コミュニティ
HPE Blog, Japan
1819686 メンバー
3389 オンライン
109605 解決策
新規ポスト
 
RSS フィードを購読する
|
CTG-Japan

Wi-Fi SIM認証の基礎

‎04-24-2023 09:31 AM

1.自己紹介

HPE_Takamatsu.jpg日本ヒューレット・パッカード合同会社 コミュニケーションテクノロジー事業本部に所属している高松信昭(Takamatsu Nobuaki)と申します。

通信事業者向けのソフトウェア製品のプリセールスを担当しており、主に認証、認可ソリューションをお客様に紹介しています。

今回は、無線LANアクセスポイントに接続する際に実行される認証方式で、セキュリティ強度の高い「Wi-Fi SIM認証」を紹介します。

 

2.はじめに

ネットワークに接続するときには、本人確認をするために “認証”を行い不正なアクセスを防止します。

個人向け無線LANのアクセスポイントに接続する場合、アクセスポイントのSSIDを検索し、そのSSIDにあらかじめ設定されたパスワードを入力することで通信可能な状態になります。

これはパスワード=「利用者のみが知る情報」を入力することで、アクセスを許可されたユーザーがそのアクセスポイントに接続を試みていることを確認しているのです。

これが「認証」(正確には知識認証)であり、個人向けの無線LANアクセスポイントではパスワードによる認証が一般的に採用されています。

一方、法人向けの無線LANアクセスポイントでは、パスワードによる知識認証ではセキュリティ的に不十分な場合があります。

例えば数百~数千人規模の社員がアクセスする無線LANネットワークで、無線LANにアクセスする際の認証をパスワードのみで実施することを考えてみます。

パスワード認証を行うためには、社員全てに無線LANアクセスポイントのパスワードを周知する必要があります。

社員はパスワードを記憶しておかなければなりませんが、これはアプリケーションを使用してパスワード入力を自動化することで解決可能です。

しかしながらパスワードを周知することで、故意、過失を問わず、パスワード流出の危険は残ります。

パスワードさえ入手できれば、第三者でも社員になりすますことが出来てしまうのです。

つまり正しいパスワードを入力できたとしても、”確実に”アクセスを許可された社員(または社員のデバイス)のみがアクセスしているとは限らないのです。

今回ご紹介するWI-Fi SIM認証は「所有物認証」の1つで、比較的安全性が高く企業向けに適した認証方式なのです。

なお本文中に記載されている「Wi-Fi」は、Wi-Fi Allianceの登録商標です。

 

3.Wi-Fi SIM認証とは

Wi-Fi SIM認証は、スマートフォンやタブレットなどのデバイスに搭載される「USIM(USIM: UMTS Subscriber Identity Module)」に保存されているK値と呼ばれる共有秘密鍵を使い、認証と鍵交換を行います。

K値はUSIMを工場で製造するときに書き込まれるもので、ユーザーが書き換えることは出来ません。

またUSIMを使用中のユーザー情報は、通信事業者の加入者データベースに登録されています。

図に示すように、USIMと加入者データベースの間で、認証や鍵交換の処理が行われます。

無線LANアクセスポイントと加入者データベースは直接通信できないため、AAA Proxyが必要になります。HPEでは、AAA Proxyに相当の機能を有する製品として、HPE WiFi Auth Gateway (WAuG) を提供しています。 
WiFi SIM Auth Overview.png

4G (LTE) や5Gでも採用されているEAP-AKAまたはEAP-AKA’を、プロトコルとして使用します。

つまりWi-Fi SIM認証とは、4Gや5Gで用いられる認証方式を無線LANにも適用し、無線LANへのアクセスに対してより堅牢な認証を提供することを目的にしています。

皆さんがスマートフォンなどのデバイスに電源を入れた時、画面上にアンテナマークが立つまでの間に認証処理が行われています。

ユーザーである皆さんは、認証処理が行われていることを意識したことはないと思います。

つまりSIMを使った認証方式により、ユーザーが認証処理を行うために行う操作は電源投入だけになります。

例えば電車が駅に到着したときに、自動的に無線LANにつながっていたという経験はないでしょうか?

Wi-Fi SIM認証は、通信事業者が提供する加入者向けの無線LANサービスでも既に利用されているのです。

 

4.Wi-Fi SIM認証のメリット

Wi-Fi SIM認証には、以下のような利点があります。

  • 携帯電話網に利用されている堅牢な認証方式を無線LANでも使用可能
  • 無線LAN網へのシームレスかつ自動接続が可能
  • GUI (Graphical User Interface) 等のユーザーインターフェースが無い機器の認証が可能
  • 認証のための情報が通信事業者で一元管理されるため、ユーザー側の運用負担を軽減できる

 

5.Wi-Fi SIM認証を支える技術

EAP-AKA

EAP(Extensible Authentication Protocol)は、RFC3748で規定されている複数の認証方式をサポートするための認証フレームワークです。

EAPはPPP(Point to Point Protocol)やIEEE802などのデータリンク層の上で直接動作し、IPを必要としません。

WPAエンタープライズ認証規格(IEEE802.1X)の代表的な認証方式にはEAP-TLSやEAP-PEAP等がありますが、Wi-Fi SIM認証では、EAP-AKA方式または後述するEAP-AKA’(EAP-AKA Prime)方式を採用しています。

AKA(Authentication and Key Agreement)とはセッション鍵を配布するための方式です。

EAP-AKAは3GPP (3rd Generation Partnership Project) で開発され、RFC4187で規定されています。


EAP-AKA’

EAP-AKA’はEAP-AKAを改版した標準規格で、3GPPで開発されRFC5448で規定されています。

EAP-AKA’では3GPP TS33.402で定義された新たなキー導出が使用可能になっています。

3GPP由来のCK’やIK’を採用し、ハッシュ関数がSHA-1からSHA-256に変更されています。

 

6.Wi-Fi SIM認証のユースケース

ユースケース1 : 携帯電話網と無線LAN網のシームレスな切り替え

無線LAN アクセスポイントと接続する際の認証で、ユーザー名やパスワードを入力する必要がなく、無線LANアクセスポイントのカバーするエリアに入ると自動的にSIMの情報を使ってユーザー認証し無線LANアクセスポイントに接続します。

これにより、携帯電話網と無線LAN網のシームレスな切り替えが可能になります。

例えば、無線LANを使ってサービスが提供されている駅プラットホームに電車が入線してきたとき、電車の乗客が持つ携帯電話の接続先を携帯電話網から無線LAN網に自動的に切り替えるサービスが提供できます。

Usecase 1.png

 

ユースケース2 : 企業内ネットワークへのセキュアなアクセス

特定のユーザーのみを無線LANアクセスポイントに接続させる場合、ユーザー名やパスワードを入力する必要がなく、EAP-AKAによるセキュアな認証が行えます。

これにより、シームレスなネットワーク切り替えが可能になります。

退職した社員が持つデバイスのアクセスも、加入者データベースを更新することで容易に遮断することが可能です。

Usecase 2.png

 

ユースケース3 : 大量のIoTデバイスを自動で認証

ユーザーインターフェースの無い大量のIoT (Internet of Things) デバイスが無線LAN網に接続する場合、認証を自動化することで運用者の工数削減が可能になります。

Usecase 3.png

 

7.さいごに

今回は法人向け無線LAN向けにセキュリティの高い認証方式として、EAP-AKA、EAP-AKA’によるWi-Fi SIM認証を紹介しました。

Wi-Fi SIM認証はUSIMを利用した認証方式で、堅牢でシームレスな無線LAN接続を可能にする認証方式です。

HPEでは、通信事業者向けのソリューリョンとして様々なソフトウェア製品を提供しています。

今回紹介したWi-Fi SIM認証ソリューション (HPE WiFi Auth Gateway) は、HPE TelcoのDigital Identityソリューションに含まれています。

Digital Identityソリューションには、Wi-Fi SIM認証以外の様々な認証系ソリューションも提供しておりますので、詳細はこちらの情報をご覧ください。

ラベル:
作者について

CTG-Japan

テレコソリューションズ営業本部は、通信事業者様向けにエッジからクラウドまでオープンソリューションを提供しています。私たちと一緒に5G、エッジ、クラウドを生かしたネットワークで新たな収益を生み出すイノベーションを推進しましょう!

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります