公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper 目 次 はじめに ......................................................................................................................................................................................................... 3 携帯電話のローミングと同様の Wi-Fi ローミングを実現するには ....................................................................................................... 3 Passpoint の内容 ............................................................................................................................................................................................. 4 Passpoint の構造 – GAS と ANQP .....................................................................................................................4 ビーコンとプローブ応答の新しい情報要素 ...........................................................................................................5 GAS の要求–応答プロトコル..............................................................................................................................6 ANQP の要素...................................................................................................................................................6 サービス・プロバイダへのアクセスの可能性 ........................................................................................................7 ホットスポット事業者の識別 .............................................................................................................................9 ホットスポット機能に関する他の要素 .................................................................................................................9 リモート・サービス・プロバイダによる認証 ...................................................................................................... 11 Passpoint を含むエンドツーエンド・アーキテクチャ ............................................................................................................................ 12 Passpoint によるホットスポット・セキュリティ .................................................................................................................................... 13 Passpoint の用途の拡大 ............................................................................................................................................................................... 14 結論 ............................................................................................................................................................................................................... 15 付録 – Passpoint リリース 1 でアクセス・ポイントから得られる情報 ................................................................................................ 16 2 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper はじめに わずか 3、4 年前のモバイル・ネットワークは、ユーザー・アクセスのために要免許スペクトラムのみを使用していま した。しかし、携帯電話事業者は現在、免許の必要のないスペクトラムで 802.11(Wi-Fi)プロトコルに基づくユー ザー・アクセスを提供するためにロードマップの策定を進めています。こうした変化をもたらした大きな要因は、ビ デオその他の高帯域データ・サービスに対する圧倒的な需要が 3G ネットワークに押し寄せたことです。大半の携帯電 話事業者は、今後数年にわたるデータ・サービスの需要予測から、使用可能な要免許スペクトラムに基づく従来のモ バイル・ネットワークを強化するだけでは将来のデータ需要を満たすことができないと認識しています。 こうした背景から、新型スマートフォンに搭載されている Wi-Fi への関心が高まってきました。高キャパシティ接続 が可能な Wi-Fi は、一般に家庭や職場で使用できます。これら 2 つの場所では、モバイルによるデータ利用の大半が 行われていますが、こうしたプライベートな場所に加え、ホテル、会議室、スタジアム、空港、さらに、より小規模 なレストランやカフェなど、公共施設や半公共施設でもモバイルによるデータ利用が行われています。 こうしたエリアをカバーし、携帯電話事業者の契約デバイス/ユーザーのトラフィックを送信する Wi-Fi インフラスト ラクチャへのニーズが、今後高まると予想されます。 現在の企業向け WLAN インフラストラクチャは、すでに単一のアクセス・ポイントで複数のサービスをサポートでき ます。たとえば、小売チェーンのネットワークは、POS、ハンドヘルド・バーコード・スキャナ、社内 PBX の無線ハ ンドセットなどの社内トラフィックを処理することができます。さらに、アクセス・ポイントは、管理事業者向けに 3G オフロード・サービスを提供し、他の事業者の契約者のためにローミング・サービスを提供します。また、未契約 のユーザーに利用を開放するために、Web 形式のキャプティブ・ポータルに短期利用のためのクレジットカード入力 画面を用意しています。ホットスポット事業者は、複数のサービスや用途をサポートすることで、企業内のデータ・ ニーズをサポートするだけでなく、一般のユーザーにもサービスを提供する Wi-Fi インフラストラクチャを企業に売 り込むことができます。 現在、公衆 WLAN または公衆/プライベートの併用 WLAN から総合的な Wi-Fi ホットスポット・サービスを提供する ことは可能ですが、広範囲で採用するには障害があります。既存の Wi-Fi 規格とデバイス接続マネージャ・ソフト ウェアは、ホットスポットへの応用を想定していないため、当然のことながら、現在のサービスは事業者ごとに異な り、ユーザーによる多くの操作が必要になります。しかしこの点は改善が可能です。本書では、「携帯電話のローミ ングと同様の Wi-Fi ローミングを実現するには」という問いに対する Wi-Fi Alliance の結論について説明します。 携帯電話のローミングと同様の Wi-Fi ローミングを実現するには このフレーズは、Passpoint 関連の基調講演のタイトルとしてよく使用されてきましたが、やはり、使い古された表現 と言わざるを得ません。携帯電話は、ホーム・ネットワークを検出できない場合、国内または海外のローミング・ パートナーを自動的に特定して登録するため、ユーザー側の操作は不要です。今まで、Wi-Fi では、この機能を効率化 するプロトコルが広く普及していませんでした。一応、Wi-Fi モバイル・デバイスをホットスポット・ローミングに合 わせて設定することはすでに可能ですが、手順がかなり煩わしく、しかも統一されていません。 今日の Wi-Fi アクセス・ポイントには、公衆アクセス可能なラベルは SSID の 1 種類しかありません。したがって、こ の SSID を使用して各ネットワーク・タイプを示す必要があります。SSID の大半は、「PEETS」や「moonrisehotel」の ように、ローカル・アクセス・ポイントを運用する組織を表し、それ以外は、「attwifi」など、アクセスできるサービ 3 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper ス・プロバイダを示します。仮にホテル(「moonrisehotel」)が AT&T サービス(「attwifi」)もサポートすることを 示したい場合、両方の SSID をアドバタイズする必要があります。各物理アクセス・ポイントで複数の SSID をブロード キャストすることはできますが、エアタイムの無駄となり、また、遠くまでブロードキャストすることもできません。 モバイル・デバイスがインターネットにアクセスするためにアクセス・ポイントを探すとき、2 つの方法があります。 「attwifi」などデバイス内に設定された SSID のリストを元に一致するアクセス・ポイントを探す方法と、認識した各 オープン SSID を使ってアソシエーションを試み、インターネットにアクセスできるかどうかをテストする方法です。 前者は、設定されていない SSID が分からないため、機会を逃す可能性があり、後者は、非常に多くの時間と労力が必 要であり、プライバシーと合法性に関する問題もあります。 Passpoint では、ホットスポットからアクセスできるサービスおよびサービス・プロバイダに関する情報が SSID から切 り離されます。新しいプロトコルでは、モバイル・デバイスがアソシエーションの前にホットスポットの総合的なプ ロファイルを検出するため、ニーズに適したホットスポットを迅速に特定し、優先させることができます。一義的で 標準的なサービス・プロバイダ名を使用するため、適切なホットスポットとデバイスの契約内容とを照合するタスク が簡素化されます。 Passpoint を使用すると、モバイル・デバイスは、ユーザーのポケットの中で適切なアクセス・ポイントを自動的に特 定し、最も一致率の高いホットスポットを選択できます。最新のセキュリティに保護された状態で自動的に認証が行 われ、サービスの利用が始まります。 Passpoint の内容 2012 年 6 月、Wi-Fi Alliance の Passpoint 認定プログラム(Wi-Fi CERTIFIED PasspointTM)の初回リリースが発表されます。 この初回リリースには、IEEE 802.11u 修正条項を参照する Wi-Fi Alliance Hotspot 2.0 Specification のテクノロジが組み 込まれています。オンライン・サインアップ、事業者/サービス・プロバイダからの資格情報の取得、ポリシーの配布 などのその他の機能については、Passpoint の追加リリースで規定される予定です。本書では、初回リリースの機能に ついて説明します。 Passpoint の主な目的は、公衆 Wi-Fi ネットワークへのアクセスを簡素化し、自動化することです。Passpoint の機能に より、モバイル・デバイスはニーズに適したアクセス・ポイントを特定し、適切な資格情報でリモート・サービス・ プロバイダとの認証処理を行うことができます。具体的には、次の技術内容が規定されています。 ビーコンとプローブ応答に含まれる新しい情報要素 ホットスポット機能のプリアソシエーション・クエリを実行するための新しい GAS/ANQP プロトコル ホットスポット経由でアクセスできるサービス・プロバイダをモバイル・デバイスが認識できる新しい情報 フィールド ホットスポットの事業者、場所、設定に関する情報を提供する新しい情報フィールド 攻撃からのホットスポットの保護を強化するセキュリティ機能 Passpoint の構造 – GAS と ANQP Passpoint の重要な革新部分は、モバイル・デバイスが各種パラメータを使ってホットスポットを照会できる新しいプ リアソシエーション・プロトコルです。プリアソシエーション・プロトコルは、情報入手前に認証が必要となる方法 に比べてかなり高速で処理されるため、バッテリー寿命を節約できます。しかしこれまでのプリアソシエーション機 4 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper 能はビーコンとプローブ応答のみであり、これらの到達範囲は限られているため、機能検出のための新しいプロトコ ルを考案する必要がありました。この新しいプロトコルが Access Network Query Protocol(ANQP)です。 ANQP は、Generic Advertisement Service(GAS)に含まれる形で提供されます。GAS は、将来、他のデータの転送のた めに使用される予定ですが、初回リリースの Passpoint を扱う本書の中では、GAS と ANQP を同じものとして扱います。 ビーコンとプローブ応答の新しい情報要素 ビーコンとプローブ応答に次のような新しい情報要素が追加されました。 Access Network Type(アクセス・ネットワーク・タイプ)。ホットスポットが公衆、プライベート、ゲストな どのどの用途であるかを示します。 Internet(インターネット)ビット。ホットスポットからインターネットにアクセスできるかどうかを示します。 Advertisement(アドバタイズメント)プロトコル。ホットスポットが GAS/ANQP をサポートすることを示しま す。 Roaming Consortium(ローミング・コンソーシアム)要素。アクセス可能なサービス・プロバイダの名前を 3 つ まで列挙します(後述)。 Venue(場所)情報。ホットスポットの設置場所について記述します。 Homogenous ESSID。複数のホットスポットが 1 つの連続するゾーンの中にあることを示すラベルです。 P2P およびクロスコネクト機能。後述。 BSS load(BSS 負荷)要素。アクセス・ポイントに対する現在の負荷を示します。元は 802.11e の機能です。 モバイル・デバイスは、ホットスポットを使用するかどうかを、ビーコンとプローブ応答の情報だけで判断できるか もしれません。これらの情報を素早くスキャンするだけで、Passpoint 対応アクセス・ポイントのリスト、各アクセ ス・ポイントのインターネット・アクセス対応状況、そのホットスポットから利用できるサービス・プロバイダのリ スト(場合により不完全)を作成できます。 無線の受動スキャン、つまりビーコンの待ち受けは、フレームを送信する能動プローブに比べてバッテリーの消費は 少ないものの、ビーコン間の間隔(通常は約 100 ミリ秒)が長い場合、デバイスは実質的に能動スキャン方針に従い、 15 秒以上の間隔で能動スキャンを行うことになります。Passpoint では、プローブ要求に指向性を持たせることができ ます。たとえば、プローブ要求にフラグを設定すると、インターネット・アクセスをサポートするアクセス・ポイン トのみが応答します。これにより空中のフレームが減少し、モバイル・デバイスが応答の待ち受けに要する時間が短 くなります。 大抵の場合、デバイスはプローブ要求を使用してエリア内のアクセス・ポイントを識別し、次に GAS/ANQP でサービ スおよびサービス・プロバイダの全体像を把握し、その結果、ニーズに最も適したアクセス・ポイントを選択できます。 5 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper GAS の 2 ウェイ交換と 4 ウェイ交換およびバックエンド・アーキテクチャ (4 ウェイ交換は、応答が大きすぎて 1 フレームに収まらない場合、 あるいはアセンブルの時間が長すぎる場合に使用される) GAS の要求–応答プロトコル GAS プロトコルでは、モバイル・デバイスが、アソシエーション前にアクセス・ポイントに対して設定情報とイン ターネットへのアクセス対応状況を照会することができます。GAS の基本フォーマットは、GAS クエリ・フレームで 送信されるクライアントのクエリと、GAS 応答フレームで送信されるアクセス・ポイントの応答です。ANQP で提供 されるサービス・プロバイダと機能はかなり多くなることが予想されるため、Passpoint には、ホットスポット・ネッ トワークで専用の GAS サーバーを一元的に使用するアウトライン・アーキテクチャが含まれています。 サーバーの一元化または大量の情報が原因で、アクセス・ポイントの背後で行われる GAS ルックアップに時間がかか るか、あるいは情報が 1 フレームに収まらない場合があります。この場合、GAS クエリに対する「GAS からの最初の 応答」で、アクセス・ポイントは「あなたの情報を取得しますが、戻る(カムバック)までに X 秒かかります」また は「情報には N フレーム必要です」と答えます。ここで、4 フレーム交換が準備され、クライアントは必要に応じて 中断し、続いて「GAS へのカムバック要求」フレームをいくつか送信します。要求フレームを受け取るたびに、アク セス・ポイントは「GAS からのカムバック応答」フレームを送信します。 Passpoint リリース 1 対応のネットワークでカムバック・メカニズムが頻繁に使用されるとは考えられませんが、 Passpoint リリース 1 は、長い 4 フレームの GAS 交換をオプションとしてサポートします。 ANQP の要素 通常の場合、ビーコンの情報は、モバイル・デバイスがホットスポットに接続したいかどうかを判断するには十分で はありません。そのため、モバイル・デバイスは、ビーコン内の GAS 情報を認識すると、さらに詳しい情報を GAS に要求します。Passpoint の初期リリースであっても、ANQP は長い要素リストを返すことができます。 6 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Venue Name(場所名)情報 Network Authentication Type(ネットワーク認証タイプ)情報 Roaming Consortium list(ローミング・コンソーシアム・リスト) IP Address Type Availability(使用できる IP アドレスのタイプ)情報 NAI Realm list(NAI レルム・リスト) 3GPP Cellular Network(3GPP セルラー・ネットワーク)情報 Domain Name List(ドメイン名リスト) Hotspot Operator Friendly Name(ホットスポット事業者のフレンドリ名) Operating Class(動作クラス) Hotspot WAN Metrics(ホットスポット WAN のメトリック) Hotspot Connection Capability(ホットスポット接続機能) NAI Home Realm(NAI ホーム・レルム) Aruba White Paper これらの一部は元の 802.11u で定義されており、それ以外は Wi-Fi Alliance によって追加されました。これらの要素の 仕様については詳しく触れませんが、重要な機能であることに変わりはありません。ここでは、Passpoint リリース 1 に含まれる要素と、短期的に見て重要と思われる要素についてのみ詳しく説明します。 サービス・プロバイダへのアクセスの可能性 Passpoint の最も重要な機能は、契約で許可されたインターネット・ホットスポットに自動的に接続することです。 Passpoint が登場する前は、ローミング・パートナーのリストを表示するキャプティブ・ポータルの Web ページを大半 のホットスポットがサポートしていました。ユーザーは接続するためにブラウザを開き、ローミング・パートナー・ メニューをプルダウンし、適切なパートナーを選択した後で資格情報(ユーザー名/パスワード)を入力しなければな りませんでした。ノート型 PC の時代でさえ、テーブルで PC を広げなければならないため、これはすでに面倒な作業 でしたが、ポケットや財布の中にあるスマートフォンやタブレットにとって、この操作は問題外です。重要なのは、 「このホットスポットから、自分が契約しているどのサービス・プロバイダにアクセスできるのか」ということです。 Passpoint はこの問いにプロトコルで答えるために、サービス・プロバイダの特定方法を 3 種類用意しています。 携帯電話事業者は、ローミングのためにすでに固有のアドレス指定方式を使用しています。各事業者は、モバイル・ カントリー・コード(MCC)とモバイル・ネットワーク・コード(MNC)を組み合わせた PLMN ID で識別されます。 たとえば、米国の T-Mobile の MCC は 310、MNC は 026 です。ホットスポットのローミング・パートナーが携帯電話 事業者の場合、MCC-MNC で識別されます。 7 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper ビーコンと ANQP で示される Passpoint 対応サービス・プロバイダのアドレス指定とラベル 他のサービス・プロバイダは、ドメイン名か、ネットワーク・アドレス識別子(NAI)、「attwireless.com」などの NAI レルムで識別されます。 第 3 のアドレス指定方式は、ローミング・コンソーシアム(RC)の組織識別子(OI)です。ホットスポット・ビジネ スの重要なプレイヤーは、IEEE が管理するデータベースに OI を登録するため、認証機能を共有する組織またはグ ループが識別されます。 これら 3 種類のアドレス指定方式は互いに排他的ではありません。実際、大規模携帯電話事業者がこれら 3 種類すべ てを使用することはありえます。通常の場合、各方式には特定の認証プロトコルが使用されます(後述)。さらに、 ねじれもあります。携帯電話事業者の大半は、SIM 対応モバイル・デバイスに EAP-SIM を優先的に使用しますが、非 SIM クライアントにもパスワードまたは証明書ベースの認証を提供する可能性があります。つまり、これらは各種 ANQP 応答の中でオプションの違いとして示される可能性があります。 なお、ホットスポット事業者は利用可能なサービス・プロバイダの 1 つとして示され、特に区別はされません。どの 組織がホットスポットを所有または管理しているかを調べるには、後述のホーム事業者属性を調べ、利用可能なサー ビス・プロバイダと照合する必要があります。 モバイル・デバイスは、Passpoint 対応ホットスポットを識別すると、ビーコンとプローブ応答を調べます。次に、通 常は GAS/ANQP 交換を開始して、アクセス可能なサービス・プロバイダを把握します。続いて、サービス・プロバイ ダのリストとデバイス内の設定とを比較します。一致するプロバイダが複数ある場合、最適な選択を行うために優先 度設定機能が必要となります。 8 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper ホットスポット事業者の識別 ホットスポット事業者の把握が重要になる場合があります。そのため、ANQP はホットスポット事業者のドメイン名 (上記の NAI レルムに類似)と「事業者のフレンドリ名」を返します。後者は、事業者名と場所に関する情報を示す 自由形式のテキスト・フィールドです。 ホットスポット事業者の把握が必要なのは、複数のホットスポットが存在し、各ホットスポットから同じサービス・ プロバイダにアクセスできる場合、ホットスポットごとに料金が異なる可能性があるためです。同様に、デバイスま たは契約を提供する事業者は、デバイスを設定できる能力を持つ場合、ローミング・パートナーのネットワークを使 用させるのではなく、他の要素をすべて等しくして自社のネットワークを引き続き使用させたいと考えるでしょう。 ホットスポット機能に関する他の要素 サービス・プロバイダとホットスポット事業者の識別以外に、Passpoint はホットスポットの選択で重要となりうる多 くのパラメータを規定しています。各要素について簡単に説明します。 場所の名前とタイプ:場所によっては、特定のホットスポットに接続できることが重要です。たとえば、スタジアム のネットワークが特別なサービスを提供している場合、ファンは隣のカフェの Wi-Fi ではなく、アリーナの Wi-Fi に接 続したいと思うでしょう。Passpoint のビーコンには、場所グループ・コードと場所タイプ・コードのためのスペース があり、これらは国際建築基準に基づいています。「residential(住居)」、「educational(教育)」、「library(図書 館)」、「museum(博物館)」など、あらかじめ定められた汎用コードがあります。ANQP にも「場所名」を表すテ キスト・フィールドがあり、ホットスポット事業者はそこに記述を挿入することができます。 IP アドレス指定:Passpoint 対応ホットスポットは、サポートしているアドレス指定およびルーティング方式(Ipv4 ま たは Ipv6)を示すことができます。さらに、アドレスの NAT が行われるかどうかも示します。 インターネット・アクセスの対応状況:通常の場合、モバイル・デバイスはインターネット接続を探しています。イ ンターネット接続を必要としない場所があるとしたらどこでしょうか。それはおそらく、来館者のために「ウォール ドガーデン」サービスを提供する博物館でしょう。 ピアツーピア・クロスコネクト:これは、セキュリティ面の検討が必要です。P2P を許可するホットスポットは、事 実上、ファイアウォールの内側にいるユーザーに対して互いのデバイスへのアクセスを許可することになります。 Passpoint は、リスク削減のため、すべてのユーザー間トラフィックが、アクセス・ポイントの背後または内側にある ファイアウォールを通過することを推奨し、準備が整っていることを示す指標を提供します。 接続機能 – プロトコル・フィルタリング:住居や企業内の Wi-Fi ルーターと WLAN がトラフィックを一部のプロトコ ルとポートに制限できるのと同様に、Passpoint 対応ネットワークも不可欠な制限やアップストリームの制限を行うこ とが予想されるため、制限を ANQP でアドバタイズすることができます。 ARP プロキシ:ホットスポットの AP は ARP プロキシ・サービスを提供します。これはブロードキャスト・トラ フィックを制限するのに有効であり、セキュリティが向上します。ARP プロキシが使用されているかどうかをモバイ ル・デバイスが把握すると便利な場合があります。 9 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper グループアドレス制限:Passpoint で WPA2-Enterprise が必須であるとしても(後述)、ホットスポットの用途は企業や 家庭用の WLAN とは多少異なります。ホットスポットの各ユーザーが何らかの方法で認証され、サービス・プロバイ ダに信頼されるとしても、必ずしもユーザーどうしが信頼したり、トラフィックを共有するべきではありません。 WPA2 アクセス・ポイントはデータ・トラフィックをすべて暗号化しますが、マルチキャストをサポートするにはす べてのユーザーに共通のマルチキャスト・キーを配布する必要があります。そのため、すべてのクライアントがすべ てのマルチキャスト・フレームを読めることになります。この攻撃や他の攻撃を防ぐため、できれば、Passpoint 2.0 対 応のアクセス・ポイントはマルチキャストを無効にすることをお勧めします。ただし、マルチキャスト・アプリケー ションが使われることが多い場所などでは、無効化ができないケースもあります。 動作クラス:ホットスポットが動作するチャネルのリストです。たとえば、モバイル・デバイスが 2.4GHz 帯で検出し たホットスポットがデュアルバンド対応で 5GHz 帯を優先すると判明した場合、このリストは便利です。 Passpoint 対応アクセス・ポイントの設定機能および情報 (分かりやすくするため簡略化されています) WAN メトリック:インターネットの帯域幅を低下させる要因の多くは、AP から直接つながるバックホール接続にあ ります。ANQP は、アップストリームとダウンストリームの帯域幅と現時点のトラフィックに関する情報を提供し、 接続が最大限のキャパシティで動作しているかどうかを示します。この情報は、特定の用途のために帯域幅の最小ま たは最大要件が設定されているモバイル・デバイスに役立ちます。また、この情報は、この情報がなければ同等と見 なされる 2 つのホットスポット・アクセス・ポイントから一方のアクセス・ポイントを選択するために使用すること ができます。 HESSID:スタジアムや大型ショッピング・センターのように、複数のホットスポットのエリアが 1 つのゾーンで重な るケースが考えられます。このシナリオに備えて、同じ機能を持つ複数のアクセス・ポイントをモバイル・デバイス が簡単に認識できるように、Passpoint はゾーンのラベルを用意しています。HESSID は一意のラベルでなければなら ないため、ゾーン内のアクセス・ポイントのいずれかの BSSID(MAC アドレス)が選択されます。 10 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper リモート・サービス・プロバイダによる認証 Passpoint は、認証と認証システムの選択および機能に焦点を当てているにもかかわらず、認証プロトコルについては 変更を加えていません。モバイル・デバイスは、ビーコンと ANQP で提供される新しい情報から、そのデバイスを資 格情報に基づいて認証できるサービス・プロバイダに特定のホットスポットから接続できるかどうかを判断すること ができます。また、複数のホットスポットが該当する場合は、ホットスポットを選択することができます。しかし ホットスポットの検出と選択の段階が終了した時点で Passpoint の関与は終了し、モバイル・デバイスは今日行われて いるのと同様の方法で「通常」の認証を開始します。 Passpoint は、4 つの EAP タイプを指定する WPA2-Enterprise の使用を義務付けています。これら 4 つの EAP タイプは、 Wi-Fi Alliance のテストの一環としてすでに実施されています。Passpoint の画期的な点は、認証そのものではなく、モ バイル・デバイスがアソシエーションと認証の前にホットスポットのサービス・プロバイダと機能を識別できる点に あります。 とはいえ、認証段階はホットスポットの利用の中で欠かせない部分であるため、説明を続けます。 ANQP は、クライアントを認証できるアクセス可能なサービス・プロバイダのリストを返すとき、オプションとして 各プロバイダに認証プロトコルを付加します。Passpoint で義務付けられている EAP タイプは次のとおりです。 EAP-SIM と EAP-AKA:これらは非常に似ており、Wi-Fi から見ると同じものです。どちらもセルラー・デバイ スの SIM(または USIM)カードに格納された資格情報を読み取り、SIM を発行したセルラー・ネットワークの AAA サーバーで認証を行います。基本的にセルラー・ネットワークでの携帯電話の認証と同じですが、情報は WPA2-Enterprise で 802.1X プロトコルに基づいて送信されます。 EAP-TLS:既存の EAP タイプです。X.509 証明書に基づいてネットワークからクライアントへの認証とクライ アントからネットワークへの認証を行います。ユーザーID またはパスワードの指定は不要です。 EAP-TTLS:サーバーで X.509 証明書を使用しますが、クライアントの認証ではユーザーID とパスワードを使 用します。 大半の携帯電話事業者は、すでに SIM カードを発行しており、それに適した認証インフラストラクチャを確立してい るため、EAP-SIM と EAP-AKA を使用すると予想されます。この通常の認証方法では、セルラー・ネットワークと Wi-Fi との間を移動するユーザーとデバイスを追跡することもできます。SIM カードを発行しない事業者は、他の方法 のいずれかを使用することになります。EAP-TLS は、証明書を使用して独自の方法でデバイスを識別し、ユーザーに よる設定(ユーザーID/パスワードの設定)が不要なため魅力的ですが、多数の証明書を作成してデバイスにインス トールする(そして最終的に証明書を失効させる)ことは面倒な作業です。EAP-TTLS は、パスワードを使用するデ フォルトの認証方法です。 Passpoint 対応ホットスポットはアクセス可能なサービス・プロバイダを報告しますが、使用可能な EAP タイプを示す フィールドの使用は任意です。 実際、通常の場合は必須ではないはずです。サービス・プロバイダのリスト、プロバイダの名前またはレルム、プロ バイダの EAP タイプおよび資格情報は、モバイル・デバイスに事前にプロビジョニングされます。したがって、デバ イスにはすでに認証タイプとサービス・プロバイダ・アドレスがアソシエートされているため、EAP タイプは余分な 情報となります。 11 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper Passpoint を含むエンドツーエンド・アーキテクチャ Passpoint は、サービス・プロバイダの検出と選択をサポートする情報とプロトコルを提供することで、公衆ネット ワークへのアクセスを簡素化します。モバイル・デバイスは、ホットスポット・ネットワークを選択した後、認証を 行い、インターネットまたは他のネットワークに接続します。このセクションでは、認証段階とネットワーク接続段 階をサポートするネットワークについて説明します。どちらの段階も Passpoint 仕様の対象外ですが、ホットスポット 事業者とサービス・プロバイダが検討すべき内容です。 認証ネットワークは複雑になりがちです。代表的な図を示します。Passpoint 対応ホットスポットから WPA2-Enterprise を使って送出される認証トラフィックは、802.1X に基づいて RADIUS 接続で送信されます。 まず、認証トラフィックはホットスポット事業者が所有するローカル RADIUS サーバーに送信されます。ローカル RADIUS サーバーは、事業者自身の契約者については認証を行うことができますが、ローミング・ユーザーに対して は、プロキシとして、かつ請求および課金データの監視ポイントとして機能します。ホットスポット事業者が他の サービス・プロバイダの契約者を認証する場合、このデータのレコードを独自に持つ必要があります。 認証トラフィックは、複数の IPSec トンネルを終端するこのローカル・プロキシ RADIUS サーバーを経由して、ロー ミング・パートナーへと送信されます。図に示すように、このローミングはピアツーピアに関係する可能性がありま す。この場合、RADIUS トラフィックはパートナーに直接送信され、そこで終端されるか、あるいは DIAMETER に変 換されて大規模なコア・ネットワークに接続します。ちなみに、このプロキシ・サーバーは、モバイル・デバイスの 認証要求を調べ、正しいローミング・パートナーに要求を送信することも求められます。そのため、ローミング・ パートナーの増加に伴い、機能が複雑になる可能性があります。 Passpoint を伴う認証パス とはいえ、Passpoint により、既存のローミング・ハブやローミング交換局の役割が広がると考えられます。 12 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper これらの組織の提供するサービスにより、ホットスポット事業者は 1 回の接続で多くのローミング・パートナーにア クセスできます。これらの組織は、認証ストリームを適切なサービス・プロバイダに送信し、決済のために請求と課 金の処理も行います。サービス・プロバイダとホットスポット事業者が増えるにつれ、ローミング関係の数が急激に 増えるため、ローミング・ハブの機能は不可欠になります。 認証、請求、課金のアーキテクチャと RADIUS 属性は、Passpoint 認定プログラムの対象外であるものの、ホットス ポットのローミング関係を円滑に処理するために不可欠なのは明らかです。ホットスポット・ローミングに必要な RADIUS 属性に関して業界全体での合意がまだなされていないため、Wireless Broadband Alliance その他の団体がこの 分野の指針に関する策定作業を進めています。 Passpoint を伴うデータ・パス 認証ネットワークが広い範囲に及び複雑であるのに対して、データ・プレーンのパスはかなり簡単です。大半のモバ イル・デバイスは、通常の場合、ホットスポットのバックホール接続の始まる場所からインターネットに直接接続し ます。現在、大半のサービス・プロバイダと契約者はこの方法をとっています。 ただし、状況によっては別の方法が必要となります。一部のサービス・プロバイダは、契約者を自身のネットワーク に戻したいと考えています。「ウォールドガーデン」サービスを提供したい、またはセルラー接続と Wi-Fi 接続との 間のハンドオーバーをシームレスに管理したい、あるいはその他の理由でユーザーのトラフィックを監視したいとい うのがその理由です。上の図に示すように、これは実行可能です。認証を行うサービス・プロバイダからの RADIUS 応答によって、適切なネットワーク・ルーティングの選択を行うことができます。 企業ネットワークも特別な処理を必要としますが、ルーティングに関してホットスポット事業者とサービス・プロバ イダによる特別なサポートを受けることはまずありません。 Passpoint によるホットスポット・セキュリティ 現在のホットスポットのセキュリティは比較的脆弱なので、Passpoint は主に既存の Wi-Fi テクニックを使用していく つかの分野を改善します。 13 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper 最も重要な改善点は、Passpoint 対応ホットスポットで WPA2-Enterprise を義務付けたことです。つまり、相互認証と強 力な無線暗号化を行います。使用する EAP 方式に関係なく、アクセス・ポイント(またはサービス・プロバイダ)と モバイル・デバイスは、相互に自身の身分を明かさなければなりません。認証が完了すると、双方向トラフィックを 暗号化するために一意のキーがアクセス・ポイントとデバイスに配布されます。同じアクセス・ポイントを使用する 複数のクライアント間でキーを共有することはありません。これで、公衆ホットスポットにエンタープライズ・グ レードのセキュリティがもたらされます。 公衆ホットスポットと企業や家庭のアクセス・ポイントが異なる点は、Passpoint 対応ホットスポットの各ユーザー間 に互いを信頼する根拠がないということです。そのため、Passpoint は、無償、有償に関わらず、ネットワーク・タイ プが「public(公衆)」のときにはユーザー間にファイアウォールを設定することを要求します。ホットスポットに接 続しているデバイスが同様のデバイスに対してアドレス指定をする可能性はありますが、アクセス・ポイントに不可 欠なファイアウォール機能、あるいはアクセス・ポイントのアップストリームのファイアウォール機能を通過したト ラフィックでなければ受信側に届きません。 クライアント間の ARP スプーフィング攻撃を防ぐために、Passpoint はアクセス・ポイントでのプロキシ ARP の実装 も要求します。同様に、マルチキャストとブロードキャスト(Wi-Fi ではどちらも同じ機能です。AP のすべてのクラ イアントがフレームを受信します)ではグループ・キーをすべてのデバイスで共有する必要がありますが、Passpoint 対応ホットスポットではマルチキャストとブロードキャストを無効にすることができます。これも、上記のプロキシ ARP 機能が必要になる理由の一つです。さらに、Passpoint はホットスポット内での P2P 動作、つまり、DLS および TDLS 方式によるピアツーピア通信を禁じます。 Passpoint は、リンク・レイヤー・セキュリティの使用と Passpoint 対応ホットスポットへの接続が分かるようなインジ ケータの使用をモバイル・デバイスに対して推奨します。ユーザーは、Passpoint 対応ホットスポットでセキュリティ が強化されたことを感じるようになると、これらのインジケータへの理解が深まり(ブラウザに表示されるセキュリ ティ・ロックと同様)、インジケータが表示されないことに気付くようになります。これらのインジケータの統一ロ ゴを業界が作成するかどうかは、まだ不明です。 Passpoint の用途の拡大 Passpoint には非常に多くのパラメータとオプションが存在するため、今後数か月から数年の間に新しい用途や予想外 の用途が生まれるのは確実です。しかし基本的な公衆ホットスポットの用途が最優先です。 今後数か月から数年の間に、公衆 Wi-Fi ホットスポットの急激な増加が見込まれます。急激な増加を引き起こす要因 の一つは、トラフィックのオフロードを切望している携帯電話事業者の存在です。携帯電話事業者は、市街地、空港、 駅、スタジアム、ショッピング・センターなどの高密度の場所で、特に高帯域ビデオのユーザーをオフロードしたい と考えています。ホットスポット事業者とサービス・プロバイダはすでに判明しているクライアントの動作に基づい て処理を行い、モバイル・デバイス・プロバイダは予測可能なネットワーク動作に基づいて携帯電話、タブレット、 PC を事前設定するため、Wi-Fi ネットワークに自動的に渡されるトラフィックの量は雪だるま式に増えていきます。 多くの国や都市では、サービス・プロバイダ所有のホットスポットが大幅に増加すると予想されます。しかし、 Passpoint は独立系のホットスポット事業者にもメリットがあります。1 つのホットスポットがすべてのセルラー・ サービス・プロバイダの契約者からの認証済みトラフィックを受け入れるのは非常に簡単です。営利目的でのローミ ング契約を締結できる場合、ショッピング・センターや空港などの公共エリアの所有者は、1 つの WLAN インフラス 14 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper トラクチャを使用して、そのエリアに入るすべての Wi-Fi 対応デバイスに対して Wi-Fi オフロード・サービスを提供す ることができます。さらに、ユーザーが操作をしなくても Wi-Fi に接続するように、デバイスの事前設定が行われま す。 特にスタジアムの事業者は Passpoint の恩恵を受けます。観客のモバイル・デバイスはスタジアムの WLAN を自動的 に検出し、観客自身のホーム・サービス・プロバイダで認証処理を行います。これで、ゲームに付随して配信される 映像や画像にアクセスするときの障害が取り除かれます。接続メカニズムについては Passpoint が処理するため、観客 はブラウザその他のクライアントを起動するだけです。 公衆アクセスの提供以外に、公衆/プライベートの併用ネットワークの提供も考えられます。併用ネットワークでは、 1 台のアクセス・ポイントが小企業や小売店などにプライベート・アクセスを提供できると同時に、Passpoint ベース の公衆サービスもアドバタイズできます。これは、マネージドサービス・ソリューションには理想的な手段です。マ ネージドサービス・ソリューションでは、サービス・プロバイダが設定済みのアクセス・ポイントを顧客企業に提供 し、それをリモートで管理します。ホットスポットの設置場所を確保できるだけでなく、専用のプライベート・ネッ トワークを利用する顧客企業からの収益も見込めます。 さらに、Passpoint は、大学や病院が抱える問題を解決の方向に導きます。特に、アクセスが非常に難しい、あるいは 密度が非常に高いためにセルラー・マクロ・ネットワークでは十分にカバーできないエリアでのセルラー・サービス の提供について、早急に対応します。セルラー・デバイスへの Wi-Fi インターフェースの搭載が普及しつつあるので、 1 つの WLAN ですべてのセルラー・ユーザーをサポートすることができます。通信事業者ごとに準備する Distributed Antenna Systems(DAS)などのソリューションや、大規模展開にはまだ早いピコ/フェムトセルとは対照的です。あと は、現在 Wi-Fi で実行されていないセルラー・サービス、つまり、音声サービスと SMS を提供するだけです。しかし 要免許スペクトラムで他のソリューションを完成させるより、不足しているサービスを将来提供するほうが簡単です。 最後に、企業の WLAN にも Passpoint の用途があります。明らかな用途としては、サービス・プロバイダの認証済み 顧客に対するゲスト・アクセスの提供があります。顧客は、チェック・インや特別な資格情報の取得を行う必要はあ りません。それ以外の用途には開発に時間のかかるものもありますが、ゲストや契約業者からのアクセス、企業内で のマルチサイトまたは国際ローミングなど、多くの用途に Passpoint が使用されると予想されます。 結論 Passpoint 認定プログラムは、公衆 Wi-Fi ホットスポットへの簡単でシームレスかつ安全なアクセスに対する多くの障 害を取り除きます。 Passpoint では、アクセス可能な各サービス・プロバイダに SSID を結び付けるのではなく、コンシューマが契約を結ん でいる携帯電話事業者、MSO、その他のプロバイダなどの多くのサービス・プロバイダの前に 1 つの SSID を立たせ ることができます。これにより、サービス・プロバイダはサービスを拡張することができ、コンシューマは多くの ホットスポットで既存の契約を活用することができます。 モバイル・デバイスは、Passpoint 対応ホットスポットを検出するか、あるいは 1 か所に複数のホットスポットを検出 すると、各ホットスポットから利用できるサービス・プロバイダと、ホットスポットの他の特性を把握できます。デ バイスは、利用可能なサービス・プロバイダと設定済みの契約内容を照合し、ホットスポットとサービス・プロバイ 15 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ Aruba White Paper ダに優先度を設定した後、最適なサービス・プロバイダとの認証処理に進みます。Passpoint での検出は認証前に行わ れるため、従来の方法に比べて時間とバッテリー寿命が大幅に節約できます。 Passpoint は、Wi-Fi と IEEE 802.11 に規定された多くのセキュリティ機能を義務付けることで、ホットスポットに接続 するデバイスのセキュリティ強化を図ります。たとえば、相互認証と無線暗号化を保証し、ピアツーピア・トラ フィックは制限します。 Passpoint は今後どのように展開されるでしょうか。Passpoint 認定プログラム(Wi-Fi Alliance CERTIFIED Passpoint™) のリリース 1 は、2012 年 6 月に発表されます。その時点で企業用 WLAN ベンダーの大半が、このリリースに準拠する ソフトウェア・アップグレードの提供を発表する予定です。モバイル・デバイス、特に携帯電話とタブレットはもう 少し時間がかかるかもしれませんが、2012 年の年末商戦に向けて多くの認定デバイスを発売すると予想されます。ス マートフォン・ベンダーは、既存のモデルを Passpoint 対応にするソフトウェア・アップグレードを提供する可能性が あります。 一方で、Passpoint の将来のリリースの策定も進められています。認定プログラム・リリース 2 は 2013 年末に発表され る見込みです。リリース 2 には、ユーザーがホットスポットから標準的なプロトコルでサービスにサインアップでき るオンライン・サインアップなどの機能が組み込まれます。同時に、公衆アクセスのための事業者ポリシーの策定も 進められています。 しかし、「携帯電話のローミングと同様の Wi-Fi ローミングを実現するには」という問いに対して、Wi-Fi Alliance は すでに答えを出しています。それは、「Passpoint の使用」です。 付録 – Passpoint リリース 1 でアクセス・ポイントから得られる情報 このリストは要約です。アクセス・ポイントからクライアントにもたらされる重要な情報のみを示します。 フィールド名 ビーコン/ 応答 プローブ (802.11u) 説明 ANQP (Wi-Fi Alliance) Access Network Type X 「private(プライベート)」、「private with guest (アクセス・ネットワー access(ゲスト・アクセスを伴うプライベー ク・タイプ) ト)」、「chargeable public(有料公衆)」、「free public(無料公衆)」、「personal(パーソナ ル)」、「emergency services only(緊急サービス専 用)」の 6 つのオプションがあります。 Internet(インターネッ X ト)ビット Venue Group (場所グループ) ホットスポットからインターネットにアクセスでき るかどうかを指定します。 X 「assembly(アセンブリ)」、「business(ビジネ ス)」、「educational(教育)」、「factory and industrial(工業、産業)」など、11 コードのいずれ かです。 16 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ フィールド名 ビーコン/ 応答 プローブ (802.11u) Aruba White Paper 説明 ANQP (Wi-Fi Alliance) Venue Type 上記の各 Venue Group(場所グループ)に対して国 X (場所タイプ) 際建築基準で定められた場所タイプ。たとえば、 「educational(教育)」グループには、「school, primary(小学校)」、「school, secondary(中学 校)」、「university or college(大学)」などのタ イプがあります。 HESSID 「homogenous」SSID、つまりエリアのゾーンを 1 X つのアクセス・ポイントの BSSID(MAC アドレ ス)で示します。 Roaming Consortium OI ビーコンには 3 つの OI を示すスペースがありま X (ローミング・コンソー す。そのうちのいずれかは、ホットスポット事業者 シアム OI) の OI であることが必要です。 P2P 要素 X P2P は無効にしてください。 BSS load(BSS 負荷) X 既存の 802.11 機能。802.11e 修正条項で導入されま 要素 した。アクセス・ポイントの送受信トラフィックの 量を示します。 RSN 要素 既存の 802.11 機能。Passpoint では WPA2-Enterprise X を指定してください。 RSN AKM list 既存の 802.11 機能。Passpoint では AES 暗号化を指 X (RSN AKM リスト) 定してください。 X NAI Realm list (NAI レルム・リスト) アクセス可能なプロバイダのネットワーク・アドレ ス識別子のリスト。サブフィールドとして EAP-type (EAP タイプ)を指定することもあります。 X Venue Name(場所名) 一般に場所の所有者と住所を示すテキスト・フィー ルド X Network Authentication 認証に必要なもう 1 つの手順。Passpoint で確認され Type(ネットワーク認証 る手順は、「契約条件の受け入れが必要」と URL タイプ)情報 のリダイレクトです。 Roaming Consortium List X X (ローミング・コンソー (3 つまで) (全 RC の シアム・リスト) RC OI。IEEE 管理下の登録データベースの値を使用 します。 リスト) 17 公衆アクセスのための Wi-Fi CERTIFIED Passpoint アーキテクチャ フィールド名 ビーコン/ 応答 プローブ (802.11u) Aruba White Paper 説明 ANQP (Wi-Fi Alliance) IP Address Type ホットスポットからの通知では、IPv4、NAT、また X は IPv6 を指定できます。 Availability(使用できる IP アドレスのタイプ) 3GPP Cellular Network 携帯電話事業者に設定されている PLMN ID。値の X (3GPP セルラー・ネッ 形式は MCC-MNC です。 トワーク)情報 Domain Name List ホットスポット事業者のドメイン名(複数可) X (ドメイン名リスト) Operator Friendly Name X (事業者のフレンドリ ホットスポット事業者について記述した可変長文字 列 名) Operating Class X アクセス・ポイントが動作するチャネルのリスト X 対称かどうか、「最大限のキャパシティ」かどう (動作クラス) WAN Metrics (WAN メトリック) か、アップ/ダウンリンク速度、アップ/ダウンリン ク負荷などのステータス Connection Capability X プロトコル、ポート、ポートの開閉を示すリスト X クライアント・クエリのリストに一致するアクセス (接続機能) NAI Home Realm Query (NAI ホーム・レルム・ 可能 NAI レルムを示す短いリスト クエリ) © 2014 Aruba Networks, Inc. AirWave®、Aruba Networks®、Aruba Wireless Networks®、登録ロゴ「Aruba the Mobile Edge Company」、Aruba Mobility Management System®、Mobile Edge Architecture®、People Move. Networks Must Follow®、RFProtect®、および Green Island®は Aruba Networks の商標です。All rights reserved. 他のすべての商標は、各社の所有物です。 WP_PasspointWiFi_062912 ■ 開発元 ■ お問い合わせ アルバネットワークス株式会社 〒105-0004 東京都港区新橋5-27-1 パークプレイス3F TEL. 03-6809-1540(代表) FAX. 03-6809-1541 http://www.arubanetworks.co.jp 18
© Copyright 2025 ExpyDoc