WBA OpenRoamingとは何か - hgot07 Hotspot Blog

Ciscoから始まったOpenRoamingは、少し遠回りをして、Wireless Broadband Alliance (WBA)に譲渡され、このほどWBAよりサービス開始に関するアナウンスがありました。これまでの経緯は「OpenRoamingとは何か～前夜編～」に書きました。

wballiance.com

OpenRoamingは、様々な無線LANビジネスに対応できるように、壮大な目標を掲げているものですが、まだ開発中の部分も多いため、掴みどころがはっきりしない点もあります。本稿では、OpenRoamingの基本から、サービスの概要、そして、通信事業者の参加方法を説明します。

OpenRoamingは市民が利用できるセキュアな無線LAN ローミング基盤

OpenRoamingは、世界中の市民が利用できる、セキュアな公衆無線LANのためのローミング基盤です。大学で教育研究機関向けのeduroamを利用したことのある人には、その全市民版だと思ってもらえば、イメージが掴みやすいでしょう。利用者は、携帯電話会社や無線LANサービスプロバイダとの契約を通じて、公衆無線LANに乗るためのアカウント(またはプロファイル)を取得します。一つのアカウントを取得しておけば、ローミング基盤に参加している世界中の通信事業者の公衆無線LANに、安全かつ自動的に接続できるようになります。

複数の通信事業者で、利用者認証の情報をやり取りすることで、公衆無線LANの相互利用が実現できます。このような仕組みを提供するのがローミング機能です。また、参加している通信事業者のグループは、ローミングフェデレーションやローミングコンソーシアムと呼ばれます。OpenRoamingは、次世代ホットスポット(NGH)を基本とするローミングの世界標準規格であると同時に、フェデレーションやサービスと見ることもできます。

ところで、さらりと書きましたが、「セキュア」とは何でしょう？現在の一般的な公衆無線LANサービスは、利用者認証がなかったり、もしあってもセキュリティ的に十分ではないものが用いられています。そのため、偽基地局に誘導されて悪さされる危険性があります。さらに、無線LANが暗号化されていない、あるいは、複数の端末で共通の鍵が用いられているなど、盗聴の対策も不十分です。一方NGHでは、Passpoint (Hotspot 2.0)という規格が用いられており、これはまた、IEEE 802.1Xによる安全な利用者認証がベースになっています。このような仕組みを使うことで、利用者認証の安全性を高めているのに加えて、無線LANの端末ごとの暗号化が実現されます。

この辺の話は、以前の記事「Hotspot 2.0 aka Passpoint, それとNGH(次世代ホットスポット)」もご覧ください。

エンドユーザがOpenRoamingを使う方法

先にも書いたように、利用者は通信事業者からアカウントまたはプロファイルを取得する必要があります。

OpenRoamingに参加している携帯電話会社と契約している利用者は、SIMカードに記録された認証情報を利用するEAP-AKA認証などで、公衆無線LANに乗ることができます。PasspointによるSSID自動選択と自動接続の機能により、携帯電話と同様のユーザビリティを確保できるというのがウリです。SSIDが異なる別のホテルや市街地に行っても、手作業でSSIDを設定しなおす必要はありません。

無線LANサービスプロバイダの場合は、Passpointの利用に必要となるPasspointプロファイルを事業者のウェブサイトなどから取得し、端末に登録しておく必要があります。一度設定すれば、携帯電話と同様に、SSIDが異なっていても自動接続が可能です。NGHを推進しているBoingoなどの会社が、既にPasspointプロファイルを提供しています。ただし、OpenRoamingはまだ開発中なので、利用できる場所は限られています。

この他にも、インターネットサービスプロバイダなどが対応しさえすれば、OpenRoamingを利用できるアカウント(プロファイル)を入手できるようになります。

教育研究機関向けのローミング基盤であるeduroamについても、OpenRoamingに接続される予定になっており、世界中の市街地の公衆無線LANに乗ることができる日が来るかもしれません。

技術仕様

OpenRoamingの技術仕様は、WBA WRIXが基本になっています。WRIXはこれまでに何度か改訂されていますが、現在はWRIX-i, -n, -L, -d, -fの五つのグループで構成されています。これらのうち、ローミングを実現するのに最低限必要なのは始めの三つで、interconnect, network, locationに該当するものです。OpenRoamingでは、無償サービス(settlement free)と、ローミング費用のやり取りが発生するサービス(settled)が規定されますが、後者ではdata & financial clearingに相当する -d, -f も必要になります。

商用かeduroamかを問わず、従来の無線LAN ローミングにおける認証連携ネットワークでは、RADIUSとIPsecが用いられていました。OpenRoamingでは、これに代わって、RadSecとDynamic Peer Discovery (DPD)の組み合わせを使うのが標準となっています。DPDでは、DNSのNAPTRレコードを利用して、事業者間でP2P的にRADIUS連携が可能になります。(RadSecはeduroamでも基幹ネットワークの一部に導入されています)

参加メンバー

OpenRoamingの参加メンバーは、通信事業者またはそれに準じる組織です。OpenRoaming以外のローミングフェデレーションや、都市のフリーWi-Fi事業も、メンバーになれます。

無線LAN ローミング基盤では、単に相互の利用者認証を実現する技術ばかりではなく、事業者間の信頼関係の構築が必要です。もし、ある事業者が不正を働いたりすれば、他のメンバーや利用者が損害を被ることになるからです。このため、openと名前に含まれていても完全にオープンなわけではなく、個人が自前のIdPを立てて、自宅に基地局を置いてローミングを受け入れるというのは、不可能となっています。認証情報や通信内容の保護のためには、必要な制約です。

自治体や公共施設、ショッピングモールから小さなカフェまで、フリーWi-FiをOpenRoaming対応にすることで、来訪者に安全で利便性の高い無線LANサービスを提供することができます。利用者は行く先々で公衆無線LANにサインアップする必要がなくなります。この場合、組織や店舗がOpenRoamingに直接参加するのではなく、どこかのローミングフェデレーションに所属して間接的にOpenRoamingに参加したり、通信事業者が提供する公衆無線LANソリューションの中でサービスを提供するといった構成が可能です。日本では執筆時点(2020/5/28)でCityroamが唯一のフェデレーションで、このような利用形態をサポートしています。