IEEE802.1x

※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

・IEEE802.1x
-L2ポートレベルで利用者認証を行うための規格のこと。
-EAPとRADIUSと言う二つのプロトコルが使われる
(オーセティケーターはEAPメッセージをRADIUSでカプセル化して認証サーバに送信する。)

-メリット
・PCの認証を自動化できる。ユーザーごとのきめ細かい認証も可能。
・目的に合わせたVLANへ接続PCを誘導できる。
・スイッチやアクセスポイントだけの認証に加えて、認証サーバを用いることでより強固なセキュリティを実現できる。
・認証情報を認証サーバで集中管理できる。

-デメリット
電子証明書を使う認証方式では、電子証明書のインストールと有効期限管理の負担がある。
 

・IEEE802.1xでの認証方式
-EAP-TLS
クライアント、認証サーバの両方でデジタル証明書を用いる。
デジタル証明書には発行したCAの電子署名が含まれており、両者で交換したデジタル証明書の電子署名が正しければ認証とする。

-大まかな手順
1、アソシエーション
2、クライアントIDをRADIUSサーバに送信、サーバからクライアントからEAP-TLS開始通知。
3、TLSネゴシエーション(デジタル証明書の交換と、暗号化方式の決定)
4、サーバからAPとクライアントへ成功通知

↓EAP-TLSシーケンス(APが司会進行役みたいな役割)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060914/248050/?SS=imgview&FD=4485451&ST=system
※メッセージ名
クライアントからのメッセージ:「EAPレスポンス」 
APからクライアントへのメッセージ:「EAPリクエスト」
APからサーバへのメッセージ:「RADIUSアクセスリクエスト」
サーバからAPへのメッセージ:「RADIUSアクセスチャレンジ」

-IEEE802.1x自体は暗号化機能は持たない。
  しかしwepキーの配布機能は持つ。(暗号化に関してはwepに任せてる)(?現在はWPAが主流?)
 認証サーバがWEPキーの生成に必要な情報をオーセンティケーターに送信し、オーセンティケーターがwepキーを生成する。

-認証サーバは認証許可と同時にVLAN情報をオーセンティケータに送信できる。