メインメニュー第18回メニュー > 問題と解説
  

第18回J検2級 コンピュータシステム 問題5

問題5 次のネットワークにおけるユーザ認証に関する記述について設問に答えよ。
 
 公衆のネットワークを利用して,企業の社内ネットワークにあるサーバにアクセスする場合などには,正当な利用者であることを確認するユーザ認証が必要になる。
 ユーザ認証としては,パスワードを使う方法が一般的であるが,センター側が利用者からの接続を一度切り,かけ直す[ (1) ]を使う方法や公開かぎ暗号方式を利用した[ (2) ]を使う方法などもある。
 パスワードを使ったユーザ認証の例として,ダイヤルアツプ接続用に作られたWAN回線用のプロトコルであるPPP(Point to Point Protocol)のPAP認証とCHAP認証がある。図1に示すように,営業担当者が自宅や出先からISDNやPHSなどを利用して社内LANの業務サーバにアクセスする場合を考えてみることにする。  

 
 この場合,社内LANと公衆ネットワークの間にアクセスサーバが必要であり,このアクセスサーバが公衆ネットワークからのPPP接続要求があったときに,PAPやCHAPを使いユーザの認証をする。
 PAP認証では,利用者が事前に登録しておいたユーザIDとパスワードを送り,アクセスサーバがaこのパスワードとパスワードファイルから読み出したユーザIDに対応する暗号化されたパスワードを照合することで利用者を認証する。しかし,この方法では,パスワードがネットワーク上をそのまま現れるため,パスワードを盗聴された場合,業務サーバがなりすましにより不正アクセスされる可能性が残る。
 CHAP認証は,チャレンジ/レスポンス方式を使ったユーザ認証方式であり,次の手順をとる。(図2参照)
 
手順 :利用者(クライアント)はユーザIDを送信する。
手順 :アクセスサーバは,ランダムにチャレンジコードを生成する。
手順 :チャレンジコードをクライアントに送信する。
手順 :クライアントは自分のパスワードと受信したチャレンジコードを結合したものを暗号化して,レスポンスコードを生成する。
手順 :クライアントはレスポンスコードを送信する。
手順 :アクセスサーバは,利用者のパスワードとチャレンジコードを結合し,暗号化したものと受信したレスポンスコードとを照合する。
手順 :認証結果をクライアントへ送信する。
 

 
 CHAP認証ではパスワードがネットワーク上をそのまま流れないため,盗聴されても安全であるという面でPAP認証よりもセキュリティが強力であるが,クライアント側のパスワードが解読されたり,盗み見られたりする場合や,アクセスサーバ側のパスワードファイルが不正アクセスされた場合には,PAP認証と同様の問題が残る。
 このようなパスワード認証の問題点を解決する方法として,最近では毎回使用するパスワードを変化させるbワンタイムパスワードと呼ばれる方法も使われるようになってきている。
 
 
<設問1> 記述中の[  ]に入れるべき適切な字句を解答群から選べ。
 
(1),(2)の解答群
ア.ファイアウォール イ.コールバック
ウ.バイオメトリクス エ.ディジタル署名
オ.ICカード カ.IDS
 
 
 
<設問2> 下線部aについて,ユーザIDに対応するパスワードは通常ハッシュ関数という一方向関数により暗号化されている。
 この一方向関数の特徴は,データのハッシュ化(暗号化)はできるが,暗号化した値から元のデータを復号できないところである。
 このハッシュ関数をfとすると,f(data)はdataをハッシュ化(暗号化)した値を意味する。
 受信したパスワードをX,パスワードファイルから読み出したIDに対応する暗号化されたパスワードをYとした場合,アクセスサーバではどのように認証するかを(3)の解答群から選べ。
 
(3)の解答群
ア.XとYが等しいかを比較すろことで認証する
イ.f(X)とYが等しいかを比較することで認証する
ウ.f(X)とf(Y)が等しいかを比較することで認証する
エ.Xとf(Y)が等しいかを比較することで認証する
 
 
<設問3> CHAP認証において,PPP接続要求があったときに,アクセスサーバはどのような理由でクライアントが正当な利用者であることが確認できるか。(4)の解答群から選べ。
 
(4)の解答群
ア.正しいチャレンジコードの生成をアクセスサーバだけが行えること
イ.正しいレスポンスコードの生成を正当なクライアントだけが行えること
ウ.正しいチャレンジコードを正当なクライアントだけが受信できること
エ.正しいレスポンスコードをアクセスサーバだけが受信できること
 
 
<設問4> 下線部bについて,ソフトウェアによるワンタイムパスワードの方法として,S/Keyワンタイムパスワードがある。この方式を説明している次の文の[  ]に入るべき適切な字句を(5)の解答群から選べ。
 
[説明文]
 S/Keyワンタイムパスワードは,チャレンジ/レスポンス方式を応用したものであり,ユーザ(クライアント)から最初の認証要求を受けた認証サーバ(サーバ)は,チャレンジコードを生成しユーザヘ送る。チャレンジコードにはシード(パスワードの元になる文字列)とシーケンス番号(ハッシュする回数)が含まれている。
 チャレンジコードを受け取ったユーザは,自身が持っているパスフレーズ(一種のパスワード)とシードを連結し,それをシーケンス番号の数だけ一方向関数(f)でハッシュ化する。これがワンタイムパスワードとなりサーバへ送り認証してもらう。2回目以降の認証では,自動的に[ (5) ]する仕組みになっているためにワンタイムパスワードは毎回変わることになる。  サーバには,ユーザの前回のワンタイムパスワード(OP)が保存されており,受け取ったワンタイムパスワード(NP)との関係がf(NP)=OPとなることを確認することでユーザを認証する。
 
(5)の解答群
ア.シーケンス番号が1ずつ増加
イ.シーケンス番号が1ずつ減少
ウ.シーケンス番号がランダムに変化
エ.パスフレーズがランダムに変化
 
 
メニューに戻る
 
Certain right called neighbouring on copyright kimura-kouichi