【RADIUS】Wi-Fi通信のユーザーがNW上で許可される仕組み

2023-01-08

普段何気なくスマホでWi-Fiを使っていると思います。

それがどういう仕組みで接続されているかはご存じでしょうか?

一般には無線LANルーターとONU(光回線終端装置)をまず設置。

その後スマホ側でSSIDとパスワードを入れたらWi-Fiに繋がります。

実は、その裏側で正規ユーザーだけを接続させる認証技術が働いています。

その技術を「RADIUS」と言います。

この記事では、RADIUSによるWi-Fiの認証の仕組みを分かりやすくまとめました。

RADIUS認証とは

RADIUSとは、「Remote Authentication Dial In User Service」の略称です。

直訳すれば「ユーザーサービスにおけるリモート認証ダイヤル」。

ネットワーク上でユーザーを認証するプロトコルの一種です。

元々は、電話回線のインターネットの時代の「ユーザー接続認証」に使われていました。

現在では、「光回線やWi-Fiアクセスポイントの認証」などに利用されています。

「端末からの接続要求ごと」に認証することで、許可されるべき端末のみを識別できます。

RADIUS認証の仕組み

RADIUS認証を構成する要素は以下の3点です。

  • ユーザー:ネットワークにアクセスするために認証を要求。
  • RADIUSクライアント:ユーザーの認証要求をRADIUSサーバーに転送。
  • RADIUSサーバー:認証処理を実施後、結果をRADIUSクライアントに応答。

Wi-Fi無線LANにおけるRADIUS認証の構成図は、下図のようになります。

  1. ユーザーがアクセスポイント(RADIUSクライアント)に接続を試みる。
  2. RADIUSクライアントはユーザーに認証情報を要求。
  3. ユーザーが認証情報(ユーザ名、パスワード)を入力し、RADIUSクライアントに送信。
  4. RADIUSクライアントはRADIUSサーバーにユーザーの認証情報を転送し、認証をリクエスト。
  5. RADIUSサーバーが認証処理を実施し、承認か否認かをRADIUSクライアントに応答。
  6. RADIUSクライアントがユーザーに認証結果を応答。

このやりとりにより、適切な端末だけが接続されます

不特定多数のスマホユーザーが、無差別に無線LAN環境に接続されることはありません。

RADIUS認証のメリット

認証情報の一元管理

1台のRADIUSサーバーで、NW機器の「ユーザ名とパスワードによる認証の一元管理」が可能です。

システム管理者の作業負荷軽減と効率化が図れます。

例えば、「多数のサーバーやNW機器が必要なシステム」に対して非常に効果的。

各社員のユーザー情報を1台ずつ設定するとしたら、膨大な手間が不可避です。

そんな時には、RADIUSサーバー1台に全社員の認証情報を登録しておけばOK。

機器が何台増設されても、「認証情報の更新作業」はRADIUSサーバー1台分で済みます。

さらに次のような柔軟な運用も可能です。

  • ユーザー毎に認証方法を指定
  • 同一ユーザーでもアクセス方法に応じて認証方法を変更

セキュリティの強化

最近はユーザ名とパスワードに代わって、よりセキュアな認証方法が主流になってきました。

それはSSL証明書を用いる「EAP-TLS」という認証方法です。

このSSL証明書はいわゆるデジタル証明書で、「ユーザー」と「RADIUSサーバー」間の相互認証が可能。

これにより、更に堅牢な認証が実現できます。

EAP:Extensible Authentication Protocol

IEEE802.1X規格に基づく、PPP認証で利用されるプロトコルの一種。主に無線NW上での標準的な認証機構として使用される。

まとめ

この記事では、RADIUS認証の仕組みについてご説明しました。

一般のスマホユーザーに限らず、オフィスのWi-Fi環境や大規模ネットワークでも使用されます。

いろんな場面で活用されているので、是非その仕組みをしっかりと抑えて下さい。