Extensible Authentication Protocol
Extensible Authentication Protocol(EAP:拡張認証プロトコル)は、様々な認証方式を柔軟に利用するためのフレームワークを提供する認証プロトコルです。主にPPP(Point-to-Point Protocol)やイーサネットなどのデータリンク層で利用され、ネットワークへのアクセスを制御する際に重要な役割を果たします。EAPの最大の特徴は、特定の認証方式に依存せず、多様な認証方法に対応できる点にあります。
EAPは、認証プロセスにおける通信手順を定めており、具体的な認証方式はEAP自体ではなく、EAPで定義されたフレームワークの上で動作する各認証プロトコルによって実現されます。これにより、必要に応じてセキュリティレベルや利便性の異なる認証方式を柔軟に選択、導入することが可能になります。また、各メーカーが独自に拡張を行うことも許可されているため、特定の環境やニーズに合わせた認証方式を実装することも可能です。
EAPには多数の認証方式が存在しますが、その中でも代表的なものを以下に示します。
EAP-MD5
ユーザー名とパスワードを用いた認証方式ですが、パスワードを平文で送信するリスクを避けるために、MD5ハッシュを用いて認証を行います。ただし、クライアント側のみが認証されるため、サーバーの認証は行われません。
EAP-TLS (Transport Layer Security)
サーバーとクライアントの両方が電子証明書を保持し、その証明書に基づいて相互に認証を行う方式です。TLSのサーバー認証とクライアント認証のメカニズムを利用し、高度なセキュリティを実現します。
EAP-TTLS (Tunneled TLS)
サーバー側のみが電子証明書を保持し、TLSで暗号化された通信路を確立します。その上で、暗号化された通信路を通してパスワードによるクライアント認証を行います。EAP-TLSに比べて導入の敷居が低い点が特徴です。
EAP-PEAP (Protected EAP)
EAP-TTLSと同様に、サーバー側のみが電子証明書を持ち、TLSで暗号化された通信路を確立します。その暗号化された通信路の上でEAPの通信を行い、クライアント認証を行います。クライアント認証にはパスワードの他に、キートークンなどの様々な認証手段が利用可能です。
EAPは、LANにおけるユーザー認証の標準規格であるIEEE 802.1Xに採用されています。特に無線LAN(Wi-Fi)環境では、電波という性質上、不正アクセスや無断利用が問題になりやすいため、EAPを用いた認証が広く利用されています。IEEE 802.11iなどの規格にも採用されており、無線LANのセキュリティ確保に不可欠な技術となっています。
EAPは、他のネットワーク技術とも関連性があります。以下にその例を挙げます。
ネットワークアクセスサーバー (NAS):EAPは、ネットワークアクセスサーバー(NAS)と呼ばれるネットワーク機器との連携で利用されます。NASはユーザー認証を担い、ネットワークへのアクセスを許可または拒否する役割を果たします。
Protocol for Carrying Authentication for Network Access (PANA):PANAは、ネットワークアクセス認証のためのプロトコルで、EAPをベースにしています。EAPがデータリンク層での認証に使用されるのに対し、PANAはIP層での認証に使用されます。
EAPは、多様な認証方式に対応可能な柔軟性の高い認証プロトコルです。無線LANをはじめとする様々なネットワーク環境で利用され、セキュリティ確保に貢献しています。EAPを理解することは、現代のネットワークセキュリティを理解する上で非常に重要です。
* RFC 3748 Extensible Authentication Protocol (EAP)
EAPの仕組み
EAPは、認証プロセスにおける通信手順を定めており、具体的な認証方式はEAP自体ではなく、EAPで定義されたフレームワークの上で動作する各認証プロトコルによって実現されます。これにより、必要に応じてセキュリティレベルや利便性の異なる認証方式を柔軟に選択、導入することが可能になります。また、各メーカーが独自に拡張を行うことも許可されているため、特定の環境やニーズに合わせた認証方式を実装することも可能です。
代表的な認証方式
EAPには多数の認証方式が存在しますが、その中でも代表的なものを以下に示します。
EAP-MD5
ユーザー名とパスワードを用いた認証方式ですが、パスワードを平文で送信するリスクを避けるために、MD5ハッシュを用いて認証を行います。ただし、クライアント側のみが認証されるため、サーバーの認証は行われません。
EAP-TLS (Transport Layer Security)
サーバーとクライアントの両方が電子証明書を保持し、その証明書に基づいて相互に認証を行う方式です。TLSのサーバー認証とクライアント認証のメカニズムを利用し、高度なセキュリティを実現します。
EAP-TTLS (Tunneled TLS)
サーバー側のみが電子証明書を保持し、TLSで暗号化された通信路を確立します。その上で、暗号化された通信路を通してパスワードによるクライアント認証を行います。EAP-TLSに比べて導入の敷居が低い点が特徴です。
EAP-PEAP (Protected EAP)
EAP-TTLSと同様に、サーバー側のみが電子証明書を持ち、TLSで暗号化された通信路を確立します。その暗号化された通信路の上でEAPの通信を行い、クライアント認証を行います。クライアント認証にはパスワードの他に、キートークンなどの様々な認証手段が利用可能です。
EAPの利用例
EAPは、LANにおけるユーザー認証の標準規格であるIEEE 802.1Xに採用されています。特に無線LAN(Wi-Fi)環境では、電波という性質上、不正アクセスや無断利用が問題になりやすいため、EAPを用いた認証が広く利用されています。IEEE 802.11iなどの規格にも採用されており、無線LANのセキュリティ確保に不可欠な技術となっています。
EAPと関連する技術
EAPは、他のネットワーク技術とも関連性があります。以下にその例を挙げます。
ネットワークアクセスサーバー (NAS):EAPは、ネットワークアクセスサーバー(NAS)と呼ばれるネットワーク機器との連携で利用されます。NASはユーザー認証を担い、ネットワークへのアクセスを許可または拒否する役割を果たします。
Protocol for Carrying Authentication for Network Access (PANA):PANAは、ネットワークアクセス認証のためのプロトコルで、EAPをベースにしています。EAPがデータリンク層での認証に使用されるのに対し、PANAはIP層での認証に使用されます。
まとめ
EAPは、多様な認証方式に対応可能な柔軟性の高い認証プロトコルです。無線LANをはじめとする様々なネットワーク環境で利用され、セキュリティ確保に貢献しています。EAPを理解することは、現代のネットワークセキュリティを理解する上で非常に重要です。
参考文献
* RFC 3748 Extensible Authentication Protocol (EAP)
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。