章 概要 > 1 無線LANのセキュリティについて > 認証方式と暗号化
|
|
||||||
|
|||||||
認証方式とデータの暗号化について説明します。
従来のWEPでは、無線LANアクセスポイントとクライアントに設定した固定のネットワークキーを使用してデータを暗号化することで、無線LAN通信のデータを第三者に解読されないようにしています。しかし、固定のネットワークキーを使用するため、同じキーを長い間使い続けていると、ネットワークキーの値を解読されてしまう恐れがあります。また、キーの値を変更する場合は、無線LANアクセスポイントとすべてのクライアントのパソコンの設定を手動で変更しなければならないため、大規模なネットワークの場合は大変な労力を必要とします。
そこで、IEEE 802.1XやWPAでは、ネットワークに接続を要求するクライアントの認証を行い、認証に成功したクライアントだけに、無線LANアクセスポイントが自動生成したネットワークキーを配信する、という方法を使っています。また、そのネットワークキーの値を一定の間隔で変更することもできます。認証に成功し、ネットワークキーを受け取ったクライアントだけが、無線LANアクセスポイントを介したネットワークと通信が行えるようになります。こうして、無線LANのセキュリティレベルをより高くしています。
次の図は、セキュリティの方法にIEEE 802.1XやWPAを使用した場合に、クライアントがネットワークに接続要求をしてから、ネットワークキーを受け取るまでの大まかな流れです。
 |
認証方式には、いくつかの種類があります。認証方式によって証明書を使う方法や、ユーザー名/パスワードを使用する方法などがあります。
クライアント証明書には、ユーザーアカウントごとに発行される「ユーザー証明書」と、コンピューターアカウントに発行される「コンピューター証明書」の2種類があります。
EAP-TLSやPEAP(EAP-TLS)などクライアントの認証に証明書を使用する認証方式で、ドメインログオンなど、ユーザーがWindowsにログオンする前から通信する必要がある場合には、コンピューター証明書が必要になります。
Windowsにログオンするユーザー名とパスワード、またはドメインにログオンするユーザー名とパスワードを無線LANの認証に使用します。PEAP(EAP-MSCHAP v2)など、認証にユーザー名とパスワードを使用する認証方式で使用できます。
データの暗号化には、通常ネットワークキーを使用します。ネットワークキーを使ってデータの暗号化と復号化を行うため、通信を行う者同士でネットワークキーが一致していないと通信が行えないようになっています。従来のWEPは、この値を固定で設定していましたが、セキュリティの種類によってこの値を可変にすることでセキュリティレベルを高くしています。
IEEE 802.1Xでは、ネットワークキーの値を一定間隔で自動的に変更することができます。これにより、ネットワークキーに固定値を使用している場合より解読されにくくしています。
WPAでは、暗号化方式にTKIP(Temporal Key Integrity Protocol)を使用し、1パケットごとにネットワークキーを変更します。これによりネットワークキーを解読されにくくしています。また、WPAに対応した製品の中にはTKIPよりセキュリティレベルの高いAESという暗号化方式を使用できるものもあります。
|
|||||||