WiMAXとは何か――セキュリティの仕組み
WiMAXのユーザーは自分が送信したデータが盗聴されたり操作されたりすることはないと、果たして安心していいのだろうか。
[Paul DeBeasi,TechTarget]
http://techtarget.itmedia.co.jp/tt/news/0808/27/news01.html
WiMAXの無線技術に関する解説は多数あるが、WiMAXのセキュリティとなるとどうだろう。ユーザーは自分が送信したデータが盗聴されたり操作されたりすることはないと、安心していいのだろうか。WiMAX運営者は、許可されたユーザーのみがネットワークを利用し、ユーザーがしかるべきサービスのみを使ってくれると確信できるのか。
WiMAXについて解説する連載の3回目となる今回は、WiMAXのセキュリティにスポットを当てる。連載第1回ではWiMAXの技術とアプリケーション、用語について説明し、第2回はWiMAXの性能を取り上げた。最終回となる第4回はWiMAXデバイスがテーマとなる。
データのプライバシーと完全性
暗号化は、データの機密性と完全性を守るための仕組みだ。プレーンテキストで記された情報(例えばユーザー情報)を複雑な数学アルゴリズムを使って組み合わせ、暗号文を生成する。この暗号文を無線ネットワーク経由で送信すれば、盗聴者には解読ができない。
WiMAXはAdvanced Encryption Standard(AES)を使って暗号を作成する。AESは暗号鍵とカウンタを入力としてビットストリームを生成する。そのビットストリームをプレーンテキストで排他的論理和(XOR)演算し、暗号文を生成する(図1)。
図1 AES暗号
暗号文の受信側は、単純にこの手順を逆にたどってプレーンテキストを再生する。この仕組みを機能させるためには、送信者と受信者が同じ暗号鍵を共有していなければならない。
公開鍵インフラ
WiMAX 802.16e-2005(モバイルWiMAX)の仕様では、基地局とモバイル端末の間で鍵情報を安全にやりとりするためにPrivacy and Key Management Protocolバージョン2(PKMv2)を使っている。PKMv2はユーザーのIDを確認して認証鍵(AK)を生成する仕組みになっている。AKは前項で解説した暗号鍵を取り出すのに使われるため、非常に重要だ。
PKMv2は、Rivest-Shamir-Adlerman(RSA)公開鍵暗号方式の利用をサポートしている。RSA公開鍵交換のためには、メーカー発行のX.509デジタル証明書か運営者発行のSIM(Subscriber Identity Module)カードなどの信用証明を利用して、モバイル端末のIDを確認しなければならない。
X.509デジタル証明書には、モバイル端末の公開鍵(PK)とそのMACアドレスが含まれる。モバイル端末はX.509デジタル証明書をWiMAXネットワークに送り、WiMAXネットワークからその証明書を認証機関(図2)に転送する。認証機関で証明書をチェックし、ユーザーのIDを確認する。
図2 公開鍵インフラ
ユーザーIDが確認されたらWiMAXネットワークは公開鍵を使って認証鍵を作成し、その認証鍵をモバイル端末に送る。モバイル端末と基地局はその認証鍵を使い、AESアルゴリズムで使われたのと同じ暗号鍵を取り出す。
ユーザー認証
認証とはユーザーID確認の手順であり、ユーザーが利用できるサービスの確認に使われることもある。認証プロセスには通常、サプリカント(モバイル端末に置かれる)と認証装置(基地局またはゲートウェイに置かれる認証サーバ)がかかわる(図3)。
WiMAXはEAP(Extensible Authentication Protocol)を使ってユーザー認証とアクセス制御を実行する。EAPは認証フレームワークであり、実際の認証作業には「EAP方式」が必要になる。ネットワーク運営者が選べるEAP方式には、EAP-TLS(Transport Layer Security)やEAP-TTLS MS-CHAP v2(Tunneled TLS with Microsoft Challenge-Handshake Authentication Protocol version 2)などがある。EAP方式で定義されたメッセージはモバイル端末から認証装置に送られ、認証装置はRADIUSまたはDIAMETER(RADIUS後継のAAAプロトコル)を使ってそのメッセージを認証サーバに転送する。
図3 EAPベース認証
このEAPメッセージ交換でユーザーを認証、適切なアクセス制御を保証し、課金手続きの開始も行える。企業のネットワーク管理者はこれと非常によく似た手順で無線LANのユーザー認証を行っている。
まとめ
WiMAXは、高度な認証・暗号化技術を使って堅固なユーザー認証とアクセス制御、プライバシー、データの完全性を保証している。ユーザーは、自分が送信したデータが盗聴されたり操作されたりすることはなく、認証を受けたユーザーだけがWiMAXサービスにアクセスできると確信していい。
