+ All Categories
Home > Documents > HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) •...

HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) •...

Date post: 27-Jul-2019
Category:

Documents
Upload: trandien
View: 224 times
Download: 0 times
Download Report this document
Share this document with a friend
11
HOTSPOT 2.0/NGH CITY WI-FI ROAMING TRIAL セキュア公衆無線LANローミング研究会(NGHSIG) http://nghsig.jp/ http://ngh.communities.jp/ 山口 潤 ([email protected] / @jyamag)
Transcript
Page 1: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

HOTSPOT 2.0/NGHとCITY WI-FI ROAMING TRIALセキュア公衆無線LANローミング研究会(NGHSIG)http://nghsig.jp/http://ngh.communities.jp/山口 潤 ([email protected] / @jyamag)

Page 2: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

公衆無線LANのセキュリティ

・場所によって変わるSSID

・SSIDごとにパスワードを入れ込む必要

・SSIDごとにユーザ別 ID / PASS 配布は無理

面倒だからPASSWORD無し

通信内容漏れてます!!

面倒だからPASSWORDは共通

Page 3: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

セキュア公衆無線LAN研究会の立ち上げ

• 各公衆無線LANとの認証連携を実現し、 会議場・宿泊施設や市街地での

サービス提供の下地となる基盤を開発

• セキュアなコミュニティWi-Fiローミング基盤の構築

• キャプティブポータルに代わるビジネスモデルの発掘、創成、及び、関連

技術の開発

• 小規模・地域事業者間の連携を図るとともに、大手の事業者への波及方法

を探る

• 運用における問題の洗い出し・解決 (法的問題)

Page 4: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

そこで…… NGH (Next Generation Hotspot)

• WPA2エンタープライズが必須

802.1x認証による安全な利用者認証

利用者個別の暗号化による安全な通信

偽基地局対策が可能

• SIMベースの認証(EAP-SIM、EAP-AKA)

※ ID / PASSWORDベースの認証も可能

• IEEE802.11uを用いて接続可能なサービスを自動検出・選択

ユーザ自らSSIDを探さなくても良い

Page 5: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

セキュア公衆無線LANテストベッド

・802.1xでの認証連携を行うためのテストベッド

・eduroam、anyroamと接続

・国内の公衆無線LAN事業者、IdPと接続

東北大学 後藤英昭准教授 作成資料より引用

Page 6: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

City Wi-Fi Roaming Trial (6/20 – 8/20)

・2016年のWORLD Wi-Fi Dayから始まった公衆無線LANを繋ぐプロジェクト

・NGH基盤で各オペレーターを結び、ひとつのアカウントでローミング利用

・2017年は20都市、日本からは東北大学が参加(学術機関としては世界初)

と、いうことで繋げてみよう……

Page 7: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

では、街中へ!

・日本のアカウントで海外で繋げる@イギリス

・海外キャリア・IdPのアカウントで繋げる@日本

Leeds市街地

京都 旅館こうろ様

Page 8: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

アクセスポイントの選定

・Passpoint対応したアクセスポイントは??

日本のメーカーに問い合わせ

・開発したいけど需要がはっきりしないと社内の稟議が……

・Passpointって何んですか? 802.11u?? (…… 溜息)

海外メーカーに問い合わせ

・日本向けには削ったを持ってきてます!

・日本には扱ったことのある者がいないので……

・日本には営業しか置いてません!

人柱になるしか無いのですか……

Page 9: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

アクセスポイントの選定

・とりあえず使える技適取得済みアクセスポイント

MikroTik hAP acラトビアのメーカー

技適番号問題などありましたが機器としては問題なし(問題出ても対応が早い)

他にも……

Aruba以前よりPasspointに対応、動けば安定(Passpoint設定以外で躓くことはあります)

CISCO Meraki長いことベータ版……(色々と課題あり。そろそろ治る?)

Ubiquiti UAP-AC-PRO技適取得まで確認。なかなか手に入らない。

Ruckusコントローラ無いとPasspoint非対応

Page 10: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

どのクライアントが対応している?

・ただプロファイルがインストールできない端末もあり…

Android 6の端末を中心に多数存在

証明書のインストールでこける端末も

国際版はOKでも国内キャリア版はNGの場合も

・プロファイルがインストールできれば

SSIDを指定しなくても端末が勝手につなぎます802.1x

を使ったセキュアな認証です

・Passpoint対応した端末は??

Windows10 / MacOS 10.9以降 / Android 6.0以降 / iOS 7以降

Page 11: HOTSPOT 2.0/NGH と CITY WI-FI ROAMINGTRIAL (Next Generation Hotspot) • WPA2エンタープライズが必須 802.1x認証による安全な利用者認証 利用者個別の暗号化による安全な通信

今後の課題• セキュアな公衆無線LANとして本人紐づけが大事となる(特に海外キャリア)

→ IdPとどう連携するか

• 国際間を跨いだ法的問題

→問題発生時の連絡手順の確立

• どうNGHを普及させるか(補助金要件から微妙にズレる)

• 知見の集積(端末側の問題、AP側の問題がまだまだある)

ネットワークオペレーター、IdP、端末メーカー、APメーカー、オーナー……

多くの知見が必要です。興味ある方はぜひご参加ください。

http://nghsig.jp/9/4 第5回セキュア公衆無線LANローミング研究会(BoF)・札幌

9/5 第6回セキュア公衆無線LANローミング研究会(BoF)・東京 国立情報学研究所

ご清聴ありがとうございました。よろしくお願いします。


Recommended
ガルーン 3 の認証について 第一回(Active …...認証データベースに Active Directoryを利用する ガルーン 3 の認証について 第一回(Active Directory編)

ガルーン 3 の認証について 第一回(Active …...認証データベースに Active Directoryを利用する ガルーン 3 の認証について 第一回(Active Directory編)

Documents

PostgreSQL 認証版 セキュリティターゲット - IPA...PostgreSQL 認証版ST V1.0 更新履歴表 文書名 : PostgreSQL 認証版 セキュリティターゲット 文書管理番号:

PostgreSQL 認証版 セキュリティターゲット - IPA...PostgreSQL 認証版ST V1.0 更新履歴表 文書名 : PostgreSQL 認証版 セキュリティターゲット 文書管理番号:

Documents

ARMS 審査登録規則...Chapter 9 認証の維持及び再認証 12 9.1 一般 12 9.2 定期審査 13 9.3 再認証審査 13 9.4 臨時審査 14 9.5 変更審査 14 9.6 認証の維持、及び再認証の決定

ARMS 審査登録規則...Chapter 9 認証の維持及び再認証 12 9.1 一般 12 9.2 定期審査 13 9.3 再認証審査 13 9.4 臨時審査 14 9.5 変更審査 14 9.6 認証の維持、及び再認証の決定

Documents

全学 IT 認証基盤サービス 多要素認証(MFA) · 2020. 9. 11. · すると、mfa 認証の画面に遷移し ます。認証アプリに表示される6 桁 のコードを入力し、「認証」をク

全学 IT 認証基盤サービス 多要素認証(MFA) · 2020. 9. 11. · すると、mfa 認証の画面に遷移し ます。認証アプリに表示される6 桁 のコードを入力し、「認証」をク

Documents

セコムパスポート for Member 2.0 証明書ポリシ …4.2.1 本人性確認と認証の実施..... 9 4.2.2 証明書申請の処理時間 ..... 9 4.3 証明書の発行.....

セコムパスポート for Member 2.0 証明書ポリシ …4.2.1 本人性確認と認証の実施..... 9 4.2.2 証明書申請の処理時間 ..... 9 4.3 証明書の発行.....

Documents

ディープラーニング顔認証システム - Panasonic · 2018-03-19 · 顔認証サーバーソフトウェア WV-ASF950(以下、本ソフトウェア)はMicrosoft Windows上で動作する監視システム用途の顔認証ソフトウェアです。

ディープラーニング顔認証システム - Panasonic · 2018-03-19 · 顔認証サーバーソフトウェア WV-ASF950(以下、本ソフトウェア)はMicrosoft Windows上で動作する監視システム用途の顔認証ソフトウェアです。

Documents

26418 日本医学教育認証 評価機構により認定

26418 日本医学教育認証 評価機構により認定

Documents

ポート認証 - allied-telesis.co.jp · 認証サーバーの設定 ポート認証機能を利用するために必要な認証サーバー(radiusサーバー)の設定項目について簡単に説明

ポート認証 - allied-telesis.co.jp · 認証サーバーの設定 ポート認証機能を利用するために必要な認証サーバー(radiusサーバー)の設定項目について簡単に説明

Documents

ワンタイムパスワード認証(マトリックス方式) カ …media3.kddi.com/extlib/files/business/download/pdf/otp...ワンタイムパスワード認証(マトリックス方式)

ワンタイムパスワード認証(マトリックス方式) カ …media3.kddi.com/extlib/files/business/download/pdf/otp...ワンタイムパスワード認証(マトリックス方式)

Documents

認証局信頼リスト - Cisco...認証局信頼リスト • 認証局信頼リスト, 1 ページ 認証局信頼リスト 次に、デバイスに組み込まれている信頼できる認証局の一覧を示します。Expressway経由でモバ

認証局信頼リスト - Cisco...認証局信頼リスト • 認証局信頼リスト, 1 ページ 認証局信頼リスト 次に、デバイスに組み込まれている信頼できる認証局の一覧を示します。Expressway経由でモバ

Documents

株式会社コスモス・コーポレイション 濱⼝ 総志 CosmosCosmos 10 技術上の課題ユーザ認証と記録管理 ユーザ認証の基準例 ・認証手段発行の為の本人確認には以下の何れかの本人確認資料を用いること。(免許証、パスポート、マイナンバーカード等)

株式会社コスモス・コーポレイション 濱⼝ 総志 CosmosCosmos 10 技術上の課題ユーザ認証と記録管理 ユーザ認証の基準例 ・認証手段発行の為の本人確認には以下の何れかの本人確認資料を用いること。(免許証、パスポート、マイナンバーカード等)

Documents

NVIDIA GTC ジャパン ディープラーニング顔認証システムの進化 · 2018-09-27 · ⾼精度認証に必要な画像のみ送信、システムコスト40~50%低減※

NVIDIA GTC ジャパン ディープラーニング顔認証システムの進化 · 2018-09-27 · ⾼精度認証に必要な画像のみ送信、システムコスト40~50%低減※

Documents

IEC 62443-4-2認証取得に向けて

IEC 62443-4-2認証取得に向けて

Documents

Thank you - 山九株式会社証券コード:9065 ISO9001 認証取得 ISO14001認証取得 認定通関業者・特定保税承認取得者 Thank you 便り 株主の皆さまへ

Thank you - 山九株式会社証券コード:9065 ISO9001 認証取得 ISO14001認証取得 認定通関業者・特定保税承認取得者 Thank you 便り 株主の皆さまへ

Documents

ID認識型プロキシ(IAP)ユースケース - Akamai...認識型プロキシ ID 認識型プロキシ 認証(多要素) 認可 シングルサインオン データセンター

ID認識型プロキシ(IAP)ユースケース - Akamai...認識型プロキシ ID 認識型プロキシ 認証(多要素) 認可 シングルサインオン データセンター

Documents

国際認証規格ISO10380 - TOFLE

国際認証規格ISO10380 - TOFLE

Documents

要素技術的 システム技術的 - jst.go.jp · 認証等、さまざまな認証方式が研究開発されている。日本では、静脈認証や顔認証といった 生体認証は実用化されており、技術レベルは高く今後もそれを継続していくことが期待され

要素技術的 システム技術的 - jst.go.jp · 認証等、さまざまな認証方式が研究開発されている。日本では、静脈認証や顔認証といった 生体認証は実用化されており、技術レベルは高く今後もそれを継続していくことが期待され

Documents

US MSC-LABELLED PACKAGING2. MSC 漁業認証とは MSC漁業認証とは -3つの原則- MSCの「持続可能な漁業のための3原則」に合致する漁 業に付与される認証

US MSC-LABELLED PACKAGING2. MSC 漁業認証とは MSC漁業認証とは -3つの原則- MSCの「持続可能な漁業のための3原則」に合致する漁 業に付与される認証

Documents