Infineon Security Platform ソリューション
クライアント認証
つい最近まで、コンピュータ ネットワークでは、アカウント情報を集中管理されたデータベースに登録して、ユーザー、ユーザー権限、アクセス権限の管理を行っていました。このような集中管理方式は小規模なネットワークでは簡単かつ効率的ですが、ユーザー数が数千人を越える今日の大規模なネットワークでは、データベースやユーザーの管理が極めて困難になります。集中管理方式の問題点として、ネットワークを介してユーザー アカウントをデータベースと照合する必要があること、膨大なユーザーのリストを管理する必要があることなどが挙げられます。また、インターネットの普及によって、企業のコンピュータ ネットワークは外部ハッカーのアタックを受けやすくなっています。
証明書の使用
公開キー証明書を使用すると、大規模なネットワーク内の数多くのユーザーの管理が簡素化されると同時に、ユーザー ID やパスワードに対するアタックを受け難くなります。公開キー証明書は様々な認証局 (CA) が幅広く配布しており、中央のデータベースを参照しなくても証明書の正当性を確認できる仕組みになっています。
証明書を使用する目的は、Web 環境においてクライアントとサーバ間で認証を行うこと、クライアントとサーバ間の通信の安全性を保証することです。サーバは自身の身元を明示するサーバ証明書をクライアントに提示するため、クライアントはサーバの正当性を確認 (認証) することができます。信頼できる認証局 (CA) が発行するサーバ証明書を持つサーバ (Web サイト) にアクセスするときは、証明書によって明示される個人または組織が実際にそのサーバを運行していることが保証されます。同様に、サーバはクライアント証明書を通じてクライアント (ユーザー) の身元を確認することができます。ユーザーが Web サイトにアクセスしてクライアント証明書を提示すると、サーバはその証明書に基づいてユーザーを認証します。サーバの認証に使用される証明書はサーバ証明書と呼ばれ、サーバの身元を実際に確認するプロセスはサーバ認証と呼ばれます。また、クライアントの認証に使用される証明書はクライアント証明書と呼ばれ、クライアントの身元を実際に確認するプロセスはクライアント認証と呼ばれます。
たとえば、Web サーバ上の特定のデータやサービスにアクセスする権限を特定のユーザー (クライアント) だけに与える場合は、安全な接続 (SSL など) の確立時にクライアント証明書の提示を要求します。
サーバ認証はデータの安全な伝送を保証しますが、クライアント認証はデータ伝送を含むオンライン処理時のセキュリティを強化します。
証明書とユーザー アカウント間の関連付け (マッピング)
公開キー技術を利用すると、大規模ネットワークのセキュリティに関連する数多くの問題を解決することができます。公開キー技術では、証明書を通じて所有者の身元を確認し、ユーザー アカウントとアクセス権限を記載した長いリストや大規模なデータベースを使用することなく所有者の認証を行います。
しかしながら、既存の一般的なオペレーティング システムや管理ツールには、ユーザー アカウントを取り扱う機能しかなく、証明書の使用はサポートされません。証明書とユーザー アカウントの両方の利点を維持する最も簡単な方法は、証明書とユーザー アカウント間に関連付け (マッピング) を定義することです。このようなマッピングを定義すると、オペレーティング システム上で従来通りアカウントを使用しながら、証明書を通じて認証を行えるようになります。
このモデルでは、ユーザー (クライアント) 宛に発行された証明書が、ネットワーク上の当該ユーザーのアカウントにマッピングされます。ユーザーが証明書を提示すると、システムがマッピング情報を参照し、どのユーザー アカウントがログオンすべきか判断します。
このオンライン ヘルプでは、認証に関する様々なアプローチを説明します。たとえば、Active Directory サービスとインターネット インフォメーション サービス (IIS) をクライアント認証向けに構成する方法や、Internet Explorer を使ってクライアント認証を行う方法などを紹介します。
Mozilla Firefox の PKCS #11 環境におけるユーザー証明書のマッピングとクライアント認証についても説明します。
©Infineon
Technologies AG