| Item type |
SIG Technical Reports(1) |
| 公開日 |
2018-02-26 |
| タイトル |
|
|
タイトル |
OpenID Connectを利用したプライバシー保護手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Privacy protection method using OpenID Connect |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
東京工科大学大学院 |
| 著者所属 |
|
|
|
東京工科大学大学院 |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo University of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo University of Technology |
| 著者名 |
持木, 勇輝
宇田, 隆哉
|
| 著者名(英) |
Yuki, Mochiki
Ryuya, Uda
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
現在,利用者がインターネット上で会員サービスを利用する際には,自分の個人情報をサーバに登録し,ID ・ パスワードを用いることでサービスを受けることができる.しかし,利用するサービスが多くなるにつれ,ID ・ パスワードの管理が煩雑になり ID の紛失やパスワードの使い回しが起こるようになる.それにより成りすまし等のセキュリティ上のリスクが発生する.それを防ぐ手段としてシングル ・ サインオン (Single Sign - On,以下 SSO とする) という確認方式が挙げられる.現在 OAuth が SSO の主流になっていることによって,ユーザの本人性が確かめられないことによる成りすまし問題が起きている.アプリケーション同士の連携を行うためにユーザ情報である ID ・ パスワードを入力し連携を行うが,OAuth では本人性を確認しないため,悪意のあるアプリケーションを使用してユーザ情報が取られた場合,その情報をもとに他のアプリケーションを使用できてしまう可能性がある.既存対策として PKCE がある.しかし,認可コードの比較検討を OP 側,サーバ内で行っており,OP がもし何らかの影響で使えない場合,認可コードの比較検討ができなくなり,ユーザがサービスを受けることができない可能性がある.そこで,チケット方式を応用し,事前に End - User,OP 間にてチケットを発行し,発行したチケットを用いて End - User,RP 間で本人確認を行う.サーバ側が止まった場合でもユーザがサービスを受けられるようにすることによって,SSO の利便性の向上をプライバシー保護の観点から図ることが本研究の目的である. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Users on web services are usually identified by the combination of ID and password, and their personal information is stored on servers with their IDs. Some of the users reuse the same combination of their ID and password since the number of the services has increased. In this situation, a user whose ID and password of one service are stolen may be impersonated on other services. Single Sign-On (SSO) is one of the countermeasures of the risk. However, OAuth, one of the major SSO systems, has a problem that identification of users is never verified when access permission is checked. Applications on the web refer the same access permission of a user without verifying his identity when the applications collaborate in personal identification. If one of the combinations of ID and password is stolen, all collaborating applications can be logged in by attackers. PKCE has solved the problem. However, all services are stopped when OP is halted since permission code is checked in a server of OP. Therefore, in this paper, we propose to apply a ticket method to SSO. In our proposal, users can be identified by tickets which are issued by OP before the identification. RP can verify the ticket without connecting to OP. Our method has tolerance to OP halt and personal information is protected by the separation of access control. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2018-CSEC-80,
号 13,
p. 1-8,
発行日 2018-02-26
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC18080013.pdf (1.8 MB)
