IEEE802.1x:EAP認証まとめ
puchi-engineerIEEE802.1x:EAP認証まとめ
以下に、EAP-TLS、PEAP、およびEAP-SIM/AKAのそれぞれについて、無線LAN端末の認証方法、認証サーバの認証方法、セキュリティ強度、および特徴を解説します。
- EAP-TLS(Extensible Authentication Protocol – Transport Layer Security)
- 無線LAN端末の認証方法
EAP-TLSでは、クライアント(無線LAN端末)はデジタル証明書を使用して自己を認証します。クライアントは、事前に証明書を取得し、それを使用して認証サーバに対して自身の正当性を証明します。 - 認証サーバの認証方法
認証サーバは、クライアントのデジタル証明書を使用してクライアントを認証します。認証サーバは、証明書の検証およびクライアントとの相互認証を行います。 - セキュリティ強度
EAP-TLSは、クライアントと認証サーバ間の通信をTLSプロトコルによって暗号化し、セキュリティを確保します。デジタル証明書による強力な相互認証が行われるため、高いセキュリティ強度を提供します。 - 特徴
EAP-TLSは、クライアントとサーバ間の強力なセキュアチャネルを確立することができます。デジタル証明書を使用するため、証明書の管理が必要ですが、高いセキュリティレベルを要求する環境に適しています。
- PEAP(Protected Extensible Authentication Protocol)
- 無線LAN端末の認証方法
PEAPでは、クライアントはIDとパスワードを使用して自身を認証します。クライアントは、ID/パスワードを認証サーバに送信し、認証を行います。 - 認証サーバの認証方法
認証サーバは、クライアントが提供したID/パスワードを使用してクライアントを認証します。サーバはID/パスワードの検証を行います。 - セキュリティ強度
PEAPは、TLSプロトコルを使用してクライアントと認証サーバ間の通信を暗号化します。ただし、クライアントの認証にID/パスワードを使用するため、EAP-TLSよりもセキュリティレベルが若干低くなります。 - 特徴
PEAPは、デジタル証明書を必要とせず、ID/パスワードベースの認証を提供します。証明書管理が煩雑でなく、容易に運用できる利点があります。ただし、セキュリティレベルはEAP-TLSよりも低いため、環境に応じて使用する必要があります。
- EAP-SIM/AKA(Extensible Authentication Protocol – Subscriber Identity Module / Authentication and Key Agreement)
- 無線LAN端末の認証方法
EAP-SIM/AKAでは、クライアントはSIMカードまたはUSIMカードを使用して自身を認証します。クライアントは、SIMカード内の情報を利用して認証を行います。 - 認証サーバの認証方法
認証サーバは、クライアントが提供したSIMカードまたはUSIMカード内の情報を使用してクライアントを認証します。サーバはSIMカード内の情報の検証を行います。 - セキュリティ強度
EAP-SIM/AKAでは、SIMカードやUSIMカード内の情報を利用して認証と鍵共有が行われます。セキュリティレベルは一般的に高く、携帯電話ネットワークのセキュリティメカニズムを活用します。 - 特徴
EAP-SIM/AKAは、携帯電話ネットワークの認証メカニズムを拡張して使用するため、携帯電話番号やSIMカードの情報に基づいた認証を提供します。携帯電話ネットワークプロバイダやキャリアが提供する公衆無線LANなどで使用されることが一般的です。
下表に、それぞれのプロトコルの認証方法、認証サーバの認証方法、セキュリティ強度、および特徴をまとめます。
| EAP-TLS | PEAP | EAP-SIM/AKA | |
|---|---|---|---|
| 無線LAN端末の認証方法 | デジタル証明書を使用 | ID/パスワードを使用 | SIMカードまたはUSIMカードを使用 |
| 認証サーバの認証方法 | デジタル証明書を検証 | ID/パスワードを検証 | SIMカードまたはUSIMカードの情報を検証 |
| セキュリティ強度 | 高い | EAP-TLSよりも低い | 高い |
| 特徴 | 強力な相互認証とセキュリティを提供 | デジタル証明書の管理が容易で運用が簡単 | 携帯電話ネットワークの認証メカニズムを活用し、携帯電話番号やSIMカード情報に基づいた認証を提供 |
