• 検索結果がありません。

NTMobile における NTM 端末と DC 間の認証強化 に係わる検討

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "NTMobile における NTM 端末と DC 間の認証強化 に係わる検討"

Copied!
16
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 16 ページ )

全文

(1)

NTMobileにおけるNTM端末とDC間の認証強化 に係わる検討

110425300 三輪 卓也

渡邊研究室

1. はじめに

我々はあらゆるネットワーク環境において移動しながら 通信ができる技術として,通信接続性と移動透過性を同時に 実現するNTMobileNetwork Traversal with Mobility を提案している.NTMobileにおけるモバイル端末の認証 方法は,現状ではパスワードを利用しているが,この方法 ではパスワードの漏洩などに対処できず,セキュリティ上 万全とは言えない.本稿では,その対策として公開鍵証明 書をモバイル端末に保持させる方式について提案する.ス マートフォンは耐タンパ性が保障されていないため,秘密 鍵が漏洩する懸念があるが,秘密鍵をパスワードで暗号化 することにより,これを防止する.

2. NTMobile

NTMobileは,NTMobileの機能を実装した端末(以下 NTM端末)とNTM端末の管理や通信経路の指示を行う Direction Coordinator(以下DC),必要に応じて通信を 中継するRelay Server(以下RS)から構成される.NTM 端末はネットワークを切り替えても変化しない仮想IPアド レスをDCから割り当てられる.仮想IPアドレスに基づ くパケットを実IPアドレスによりカプセル化し,実IP ドレスの変化をアプリケーションに対して隠蔽することに よって移動透過性を実現している[1]DCRSはいずれ もサービス提供者が管理する装置であるため,信頼関係が あることを前提としている.NTM端末はアカウント取得 時にパスワードをDCに登録することによりDCとの信頼 関係を構築する.NTM端末はDCの公開鍵証明書を用い DC側を認証するとともに共通鍵を共有する.次にユー ザがアカウント取得時に登録したパスワードをDCに送信 することによりNTM端末側を認証する.しかし,この方 法ではパスワードが漏れると他の端末からもログインでき るため安全性が低い.

3. 提案方式

DCのみに発行していた公開鍵証明書をNTM端末にも 持たせることで双方向の確実な認証を行う.NTM端末が 保持する秘密鍵はユーザが設定するパスワードで暗号化す る.ユーザがログインするには所定のNTM端末を保持し,

かつパスワードを知っている必要があり,安全性が高まる.

3. 1 端末の登録方法

ユーザはNTMobileのアカウント作成用アプリケーショ ンを起動し,アカウントサーバに接続する.必要事項を入 力することにより,秘密鍵/公開鍵ペアの生成とアカウン ト登録要求を行う.その際生成した秘密鍵はユーザのパス ワードで暗号化して端末に保持する.本人確認及び証明書 発行審査が完了すると,アカウントサーバから公開鍵証明 書が発行される.

3. 2 認証方法

1NTM端末の認証処理シーケンスを示す.ユー ザはログイン画面よりLogin ID とパスワードを入力す る.NTM端末はまず秘密鍵をパスワードで復号する.次

NTM端末は通常のSSL通信によりDCを認証する とともに共通鍵を共有する.NTM端末は秘密鍵を用いて Login IDFQDN,自身の公開鍵証明書と共に電子署名

PriKeyNTM[h[ID]])をDCに送信する.これを受け取っ DCNTM端末の公開鍵証明書の検証を行う.アカウ ントサーバによって発行された正規なものであることが確 認されると,証明書に含まれるNTM端末の公開鍵を用い て,電子署名(PriKeyNTM[h[ID]])を検証し,NTM端末 を認証する.その後,共通鍵CKNTM-DCを生成しLogin Responseにより配布する.CKNTM-DCは以後のNTM 末とDCとの間の全ての通信における暗号鍵と認証鍵に利 用する.

この手法により,NTM端末の保有者でかつパスワード を知っているユーザのみがDCとの信頼関係を構築できる.

パスワードは秘密鍵を復号するためだけに使用されるので,

どこにも保管されず送信もされない.ユーザの頭の中に留 まるのみという点でセキュリティ性がより向上している.従 来の方式との親和性も保たれており,ユーザ目線からは認 証の流れに大きな変化がないことも特徴である.そのため,

本提案方式を従来の方式に追加することでユーザがどちら の方式を使用するか選択できる方法を採ることができる.

SSL_KEY NTM端末

秘密鍵の復号、h[ID]の生成・暗号化 Login ID・PWの入力

証明書の検証⇒h[ID]の取得 Key Exchange for SSL

Login Response [CKNTM-DC] NTMobile の起動(ログイン画面)

Login Request

[Login ID|FQDNNTM|NTM端末公開鍵証明書|PriKeyNTM[h[ID]]]

h[ID]の生成⇒h[ID]とh[ID]の比較(認証)

DCNTM

①CKNTM-DCを生成

②FQDN,CKNTM-DCをNode Info Tableに登録 Node Info Table:トンネル構築時に必要なNTM端末の情報

ユーザの操作 各機器の処理

1: NTM端末の認証処理シーケンス

4. まとめ

本稿では,NTMobileにおけるNTM端末とDC間のセ キュリティをより強化した認証方法について提案した.今 後は提案方式の実装を行い,性能評価を行う予定である.

参考文献

[1] 内藤.他:NTMobileにおける移動透過性の実現と実装, 情報処理学会論文誌Vol.54, No.1, pp.380–393, 2013.

(2)

NTMobile における NTM 端末と DC 間の 認証強化に係わる検討

名城大学 理工学部 情報工学科

渡邊研究室

110425300 三輪 卓也

(3)

通信接続性の確立

相手のネットワーク環境に影響されず通信を開始 できる

移動透過性の実現

通信中にネットワークを切り替えても通信が継続

はじめに

NTMobile ( Network Traversal with Mobility )

(4)

NTM 端末

NTMobile を実装した端末

DC ( Direction Coordinator )

NTM 端末の管理や通信経路の指示

仮想 IP アドレスの配布

AS ( Account Server )

ユーザのアカウント情報を管理

NTMobile の構成

NAT

DCA

AS

NTM Node A NTM Node B

DCB

Private Network 4G Network

Global Network

(5)

DC は NTM 端末に仮想 IP アドレスを割り当てる

仮想 IP アドレス:接続先のネットワークを切り替えて も変化しない一意なアドレス

NTM 端末は仮想 IP アドレスに基づくパケットを 実 IP アドレスによりカプセル化

NTMobile の概要

IP

アドレス 仮想

IP

アドレス

アプリケーションに対して実 IP アドレスの変化

を隠蔽することによって移動透過性を実現

(6)

NTMobile のセキュリティ

DCA

DCB

DCNTM

AS

NTM端末

ID パスワード 公開鍵証明書 共通鍵

他の認証に比べ弱い 証明書を利用して相互に

認証し,共通鍵を共有

(7)

NTM 端末の認証シーケンス (1)

NTM端末 DC

Key Exchange for SSL

SSL_KEY

Login ID

PW

の入力

DC公開鍵証明書

AS

Login ID PW

Authentication Request

事前共有鍵

Login ID PW

ユーザの操作

DC

を 認証

Login Request

(8)

NTM 端末の認証シーケンス (2)

NTM端末 DC

SSL_KEY

Login Response

共通鍵CKDCが生成

CKNTM-DC Authtoken

AS

Authtoken

Authentication Response

事前共有鍵

照合して認証

次回以降の認証に利用

機器の処理

(9)

なりすましによるログイン

パスワードが漏れた場合,他の端末からもログイ ンができる

NTM 端末の認証方法における課題

改善の余地がある

端末Aのパスワード

端末ADC

端末A

端末B

(10)

NTM 端末も公開鍵証明書を保持

DC との双方向の確実な認証

秘密鍵をパスワードで暗号化して保持

耐タンパ性が保障されていないことを考慮

パスワードはどこにも保管されず,送信もされない

認証方式の提案

(11)

NTM 端末の登録方法

アカウント作成

秘密鍵 / 公開鍵ペアの生成

Login ID ・パスワード,個人情報を入力

パスワードに基づき秘密鍵を暗号化, Login ID と 個人情報を AS に送信

AS の処理

審査をした上で,公開鍵証明書を発行

AS

公開鍵証明書の生成 秘密鍵/公開鍵ペア

の生成

PWにより秘密鍵を 暗号化

登録要求

(12)

11

提案方式の認証シーケンス( 1 )

NTM端末 DC

黄丸はユーザのアクション 白丸は各機器の処理

を示す

NTMobile

の起動(ログイン画面)

Login ID

PW

の入力

PW

で秘密鍵を復号

認証情報のダイジェストを生成

h[AI]

暗号化したNTM端末秘密鍵 NTM端末公開鍵証明書

DC公開鍵証明書 AS公開鍵証明書

AILogin IDFQDN公開鍵証明書

(13)

提案方式の認証シーケンス( 2 )

h[AI]

を秘密鍵で暗号化

h[AI]

NTM端末 DC

Key Exchange for SSL

SSL_KEY DC

を認証

h[AI]

Login Request

NTM端末公開鍵証明書

DC公開鍵証明書 AS公開鍵証明書 暗号化したNTM端末秘密鍵

AI

(14)

提案方式の認証シーケンス( 3 )

Login Response

NTM端末 DC

SSL_KEY

証明書を検証⇒

h[AI]

の取得 認証情報のダイジェストを生成

h[AI]

二つのダイジェストを比較

NTM端末の公開鍵で 復号

一致すれば認証完了

h[AI] h[AI]

以後の通信に利用する暗号鍵と認証鍵を生成して配布

CKNTM-DC Authtoken

NTM端末公開鍵証明書

DC公開鍵証明書 AS公開鍵証明書 暗号化したNTM端末秘密鍵

(15)

評価

現状の方式 提案方式

不正ログイン △ ○

辞書攻撃 △ ○

利便性 ○ △

辞書攻撃:辞書(ファイル)に載っている単語を試行し,パスワードを解析 する手法

利便性:ユーザ側,管理者側から総合的に評価

(16)

NTM 端末の認証方法の改善

なりすましによるログインを防止する必要性

提案する認証方法

所定の NTM 端末とパスワードによる認証

秘密鍵の暗号化・復号にパスワードを利用

今後について

提案方式の実装を行い,性能評価を行う

まとめ

参照

今ダウンロードする ( PDF - 16 ページ - 758.51 KB )

関連したドキュメント

平成30年度証券投資に関する全国調査

この調査は、健全な証券投資の促進と証券市場のさらなる発展のため、わが国における個人の証券

)に係る令第 4 条第 1 項に規定する証 明書(以下「証明書」という

12―1 法第 12 条において準用する定率法第 20 条の 3 及び令第 37 条において 準用する定率法施行令第 61 条の 2 の規定の適用については、定率法基本通達 20 の 3―1、20 の 3―2

記 1 対象となる水産動物 水産資源保護法(昭和26年法律第313号

れをもって関税法第 70 条に規定する他の法令の証明とされたい。. 3

子 ど も 安 全 管 理 士 講 座 教 科 書

 リスク研究の分野では、 「リスク」 を検証する際にその対になる言葉と して 「ベネフ ィッ ト」

Microsoft Word - 20北米総目次.doc

FSIS が実施する HACCP の検証には、基本的検証と HACCP 運用に関する検証から構 成されている。基本的検証では、危害分析などの

第 5 部第 1 章電子証明書管理 (DenPASS のみ ) 第 5 部管理事項に関する操作 第 1 章電子証明書管理 (DenPASS のみ ) 1 電子証明書管理 (DenPASS のみ ) 1-1 電子証明書の更新 電子証明書を更新する DenPASS 証明書取得用ツールを利用し

※証明書のご利用は、証明書取得時に Windows ログオンを行っていた Windows アカウントでのみ 可能となります。それ以外の

フィッシング対策ガイドライン 2022 年度版 フィッシング対策協議会

すべての Web ページで HTTPS でのアクセスを提供することが必要である。サーバー証 明書を使った HTTPS

Microsoft Word - 07 %ˇ ÑÖ³áPœ.docx

本案における複数の放送対象地域における放送番組の