2015 Fiscal Year Research-status Report
| Project/Area Number |
15K00181
|
|---|
| Research Institution | Chiba University |
|---|
Principal Investigator |
多田 充 千葉大学, 統合情報センター, 准教授 (20303331)
|
|---|
| Project Period (FY) |
2015-04-01 – 2018-03-31
|
| Keywords | 2要素3者間認証 / 認証シャッター / ワンタイムパスワード / 機種変更 |
|---|
| Outline of Annual Research Achievements |
平成27年度は,2011年度以降,我々の研究グループが提案しその実用性向上を目指していたワンタイムパスワード認証システムに対して,主に,その利便性について研究した。
まず,本システムに適したユースケースとして,大学組織における認証を採り上げた。また,ワンタイムパスワードの発行を行わず,単にログイン認証をシャットアウトする「認証シャッター」の実現方法も考案し,この研究成果については,平成27年9月に豊橋技術科学大学で開催された「第19回学術情報処理研究集会」にて論文発表した。認証シャッターは2014年に提唱されたものであるが,本論文で示した実現方法は,ユーザの記憶情報だけでなく,所有物も利用した2要素認証となっている。大学組織のサービスシステムは組織外ネットワークからのアクセスについては特に注意している。そこで,大学組織内ネットワークからのアクセスについては,通常の固定パスワード認証を採用し,組織外ネットワークからのアクセスであれば,2要素3者間認証を採用するというものである。
次に,我々の2要素3者間認証を利用する際,ユーザにとっての利便性向上を図った。具体的には,ユーザが使用する携帯機器を変更した場合,再登録せずに,旧機器の機器認証情報を移行する方法を考案した。この方法は,従来のソフトトークンベースのワンタイム認証システムにも適用可能であるが,我々のシステムの場合,1つの携帯機器アプリで複数のサービスシステムを対象にできることにより,より効果が高いものになっている。この研究成果については,平成28年3月に明治大学で開催された「情報処理学会コンピュータセキュリティ研究会」にて,論文発表を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初予定していた,平成27年度の研究課題は「ユーザが使用する携帯機器を意図的に変更する場合,および,紛失した場合のように急遽変更せざるを得ない場合,どちらについても,機器変更をスムーズに行うことができるプロトコルの設計」,「ユーザの記憶情報忘れの救済措置」および「テストシステムの実行と安全性解析」であるが,第1課題については,概ね達成できていると思われる。第2課題は,第1課題の成果を適用することにより解決可能ではあるものの,それ以外でよりユーザに負担の少ない方法について調査する必要がある。第3課題については,基本的な枠組みはできているものの,平成27年度末に論文発表した内容については,まだサービスシステムで実験できる段階にないため,平成28年度を通して,それまで論文発表している内容すべてを反映させた実装実験を行い,それに伴い,安全性解析・脅威分析を行う予定である。
研究計画で示したMITB(中間者攻撃)対策に関する研究課題については,すでに研究に着手しており,単純なケースであれば,実装実験も含め,平成28年度に成果を発表する予定である。
本研究課題は「ワンタイムパスワード認証システムの安全性と利便性」および「中間者攻撃対策」の2つのトピックを持つが,前者に対しては多少遅れてはいるものの,後者に対しては早めに進行しており,全体としては概ね順調に進展していると考えられる。
|
| Strategy for Future Research Activity |
本研究課題に対する今後の進め方についてであるが,まず,平成27年度までの研究成果を反映させた「ワンタイムパスワード認証システム」を実装し,ユーザにとっての(登録,認証,機種変更,パスワード忘れに対する)利便性を実験する。また,脅威分析,ユーザやシステム管理者の手間等,安全性と利便性の両方の側面において,既存システムとの比較を行う。
実装実験において,サービスシステムについては,「従来の固定パスワード認証を採用しているサービスシステムに,本2要素3者間認証を追加する場合」,「OAuth等,他の認証サービスを利用しているサービスシステムに本システムを追加する場合」を行うが,平成27年度に行った他機関と議論を行った際,「ユーザが元々センターに登録されており,そのユーザをサービスシステムに登録する場合」も必要であることが判ったため,これについても実装実験ならびに安全性解析・脅威分析を行う。また,ユーザが使用する携帯電話機器については,本国でシェアが最も大きいiOSを対象とするが,可能であれば,Android OSについても実装実験を行う。
MITB対策については,3者間認証システムに追加する形で実現方法(センター内で実行されるプロトコル)を考察する。これは,実際のサービスシステムに応用する場合,サービスシステム自体に加える変更を最小限にするためである。2者間システムの場合,ユーザの携帯機器は,それぞれのサービスシステムごとにアプリを導入する必要があり,その導入や操作の負担が上がると思われるためである。また,本研究ではテキスト情報だけでなく,より大きいサイズの情報に対するMITB対策を行うため,携帯機器アプリとセンターの間の通信内容,そのプロトコルを考察する。また,ログイン画面の偽装についても,その対策プロトコルを考察する。
|
Research Products
(3 results)
