2010 Fiscal Year Annual Research Report
認証およびアクセス制御機能と連携したソフトウェア資産管理システム
| Project/Area Number |
21500075
|
|---|
| Research Institution | Okayama University |
|---|
Principal Investigator |
岡山 聖彦 岡山大学, 情報統括センター, 助教 (20252588)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
山井 成良 岡山大学, 情報統括センター, 教授 (90210319)
|
|---|
| Keywords | ソフトウェア資産管理 / アクセス制御 / ユーザ認証 |
|---|
| Research Abstract |
平成22年度の研究実施計画では、(1)アプリケーション層におけるNATルータ対策手法の設計・実施、(2)スケーラビリティ改善手法の検討、(3)インストール情報集計・分析機能の検討を実施する予定であった。これらのうち、(2)の手法を検討する過程において、最終年度に実施予定であったPCの属性に応じた制御機能を実現する見込みが早期に得られたため、(3)については計画を変更し、次年度に実施するものとする。
以下、平成22年度に実施した研究項目の詳細と成果について述べる。
まず、アプリケーション層におけるNATルータ対策手法については、インターネットの主要なサービスの一つであるHTTP(Web)において、大組織ではトラヒック低減とレスポンスタイム向上のためにHTTPプロクシを設置することが多いことに注目し、HTTPプロクシにおける認証機能を拡張してクライアントPCの識別とアクセス制御を実現した。HTTPはアプリケーション層のプロトコルであるため、途中にNATルータがあったとしても、HTTPプロクシはNATルータ配下のクライアントPCと直接通信することができる。HTTPプロクシにおける認証はユーザ認証であるが、認証時に特別な識別子をクライアントPCに対して発行するように拡張することにより、HTTPプロクシがクライアントPCを識別して個別にアクセス制御することが可能となった。この研究成果については、国内のシンポジウム(FIT2010)で成果発表を行っている。
次に、スケーラビリティの改善手法として、アクセス制御機能をL2スイッチで実現する方法を検討した。最近は、MACアドレス認証やWEB認証などの機能を持つL2スイッチが増えており、WEB認証機能を持つL2スイッチの中には外部WEBサーバと連携できるものがある。外部WEBサーバであれば、L2スイッチに比べて変更・拡張が容易であるため、外部サーバにソフトウェア資産管理機能を組み込むものとする。これにより、認証とソフトウェア資産管理機能を外部WEBサーバに集約する一方、アクセス制御機能は末端のL2スイッチに分散することにより、認証およびインストール情報提出後のトラヒックが特定のサーバに集中することを回避できると考えられる。さらに、外部WEBサーバがクライアントPCを認証する際の認証サーバとしてLDAPまたはShibbolethを使用し、ユーザアカウントの属性情報を参照してインストール情報(クライアントPCにインストールされているソフトウェアの一覧情報)提出の要・不要を決定する機能を外部WEBサーバに組み込むものとする。これにより、組織の構成員ではないゲストユーザに対しては、インストール情報の提出を求めないといった制御が可能となると考えられる。
なお、前年度に開発を行ったMACアドレス中継型NATルータについては、その成果を国際会議(SAIM2010)にて発表すると共に、国内のジャーナル(情報処理学会論文誌)に投稿して採録されている。
|
