読み方 : イーエーピーティーティーエルエス

EAP-TTLS【Extensible Authentication Protocol Tunneled Transport Layer Security】

EAP-TTLSとは?

IEEE 802.1XWPA2/WPA3などで用いられる認証プロトコルEAPExtensible Authentication Protocol)の認証方式の一つで、TLSTransport Layer Security)で通信路を暗号化した後、一般的な認証方式で認証情報の送信を行う方式。
EAP-TTLSのイメージ画像

EAPはもともとPPPPoint-to-Point Protocol)の認証方式を拡張する仕様として策定されたプロトコル通信規約)で、クライアントサーバの間でどのような認証方式を用いるかを交渉し、合意した手順に基づいて認証を実施することができる。

接続を試みるクライアント認証サーバは、まずTLSハンドシェイクによって暗号化されたトンネルを確立する。その際、サーバデジタル証明書を提示し、クライアントはそれを検証することで接続先の正当性を確かめる。トンネルが確立された後、IDやパスワードといった認証情報がその内側で安全にやり取りされる仕組みである。

同じくTLSを用いる「EAP-TLS」では、サーバクライアントの双方に証明書が必要だが、EAP-TTLSではサーバ証明書のみで動作する。クライアント証明書を全端末に配布・管理する手間が不要なため、教育機関のように多数の利用者を抱える組織でも導入しやすい。利用者は普段から使い慣れたIDとパスワード認証できる。

暗号化トンネルの内側では、PAPCHAPMS-CHAPv2など複数の認証方式を選択できる。この柔軟性により、既存の認証基盤や会員管理データベースをそのまま活用しながら導入できる。実際の運用ではRADIUSサーバと連携する構成が一般的で、Wi-Fiアクセスポイントネットワークスイッチ認証の中継役となり、RADIUSサーバが実際の認証処理を行う。

一方、クライアント側でサーバ証明書の検証設定を正しく行わないと、攻撃者が用意した偽のアクセスポイントに認証情報を送信してしまうといったリスクが生じる場合がある。また、トンネル内部で脆弱な認証方式を選択すると安全性が損なわれるため、方式の選定には注意が必要である。

他の辞典等による「EAP-TTLS」の解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。