by

RADIUS認証の仕組み

統合認証基盤最新情報

さまざまなネットワーク上で利用されている認証用プロトコル「RADIUS」の認証仕組みについて紹介します。

RADIUSサーバの構築やリプレース、及び価格については、こちらからお問合せください!
 

RADIUSとは

RADIUSとは、「Remote Authentication Dial In User Service」の略です。
さまざまなネットワーク上で、利用者認証/権限付与/利用状況記録などを行うための通信/認証プロトコルです。
「RADIUSサーバ」と「RADIUSクライアント」の間の通信方式(プロトコル)を規定したものです。
インターネット接続サービスや、有線/無線LANのユーザ認証に使われています。
認証だけではなく、利用状況記録(アカウンティング)機能も備えています。ネットワークの接続時間/データ量も収集できるため、インターネット接続サービスなどでは認証ユーザに対する課金処理基本情報などでも利用されています。

 

RADIUSの構成

RADIUSによる認証システムはサーバ-クライアントモデルで動作し、「ユーザ」、「RADIUSクライアント」、「RADIUSサーバ」の3つで構成されます。
「RADIUSクライアント」は、NAS(Network Access Server)とも呼ばれます。無線LAN/VPNゲートウェイなどのアクセスポイントが該当します。
RADIUSは、UDP/IPプロトコルを使用するため、「RADIUSクライアント」と「RADIUSサーバ」は、IP通信を行える環境であることが必須です。
「RADIUSサーバ」の一元管理機能により、「RADIUSクライアント」が複数存在するような環境でも、1箇所でユーザ情報の制御を行えます。

 

RADIUS認証の仕組み(概要)

手順(1) 「ユーザ」からの認証要求(ユーザIDとパスワード)が「RADIUSクライアント」に到着します。
手順(2) 「RADIUSクライアント」は、認証要求(ユーザIDとパスワード)をAccess-Requestメッセージとして「RADIUSサーバ」に転送します。
手順(3) 「RADIUSサーバ」は、受け取った情報(ユーザIDとパスワード)と、自身が管理している情報を照合してユーザ認証を行います。
手順(4) 「RADIUSサーバ」は、「RADIUSクライアント」に認証可否メッセージ(Access-Accept or Access-Reject)を返します。
手順(5) 「RADIUSクライアント」は、認証結果に基づいて「ユーザ」に対して接続許可/拒否を行います。

 

RADIUS認証の仕組み(詳細)

ポート番号指定 「RADIUSクライアント」は、「RADIUSサーバ」へAccess-Requestメッセージを送る場合に、RADIUSサーバの指定したUDPポート(デフォルトは1812番)宛に送信します。
RADIUSクライアントID情報 「RADIUSサーバ」へ送られるAccess-Requestメッセージには、「RADIUSクライアント」を示す情報として、「IPアドレス情報」もしくは「あらかじめ決められた固有のID」が含まれます。
IPアドレス指定 「RADIUSクライアント」と「RADIUSサーバ」間のそれぞれで、IPアドレス指定を行い、不正な接続要求を防止します。
共有暗号鍵 IPアドレス指定のみでは完全ではないため、「RADIUSクライアント」と 「RADIUSサーバ」間で、共有暗号鍵(Shared Secret)を事前に設定しておくことにより、信頼する「RADIUSクライアント」からのみの接続要求を受け付けます。不正な「RADIUSクライアント」からの接続要求を排除することができます。

 

まとめ

RADIUS認証の仕組みを紹介しました。
RADIUSは、非常にシンプルな仕組みでありながら、共有暗号鍵を採用していることにより堅牢性もあるため、使いやすい認証プロトコルとして幅広く利用されています。

 

RADIUSサーバの構築やリプレース、及び価格については、こちらからお問合せください!