ユーザーを認証するPPPoEとIEEE802.1x
イーサネット・フレームは,FTTHやADSLなどのブロードバンド・サービスでも利用されています。これらのサービスでユーザー認証などに使われている技術が「PPPoE」(PPP over Ethernet)です。一方,PPPよりもセキュリティを強化した新技術「IEEE802.1x」の標準化も進んでいます。
電話やISDNを使ったダイヤルアップ型インターネット接続では,PPPを使ってユーザーの認証や通信で利用するプロトコルの判別,アドレスの通知などを処理します。PPPoEは,FTTHやADSLなどイーサネット・フレームを使ったブローバンド・サービスでも,PPPの機能をそのまま利用できるようにした技術です。IETFのRFC2516で規定されています。
サーバー/クライアント型で通信するPPPoE
PPPoEで認証処理などを実現するには,アクセスを要求する側にクライアント,アクセスを受け付ける側にサーバーを用意する必要があります。クライアント機能は,パソコンやブロードバンド・ルーターなどが搭載します(図1)。サーバーの機能は,通信事業者の収容局に設置されたブロードバンド・アクセス・サーバー(BAS)が持つのが一般的です。
図1 MACフレームを便ったPPP通信を実現するPPPoE
PPPoEでは,クライアントとサーバーの間でPPPoEの『セッションを確立してから,PPPの通信を開始します。このため,PPPoEの動作は,.札奪轡腑鵑魍領する「ディスカバリ・ステージ」,確立したセッションの中でPPPを使って通信する「PPPセッション・ステージ」の2段階に分かれます。通信開始の要求はブロードキャストで送信PPPoEのディスカバリ・ステージでは,まず,インターネット接続サービスの名称など,クライアントが利用したいサービスの名前を埋め込んだフレームをネットワーク上にブロードキャストします。フレームを受け取ったサーバーのうち,指定されたサービスを提供できるサーバーだけが,フレームの送信元クライアントに応答します。このとき,複数のサーバーが応答する可能性もあります。そこでクライアントは,応答のあったサーバーの中から適当に一つを選び,セッションの確立を要求します。選ばれたサーバーは,この要求を受けてクライアントにセッション識別子を送信し,PPPoEのセッションを確立します。
その後,PPPoEの動作はPPPセッション・ステージに移行し,PPPの通信を開始します。サーバーとクライアントは,まず,PPPを使いユーザーを認証します。問題なく認証できれば,利用するプロトコルやクライアントに割り当てるアドレスを決定した後,データのやり取りを開始します。
PPPoEのセッションは,クライアントとサーバーのいずれかが、通信の完了を伝えるフレームを送信したときに終了します。
ディスカバリ・ステージの手順にあるとおり、PPPoEではサービス名やセッション識別子などを指定できます。このため,1台のクライアントが複数のサービスやサーバーを利用することも可能です。しかし現状のインターネット接続サービスでは,一つのアクセス回線で最大1セッションに限定しているのが大半です。
セキュリティ機能を強化したIEEE802.1x
IEEE802.1xは,LANのセキュリティ機能を強化するための新しい標準仕様です。IEEE802.1xでは,LAN機器のポートごとにアクセスを制御できます。
例えば,あるユーザーがIEEE802.1x準拠のLANスイッチにパソコンをつないだとします。ユーザーは,IDとパスワードを認証サーバーに送信します(図2)。
図2 ポート単位でアクセスを制御するIEEE802.1x
認証サーバーは,認証結果をIEEE802.1x準拠のLANスイッチに送信します。ここで認証できなかった場合,LANスイッチは認証できなかったユーザーの端末がつながったポートを,MACフレームが転送できない状態にします。こうすることで,不正なユーザーがLAN内部に侵入することを防止します。
IEEE802.1xで言うポートは,LANスイッチやルーターなどが備える物理ポートだけでなく,無線LANのアクセス・ポイントと端末との間の通信で使うような論理ポートも含みます。このため,IEEE802.1xを使うと無線LANのセキュリティを強化できます。すでに草案に準拠した無線LAN製品が出荷されています。また,NTT西日本の「フレッツ・スポットアクセス」のようにIEEE802.1xを使った無線LANによる公衆アクセスの実証実験も始まっています。
トップページへ