- 著者
-
厚谷 有輝
金子 晋丈
寺岡 文男
- 雑誌
- 情報処理学会論文誌 (ISSN:18827764)
- 巻号頁・発行日
- vol.55, no.2, pp.849-864, 2014-02-15
本論文はインターネットを通して提供される様々なサービスに対し,統一的な認証認可の仕組みを実現する汎用認証認可基盤ヤマタノオロチを提案する.汎用の認証認可基盤には"マルチドメイン環境で多様な認証方式をサポートすること","サービスによらないアクセス制御を実現すること","基盤の負荷を少なくしてスケーラビリティを確保すること"の3つが要求事項としてあげられる.本論文で提案するヤマタノオロチはこれらの要求事項を満たすような認証と認可の機能を提供するシステムである.AAAプロトコルのDiameterと認証フレームワークのEAPを利用することで,ユーザ情報の一元化とマルチドメイン認証を可能とした.またKerberosやXACMLを参考にしたチケットシステムを設計し,サービスによらないアクセス制御とスケーラビリティの確保を実現した.これらの設計に基づいて実装したシステムが複数のインターネットサービスにおいて正しく動作することを検証し,認証および認可の処理時間も実用上問題ない時間で処理が完了することも確認した.This paper proposes Yamata-no-Orochi, an authentication and authorization infrastructure for Internet Services. On the authentication and authorization infrastructure, service providers must authenticate users and authorize them by checking their privilege information. And the users obtain personalized services as specified by their privileges. A future authentication and authorization infrastructure should focus on "multi-domain extensible authentication", "service independent access control", and "high scalability". For multi-domain extensible authentication, Yamata-no-Orochi uses Diameter base protocol and Extensible Authentication Protocol (EAP). For service independent access control and high scalability, Yamata-no-Orochi introduces a ticket mechanism inspired to the Kerberos procedure and the XACML policy treatment. The evaluation results showed that all the authentication and authorization processes worked correctly and the processing time was short enough for practical use.