情報セキュリティ技術 - (3) 識別認証技術

• ユーザー名を尋ね、ユーザー名を入力すると、この人物がシステム内の人物であることがわかります。これが識別情報となります。
• システム内の本人であることを確認し、パスワードを使用して認証します。入力したパスワードがシステム内のパスワードと一致することが判明した場合、システムへの入力は認証となります。
• 識別認証技術は簡単に言えば、完全な応答システムです。
• モノのインターネットと車両のインターネットの時代では、識別および認証技術が新たな変化を遂げ、場所によってはパスワードが不要になります。たとえば、車でガレージに入るときにユーザー名、パスワード、確認コードを入力することはできません。

1.ロゴのコンセプト

1.1 コンセプト

• アイデンティティとは、エンティティのデジタル参照を指します。エンティティはビジネス オペレーション オブジェクトまたはビジネス オペレーション イニシエーターのいずれかになります。つまり、エンティティにはオブジェクトとサブジェクトが含まれます。
  • 主体は積極的に訪れる人や物です。
  • オブジェクトはアクセスされるものです。
  • プログラムがあなたの銀行口座にアクセスしたい場合、そのプログラムはエンティティです。
• 性質、カテゴリ、形態が異なるエンティティには異なる識別が必要となるため、情報セキュリティ関連エンティティの識別システムを確立することは、情報セキュリティ システムを構築するための基本的なタスクの 1 つです。
  • たとえば、新入生入学時の学籍番号は、技術的な識別作業です。
• ID 認証、アクセス制御、監査技術、ネットワーク プロトコルなどはすべて、識別を使用してプログラム、デバイス、ネットワーク、ユーザー、リソースなどを識別し、対応する操作を実行する必要があります。ネットワーク セキュリティ保護では、その検出を示す必要があります。フィルタリングまたはファイアウォール システムでの悪意のあるコンテンツの防止。ホストまたはネットワーク、特定の種類のネットワーク接続もブロックしたい場合があるため、ホスト、ネットワーク、および接続識別子を使用する必要があります。
  • そうしないと、どのホストからの接続をブロックすればよいのかわかりません。

1.2 分類

1.システムエンティティの識別

• システムリソース識別：メモリアドレスなど
• ユーザー、グループ、ロールの識別: Windows にログインしているアカウント、さまざまなグループ、管理者ロール、Windows アカウントのスーパー ユーザー ロールなど
• 電子証明書のロゴ: たとえば、オンライン バンキングには電子証明書のロゴがあり、Alipay には電子証明書のロゴがあり、電子証明書が使用できることを示します。

2.ネットワークエンティティの識別

• ホスト、ネットワーク、接続識別: Baidu との現在の接続ステータスなど
• ネットワークリソース識別子
• 接続とその状態の識別

2. パスワードとチャレンジレスポンス技術

2.1 コンセプト

• 被認証者（請求者）は、何かを知っていると主張することで認証を得ることができますが、その「何か」とは一般にパスワードや関連する質問への回答などであり、これに対応する本人確認技術をパスワードまたはチャレンジレスポンス認証技術と呼びます。

2.2 直面するセキュリティ上の脅威

• 外部漏洩：自分自身でパスワードを漏洩し、アカウントが盗まれる
• パスワード推測: サイドチャネル攻撃などのパスワードの推測
• 回線盗聴：パスワード検証とチャレンジレスポンスに特化したサーバー通信パケットの盗聴、通信パケットの復号、全員のパスワードの解読（NetEaseメールボックス全体の漏洩など）
• リプレイ攻撃-> NRV (非反復値): 誰かが Alipay にログインすると、データ パケットを傍受し、そのパケットの 1 つがユーザー名とパスワードの送信に使用されていると分析します。アカウントの場合、再利用を避けるためにタイムスタンプを追加する必要があります
• 検証者への攻撃: パスワードの解読が難しい場合は、サーバーを直接攻撃します。
  • サーバーを爆破するとは、サーバーを奪う、つまり辞書を使って総当たりで相手のサーバーのパスワードを聞き出し、
    他人のサーバーに侵入できるようにすることを指すため、爆破サーバーと呼ばれています。

2.3 従来のパスワード方式

1. パスワードスキーム 1

• 検証者への攻撃を防ぐために、q は元のパスワードではなく、ゲート制限された単一関数を元に戻すことはできません。
• 回線盗聴を防ぐことができない
  
• リプレイ攻撃から保護できない
  

2. パスワードスキーム 2

• 1. 検証者への攻撃を防ぐことができる
  2. 回線の盗聴を防ぐことができる、何を聞いているかは q'
  3. リプレイ攻撃を防ぐことができない
  

3. パスワード ソリューション 3: Alipay や Taobao を含む最新の PC ログイン システム認証方法

3. 非公開鍵オンライン認証技術

パスワードには対称パスワードと非対称パスワードがあり、認証には対称パスワード認証技術と非対称パスワード認証技術があり、公開鍵オンライン認証技術と非公開鍵オンライン認証技術と呼ばれます。

3.1 コンセプト

• 従来、対称キーは検証者と要求者の間で共有され、キーの存在は何らかの対話を通じて検証されます。
  
• ただし、大規模なネットワーク環境では、対称キー認証を使用すると、検証者と要求者がそれぞれキーを共有する必要があるため、各検証者は大量のキーを保存する必要があり、これを「キー爆発」と呼びます。
• したがって、大規模なネットワーク環境では、認証システムに信頼できるオンライン認証サーバーをセットアップすることができ、検証者と要求者は自分のキーのみを保存しますが、サーバーはすべてのユーザーのキーを保持します。

3.2 検証者がサーバーに接続する

• 申請者は、リプレイ攻撃に対抗するための NRV を含む独自の鍵でメッセージを暗号化し、暗号化結果を検証者に送信します。検証者は申請者の鍵を持っていないため、直接認証を完了することはできませんが、検証者はサーバーに要求することができます。彼にサービスを提供するために、サーバーは検証者とキーを共有するため、安全な通信が確立され、サーバーは検証を実行できるように要求者のキーも保存します。
• 共有キーを使用して、申請者はまず認証サーバーと安全に通信して、一般にライセンスと呼ばれる同様のデータを取得し、検証者にライセンスを発行し、検証者は認証サーバーと共有されたキーを使用してライセンスを検証します。

4. 公開鍵認証技術

• 公開鍵暗号に基づく認証はオンラインサーバーを必要としません
• デジタル証明書と秘密キーは、要求者であるオフライン サーバーによって発行されます。デジタル証明書には、要求者の秘密キーに対応する公開キーと識別情報、およびサーバーのデジタル署名が含まれています。このようにして、ファイルの信頼性と完全性が保証されます。データファイルは保護されています。
• 検証中、検証者はまずパブリック チャネルまたは申請者からデジタル証明書を取得し、次にオフライン サーバーの署名を検証することによって証明書の信頼性と完全性を検証し、次に申請者が送信または応答した証明書を申請者経由で検証します。公開鍵 データの有効性 これらのデータは申請者の秘密鍵によって処理されているため、対応する公開鍵のみを使用してデータの正当性を検証できます。検証が成功した場合、申請者が対応する秘密鍵。
• 双方向認証と三方向認証
  

5.PKI技術

5.1 コンセプト

PKI は公開キー インフラストラクチャであり、ネットワーク セキュリティの問題を解決するために公開キー暗号化テクノロジを使用して構築された、普遍的に適用可能なインフラストラクチャです。

5.2PKI構成