| Oracle Database Advanced Security管理者ガイド 11g リリース1(11.1) E05729-02 |
|
 戻る |
 次へ |
Advanced Encryption Standard(AES)は、DESに代わるものとして米国商務省国立標準技術研究所(NIST)によって承認された新しい暗号化アルゴリズムである。AES規格は、米国連邦情報処理標準(FIPS)刊行物197で入手できる。AESアルゴリズムは、128、192および256ビット長の暗号鍵を使用して、128ビットのデータ・ブロックを処理できる対称型ブロック暗号である。
CRL配布ポイント(CRL Distribution Point)
(CRL DP)X.509バージョン3証明書標準で指定されるオプションの拡張子。証明書の失効情報が格納される区分CRLの位置を示す。通常、この拡張子の値はURLの形式である。CRL DPによって、1つの認証局ドメイン内の失効情報を複数のCRLに書き込むことができる。CRL DPによって、失効情報はより管理しやすい断片に細分され、CRLが膨大に増加するのを防ぐことができるため、パフォーマンスが向上する。たとえば、証明書にCRL DPを指定し、証明書の失効情報をダウンロードできるWebサーバー上のファイルを指し示すことができる。
Diffie-Hellman鍵交換アルゴリズム(Diffie-Hellman key negotiation algorithm)
このアルゴリズムを使用すると、非保護チャネルで通信を行う二者間で、関係者のみが認識する乱数を作成できる。関係者は、Diffie-Hellman鍵交換アルゴリズムの実行中は非保護チャネルで情報を交換できるが、攻撃者がネットワーク通信を分析し、関係者が合意した乱数を推定するのはほぼ不可能である。Oracle Advanced Securityでは、セッション鍵の生成にDiffie-Hellman鍵交換アルゴリズムが使用されている。
Hypertext Transfer Protocol。WWWでファイル(テキスト、グラフィック・イメージ、サウンド、ビデオおよび他のマルチメディア・ファイル)を交換する際の規則セット。TCP/IPプロトコルがインターネットでの情報交換の基礎的なプロトコルであるのに対して、HTTPはアプリケーション・プロトコルである。
Javaコード不明瞭化(java code obfuscation)
Javaコード不明瞭化は、Javaプログラムをリバース・エンジニアリングから保護するために使用する。特別なプログラム(不明瞭化プログラム)を使用して、コード内のJavaシンボルをスクランブルする。 これにより、元のプログラムの構造は変えずに、その内容を隠すためにクラス、メソッドおよび変数の名前のみを変更して、プログラムが正しく実行されるようにしている。不明瞭化されていないJavaコードをデコンパイルして読み取ることは可能だが、不明瞭化されたJavaコードは、米国政府の輸出規制を満たすために、デコンパイルが困難になっている。
Key Distribution Center。KDCは、Kerberos認証でユーザー・プリンシパルのリストを管理する。ユーザーはkinit(okinitはOracleバージョン)プログラムを実行してKDCとコンタクトをとり、初期チケットを取得する。KDCとチケット認可サービスが同じエンティティに統合され、単にKDCと呼ばれる場合も多い。チケット認可サービスはサービス・プリンシパルのリストを管理する。チケット認可サービスなどを提供するサーバーにユーザーが自己認証するときに、チケット認可サービスとコンタクトをとる。KDCは、安全なホスト上で実行される必要のある信頼できるサード・パーティで、チケット認可チケットおよびサービス・チケットを作成する。
分散環境のセキュリティ強化を図るためにマサチューセッツ工科大学でのAthenaプロジェクトで開発されたネットワーク認証サービス。Kerberosは共有シークレットに依存し、サード・パーティの安全性を前提とした信頼度の高いサード・パーティ認証システムである。Kerberosには、シングル・サインオン機能とデータベース・リンク認証機能(MIT Kerberosのみ)があり、パスワードを集中的に保管できるため、PCのセキュリティを向上できる。
次のようなディレクトリ・サーバー・アクセス情報が含まれたファイル。Oracle Net Configuration Assistantによって作成される。
ディレクトリ・サーバーの種類
ディレクトリ・サーバーの位置
デフォルトのアイデンティティ管理レルムあるいはクライアントまたはサーバーが使用するOracleコンテキスト(ポートを含む)
Lightweight Directory Access Protocol(LDAP)
標準的で拡張可能なディレクトリ・アクセス・プロトコル。LDAPクライアントとサーバーが通信で使用する共通言語。Oracle Internet Directoryなどの業界標準のディレクトリ製品をサポートしている設計規則に関するフレームワークである。
listener.oraファイル(listener.ora file)
次のものを識別するリスナーの構成ファイル。
リスナー名
接続要求を受け入れるプロトコル・アドレス
リスニングの対象となるサービス
通常、listener.oraファイルは、UNIXプラットフォームでは$ORACLE_HOME/network/admin、WindowsではORACLE_BASE¥ORACLE_HOME¥network¥adminにある。
指定されたデータから128ビット暗号化メッセージ・ダイジェスト値を生成して、データの整合性を保証するアルゴリズム。データ内のわずか1ビットが変更された場合でも、データのMD5チェックサムが変更される。元のデータと同じ結果をMD5で生成するようにデータを偽造することはほぼ不可能である。
OracleサーバーまたはDesigner/2000などのOracleのツール製品を稼働する複数のコンピュータが、サード・パーティ・ネットワークを通じてデータを交換できるようにするOracle製品。Oracle Net Servicesは分散処理と分散データベース機能をサポートする。Oracle Net Servicesは、通信プロトコルに依存しないオープン・システムで、ユーザーは多くのネットワーク環境に対するインタフェースとしてOracle Netを使用できる。
LDAP準拠のインターネット・ディレクトリ内にあるcn=OracleContextというエントリ。このディレクトリには、Oracle Net Servicesディレクトリ・ネーミングおよびチェックサムのセキュリティのエントリなど、Oracleソフトウェア関連のすべての情報が格納されている。
1つのディレクトリに複数のOracleコンテキストを設定できる。通常、Oracleコンテキストは、アイデンティティ管理レルムに配置される。
Personal Computer Memory Card International Association(PCMCIA)規格に準拠したクレジット・カード・サイズの小さなコンピューティング・デバイス。このデバイスはPCカードとも呼ばれ、メモリーやモデムを追加したり、ハードウェア・セキュリティ・モジュールとして使用される。ハードウェア・セキュリティ・モジュールとして使用するPCMCIAカードには、公開鍵と秘密鍵のペアの秘密鍵構成要素が安全に格納される。また、暗号化処理を実行するものもある。
インターネット上での安全な電子メール通信を行うために、Internet Architecture Boardによって採用されたInternet Privacy-Enhanced Mailプロトコル規格。PEMプロトコルによって、暗号化、認証、メッセージの整合性および鍵管理が可能となる。PEMは、データ暗号化鍵を暗号化するために、対称型スキーマと公開鍵スキーマの両方を含む幅広い鍵管理アプローチと互換性を持つことを意図した包括的な規格である。PEMの仕様は、Internet Engineering Task Force(IETF)RFC 1421、1422、1423および1424で参照できる。
RSA Security, Inc.が定める公開鍵暗号化規格(PKCS)の仕様。証明書要求に使用する構文が記述されている。証明書要求は、証明書を要求するエンティティによって署名された識別名、公開鍵およびオプションの属性セットで構成される。このマニュアルでは、証明書の要求を「証明書要求」と呼ぶ。「証明書要求」を参照。
RSA Security, Inc.が定める公開鍵暗号化規格(PKCS)の仕様。暗号化情報を保持し暗号化処理を実行するデバイスのための、Cryptokiと呼ばれるApplication Programming Interface(API)が定義されている。「PCMCIAカード」を参照。
Remote Authentication Dial-In User Service(RADIUS)は、ダイヤルイン・ユーザーを認証して、要求されたシステムまたはサービスへのアクセスを許可するために、リモート・アクセス・サーバーが中央のサーバーと通信できるようにするクライアント・サーバー・プロトコルとソフトウェアである。
1. 「salt」は、一般に暗号化で、暗号化されたデータのセキュリティを強化する方法。saltは、暗号化の前にデータに付加されるランダムな文字列である。したがって、攻撃者にとっては、暗号文のパターンを既知の暗号文サンプルと照合してデータを盗むことが一段と困難になる。2. saltは、不正なハッカー(攻撃者)がパスワードを盗む際に使用する手段である辞書攻撃の回避にも使用される。その場合は、saltは暗号化する前のパスワードに付加される。これにより、攻撃者は暗号化されたパスワードのハッシュ値(ベリファイアとも呼ばれる)と、自分で作成した一般的なパスワードのハッシュ値の辞書リストを一致させることが困難になる。「辞書攻撃」を参照。
指定されたデータから160ビット暗号化メッセージ・ダイジェスト値を生成して、データの整合性を保証するアルゴリズム。データ内のわずか1ビットが変更された場合でも、データのSecure Hash Algorithmチェックサムが変更される。元のデータと同じ結果をSecure Hash Algorithmで生成するようにデータ・セットを偽造することはほぼ不可能である。
264ビット長未満のメッセージを扱い、160ビット・メッセージ・ダイジェストを作成するアルゴリズムである。SHAはMD5に比べて少し遅くなるが、長いメッセージ・ダイジェストを作成できるので、強引な衝突や反転攻撃をさらに効果的に防御できる。
sqlnet.oraファイル(sqlnet.ora file)
次のものを指定するクライアントまたはサーバーの構成ファイル。
修飾されていないサービス名またはネット・サービス名に付加されるクライアント・ドメイン
名前を解決するときにクライアントが使用する必要があるネーミング・メソッドの順序
使用するロギングおよびトレース機能
接続のルート
デフォルトのOracle Names Server
外部ネーミング・パラメータ
Oracle Advanced Securityパラメータ
通常、sqlnet.oraファイルは、UNIXプラットフォームでは$ORACLE_HOME/network/admin、WindowsプラットフォームではORACLE_BASE¥ORACLE_HOME¥network¥adminにある。
接続記述子が含まれているファイル。各接続記述子は、ネット・サービス名にマップされる。このファイルは、すべてまたは個々のクライアントが使用するために、中央またはローカルで保持できる。このファイルは通常、使用しているプラットフォームに応じて次の位置に常駐する。
(UNIXの場合)$ORACLE_HOME/network/admin
(Windowsの場合)ORACLE_BASE¥ORACLE_HOME¥network¥admin
Windows固有の認証(Windows native authentication)
クライアントが単一のログインで、Windowsサーバーとそのサーバーで実行しているデータベースにアクセスすることを可能にする認証方式。
アイデンティティ管理(identity management)
オンライン・エンティティまたはデジタル・エンティティの作成、管理および使用。アイデンティティ管理は、作成(デジタル識別情報の提供)から保守(電子的リソースへのアクセスに関する組織ポリシーの適用)、および最終的な廃棄に至るデジタル識別情報のライフ・サイクル全体の安全な管理を意味する。
アイデンティティ管理レルム(identity management realm)
Oracle Internet Directory内のサブツリー。Oracleコンテキストだけでなく、アクセス制御リストで保護されたユーザーとグループの追加サブツリーも含まれる。
アクセス制御リスト(Access Control List: ACL)
ユーザーが定義するアクセス・ディレクティブのグループ。このディレクティブは、特定のクライアントまたはクライアントのグループ(あるいはその両方)の特定のデータに対するアクセス・レベルの権限を付与する。
暗号化アルゴリズムを使用して暗号化されたテキスト。暗号化プロセスの出力ストリーム。最初に復号化しないかぎり、そのままでは読取りまたは解読できない。暗号文とも呼ばれる。暗号化テキストは、最終的には平文になる。
ネットワークのノード間でメッセージ交換するのに使用する認証、暗号化、データ整合性アルゴリズムのセット。たとえば、SSLハンドシェイク時に、2つのノード間で折衝し、メッセージを送受信するときに使用する暗号スイートを確認する。
暗号ブロック連鎖(Cipher Block Chaining: CBC)
暗号化方式の1つ。先行するすべてのブロックに基づいて暗号ブロックを暗号化し、ブロック再生攻撃からデータを保護する。許可されていない復号化が段階的に困難になるように設計されている。Oracle Advanced Securityでは、外部暗号ブロック連鎖が使用されている。これは、内部暗号ブロックより安全性が高く、実質的なパフォーマンスの低下を伴わないためである。
実行中のすべてのOracle Databaseは、Oracleインスタンスに関連付けられている。データベースがデータベース・サーバーで起動されると(コンピュータの種類に関係なく)、OracleはSystem Global Area(SGA)と呼ばれるメモリー領域を割り当て、Oracleプロセスを開始する。このSGAとOracleプロセスの組合せをインスタンスと呼ぶ。インスタンスのメモリーとプロセスは、関連するデータベースのデータを効率的に管理し、データベースの1人以上のユーザーのために機能する。
個々のエンティティのセキュリティ資格証明を格納したり、管理するために使用されるデータ構造。ウォレット・リソース・ロケータ(WRL)は、ウォレットの位置を特定するために必要な情報をすべて提供する。
ウォレット不明瞭化を使用すると、ユーザーがウォレットにアクセスする際にパスワードを入力しなくても、Oracleウォレットを格納し、ウォレットにアクセスできる(シングル・サインオン(SSO)のサポート)。
ウォレット・リソース・ロケータ(Wallet Resource Locator)
ウォレット・リソース・ロケータ(WRL)は、ウォレットの位置を特定するために必要な情報をすべて提供する。これは、ウォレットを含んだオペレーティング・システムのディレクトリへのパスである。
エンタープライズ・ドメイン(enterprise domain)
データベースとエンタープライズ・ロールのグループから構成されるディレクトリ構造。1つのデータベースが同時に複数のエンタープライズ・ドメイン内に存在することはない。エンタープライズ・ドメインはWindows 2000ドメインとは異なり、共通のディレクトリ・データベースを共有するコンピュータの集合である。
エンタープライズ・ドメイン管理者(Enterprise Domain Administrator)
特定のエンタープライズ・ドメインを管理する権限があるユーザー。新しいエンタープライズ・ドメイン管理者を追加する権限もある。
エンタープライズ・ユーザーに割り当てられるアクセス権。エンタープライズ・ドメイン内の1つ以上のデータベースに関係するOracleロール・ベースの認可のセット。エンタープライズ・ロールはディレクトリに格納され、1つ以上のグローバル・ロールが含まれる。
名前が付けられた属性のグループ。属性をエントリに割り当てるには、その属性を保持しているオブジェクト・クラスをそのエントリに割り当てる。同じオブジェクト・クラスに関連するオブジェクトはすべて、同じ属性を共有する。
第三者によるメッセージの不正傍受などのセキュリティ攻撃。第三者、つまり介在者は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合がある)、元のメッセージの宛先である受信者に転送する。これらの処理はすべて、正当な送受信者が気付かないうちに行われる。この種のセキュリティ攻撃は、認証が行われていない場合にのみ発生する。
データの暗号化時に、指定したアルゴリズムによって指定した平文から生成される暗号文を決定する値。また、データの復号化時に、暗号文を正しく復号化するために必要な値。暗号文は、正しい鍵が提供された場合にのみ正しく復号化される。
対称型暗号化アルゴリズムでは、同一データの暗号化と復号化の両方に同じ鍵が使用される。非対称型暗号化アルゴリズム(公開鍵暗号アルゴリズムまたは公開鍵暗号方式とも呼ばれる)では、同一データの暗号化と復号化に異なる鍵が使用される。
複数のエンタープライズ・ユーザーが使用できるデータベースまたはアプリケーション・スキーマ。Oracle Advanced Securityでは、複数のエンタープライズ・ユーザーを1つのデータベース上の同一共有スキーマにマップできる。そのため、管理者はそれぞれのデータベースでユーザーごとにアカウントを作成する必要がない。かわりに、ユーザーを1つの場所、つまり、エンタープライズ・ディレクトリに作成して、そのユーザーを共有スキーマにマップすることができる。この共有スキーマには他のエンタープライズ・ユーザーもマップできる。ユーザー/スキーマの分割とも呼ばれる。
グリッド・コンピューティング(grid computing)
膨大な数のサーバーとストレージを統合し、1台の大型コンピュータとしての機能を果たすようにするコンピューティング・アーキテクチャ。Oracleグリッド・コンピューティングによって、エンタープライズ・コンピューティングのあらゆるニーズに対応する柔軟でオンデマンドなコンピューティング資源が構築される。Oracle 10g のグリッド・コンピューティング・インフラストラクチャで稼動しているアプリケーションは、フェイルオーバー、ソフトウェアの提供および管理のための共通のインフラストラクチャを利用できる。Oracleグリッド・コンピューティングでは、資源の需要を分析し、それに応じて資源の供給を調整する。
グローバル・ディレクトリ・サービス(Global Directory Service: GDS)
DCE CDSとX.500ディレクトリ・サービス間のエージェントとして動作するDCEディレクトリ・サービス。GDSとCDSはともに古く、DCEでのみ使用される。
ディレクトリで管理されるが、その権限は1つのデータベースに格納されているロール。グローバル・ロールは、次の構文を使用してデータベースに作成される。
CREATE ROLE role_name IDENTIFIED GLOBALLY;
公開鍵インフラストラクチャ(public key infrastructure: PKI)
公開鍵暗号の原理を利用した情報セキュリティ技術。公開鍵暗号では、共有されている公開鍵と秘密鍵のペアを使用して情報を暗号化および復号化する。パブリック・ネットワークにおける安全でプライベートな通信を提供する。
公開鍵と秘密鍵のペア(public and private key pair)
暗号化および復号化に使用される2つの数字のセット。1つは秘密鍵、もう1つは公開鍵と呼ばれる。公開鍵は通常広く使用可能であるのに対して、秘密鍵はその各所有者によって保有される。2つの数字は関連付けられているが、公開鍵から秘密鍵を導出することは一般的にほぼ不可能である。公開鍵と秘密鍵は、非対称型暗号化アルゴリズム(公開鍵暗号アルゴリズムまたは公開鍵暗号方式とも呼ばれる)でのみ使用される。鍵のペアのうち、公開鍵または秘密鍵のいずれかで暗号化されたデータは、鍵のペアの関連する鍵で復号化できる。ただし、公開鍵で暗号化されたデータを同じ公開鍵では復号化できず、秘密鍵で暗号化されたデータを同じ秘密鍵では復号化できない。
1. クライアントが使用するネットワーク資源(Oracle Databaseサーバーなど)。
2. Windowsのレジストリにインストールされ、Windowsで管理される実行可能プロセス。サービスが作成されて開始されると、ユーザーがコンピュータにログオンしていない場合でも実行できる。
クライアントを認証する際に使用する信頼度の高い情報。初期チケットとも呼ばれるチケット認可チケットを取得するには、okinitプログラムを直接または間接的に実行し、パスワードを入力する。チケット認可チケットは、クライアントがサービス・チケットを要求するときに使用される。サービス・チケットは、クライアントがサービスへの認証を受けるときに使用される。
Kerberos認証では、サービス表は、kinstance上に存在するサービス・プリンシパルのリスト。OracleでKerberosを使用する前に、サービス表をKerberosから抽出してOracleサーバー・コンピュータにコピーする必要がある。
ディレクトリ・エントリの一意名。親エントリの個々の名前がすべて、ディレクトリ情報ツリーの下からルート方向へ順に結合されて構成されている。「ディレクトリ情報ツリー(DIT)」を参照。
システム識別子(system identifier: SID)
Oracleインスタンスの一意名。Oracle Database間の切替えでは、ユーザーによるSIDの指定が必要である。SIDは、tnsnames.oraファイルにある接続記述子のCONNECT DATA部分、およびlistener.ora ファイルにあるネットワーク・リスナーの定義部分に含まれている。
公開鍵に対して識別情報を安全にバインドするITU x.509 v3の標準データ構造。
証明書は、エンティティの公開鍵が、信頼されている機関(認証局)によって署名されたときに有効となる。この証明書は、そのエンティティの情報が正しいこと、および公開鍵がそのエンティティに実際に属していることを保証する。
証明書にはエンティティの名前、認証情報および公開鍵が含まれる。また、証明書に関連する権利、ユーザーおよび権限についてのシリアル番号、有効期限、その他の情報が含まれる場合もある。さらに、発行元の認証局についての情報も含まれる。
証明書失効リスト(certificate revocation lists)
(CRL)取り消された証明書のリストを格納する署名済データの構造。CRLの認証と整合性は、CRLに追加されたデジタル署名によって実現する。通常、CRL署名者は発行された証明書に署名したエンティティと同じエンティティである。
証明書要求は、証明書要求情報、署名アルゴリズム識別子および証明書要求情報のデジタル署名の3つの部分で構成される。証明書要求情報は、サブジェクトの識別名、公開鍵およびオプションの属性セットで構成される。属性は、宛先などのサブジェクト識別情報、またはサブジェクト・エンティティが後で証明書取消しを求める場合に使用するチャレンジ・パスワードに関する追加情報を提供する。「PKCS #10」を参照。
Kerberos認証では、初期チケットまたはチケット認可チケット(TGT)によって、その他のサービス・チケットの要求権利を持つユーザーであることが証明される。初期チケットがなければ、他のチケットは取得できない。初期チケットは、okinitプログラムを実行し、パスワードを入力することで取得できる。
シングル・サインオン(single sign-on: SSO)
ユーザーの認証を1回のみ行う機能。以降の他のデータベースまたはアプリケーションへの接続において透過的に発生する厳密な認証と組み合せて認証を行う。シングル・サインオンを使用すると、ユーザーは最初の接続時に入力した単一のパスワードで複数のアカウントとアプリケーションにアクセスできる。単一パスワードによる単一の認証。Oracle Advanced Securityは、KerberosおよびSSLベースのシングル・サインオンをサポートしている。
一定の信頼度を有すると認定されたサード・パーティの識別情報(ルート鍵証明書とも呼ばれる)。信頼できる証明書は、エンティティが本人であるという識別情報の確認が行われるときに使用される。通常、信頼できる認証局を信頼できる認証という。いくつかのレベルの信頼できる証明書がある場合、証明連鎖の中でレベルの低い、信頼できる証明書は、それよりもレベルの高い証明書で再確認する必要はない。
パスワードに対する一般的な攻撃。攻撃者は、多数の一般的なパスワードのリストを1つ作成し、それを暗号化する。次に、攻撃者は暗号化されたパスワードを含むファイルを盗み、暗号化した自分の一般的なパスワードのリストと比較する。暗号化したパスワードの値(ベリファイア)と一致するものがあれば、攻撃者はそれに対応するパスワードを盗むことができる。辞書攻撃は、暗号化の前にパスワードにsaltを使用することで回避できる。「salt」を参照。
自動ログイン・ウォレット(auto login wallet)
アクセス時に資格証明を提供せずに、PKIベースまたはパスワードベースでサービスへのアクセスを可能にするOracle Wallet Managerの機能。この自動ログイン・アクセスは、そのウォレットの自動ログイン機能が使用禁止にされるまで有効である。ファイル・システムのアクセス権により、自動ログイン・ウォレットに対して必要なセキュリティが提供される。ウォレットの自動ログインを使用可能にすると、そのウォレットを作成したオペレーティング・システム・ユーザーに対してのみウォレットが使用可能になる。このようなウォレットは、シングル・サインオン機能を提供するので、「SSOウォレット」と呼ばれることもある。
1. データベース・スキーマ: 表、ビュー、クラスタ、プロシージャ、パッケージ、属性、オブジェクト・クラスおよびそれらに対応する一致規則など、名前を持つオブジェクトの集合体。特定のユーザーに関連付けられる。2. LDAPディレクトリ・スキーマ: 属性、オブジェクト・クラスおよびそれらに対応する一致規則の集合体。
ユーザー名やパスワードなどの情報を格納するため、また認証交換に関連する計算を実行するためのICが組み込まれた(クレジット・カードに似た)プラスティック製のカード。スマートカードはクライアントまたはサーバーにあるハードウェア・デバイスで読み取る。
スマートカードは、ワンタイム・パスワードとして使用することができる乱数を生成できる。この場合、スマートカードは、サーバー上のサービスと同期化されているので、サーバーはスマートカードによって生成されるパスワードと同じパスワードを要求する。
少なくとも二者間(通常はクライアントとサーバー)で共有され、単一の通信セッション継続中のデータ暗号化に使用される鍵。セッション鍵は通常、ネットワーク通信を暗号化するのに使用される。クライアントとサーバーは、セッションの開始時に使用するセッション鍵を取り決めることができる。セッション継続中は、関係者間の全ネットワーク通信の暗号化にその鍵が使用される。クライアントとサーバーが新しいセッションで再び通信する場合は、新しいセッション鍵を取り決める。
プレゼンテーション・レイヤーのエンティティが必要とするサービスを提供するネットワーク・レイヤー。エンティティでは、対話を構成および同期化でき、データ交換の管理が有効となる。このレイヤーは、クライアントとサーバー間でネットワーク・セッションを確立、管理および終了する。セッション・レイヤーの例には、ネットワーク・セッションがある。
ネットワーク接続の宛先を示す、特別にフォーマットされた表記。接続記述子には、接続先サービスとネットワーク・ルーティング情報が含まれる。接続先サービスは、Oracle9i またはOracle8i データベースのサービス名、またはOracle Databaseリリース8.0のOracleシステム識別子(SID)を使用して識別される。ネットワーク・ルーティングは、ネットワーク・アドレスを使用して、少なくともリスナーの位置を提供する。「接続識別子」を参照。
SSL接続では、特定のクライアントと特定のサーバーの間にセッションが確立される。接続先の識別情報は、セッションのセットアップ・プロセスの一部として設定される場合がある。接続先は、X.509証明連鎖によって識別される。
接続記述子、または接続記述子にマップする名前。接続識別子には、ネット・サービス名、データベース・サービス名またはネット・サービス別名を指定できる。ユーザーは、ユーザー名とパスワードを接続先となるサービスの接続文字列に含まれる接続識別子とともに渡すことによって、接続要求を開始する。
CONNECT username@connect_identifier Enter password: password
ユーザー名、パスワード、ネット・サービス名など、接続するためにユーザーがサービスに渡す情報。例:
CONNECT username@net_service_name Enter password: password
セル・ディレクトリ・サービス(Cell Directory Services: CDS)
外部ネーミング・メソッドの1つ。これを使用すると、ユーザーは透過的にOracleのツール製品を使用でき、アプリケーションによって分散コンピューティング環境(DCE)にあるOracle Databaseのデータベースにアクセスできる。
LDAPディレクトリ内のエントリの性質を説明する断片的な情報項目。1つのエントリは1組の属性から構成され、それぞれがオブジェクト・クラスに所属する。さらに、各属性は型と値を持つ。型は属性の情報の種類を示し、値には実際のデータが格納される。
単一パスワード認証(single password authentication)
ユーザーが単一のパスワードを使用して自己を複数のデータベースに対して認証する機能。Oracle Advanced Securityの実装では、パスワードはLDAP準拠のディレクトリに格納され、暗号化とACLによって保護される。
メッセージ・パケットに含まれているデータに基づいてメッセージ・パケットの値を計算し、その値をデータとともに渡して、データが改ざんされていないことを証明するメカニズム。データ受信側は暗号チェックサムを再計算して、それをデータとともに送られた暗号チェックサムと比較する。これらの暗号チェックサムが一致している場合は、データが転送中に改ざんされなかったことを「高い確率で」証明できる。
転送可能なチケット認可チケット(forwardable ticket-granting ticket)
Kerberosで使用。FORWARDABLEフラグ・セットを持つサービス・チケット。このフラグによって、ユーザーにパスワードを再度入力することを要求せずに認証を転送できる。
データベース・インストール管理者(Database Installation Administrator)
データベース作成者とも呼ばれる。新しいデータベースの作成を管理する。データベースの管理には、Database Configuration Assistantを使用して、ディレクトリに各データベースを登録する作業が含まれる。この管理者は、データベース・サービス・オブジェクトと属性に対する作成と変更のアクセス権を所有する。また、デフォルト・ドメインを変更することもできる。
データベース管理者(Database Administrator)
(1)Oracleサーバーまたはデータベース・アプリケーションを操作および管理する人。(2)DBA権限を所有し、データベース管理操作を実行できるOracleユーザー名。通常、これら2つを同時に意味する。多くのサイトでは複数のDBAが配置される。
データベース・セキュリティ管理者(Database Security Administrator)
データベース・エンタープライズ・ユーザー・セキュリティの最高レベルの管理者。この管理者はすべてのエンタープライズ・ドメインに対する権限を持ち、次のような責任を担っている。
Oracle DBSecurityAdminsおよびOracleDBCreatorsグループの管理
新規のエンタープライズ・ドメインの作成
企業内のデータベースのドメイン間での移動
データベース・パスワード・ベリファイア(database password verifier)
ユーザーのデータベース・パスワードから導出される不可逆的な値。この値は、接続するユーザーの識別情報を証明するために、データベースに対するパスワード認証時に使用される。
リモート・データベース、およびそのデータベースに至る通信パス、ユーザー名とパスワードなどを識別するために、ローカル・データベースまたはネットワーク定義に格納されているネットワーク・オブジェクト。一度定義すると、リモート・データベースへのアクセスにはデータベース・リンクが使用される。
あるデータベース・リンクから別のデータベースへのパブリックまたはプライベート・データベース・リンクは、DBAまたはユーザーによってローカル・データベース上に作成される。
グローバル・データベース・リンクは、Oracle Namesでネットワーク内の各データベースから他のすべてのデータベースに自動的に作成される。グローバル・データベース・リンクはネットワーク定義に格納される。
ディレクトリ・ネーミング(directory naming)
データベース・サービス、ネット・サービス名またはネット・サービス別名を、中央ディレクトリ・サーバーに格納された接続記述子に変換するネーミング・メソッド。
ディレクトリ・ネーミング・コンテキスト(directory naming context)
ディレクトリ・サーバー内で重要なサブツリー。通常、ディレクトリ・ネーミング・コンテキストは、組織サブツリーの最上部となっている。一部のディレクトリでは、固定のコンテキストのみが可能である。また、別のディレクトリでは、ディレクトリ管理者による構成の対象をゼロから多数までとすることができる。
デジタル署名は、送信者の秘密鍵によって送信者のメッセージを署名するのに公開鍵アルゴリズムが使用されているときに作成される。デジタル署名によって、文書が信頼できるものであること、別のエンティティで偽造されていないこと、変更されていないこと、送信者によって拒否されないことが保証される。
ユーザーが容易に認証サービスを利用できるように、数種類のメカニズムを提供するデバイス。一部のトークン・カードは、認証サービスと同期化されているワンタイム・パスワードを提供する。 サーバーは認証サービスとやりとりすることによって、トークン・カードが提供するパスワードをいつでも検証できる。チャレンジ/レスポンスに基づいて機能するトークン・カードもある。この場合は、サーバーがチャレンジ(番号)を提供し、ユーザーがその番号をトークン・カードに入力する。そして、トークン・カードは別の番号(最初の番号から暗号的に導出される番号)を提供し、それをユーザーがサーバーに渡す。
データ・フローの制御とエラーのリカバリ・メソッドによってエンドツーエンドの信頼性を維持するネットワーク・レイヤー。Oracle Net Servicesでは、Oracle Protocol Supportをトランスポート・レイヤーに使用する。
ドメイン・ネーム・システム(DNS)ネームスペース内の任意のツリーまたはサブツリー。ドメインは通常、所属するホストの名前が共通の接尾辞、つまりドメイン名を共有しているコンピュータのグループを指す。
ドメイン・ネーム・システム(Domain Name System: DNS)
コンピュータやネットワーク・サービスのネーミング・システムであり、ドメインを階層的に編成している。DNSは、わかりやすい名前でコンピュータの位置を識別するためにTCP/IPネットワークで使用される。DNSは、ユーザー・フレンドリな名前を、コンピュータが理解できるIPアドレスに変換する。
Oracle Net Servicesの場合、DNSは、TCP/IPアドレス内のホスト名をIPアドレスに変換する。
ユーザー、プログラムまたはプロセスに、オブジェクトへのアクセスを許可すること。Oracleでは、ロール・メカニズムに基づいて認可が行われる。1人のユーザーまたはユーザー・グループに、1つのロールまたは一連のロールを付与できる。また、ロールに他のロールを付与することもできる。認証されたエンティティに対して利用できる権限のセット。
コンピュータ・システム内のユーザー、デバイスまたはその他のエンティティの識別情報を検証するプロセス。多くの場合、システム内のリソースへのアクセスを許可する前提条件として使用される。認証されたメッセージの受信者は、そのメッセージの発信元(送信側)を確認できる。認証では、第三者が送信者になりすます可能性はないと仮定されている。
ユーザー、データベース、管理者、クライアント、サーバーなどの他のエンティティが本当に本人であるかどうかを証明する信頼できるサード・パーティ。ユーザーを証明するとき、認証局では、最初にユーザーが証明書失効リスト(CRL)にないことを確認してからユーザーの識別情報を検証し、認証局の秘密鍵で署名して証明書を付与する。認証局には、認証局が発行する認証局独自の証明書と公開鍵がある。サーバーとクライアントではこれらを使用して、認証局が作成した署名を検証する。認証局は証明書サービスを行う外部の会社であったり、企業のMIS部門などの内部組織である場合がある。
分散環境においてユーザー、クライアントまたはサーバーの識別情報を検証するセキュリティ方式。ネットワーク認証方式によって、ユーザーはシングル・サインオン(SSO)も利用できる。Oracle Advanced Securityがインストールされている場合、Oracle Databaseでは次の認証方式がサポートされている。
ディレクトリ・サーバーでのディレクトリ・ネーミング・オブジェクトの代替名。ディレクトリ・サーバーには、定義されているネット・サービス名またはデータベース・サービスのネット・サービス別名が格納される。ネット・サービス別名エントリには、接続記述子情報は含まれない。かわりに、このエントリが別名であることを示すオブジェクトの位置のみを参照する。クライアントがネット・サービス別名のディレクトリ検索を要求した場合、ディレクトリはそのエントリがネット・サービス別名であることを判別し、それが参照している実際のエントリであるかのように、そのネット・サービス別名を扱い検索を完了する。
ネットワーク認証サービス(network authentication service)
分散環境で、クライアントをサーバーに対して、サーバーをサーバーに対して、またはユーザーをクライアントとサーバーに対して認証する方法。ネットワーク認証サービスは、ユーザーに関する情報、ユーザーがアクセスする様々なサーバー上のサービスに関する情報、およびネットワーク上のクライアントとサーバーに関する情報を格納するためのリポジトリである。認証サーバーは物理的に異なるコンピュータであったり、システム内で別のサーバー上に置かれる機能であったりする。可用性を向上させるために、認証サービスを複製して1点障害を回避できる場合がある。
パスワード・アクセシブル・ドメイン・リスト(Password-Accessible Domains List)
パスワード認証ユーザーからの接続を受け入れるように構成されたエンタープライズ・ドメインのグループ。
相互に信頼する1つ以上のActive Directoryツリーのグループ。フォレスト内のすべてのツリーは、共通のスキーマ、構成およびグローバル・カタログを共有する。フォレストに複数のツリーがある場合、それらのツリーは連続するネームスペースを形成しない。指定フォレスト内のすべてのツリーは、推移的な双方向の信頼関係を介して相互に信頼する。
分散コンピューティング環境(Distributed Computing Environment: DCE)
分散環境を提供するために複数のシステムで動作する、統合化された一連のネットワーク・サービス。分散アプリケーションとオペレーティング・システムまたはネットワーク・サービスとの間にあるミドルウェア。クライアント/サーバー・コンピューティング・モデルに基づいている。
一連のKerberos資格証明の割当て先であるクライアントまたはサーバーを一意に識別する文字列。通常、この文字列にはkservice/kinstance@REALMという3つの部分が含まれる。ユーザーの場合、kserviceはユーザー名になる。「kservice」、「kinstance」および「レルム」も参照。
ファイアウォールなどの中間層を含む環境で一般に使用されるプロセス。エンド・ユーザーは中間層に対して認証を行い、中間層はエンド・ユーザーのプロキシとして、ユーザーのかわりにディレクトリに対して認証を行う。中間層は、プロキシ・ユーザーとしてディレクトリにログインする。プロキシ・ユーザーはIDを切り替えることができ、一度ディレクトリにログインすると、エンド・ユーザーのIDに切り替わる。次に、その特定のエンド・ユーザーに付与されている認可を使用して、エンド・ユーザーのかわりに操作を実行する。
米国商務省国立標準技術研究所(National Institute of Standards and Technology: NIST)
コンピュータおよびテレコミュニケーション・システム内の暗号ベース・セキュリティの設計、取得および実装に関連するセキュリティ標準の開発を担う米国商務省内の機関。米国連邦機関、米国連邦機関の請負業者または連邦の機能を果たすために米国連邦政府にかわって情報を処理する他の組織によって運営されている。
米国連邦情報処理標準(Federal Information Processing Standard: FIPS)
暗号化モジュールのセキュリティ要件を定義する米国連邦政府の標準。コンピュータおよびテレコミュニケーション・システム内の非機密情報を保護するセキュリティ・システムで使用される。米国商務省国立標準技術研究所(NIST)が発行する。
ユーザー/スキーマ・マッピング(user-schema mapping)
ユーザーが存在するディレクトリ内のベースと、そのユーザーのマップ先であるデータベース・スキーマの名前という2つの値のペアが含まれるLDAPディレクトリ・エントリ。マッピングで参照されているユーザーは、データベースに接続したときに特定のスキーマに接続される。ユーザー/スキーマ・マッピング・エントリは、特定のデータベースにのみ、またはドメイン内のすべてのデータベースに適用される。「共有スキーマ」を参照。
サーバー上で実行される独立したプロセス。クライアントの着信接続要求をリスニングし、サーバーへの通信量を管理する。
クライアントがサーバーとのネットワーク・セッションを要求するたびに、リスナーは実際の要求を受信する。クライアントの情報がリスナーの情報と一致すると、リスナーはサーバーへの接続を認める。
1. アイデンティティ管理レルムの略。2. Kerberosオブジェクト。1つのKey Distribution Center/Ticket-Granting Service(KDC/TGS)の下で稼動するクライアントとサーバーのセット。名前が同じでも異なるレルムにあるサービス(「kservice」を参照)は一意である。
