医療情報ネットワーク 担当: 木内貴弘(東京大学医学部附属病院中央医療情報部) 今日の講義の概要 1.インターネットについての一般的な知識 2.ネットワークセキュリティの基礎知識 3.実例紹介 - UMINとMINCSの紹介 1.インターネットについての一般的な知識 インターネットの歴史 1969年 (米)ARPANETの構築 1983年 (米)ARPANETがTCP/IPの採用を決定 1986年 (米)全米科学財団がNSFネットを構築 (米)商用プロバイダサービス開始 1992年 (日)学術情報センターがSINETを構築 (日)商用プロバイダサービス開始 1993年 NCSA MOSAICリリース(WWW) 1.インターネットについての一般的な知識 ARPAネット 目的: 遠隔地にコンピュータの利用 ファイル転送 対障害性の強いことを要求 =>デジタルパケット通信 パケットのリレー 1.インターネットについての一般的な知識 パケット通信(1) デジタルデータは、0と1の列 「UMIN」のという文字の表記 16進法表記 2進法表記 55-4d-49-4e 01010101-01001101-01001001-01001110 デジタルデータを分割して送信する 受信したパケットを再構成する 1.インターネットについての一般的な知識 パケット通信(2) メリット 1) 対障害性 通信が途中で妨害されてもパケットが別の経路から届く 2) 回線容量の有効利用<->帯域保証を犠牲 回線交換方式 パケット交換方式 1.インターネットについての一般的な知識 TCP/IPプロトコール(1) IPプロトコール (Internet Protocol) パケット通信の規定 TCPプロトコール パケット通信を利用した通信の規定 (Transmission Control Protocol) UDPプロトコール パケット通信を利用した通信の規定 (User Datagram Protocol) 1.インターネットについての一般的な知識 TCP/IPプロトコール(2) IPパケットフォーマット 4バイト=32ビット バージョン パケットの長さ TTL チェックサム 発信元IPアドレス 着信先IPアドレス データ データ データ 1.インターネットについての一般的な知識 TCP/IPプロトコール(3) DNS name : pc.h.u-tokyo.ac.jp IP address : 130.69.109.32 Netmask : 255.255.255.0 (Network address : 130.69.109.0) Broadcast address : 130.69.109.255 Default gateway : 130.69.109.1 1.インターネットについての一般的な知識 TCP/IPプロトコール(4) TCPプロトコール セッションの管理 パケットの分解と合成 =>パケットのやりとりをあたかも 実際がつながっているようにみせる 1.インターネットについての一般的な知識 DNS pc.hcc.h.u-tokyo.ac.jp Name server 130.69.254.252 130.69.109.32 www.umin.ac.jp 130.69.92.40 1.インターネットについての一般的な知識 WWW(1) URL(Uniform Resource Locator) http://www.umin.ac.jp/index.htm ftp://www.umin.ac.jp/file.txt 1.インターネットについての一般的な知識 WWW(2) リクエスト レスポンス WWWブラウザ WWWサーバ 1.インターネットについての一般的な知識 WWW(3) リクエスト GET http://www.umin.ac.jp/index.htm HTTP/1.0 User-Agent: Mozilla/1.1I [ja] (Windows; I; 32bit) Accept: */* Accept: image/gif Accept: image/x-xbitmap Accept: image/jpeg 1.インターネットについての一般的な知識 WWW(4) レスポンス HTTP/1.0 200 OK Content-Type: text/html Content-Length: 343 <TITLE>Sample</TITLE> <H1>Welcome!</H1><HR> This document is prepared as <STRONG>a sample document </STRONG> for my doctor thesis. <HR> 1.インターネットについての一般的な知識 WWW(5) 2.ネットワークセキュリティの基礎知識 概要 1.IDとパスワードの取り扱い 2.暗号と認証技術 オープンな通信回線で安全に通信する ソフトウエア技術 2.ネットワークセキュリティの基礎知識 IDとパスワード 一般利用者としてネットワークサービスを利用する場合に パスワードの取り扱いがもっとも重要 1. 人にアカウントを貸さない 2.パスワードを書き留めない 3.ログインしたら必ずログアウトする 4.パスワードは注意深く作成し、時々変更する a.自分の家族やペットの名前をつけない b.住所や電話番号、誕生日等の数字を使用しない c.辞書に載っているような単語を使用しない よいパスワードの作り方 大文字、小文字、数字をまぜる 英語の文から作成する 例: “I wanna go back Hakata.” -> iWn5b8Kt 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 インターネット上での安全な通信 - 暗号化・認証技術 1.情報が第3者に知られない 2.情報が途中で改竄されない 3.相手方が本当に通信したい相手なのか確認できる 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 基礎技術-対称鍵暗号システム 概念 暗号化と復号に同じ鍵を使用する暗号方 式 特徴 処理が比較的速い 双方が共通の鍵を予め持っておく必要が ある 代表的な実例 DES、IDEA 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 基礎技術-非対称鍵暗号システム(1) 概念 暗号化と復号に異なった鍵を使用する暗号方式 公開鍵で暗号化して、秘密鍵で復号 秘密鍵で暗号化して、公開鍵で復号 特徴 処理が遅い 公開鍵を相手に通知しておけば通信可能 代表的な実例 RSA 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 基礎技術-非対称鍵暗号システム(2) 1.Aの公開鍵でBがデータを暗号化 Bの秘密鍵を持っている人(即ちB)しか復号で きない 2.Aの秘密鍵でAがデータを暗号化 Aの公開鍵で相手が復号して意味のあるデータ が復元されれば、Aの秘密鍵を持っている人(即 ちA)が送ったものと確認できる 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 基礎技術-1方向ハッシュ関数 概念 任意の大きさの整数Xに対して、一 定の大きさ以下の整数Yを返す関 数で、Yの値からXが推測できない ようなもの 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 安全な通信システムの構築 ー ステップ1 Aは、Bの公開鍵で情報を暗号化してBに送る Bは、その情報をB自身の秘密鍵で復号する 問題点: Aが本当にAだという証拠がない 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 安全な通信システムの構築 ー ステップ2 Aは、自分の名前を自分の秘密鍵で暗号化 して、同時に通信する。 Bは、Aの公開鍵でAの名前を復号化する。 復号できれば、Aが送ったものと考える。 問題点: 内容が改竄されている可能性がある 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 安全な通信システムの構築 ー ステップ3 Aは、情報と自分の名前をあわせたものから、1方 向ハッシュ関数でダイジェスト値をとる。この値と自 分の名前をAの秘密鍵で暗号化する。 Bは、Aの公開鍵でAの名前とダイジェスト値を復 号化する。Bは、復号化した情報と名前からもう一 度ダイジェスト値を計算して、一致しているか確認 する。 問題点: お互いの公開鍵が本物という保証がない 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 安全な通信システムの構築 ー ステップ4 公開鍵証明書 公開鍵認証局は、Aの公開鍵と自分の名前をあわせたものか ら、1方向ハッシュ関数でダイジェスト値をとる。この値と自分の 名前を公開鍵認証局の秘密鍵で暗号化する。 公開鍵証明書の認証 ある人が、Aの公開鍵証明書が本物であるか確かめたい場合 には、公開鍵認証局の公開鍵を使って、公開鍵証明書を復号し て、ダイジェストと公開鍵認証局の名称をチェックすればよい。 問題点: 公開鍵認証局の公開鍵をどのように配布するか。 非対称鍵暗号は、処理が遅い。 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 安全な通信システムの構築 ー ステップ4 公開鍵証明書 公開鍵認証局は、Aの公開鍵と自分の名前をあわせたものから、 1方向ハッシュ関数でダイジェスト値をとる。この値と自分の名前 を公開鍵認証局の秘密鍵で暗号化する。 公開鍵証明書の認証 ある人が、Aの公開鍵証明書が本物であるか確かめたい場合に は、公開鍵認証局の公開鍵を使って、公開鍵証明書を復号して、 ダイジェストと公開鍵認証局の名称をチェックすればよい。 問題点: 公開鍵認証局の公開鍵をどのように配布するか。 非対称鍵暗号は、処理が遅い。 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 安全な通信システムの構築 ー ステップ5 公開鍵認証局の公開鍵をどのように配布するか 各クライアントに安全に配布する方法は確立していない 非対称鍵暗号は、処理が遅い 非対称鍵暗号は、対称鍵暗号の鍵の交換に使用して、データ 通信は、乱数の対称鍵暗号を用いて行う 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 WWWにおける応用例 SSLプロトコール 公開鍵暗号・秘密鍵暗号・一方向ハッシュ関数を 組み合わせてストリームを暗号化するもの サーバ側を認証 サーバ側の公開鍵証明書のみでよい クライアント側の認証 クライアント(個人)の公開鍵証明書が必要 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 電子メールにおける応用例 PEM(Privacy Enhance Mail) PGP(Pretty Good Privacy) 公開鍵暗号・秘密鍵暗号・一方向ハッシュ関数を 組み合わせてファイルを暗号化するもの 受け手・送り手も認証を原則 両方の公開鍵証明書が必要 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 暗号の安全性 (1) 攻撃方法 1)差分法など暗号の弱点を利用した方法 2)総当たり法(ブルート・フォース攻撃) 長く実績にある暗号については、1)の攻撃は困難 たとえ可能であっても高度な技術と資金が必要 2)の攻撃は知識はいらないが時間と資金が必要 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 暗号の安全性 (2) 暗号鍵の長さと安全性 総当たり法の場合に重要 1億円のコンピュータで総当たりした場合の所要時間 (10年で処理速度が100倍になると仮定) 1995年 40bit 0. 2秒 2030年 0.02μ秒 64bit 38日 0.3秒 128bit 1018年 1011年 2.ネットワークセキュリティの基礎知識 暗号と認証技術の利用 暗号の安全性 (3) ・国家レベルの組織でなければ暗号解読は困難 ・暗号を解読よりも鍵を盗まれる危険性が重要
© Copyright 2024 ExpyDoc