2016 Fiscal Year Research-status Report
| Project/Area Number |
15K00181
|
|---|
| Research Institution | Chiba University |
|---|
Principal Investigator |
多田 充 千葉大学, 統合情報センター, 准教授 (20303331)
|
|---|
| Project Period (FY) |
2015-04-01 – 2018-03-31
|
| Keywords | ワンタイムパスワード / 3者間認証 / 中間者攻撃(MITB) |
|---|
| Outline of Annual Research Achievements |
平成28年度は,平成27年度の研究成果を踏まえ,2011年に我々の研究グループがその仕組みの骨格を提案した3者間・2要素によりワンタイムパスワード認証システムを,安全性,利便性だけでなく実用可能性についても研究した。
平成27年度に論文発表した「認証シャッター」の仕組みを拡張し,ワンタイムパスワード認証システムの具体的構成法を,「第20回学術情報処理研究集会」にて論文発表した。ここで提案したスキームにおいては,「各ユーザが利用するサービスシステムの個数分だけ『ユーザIDとパスワード』を持つことにより,その使い分け(どのユーザIDがどのサービスシステムに対応しているかを把握すること)が難しくなること」を解消す
ることができる。具体的には,N個のサービスシステムを利用するときに覚えておくべき文字列の個数が2Nであるところを,サービスシステムの個数に依存せず,1つにすることができる。
次に,サービスシステムにおける情報処理を他者に妨害されない「中間者攻撃(MITB)対策」について研究した。具体的には,ユーザがサービスシステムの利用に使う端末以外に,スマートフォン等の携帯端末を利用し,処理内容をユーザ自身が確認するというものである。ネットバンキングなどのシステムでは,送金(処理)内容にトランザクション署名を添えるという対策が取られているものもあるが,ユーザがそのためだけのデバイスを持つ必要がある。本研究におけるシステムでは,多くのユーザがすでに所持しているデバイスを使うので,そのような負担はない。トランザクション署名を算出する機能を携帯端末に持たせることも考えられるが,その場合は,処理内容をユーザ自身が入力する必要があるが,本研究のシステムではユーザが目で確認しボタンを押すだけなので,入力の負担はなく,利便性があると考えられる。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初予定していた,平成28年度の研究課題はワンタイムパスワード認証のみならず,「中間者攻撃(MITB)対策」に関するテーマも含まれる。
昨年度報告書で課題としていた「ユーザの記憶情報忘れの救済処置」については,平成28年度の発表論文で述べた「もともと覚えるべき文字列の個数を減らす」ことで,かなりの部分が解決できると思われる。「覚えていたものを忘れた場合」の対策については,前述の発表論文の手法により,救済の手間がかなり軽減できると期待できる。というのは,ユーザとセンターの共有ID(aID)により,ユーザが利用する全てのサービスシステムでのアカウントが紐付くためである。同様に課題としていた「ユーザが元々センターに登録されており,そのユーザをサービスシステムに登録する場合」については上記論文で発表した通りである。
MITB対策については,具体的なシステムの構築方法については,上記論文の「考察」で述べるだけに留めているが,このトピックについては,民間企業による事業化が検討されている。
以上により,「ワンタイムパスワード認証システム」および「中間者攻撃対策」のどちらについても,具体的な構成法は完了しているが,実証実験するための実装については,平成29年度に持ち越すことになるので,全体的な進捗状況としては「おおむね順調に進展している」と判断できる。
|
| Strategy for Future Research Activity |
本研究課題に対する今後の進め方についてであるが,まず「ワンタイムパスワード認証システム」および「中間者対策可能システム」のどちらについても,これまでの研究成果を反映させたシステムを実装する。そこで,ユーザが行う処理(登録,認証,機種変更,パスワード忘れの救済処置,中間者攻撃の検知),および,センターやサービスシステムにおける処理に問題がないこと,さらに,本提案システムを既存のサービスシステムへ容
易に導入できることを確認し,我々の提案システムの利便性を示す。
また,昨年度報告書における「今後の研究の推進方法」の後半で述べている内容:中間者攻撃対策できる情報を,情報量が小さいテキストだけではなく,ある適度サイズの大きいファイル等まで可能にすることについても考察し,実装実験まで行う。これまでの考察において,対策対象となる情報のサイズが大きくなることが,我々の提案システムにとって支障があることは見出されていないので,順調に進むものと思われる。
|
