個人適応型ユビキタス環境

個人適応型ユビキタス環境

ローミングアーキテクチャの研究

小林 透

電気通信大学大学院情報システム学研究科 博士（工学）の学位申請論文

2011 年 3 月

ii

個人適応型ユビキタス環境

ローミングアーキテクチャの研究

博士論文審査委員会

主査 多田 好克 教授

委員 大森 匡 教授

委員 古賀 久志 准教授

委員 近藤 正章 准教授

委員 小宮 常康 准教授

委員 加藤 聰彦 教授

著作権所有者

小林 透

2011

iv

A Study on Personalized Ubiquitous Environment Roaming Architecture Toru Kobayashi

Abstract

I propose new ubiquitous computing service architecture named ―Personalized Ubiquitous Environment Roaming‖. It gives users conditional on-demand access to computing resources such as computing or network devices located in open environments, e.g., Internet cafes or hotels. It also provides users combined services among computing resources in open and closed environments such as those of the home or office.

Thanks to the progress of broadband network relating technologies and embedded technologies, a usage environment of computing resources distributed in a public space has recently become available. However, temporary usage of these computing resources has not been popularized because of service providers' fear of anonymous access and users' privacy concerns. This is due to the lack of an authentication method to justify temporary users and resources.

Therefore, I propose an on-demand and autonomous

authentication method which can be utilized to justify temporary

users and resources. I introduced an electrical use-right policy

token which contains user attribute conditions and resource

attribute conditions as temporary resource usage conditions. A

user provides the use-right policy token to a target resource. This

event triggers the target resource to verify conditions written in

the use-right policy token. Then, if the verification is successful,

the user will be granted access to use the resource. All of these

sequences are implemented on a trusted relationship by mutual

authentication using the public key infrastructure. This approach

provides a secure temporary resource usage service for both service providers and users.

I expanded this on-demand and autonomous authentication method to the PURE which stands for Personalized Ubiquitous environment Roaming architecturE. The PURE is aiming to realize the secure on-demand usage of local computing environment and also the secure remote access and combination of remote computing environment without needing special knowledge or complicated procedures.

I describe the system configuration relating to the PURE and

its advantages in terms of security, user friendliness and

performance based on the demonstration system evaluation.

vi

個人適応型ユビキタス環境

ローミングアーキテクチャの研究

小林 透 概要

本論文では，外出先の環境に個人毎のコンピューティング環境をオ ンデマンドに構築可能な個人適応型ユビキタス環境ローミングアー キテクチャを提案する．提案するアーキテクチャでは，コンピュー ティング資源利用時の認証認可や複数資源の組み合わせを可能とす る．これは，利用者や資源の属性に関連するアクセス制御ポリシが 記述された電子的な利用権（以下，利用権と呼ぶ）を用いて実現さ れる．これにより，外出先の環境を利用して，煩雑な手続きや専門 的な知識を要さずにオンデマンドで安全に会社や家庭の資源にリモ ートアクセスすることが可能となる．

外出先資源のオンデマンド利用については，利用者や資源の属性 に関連するアクセス制御ポリシを記述した利用権による自律的資源 利用認証方式を提案する．利用者は，IC カードのような耐タンパデ バイスに利用者属性を格納し，必要に応じて利用権を取得する．利 用者は，資源利用時に利用権と利用者属性を対象資源に提示する．

資源は，受け取った利用権と利用者属性，および自らの資源属性を 基に行使判定を行うことで対象資源の一時利用を認可する．これに より，事前契約が不要で，未知な資源に対してもサービスレベルを 保証した上での一時利用が可能になる．利用者や資源の属性に関連 するアクセス制御ポリシを利用権の形にして流通させることが本研 究の特徴である．従来方式では，サービス提供装置がアクセス制御 ポリシを一元管理するため，ユビキタス環境における資源のアクセ ス制御ポリシ管理問題や資源の安全性，サービスレベル保証問題が あった．本研究で提案する自律的資源利用認証方式では，これらの 問題を解決できる．

しかし，自律的資源利用認証方式は，資源利用時に利用者属性を

対象資源に提示する方式のため，プライバシ保護の観点で課題があ

った．そこで，本研究ではさらに，利用者の所持する IC カード内で，

利用者の属性に関するアクセス制御ポリシを判定し，その結果のみ を資源側に通知するという分散認証認可方式を提案する．自律的資 源利用認証方式が資源側のみで行使判定処理を実施していたのに対 して，利用者の所持する IC カードや資源など複数の装置間で分散し て行使判定が遂行される点が異なる．これにより，利用者のプライ バシが守られる．

一方，外出先からのリモート資源の利用については，分散認証認 可方式をリモート資源に拡張し，ロケーションを越えた資源の組み 合わせや組み合わせ資源の実行制御機能を考案した．これらの機能 は，ローカルなユビキタス環境全体を管理し利用者からの要求に基 づき必要なサービスを提供する中核である．これを，Ubiquitous Area Manager（UAM）と呼ぶ．また，UAM を実装する装置を Ubiquitous Area Gateway(UAG)と呼ぶ．UAG は，ホテルのロビーなど，特定の場所にひ とつ設置され，その場所の複数の資源を管理する．さらに，他の場 所の UAG と連携して，リモート資源の認証認可やローカル資源との 組み合わせ実行制御を実施する．このように利用者が所持する利用 権に基づき，UAG が連携してローカル資源やリモート資源の認証認可 とそれらの組み合わせ実行制御が行われる．UAM が提供する直感的で 直接操作可能なユーザインターフェースにより煩雑な手続きや専門 的な知識は，利用者から隠ぺいされる．利用者は，その場所の UAG に利用権を提示するだけでローカル資源とリモート資源の連携サー ビスの安全な利用が可能となる．

提案する各実現方式は，プロトタイプを開発し実機により評価を 行った．特に，スケーラビリティを含む性能の検証を行うことで，

機能的な要件の達成のみならず，実用的な性能を有することを確か

めた．

viii

目 次

第1章 序章 --- 1

1.1 研究の背景 --- 1

1.2 研究の目的 --- 3

1.3 研究の位置づけ --- 5

1.4 本論文の構成 --- 7

第2章 個人適応型ユビキタス 環境ローミング --- 10

2.1 まえがき --- 10

2.2 利用シーン --- 11

2.2.1. アクターの定義 --- 11

2.2.2. 外出先の資源をオンデマンドに利用するシーン --- 12

2.2.3. 外出先の資源を利用して会社や家庭にあるリモート資源を利用するシーン --- 14

2.2.4. サービス提供方法の新規性と有効性 --- 15

2.3 要件 --- 16

2.4 むすび --- 20

第3章 ポリシ流通を基本とする自律的資源利用認証方式 --- 21

3.1 まえがき --- 21

3.2 自律的資源利用認証方式 --- 22

3.2.1. 基本モデル --- 22

3.2.2. 実現方式 --- 24

3.3 システム設計 --- 28

3.3.1. システム化要件 --- 28

3.3.2. 自律的資源利用認証フレームワーク --- 29

3.3.3. アクセス制御フレームワーク --- 31

3.3.4. オンデマンド暗号通信路 --- 35

3.4 プロトタイプシステム --- 37

3.4.1. 概要 --- 38

3.4.2. 動作シーケンスと動作時間 --- 40

3.5 考察 --- 45

3.5.1. 要求条件の達成度 --- 45

3.5.2. 安全性 --- 47

3.6 関連研究 --- 49

3.7 むすび --- 51

第4章 プライバシ保護強化のための自律的資源利用認証方式の分散化 --- 53

4.1 まえがき --- 53

4.2 分散認証認可方式 --- 54

4.2.1. 基本モデル --- 54

4.2.2. 実現方式 --- 57

4.3 システム設計 --- 60

4.3.1. システム化要件 --- 60

4.3.2. 分散認証認可フレームワーク --- 61

4.3.3. 分散認証認可プロトコル --- 64

4.3.4. 利用権記述と処理方式 --- 68

4.4 プロトタイプシステム --- 75

4.4.1. 概要 --- 75

4.4.2. 動作シーケンス --- 77

4.4.3. 性能測定 --- 79

4.5 考察 --- 85

4.5.1. プライバシ保護の観点 --- 85

4.5.2. 安全性の観点 --- 88

4.6 むすび --- 90

第5章 個人適応型ユビキタス 環境ローミングアーキテクチャ --- 92

5.1 まえがき --- 92

5.2 PUREの概要 --- 92

5.2.1. 基本構成 --- 92

5.2.2. PURE実現上の課題 --- 94

5.3 PUREの設計 --- 94

5.3.1. リモートアクセス方式 --- 94

5.3.2. 実行制御方式 --- 95

5.3.3. GUI --- 100

5.4 プロトタイプシステム --- 105

5.4.1. 概要 --- 105

x

5.4.2. 動作シナリオ --- 108

5.4.3. 性能測定 --- 109

5.5 考察 --- 112

5.5.1. 要求条件の達成度 --- 112

5.5.2. 安全性 --- 113

5.5.3. 関連研究 --- 114

5.6 むすび --- 116

第6章 結論 --- 117

6.1 本論文の主たる結果 --- 117

6.2 今後の課題 --- 121

参考文献 --- 123

図目次

1.1 個人適応型ユビキタス環境ローミング--- 5

3.1 自律的資源利用認証基本モデル---24

3.2 XACMLのデータフローモデル---26

3.3 電子利用権の行使制御が可能な機能配置---27

3.4 自律的資源利用認証フレームワーク ---30

3.5 アクセス制御フレームワーク---31

3.6 アクセス許可証取得シーケンス---33

3.7 利用者属性取得シーケンス---34

3.8 オンデマンド暗号通信路構築手順---36

3.9 公衆無線LAN一時利用プロトタイプシステム---38

3.10 公衆無線LAN一時利用動作シーケンス---41

3.11 XACMLによる利用権記述例---43

3.12 処理フェーズ毎の動作時間---45

4.1 分散認証認可モデル---56

4.2 認証認可パターン方式比較 ---56

4.3 SAMLフレームワーク---57

4.4 分散認証認可のための機能配置---59

4.5 分散認証認可プロセス---60

4.6 分散認証認可フレームワーク---63

4.7 分散認証認可プロトコル---67

4.8 単一条件ブロックの条件判定文---72

4.9 複数条件ブロックの条件判定文---73

4.10 サービス属性を用いた条件判定文---74

4.11 該当するサービス属性の先頭ポインタ取得条件判定文---74

4.12 自由領域から文字列を取りだす場合の条件判定文---74

xii

4.13 文字列個数を指定する条件判定文---75

4.14 指定した文字列の存在判定のための条件判定文---75

4.15 システム構成---77

4.16 インターネット端末一時利用シーケンス---79

4.17 条件判定種別毎の処理時間---81

4.18 分散認証認可動作時間---83

4.19 スケーラビリティ評価シミュレータ---83

4.20 スケーラビリティ評価結果---84

5.1 個人適応型ユビキタス環境ローミングアーキテクチャ---93

5.2 処理プロセス---97

5.3 組み合わせ実行状態遷移---99

5.4 ユーザインターフェース---101-105 5.5 システム構成---107

5.6 Secure Home Gatewayシステム構成---107

5.7 共用端末の操作イメージ---108

5.8 タブレットPCの操作イメージ---108

5.9 性能評価結果---111

5.10 スケーラビリティ評価結果---112

表目次

3.1 各プレーヤの役割---30

3.2 簡易公開鍵証明書フォーマット---37

4.1 プレーヤとその役割---64

4.2 暗号鍵詳細---68

4.3 簡易公開鍵証明書フォーマット---68

4.4 利用者属性の形式---70

4.5 引数，演算子の書式---71

4.6 演算子一覧---71

4.7 基本変数一覧---72

4.8 フィールド変数一覧---72

4.9 条件判定文のデータサイズ比較---81

4.10 シミュレータ装置スペック---84

5.1 役割に基づいた資源の分類---99

1

第 1 章 序章

1.1 研究の背景

近年，「u-Japan」に代表される国家政策[1]の後押しの下，BlueTooth[2]や無 線

LAN

などのネットワーク関連技術や

LINUX

ボックスなどの組込み技術の普 及・展開が進められている．それに伴い，これまで大学や会社，家庭などの限 定された空間での利用が中心だったコンピューティング環境が，駅，空港，ホ テル，カフェなどの公共空間へ広がりつつある．このような環境の変化により，

外出先の環境をオンデマンドに利用して，会社や家庭の環境に安全にかつ簡単 にアクセスしたいというニーズが高まっている．特に，昨今の尐子高齢化の進 展に伴い，これまで社会に出ていなかった人たちが今後さらに社会に進出して くると予想される．このような人たちが，必要な時に必要なだけ外出先の環境 を使用して，安全にかつ簡単に会社や家庭などのコンピューティング資源にア クセスすることができるようになれば，安心して社会活動を行うことが出来る ようになる．たとえば，外出先のカフェから保育園の子供の様子を確認したり，

自宅のペットの様子を確認できたりすることが可能となる．

しかし，実際に外出先の環境を利用するためには，事前にサービス利用契約 の必要なケースが多い．また，一時的な利用が可能な場合でも，半日単位や一 日単位などのサービスが多いため，必要な時に，必要なだけ利用することは難 しい．さらに，外出先の環境を一時的に利用できるとしても，その環境から安 全に会社や家庭の環境にアクセスするには，認証や暗号通信路構築のための証 明書のインストールや

ID,パスワードの設定などまだまだ煩雑な手続きや専門

的な知識が必要で一般的には普及していないのが現状である．

一方，複数のコンピューティング資源を利用することで，個々の利用者に最 適なサービス提供を目指すユビキタスコンピューティングの研究[3][4]は，これ までも多く提案されている．これらの研究の多くは，会社や家庭，病院などの 特定の環境において特定の利用者を対象にしたもの，または，公共の環境にお いて不特定の利用者を対象にしたものである．

特定の環境，特定の利用者を対象にしたものには，利用者の位置情報を利用 して環境に存在するデバイスを利用する機構を提供する

Easy Living [5]や，建

物・家具・日用品に埋め込んだコンピュータ，ネットワーク，センサを利用し て，人の状況を認識し収納物の探索支援などが可能な

The Aware Home[6]，病

院内の位置情報と医師などの利用者属性によって利用できるデバイスを制御す る機構を提供する

Context-aware user authentication[7]などがある．これらの

研究は，もともと特定の環境における特定の利用者を想定しており，RFID や

IC

カードなどによる利用者識別を前提としている．

他方，公共の環境，不特定の利用者を対象にしたものとしては，利用者に対 して公共の空間を一時的に占有可能な計算機環境として提供する

PMAA[8]や，

利用者の置かれている環境の変化に応じて利用するサービスをスムーズに切り 替えることを可能とする

ASAMA[9]，異なる端末間で継ぎ目無く連続してサー

ビスを継続する

SSE[10]などが提案されている．また， Hive[11]では，移動エー

ジェントの枠組みを利用して様々な機器の組み合わせを実現している．

これらの研究では，公共環境のコンピューティング資源の状態が変化しても 継続的なサービスを提供することに力点をおいている．具体的には，個々の利 用者に対して公共環境にあるコンピューティング資源を割り当てたり，他のコ ンピューティング資源にシームレスに切り替えたりすることを実現している．

このようなパーソナルなサービス提供環境を実現するためには，個々の利用 者を識別する認証認可機構との協調が必要であるが，これについては十分議論 されていない．つまり，これは，特定の環境，特定の利用者を対象にしたもの と比較して，公共の環境，不特定の利用者を対象にしたものは，より認証認可 の問題を難しくしていることを示している．

3

また，これらの既存研究では，物理的に利用者の近くに存在するコンピュー ティング資源（ローカル資源）のパーソナライズ化に焦点を当てている．その ため，遠隔地のコンピューティング資源（リモート資源）へのリモートアクセ スやローカル資源とリモート資源を組み合わせたサービスの提供については論 じられていない．

不特定多数の利用者が，公共環境に遍在しているコンピューティング資源を，

一時的に利用するような状況においては，これまでのような事前契約を前提と した利用者認証は適用できない．また，利用者の観点からは，はじめての場所 ではじめて利用することが多いと想定される．そのため，対象コンピューティ ング資源の安全性や期待するサービスレベルを享受できるのかという不安やサ ービス利用に関わるプライバシに対する懸念がサービス利用の阻害要因となっ ていることは否めない．つまり，利用者，サービス提供者双方が未知であるこ とを前提としたユビキタス環境における資源利用においては，利用者のプライ バシに配慮した上で利用者の正当性やサービス提供者の正当性をオンデマンド で確認可能な認証認可技術が求められる．

さらに，上述した認証認可を前提として煩雑な手続きや専門的な知識を要さ ずに会社や家庭のコンピューティング資源に安全にリモートアクセスし，ロー カル資源とリモート資源を組み合わせたサービスの提供が可能な仕組みが求め られる．

1.2 研究の目的

本研究の目的は，オンデマンドで外出先の環境を利用して，煩雑な手続きや 専門的な知識を要さずに会社や家庭のコンピューティング資源に安全にリモー トアクセスすることを実現することである．実現にあたっては，外出先の環境 に個人毎のコンピューティング環境をダイナミックに構築可能とすることを目 指している．

たとえば，利用者は，必要な時にモバイル網経由で外出先のインターネット カフェの利用権を

IC

チップ付携帯電話に取得（購入）する．その携帯電話を，

インターネットカフェ内の

IC

カード

R/W

付インターネット端末に接触させる と，その端末と

NW

環境を瞬時に一時利用できる．さらに，携帯電話に格納さ れている会社や家庭へ安全にアクセスできる利用権により，ビジネスドキュメ ントを表示したりインターネット端末で自宅のペットの様子を確認したりでき る．これは，あたかも外出先の環境を利用した個人のホーム環境のローミング に見えることから，個人適応型ユビキタス環境ローミング（図

1.1）と呼んでい

る．

これまで,インターネット接続サービスや無線

LAN

サービスなどのネットワ ークサービスでは，ローミングが実用化されている．これは，利用者が契約し ているサービス事業者のサービスエリア外であっても，提携先の事業者のエリ ア内にあれば，同様のサービスを利用できるというものである．ただ，これは，

ネットワークサービスという単一のサービスについてのみ実現されているに過 ぎない．そのため，会社や家庭などのホームでのコンピューティング環境その ものをローミングすることは実現できていない．

個人適応型ユビキタス環境ローミングを実現するために必要な要素技術は多 岐に渡る．本研究では，コンピューティング資源利用時の認証認可に着目し，

外出先の環境から安心・安全に会社や家庭の環境にアクセス可能とするための 個人適応型ユビキタス環境ローミングアーキテクチャ(PURE: Personalized

Ubiquitous environment Roaming architecturE)を提案する．PURE

は，コン ピューティング資源の利用条件として，利用者や資源の属性に関連する条件が 記述された利用権を用いて，コンピューティング資源利用時の認証認可や，認 可済みコンピューティング資源の組み合わせをオンデマンドで制御することが できるアーキテクチャである．

5

Home

Personal environment

Internet Cafe

Local environment

Office

Remote environment

Remote environment

図

1.1 個人適応型ユビキタス環境ローミング

1.3 研究の位置づけ

本研究では，特定のユースケースやサービスの実現を目指しているわけでは ない．本研究で目指しているのは，次の

2

つの方式の実現と基盤技術化である．

・外出先のコンピューティング資源を利用者や資源の属性に合わせてオンデマ ンドで利用可能にする認証認可方式

・外出先資源と会社や家庭などにあるコンピューティング資源の連携方式

1.1

節で示したように，家庭や病院のような限定された環境においては，利用 者の属性に合わせた柔軟なコンピューティング資源の利用制御方式が提案され

ている．これは，限定された環境では，利用者を特定しやすいことに起因して いる．しかし，駅や空港などの公共の環境で，それぞれの利用者の属性に合わ せて，コンピューティング資源の利用制御を実現する方式は，十分議論されて いない．これは，公共の環境では，利用者を特定しにくいということに起因し ている．

一方，実サービスにおいても，現在多くの一時利用サービスが提供されてい るが，ほとんどが匿名性を考慮したチケット販売方式である．たとえば，公衆 無線

LAN

の日単位の利用チケットやオフィスコンビニの時間利用などがその 代表例である．

ここで，「外出先のコンピューティング資源を利用者や資源の属性に合わせ てオンデマンドで利用可能にする認証認可方式」が実現されれば，既存研究で 十分議論できていなかった領域を補完することが可能となる．さらにこの方式 を基盤技術として提供することができれば，既存の一時利用サービスのみなら ず，新たな一時利用サービスの普及拡大に寄与できると考える．詳細は，2.2.2.

節で示すが，たとえば，公衆無線

LAN

の場合，これまで一律だった日単位の利 用チケットが，利用者の属性（提携する

ISP

の会員など）や無線

LAN

の属性（帯 域制御が可能など）により料金を可変にできる．また，これまで，会員になっ ていないカーシェアリング事業者の一時利用サービスは受けられなかったが，

利用者の属性（提携するレンタカー会社の会員など）や対象車の属性（カーナ ビ付属など）により料金を細かく設定したサービスを提供できる．

さらに，「外出先資源と会社や家庭などにあるコンピューティング資源の連 携方式」を実現し，既存ネットワークのルータ等に基盤技術として実装するこ とができれば，オーバーレイネットワークとして実用化が可能である．

以上より，本論文では，外出先資源の認証認可方式と資源間連携方式の基盤 化に向けた実現方式が研究対象である．最終的には，既存ネットワークへオー バーレイネットワークとして導入することを目指している．一方，本基盤技術 のもとに提供される個々のサービス自体については，本研究の対象としていな

7

い．たとえば，個々のサービス提供に関わる安全性などについては，本研究の 対象外である．

1.4 本論文の構成

本論文では，外出先の環境に個人毎のコンピューティング環境をダイナミッ クに構築することを可能とする個人適応型ユビキタス環境ローミングアーキテ クチャを明らかにする．これは，オンデマンドで安全に外出先の環境を利用し て，煩雑な手続きや専門的な知識を要さずに会社や家庭のコンピューティング 資源にリモートアクセスすることを安全に実現するものである．

次に各章の内容について，概要を説明する．

第

1

章は，序章であり，研究の背景，目的，位置づけ，及び論文の構成につ いて述べている．

第

2

章は，個人適応型ユビキタス環境ローミングが対象としている具体的な 利用シーンを示す．これにより，個人適応型ユビキタス環境ローミングが実現 可能とするサービス提供方法の新規性やその有効性と，それらの利用シーンを 実現する上で，求められる要件を定義している．具体的な利用シーンとしては，

「外出先のコンピューティング資源をオンデマンドに利用するシーン」と「外出 先のコンピューティング資源を利用して会社や家庭にあるリモート資源を利用 するシーン」の２つを取り上げる．

第 3 章では，「外出先のコンピューティング資源をオンデマンドに利用するシ ーン」で求められる要件を満足するための資源利用認証方式として，自律的資 源利用認証方式の提案と評価を行っている．本研究で対象としている資源は，

環境に遍在していることを前提としているため，利用認証のためのアクセス制 御ポリシ管理を資源側で実施することは難しい．さらに，従来の利用認証では，

利用者の認証に重点が置かれており，資源の正しさに関する資源側の認証は行 われていなかった．本提案方式では，利用者や資源の属性に関するアクセス制 御ポリシを利用権の形にして流通させ，利用権の行使判定により認証認可を実

施することで，上記の問題を解決している．利用権流通による認証認可に当た っては，その認証認可結果の正当性を保証するため関与するプレーヤ間の信頼 モデルを定義したフレームワークが重要である．本章では，公開鍵暗号方式を 用いることでフレームワークの実装が可能なことを示す．また，無線

LAN

の一 時利用を対象にしたプロトタイプシステムを開発し，動作シーケンスや性能を 評価する．これらの評価を通して，利用者や資源の属性に関するアクセス制御 ポリシを利用権の形にして流通させる方式の有効性を議論する．

第

4

章では，

3

章で利用権によるポリシ流通の有効性を確認した自律的資源利 用認証方式を前提として，よりレベルの高いプライバシ保護や性能を改善する 分散認証認可方式の提案と評価を行う．自律的資源利用認証方式では，利用者 属性を資源に提示して，資源側で利用者属性に関する認証を実施していたため，

プライバシ保護レベルの観点，及び情報漏洩防止のためのオンデマンド暗号通 信路の構築による性能劣化が課題となっていた．

本章の提案方式では，利用者側（利用者属性が管理された利用者の

IC

カード 内）で利用者認証が実施され，その結果のみが通知されるという分散認証認可 モデルにより，これらの課題の解決を図ろうとしている．IC カードという計算 リソースが限られた環境で利用者認証を実現するためには，実装上の工夫が必 要である．本章では，逆ポーランド記法による条件判定を基本とする実装方式 を示す．提案方式のフィージビリティと性能に関しては，インターネット端末 の一時利用を対象にしたプロトタイプを開発し，分散認証認可プロトコルのフ ィージィビリティ確認と，スケーラビリティを含む性能評価を実施した．それ により，プライバシ保護の観点に関しては，従来方式と比較して，軽量のプロ トコルで利用者属性を通知することなく利用者属性の認証が可能なことを明ら かにする．また，利用者や資源の認証認可に関わる処理時間が，自律的資源利 用認証方式に比較して大幅に改善できることを明らかにする．

第

5

章では，「外出先のコンピューティング資源を利用して会社や家庭にある リモート資源を利用するシーン」で求められる要件を満足するための分散認証 認可方式をベースとした個人適応型ユビキタス環境ローミングアーキテクチャ

9

の提案と評価を行う．個人適応型ユビキタス環境ローミングアーキテクチャは，

4

章で示した分散認証認可方式をリモート資源に拡張するとともに，ロケーショ ンを越えた資源の組み合わせや組み合わせ資源の実行制御，及び直感的で分か りやすいユーザインターフェースを備えたアーキテキチャである．要件の達成 度やスケーラビリティを含む性能の評価のために，インターネットカフェのロ ーカル資源と，会社や家庭のリモート資源を組み合わせて利用することを想定 した実験環境を構築した．それにより，複数の想定シナリオを実行評価するこ とで，提案するアーキテキチャが要件を満足し，実用性能を保持していること を明らかにする．

第 2 章 個人適応型ユビキタス 環境ローミング

2.1 まえがき

本論文で提案している個人適応型ユビキタス環境ローミングは，新しいサー ビス提供方法である．そのため，その利用イメージが広く世の中で認知されて いるわけではない．そこで，本章では，第一に，個人適応型ユビキタス環境ロ ーミングが対象としている具体的な利用シーンを示す．それにより，個人適応 型ユビキタス環境ローミングが実現可能とするサービス提供方法の新規性やそ の有効性を示す．第二に，それらの利用シーンを実現する上で，個人適応型ユ ビキタス環境ローミングに求められる要件を明らかにする．

利用シーンとしては，次の

2

つのシーンを取り上げた．

【利用シーン①】外出先のコンピューティング資源をオンデマンドに利用する シーン

【利用シーン②】外出先のコンピューティング資源を利用して会社や家庭にある リモート資源を利用するシーン

個人適応型ユビキタス環境ローミングが最終的に目指している利用シーン は，【利用シーン②】であるが，以下の理由により【利用シーン①】と【利用シ ーン②】の

2

つの利用シーンを取り上げた．

11

・【利用シーン①】だけでも，新しいサービス提供方法であり，利用者やサー ビス提供者にとってメリットがあること．

・【利用シーン②】を実現するためには，【利用シーン①】の実現が前提とな ること．

2.2 利用シーン

2.2.1. アクターの定義

ここでは，利用シーンに登場するアクターの定義を示す．

利用シーンにおけるメインアクターは，外出先のコンピューティング資源を 利用する「利用者」である．利用者は，学生やビジネスマンなど，ITリテラシ の高い人々ばかりでなく，子どもやお年寄りといった

IT

リテラシの低い人々も 対象である．

本論文における「コンピューティング資源」とは，コンピュータが埋め込ま れた機器全般を指している．コンピューティング資源は，ネットワーク化が必 須でない機器とネットワーク化を前提とした機器に分けられる．前者は，プリ ンタやコピー機などのオフィス機器や

DVR，大画面 TV

に代表される情報家電，

さらには，開錠制御機構がある特定の場所やレンタカー（カーシェアリング）

などである．後者は，インターネット端末や公衆無線

LAN

のアクセスポイント などである．

本論文では，以降，「コンピューティング資源」のことを単に「資源」と呼ぶ．

また，利用者の外出先など物理的存在場所にある資源を「ローカル資源」，ネッ トワーク越しに存在する資源を「リモート資源」と呼ぶ．さらに，ネットワー ク化を前提とした資源を特に「ネットワーク資源」と呼ぶこととする．外出先 のインターネットカフェにおける

PC

や無線

LAN

アクセス，プリンタなどの複 数のローカル資源を総称して，ユビキタス環境と呼ぶ．また，これらの資源を

提供することをサービスといい，その資源を管理しサービスを提供する人を「サ ービス提供者」と呼ぶ．

2.2.2. 外出先の資源をオンデマンドに利用するシ

ーン

【利用シーン①】として，外出先の資源をオンデマンドに利用するシーンを説 明する．ここでは，具体的な利用シーンとして，カーシェアリングと無線

LAN

の一時利用を取り上げる．

（１）カーシェアリング

現在普及しているカーシェアリングは，会員登録した利用者に

IC

カードを発 行し，その

IC

カードによる認証によりサービスを提供する形態が一般的である．

そのため，会員登録した

IC

カードで，別の事業者のカーシェアリングは利用で きない．しかし，他の事業者のサービスであっても，利用者属性や資源属性に 応じて利用時間や料金などを可変にした上で一時利用可能にできれば，カーシ ェアリングがさらに普及すると考えられる．ここでいう利用者属性とは，利用 者が具備する関連するサービス事業者の会員資格などを指す．また，資源属性 とは，カーナビやチャイルドシートが装備されているかどうかなどの資源が具 備する特徴を表す．

（２）無線

LAN

無線

LAN

の一時利用の場合，従来は，その都度，ある特定の事業者から一日 単位や半日単位の一時利用チケットを購入する必要があった．そのため，短時 間で移動して異なる事業者のアクセスポイントを渡り歩くといった使い方を難 しくしていた．また，チケットの行使条件は有効なチケットかどうかだけであ る．そのため，利用する人がだれでも，どのアクセスポイントでもチケットに 定義づけられた固定時間だけ無線

LAN

サービスを利用できるというものであ る．そこで，利用者や資源の属性に応じて，サービス提供時間を可変にして一 時利用できれば，無線

LAN

サービスがさらに普及すると考えられる．ここでい

13

う利用者属性とは，他の提携する

ISP（Internet Service Provider)の会員かど

うかなどを指す．また，資源属性とは，アクセスポイントが

802.11e[12]などの

品質制御機能を有しているかどうかなどの資源が具備する特徴を表す．

ここで，これらの利用シーンに登場する利用者属性と資源属性の定義を以下 のように整理する．

・利用者属性

・氏名，住所，電話番号，性別など本人性に関わる属性 ・特定サービスの会員など直接本人性に関わらない属性

・資源属性

・製造番号など資源の真正性に関わる属性

・資源の持つ特定の機能など直接真正性に関わらない属性

これらの利用シーンで共通に想定しているのは，公共空間に偏在する資源を 例え一時的であっても利用者属性や資源属性に応じて利用可能にするというも のである．これが実現できれば，利用者は，同様のサービスに対して複数の事 業者と契約することなく利用することが可能になる．また，サービス提供者に とっては，自らの契約者でない利用者に対しても利用者の属性に合わせたサー ビスの提供が可能になり，双方にとってメリットがある．

これまで，インターネット接続サービスや無線

LAN

サービスなどのネットワ ークサービスでは，ローミングが実用化されている．これは，事業者間の提携 により，利用者が契約しているサービス事業者のサービスエリア外であっても，

同様のサービスを利用できるというものである．ローミングでは，サービス利 用時に，利用者が契約しているサービス事業者に対してネットワークを通して 認証依頼が行われる．そのため，カーシェアリングのような対象資源がネット ワークに接続されていないケースには適用できない．また，現状のローミング では，無線

LAN

のようなネットワーク資源の一時利用においても，利用者の属

性や資源の属性に応じて料金体系を可変にするようなことは実現できていな い．

2.2.3. 外出先の資源を利用して会社や家庭にある

リモート資源を利用するシーン

【利用シーン②】として，外出先の資源を利用して会社や家庭にあるリモート 資源を利用するシーンを説明する．ここでは，具体的な利用シーンとして，利 用者が外出先のインターネットカフェの共用端末やハイビジョン

TV

を利用し て，会社や家庭のリモート資源を利用するシーンを取り上げる．

（１）インターネットカフェの共用端末と

NW

アクセスを一時利用し，共用端末 で会社内の

Web

サーバを閲覧する．

（２）インターネットカフェの共用端末と

NW

アクセスを一時利用し，共用端末 で自宅の

Web

カメラの映像を確認する．

（３）インターネットカフェの共用端末と

NW

アクセスを一時利用し，共用端末 で会社内のストリーミングコンテンツサーバから配信される映像コンテン ツを見る．

（４）インターネットカフェのハイビジョン

TV

と

NW

アクセスを一時利用し，

ハイビジョン

TV

で会社内のストリーミングコンテンツサーバから配信さ れる映像コンテンツを見る．

上記の利用シーンでは，必要な時にモバイル網経由等で外出先のインターネ ットカフェの共用端末やハイビジョン

TV

の利用権を利用者が携帯する

IC

カー ドや

IC

チップ付携帯電話に取得する．その後，その携帯電話を，インターネッ トカフェ内の

IC

カード

R/W

付共用端末に接触させると，その端末と

NW

環境 を瞬時に一時利用できる．さらに，IC カードや携帯電話に格納されている会社 に安全にアクセスできる利用権により，会社内のビジネスドキュメントやスト リーミングコンテンツを外出先のハイビジョン

TV

に表示して商談することが

15

できる．また，家庭に安全にアクセスできる利用権により，共用端末で要介護 老親の様子を確認したり，ペットの様子を確認したりできる．

従来，（１）～（３）の利用シーンについては，利用者がリモートアクセス可 能なノート

PC

などの携帯型端末を利用すれば実現できた．しかし，利用者は，

リモートアクセスに必要な証明書等を携帯型端末に事前にインストールする必 要があった．一般的に，このような設定作業には，煩雑な手続きと専門知識が 必要である．また，仮に設定ができたとしても，ノート

PC

の携帯が必要となる．

このことが，IT リテラシの低い利用者や女性や高齢者など体力面での弱者の利 用を難しくしていた．

しかし，想定する利用シーンでは，いつも利用している

IC

カードや携帯電話 を利用するだけで，外出先の資源を一時利用しリモート資源を利用することが 可能である．そのため，IT リテラシの低い利用者や体力面で不安を抱える利用 者にとっても利用が可能となる．

2.2.4. サービス提供方法の新規性と有効性

2.2.2.節，2.2.3.節で示した利用シーンから，本研究で提案する個人適応型ユ

ビキタス環境ローミングによるサービス提供方法の新規性とその有効性を整理 する．2.2.2 節，2.2.3.節で示した利用シーンでは，IC カードや

IC

チップ付携 帯電話という軽く使い慣れたデバイスを持ち運ぶことを前提としている．その 上で，以下の

2

つのポイントが従来の一時利用サービスと異なる．

・外出先資源を利用する際，匿名でありながら利用者や資源の属性に応じて柔 軟なサービスレベルを提供できること

・IC カードや

IC

チップ付携帯電話の提示だけで，外出先資源の利用と会社や 家庭の資源などのホーム環境へのリモートアクセスができること

また，これが実現できれば，次の効果が期待できる．

・所有から利用への流れが法人から，一般利用者にまで拡大する．これは，社 会資源の効率的な利用につながり，低炭素社会，ひいては，持続可能な社会 の実現に貢献できる．

・特別なデバイスを所持せず，いつでも，どこでも，簡単に利用者のホーム環 境とのつながり感を醸成できる，これは，これまで社会に出にくかった子育 て中の女性や

IT

リテラシの低い高齢者の社会進出を後押しできる．このこと は，現在，日本が直面している尐子高齢化によるデフレの長期化対策につな がる．

以上のように，提示した利用シーンは，新規性があるだけではなく，その実 現により，さまざまな社会問題解決への貢献が期待できる．一方，

1.1

節で示し たように，利用シーン実現のための既存技術は，不十分であるのが現状である．

つまり，個人適応型ユビキタス環境ローミングによりこれまで不十分だった技 術的課題を解決することが，ひていは社会問題解決への貢献につながる．

そこで，本研究では，個人適応型ユビキタス環境ローミングの実現を目指し，

まず，先の利用シーンを実現するための具体的な要件を整理する．その後，そ れぞれの要件を満足する技術方式を確立することにより，個人適応型ユビキタ ス環境ローミングの実現を目指す．

2.3 要件

ここでは，2.2節で示した利用シーンを実現するための要件を示す．

カーシェアリングや無線

LAN

の一時利用を具体例とした【利用シーン①】を 実現するためには，利用者がユビキタス環境間を移動しても，利用者認証が行 える必要がある．

これまで，ユビキタス環境間を利用者が移動することを前提とした利用者認 証方式として，利用者のホーム環境で発行された個人証明書を移動先に提示す る方式が提案されている[13][14][15]．これらの方式では，移動先の環境が個人 証明書の正しさを検証することで利用者を認証している．そのため，利用者の

17

ホーム環境にネットワークを経由して問い合わせする必要が無い．これは，か ならずしもネットワーク化されているとは限らないユビキタス環境における認 証方式に適した方式である．

しかし，個人証明書を移動先の環境に提示するため，資源利用にかならずし も必要で無い本人性などのプライバシ情報を開示してしまうという問題があ る．一方，プライバシ問題を解決する方式として，本人性情報を含まない権限 証明書[16][17]や必要最小限の属性証明書[18][19][20][21][22]をアクセス制御 に利用する研究が進められている．しかしながら，これらの既存研究を本研究 が対象としている資源の一時利用に適用しようとした場合，以下の問題がある．

・アクセス制御のためのポリシ管理

・資源の安全性，サービスレベル保証

既存研究では，利用者が，自らに関する証明書を資源側に提示し，資源側で アクセス制御のためのポリシと照らし合わせることでサービス認可を実施す る．すなわち，資源側で事前の利用予測に基づきアクセス制御のためのポリシ を設定できることが前提となっている．そのため，研究会など異なる組織間で の一時的なネットワーク資源利用制御や

Web

サーバなどへのアクセス制御な ど，ある程度利用者の予測が立てられかつアクセス制御ポリシの集約的な管理 が可能なケースに適している．

しかし，本研究が対象としている不特定多数の利用者が，環境に遍在してい る資源を利用するようなケースには適していない．また，既存研究では，利用 者の認証認可に力点をおいており，資源側の安全性やサービスレベルの保証は 考慮されていない．さらに，公共環境の資源利用をビジネスとして展開させて いくためには，サービス対価の受領方式等を明らかにする必要がある．

以上より，【利用シーン①】に示したユビキタス環境における資源の一時利用 を可能とするシステムに求められる要件を以下のように整理する．

【要件

1】アクセス制御ポリシの管理が可能なこと

不特定多数の利用者が，環境に遍在している資源を利用するようなケース においても，アクセス制御ポリシが柔軟に管理できることが求められる．

【要件

2】サービス対価の受領ができること

今回実現したいのは，事前契約によりサービス対価の徴収方法が確定した 利用者へのサービス提供ではない．そのため，サービス提供者にとって「事 前契約関係のない一時利用者からも確実にサービス対価が受け取れるこ と」が必要である．

【要件

3】利用者や資源の属性に合わせたサービス提供ができること

現状の無線

LAN

の一時利用では，チケットの有効性確認のみによる一定 時間利用が主流である．このような固定的なサービス提供では本研究の利 用シーンを実現できない．利用者が提携先の

ISP

の会員の場合や品質制御 機能を有しないアクセスポイントなら利用時間を長くするといったように 利用者や資源の属性に応じてサービスレベルを変えられる必要がある．

【要件

4】ローカル環境でサービス認可ができること

本論文で対象とする資源は，広域に分散されており，必ずしもネットワー ク化されているとは限らない．そのため，そのような資源であっても単独 でサービス認可判断ができる必要がある．

【要件

5】プライバシ保護が可能なこと

本研究の利用シーンから利用者は，はじめて訪れた場所で未知のサービス 提供者が提供する資源を利用することが想定される．その場合，【要件

3】

を満足するために，利用者の属性情報をどのようにサービス提供者に開示 するかが，利用者のプライバシ保護の観点でポイントとなる．この場合，

プライバシ保護のレベルとしては，大きく

3

つ考えられる．

・レベル

1：利用者の本人性情報や属性情報の開示先を制限できること

これは，制限無く利用者の本人性情報や属性情報を開示してしまう のではなく，相手によって開示制限が行えることを指す．信用のお けるサービス提供者には開示されるが，それ以外のサービス提供者 に開示されないなどがその具体例である．

19

・レベル

2：利用者が特定されることなくその属性情報を提供できること

これは，利用者個人が特定できる本人性情報の提供を行わず，かつ，

利用者個人が特定されることなく属性情報を提示することを指す．

・レベル３：利用者属性を提示することなく【要件

3】を達成すること

最終的には，どのような場合でもレベル

3

が満足できることが望ま しい．しかし，対象とするサービスや実際の運用面を考慮すると，

最低でもレベル

1

を満足させることが必要であると考える．

【利用シーン①】では，利用者が外出先のユビキタス環境を安心・安全に一時 利用でき，それをサービス提供者がビジネスとして展開可能とすることに焦点 を絞っていた．一方，【利用シーン②】では，その環境を利用して，ネットワー ク越しの資源にリモートアクセスすることが求められる．そこで，【利用シーン

②】を実現する上で，【要件

1】～【要件 5】以外の要件を追加した．これらは，

ネットワーク越しの資源にリモートアクセスすることを可能とする要件であ る．

【要件

6】安全なリモートアクセスとリモート資源との連携

安全なリモートアクセスのために従来必要だった煩雑な手順を踏まなくて もリモートアクセスできる必要がある．さらに，専門知識が無くてもロー カル資源とリモート資源との組み合わせ利用が可能である必要がある．

【要件

7】利用者負荷軽減

IT

リテラシの低い利用者であっても，利用可能とするために，ノート

PC

などの

IT

機器の携帯を前提としないことが求められる．さらに，直感的で，

直接操作可能なユーザインターフェースが必要である．

2.4 むすび

本章では，本研究の想定する利用シーンとして，「【利用シーン①】外出先の 資源をオンデマンドに利用するシーン」と「【利用シーン②】外出先の資源を利 用して会社や家庭にあるリモート資源を利用するシーン」の

2

つを具体化した．

それらの利用シーンから，サービスの観点での新規性とその有効性を具体的に 示した．その後，それぞれの利用シーンに求められる要件を，関連研究などと 比較しながら明らかにした．

【利用シーン①】に求められる要件は，【要件

1】～【要件 5】である．また，

【利用シーン②】に求められる要件は，【要件

1】～【要件 5】を前提として，

【要 件

6】

，【要件

7】である．

21

第 3 章 ポリシ流通を基本とする 自律的資源利用認証方式

3.1 まえがき

本章では，2 章で示した「【利用シーン①】外出先の資源をオンデマンドに利 用するシーン」に求められる要件【要件

1】～【要件 5】を，ユビキタス環境に

おける資源の一時利用を可能とするシステムに求められる要件として捉える．

そして，これらの要件を満足するユビキタス環境における資源の利用認証方式 を提案する．

この方式では，資源利用の条件として，利用者属性や資源属性に関連する条 件（ポリシ）が記述された利用権を導入する．利用者は，IC カードのような耐 タンパデバイスに利用者属性を格納し，必要に応じて利用権を取得する．利用 者は，資源利用時に利用権と利用者属性を対象資源に提示する．資源は，受け 取った利用権と利用者属性，および自らの資源属性を基に行使判定を行うこと で対象資源の一時利用を認可する．これにより，事前契約が不要で，未知な資 源に対してもサービスレベルを保証した上での一時利用が可能になる．

利用者属性や資源属性に関連するアクセス制御ポリシを利用権の形にして流 通させるということが，本章で提案する方式のポイントである．資源利用時に，

資源に提示される利用権に記述されたアクセス制御ポリシに基づき利用者属性 や資源属性が判定される．それにより，従来のサービス提供装置がアクセス制 御ポリシを一元管理する方式では難しかったユビキタス環境における資源のア

クセス制御ポリシ管理問題を解決できる．さらに，資源の安全性，サービスレ ベルの保証問題も解決できる．

提案する方式では，資源が他者に頼ること無く，自らが必要な情報を集めて，

その情報を基に柔軟なサービス認可を可能とすることが特徴である．そのため，

これを自律的資源利用認証と呼ぶ．

3.2 自律的資源利用認証方式

本章では，

2

章で示した

5

つの要件から自律的資源利用認証のための基本モデ ルとそれに基づいた実現方式を提案する．

3.2.1. 基本モデル

利用者属性（User Attribute）や資源属性（Resource Attribute）に関連する 条件などが記述された利用権（Use-right Policy）を導入し，その利用権の行使 判定によりサービス認可を行う電子権利技術に着目した．これは，資源側での アクセス制御ポリシの管理を不要【要件

1】とし，一時利用者からの確実な対価

受領を実現【要件

2】する．さらに，利用者属性や資源属性に合わせたサービス

提供【要件

3】が可能となる．利用者は，サービス提供者から利用権を取得（購

入）し，耐タンパ性を有した

IC

カードに格納する．ここで想定している

IC

カ ードは，

ISO/IEC 7816

や

14443

タイプ

B[23]に準拠したカードであり，複数の

アプリケーションの搭載が可能な大容量マルチアプリケーション

IC

カード

[24][25]である．

IC

カードには，利用者の属性情報が格納されており，利用者が資源を利用す る際に，利用権とともに資源に通知される．資源内の判定ハンドラ(Decision

Handler)は，利用権に記述された条件が利用者属性や資源属性と合致している

かどうかを判定することでサービス認可を行う（図

3.1）

．つまり，資源内の判 定ハンドラは，利用権に記述された条件の正しさと利用者属性，資源属性の正 しさを検証する．そして，その条件が満たされたかどうかの判定結果を根拠に

23

利用者の資源利用資格の認証とサービス認可を行っている．またこの時，資源 は，IC カードから得られる情報と資源内の情報だけでサービス認可が可能であ

るため，【要件

4】を満たす．利用権には，利用者属性や資源属性に関連する条

件の他に，利用権をユニークに識別可能で対象となる資源種別の識別が可能な 利用権

ID

が含まれる．

この基本モデルでは，利用権を格納する媒体として利用者が携帯する

IC

カー ドを想定している．これにより，利用者が利用権を取得するタイミングとそれ を利用するタイミングが必ずしも同期する必要がないという利点がある．たと えば，対象資源のサービスエリア近くに設置された利用権発行装置を用いて取 得したり，IC カードリーダを備えた会社や家庭の

PC

からインターネットを経 由して取得したりして，必要な時にそれを利用するということが可能である．

本論文では，IC カード内の利用者属性管理機能や利用権管理機能は，それぞ れ独立したアプリケーションとして

IC

カード発行後にダウンロードされること を想定している．そのため，IC カード発行主体として特定の事業者は想定して いない．たとえば，2.2.2 節で示した無線

LAN

の例では，ISP が契約者認証用 に発行するような場合が考えられる．これまで，一枚の

IC

カードを複数の事業 者が相乗りすることで，発行コストをシェアする仕組み[26]が提案されている．

本研究では，このモデルを前提としている．このモデルを前提とすることで，

利用者にとっては，一枚の

IC

カードで，異なる事業者のサービスが利用可能に なる．また，事業者にとっては，IC カードの発行コストを抑制できるため参入 障壁を下げることができるという利点がある．

・ID information

・Policy relating to user attribute and resource attribute

・The other information Service Provider

User

Use-right Policy

User Attribute

Use-right Policy

Decision Handler

Resource Attribute Resource

Paying

Issuing

If it is OK Service Offering

図

3.1 自律的資源利用認証基本モデル

3.2.2. 実現方式

図

3.1

に示した基本モデルに沿って，自律的資源利用認証を実現する上で機能 上最も重要な点は，条件に合致した人が，期待するサービスレベルや機能を持 った資源を確実に利用可能とすることである．これを可能とするには，資源内 の判定ハンドラが，利用権に記述された利用者属性や資源属性に関する様々な 条件を判定できる必要がある．

通常の

OS

では，利用者や利用者の属しているグループに対してファイルなど のリソースに対する読み書き許可／不許可程度のアクセス制御を提供してい る．しかし，対象としている自律的資源利用認証のためには，たとえば，“ISP X の会員か？”といった利用者に関する条件や“ISP Xと提携関係にある公衆無線

LAN

事業者のアクセスポイントか？”，“無線区間で帯域制御が可能なアクセス

25

ポイントか？”といった資源に関する条件判断が必要である．これは，通常の

OS

が提供している程度のアクセス制御では十分でない．

そこで，インターネット経由の情報アクセスに関する制御ポリシを表現/適用 する ため のマ ーク ア ップ 言語 であ る

XACML (eXtensible Access Control Markup Language）[27]

に着目した．これは，OASISにおいて仕様化されて いる．XACML は，条件判断に利用する要素の指定や要素の設定値などを比較 する演算方法が指定でき，より複雑で柔軟なアクセス制御が可能である．

XACML

は，機密情報や商取引データなどを扱う

Web

サービスにおいて，

OS

やプラットフォームに依存することなく，柔軟で拡張性の高いアクセス制御を 可能とすることを目的としている．そのため，XACML のデータフローモデル

（図

3.2）は， Web

サーバ側で事前に管理されたアクセス制御に関するポリシと，

事前に登録された利用者の属性情報を基に認可決定を行うことを前提としてい る．そのため，このままでは，事前契約の無い利用者による資源の一時利用を 可能とする自律的資源利用認証には適用できない．そこで，XACML のデータ フローモデルで定義されている各プロセスを，図

3.1

の基本モデルで定義した各 処理主体に，その機能的役割の考え方に基づいて配置することを考えた．これ により，自律的資源利用認証のための機能配置（図

3.3）とその機能配置を前提

とした処理シーケンスを明らかにした．

access requester

PIP PEP

PDP

1.policy

2.access request

10.response

6.attribute

7.resource 8.target,

attribute, resource

3.Request

subject environment

resource

PAP

context handler 4.attribute

query 9.decision

obligations service 11.obligations

5a.subject attribute

5b.environment attribute

5c.resource attribute

図

3.2 XACML

のデータフローモデル

（１）機能配置の考え方

図

3.1

の基本モデルでは，サービス提供者は，利用者属性や資源属性に関する 条件を記述した利用権を発行する．この条件が図

3.2

のアクセス制御のルールを 定義する役割を持つ

PAP（Policy Administration Point）が生成するポリシ

（policy）に該当すると考えた．そして，PAPをサービス提供者が運営すること を想定しているサービス提供者装置（Service Provider Server）に配置した．

利用者は，ICカード内に利用権を保存し，資源の一時利用時に利用者属性と ともに資源に提示する．そこで，ICカードには，サービス提供者装置から取得 した利用権を一時的に保存しておく利用権管理（Use-right Policy

Management）と利用者（主体：subject）の属性情報（subject attribute）を

管理する利用者属性管理(User Attribute Management)を配置した．

資源は，利用権や属性情報を収集し，利用権に記述された条件が各属性情報 に合致しているかどうかを判定することでサービス認可を行う．そこで，属性 情報を収集する

PIP（Policy Information Point）と属性情報やアクセス制御ポ

リシを基に行使判定を実施する

PDP（Policy Decision Point）を資源に配置し