| Item type |
SIG Technical Reports(1) |
| 公開日 |
2023-07-17 |
| タイトル |
|
|
タイトル |
PUFを基にしたアクセストークンを用いる認可プロトコルの検討 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
An Approach to Authorization Protocol Using PUF-based Access Token |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
HWS |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
セコム株式会社 |
| 著者所属 |
|
|
|
セコム株式会社 |
| 著者所属 |
|
|
|
セコム株式会社 |
| 著者所属(英) |
|
|
|
en |
|
|
SECOM Co., Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
SECOM Co., Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
SECOM Co., Ltd. |
| 著者名 |
八代, 理紗
磯部, 光平
国井, 裕樹
|
| 著者名(英) |
Risa, Yashiro
Kohei, Isobe
Hiroki, Kunii
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
OAuth は,API を介してリソースへアクセスするクライアントに対してアクセス許可 (認可) を行うプロトコルである.OAuth における認可はユーザの許可のもとでクライアントにアクセストークンが発行されることを指す.アクセストークンを用いることで,クライアントはユーザの認証情報を直接扱わず,アプリケーション間で情報共有が可能となる.OAuth はスマートフォンや PC のような高度なセキュリティが実装された環境でアクセストークンを保持することを想定している.一方で IoT 機器のようなセキュリティリソースの少ない環境での利用は想定されておらず,機器の解析によるアクセストークンの窃取等の脅威が考えられるが,アクセストークンの取り扱い方法についてはクライアント依存となってしまっている.本稿では,IoT 機器向けの認可プロトコルとして OAuth での PUF の利用について検討を行った.検討では認可サーバの必要運用コストを最低限にしつつ,アクセストークンなどの秘密情報をクライアントが保持せずに認可サーバと共有できるプロトコルの設計を行った.これによりクライアントから秘密情報を抜き取るような脅威に対してセキュアな認可方式が実現可能となる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
OAuth is one of the protocols that enable to authorize resource access for a client through API. The authorization by OAuth is accomplished by issuing access token to the client with approval from the user. By using access token, the client can share the user’s information between applications without exchanging the authentication information of the user. In OAuth, it is assumed that access token would be stored on high security platforms such as smartphones and computers. On the other hand, however, it has been hardly considered about how to deal with access token on the platform with limited resources like IoT devices. Therefore, its implementation is client-dependent and could be vulnerable against the threat that access tokens could be stolen by the device analysis. In this paper, we made a consideration about using OAuth in combination with Physically Unclonable Function (PUF) as the authorization protocol for IoT devices. The client can share the secret information like access token with an authorization server without holding the information while minimizing the operation cost of the server in this protocol. The protocol enables to accomplish secure authorization against the threats that the secret information could be stolen from the clients. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2023-SPT-52,
号 55,
p. 1-6,
発行日 2023-07-17
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT23052055.pdf (1.1 MB)
