ID Management

インターネットにおける ID管理に関する考察 1

概要利⽤者が管理するIDが増加サービスごとにID情報を登録個⼈個⼈利⽤するサービスが増えると情報情報 IDの管理が⼤変になる個⼈ ID管理の削減情報シングルサインオンの現状 ID OpenIDの課題と解決策利⽤者 2

1. 背景 3

はじめにオンラインバンキングオンライン上のサービス個⼈情報 Webメール銀⾏、ショッピング個⼈情報 Webメール、Blog、SNS 管理するIDが増加 SNS 個⼈オンラインでは認証が重要情報 ID情報の重要性フィッシング詐欺 ID IDの不正利⽤ ID ID 脅威個⼈情報保護法利⽤者 4

2. ID分類モデル 5

既存研究 - ID分類モデル (1) ⻫藤らによるID情報の分類 (1) 定義例カテゴリ1 識別⼦としてのID 名前、社員番号、電話番号カテゴリ2 存在、能⼒、権利⼾籍、社員証、ライセンスを⽰すID カテゴリ3 権利の⾏使、認証予約番号、引換券、家の鍵のID カテゴリ4 IDの使⽤によって履歴のID、申し込み記録⽣じるID 出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、「ネットワーク社会におけるID氾濫の課題分析」、情報処理学会研究報告、2006 6

既存研究 - ID分類モデル (2) ⻫藤らによるID情報の分類 (2) IDを無くすアプローチ本⼈確認なしの情報を収集し、緩い本⼈性の確認を実現本⼈性考え⽅厳密な本⼈性本⼈とバンドル。バイオメトリクス、ICカード緩い本⼈性本⼈とのバンドルはトラブル時のみ本⼈確認なしトラブルがない、⼩さいことを前提出典: ⻫藤典明、櫛⽥達也、⼭崎哲朗、⼩林透、⾦井敦、「多様なアイデンティティを実現する認証⽅式の提案」、情報処理学会研究報告、2007 7

ID管理の負担を低減するために ID管理の負担低減【既存研究】【今回の考察】 IDを減らす IDを無くす (複数のIDを連携) どのIDを減らせば効果的か？検討のためにID分類モデルを再分類する 8

ID情報の再分類 (1) サービス利⽤時の認証⼿順識別 … ⼀意に識別できるIDを提⽰認証 … 秘密情報でIDの所有者であることを確認認可 … IDに結びついた属性情報でアクセス可否を判定 (1) 識別利⽤者サービス提供者 Identification 識別⼦ (ログインID) 秘密情報 (2) 認証 (3) 認可属性情報 (パスワード) Authentication (会員情報) Authorization 9

ID情報の再分類 (2) 以下の2つの観点から再分類した識別、認証、認可本⼈性の確認レベル本⼈性の確認確認しない緩い確認厳密な確認識別 IPアドレスログインID 住⺠基本台帳番号セッションID メールアドレス社員番号認証 Cookie パスワードバイオメトリクスセキュリティトークン住基ICカード認可 DNS逆引き情報会員情報住所、電話番号、ドメイン情報など⽀払い能⼒の提⽰⽣年⽉⽇（クレジットカード） ID削減が IDの数が利⽤者は意識しない効果的多くない 10

3. シングルサインオンの現状 11

シングルサインオンの登場⼈物免許センター IdP SP (公安委員会) ID情報レンタル ID 利⽤者ビデオ属性パスワード情報認証結果銀⾏属性（⼝座開設）認証結果情報名称役割 IdP 利⽤者を認証する。 (Identity Provider) SP IdPから認証結果を受け取り、利⽤者に (Service Provider) サービスを提供する。利⽤者 (User) SPからサービスを受けるために、IdPを使って⾃⾝を認証してもらう。 12

統合認証モデル (1) ⼀つのIdPが全てのIDを管理必要条件利⽤者を⼀意に識別できる利⽤者およびSPがIdPを信頼できる単⼀組織内での利⽤に適している IdP 認証サーバ (⼈事DB) SP イン ID情報利⽤者社内システムグロ (経理) 信頼信頼利⽤社内システム⼀つのIDと (勤務管理) パスワード 13

統合認証モデル (2) インターネットでの利⽤ .NET Passport (Microsoft社) TypeKey (Six Apart社) 以下の懸念により普及していない 1. 商業的懸念: IdPがサービス終了したら？ 2. プライバシー: 利⽤者の情報をIdPが集約利⽤者 IdP SP ID情報 14

分散認証モデルインターネットに向いたモデルは？不特定多数の利⽤者やSPが存在 15

分散認証モデル複数のIdPが利⽤者の情報を管理利⽤者、SPともにIdPの選択が可能インターネット向きの⽅式 IdP IdP ポータルポータル SP サイトB サイトA ID情報 Webメール ID情報利⽤者利⽤者 Blog カレンダー 16

分散認証モデル例1 – Liberty Alliance .NET Passportへの対抗 Sun Microsystemsなど事前にID情報を交換 (Federation) 中間IDを⽤いることで名寄せを防ぐ連携 SP ID: A IdP ID: B 中間ID ID情報 ID情報 ID: Aとして ID: Bとしてログイン⾃動的にログイン利⽤者 ID: A ID: B 17

分散認証モデル例2 - CardSpace Windows Vistaに標準搭載 SPのポリシーによってIdPが決定する IdP A IdP B SP SP 認証結果 ID情報 ID情報利⽤者ポリシー ID: A ログイン ID: B 18

分散認証モデル例3 - OpenID URLをIDとして使う利⽤者が選択したIdPでログインする IdP B IdP A http://openid.ne.jp/ http://auth.livedoor.com/ SP ID情報 ID情報 ID: profile.livefoor.com/alice 利⽤者 19

ID分類とのマッピング統合認証モデル分散認証モデルカテゴリ .NET Passport Liberty Alliance CardSpace OpenID 識別利⽤者の IdPとSPそれぞれ IdPごとに利⽤者がメールアドレスに個別のID 個別のID 指定したURL 認証中央の認証サーバ SPが信頼するIdP SPのポリシーに利⽤者が指定が⼀元的に認証⼀致するIdP したIdP (変更可能) 認可なし拡張仕様なし拡張仕様 (ID-WSF) (策定中) IDと IDとパスワードが複数パスワードが⼀つ (ポリシーが複数の場合) IDは複数 IDとパスワードが⼀つパスワードは⼀つ 20

4. OpenIDの特徴と課題 21

OpenIDの概要 2005年秋に登場 Liberty AllianceやCardSpaceよりシンプル Web2.0サービスにて普及の兆し組織サポート状況 Sun Microsystems Sunの社員に対してOpenIDアカウントを発⾏ Microsoft CardSpaceをOpenIDに対応させることを表明。 FireFox Webブラウザの次期バージョンにおいて OpenIDをサポート。 AOL AOLの会員に対してOpenIDアカウントを発⾏。 livedoor livedoorの会員に対してOpenIDアカウントを発⾏。 LiveJounal OpenIDアカウントによってログインしコメントを残すことが可能。 22

OpenIDの特徴 IDとIdPを分離 (delegate) 利⽤しているIdPがサービス終了他のIdPにdelegateすればIDを変えなくてよい IdP B IdP A http://openid.ne.jp/ http://auth.livedoor.com/ SP ID情報 ID情報 HTML alice.example.com IdPのURL 利⽤者のWebサイト http://auth.livedoor.com/ http://openid.ne.jp/alice/ 利⽤者 http://alice.example.com/ 23

OpenIDの課題 (1) フィッシング詐欺の懸念 SPが偽の認証サーバに誘導する対策 Verisign Seatbelt … Webブラウザの拡張機能登録していないIdPに誘導されると警告する IdP SP (2) 偽の認証サーバに (1) IDの⼊⼒認証サーバリダイレクト http://alice.example.com alice.example.com 偽の認証サーバ利⽤者 http://fake.com ログインパスワード 24

OpenIDの課題 (2) SPとIdP（認証サーバ）の関係が不定 OpenIDは利⽤者の識別・認証のみどのIdPを使うかは、利⽤者次第 SPはどのIdPが信頼できるかが分からない → オレオレIdPも可能 IdP 利⽤者 SP IdP IdP IdP 25

OpenIDの課題とIDの削減 OpenIDは認証の信頼性が低い ○ 利⽤者が同⼀⼈物であることの確認 × 利⽤者が信⽤できるかの確認現状では信頼性が低い領域のみの適⽤ Blogでのコメントなど信頼性適⽤領域 IDを削減するためには… 信頼性を⾼め、適⽤領域を広げる現状 26

対策 - 信頼性強化 (1) 評価サービスの導⼊利⽤者の評判を数値化 Reputation Framework Reputation Framework 出典: Phillip J. Windley, Kevin Tew, Devlin Daley, 評価情報の収集 “A Framework for Building Reputation” [認可] IdP SP 利⽤者 IdP [識別・認証] IdP IdP 27

対策 - 信頼性強化 (2) IdPが属性情報を提供属性情報を⽤いて利⽤者を信頼例: オークションの評価がよければコメント投稿可能な Blog SPがIdPを信頼する仕組みが必要 IdP 利⽤者信頼 SP [識別・認証] alice.example.com [認可] 関連付け所属オークションの ex: sun.com 評価属性情報 28

まとめ ID削減に向けた考察を⾏った 1. IDの分類モデルを再分類識別・認証・認可と本⼈性の観点 2. シングルサインオンサービスの調査 3. OpenIDの課題と対策案の考察今後は本⼈性担保の強化⽅法を検討 IdPが属性情報を提供するための要件を整理実現案の提⾔ 29

http://www.machu.jp	749
http://www.slideshare.net	10
http://www3069u.sakura.ne.jp	1

ID Management

by Kohei MATSUOKA on Jan 10, 2008

Accessibility

Categories

Tags

Upload Details

Usage Rights

3 Embeds 760

Statistics

ID Management — Presentation Transcript