【RADIUS】Wi-Fi通信のユーザーは、ネットワーク上でどうやって許可されているのか?

2022-01-02

普段何気なくスマホでWi-Fiを使っていると思いますが、どういう仕組みで接続されているかはご存じでしょうか?

一般家庭なら無線LANルーターとONU(光回線終端装置)をまず繋いだ後に、スマホ側でSSIDとパスワードを入れたらそれでWi-Fiに繋がるでしょう。

しかし、その裏側では正規のユーザーだけをネットワークに接続させるための、認証技術が働いています。その技術を「RADIUS」と言います。

この記事では、RADIUSによるWi-Fiの認証の仕組みを分かりやすくまとめてみました。

RADIUS認証とは

RADIUSとは、「Remote Authentication Dial In User Service」の略称です。直訳すれば「ユーザー認証におけるリモート認証ダイヤル」となります。ネットワーク上でユーザーを認証するプロトコルです。

元々は電話回線でインターネットにアクセスしていたような時代に、ユーザーの接続を認証するために使われていました。現在でも光回線やWi-Fiのアクセスポイントの認証などに利用されているため、ネットワークにおいては古くから馴染み深い技術と言えます。

様々な端末からの接続要求ごとに認証を実施することで、そのネットワークにアクセスが許可されるべき端末のみを識別できます。

RADIUS認証の仕組み

RADIUS認証を構成する要素は以下の3点となります。

  • ユーザー:ネットワークにアクセスするために認証を要求。
  • RADIUSクライアント:ユーザーの認証要求をRADIUSサーバーに転送。
  • RADIUSサーバー:認証処理を実施後、結果をRADIUSクライアントに応答。

一般的なWi-Fi等の無線LANにおけるRADIUS認証の構成図は、下図のようになります。

上図を元に、RADIUS認証の基本的なフローを以下にてまとめました。

  1. ユーザーがアクセスポイント(RADIUSクライアント)に接続を試みる。
  2. RADIUSクライアントはユーザーに認証情報を要求。
  3. ユーザーが認証情報(ユーザ名、パスワード)を入力し、RADIUSクライアントに送信。
  4. RADIUSクライアントはRADIUSサーバーにユーザーの認証情報を転送し、認証をリクエスト。
  5. RADIUSサーバーが認証処理を実施し、承認か否認かをRADIUSクライアントに応答。
  6. RADIUSクライアントがユーザーに認証結果を応答。

このようなやりとりが実施されることで、不特定多数のスマホ利用者が無差別に無線LAN環境に接続されることなく、適切な端末間のみによる通信が実現されます。

RADIUS認証のメリット

主なメリットは以下となります。

認証情報の一元管理

1台のRADIUSサーバーで、社内の各種NW機器のユーザ名とパスワードによる認証を一元管理することで、システム管理者の作業負荷を軽減および効率化が図れます。

例えば、非常に多くのサーバーやNW機器が必要となるシステムに対して、各社員のユーザー情報を1台ずつ設定していくことを考えたら、膨大な手間と時間が発生不可避。そんな時にはRADIUSサーバー1台に全社員の認証情報を登録しておけば、サーバーやNW機器が何十台何百台と増設されたとしても、認証情報の更新作業はRADIUSサーバー1台だけで済むことになるわけです。

また、ユーザー毎に認証方法を指定したり、同一ユーザーでもアクセス方法に応じて認証方法を変えるなどの柔軟な運用が可能となります。

セキュリティの強化

最近はユーザ名とパスワードに代わって、SSL証明書を用いる「EAP-TLS」というよりセキュアな認証方法が主流になってきました。

このSSL証明書はいわゆるデジタル証明書であり、ユーザーと企業システム間の相互認証が可能となります。この時、RADIUSサーバーを使ってクライアント、認証局、サーバーを連携させることで、さらに堅牢なユーザー認証ができます。

EAP:Extensible Authentication Protocol

IEEE802.1X規格に基づく、PPP認証で利用されるプロトコルの一種。主に無線NW上での標準的な認証機構として使用される。トランスポート層の通信経路を暗号化し、デジタル証明書の授受によるRADIUSサーバーとクライアント間の相互認証を行う。

まとめ

この記事では、RADIUS認証の仕組みについてご説明しました。

この技術は一般的なスマホユーザーに限らず、オフィスのWi-Fi環境や大規模ネットワークでも使用される重要なものです。

是非その仕組みをしっかりと抑えて下さい。