Untitled

Size: px

Start display at page:

Download "Untitled"

わんどうすい
4 years ago
Views:

1 平成 17 年度フロンティアプロジェクト無線 LAN におけるセキュアローミングプロトコルの提案 A Secure Roaming Protocol for Wireless LAN 岡田勇指導教員清水明宏 2006 年 3 月 10 日高知工科大学フロンティア工学コース

2 要旨無線 LAN におけるセキュアローミングプロトコルの提案岡田勇近年, 無線 LAN(Local Area Network) は企業や空港, 一般家庭で急速に普及しつつある. しかし, 無線 LAN は無線通信を行うために, 盗聴や成りすましといった行為が容易にできてしまうことからセキュリティ対策が課題とされていた. その中で無線 LAN のセキュリティ規格として IEEE802.11i が標準化された.IEEE802.11i は, ユーザを認証するために多くのコストが必要である. そのために, 中小企業や一般家庭といった小規模な環境では IEEE802.11i を使った無線 LAN を構築できない. 本研究では, 低コストで安全な無線 LAN 構築を可能とする, ワンタイムパスワード認証方式 SAS-2(Simple And Secure password authentication protocol.ver.2) を用いた, セキュアローミングプロトコルを提案する. この中で, 新たなローミングフェーズの必要性について示し, 当フェーズの提案と評価を行う. そして, 提案プロトコルが, 低コストで安全な無線 LAN を実現できることを示す. キーワード認証, 無線 LAN,IEEE802.11i, ローミング,SAS-2 i

3 Abstract A Secure Roaming Protocol for Wireless LAN OKADA, Isamu In these years,wireless LAN is spread rapidly to the company,the airport and the home.wireless LAN is easy of bugging and spoofing.ieee802.11i was standardized as a security standard for wireless LAN.IEEE802.11i needs many costs for the certification of the user.the small scale environment such as small-to-medium-sized enterprises and home cannot build the wireless LAN of IEEE802.11i. In this paper, I propose a roaming protocol for secure wireless LAN at low costs, using one-time password authentication protocol SAS-2(Simple And Secure Password Authentication Protocol,Ver.2).In the wireless LAN,the improvement protocol which roaming safely is needed.finally,the proposed protocol realized low cost and secure wireless LAN. key words Authentication,One-time password,sas-2,wireless LAN,Roaming ii

4 目次第 1 章はじめに背景と目的本論文の概要... 1 第 2 章無線 LAN 無線 LAN とは認証方式公開鍵暗号方式ワンタイムパスワード認証方式... 8 第 3 章ワンタイムパスワード認証方式 SAS 定義と記法 SAS-2 プロトコル登録フェーズ認証フェーズ SAS-2 の安全性無線 LAN への適用問題第 4 章セキュアローミングプロトコルの提案定義と記法セキュアローミングプロトコル AP 登録フェーズ STA 登録フェーズ認証フェーズ push 型ローミングフェーズ iii

5 目次 pull 型ローミングフェーズローミングフェーズの特徴評価安全性の評価比較評価第 5 章まとめ 35 謝辞 36 参考文献 37 iv

6 図目次 2.1 無線 LAN の構成無線 LAN の市場規模推移公開鍵暗号方式の認証 EAP-TLS の構成 EAP-TTLS の構成登録フェーズ認証フェーズ (i 回目 ) AP 登録フェーズ STA 登録フェーズ認証フェーズ (i 回目 ) push 型ローミングフェーズ pull 型ローミングフェーズ v

7 表目次 4.1 提案プロトコルと EAP 認証方式との比較 vi

8 第 1 章はじめに 1.1 背景と目的近年, 無線 LAN は企業や空港, 一般家庭で急速に普及しつつある. しかし, 無線 LAN は無線通信を行うために, 盗聴や成りすましといった行為が容易にできてしまうことからセキュリティ対策が課題とされていた. その中で,IEEE802.11i( 以下 i)[1] が無線 LAN のセキュリティ規格として標準化された. しかし,IEEE802.11i に沿った無線 LAN は, ユーザを認証するするために多くのコストが必要となる. そのために, 中小企業や一般家庭といった小規模な環境では,IEEE802.11i に沿った無線 LAN を構築することが難しい. 本論文では, 低コストで安全な無線 LAN の構築を可能とする, ワンタイムパスワード認証方式 SAS-2[2] を用いたセキュアローミングプロトコルを提案する. この中で, 新たなローミングフェーズの必要性について示し, 当フェーズの提案と評価を行う. これにより, 提案したローミングフェーズを含めたワンタイムパスワード認証方式 SAS-2 を適用することで, 低コストで安全な無線 LAN が実現できることを示す. 1.2 本論文の概要本論文では, ワンタイムパスワード認証方式 SAS-2 を用いた, 低コストで安全な無線 LAN を構築するセキュアローミングプロトコルを提案する. 第 2 章では, 既存の無線 LAN について述べる. 無線 LAN の特徴や使用される認証方式について述べる. 1

9 1.2 本論文の概要第 3 章では, ワンタイムパスワード認証方式の一つである SAS-2 について述べる. まず, SAS-2 プロトコルの詳細を述べ, さらに SAS-2 の安全性について述べる. そして,SAS-2 を無線 LAN へ応用する場合に考えられる問題点を指摘する. 第 4 章では, 提案するセキュアローミングプロトコルについて説明する. 提案プロトコルについて述べ, 提案プロトコルについての評価方法を述べる. そして, 評価結果から考察を述べる. 最後に, 本論文の成果をまとめ, 今後の課題を述べる. 2

10 第 2 章無線 LAN 2.1 無線 LAN とは無線 LAN とは, 有線 LAN( 以下 LAN) で用いられているケーブルを使わずに, ユーザが無線 LAN に接続するための Station( 以下 STA) と呼ばれる無線 LAN 用通信機器を使って,Access Point( 以下 AP) と呼ばれる中継器を経由して, インターネットやイントラネットに接続する LAN のことである. 無線通信は, 赤外線による通信方法もあるが, 一般的には電波を用いて AP と無線通信可能な範囲内で無線通信を行う. 無線 LAN の構成を図 2.1 に示す. 図 2.1 無線 LAN の構成近年, 無線 LAN は, 企業や空港, 一般家庭などで, 急速に普及しつつある. また, 無線 LAN の市場の増加規模推移 [3] からも, その普及が年々増加されることが予想される. 普及 3

11 2.1 無線 LAN とはしてきた要因として, オペレーティングシステムが無線 LAN を標準サポートし始めたことや, 無線 LAN 機器が低価格となってきたことなどが挙げられるが, 無線 LAN の特徴である柔軟性と移動性が大きな要因と考えられる. 図 2.2 無線 LAN の市場規模推移柔軟性とは, 無線 LAN はケーブルを用いないため,STA を AP と通信できる範囲内であれば, 自由に設置することができるので,LAN 構築する時の設計や工事等のコストを削減できる. また, ケーブルによる景観を損なわれないため, 工事等ができない環境でも無線 LAN を利用することが可能となる. また, 移動性とは,AP との無線通信エリア内であれば, 移動しながら LAN に接続が可能である. その特徴を利用して, 複数の AP を広範囲に設置し,STA は無線通信を行う AP を無線通信エリアが変わるごとに切り替えることで, 広範囲に移動しながら LAN に接続することが可能である. それを可能とする機能をローミングという. このような特徴をもつ無線 LAN だが, 電波等で無線通信を行っているため, その電波を傍受することで, 盗聴, 成りすましが簡単にできてしまうという, セキュリティ上の問題を抱える. このような問題に対して, 無線 LAN におけるセキュリティ規格 i が標準化された i では, 盗聴に関しては暗号化方式 AES を用いて十分なセキュリティを確保できている. しかし,802.11i で成りすましを防ぐ認証方式には, コスト面で問題をあり, 4

12 2.2 認証方式課題とされている. 2.2 認証方式悪意のある第三者によるサービスへの不正アクセスや不正利用を防ぐために, 正規のユーザかどうかを認証する必要がある. 無線 LAN のセキュリティ規格 i では, 成りすましを防ぐために公開鍵暗号方式をベースにした認証方式が用いられている. しかし, その認証はコスト面で問題を有しており, その解決手法としてワンタイムパスワード認証方式が考えられる. 以下に, 公開鍵暗号方式をベースにした認証方式の概要とその問題点について述べ, ワンタイムパスワード認証方式について述べる公開鍵暗号方式公開鍵暗号方式とは, 秘密鍵と公開鍵の対をなす鍵を用いた暗号方式である. 秘密鍵とは, 鍵の所有者に厳重に保管される鍵である. 公開鍵は, 秘密鍵と対をなし, 他人に公開する鍵である. 公開鍵暗号方式は, 秘密鍵もしくは公開鍵でデータを暗号化し, 暗号化に利用しなかった鍵で復号する. この公開鍵暗号方式を用いた認証方式では, 電子証明書が用いられる. 電子証明書とは, 鍵の改ざんがされてないか証明し, 同時に鍵を公開した人物の認証を行うことができる. 電子証明書は, 認証局と呼ばれる信頼における第三者機関によって発行される. 公開鍵暗号方式による認証の様子を図 2.3 に示す. 無線 LAN では,EAP(Extensible Authentication Protocol) に対応し, 公開鍵暗号方式をベースにした認証方式が用いられている.EAP とは, 認証に使用されるプロトコルでる.EAP は PPP(Point to Point Protocol) の拡張であり,PPP では CHAP(Challenge Handshake Authentication Protocol) や PAP(Password Authentication Protocol) といった認証方式しかサポートされてないが,EAP-TLS(Transport Layer Security)[4] や EAP- TTLS(Tunneled TLS) など多くの認証方式をサポートしている. サポートされている認証方式のうち, 一般的に用いられているのが EAP-TLS,EAP-TTLS,PEAP(Protected 5

2.2 認証方式図 2.3 公開鍵暗号方式の認証 EAP) である. これらを順に説明する. EAP-TLS 現状の無線 LAN 認証方式の中で, 一般的にもっとも安全とされてるのが EAP-TLS である.EAP-TLS は,STA と AP, 認証サーバ, 認証局で構成される.EAP-TLS の構成を図 2.4 に示す.

13 2.2 認証方式図 2.3 公開鍵暗号方式の認証 EAP) である. これらを順に説明する. EAP-TLS 現状の無線 LAN 認証方式の中で, 一般的にもっとも安全とされてるのが EAP-TLS である.EAP-TLS は,STA と AP, 認証サーバ, 認証局で構成される.EAP-TLS の構成を図 2.4 に示す.STA は,AP を通して認証局の電子証明書を利用して, 認証サーバと相互認証を行う. 電子証明書を利用するため, セキュリティは高い. しかし,EAP-TLS は,STA と認証サーバの電子証明書の管理が必要であるため, 多大なコストが必要となる. そのため,STA 側で認証局を使わずにコストの削減を可能とした認証方式として,EAP-TTLS と PEAP が提案された. EAP-TTLS EAP-TTLS は,EAP-TLS と同様に STA と AP, 認証サーバ, 認証局で構成される. EAP-TTLS の構成を図 2.5 を示す.STA は, 送信する情報を隠すことができるトンネルを用いて自身の ID と固定の認証情報を利用して認証サーバによって認証される. そのために, 6

14 2.2 認証方式図 2.4 EAP-TLS の構成 STA 側で認証局の電子証明書を管理をする必要がない. 認証サーバは, 認証局の電子証明書を利用して STA によって認証される. しかし,Windows が非対応なためにライセンス費用やサプリカントの導入, 指定された認証サーバの購入が必要でコストが多大となる. また,STA の認証で固定の認証情報を利用するために, 辞書攻撃に弱く, 成りすましの危険性がある. 図 2.5 EAP-TTLS の構成 7

15 2.2 認証方式 PEAP PEAP は,EAP-TTLS と同様に STA と AP, 認証サーバ, 認証局で構成される.STA は, 自身の ID と固定の認証情報を利用して認証サーバによって認証されるので,EAP- TTLS と同様に STA の認証局の電子証明書の管理を行う必要がない. 認証サーバは, 認証局の電子証明書を利用して STA によって認証される. PEAP は,Windows が対応し, サプリカントの導入など EAP-TTLS が必要としたコストが不要であるので,EAP-TTLS に比べて低コストで無線 LAN を構築できる. しかし,EAP-TTLS と同様に STA を認証するために, 固定の認証情報を利用するので, 辞書攻撃に弱く, 成りすましの危険性がある. また, 通信路でトンネル化を用いらないので, 盗聴により認証情報が盗まれる可能性があるワンタイムパスワード認証方式ワンタイムパスワードとは, 認証ごとに新しい認証情報に変わる使い捨ての認証情報である. このワンタイムパスワードを用いたワンタイムパスワード認証方式は, 同じ認証情報を使用しないため, 盗聴により認証情報が知られた場合や, 紛失時においても一度使われた認証情報は無効となり, 成りすまし行為を防ぐことが可能である. ワンタイムパスワードを用いた認証方式として,S/Key,SAS-2 が挙げられる. これらを順に説明する. S/Key S/Key は, 一方向関数 [5][6][7] を基にしたワンタイムパスワード方式である. 一方向性関数とは, ある値を入力した時, 別の値に変換する関数で, 変換された値から逆変換して元の値を導くことができないという特徴を持つ. 一方向性関数を利用してユーザーの認証情報を別の値に変換し, 悪意のある第三者に変換された認証情報しかわからないようにする. 変換された認証情報は, 一度使用されたものは二度と使われない. その一度使用された変換された認証情報を第三者が使用しても成りすましできない. 8

16 2.2 認証方式しかし,S/Key の初期化時にその変換する回数を指定する必要があり, ワンタイムパスワードは有限回しか作れない. したがって,S/key は, 無線 LAN のような複数の STA による, 複数回の認証がされる環境に不向きといえる. SAS-2 SAS-2 は,EAP-TTLS や PEAP の問題であった成りすましの危険性に対して高い安全性を持つワンタイムパスワード認証方式である. また, 認証時に必要なセッション回数が 2 回で, さらに一方向性関数や排他的論理和演算の利用回数が特に少なく処理負荷が少ないため, 高速認証が求められるサービスや処理能力の低い機器による認証サービスへの応用が可能である.[8][9] SAS-2 は, 無線 LAN のようなリアルタイム性が求められる環境に適していると言える. 第 3 章に SAS-2 の詳細を述べる. 9

17 第 3 章ワンタイムパスワード認証方式 SAS-2 第 2 章では, 無線 LAN ついて述べ,SAS-2 が他の方式に比べ安全で処理負荷が小さく, 無線 LAN に適したワンタイムパスワード認証方式であることを述べた. 本章では,SAS-2 について, プロトコルの詳細を述べ, さらに SAS-2 の安全性について述べる. そして, SAS-2 を無線 LAN に適用する際に考えられる問題点について述べる. 3.1 定義と記法本章で用いる定義と記法は以下の通りである. User は, 認証されるユーザである. Server は,User を認証する認証者である. ID は, ユーザの識別子を示す. S は, ユーザのパスワードを示す. X,F,H は, 一方向性関数を示す. 例として,H(x) は x を一方向性関数に適用して得た出力値を示す. i は, 認証セッション毎に加算される数値である. Ni は,i 回目の認証時に生成される乱数を示す. +は, 加算演算子を示す. は, 排他的論理和演算子を示す. 10

3.2 SAS-2 プロトコル 3.2 SAS-2 プロトコル SAS-2 プロトコルは登録フェーズと認証フェーズから構成される. 登録フェーズは一度だけ実行され, 認証フェーズはユーザがログインする度に毎回実行される. 以下, これらのフェーズを順に説明する. 3.2.1 登録フェーズ図 3.1 に,SAS-2 の登録フェーズを示す. 図 3.1 登録フェーズ 1.

18 3.2 SAS-2 プロトコル 3.2 SAS-2 プロトコル SAS-2 プロトコルは登録フェーズと認証フェーズから構成される. 登録フェーズは一度だけ実行され, 認証フェーズはユーザがログインする度に毎回実行される. 以下, これらのフェーズを順に説明する登録フェーズ図 3.1 に,SAS-2 の登録フェーズを示す. 図 3.1 登録フェーズ 1. ユーザは自身の識別子 ID, パスワード S を入力する. それと同時に, 乱数 N1 を生成し, 保存する. そして, 入力された ID,S, 生成された N1 を用い,A = X(ID,S N1) を算出する. 2. ユーザは ID,A を安全なルートでサーバへ送信する. 3. サーバは受け取った ID,A を保存する. 11

19 3.2 SAS-2 プロトコル認証フェーズ図 3.2 に,i 回目の認証における SAS-2 認証フェーズを示す. 1. User は自身の識別子 ID, パスワード S を入力する. そして入力されたデータと保存された乱数 Ni を用い,A = X(ID,S Ni) を算出する. 次に User は乱数 Ni+1 を生成し, 保存する. さらに,User は C = X(ID,S Ni+1),F(C) = F(ID,C) をそれぞれ求め, 算出された C,F(C) と, 先に生成した A を用い,α = C (F(C)+A),β = F(C) A を算出する. 2. User は ID,α,β を Server へ送信する. 3. Server は受信した受信した β と保存された A を用い,F(C) = β A を算出する. さらに Server は,C = α (F(C)+A) を算出する. 先に算出された F(C) と,F(ID,C) を比較し, 不一致ならば認証は不成立となる. 一致すれば User は Server に認証されて, 以下の処理が実行される. 4. Server は保存されている A に C を保存し, 次回認証に備える. さらにγ= H(ID,F(C)) を算出する. 5. Server は,γを User へ送信する. 6. User は H(ID,F(C)) を算出し, 受信したγと比較する. もし一致すれば,Server は User に認証される. 不一致ならば, 認証は不成立となる. 12

20 3.2 SAS-2 プロトコル図 3.2 認証フェーズ (i 回目 ) 13

21 3.3 SAS-2 の安全性 3.3 SAS-2 の安全性ワンタイムパスワード認証方式は, 認証毎に異なった認証情報を送信する. そのため, 悪意のある第三者が通信系路上の認証情報を盗聴し, これを再利用した成りすまし行為に対して高い安全性を持つ. しかしながら, 盗聴した認証情報から, 認証を成立させるために必要な情報を生成することが可能であった場合, この認証方式には成りすましの危険性がある. SAS-2 による登録フェーズにおいて, 認証情報のやり取りするルートはセキュアなものを使用するため, 登録フェーズは安全である. したがって,SAS-2 の安全性を評価する場合, 認証フェーズの安全性を示すことが必要となる. 正当なユーザが SAS-2 による i+1 回目の認証を行う際に, ユーザが送信する認証情報を以下に示す. α E (F(E)+C) β F(E) C ID この時, 悪意のある第三者が成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α x (F(x)+C) β F(x) C ID 悪意のある第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせ生成することは不可能である. 以上により, 認証フェーズの安全性を示すことができる. したがって,SAS-2 は安全であることが示される. 3.4 無線 LAN への適用問題 SAS-2 を無線 LAN へ適用した場合,STA がユーザとして, また AP がサーバとして認証を行う. ここで, 従来の無線 LAN では,STA は AP を通して STA の認証情報を一括管理した認証サーバによって認証が行われていたので,STA が AP を移動した場合は, 移動先 14

22 3.4 無線 LAN への適用問題の AP を通して認証サーバが STA を認証していた. しかし,SAS-2 を適用した無線 LAN は, 個々の AP によって STA の認証情報が更新されて, それを一括管理するサーバを用いないので,STA が AP を移動した場合に, 移動先の AP に STA の認証情報がないために認証を行えないので, ローミングができない. そのため,SAS-2 を適用した無線 LAN では, 個々の AP で更新された STA の認証情報を AP 間で受け渡す方式が必要である. 15

23 第 4 章セキュアローミングプロトコルの提案第 3 章までに,SAS-2 を適用した無線 LAN の必要性と SAS-2 を適用した場合に関する問題について述べた. 本章では, 低コストで安全な無線 LAN の構築を可能とするセキュアローミングプロトコルを提案し, 提案プロトコルの詳細について述べる. さらに, 提案プロトコルについての評価方法を述べる. そして, 評価した結果から考察を行う. 4.1 定義と記法本章で用いる定義と記法は以下の通りである. entryap は, 無線 LAN を構成する1つの AP である. allap は, 無線 LAN を構成する全ての AP である. allsta は, 無線 LAN を利用できる全ての STA である. newap は, 新たに無線 LAN に加わる AP である. newsta は, 新たに無線 LAN に加わる STA である. presentap は,STA が現在通信を行っている AP である. nearap は,presentAP に近い複数の AP である. newprsentap は,STA がローミングを行って移動した先の AP である. oldap は,STA がローミングを行う前に通信を行っていた AP である. IDx は,X の識別子を示す. 例として,IDs と IDe は, 前者が STA の識別子を, 後者 16

24 4.2 セキュアローミングプロトコルが entryap の識別子を示す. Ax は,X の認証情報を示す. 例として,As と Ae は, 前者が STA の認証情報を, 後者が entryap の認証情報を示す. Ax+1 は,X の次回認証情報を示す. X,F,H は, 一方向性関数を示す. 例として,H(x) は x を一方向性関数に適用して得た出力値を示す. またこの一方向性関数は出力ビット数が常に一定とする. i,j は, 認証セッション毎に加算される数値である. Ni は,i 回目の認証時に生成される乱数を示す. +は, 加算演算子を示す. は, 排他的論理和演算子を示す. 4.2 セキュアローミングプロトコル提案するセキュアローミングプロトコルは,STA と AP のみで構成される. STA と AP で無線 LAN を構成した場合に, 認証情報の受け渡しの際に,STA の認証情報を受ける AP が悪意のある第三者が設置した AP である可能性がある. また,STA の認証情報を送ってくる AP が悪意のある第三者が設置した AP という危険性もある. そのため,AP 間での相互認証が必要であり, 処理能力が低い AP にとって SAS-2 による認証が適していると考えられる. 提案プロトコルは,SAS-2 をベースとし,AP 間で STA の認証情報の安全な受け渡しを行い,STA の認証, ローミングを可能とする. また, 提案プロトコルは,STA を登録する STA 登録フェーズ,AP を登録する AP 登録フェーズ,STA と AP 間で相互認証を行う認証フェーズ,STA の認証情報を AP 間で受け渡す push 型ローミングフェーズ ( 以下 push 型 )/pull 型ローミングフェーズ ( 以下 pull 型 ) から構成される. STA/AP 登録フェーズは一度だけ実行され, 認証フェーズは STA が AP と通信する度 17

25 4.2 セキュアローミングプロトコルに毎回実行される.push 型は,STA がローミングを行う前に presentap が,STA が最もローミングする可能性が高い nearap に対して STA の認証情報を送信し, ローミングを可能とさせる.pull 型は,STA がローミングを行い, 移動先の AP に対して, 前回利用していた oldap から STA の認証情報を入手させて, ローミングを可能とさせる. 以下に, 各フェーズの詳細についてと, ローミングフェーズの特徴について述べる AP 登録フェーズ図 4.1 に,AP 登録フェーズを示す. このフェーズにおける被認証者は entryap に, 認証者は allap に対応する. 1. 無線 LAN 管理者が,entryAP へ新たに登録する newap の識別子 IDn を入力する. entryap は,An = X(IDn,N0) を算出する. 算出した IDn,An を保存する. 2. entryap は,Ce = X(IDe,Ni) を算出する. 次に, 算出した Ce を利用して,F(Ce) = F(IDe,Ce) を算出する. さらに,αe = Ce (F(Ce)+An),βe = F(Ce) Ae を算出する. また,En = An (F(Ce)+Ae) を算出する. 3. entryap は,IDn,IDe,αe,βe,En を allap へ送信する. 4. allap は, 受信した βe と保存されている Ae を用い,F(Ce) = βe Ae を算出する. さらに,An = En ((FCe)+Ae) を算出し,Ce = αe (F(Cs)+An) を算出する. 先に算出された F(Ce) と,F(IDe,Ce) を比較し, 不一致ならば認証は不成立となる. 一致すれば entryap は allap に認証されて, 以下の処理が実行される. 5. allap は,IDn と An を保存する. さらに,Ae+1 に Ce を保存し, 次回認証に備える. 次に,γ s = H(An,F(Ce)) を算出する. 6. allap は,γ e を entryap へ送信する. 7. entryap は,H(An,F(Ce)) を算出し, 受信したγ e と比較する. もし一致すれば, allap は entryap に認証されて,Ae+1 に Ce を保存する. もし, 不一致ならば認証不成立となる. 18

26 4.2 セキュアローミングプロトコル図 4.1 AP 登録フェーズ 19

27 4.2 セキュアローミングプロトコル 8. entryap は,IDas,IDn,IDa,IDe,Aas,An,Ae+1,Aa を安全なルートで newap へ送信する. 9. newap は, 受信した IDas,IDn,IDa,IDe,Aas,An,Ae+1,Aa を保存する STA 登録フェーズ図 4.2 に,STA 登録フェーズを示す. このフェーズにおける被認証者は entryap に, 認証者は allap に対応する. 1. 無線 LAN 管理者が,entryAP へ新たに登録する STA の識別子 IDs を入力する.entryAP は,As = X(IDs,N0) を算出する. 算出した IDs,As を保存する. 2. entryap は,Ce = X(IDe,Ni) を算出する. 次に, 算出した Ce を利用して,F(Ce) = F(IDe,Ce) を算出する. さらに,αe = Ce (F(Ce)+As),βe = F(Ce) Ae を算出する. また,Es = As (F(Ce)+IDs) を算出する. 3. entryap は,αe,βe,Es,IDs,IDe を allap へ送信する. 4. allap は, 受信した βe と保存されている Ae を用い,F(Ce) = βe Ae を算出する. さらに,As = Es (F(Ce)+IDs) を算出し,Ce = αe (F(Ce)+As) を算出する. 先に算出された F(Ce) と,F(IDe,Ce) を比較し, 不一致ならば認証は不成立となる. 一致すれば entryap は allap に認証されて, 以下の処理が実行される. 5. allap は,IDs と As を保存する. さらに,Ae+1 に Ce を保存し, 次回認証に備える. 次に,γ e = H(As,F(Ce)) を算出する. 6. allap は,γ e を entryap へ送信する. 7. entryap は,H(As,F(Ce)) を算出し, 受信したγ e と比較する. もし一致すれば, allap は entryap に認証されて,Ae+1 に Ce を保存する. もし, 不一致ならば認証不成立となる. 8. entryap は,IDe,IDs,As を安全なルートで STA へ送信する. 9. STA は, 受信した IDe,IDs,As を保存する. 20

28 4.2 セキュアローミングプロトコル図 4.2 STA 登録フェーズ 21

4.2 セキュアローミングプロトコル 4.2.3 認証フェーズ図 4.3 に, 認証フェーズを示す. このフェーズにおける被認証者は STA に, 認証者は presentap に対応する. 図 4.3 認証フェーズ (i 回目 ) 1. STA は,Cs = X(IDs,Ni) を算出する. 次に, 算出した Cs を利用して,F(Cs) = F(IDs,Cs) を算出する.

29 4.2 セキュアローミングプロトコル認証フェーズ図 4.3 に, 認証フェーズを示す. このフェーズにおける被認証者は STA に, 認証者は presentap に対応する. 図 4.3 認証フェーズ (i 回目 ) 1. STA は,Cs = X(IDs,Ni) を算出する. 次に, 算出した Cs を利用して,F(Cs) = F(IDs,Cs) を算出する. さらに,αs = Cs (F(Cs)+As),βs = F(Cs) As を算出する. 2. STA は,αs,βs,IDs を presentap へ送信する. 3. presentap は, 受信した βs と保存されている As を用い,F(Cs) = βs As を算出する. さらに,Cs = αs (F(Cs)+As) を算出する. 先に算出された F(Cs) と,F(IDs,Cs) 22

30 4.2 セキュアローミングプロトコルを比較し, 不一致ならば認証は不成立となる. 一致すれば STA は presentap に認証されて, 以下の処理が実行される. 4. presentap は,As+1 に Cs を保存し, 次回認証に備える. さらに,γ s = H(IDs,F(Cs)) を算出する. 5. presentap は,γ s を STA へ送信する. 6. STA は,H(IDs,F(Cs)) を算出し, 受信したγ s と比較する. もし一致すれば,presentAP は STA に認証されて,As+1 に Cs を保存する. もし, 不一致ならば認証は不成立となる push 型ローミングフェーズ図 4.4 に,push 型を示す. このフェーズにおける被認証者は STA と presentap に対応する. また, 認証者は presentap と nearap に対応する. 1. STA は, 自身の識別子 IDs と乱数 Ni を用いて,Cs = X(IDs,Ni),F(Cs) = F(IDs, Cs) を算出する. 次に, 算出した Cs,F(Cs) を用いて,α s = Cs (F(Cs)+As),β s = F(Cs) As をそれぞれ求める. 2. STA は,IDs,α s,β s を presentap へ送信する. 3. presentap は, 受信した β s と保存されている As を用い,F(Cs) = β s As を算出する. 次に,presentAP は Cs = α s (F(Cs)+As) を算出する. 先に算出された F(Cs) と,F(IDs,Cs) を比較し, 不一致ならば認証は不成立となる. 一致すれば STA は presentap に認証されて, 以下の処理が実行される. 4. presentap は, 次回の認証情報として As+1 に Cs を保存し, 次回認証に備える. 5. presentap は, 自身の識別子 IDp と乱数 Nj を用いて,Cp = X(IDp,Nj), F(Cp) = F(IDp,Cp) を算出する. 次に, 算出した Cp,F(Cp) を用いて,α p = Cp (F(Cp)+As+1),β p = F(Cp) Ap,Es = As+1 (F(Cp)+Ap) をそれぞれ求める. 23

31 4.2 セキュアローミングプロトコル 6. presentap は,IDs,IDe,α p,β p,es を nearap へ送信する. 7. nearap は, 受信した β p と保存されている Ap を用いて,F(Cp) = β p Ap を算出する. 次に,nearAP は,As+1 = Es (F(Cp)+Ap) を算出し,Cp = α p (F(Cp)+As+1) を算出する. 先に算出された F(Cp) と,F(IDp,Cp) を比較し, 不一致ならば認証は不成立となる. 一致すれば presentap は nearap に認証されて, 以下の処理が実行される. 8. nearap は, 次回の認証情報として Ap+1 に Cp を保存し, 次回認証に備える. さらに, γ p = H(As+1,F(Cp)) を算出する. また,As+1 を保存する. 9. nearap は,γ p を presentap へ送信する. 10. presentap は,H(As+1,F(Cp)) を算出し, 受信したγ p と比較する. もし不一致ならば, 認証は不成立となる. 一致すれば,nearAP は presentap に認証されて, 次回認証情報として Ap+1 に Cp を保存する. さらに,γ s = F(IDs,F(Cs)) を算出する. 11. presentap は,γ s を STA へ送信する. 12. STA は,F(IDs,F(Cs)) を算出し, 受信したγ s と比較する. もし不一致ならば, 認証は不成立となる. 一致すれば,presentAP は nearap に認証されて, 次回認証情報として As+1 に Cs を保存し, 次回認証に備える. 24

32 4.2 セキュアローミングプロトコル図 4.4 push 型ローミングフェーズ 25

33 4.2 セキュアローミングプロトコル pull 型ローミングフェーズ図 4.5 に,pull 型を示す. このフェーズにおける被認証者は STA に, 認証者は oldap に対応する. 1. STA は, 自身の識別子 IDs と乱数 Ni を用いて,Cs = X(IDs,Ni),F(Cs) = F(IDs, Cs) を算出する. 次に, 算出した Cs,F(Cs) を用いて,α s = Cs (F(Cs)-As),β s = F(Cs) As をそれぞれ求める. 2. STA は,IDs,IDo,α s,β s を presentap へ送信する. 3. newpresentap は, 自身の識別子 IDn と乱数 Nj を用いて,Cn = X(IDn,Nj), F(Cn) = F(IDn,Cn) を算出する. 次に, 算出した Cn,F(Cn) を用いて,α n = Cn (F(Cn)+An),β n = F(Cn) An をそれぞれ求める. 4. newpresentap は,IDs,IDn,α n,β n,α s,β s を oldap へ送信する. 5. oldap は, 受信した β n と保存されている An を用いて,F(Cn) = β n An を算出する. 次に,oldAP は Cn = α n (F(Cn)+An) を算出する. 先に算出された F(Cn) と, F(IDn,Cn) を比較し, 不一致ならば認証は不成立となる. 一致すれば newpresentap は olldap に認証されて, 以下の処理が実行される. 6. oldap は, 次回の認証情報として An+1 に Cn を保存し, 次回認証に備える. 7. oldap は, 受信した β s と保存されている As を用いて,F(Cs) = β s As を算出する. 次に,oldAP は Cs = α s (F(Cs)-As) を算出する. 先に算出された F(Cs) と, F(IDs,Cs) を比較し, 不一致ならば認証は不成立となる. 一致すれば STA は oldap に認証されて, 以下の処理が実行される. 8. oldap は, 次回の認証情報として As+1 に Cs を保存し, 次回認証に備える. さらに, γ n = H(As+1,F(Cn)),Es = As+1 (F(Cn)+IDs) を算出する. また,IDn を保存する. 9. oldap は,γ n,es を newprsentap へ送信する. 10. newprsentap は,As+1 = Es (F(Cn)+IDs) を算出する. さらに,H(As+1,F(Cn)) 26

34 4.2 セキュアローミングプロトコル図 4.5 pull 型ローミングフェーズ 27

35 4.3 評価を算出し, 受信したγ n と比較する. もし不一致ならば, 認証は不成立となる. 一致すれば,oldAP は newpresentap に認証されて, 以下の処理が実行される. 11. newpresentap は,IDs が保存されているか判断して, 無ければ IDs を保存する. さらに次回認証情報として An+1 に Cs を保存する. また,γ s = F(IDs,F(As+1)) を算出する. 12. newpresentap は,γ s を STA へ送信する. 13. STA は,H(IDs,F(Cs)) を算出し, 受信したγ s と比較する. もし, 不一致ならば, 認証は不成立となる. 一致すれば,newprsentAP は STA に認証されて, 次回認証情報として As+1 に Cs を保存するローミングフェーズの特徴 STA の認証情報を受け渡す push 型,pull 型の特徴について順に述べる. push 型は,STA が移動する前に STA の認証情報を nearap に対して受け渡しを行うことで,STA がスムーズにローミングを行うことが可能である. しかし,STA の認証情報を受け渡しを行なわれる nearap 以外の AP へ移動した場合に, その AP へローミングを行うことができない. pull 型は,STA が移動後に STA の認証情報の受け渡しを行うので,push 型に比べてスムーズにローミングを行うことができない. しかし,push 型でローミングを行うことができなかった環境下において pull 型では, ローミングを行うことができるという特徴を持つ. そこで,push 型,pull 型の両方の特徴を補完する形で無線 LAN に適用させることで STA は, いかなる場合にもスムーズにローミングを行うことができる. 4.3 評価提案するセキュアローミングプロトコルを, 各フェーズごとの安全性の評価, 従来技術との比較評価を行う. 以下に評価方法と評価結果, 考察を述べる. 28

36 4.3 評価安全性の評価提案するセキュアローミングプロトコルの安全性を評価するためには, セキュアでないルートを通信経路に含む,AP 登録フェーズ,STA 登録フェーズ, 認証フェーズ,push 型 /pull 型の安全性をそれぞれ示す必要がある. これらのフェーズについての安全性を順に示す. AP 登録フェーズ AP 登録フェーズについて評価する.entryAP が newap の認証情報を生成し,allAP に対して,newAP の認証情報を送信する場合,entryAP,allAP 間において,i+1 回目にやり取りされる認証情報は以下の通りである. αe Ge (F(Ge)+An) βe F(Ge) Ce En An (F(Ge)+Ce) IDn IDe この時, 悪意のある第三者が entryap としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α e x (F(x)+An) β e F(x) Ce E n An (F(x)+Ce) IDn IDe 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. また,newAP と entryap 間の通信において, セキュアなルートのみを使用するため, 盗聴の恐れが無く, 安全であると言える. したがって,AP 登録フェーズは, 安全であると言える. 29

37 4.3 評価 STA 登録フェーズ STA 登録フェーズについて評価する.entryAP が STA の認証情報を生成し,allAP に対して,STA の認証情報を送信する場合,entryAP,allAP 間において,i+1 回目にやり取りされる認証情報は以下の通りである. αe Ge (F(Ge)+As) βe F(Ge) Ce En As (F(Ge)+IDs) IDs IDe この時, 悪意のある第三者が entryap としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α e x (F(x)+As) β e F(x) Ce E n As (F(x)+IDs) IDs IDe 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. また,newAP と STA 間の通信において, セキュアなルートのみを使用するため, 盗聴の恐れが無く, 安全であると言える. したがって, STA 登録フェーズは, 安全であると言える. 認証フェーズ認証フェーズにおいて,i+1 回目の認証時にやり取りされる認証情報は以下の通りである. αe Ge (F(Ge)+Cs) βe F(Ge) Cs IDs 30

38 4.3 評価この時, 悪意のある第三者が STA としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α e x (F(x)+Cs) β e F(x) Cs IDs 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. したがって, 認証フェーズは, 安全であると言える. push 型ローミングフェーズ push 型において,STA と presentap 間において, i+1 回目の認証時にやり取りされる認証情報は以下の通りである. αs Gs (F(Ge)+Cs) βs F(Gs) Cs IDs この時, 悪意のある第三者が STA としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α s x (F(x)+Cs) β s F(x) Cs IDs 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. また,presentAP と nearap 間において,i+1 回目の認証時にやり取りされる認証情報は以下の通りである. 31

39 4.3 評価 αp Gp (F(Gp)+Gs) βp F(Gp) Cp Es Gs (F(Gp)+Cp) IDs IDe この時, 悪意のある第三者が presentap としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α p x (F(x)+Gs) β p F(x) Cp E s Gs (F(x)+Cp) IDs IDe 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. したがって,push 型は, 安全であると言える. pull 型ローミングフェーズ pll 型において,STA と newpresentap 間において,i+1 回目の認証時にやり取りされる認証情報は以下の通りである. αs Gs (F(Ge)-Cs) βs F(Gs) Cs IDo IDs この時, 悪意のある第三者が STA としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. 32

40 4.3 評価 α s x (F(x)-Cs) β s F(x) Cs IDo IDs 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. また,newpresentAP と oldap 間において, i+1 回目の認証時にやり取りされる認証情報は以下の通りである. αs βs αn Gn (F(Gn)+Cn) βn F(Gn) Cn IDn IDs この時, 悪意のある第三者が newpresentap としての成りすまし攻撃を実行する場合, 以下の情報を送信しなければならない. α s β s α n x (F(x)+Cn) β n F(x) Cn IDn IDs 第三者が, たとえ i 回目以前での認証情報を全て取得できたとしても, これら認証情報の組み合わせを生成することは不可能である. したがって,pull 型は, 安全であると言える比較評価提案プロトコルを無線 LAN に適用させた場合と i の認証方式を適用させた無線 LAN との, 安全性やコスト, 認証速度の比較結果を表 4.1 に示す. 33

41 4.3 評価表 4.1 提案プロトコルと EAP 認証方式との比較種類提案プロトコル EAP-TLS EAP-TTLS PEAP 安全性コスト認証速度安全性に関しては, 成りすましに関して評価した.SAS-2 を無線 LAN に適用させた場合には, ワンタイムパスワードによって安全性を確保できる.EAP-TLS は, パスワードに頼らず認証局によって安全性を確保できる. また,EAP-TTLS と PEAP は,STA 側で固定のパスワードを用いるために辞書攻撃に弱い. コストに関しては, 認証に認証局を必要とするかどうかで評価した.SAS-2 は, 認証局を必要としないので低コストな認証が可能である.EAP-TLS は,STA 側と認証サーバで認証局が必要である.EAP-TTLS は,PEAP と同様に STA 側で認証局が不要だが,Windows の標準でないためにサプリカントを導入するなど多大なコストが必要となる.PEAP は, STA 側で認証局が不要である. 認証速度に関しては, ローミング時の認証を含めて認証に認証局を利用するかで評価した. 認証局を利用した場合に, 電子証明書の失効を確認しなくてはならないために認証速度が遅くなる.SAS-2 は認証局を利用しないので高速に認証が可能である.EAP-TLS は, STA 側と認証サーバで認証局を利用するため認証が遅くなる.EAP-TTLS と PEAP は, 認証サーバのみに認証局を利用するので EAP-TLS より認証は速い. 従来の無線 LAN では, 認証局のコストと安全性が問題としたが, 提案プロトコルを用いることで低コストで十分な安全性を確保できる無線 LAN を提供できる. 34

42 第 5 章まとめ本論文では, 低コストで安全な無線 LAN 構築を可能とすることを目的としたセキュアローミングプロトコルを提案し, 評価を行った. その結果, 提案プロトコルは, コストのかかる認証局を利用しないことで, 低コストの無線 LAN 構築が可能であることを示した. また, 特にセキュアでない無線 LAN といった環境での認証情報の受け渡しが可能であることを示した. また, 現在公衆無線 LAN サービスが展開されているなかで, 無線 LAN の利用可能なエリアを増やすために, 異なる事業者間でのローミングが課題とされている. そこで, 今回提案したプロトコルを用いることで, その課題を解決できることが考えられる. 今後の課題として,STA の認証情報の受け渡しの際に, 通信経路の遮断により AP の認証情報が不一致となる状況に対する回避策の検討が必要である. また, 今回提案したプロトコルを実フィールド上で実験を行い, 実際の認証速度等の評価を行う必要がある. 35

43 謝辞本研究の遂行と論文作成にあたって, 言葉では言い表せないほどの御指導, 御助言を頂きました高知工科大学フロンティア工学コース清水明宏教授に心より感謝し厚く御礼申し上げます. 本論文の副査を担当して頂いた高知工科大学フロンティア工学コース妻鳥貴彦講師に深くお礼申し上げます. また, 本研究において適切な御指導, 御助言を頂いた高知工科大学大学院情報システム工学コース辻貴介氏ならびに高知工科大学大学院フロンティア工学コース中原知也氏に心より感謝いたします. さらに, 有益な議論を交わして頂いた高知工科大学清水研究室の関係者各位に心より感謝いたします. 36

44 参考文献 [1] The lnstitute of Electrical and Electronics Engineers,Inc.3 Park Avenue, IEEE Standards i, New York, NY , USA, 23 JULY [2] T.Tsuji, T.Kamioka, and A.Shimizu, Simple And Secure password authentication protocol. ver.2 (SAS-2), IEICE Technical Report, OIS , vol. 102, no.314, pp.7 11, Sept [3] September [4] Adam Sulmicki, HOWTO on EAP/TLS authentication between FreeRADIUS and Xsupplicant, April [5] R.Rivest, The MD5 message-digest algorithm, Internet Request For Comments 1321,April [6] National Institute of Standards and Technology, Secure hash standard, FIPS Publication 180 1,April [7] W.Stallings, Secure hash algorithm, in Cryptography and Network Security: Principles and Practice Second Edition,PP ,Prentice-Hall,1999. [8] T.Nakahara,T.Tsuji,A.Shimizu, SAS- key-free application system, IEICE Technical Report,OIS ,Sep [9] T.Nakahara,A.Shimizu, SAS-2 key-free application system, International Conference Next Ere Information Networking(NEINE)2004,pp ,Sep

25 About what prevent spoofing of misusing a session information

25 About what prevent spoofing of misusing a session information 1140349 2014 2 28 Web Web [1]. [2] SAS-2(Simple And Secure password authentication protocol, ver.2)[3] SAS-2 i Abstract About what prevent