【RADIUS】Wi-Fi通信のユーザーがNW上で許可される仕組み

普段何気なくスマホでWi-Fiを使っていると思います。
それがどういう仕組みで接続されているかはご存じでしょうか?
一般には無線LANルーターとONU(光回線終端装置)をまず設置。
その後スマホ側でSSIDとパスワードを入れたらWi-Fiに繋がります。
実は、その裏側で正規ユーザーだけを接続させる認証技術が働いています。
その技術を「RADIUS」と言います。
この記事では、RADIUSによるWi-Fiの認証の仕組みを分かりやすくまとめました。
RADIUS認証とは
RADIUSとは、「Remote Authentication Dial In User Service」の略称です。
直訳すれば「ユーザーサービスにおけるリモート認証ダイヤル」。
ネットワーク上でユーザーを認証するプロトコルの一種です。
元々は、電話回線のインターネットの時代の「ユーザー接続認証」に使われていました。
現在では、「光回線やWi-Fiアクセスポイントの認証」などに利用されています。
「端末からの接続要求ごと」に認証することで、許可されるべき端末のみを識別できます。
RADIUS認証の仕組み
RADIUS認証を構成する要素は以下の3点です。
- ユーザー:ネットワークにアクセスするために認証を要求。
- RADIUSクライアント:ユーザーの認証要求をRADIUSサーバーに転送。
- RADIUSサーバー:認証処理を実施後、結果をRADIUSクライアントに応答。
Wi-Fi無線LANにおけるRADIUS認証の構成図は、下図のようになります。

- ユーザーがアクセスポイント(RADIUSクライアント)に接続を試みる。
- RADIUSクライアントはユーザーに認証情報を要求。
- ユーザーが認証情報(ユーザ名、パスワード)を入力し、RADIUSクライアントに送信。
- RADIUSクライアントはRADIUSサーバーにユーザーの認証情報を転送し、認証をリクエスト。
- RADIUSサーバーが認証処理を実施し、承認か否認かをRADIUSクライアントに応答。
- RADIUSクライアントがユーザーに認証結果を応答。
このやりとりにより、適切な端末だけが接続されます。
不特定多数のスマホユーザーが、無差別に無線LAN環境に接続されることはありません。
RADIUS認証のメリット
認証情報の一元管理
1台のRADIUSサーバーで、NW機器の「ユーザ名とパスワードによる認証の一元管理」が可能です。
システム管理者の作業負荷軽減と効率化が図れます。
例えば、「多数のサーバーやNW機器が必要なシステム」に対して非常に効果的。
各社員のユーザー情報を1台ずつ設定するとしたら、膨大な手間が不可避です。
そんな時には、RADIUSサーバー1台に全社員の認証情報を登録しておけばOK。
機器が何台増設されても、「認証情報の更新作業」はRADIUSサーバー1台分で済みます。
さらに次のような柔軟な運用も可能です。
- ユーザー毎に認証方法を指定
- 同一ユーザーでもアクセス方法に応じて認証方法を変更
セキュリティの強化
最近はユーザ名とパスワードに代わって、よりセキュアな認証方法が主流になってきました。
それはSSL証明書を用いる「EAP-TLS」という認証方法です。
このSSL証明書はいわゆるデジタル証明書で、「ユーザー」と「RADIUSサーバー」間の相互認証が可能。
これにより、更に堅牢な認証が実現できます。
IEEE802.1X規格に基づく、PPP認証で利用されるプロトコルの一種。主に無線NW上での標準的な認証機構として使用される。
まとめ
この記事では、RADIUS認証の仕組みについてご説明しました。
一般のスマホユーザーに限らず、オフィスのWi-Fi環境や大規模ネットワークでも使用されます。
いろんな場面で活用されているので、是非その仕組みをしっかりと抑えて下さい。