このドキュメントは http://edu.net.c.dendai.ac.jp/ 上で公開されています。
PPP(RFC1661)は電話回線を介してパソコンとIP網をモデムで接続するためのプ ロトコルでした。 PPPは回線接続、認証、ネットワーク接続の機能もありました。 IP網側はワークステーションでもできましたが、ルータとシリアル接続するター ミナルサーバーという装置で受信するのが一般的でした。
大規模なサービスを実現するには ターミナルサーバーをいくつも多重化する必要があります。 その時、それぞれのターミナルサーバーにおいて、認証の設定(ユーザー登録 など)をするのは利便性に劣ります。 そのために、認証サーバーとしてRadius(RFC3579)が開発されまし た。 これはターミナルサーバーとRadiusサーバーをIP接続し、認証の作業をRadius サーバーにさせて、ターミナルサーバーが接続を確立させます。
その後、回線速度の需要により、モデム接続からISDN、ADSL、FTTHにおいても、 ネットワーク接続のために認証が必要であったため、PPPoE(RFC2516)という Ethernet上でPPPを実現する仕組みが開発されました。
無線ネットワークでは、 当初は Ethernet と同等の仕組みを構築するという目標で、WEP(Wired equivalent Privacy)というセキュリティが作られました。 しかし、有線ネットワークはそのネットワークに回線を接続しなければ通信が できないことに対して、無線ネットワークは送受信エリアに居れば通信内容が 傍受できてしまうため、前提としてそもそも同等ではありません。 そのうえ、WEPの暗号は2001年に完全に解かれてしまい、役に立たなくなって しまいました。
その直後に、無線LANのセキュリティを規格化する委員会 802.11i が立ち上が りました。 この時点で安全な無線LANのプロトコルが存在していない状況だったので、ま ず中間報告的な意味で WPA という規格が発表され(2002年)、 その後、最終報告として WPA2 という規格が発表されました(2004年)。 2006年以降、WPA2対応でない機器は WIFI-CERTIFIED を名乗れなくなりました。
ネットワークに接続する際に、認証やネットワーク設定が必要になるのは、 接続方法に寄りません。 電話回線でも、Ethernet でも、無線LANでも、接続時に認証をして、ネット ワークの設定をする必要があります。 このような Authentication 認証手続き、 Authorization 承認、 Accounting 利用情報 をする必要があるようなネットワーク接続機器を AAA クライアントと呼ぶようです。 そして、AAA クライアントに必要なプロトコルを抽象化し、共通化す べきです。
そのため、PPPの認証方式のメッセージ交換の部分を抽象化した EAP(Extensible Authentication Protocol) が制定されました。 そして、EAPをLANで実現する EAPOL(EAP over LAN)として IEEE 802.1Xが定められました。 さらにこの IEEE 802.1X を IEEE 802.11 無線LAN上で使用するための仕様が IEEE 802.11i です。 また、電話回線での接続である PPP も EAP プロトコルの定義でEAPを利用す るように再定義されています。
なお、無線LANの認証方式である WPA2は、IEEE 802.11i が実現されたもので すが、その中で、単純にアクセスポイントの共通パスワードで認証する方式 を WPA パーソナルと言い、 EAP を用いた IEEE 802.1X の認証を 行う方式を WPAエンタープライズと呼びます。
AAAをサポートしたいネットワークでは、ネットワーク接続時のLayer 2プロ トコルにおいて、次のようにEAPを利用します。
接続側(Peer)がLayer-2 ネットワークの接続口として AAA クライアン トと呼ばれる、ターミナルサーバー、HUB、無線LANのアクセスポイントなど に接続する
EAPはPeer側のサプリカントと呼ばれるEAPクライアントと、 EAPサーバーの通信を実現する
EAPによりSuccess がAAAクライアントに返されたら、ネットワークの入 り口であるAAAクライアントはPeerと接続する
このEAPにおいて、EAPサーバはAAAクライアントが担当してもよいし、AAAサー バと呼ばれるバックエンドの認証サーバー(RADIUS や DIAMETER サーバー) が担当してもよいです。 このAAAサーバとAAAクライアントの接続はIP接続で行い、一方、Peer と AAAクライアントはIPを用いないレイヤー2の通信でメッセージをやりとりし ます。 つまりEAPの形態は、AAAサーバーを用いない方式とAAAサーバーを用いる方法 の2種類あるます。
また、電話回線ではEAPプロトコルが盗聴される恐れは少ないと思いますが、無線LANで は盗聴される恐れがあります。 したがって、Layer-2の通信において異なる取扱いが必要なってきます。 IEEE 802.11iは無線LANの認証を取り決めていて、EAPを採用していますが、使 用するEAP methodは、盗聴を前提として設計されている方式の みが使用されます。
EAPはEAP method(EAPタイプ)と呼ばれる認証プロトコルを実現 させ、認証を成功させるのが目的です。 EAP method は様々な運用形態に対応できるよう、様々な方式が定義されて います。 各Peer、EAPサーバともEAP methodを複数実装でき、ネットワークの接続時に 何を使用するか設定できます。但し、認証する際に双方に同じEAP methodが 実装されていないと認証ができません。 なお、Microsoft Windows のコントロールパネルではこのEAPメソッドは 「ネットワークの認証方式」と表現されています。
実際のEAPの動作は次のようになります。
なお、EAPの認証される側を EAP peer、認証する側を EAP Authenticator と 言いますが、これは Peer と EAPサーバーと1対1で対応するものではありませ ん。 Peer と EAPサーバー双方がお互いを認証することもあり得ます。 つまり、EAP method によっては Peer、 EAPサーバーがそれぞれ EAP Peer, EAP Authenticator のどちらでも成り得ます。 そのため、通常の認証であるクライアント認証の他、サーバー認証という概念 もあります。