【認証・アクセスコントロールー認証システム】平成22年秋基本情報技術者試験午後問4

　情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「認証・アクセスコントロール」の「認証システム」を取り上げた「平成22年秋基本情報技術者試験午後問4」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成22年秋基本情報技術者試験午後問4

問４　認証システムに関する次の記述を読んで、設問に答えよ。

　複数のクライアントと複数のアプリケーションサーバ（以下、APサーバという）が接続されているネットワークにおいて、単純な認証システムを利用する場合について、ここでは二つの問題点を取り上げる。

　①利用者は、使用するクライアントから各APサーバにログインするごとに、利用者IDとパスワードの入力操作を行わなければならない。

　②クライアントとAPサーバとの間の通信データの横取りと偽造によって、APサーバのサービスが不正に利用される可能性がある。

　ここで、これらの問題を改善するための認証システム（以下、新認証システムという）を考える。

　なお、ここでは、これらの問題に直接関連しない仕様については、その記述を省略する。

〔新認証システムによる問題点の解消〕

　問題点①に対しては、利用者が一度、利用者IDとパスワードをクライアントに入力して認証を受ければ、そのクライアントと各APサーバ間での認証は、利用者を介さないで済むように改善する。

　このために、チケットと呼ぶ認証データを用いる。チケットは、クライアントに対して発行され、そのクライアントは、APサーバの認証を得るとき、発行されたチケットをAPサーバに送信する。

　問題点②に対しては、APサーバに送信されたチケットが、チケットの発行を受けたクライアントから送られてきたものであることを、APサーバが確認できるよう、チケットとは別に認証子と呼ぶ認証データを用いる。

　図１に新認証システムの構成を示す。

〔新認証システムの構成と方式についての説明〕

（1）新認証システムでは、共通鍵暗号方式によって、通信データを暗号化する。以下、共通鍵を鍵という。

（2）認証サイトは、認証サーバ、鍵データベース及びチケット発行サーバで構成する。

（3）チケット発行サーバの鍵は、チケット発行サーバ自体と鍵データベースに登録されている。

（4）各APサーバの鍵は、それぞれのAPサーバ自体と鍵データベースに登録されている。

（5）利用者の鍵は、利用者のパスワードから計算して求められ、鍵データベースに登録されている。クライアントには、利用者が入力したパスワードから計算した鍵が、利用者がクライアントの利用を終了するまで、一時的に保持される。

〔認証のための通信の例〕

　図２は、利用者が、クライアントCから目的のAPサーバSにアクセスする場合の認証の流れを示す。

　認証は、次の3段階で行われる。ここで、enc（x）は、xを暗号化したものを表す。

　第1段階は、クライアントCがチケット発行サーバTにチケットを要求するためのチケット（以下、チケット発行サーバT用チケットという）の認証サーバAへの要求（図2中の通信①）と、その発行（図2中の通信②）である。

　通信①では、クライアントCは、次のデータを認証サーバAに送信する。

　通信②では、認証サーバAは、次のデータをクライアントCに応答する。