本文へ
TOP 前へ 次へ



第1章  概要 > 1  無線LANのセキュリティについて > セキュリティパターンの種類

セキュリティパターンの種類

ユーザー認証方式と通信データの暗号化方式の組み合せによって、次のようなセキュリティのパターンがあります。それぞれのセキュリティパターンの特長と認証の流れを説明します。

IEEE 802.1X+EAP-TLS

EAP-TLSを使用したユーザー認証を行うために、あらかじめ接続するクライアントに対してクライアント証明書を準備し、インストールします。また、クライアントがRADIUSサーバーを認証するためにも別の証明書(サーバー証明書)を準備し、RADIUSサーバーにインストールします(クライアントを認証する証明書を共用することもできますが、それぞれを別々に準備したほうがより安全になります)。
一般的な証明書のインストール方法については、クライアント証明書(ユーザー証明書)のインストールをご覧ください。
また、暗号化には、WEPを使用します。認証に成功したクライアントに対して無線LANアクセスポイントが生成したネットワークキーを配布します。ネットワークキーの値を定期的に変更することでより安全になります。

認証の流れ(IEEE 802.1X+EAP-TLS)
  1. クライアントが無線LANアクセスポイントに接続を要求します。
  2. クライアントは無線LANアクセスポイントに対して認証を行うように要求します。
  3. 無線LANアクセスポイントはクライアントに対してクライアントのID情報を要求します。
  4. クライアントは無線LANアクセスポイントにID情報を送信し、無線LANアクセスポイントはRADIUSサーバーに対して認証を行うことを通知します。
  5. RADIUSサーバーはサーバー証明書をクライアントに送信するとともに、クライアント証明書を要求します。
  6. クライアントはRADIUSサーバーにクライアント証明書を送信します。
  7. 認証が成功したら、RADIUSサーバーは無線LANアクセスポイントに対して認証に成功したことを通知します。
  8. 無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

IEEE 802.1X+PEAP(EAP-MSCHAP v2)

PEAP(EAP-MSCHAP v2)を使用したユーザー認証の場合、RADIUSサーバーがクライアントを認証するときは、ユーザー名/パスワードをEAP-MSCHAP v2で暗号化して使用します。また、クライアントがRADIUSサーバーを認証するためにRADIUSサーバーに、サーバー証明書をインストールする必要があります。
一般的な証明書のインストール方法については、クライアント証明書(ユーザー証明書)のインストールをご覧ください。
また、暗号化には、WEPを使用します。認証に成功したクライアントに対して無線LANアクセスポイントが生成したネットワークキーを配布します。ネットワークキーの値を定期的に変更することでより安全になります。

認証の流れ(IEEE 802.1X+PEAP(EAP-MSCHAP v2))
  1. クライアントが無線LANアクセスポイントに接続を要求します。
  2. クライアントは無線LANアクセスポイントに対して認証を行うように要求します。
  3. 無線LANアクセスポイントはクライアントに対してクライアントのID情報を要求します。
  4. クライアントは無線LANアクセスポイントにID情報を送信し、無線LANアクセスポイントはRADIUSサーバーに対して認証を行うことを通知します。
  5. RADIUSサーバーはサーバー証明書をクライアントに送信するとともに、クライアントの認証情報を要求します。
  6. クライアントはRADIUSサーバーに認証情報を送信します。
  7. 認証が成功したら、RADIUSサーバーは無線LANアクセスポイントに対して認証に成功したことを通知します。
  8. 無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

IEEE 802.1X+PEAP(EAP-TLS)

EAP-TLSを使用したユーザー認証を行うために、あらかじめ接続するクライアントに対してクライアント証明書を準備し、インストールします。また、クライアントがRADIUSサーバーを認証するためにも別の証明書(サーバー証明書)を準備し、RADIUSサーバーにインストールします(クライアントを認証する証明書を共用することもできますが、それぞれを別々に準備したほうがより安全になります)。
一般的な証明書のインストール方法については、クライアント証明書(ユーザー証明書)のインストールをご覧ください。
また、暗号化には、WEPを使用します。認証に成功したクライアントに対して無線LANアクセスポイントが生成したネットワークキーを配布します。ネットワークキーの値を定期的に変更することでより安全になります。

認証の流れ(IEEE 802.1X+PEAP(EAP-TLS)
  1. クライアントが無線LANアクセスポイントに接続を要求します。
  2. クライアントは無線LANアクセスポイントに対して認証を行うように要求します。
  3. 無線LANアクセスポイントはクライアントに対してクライアントのID情報を要求します。
  4. クライアントは無線LANアクセスポイントにID情報を送信し、無線LANアクセスポイントはRADIUSサーバーに対して認証を行うことを通知します。
  5. RADIUSサーバーはサーバー証明書をクライアントに送信するとともに、クライアント証明書を要求します。
  6. クライアントはRADIUSサーバーにクライアント証明書を送信します。
  7. 認証が成功したら、RADIUSサーバーは無線LANアクセスポイントに対して認証に成功したことを通知します。
  8. 無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

WPA+EAP-TLS

EAP-TLSを使用したユーザー認証を行うために、あらかじめ接続するクライアントに対してクライアント証明書を準備し、インストールします。また、クライアントがRADIUSサーバーを認証するためにも別の証明書(サーバー証明書)を準備し、RADIUSサーバーにインストールします(クライアントを認証する証明書を共用することもできますが、それぞれを別々に準備したほうがより安全になります)。
一般的な証明書のインストール方法については、クライアント証明書(ユーザー証明書)のインストールをご覧ください。
WPAではデータの暗号化にTKIPを使用します。これは、パケットごとに暗号化に使用するネットワークキーを変更します。また、より強固なAESという暗号化方式を使用することもできます。

認証の流れ(WPA+EAP-TLS)
  1. クライアントが無線LANアクセスポイントに接続を要求します。
  2. クライアントは無線LANアクセスポイントに対して認証を行うように要求します。
  3. 無線LANアクセスポイントはクライアントに対してクライアントのID情報を要求します。
  4. クライアントは無線LANアクセスポイントにID情報を送信し、無線LANアクセスポイントはRADIUSサーバーに対して認証を行うことを通知します。
  5. RADIUSサーバーはサーバー証明書をクライアントに送信するとともに、クライアント証明書を要求します。
  6. クライアントはRADIUSサーバーにクライアント証明書を送信します。
  7. 認証が成功したら、RADIUSサーバーは無線LANアクセスポイントに対して認証に成功したことを通知します。
  8. 無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

WPA+PEAP(EAP-MSCHAP v2)

WPA+PEAP(EAP-MSCHAP v2)を使用したユーザー認証の場合、RADIUSサーバーがクライアントを認証するときは、ユーザー名/パスワードをEAP-MSCHAP v2で暗号化して使用します。また、クライアントがRADIUSサーバーを認証するためにRADIUSサーバーに、サーバー証明書をインストールする必要があります。
一般的な証明書のインストール方法については、クライアント証明書(ユーザー証明書)のインストールをご覧ください。
WPAではデータの暗号化にTKIPを使用します。これは、パケットごとに暗号化に使用するネットワークキーを変更します。また、より強固なAESという暗号化方式を使用することもできます。

認証の流れ(WPA+PEAP(EAP-MSCHAP v2))
  1. クライアントが無線LANアクセスポイントに接続します。
  2. クライアントは無線LANアクセスポイントに対して認証を行うように要求します。
  3. 無線LANアクセスポイントはクライアントに対してクライアントのID情報を要求します。
  4. クライアントは無線LANアクセスポイントにID情報を送信し、無線LANアクセスポイントはRADIUSサーバーに対して認証を行うことを通知します。
  5. RADIUSサーバーはサーバー証明書をクライアントに送信するとともに、クライアントの認証情報を要求します。
  6. クライアントはRADIUSサーバーに認証情報を暗号化して送信します。
  7. 認証が成功したら、RADIUSサーバーは無線LANアクセスポイントに対して認証に成功したことを通知します。
  8. 無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

WPA+PEAP(EAP-TLS)

EAP-TLSを使用したユーザー認証を行うために、あらかじめ接続するクライアントに対してクライアント証明書を準備し、インストールします。また、クライアントがRADIUSサーバーを認証するためにも別の証明書(サーバー証明書)を準備し、RADIUSサーバーにインストールします(クライアントを認証する証明書を共用することもできますが、それぞれを別々に準備したほうがより安全になります)。
一般的な証明書のインストール方法については、クライアント証明書(ユーザー証明書)のインストールをご覧ください。
WPAではデータの暗号化にTKIPを使用します。これは、パケットごとに暗号化に使用するネットワークキーを変更します。また、より強固なAESという暗号化方式を使用することもできます。

認証の流れ(WPA+EAP-TLS)
  1. クライアントが無線LANアクセスポイントに接続を要求します。
  2. クライアントは無線LANアクセスポイントに対して認証を行うように要求します。
  3. 無線LANアクセスポイントはクライアントに対してクライアントのID情報を要求します。
  4. クライアントは無線LANアクセスポイントにID情報を送信し、無線LANアクセスポイントはRADIUSサーバーに対して認証を行うことを通知します。
  5. RADIUSサーバーはサーバー証明書をクライアントに送信するとともに、クライアント証明書を要求します。
  6. クライアントはRADIUSサーバーにクライアント証明書を送信します。
  7. 認証が成功したら、RADIUSサーバーは無線LANアクセスポイントに対して認証に成功したことを通知します。
  8. 無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

WPA-PSK

WPA-PSKはクライアント認証を無線LANアクセスポイントが行うため、RADIUSサーバーが不要です。
WPAではデータの暗号化にTKIPを使用します。これは、パケットごとに暗号化に使用するネットワークキーを変更します。また、より強固なAESという暗号化方式を使用することもできます。

認証の流れ(WPA+PSK)
  1. クライアントが無線LANアクセスポイントに接続します。
  2. 無線LANアクセスポイントはクライアントに対して認証を行うように要求します。
  3. クライアントと無線LANアクセスポイントの間で、PSKによる認証を行います。
  4. 認証に成功したら、無線LANアクセスポイントはネットワークキーを生成し、それを自身に登録した後、クライアントにネットワークキーを通知します。
    クライアントは通知されたネットワークキーを使用して無線LANアクセスポイント経由のネットワークにアクセスできるようになります。

ページトップへ


TOP 前へ 次へ

All Rights Reserved, Copyright© FUJITSU LIMITED 2006