Dynamic PSK
IoT機器などではWPA-TTLSなどのWPA Enterpriseによる認証に対応しておらず、eunetに接続できないものが多い。
このためにIoT機器やプリンタ、スキャナ、デジタルサイネージ、ネットワーク対応スピーカー、測定機器などのアプライアンス製品を設置したり、マイコンやセンサーネットワークを使った実習を行ったりする場合にはWPA PersonalすなわちWPA-PSKに対応したアクセスポイント(以下AP)、いわゆる野良APを設置したり、プロトコルコンバータを介在させざるを得ない場合がある。しかし一般的なWPA-PSKではAPに接続するすべての端末に対して共通のPSK(Pre-Shared Key)を使用するため、これが漏洩することによるセキュリティ上の問題がある。PSKは端末に保存され、その設定画面にアクセスできれば誰でも知ることができるようになっている製品も多い。
Dynamic PSK(DPSK)はRUCKUS社などのアクセスポイントで提供されているWPA-PSKの機能で、MACアドレスごとに異なるPSKを発行することでPSKの漏洩に伴う脅威を緩和するものである。技術的には端末が任意のMACアドレスを自称することは可能なのですべての脅威を排除できるわけではないが、ある端末のDPSKが漏洩したとしてもそれがどのMACアドレスと紐づけられたものであるか容易に知ることはできないため一般的なPSKよりもリスクが少なく、DPSKを取り消すことで問題を起こした端末を排除できる。一般の利用者がDPSKを発行する際にはDPSKおよびMACアドレスとアカウントが紐づけられるため、使用者を特定することも可能である。
愛媛大学無線ネットワークでは過去にeunet-dpskというESSIDでDynamic PSKによる無線ネットワーク接続を提供していたが、現在はこれを提供していない。野良APの設置を避けるためにもDPSKによる無線ネットワークへの接続サービスの提供を再開することを提案する。 Enabling Automatic User Activation with Zero-IT
http://docs.ruckuswireless.com/zonedirector/10.2/GUID-9BBEC3CA-E3B8-422F-9A17-0AB16521EF16-output_low.png
過去に提供していたDPSKによる接続の手順
RuckusではZero-ITと呼んでいる。
アクセス元の端末のMACアドレスがAPコントローラで認識される
愛媛大学アカウントによる認証
DPSK接続用のファイルが生成されダウンロード可能になる
上記ファイルが利用できない端末のためにDPSKを文字列として表示できる
発行されたDPSKは一連の作業を行った端末のMACアドレスと紐づけられている
https://gyazo.com/ed0cd3f469111531a0667e64e12857c6https://gyazo.com/29cbaa47a2363aa29e9736b8ce6f9275https://gyazo.com/6ce759182f509a51d20496b11e221a7f
Activation URL
Zero-ITによりDPSKを発行するためにはActivation URLにアクセスしなければならない。
Activation URLへのアクセスは有線ネットワークなど何らかの方法があることが前提とされている。
Zero-IT and DPSK Settings
モバイル端末など有線ネットワークへのアクセス手段を持たない端末のために、ゲスト用の
Using the BYOD Onboarding Portal
The Onboarding Portal feature provides a series of intuitive option screens allowing mobile users to choose whether to connect to a Guest WLAN or to self-configure their mobile devices to authenticate to an internal WLAN using Zero-IT activation.
過去に提供していたDPSKの問題点
https://zd.e-catv.ne.jp/activate にアクセスしてDPSKの発行作業を行った端末のMACアドレスと紐づけられるため、PCなどの画面を持ちブラウザが実行でき、キーボードなどの入力機能を備えた端末でしか利用することができず、ユーザーがMACアドレスを明示的に指定することもできない。そのためマイコンやネットワーク対応センサーなどのIoT機器のような画面を持たない端末ではDPSKを使用できない。 DPSKの提供を再開するにあたって調査が必要な点
マイコンやネットワーク対応センサーなどのIoT機器のような画面を持たない端末でもDPSKを使用できるようにする方法が2つある。いずれもAPコントローラの管理画面からはそのようなDPSKを発行できるようであるが、一般のユーザがアクセスする画面でそれができるかどうかについては調査が必要である。DPSKは愛媛大学情報基盤システムの仕様には含まれていないうえ、オペレーションとしてもそれが可能かわからない。
Unbound DPSK
DPSKにはboundとunboundがあり、標準的な手順で発行されるDPSKはbound DPSKである。これは端末のMACアドレスとユーザーの双方に紐づいている。Unbound DPSKはユーザーにのみ紐づいており、端末のMACアドレスを限定せずどの端末でも使えるDPSKである。端末のMACアドレスと紐づけることでDPSKが漏洩した場合のリスクを緩和するという本来の目的は達成できないが、ユーザーと紐づいているため責任の所在が明確になるという第二の目的は達成できる。
A “bound” DPSK is one which is assigned to the MAC address of a user device at the time of creation. No other user device can utilize this DSPK. Bound DPSKs are stored in on APs.
An “unbound” DPSK is not assigned to a device's MAC address during creation, but upon its first use (that is, when the device first connects to a WLAN and the DPSK is entered as the WLAN security key). Once a DPSK becomes assigned to a user device, it becomes bound and no other user device can use it.
MACアドレスを指定したDPSKの発行
Creating a Batch Dynamic PSK Profile
http://docs.ruckuswireless.com/zonedirector/10.2/GUID-2CA9A9EE-B16F-408B-AE4F-CFAB05BCC89B-output_low.png
DPSKの発行数に関する制限
Ruckus Wireless ZoneDirector™ Release 10.0 User Guide
https://gyazo.com/b5ec4eae92313ab55f440464586e1cd6
DPSKの有効期限
参考資料
https://gyazo.com/70d3e9f2aebab38797b4b3ebd7811d3a
EAP-TTLSによるアクセスポイントへの接続, 長野高専