WLAN SSID 拡張(属性証明書)

X.509では、公開鍵証明書とは別に属性証明書というものが定義されている。これは、公

開鍵証明書と連携して機能するものだが、特に認証用途において重要なものである。

属性証明書を利用する場合には、公開鍵証明書にはなるべく不変な情報のみを記載し、

認証に必要な権限などの可変情報を属性証明書に記載する。この属性証明書は、極めて短 い期間で再発行することも可能であり、またエンティティに発行した公開鍵証明書を更新 しないまま、エンティティの権限情報を変更可能なため、認証には非常に有効な技術であ る。

前述のwlanSSID拡張も、接続先無線LANを制限するようなアクセス制御情報であるの

で、本 I-D では、これを属性証明書でも記載できるよう定義している。これにより、クラ イアントに配布した公開鍵証明書を変更することなく、アクセス可能な無線LANのSSID を記述した属性証明書のみを更新することで、クライアントをアクセス制御することが実 現可能と考えられる。

[島岡]

Appendix A EAP-TTLS と PEAP の実装状況

802.1X機能 製品 製造元

EAPMD5 LEAP EAPTLS EAPTTLS EAPSIM PEAP

EAP-SPEKE

（Simple Password Exponentia

l Key Exchange）

RADIUSサーバ Odyssey Server Funk software ○ ○ ○ ○

Steel-Belted Radius Funk software ○ ○ ○ ○ ○

ステラクラフト Enterprasステラクラフト ○ ○ ○ ○

Cisco ACS Cisco Systems ○ ○ ○ ○ ○

.NET server Microsoft ○ ○ ○

fullflex wireless アクセンス・テクノロジー ○ ○ ○

AEGIS Server Meeting house ○ ○ ○ ○ ○

Secure.XS INTERLINK NETWORK ○ ○ ○ ○ ○ ○

FreeRADIUS FreeRADIUS Project ○ ○

Radiator Radius Open System Consulta ○ ○ ○ ○

NavisRadius Lucent Technologies ○ ○ ○ ○ ○ ○

Supplicant Odyssey client Funk software ○ ○ ○ ○

AEGIS Clinet Meeting house ○ ○ ○ ○ ○

WindowXP Microsoft ○ ○ ○

ACUS Cisco ○ ○

MPWorks UDTech ○ ○ ○ ○

Alfa & Ariss SecureW2 ○

XSupplicant Freeware ○ ○ ○

対応EAP-type

2003年4月調査 近日対応予定も含む

アクセスポイントの対応

製品名 メーカ 802.1X 対応 WPA 対応予定

Aironet シリーズ Cisco Systems ○ ○ Intel PRO Wireless AP intel ○ -

ORiNOCO,AP2500 プロキシム ○ -

ORiNOCO

AP1000、AP2000,AP600 プロキシム ○ ○

Air Station メルコ ○ 不明

CN3000 Colubris Networks ○ ○

RoamAbout R2 Enterasys ○ ○

AVAYA Wireless AP-3 AVAYA ○ ○

WL-1154 NTT 東日本 ○ 不明

2003年4月調査 近日対応予定も含む

Appendix B 参考文献

[1]N.Borisov et al, ``Intercepting Mobile Communications: The Insecurity of 802.11'',MobiCom2001, July 2001

[2]S.Fluhrer et al, ``Weakness in the Key Scheduling Algorithme of RC4'', 8th Annual Workshop on Selected Areas of Cryptography, August 2001

[3]RFC2284

“PPP Extensible Authentication Protocol (EAP)”

[4]RFC2246

“The TLS Protocol Version 1.0”,

[5] IEEE802.1X

“Port-Based Network Access control”

[6]draft-ietf-pppext-eap-ttls-02 － EAP Tunneled TLS Authentication Protocol Funk Software社 － http://www.funk.com/

[7] draft-josefsson-pppext-eap-tls-eap-05.txt “Protected EAP Protocol (PEAP)”

[8]“Protected EAP”http://www.ietf.org/proceedings/02mar/slides/eap-3/sld008.htm

[9]RFC2865 - Remote Authentication Dial In User Service (RADIUS)

[10]RFC2866 - RADIUS Accounting

[11]RFC2869 - RADIUS Extensions

[12]draft-congdon-radius-8021x - IEEE 802.1X RADIUS Usage Guidelines

[13]P802.11i

Draft Supplement to Standard for

Telecommunications and Information Exchange Between Systems LAN/MAN Specific Requirements Part 11: Wireless Medium Access Control (MAC) and physical layer (PHY) specifications:Specification for Enhanced Security

[14]Wi-Fi Protected Access (WPA) Version1.2

[15]ITU-T RECOMMENDATION X.509 | ISO/IEC 9594-8:

INFORMATION TECHNOLOGY - OPEN SYSTEMS INTERCONNECTION - THE DIRECTORY: PUBLIC-KEY AND ATTRIBUTE CERTIFICATE FRAMEWORKS

[16]RFC3280

Internet X.509 Public Key Infrastructure Certificate and CRL Profile

[17]RFC2560

X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

[18]RFC2818 HTTP Over TLS

[19]RFC2632

S/MIME Version 3 Certificate Handling

Appendix C 相互接続実験作業参加者

株式会社アクセンス・テクノロジー 納村 康司、中川 孝志、吉田 伊津子 株式会社インターネット総合研究所

任(Im) 俊学、佐藤 めぐみ、佐藤 友治、法林 浩之 SSHコミュニケーションズ・セキュリティ株式会社 古川 徹

オムロンフィールドエンジニアリング株式会社 粕谷 宗史

新日鉄ソリューションズ株式会社 寺島 弘明

セコムトラストネット株式会社 島岡 政基、門田 剛 セコム山陰株式会社 平本 耕造

株式会社ディアイティ 関 義和

株式会社東芝 渋谷 尚久

富士通エフ･アイ･ピー株式会社

ニンスワンコシット パンシット(Punsit) 松下電工株式会社

岸本 英治

ユーディテック・ジャパン株式会社 中島 聡

(50音順) 工学院大学

橋本 明、松木 和彦

○アドバイス他(以下敬称略) シスコシステムズ

上原子 茂樹 ネットマークス 夏目 雅好

東日本電信電話株式会社 森山 浩幹

マイクロソフト

及川 卓也、古川 勝也

(50音順)