秘密事前共有キーについて
Internet of Things(IoT)の出現により、インターネットに接続されるデバイスの数は著しく増加しています。これらのデバイスがすべて 802.1x サプリカントをサポートしているわけではないため、インターネットに接続するための代替メカニズムが必要です。セキュリティ メカニズムの 1 つである WPA-PSK が代替手段として考えられます。現在の設定では、PSK は同じ WLAN に接続するすべてのクライアントで同じです。教育機関などの一部の設置環境では、これによりキーが不正ユーザーに共有され、セキュリティ違反が生じます。このため、大規模な範囲でクライアントごとに一意の PSK をプロビジョニングすることが必要になります。
Identity PSK は、同じ SSID の個人またはユーザー グループのために作成される一意の PSK です。クライアントに複雑な設定は必要ありません。PSK と同じシンプルさで、IoT、BYOD(Bring Your Own Device)、およびゲスト展開に適しています。PSK SSID のデフォルトパスワードは password です。
Identity PSK は 802.1x 未対応のほとんどのデバイスでサポートされるため、より強力な IoT セキュリティを実現します。他に影響を与えずに 1 つのデバイスまたは個人に対するアクセスを簡単に取り消せます。何千ものキーを簡単に管理でき、AAA サーバーを介して配布することができます。
IPSK ソリューション
クライアントの認証時に、AAA サーバーはクライアントの MAC アドレスを認証し、Cisco-AV ペア リストの一部としてパスフレーズ(設定されている場合)を送信します。組み込みワイヤレスコントローラは RADIUS 応答の一部としてパスフレーズを受信し、さらに処理して PSK を計算します。
クライアントが、対応するアクセスポイントによる SSID ブロードキャストに対して関連付け要求を送信すると、 組み込みワイヤレスコントローラは、クライアントの特定の MAC アドレスを含む RADIUS 要求パケットを形成し、RADIUS サーバーに中継します。
RADIUS サーバーは認証を実行し、クライアントが許可されているかどうか、および WLC への応答として ACCESS-ACCEPT または ACCESS-REJECT のいずれかを送信するかどうかをチェックします。
Identity PSK をサポートするために、認証サーバーは認証応答を送信するだけでなく、この特定のクライアントに AV ペア パスフレーズを提供します。これは、PMK の計算に使用されます。
RADIUS サーバーは、ユーザー名、VLAN、Quality of Service(QoS)など、このクライアントに固有の追加パラメータも応答に含めることがあります。1 人のユーザーが複数のデバイスを所有している場合は、すべてのデバイスで同じパスフレーズを使用できます。
(注) |
PSK の長さが連邦情報処理標準(FIPS)の 15 文字未満の場合、コントローラにより WLAN 設定は許可されますが、コンソールに次のエラーメッセージが表示されます。 「AP は接続できますが、対応する WLAN はアクセスポイントにプッシュされません(AP is allowed to join but corresponding WLAN will not be pushed to the access point)」 |