eduroam、吹きます@JANOG41会場
2018年01月23日 火曜日
CONTENTS
IIJは、自社で開発している無線LAN対応サービスアタプタ(ルータ)SA-W2・SA-W1シリーズや無線LANソリューションの開発に関連して、セキュア公衆無線LANローミング研究会 (NGHSIG)に参加しています。
このたび、NGHSIGが実証実験として運用している認証連携ハブ「JP Hub」とIIJイベント無線LANクラウド間でのRADIUS連携の準備が完了しました。
これにより今後IIJが運用するイベント無線LANでeduroam/anyroamを広告したりPasspointによる認証を利用することが可能になりました。
直近のイベントとしてJANOG41にて、いつも通りのWPA-PSKベースのSSID “JANOG41″の他にeduroamによる接続を提供するという実証実験を行う予定です。
802.1X認証連携
今回連携したJPHubにはIDサービスプロバイダとしてeduroam, ANYROAM, NGHSIGクラウド認証システム, WBA City Wi-Fi Roaming (期間中のみ)が接続しています。今回の連携によりそれらの機関が提供する認証をイベント無線LANで活用することができます。ここでは、今回広島での実証実験で主となるeduroam/anyroamについて紹介します。
eduroamとは
「eduroam JP」概要よりの抜粋
eduroam JPは、大学等教育研究機関の間でキャンパス無線LANの相互利用を実現する、国立情報学研究所(NII)のサービスです。
国際無線LANローミング基盤eduroamは、業界標準のIEEE802.1Xに基づいており、安全で利便性の高い無線LAN環境を提供します。現在、国内195機関(42都道府県)、世界約90か国(地域)がeduroamに参加しています。
当サイトでは、日本における eduroam の動向や関連情報、利用情報、および技術情報などを提供しています。
簡単にいえば大学関係者であれば持っているであろう自身の大学のアカウントを使えば、他大学・他機関の無線LAN APが広告している”eduroam”というSSIDに接続できるというローミング基盤がeduroamです。
その性質上大学や研究機関の構内での利用が主ですが、市街地にデプロイを進める団体もあったりCity Wi-Fi Roamingというテストイベンにて大学外にも適用するといったことが行われています。
ANYROAMの利用
大学機関以外の人でも利用できる認証基盤としてANYROAMが存在します。
上記の通りeduroam自体は大学・研究機関向けであり外部の人には基本的に開放されていません。通常のeduroam参画では我々はテスト接続すらできませんが、この部分を緩めて認証を提供しているのがANYROAMになります。
#なお大学等で導入しているeduroamではANYROAMとの連携を切っているためこれらの機関では使えません
eduroamの方では大学への所属が本人紐付けに利用されますが、ANYROAMでは以下の様に登録時にSMSが受信可能な電話番号を入力させそれを元に本人確認をしています。
基本的にはSMSで確認コードが送られて来、それを入力すると各プラットフォーム向けのプロファイルがもらえるという仕組みになっています。たとえばMacOSX用のプロファイルをインストールすると以下の様になります。
中身を見ると、”eduroam”というSSIDにWPA2エンタープライズ(EAP-TLS)で接続しにいく設定になっているのが見て取れます。
JANOG41会場ではこのプロファイルがあれば、eduroam側のSSIDに自動的に接続しに行ってくれるようになります。
終わりに
JANOG41では802.1X認証の連携のみがターゲットとなっていますが、将来的にはSA-W2にHotspot2.0/Passpoint機能を組み込むことでSSIDを気にせず安全な接続ができたり、あるいは独自にSIMを発行するMVNOがIdPとして参加することでEAP-SIMによる認証が使えたりといったことも可能です。
これだけだけでは三大キャリアの提供していたWi-Fiローミングの後追いでしかないのでビジネス的には難しいですが、総務省にて公衆無線LANセキュリティ分科会が開催されるなど公衆無線LANの安全性担保や本人紐付けをどうするかといった課題が現在進行形で議論されています。
どういった整理になるかは今後次第ですが、802.1X連携やHotspot2.0等の基盤・技術はこの一要件として加えられる可能性が多いにあります。これを受けてSA-W2の提供先や、より広くはWi-Fiネットワーク自体の提供先でこれらの要件が求められる可能性が多いにあります。これにあたっては単に機器に機能のあるなしだけではなく、802.1XやPasspointの運用、IdPとの連携やその基盤の構築・維持といったより広い範囲のノウハウが必要になるものと見ています。
JANOG41ではこれらの展望を見据えて、まずはeduroam/anyroam連携による認証を部分的に提供します。
セキュア公衆無線LANローミング研究会(NGHSIG) BOFのお知らせ
JANOG 41 Meeting最終日(1月26日) 14:10よりNGHSIGのBOFが開催されます。ご参加をお待ちしています。セキュア公衆無線LANローミング研究会 ~Passpoint/NGHにつないでみよう~