II-19-7. BtoB型の認証構造

BtoB型の認証構造を構築し、PKIの仕組みを検証する。具体的な手順として、相互認証する相手認証局に対して相互認証証明書を相互に発行することで、サーバ間の相互認証を行う仕組みについて解説する。

【学習の要点】

* BtoB型の認証構造は、相互認証モデルと呼ばれる認証構造をもつ。

* 相互認証はお互いのCA局について相互認証証明書(X-Cert)を発行して、信頼モデルを構築する。

* 相互認証を行うときに重要なのは、利用者が安全に信頼ポイントまでの認証パスを構築することである。

図II-19-7. BtoB型の認証構造

 

【解説】

1) BtoB型の認証構造
BtoB型の認証構造は相互認証モデルと呼ばれる認証構造をもつ。

* 相互認証には大きく分けて次の二種類がある。

- 階層型
相互証明書の発行方向は一方向である。階層型相互認証の下階層に位置するCAを中間CAと呼ぶことがある。

- 並列型
相互証明書の発行方向は双方向である。

* 並列型相互認証は認証ドメインの役割に応じて更に次の二種類の構造に分けられる。

- メッシュ型ドメイン

- ブリッジ型ドメイン

* 相互認証において発行される証明書を相互証明書という。

* 相互認証を行うためには、当該の二つのCAが共通に信頼できる認証ポイントが必要であるか、証明書要求の発信元を確認するなんらかの手段である。

2) 相互証明書(X-Cert)

* 相互証明書は同一認証ドメインであるかどうかによって次の二種類に分かれる。

- ドメイン間相互証明書

- ドメイン内相互証明書

* 各CAが持つのは相手が署名した相互証明書と自己署名証明書である。

* 相互証明書のsubjectには認証されたCAの名前が入り、isuuerには認証したCAの名前が入る。

3) 認証パスの構築とポリシーの検証
相互認証を行うときに重要なのは、利用者が安全に信頼ポイントまでの認証パスを構築することである。

* 認証パスを構築するには、鍵や証明書のライフサイクルが万全なCAを信頼ポイントとしなければならない。

* CA間の相互認証においては、各CAポリシー同士のマッピングが十分であることが必要である。このポリシーマッピングが各CA間で同等に行われるかどうかという検証が、ポリシー検証である。

* ポリシーマッピングの状況は、CA証明書のPolicyMapping拡張領域に記述される。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。

フォーラム会員企業専用

記事配信

コンテンツ配信

ユーザログイン