IEEE 802.1X

索引トップ用語の索引ランキングカテゴリー

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2021/12/31 17:10 UTC 版)

この標準はIEEE Standard for Local and metropolitan area networks--Port-Based Network Access Controlで規定されており、初版が2001年に、改定版が2004年に、最新版が2010年に発行されている。2014年に802.1Xbx、2018年に802.1Xckという追補（ammendment）を発行している。

IEEE 802.1Xを使った認証システムは、以下のものから構成される。

サプリカント（Supplicant） - 認証クライアント・ソフトウェア。接続しようとするパソコン上で必要である。
オーセンティケータ - 802.1Xに対応したLANスイッチ。
認証サーバ - 認証を判断するサーバ。RADIUSまたはDIAMETER認証サーバでもよい。

本項目ではレイヤ2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を「LANスイッチ」と呼ぶ。また、802.1Xに対応したLANスイッチを「認証LANスイッチ」と、サプリカント・ソフトウェアを備えたクライアントPCを「サプリカントPC」と呼ぶ。

IEEE 802.1Xの認証手順

IEEE 802.1XはEthernetの認証であるのに対して、RADIUSはIP以上での認証であり、直接対応させて理解しない。

動作

EAPデータは最初にサプリカントとオーセンティケータの間でEAPOLフレームにカプセル化される（1）。次に、オーセンティケータと認証サーバとの間で再カプセル化される（2）。

IEEE 802.1Xを使った認証動作は以下の3段階からなる。

接続
EAP（Extended authentication protocol）による認証
認証完了

接続

有線LAN: 有線接続のLANでは、802.1Xに対応したLANスイッチに端末であるパソコンが接続された時点で認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
無線LAN: 無線LANではアソシエーション後に認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。

EAPによる認証

EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受け付けない。

認証完了

認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。

EAP

802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。

EAP-MD5: EAP-MD5（EAP-Message digest algorithm 5）はIDとパスワードで認証する方式。パスワードはチャレンジ＆レスポンス方式で暗号化されて送信される。無線LANでは安全ではない。
EAP-TLS: EAP-TLS（EAP-Transport layer security）はデジタル電子証明書を使って認証する方式。IDやパスワードは使用されない。スマートカードやUSBキー（ドングル）と組み合わせて使用されることが多い。無線LANでもほぼ安全。
PEAP: PEAP（Protected EAP）は米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL（Secure Sockets Layer）と同じ暗号化技術によって認証通信全体が暗号化されている。暗号化のために認証サーバにデジタル電子証明書が必要。無線LANでもほぼ安全。
LEAP: LEAP（Lightweight EAP）は米シスコシステムズ社が開発したEAP製品。
EAP-TTLS: EAP-TTLS（EAP-Tunneled transport layer security）は米ファンク・ソフトウェア社（Funk Software）が開発したEAP製品。