Govroam veilige wifi-roaming

Hoe werkt het?

De technische invulling is een hiërarchisch systeem van Remote Authentication Dial-In Service (RADIUS) servers. Wanneer een gebruiker die op een gastlocatie (niet de eigen locatie) gebruik wil maken van internet dan zal het verzoek om toegang via het authentication request door de RADIUS servers doorgezet worden naar de thuislocatie, en het antwoord (authentication response) zal teruggestuurd worden. Iedere deelnemende organisatie richt een eigen RADIUS server en koppelt deze aan de centrale nationale RADIUS.

Het juist routeren van de authenticatie berichten is mogelijk omdat de gebruikersnamen een vast voorgeschreven format hebben op basis waarvan de RADIUS servers de berichten door de hiërarchie kunnen sturen. Het format van een gebruikersnaam is ‘user@realm’ waarin realm een fully qualified domain name (FQDN). Voorbeelden van geldige gebruikersnamen in dit voorgeschreven format zijn: flip@utrecht.nl of j.r.flipkens@minvenj.nl .

Access points of switches gebruiken de IEEE 802.1X standaard met het Extensible Authentication Protocol (EAP). Organisaties bepalen zelf welke EAP-methode voor hun het beste gehanteerd kan worden. Zo is het mogelijk om via een beveiligde tunnel (bijvoorbeeld EAP-TTLS of PEAP) de authenticatie gegevens (gebruikersnaam/wachtwoorden etc) te versturen. Een andere mogelijkheid is om gebruik te maken van wederzijdse authenticatie via publieke X.509 certificaten. In al deze authenticatiemethoden wordt er gebruik gemaakt van een beveiligde tunnel (secure TLS session) vanaf het device van de gebruiker tot en met de thuis authenticatie-server, zodat de persoonlijke gegevens van de gebruiker niet zichtbaar zijn voor de tussenliggende partijen.

Aanmelden govroam

De aanmelding voor govroam bestaat uit een administratief en technisch gedeelte. Eerst dient het administratieve proces afgerond zijn, voordat gestart kan worden met het technische onderdeel.