hgot07 Hotspot Blog

主に無線LANや認証連携などの技術についてまとめるブログです。ネコは見る専。

OpenRoamingに参加するには (事業者向け)

「openというぐらいだから、OpenRoamingは誰でもサービス提供できるローミングシステムですか?」ー いいえ、参加には色々と条件があります。

(IT方面のopenやfree、simple、lightweightなどを文字通りに信じてはいけないと学びませんでしたか?SOAPLDAPの方を眺めながら……)

OpenRoamingのローミング基盤に自前の基地局や認証サーバを接続するには、事業者としてWBA OpenRoamingに参加する必要があります。通信事業者であれば、個人事業者でも大丈夫でしょうが、法人ではない個人で参加するのは無理です。

つまり、OpenRoamingは、昔あった「Fon」のようなコミュニティベースのローミングシステムではないということです。

「openじゃないやん!」

事業者や自治体、学校などがOpenRoamingに参加するには、どうしたらよいのでしょう。まだ流動的なところもあるのですが、現状での参加方法をまとめてみます

(面倒ですか?Cityroamに参加すれば、WBAとのやり取りもなく、簡単にOpenRoamingに乗れますよ(・∀・)ノ )

 

OpenRoamingの参加形態

要するに、Passpoint対応の無線LANシステムを運用できる事業者であれば何でもよいのですが、ざっくり分けてみると以下のとおりです。

  • 通信事業者
  • ローミングフェデレーション (eduroamやCityroam, govroam, Publicroamなど)
  • 販売・サービス大手 (ホテルチェーンなど)
  • 自治体 (公衆無線LAN事業)

ホテルや自治Wi-Fiでは、裏に無線LAN事業者がいることが多く、その場合はOpenRoamingに直接参加していないことがあります。

OpenRoamingの認証連携ネットワークは、RADIUSのトランスポートであるRadSecと、認証サーバの所在を探索するためのDynamic Peer Discovery (DPD)の組み合わせをベースに、構築されています。OpenRoamingサービスを提供したい事業者は、自前の基地局や認証サーバを、OpenRoamingの認証連携ネットワークに接続する必要があります。また、RadSecの接続には、WBAIDと呼ばれる、通信事業者やフェデレーションなどを識別するためのIDを取得する必要があります。

hgot07.hatenablog.com

通信事業者や各種組織がOpenRoamingに参加する形態は、概ね以下のとおりです。

  • WBAのメンバーになる
  • WBA OpenRoamingのエージェントと契約する
  • OpenRoamingのサービスを提供しているベンダと契約する
  • OpenRoamingに参加しているフェデレーションに参加する
  • OpenRoamingに参加している事業者のパートナーや下請けになる

以下、それぞれについて説明していきます。

 

WBAのメンバーになる

WBAのメンバーシップのうち、ローミングに参加しやすいように作られたImplementer memberが最も安価です。安いといっても、入会費と年会費がそれなりにかかります (執筆時点で各3,000USD)。

WBAのメンバーになると、WBAIDを無償で取得できます。

RadSecの接続には、サーバ証明書 (認証サーバ側)、クライアント証明書 (基地局側)、または両方が必要になりますが、これらはOpenRoamingから委託されている中間CA (I-CA)事業者から買う必要があります。

契約からシステム構築まで、基本的に自前で行うことになります。

 

WBA OpenRoamingのエージェントと契約する

OpenRoamingのエージェントと契約すると、そのエージェントのMainIDにSubIDを付加したWBAIDを取得できます。

様々な形態のエージェントが登場してくるでしょうから、料金もまちまちでしょう。

その他は基本的にWBAメンバーと同様の扱いになりますが、もし国内にエージェントがあるなら、契約が楽になる可能性はあります。

 

OpenRoamingのサービスを提供しているベンダと契約する

例えば、Cisco DNA Spacesや、Mist (Juniper Networks)には、設定画面のチェックボックスや選択肢だけでOpenRoaming周りの設定ができる仕組みが用意されています。これにより、DNA SpacesではRadSecなどの設定が不要、MistではPasspointの設定が不要(RadSecは別途必要)となり、既存の基地局や認証サーバを容易に接続できるようになります。

これらのベンダが、もしWBAIDを提供するエージェントの役割も持つならば、ベンダとの契約のみでOpenRoamingに乗れるようになるでしょう (ビジネスがまだ流動的です)。

 

OpenRoamingに参加しているフェデレーションに参加する

自機関が所属しているローミングフェデレーションがOpenRoamingに参加しているならば、そのフェデレーションを通してOpenRoamingのサービスを実現できる可能性があります。

eduroamはWBA Contributer Memberです。大学や学校など、eduroamに参加している教育・研究関係は、eduroamを介してOpenRoamingに接続できるようになります (各国で対応状況が異なる)。世界各地のOpenRoaming基地局で、自機関の構成員のアカウントを使えるようにする仕組みが、開発されています。

反対に、学校などの基地局で外部のOpenRoaming利用者を受け入れることも、技術的には可能です。ただし、実現するかどうかは各国のeduroam運営母体の判断次第です。

 

国内のセキュア公衆無線LANローミング基盤であるCityroamが、OpenRoamingの初期サポータの一つとして参加しました。Cityroamは、Implementer MemberとしてWBAに参加し、OpenRoamingでは世界で3, 4番手の実用化実績を持っています。

国内の通信事業者や自治体、フリーWi-Fi事業などは、Cityroamフェデレーションに参加することで、OpenRoamingとの連携が可能です (年会費が必要となります)。OpenRoaming周りの契約や技術調整はCityroamが代表して行っており、参加組織の技術的な負担が小さくて済むというメリットがあります。

Cityroamでは、小中高を含む学校へのeduroam・Cityroam・OpenRoaming導入(一部のみでも可)も支援しています。

 

OpenRoamingに参加している事業者のパートナーや下請けになる

既にOpenRoamingに参加している事業者と協働して、OpenRoamingのサービスを提供する方法です。パートナーの通信事業者としてシステム運用を代行したり、システムインテグレーションから運用までを代行する方法などがあるでしょう。

(執筆時点で、国内に該当する事業者はまだ見当たりません)

 

以上要するに、執筆時点ですぐに実現できるのは、自前でWBAのメンバーになる方法と、Cityroam経由で接続する方法の、二択となります。

 

おわり