|
6.2 ユーザ認証の留意点
|
||
| 前のページへ | ||
ユーザ認証とは、システムまたはアプリケーションに対してユーザを識別するためのシステムである。このシステムを利用して、特定情報へのアクセス制御を行い、情報の保護を実現することができる。認証には、以下のようないくつかの方法がある。また、広く利用されているICカード認証や指紋認証といったさまざまな認証システムでは、それのみによる認証ではなく、パスワードを組み合わせたものが数多く見られ、パスワードによるユーザ認証は一般的な認証システムとして広く使用されている。
本モデルで利用可能なユーザ認証システムには以下のようなものがある。また、ここで取り上げる認証システムの論理上の認証強度は、昇順(弱→強)になっている。
本モデルにおけるベーシック認証には、下記のようなものがある。
Apacheに組み込まれている認証モジュールを利用して行う、Apache独自のユーザ認証。独自のパスワードファイルでユーザ認証が管理され、WWWサービスのユーザ単位でのアクセス制御を実現する。
PAM(Pluggable Authentication Modules)とは、ユーザ認証をDynamic Linking Libraryを利用して、アプリケーションごとの認証システムを管理するモジュールである。例えば、TELNETのユーザ認証は、PAMの設定によりどの認証方式でユーザ認証を実施するかが管理され、そのユーザ認証をパスすることで、TELNETサービスの使用が可能になる。
この認証方法は、Webサーバーとクライアントの他に認証局(CA:Certification Authority)と呼ばれる機関が必要になる。認証局は、Webサーバーが信頼できるサイトであることを証明するための機関で、信頼できる証として電子証明書を発行する。クライアントはその電子証明書をWebブラウザにインストールすることで、Webサーバーを信頼することになり、Webサーバーとクライアント間の認証を実現する。また認証局は、第三者の独立機関に依頼したり独自で設置したりすることが可能である。
独自アプリケーションのユーザ認証とは、独自のユーザ認証が組み込まれたシステムを指す。このシステムのアカウント情報は、独自に作成したファイルやDB(データベース)で保管するのが一般的である。例えば、電子商取引サイトのログイン画面で入力した情報(アカウント名/パスワード)が、DBで保持している個人情報と一致するかによってユーザ認証を実施するものがある。
暗号化認証とは、ユーザ認証に暗号化システムを組み込み、セキュアな通信上でユーザ認証を行うものである。本書では、SSH2(Secure SHell Version 2)を使用した暗号化認証でも、以下の認証方式を取り上げる。現在、SSHには2つのバージョン(SSH Version1系とSSH Version2系)が存在しており、これは暗号化を行うプロトコルのバージョンを指している。このバージョンが異なると暗号化方式も異なるため、暗号化通信を実施するサーバーとクライアント間では同じバージョンのSSHに対応している必要がある。
また、SSHサービスを提供するソフトウェアによって、このバージョンの違いによりライセンス形態が異なるものもある。そこで本コンテンツでは、無償かつ両バージョンをサポートしているOpenSSHを取り上げ解説する。
通常のパスワード認証を暗号化したもの。これは、認証の際のパスワードは暗号化されて通信を行うため、ベーシック認証よりもセキュアなユーザ認証が実現可能である。
RSA(公開鍵)認証とクライアントホストの認証方法を組み合わせたホスト認証で、RSA認証とrshの.rhostsファイルを使用した認証方式を用いる。これは、ホスト単位で認証する方式であり、個々のユーザを認証する方式ではない。
この認証は、RSA公開鍵式暗号を利用し、公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式である。公開鍵はサーバー側で管理し、秘密鍵とパスフレーズは個人で管理し、これら3つによりユーザ認証を行う。SSHを利用した暗号化認証では、この方式が最もセキュアなものである。
| 適切なプロトコルの選定 |
第6章の目次
|
認証システムを利用する際の留意点
|
Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.