ユーザ認証
コンピューターにログインできるユーザを限定
不正行為を行うユーザを排除
コンピュータにログインしているユーザを識別
各ユーザに応じてアクセスできる範囲を限定
不正なデータ改ざんを防止
ネットワーク
ホストAホストB
ホストAにアクセス
ホストBのアクセス
に対してユーザ認証
ユーザ認証の方法
パスワードファイルを用いたユーザ認証
1. パスワードファイルにユーザ名とパスワードを保存
/etc/passwdなど
2. ユーザがアクセスするとユーザ名を識別
3. ユーザにパスワードを要求し、パスワードファイル
のパスワードと比較
4. パスワードが一致すれば正当なユーザと認証
ユーザ認証例
クライアント サーバ
パスワードファイル
接続要求
ユーザ名要求
ユーザ名送信
パスワード要求
パスワード送信
ユーザ名の
パスワードを検索
パスワードを比較
ネットワーク
アクセス管理技術
電子化された情報を保護するためにユーザの
アクセスを管理する技術。
識別・・・アクセスを許可するユーザID
認証・・・ユーザIDとパスワード
権限付与・・・ユーザのアクセス可能な範囲
認証の種類
パスワードファイルを用いた認証
ワンタイム・パスワードによる認証
S/KEYによる認証
暗号技術を用いた認証
パスワードファイルを用いた認証
パスワードファイル
ユーザ名、ユーザIDとパスワードの組を登録した
ファイル。
認証の流れ
ユーザはユーザ名とパスワードを入力
それに応じてコンピュータはユーザIDとパスワー
ドをパスワードファイルから探し出す
登録されているパスワードと入力されたパスワー
ドが一致すれば正当なユーザであるとみなす
認証シーケンス
ユーザID
パスワード
ユーザID
パスワード 認証データ
検索
認証データ
計算処理
認証データ認証データ
認証データ確認処理
OK NG
クライアント サーバ
パスワード認証の危険要因
ログイン時におけるパスワード漏洩
偽のログインプログラムを立ち上げておき,ユーザ
名とパスワードを騙し取る.(ログインシミュレー
ター)
ログイン試行
ユーザ名とパスワードの組み合わせをしらみつぶ
しに試す.
盗聴の容易性
TELNET,FTP,r系コマンド
パスワードを平文で流す
対策
暗号化
TELNET→SSH
POP3→APOP
メール→PGP暗号化
ワンタイムパスワード(OTP)
S/KEY
ワンタイム・パスワード
ログインの際、ネットワーク上でパケットデータ
を補足されると、ユーザ名とパスワードが漏洩
してしまう。
一度きりしか有効でないパスワードを使用す
る。(OTP:One Time Password)
-チャレンジ・アンド・レスポンス方式
そこで
チャレンジ・アンド・レスポンス方式
サーバ側が送信した質問(チャレンジ)に、正
しい答え(レスポンス)を返したクライアントを
正規のユーザとして認証する。
質問と答えが毎回変わるので、リプレイ攻撃を
防ぐことが可能。
認証シーケンス
ユーザIDユーザID
基本
パスワード 乱数
基本パス
ワード検索
乱数
生成処理
基本
パスワード
乱数
認証データ確認処理
OK NG
パスワード
文字列
パスワード
文字列
パスワード
文字列’
パスワード生成処理
サーバクライアント
パスワード生成処理
S/KEY
サーバ側が基本パスワードを持たない方式。
複数回、ハッシュ関数を適用した値を用いる。
サーバ側で格納される値が、ログインの度に
変更される一時的なものであり、漏洩したとし
てもハッシュ関数の性質からパスワードの推
測が出来ない。
ユーザID
乱数R
基本
パスワードPシーケンス番号r
ハッシュ関数処理×r回
h (R|P)
r
ユーザID
シーケンス番号r
乱数R
h (R|P)
r
シーケンス番号r-1
ハッシュ関数処理×r-1回
h (R|P)
r-1 h (R|P)
r-1
シーケンス番号r-1
ハッシュ関数処理
ハッシュ値
確認処理
OK NG
h (R|P)’
r
サーバクライアント
