ユーザ認証
2002
年
9
月
6
日
大橋
巧
牧之内研究室「インターネット実習」
W
eb
ページ
http://www
.db.is.kyushu-
u.ac.jp/r
inkou/in
ternet/
ユーザ認証
コンピューターにログインできるユーザを限定
不正行為を行うユーザを排
除
コンピュータにログインしているユーザを識別
各ユーザに応じてアクセスできる範囲を限定
不正なデータ改ざんを
防止
ネットワーク
ホスト
A
ホスト
B
ホスト
A
にアクセス
ホスト
B
のアクセス
に対してユーザ認証
ユーザ認証の方法
パスワードファイルを用いたユーザ認証
1.
パスワードファイルにユー
ザ名とパスワー
ドを保
存
/etc/passwd
など
2.
ユーザがアクセスするとユーザ名を識別
3.
ユーザにパスワードを要求し、パスワードファ
イル
のパスワードと比較
4.
パスワードが一致すれば正当なユーザと認証
ユーザ認証例
クライアント
サーバ
パスワードファイル
接続要求
ユーザ名要求
ユーザ名送信
パスワード要
求
パスワード送信
ユーザ名の
パスワードを
検索
パスワードを比較
ネットワーク
アクセス管理技術
電子化された情報を保護するためにユーザの
アクセスを管理する技術。
識別・・・アクセスを許可するユーザ
ID
認証・・・ユーザ
ID
とパスワード
権限付与・・・ユーザのア
クセス可能な
範囲
認証の種類
パスワードファイルを用いた認証
ワンタイム・パスワードに
よる認証
S/KEY
による認証
暗号技術を用いた認証
パスワードファイルを用いた認証
パスワードファイル
ユーザ名、ユーザ
ID
とパスワードの
組を登録
した
ファイル。
認証の流れ
ユーザはユーザ名とパ
スワードを入力
それに応じてコンピュータはユーザ
ID
とパスワー
ドをパスワードファイルから探し出す
登録されているパスワードと入力されたパスワー
ドが一致すれば正当なユ
ーザであるとみなす
認証シーケンス
ユーザ
ID
パスワード
ユーザ
ID
パスワード
認証データ
検索
認証デ
ータ
計算処理
認証データ
認証データ
認証データ確認処理
OK
NG
クライアント
サーバ
パスワード認証の危険
要因
ログイン時におけるパスワード漏洩
偽のログインプログラ
ムを立ち上げておき
,
ユーザ
名とパスワードを騙し取る
.(
ログインシミュレー
ター)
ログイン試行
ユーザ名とパスワードの組み合わせをし
らみつぶ
しに試す
.
盗聴の容易性
TELNET
,F
TP
,r
系コマンド
パスワードを平文で流す
対策
暗号化
TELNET
→
S
SH
POP3
→
APOP
メール
→
PGP
暗号化
ワンタイムパスワード(
O
T
P
)
S/KEY
ワンタイム・パスワード
ログインの際、ネットワーク上でパケットデータ
を補足されると、ユー
ザ名とパスワードが漏洩
してしまう。
一度きりしか有効でないパスワードを使用す
る。(
O
TP:One Time P
assword)
-
チャレンジ・アンド・レスポンス方式
そこで
チャレンジ・アンド・レスポンス方式
サーバ側が送信した質問(チャレンジ)に、正
しい答え(レスポンス)を返した
クライアントを
正規のユーザとして認証する。
質問と答えが毎回変わるので、リプレイ攻撃を
防ぐことが可能。
認証シーケンス
ユーザ
ID
ユーザ
ID
基本
パスワード
乱数
基本パス
ワード検
索
乱数
生成処理
基本
パスワード
乱数
認証データ確認処理
OK
NG
パスワード
文字列
パスワード
文字列
パスワード
文字列
’
パスワー
ド生成
処理
サーバ
クライ
アン
ト
パスワー
ド生成
処理
S/KEY
サーバ側が基本パスワードを持たない方式。
複数回、ハッシュ関数を適用した値
を用いる。
サーバ側で格納される値が、ログインの度に
変更される一時的なものであり、漏洩したとし
てもハッシュ関数の性質からパスワードの推
測が出来ない。
ユーザ
ID
乱数
R
基本
パスワード
P
シーケンス番号
r
ハッシ
ュ関
数処
理
×
r
回
h (R|P)
r
ユーザ
ID
シーケンス番号
r
乱数
R
h (R|P)
r
シーケンス番号
r
-1
ハッシ
ュ関
数処
理
×
r
-1
回
h (R|P)
r
-1
h (R|P)
r
-1
シーケンス番号
r
-1
ハッシ
ュ関
数処
理
ハッシ
ュ値
確認処理
OK
NG
h (R|P)
’
r
サーバ
クライ
アント