More Related Content
Similar to ID Management (20)
More from Kohei MATSUOKA (7)
ID Management
- 4. はじめに
オンラインバンキング
オンライン上のサービス 個⼈
Webメール 情報
銀⾏、ショッピング 個⼈
情報
Webメール、Blog、SNS
管理するIDが増加 SNS
個⼈
オンラインでは認証が重要 情報
ID情報の重要性
フィッシング詐欺 ID
IDの不正利⽤ ID ID
個⼈情報保護法
脅威
利⽤者
4
- 6. 既存研究 - ID分類モデル (1)
⻫藤らによるID情報の分類 (1)
定義 例
カテゴリ1 識別⼦としてのID 名前、社員番号、電話番号
カテゴリ2 存在、能⼒、権利 ⼾籍、社員証、ライセンス
を⽰すID
カテゴリ3 権利の⾏使、認証 予約番号、引換券、家の鍵
のID
カテゴリ4 IDの使⽤によって 履歴のID、申し込み記録
⽣じるID
出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、
「ネットワーク社会におけるID氾濫の課題分析」、情報処理学会 研究報告、2006
6
- 7. 既存研究 - ID分類モデル (2)
⻫藤らによるID情報の分類 (2)
IDを無くすアプローチ
本⼈確認なしの情報を収集し、緩い本⼈性の確
認を実現
本⼈性 考え⽅
厳密な本⼈性 本⼈とバンドル。
バイオメトリクス、ICカード
緩い本⼈性 本⼈とのバンドルはトラブル時のみ
本⼈確認なし トラブルがない、⼩さいことを前提
出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、
「多様なアイデンティティを実現する認証⽅式の提案」、情報処理学会 研究報告、2007
7
- 8. ID管理の負担を低減するために
ID管理の負担低減
【既存研究】 【今回の考察】
IDを減らす
IDを無くす
(複数のIDを連携)
どのIDを減らせば効果的か?
検討のためにID分類モデルを再分類する
8
- 9. ID情報の再分類 (1)
サービス利⽤時の認証⼿順
識別 … ⼀意に識別できるIDを提⽰
認証 … 秘密情報でIDの所有者であることを確認
認可 … IDに結びついた属性情報でアクセス可否を判定
(1) 識別
利⽤者 サービス提供者
Identification
識別⼦
(ログインID)
秘密情報 (2) 認証 (3) 認可 属性情報
(パスワード) Authentication Authorization (会員情報)
9
- 10. ID情報の再分類 (2)
以下の2つの観点から再分類した
識別、認証、認可
本⼈性の確認レベル
本⼈性の確認
確認しない 緩い確認 厳密な確認
識別 IPアドレス ログインID 住⺠基本台帳番号
セッションID メールアドレス 社員番号
認証 Cookie パスワード バイオメトリクス
セキュリティトークン 住基ICカード
認可 DNS逆引き情報 会員情報 住所、電話番号、
ドメイン情報など ⽀払い能⼒の提⽰ ⽣年⽉⽇
(クレジットカード)
利⽤者は ID削減が IDの数が
意識しない 効果的 多くない
10
- 12. シングルサインオンの登場⼈物
免許センター
IdP (公安委員会) SP
ID ID情報 レンタル
利⽤者 ビデオ
パスワード 属性
情報
認証結果
銀⾏
認証結果 属性 (⼝座開設)
情報
名称 役割
IdP 利⽤者を認証する。
(Identity Provider)
SP IdPから認証結果を受け取り、利⽤者に
(Service Provider) サービスを提供する。
利⽤者 (User) SPからサービスを受けるために、IdPを
使って⾃⾝を認証してもらう。 12
- 13. 統合認証モデル (1)
⼀つのIdPが全てのIDを管理
必要条件
利⽤者を⼀意に識別できる
利⽤者およびSPがIdPを信頼できる
単⼀組織内での利⽤に適している
IdP 認証サーバ
(⼈事DB) SP
利⽤者 グ イン ID情報 社内システム
ロ
信 (経理)
頼
信頼
利⽤
社内システム
⼀つのIDと (勤務管理)
パスワード 13
- 14. 統合認証モデル (2)
インターネットでの利⽤
.NET Passport (Microsoft社)
TypeKey (Six Apart社)
以下の懸念により普及していない
1. 商業的懸念: IdPがサービス終了したら?
2. プライバシー: 利⽤者の情報をIdPが集約
利⽤者
IdP SP
ID情報
14
- 16. 分散認証モデル
複数のIdPが利⽤者の情報を管理
利⽤者、SPともにIdPの選択が可能
インターネット向きの⽅式
IdP IdP ポータル
ポータル
サイトB SP
サイトA
ID情報
ID情報
Webメール
利⽤者 利⽤者
Blog カレンダー
16
- 17. 分散認証モデル例1 – Liberty Alliance
.NET Passportへの対抗
Sun Microsystemsなど
事前にID情報を交換 (Federation)
中間IDを⽤いることで名寄せを防ぐ
連携 SP
IdP ID: A
中間ID ID: B
ID情報 ID情報
ID: Aとして ID: Bとして
ログイン 利⽤者 ⾃動的にログイン
ID: A ID: B
17
- 18. 分散認証モデル例2 - CardSpace
Windows Vistaに標準搭載
SPのポリシーによってIdPが決定する
IdP A IdP B SP SP
認証結果
ID情報 ID情報
利⽤者
ポリシー
ログイン ID: A
ID: B
18
- 19. 分散認証モデル例3 - OpenID
URLをIDとして使う
利⽤者が選択したIdPでログインする
IdP B
IdP A
http://openid.ne.jp/
http://auth.livedoor.com/
SP
ID情報 ID情報
ID: profile.livefoor.com/alice
利⽤者
19
- 20. ID分類とのマッピング
統合認証モデル 分散認証モデル
カテゴリ .NET Passport Liberty Alliance CardSpace OpenID
識別 利⽤者の IdPとSPそれぞれ IdPごとに 利⽤者が
メールアドレス に個別のID 個別のID 指定したURL
認証 中央の認証サーバ SPが信頼するIdP SPのポリシーに 利⽤者が指定
が⼀元的に認証 ⼀致するIdP したIdP
(変更可能)
認可 なし 拡張仕様 なし 拡張仕様
(ID-WSF) (策定中)
IDと IDとパスワードが複数
パスワードが⼀つ (ポリシーが複数の場合)
IDは複数 IDとパスワードが⼀つ
パスワードは⼀つ
20
- 22. OpenIDの概要
2005年秋に登場
Liberty AllianceやCardSpaceよりシンプル
Web2.0サービスにて普及の兆し
組織 サポート状況
Sun Microsystems Sunの社員に対してOpenIDアカウントを発⾏
Microsoft CardSpaceをOpenIDに対応させることを表明。
FireFox Webブラウザの次期バージョンにおいて
OpenIDをサポート。
AOL AOLの会員に対してOpenIDアカウントを発⾏。
livedoor livedoorの会員に対してOpenIDアカウントを発
⾏。
LiveJounal OpenIDアカウントによってログインしコメント
を残すことが可能。
22
- 23. OpenIDの特徴
IDとIdPを分離 (delegate)
利⽤しているIdPがサービス終了
他のIdPにdelegateすればIDを変えなくてよい
IdP A IdP B
http://auth.livedoor.com/ http://openid.ne.jp/
SP
ID情報
ID情報
alice.example.com HTML
IdPのURL
利⽤者のWebサイト http://auth.livedoor.com/
http://openid.ne.jp/alice/
利⽤者
http://alice.example.com/ 23
- 24. OpenIDの課題 (1)
フィッシング詐欺の懸念
SPが偽の認証サーバに誘導する
対策
Verisign Seatbelt … Webブラウザの拡張機能
登録していないIdPに誘導されると警告する
SP IdP
(1) IDの⼊⼒ (2) 偽の認証サーバに 認証サーバ
リダイレクト http://alice.example.com
alice.example.com
利⽤者 偽の認証サーバ
http://fake.com
ログイン
パスワード
24
- 27. 対策 - 信頼性強化 (1)
評価サービスの導⼊
利⽤者の評判を数値化
Reputation Framework
Reputation Framework
出典: Phillip J. Windley, Kevin Tew, Devlin Daley,
評価情報の収集 [認可] “A Framework for Building Reputation”
IdP SP
利⽤者
IdP
[識別・認証]
IdP IdP
27
- 28. 対策 - 信頼性強化 (2)
IdPが属性情報を提供
属性情報を⽤いて利⽤者を信頼
例: オークションの評価がよければコメント投稿可能な
Blog
SPがIdPを信頼する仕組みが必要
IdP
利⽤者 信頼
[識別・認証] SP
alice.example.com
[認可]
関連付け
オークションの 所属
評価 ex: sun.com
属性情報 28