秘密事前共有キーについて
Internet of Things(IoT)の出現により、インターネットに接続されるデバイスの数は著しく増加しています。これらのデバイスがすべて 802.1x サプリカントをサポートしているわけではないため、インターネットに接続するための代替メカニズムが必要です。セキュリティ メカニズムの 1 つである WPA-PSK が代替手段として考えられます。現在の設定では、PSK は同じ WLAN に接続するすべてのクライアントで同じです。教育機関などの一部の設置環境では、これによりキーが不正ユーザに共有され、セキュリティ違反が生じます。このため、大規模な範囲でクライアントごとに一意の PSK をプロビジョニングすることが必要になります。
Identity PSK は、同じ SSID の個人またはユーザ グループのために作成される一意の PSK です。クライアントに複雑な設定は必要ありません。PSK と同じシンプルさで、IoT、BYOD(Bring Your Own Device)、およびゲスト展開に適しています。
Identity PSK は 802.1x 未対応のほとんどのデバイスでサポートされるため、より強力な IoT セキュリティを実現します。他に影響を与えずに 1 つのデバイスまたは個人に対するアクセスを簡単に取り消せます。何千ものキーを簡単に管理でき、AAA サーバを介して配布することができます。
IPSK ソリューション
クライアントの認証時に、AAA サーバはクライアントの MAC アドレスを認証し、Cisco-AV ペア リストの一部としてパスフレーズ(設定されている場合)を送信します。シスコ ワイヤレス コントローラ(WLC)は RADIUS 応答の一部としてこれを受信し、追加処理を行って PSK を計算します。
対応するアクセス ポイントによる SSID ブロードキャストに対してクライアントがアソシエーション要求を送信すると、ワイヤレス LAN コントローラはクライアントの特定の MAC アドレスを含む RADIUS 要求パケットを形成し、RADIUS サーバに中継します。
RADIUS サーバは認証を実行し、クライアントが許可されているかどうか、および WLC への応答として ACCESS-ACCEPT または ACCESS-REJECT のいずれかを送信するかどうかをチェックします。
Identity PSK をサポートするために、認証サーバは認証応答を送信するだけでなく、この特定のクライアントに AV ペア パスフレーズを提供します。これは、PMK の計算に使用されます。
RADIUS サーバは、ユーザ名、VLAN、Quality of Service(QoS)など、このクライアントに固有の追加パラメータも応答に含めることがあります。1 人のユーザが複数のデバイスを所有している場合は、すべてのデバイスで同じパスフレーズを使用できます。