Strong Secure Authentication Architecture for Protection Against Unauthorized Access in ID Federation Platforms

• Project/Area Number: 17K00199
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Research Field: Information security
• Research Institution: Kyoto University (2019-2020); National Institute of Informatics (2017-2018)
• Principal Investigator: Nakamura Motonori 京都大学, 学術情報メディアセンター, 教授 (30268156)
• Co-Investigator(Kenkyū-buntansha): 西村 健 国立情報学研究所, 学術基盤課, 特任研究員 (50334272)
• Project Period (FY): 2017-04-01 – 2021-03-31
• Project Status: Completed (Fiscal Year 2020)
• Budget Amount: ¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000); Fiscal Year 2019: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000); Fiscal Year 2018: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000); Fiscal Year 2017: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
• Keywords: ID連携 / シングルサインオン / SAML / Shibboleth / 多要素認証 / セキュリティ / SSO / トランザクション認証 / 認証

Outline of Final Research Achievements

Spoofing and unauthorized access on the Internet are issues that need to be resolved to prevent crime, and strengthening online authentication is required as a countermeasure. In this research, we assume vulnerabilities of terminals and servers, and combine transaction authentication, which prevents tampering with a series of processes, and multi-factor authentication, which uses multiple authentication systems together. By using these methods together and applying them to the federated ID framework based on single sign-on technology, we propose a highly secure next-generation federated authentication architecture that does not allow unauthorized access and attacks only one vulnerability. We examined how to realize the system.

Academic Significance and Societal Importance of the Research Achievements

不正アクセスの手口は年々巧妙化し、オンラインサービスに対する犯罪が増加している。その対策として認証強化が重要であるが、従来の手法はは一つのサーバに対する一度限りの認証処理となっているため、パスワード等の認証情報のフィッシングやウィルス感染によるスパイウエアの侵入による中間者攻撃に対して依然として脆弱であるという問題がある。本研究は、一連のオンライン処理の中で重要なタイミングで再認証を求めることにより継続的に認証を行う手法であるトランザクション認証と、一つのサーバのみを信頼しない多信頼点認証方式を組み合わせることで、こういった従来の不正アクセス手段を無力化し、安全なオンライン認証手段を実現する。

Research Products

• [Presentation] キャンパス無線eduroamと次世代ホットスポットの最新動向 (2019)
  • Author(s): 後藤英昭（東北大学）, 原田寛之（札幌学院大学）,中村素典（京都大学）
  • Organizer: 大学ICT推進協議会 2019年度年次大会
• [Presentation] Shibbolethの多要素認証対応と学認 (2019)
  • Author(s): 西村 健
  • Organizer: 第12回統合認証シンポジウム
  • Invited
• [Remarks] Shibboleth IdP 3の高度な認証設定
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20027351
• [Remarks] MultiFactor認証フロー(MFA)を用いた認証設定
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26186832
• [Remarks] Installing Shibbolized Tiqr
  • URL: https://meatwiki.nii.ac.jp/confluence/display/tiqr/Installing+Shibbolized+Tiqr
• [Remarks] TOTPを用いた多要素認証方式の導入
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=29233817
• [Remarks] クライアント証明書認証を使った認証
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21438556
• [Remarks] セキュリティレベルを設定したSPに対する認証
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21438629
• [Remarks] ユーザによる認証方式が選択できる設定
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21438798
• [Remarks] Shibbolized Tiqr
  • URL: https://meatwiki.nii.ac.jp/confluence/display/tiqr/Home
• [Remarks] MultiFactor認証フローを用いた認証設定
  • URL: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26186832