機器利用権によるアクセス制御

全文

(1)情報処理学会第68回全国大会. 4E-1. 機器利用権によるアクセス制御道下. 学†. 釜坂. †. 三菱電機株式会社. １．はじめに e-Life イニシアティブで言及されているように、情報家電の普及・活用によって新しい製品・サービスの創出が期待されている反面、セキュリティでの不安が指摘されている[1]。サービスの浸透した社会では、悪意ある利用者からの防御のみならず、更に正規サービス提供者からの越権行為の防止も必要である。遠隔保守などの様に機器の遠隔制御を用いるサービスに適した、アクセス制御機能を開発したので報告する。２．方式２．１．脅威ブロードバンド環境下で保守・省エネ等のサービス提供者から家庭内等にある機器を遠隔制御させる事を想定した場合、次の脅威が考えられる。 (1) 不正使用者がサービス提供者になりすます (2) 正規のサービス提供者の不正操作(含誤操作) これらを防止するには、認証に加えて使用者(=サービス提供者)・資源(=機器)・操作(=コマンド+パラメータ)の三つ組みによって可否判定を行うアクセス制御が必要になる。２．２．機器利用権によるアクセス制御昨年我々は遠隔制御システムにおけるアクセス制御機能の実現方法として、利用権管理技術の適用可能性について示した[2]。今回は許諾と利用の関係を明確に分け、機器の利用権によって遠隔制御を許諾し、利用権行使によって遠隔制御を行うこととした。下記に詳細を説明する。２．２．１．許諾フェーズ機器の利用権とは、使用者に対する許諾内容として使用者・資源・操作の三つ組みを記載し、機器の所有者の電子署名を付与したものである。(実際には運用管理上の情報も含めるが説明を省く。) ――――――――――――――― “Access Control by Right Management” † MANABU MICHISHITA HITOSHI KAMASAKA SHINJI KITAGAMI Mitsubishi Electric Corp. Information Technology R&D Center. 等†. 北上. 眞二†. 情報技術総合研究所. 機器の使用者. 機器の利用権. 機器の所有者. 使用者機器ｺﾏﾝﾄﾞﾊﾟﾗﾒｰﾀ範囲利用条件. 所有者の署名. 図 1 許諾時の利用権発行機器の所有者は、機器の正規使用者に対して操作を許諾する際、機器の利用権を発行して正規使用者に与える。（図 1）操作の記載に関しては、機器へのコマンドのパラメータの具体値を特定せずに、値の範囲を限定するだけにとどめるなど、許諾内容に幅を持たせた上で許諾内容を明確にすることができる。また操作に直接含まれない、利用可能日時などの利用条件を許諾内容に含めることもできる。２．２．２．利用フェーズ機器の利用権行使とは、機器の利用権に加えて、パラメータの具体値や使用日時など、個々の操作を特定する情報を追加して、機器の使用者の電子署名を付与したものである。機器の使用者は、該当の機器を操作する際、機器の利用権行使を発行して、遠隔制御における制御指示として用いる。（図 2）. 機器の使用者. 制御指示＝利用権行使所有者の署名機器の利用権ﾊﾟﾗﾒｰﾀ具体値利用日時. 機器. 検証による可否判定. 使用者の署名図 2 利用時の利用権行使発行と検証. 3-323.

(2) 情報処理学会第68回全国大会. 該当の機器は、遠隔制御の制御指示として上記利用権行使を受信した際、次の点を検証することによって許諾された操作か否かを判定し、合格ならば制御指示に従い、不合格ならば制御指示を拒絶する。・利用権行使の署名、署名者・利用権行使に内包された利用権の署名、署名者・利用権に記載された使用者と利用権行使の署名者の一致・利用権にパラメータ範囲が記載されている場合、その範囲と利用権行使に記載されたパラメータ具体値との間の合致・利用権に利用条件が記載されている場合、その条件と利用権行使を受信した時の環境状況（例えば日時）との間の合致このように動作すれば制御指示内に許諾内容が含まれているので、不正操作(あるいは誤操作)を越権行為として検出でき、他人宛に付与された利用権を元に利用権行使を発行してもなりすましとして検出できる。２．２．３．特徴上述の方式には次の特徴がある。・使用者による越権行為・利用権改竄と、通信路における制御指示改竄を検出可能。・多様な機器の多様な操作に対応可能。・パラメータ範囲による使用者自由度と検証可能性の維持を両立。・利用条件を記述可能。・利用権発行をアクセス制御の対象機器から分離可能。特に保守サービスにとっては、一過性の使用や定期的な使用に対する許諾が有用と考えられる。利用権では、これらは利用条件として指定することができる。３．他方式との比較アクセス制御としてよく知られている方式には ACL(Access Control List)があり、これはアクセス制御の許諾内容の三つ組みを表形式で管理し、表内での有無を基に可否判定を行っている。本方式との比較を表 1 に示す。４．考察 ACL の様な集中型管理システムと比較して、公開鍵証明書や利用権の様な配布型管理システムでは撤回方法が問題になることが多い。. 表 1 脅威検出方法、許諾内容記述能力の比較本方式 ACL 方式なりすまし ○：利用権行使の署 ×：別途認証必要検出名を検証正規使用者宛 ○：利用権内の許諾 ○：表内の許諾内容利用権の不正内容(使用者)と署名 (使用者)と別途認証の結果を照合者を照合流用検出越権行為検出 ○：利用権内の許諾 ○：表内の許諾内容内容(操作)と制御指 (操作)と制御指示を照合示を照合許諾内容 ( 操 ○：パラメータ範囲 △：通常コマンドの作)の自由度を指定可み指定利用条件 ○：利用権に指定可 ×：別途格納撤回方法 ×：別途必要 ○：表内から該当三つ組み削除. 本方式の利用権での許諾を撤回する方法としては２通りが考えられる。１つは該当利用権を個別に撤回リストに追加して可否判定時に参照するもの、もう１つは利用権無効化条件(例えばある時点以前に発行した利用権や、特定使用者宛の利用権を無効とするなど)のリストを可否判定時に参照するものである。前者は CRL(Certificate Revocation List)に類似しているが、利用権撤回者＝利用権発行者＝機器所有者であるため、配布に関する問題は小さい。但し利用権発行履歴を保持しておかなければ撤回不能になる。後者は個別の利用権撤回を細かく指定できないが、発行履歴不要なので、利用権発行装置とアクセス制御の対象機器との間の連携が疎でもよい。５．まとめと今後の取り組み利用権管理技術を機器の遠隔制御に適用して、アクセス制御を実現できることを示した。今後はリファレンス実装系の開発など、開発成果の公開と普及に努めたいと考えている。６．謝辞本開発は、新エネルギー・産業技術総合開発機構(NEDO)の平成 17-19 年度研究開発事業「デジタル情報機器の統合リモート管理基盤技術の開発」の一部として、委託を受け実施したものである。参考文献 [1]「情報家電の市場化戦略に関する研究会の基本戦略報告書」(e-Life 戦略研究会 2003/4) [2]「利用権管理技術を用いたリモートアクセス制御方式の考察」（釜坂他情報処理学会第 67 回全国大会 2005/3）. 3-324.

(3)