@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00228671,
 author = {平井, 雅人 and 小谷, 大祐 and 岡部, 寿男 and Masato, Hirai and Daisuke, Kotani and Yasuo, Okabe},
 book = {コンピュータセキュリティシンポジウム2023論文集},
 month = {Oct},
 note = {単一の認可サーバでサードパーティへの認可を集中的に管理し，ユーザが事前に設定したポリシーのもとで自動で認可を行うフレームワークであるUser-ManagedAccess (UMA)はユーザの認可における負担軽減に有用である．しかし，UMAには透明性における課題があり，認可サーバによってユーザが関知しないところで認可されうるなどの問題がある．これに対してブロックチェーンを利用する解決手法が提案されているが，ブロックチェーンは処理を公開する特性を持つため，ユーザのプライバシを守る技術であるUMAを改良するのに適していない可能性がある．そこで本研究では，UMAの利便性を保持しつつ透明性を向上させることを目的とし，UMAの認可サーバの役割であるトークンの発行や管理をユーザ所有の端末上で行う手法を提案する．これにより，従来のUMAのように透明性の低い認可サーバを信頼することなく，ユーザがUMAで得られる認可負担の軽減を得られるようになることが期待される．, User-Managed Access (UMA) is a framework for asynchronous user-centric authorization management of third-party access to protected resources. UMA is expected to reduce the burden of users for responding to authorization requests from third-party clients. In UMA, transparency of the authorization server, usually operated by a (believed to be) trusted third-party entity, is important because the authorization server may behave maliciously, such as authorizing access that violates authorization policy set by users. Some proposals proposed the user of blockchain for improving transparency, but blockchain may not be suitable because blockchain technologies make information public although authorization policies and decisions will be sensitive to user privacy. In this paper, we propose an architecture that improves UMA's transparency by putting the UMA authorization server on user-owned devices. By doing authorization decisions and access token issuance on user-owned devices, our architecture improves the transparency to the users while reducing the users' authorization burden.},
 pages = {415--422},
 publisher = {情報処理学会},
 title = {User-Managed Accessにおけるユーザ所有の端末の認可サーバ化},
 year = {2023}
}