研究分担者 |
宮崎 修一 京都大学, 学術情報メディアセンター, 准教授 (00303884)
上原 哲太郎 京都大学, 学術情報メディアセンター, 准教授 (20273485)
大平 健司 名古屋大学, 情報戦略室, 特認助教 (40515326)
中村 素典 国立情報学研究所, 学術ネットワーク研究開発センター, 特認教授 (30268156)
|
研究概要 |
本研究ではHost Identity Protocol (HIP)の特徴を利用し,誰もがネットワークをセキュアに提供するための公衆無線インターネットサービスモデルを提案している。ネットワークサービスの提供においては、匿名でのサービス利用によるユーザの不正があった場合、ネットワーク管理者はユーザを追跡し特定できること(追跡可能性の確保)と、管理者が不正を行うことができずユーザが不正を行った場合に言い逃れができないようにすること(否認不能性の確保)が必要となる. 平成23年度は、HIPの特徴を利用し追跡可能性及び否認不能性を確保するための具体的な方法を提案し、実装した。特に、DNS (Domain Name System)のセキュリティ強化として導入が進められているDNSSECに、本来の役割に加えて認証提供者としての機能を持たせる事を提案した。平成23年度中に必要なシステムの実装を行い、グローバルな評価環境を構築して運用した。システムが正常なパケットのみを通し不正なパケットをブロックできることを確認した。更に、複数のアソシエーションの管理やログの出力、IPv6環境での動作を確認した。 また、認証連携において用いるSAML (Security Assertion Markup Language)では,認証を行うIdP (Identity Provider)と認可を行うSP(ServiceProvider)の二者が連携し、その間ではユーザの識別子として仮名のIDを用いることで個人情報の保護が行われる。本研究ではSPからIdPに利用者の個人情報が逆流し仮名性が失われることによる問題を指摘した。またその解決方法として,IdPとSPの間で仮名のIDを更に変換する事を提案し,その機構をIdentifierTransformer(IdT)として提案した.さらに,SAMLの標準機能であるAP(Attribute Provider)をIdTに用いることでSMLの特徴を継承しつつも安全な変換ができるようAPの2つの実装に合わせた詳細設計を行い,またそれらを比較した.また,本研究ではAPの実装の1つ,ProxyIdP方式のAPを用いたIdTの実装を行い,その評価及び考察を行った.
|