(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2007)シンポジウム

セッション 7B  認証(CSEC)
日時: 2007年7月6日(金) 8:30 - 10:40
部屋: 花の舞
座長: 加藤 岳久 (東芝ソリューション(株))

7B-1 (時間: 8:30 - 8:55)
題名携帯電話におけるバイオメトリクス認証の安全性の評価
著者真鍋 大和, 山川 佑太, *佐々木 良一 (東京電機大学)
Pagepp. 1314 - 1321
Keywordバイオメトリックス, 携帯電話, 安全性
Abstract近年,携帯電話の普及に伴い加入者数が増加してきている.携帯電話には電話帳やメールなど多くの個人情報が入れられており,カメラ・テレビ・おサイフケータイといった様々な機能やサービスが登場してきている。決済機能の付加などの多機能化により,盗難による不正使用に対する安全性を強化する必要がある.そこで,より高い信頼性でかつ,利便性に優れているバイオメトリクス認証技術が導入されてきている。 バイオメトリクス認証の利点として,ICカードや免許証等の物体を携帯する必要が無く,パスワードのように記憶しておく必要も無いことから,本人の身体があれば良いので非常に利便性に優れている。しかし,年齢や環境により,認識率が変化する問題がある。また,本人であっても認証を拒否されたり,他人が認証できたりする誤認識が起きる可能性がある。 そこで、著者らは,これらの安全性を、実験を用いて検証することとした。ここで、バイオメトリックス付きの携帯電話としては、(1)指紋認証を用いるものとしてF505i、(2)顔認証を用いるものとしてN902is、(3)音声認証を用いるものとしてD902isを選定した。 そして、次のようにして実験を行った。  ・本人(登録者)  :1人 20代男性  ・他人(非登録者) :9人 20代男性 ・測定方法  ・本人による認証(1人につき10回) 本人の情報で登録し,本人の情報で認証 ・FRR※1の測定(1人につき10回) 例:登録者Aに対して認証者A    登録者Bに対して認証者B ・FAR※2の測定(1人につき10回)  例:登録者Aに対して認証者B,C,・・・,J    登録者Bに対して認証者A,C,・・・,J ※1 FRR(False Rejection Rate) ・・・本人拒否率 ※2 FAR(False Acceptance Rate)・・・他人許容率 その結果、通常の使用方法においては、次のようになることが明らかになった。        本人拒否率   他人許容率 (1)指紋認証:   0%     0% (2)顔認証:    0%     0% (3)音声認証:   8%     0% この結果よりいずれの方式も、通常の使用においては十分安全性が高いことが明らかになった。 しかし、(1)に対し人工指を用いたり、(2)に対し、顔写真や、携帯画面の画像を用いたり、(3)に対し、録音装置を用いる攻撃を実際に行ってみると、その成功率は、次のようになることが明らかになった。 (1)に対し人工指使用:81% (2)に対し顔写真使用:87% (2)に対し携帯画面の画像使用:97% (3)に対し録音装置を使用:89% これにより、バイオメトリックスを用いても必ずしも安全でないことが分かる。従来の報告では、ここまでで研究が終わる場合が多いが、ここでは、運用も含めたシステム全体としての安全性をフォルトツリー分析法を用い評価すると共に、対策案の検討を行うことにした。 フォルトツリー分析法を用いた分析の結果、各認証方式を用いた場合の成りすましの発生頻度は以下のとおりであることが明らかになった。 (1)指紋認証 0.0032回/年・人 (2)顔認証 0.0010回/年・人 (3)音声認証 0.0034回/年・人 なお、顔認証が他の認証に比べて数値が低い要因として,バイオメトリクス認証に成功した場合においても,暗証番号の入力が必要な為であるということが挙げられる.仮に暗証番号の入力が必要でない場合のFTAを作成した場合,2つの特殊な認証方法がある顔認証における数値は0.0038回/年・人であり,音声認証の数値よりも大きくなり,不正による認証の突破の危険性が高くなることが分かる。 このことより、いずれの方式も一人一人にとってはその発生頻度は十分小さいが、社会全体としては何らかの対策が必要であることが明らかになった。そこで、携帯電話におけるバイオメトリクス認証の安全性をより高めるための対策案を個人の利用方法とメーカとしてとるべき対策の両方を次のように提案した。 指紋認証 ユーザによる方法:指紋採取の困難な部分を使用 例)指を傾ける      メーカによる方法:生体指の判定機能など 顔認証  ユーザによる方法:表情のある顔で登録および認証   メーカによる方法:顔の動き検出機能など 音声認証 ユーザによる方法:音声盗聴が困難な場所で登録 メーカによる方法:ランダムなキーワード読み上げによる認証機能など 今後、これらの対策のコストー効果分析を用い有効性の検証していきたいと考えている。

7B-2 (時間: 8:55 - 9:20)
題名遠隔本人認証プロトコル
著者*門田 啓, 黄 磊, 吉本 誠司 (NEC)
Pagepp. 1322 - 1331
Keywordアクセス制御・認証, バイオメトリクス
Abstractネットワークを通して遠隔地のユーザを認証するプロトコルを提案する。ネットワークを通したサービスの拡大に伴い、ネットワーク越しの本人認証が必要とされる場面が増えつつある。本人を確認する方法として、指紋認証を始めとした生体認証(バイオメトリクス認証)があるが、ネットワーク越しの本人認証に用いるためには、ネットワーク越しに認証結果を確認できる仕組みが必要である。そこで、生体認証と公開鍵認証基盤(PKI)を組み合わせて本人認証する方法がいくつか提案されている。本稿では、生体認証とPKIを組み合わせて、生体情報をネットワークに流すことなく、遠隔地から生体認証により本人確認できるプロトコルを提案する。 公開鍵暗号を用いた本人認証では、本人の秘密鍵を用いて署名を行い、署名を秘密鍵に対応する公開鍵を用いて確認することで、秘密鍵を持っていることを確認している。この方法で確認できるのは秘密鍵を保持していることだけであり、秘密鍵を用いたのが実際に誰であったのかを知ることはできない。秘密鍵は通常パスワード等で保護されているが、秘密鍵がどう保護されており、秘密鍵を使ったのが本人であることを遠隔地で確認できる仕組が必要である。 生体認証では、生体情報を照合することで本人確認する。生体情報はパスワードや暗号鍵と異なり、仮に漏洩したとしても変更したりできないため、生体情報そのものは安全に保護する必要がある。そのため、信頼できないネットワークに生体情報を流すことは危険であり、また、信頼できないサーバに生体情報を登録することも危険である。社内システムのようなある程度信頼できるシステムであれば、認証サーバに生体情報を登録し、ネットワーク越しに生体情報を送付して認証することも可能であるが、一般のネットワーク越しの遠隔本人認証には適さない。生体情報を保護するために認証結果だけをネットワーク越しに送付する場合、認証結果だけでは遠隔地で実際にどのような認証が行われたのか知ることができず、認証結果は詐称されたものではないことを確認することはできない。また、生体認証における精度は、生体認証の方式や装置により異なるため、認証結果だけでは所望の精度以上で認証が行われているかどうかを確認することができない。そのため、所望の精度で生体認証が行われたことを遠隔地で確認する仕組みが必要である。 そこで、本稿では、生体認証デバイスを用いて、ネットワーク越しにどのような認証が行われたのかを確認することができる遠隔本人認証プロトコルを提案する。本プロトコルでは、次のように認証を行う。ユーザは生体認証デバイスを所有する。生体情報はその生体認証デバイス内に安全に保管する。照合も生体認証デバイス内で行い、生体情報に関することは全て生体認証デバイス内に閉じ、生体情報は生体認証デバイスから一切出ないようにする。ユーザがネットワーク越しにサーバに自身を認証させたい場合、生体認証デバイスで生体認証を行い、認証結果に対して生体認証デバイスが生体認証デバイスの秘密鍵で署名を行い、署名をサーバへ送付する。署名を受け取ったサーバは、署名を生体認証デバイスの公開鍵で確認する。生体認証デバイスの公開鍵は、デバイス認証局の発行する生体認証デバイス証明書で確認する。更に、生体認証デバイス証明書で、生体認証デバイスの認証精度と生体認証デバイスが所望の動作をするよう設計されていることを確認する。 提案する遠隔本人認証プロトコルでは、個人の生体情報は個人の所有する生体認証デバイスに閉じており、デバイスの外に出ることはない。そのため、生体情報が第三者に漏洩するという危険はなく、生体情報の安全を確保できる。生体情報はデバイスの外にはでないが、生体認証が正しく行われたことは生体認証デバイスが、生体認証デバイスの署名によって保証する。生体認証デバイスが所望の動作をすることや生体認証の精度はデバイス認証局の発行するデバイス証明書によりデバイス認証局が保証する。生体認証デバイスの署名により確かにその生体認証デバイスが生体認証をしたことが確認でき、生体認証デバイスの動作や精度はデバイス証明書により確認できるため、提案する遠隔本人認証プロトコルを用いることで、生体情報を安全に保ったまま、遠隔地でも生体認証がなされたことを確認することが可能となる。

7B-3 (時間: 9:20 - 9:45)
題名非接触型ICカードを用いた認証方式SPAICの提案
著者*束 長俊, 鈴木 秀和 (名城大学大学院 理工学研究科 渡邊研究室), 渡邊 晃 (名城大学大学院 理工学研究科)
Pagepp. 1332 - 1337
Keyword認証, 公開鍵, ディジタル署名, Diffie-Hellman鍵交換
Abstractクライアント/サーバ間通信において重要な情報を交換する場合,確実な認証と暗号化が必要となる.このような環境において,ユーザ固有の情報を格納したICカードを利用する方式が注目されている.これまでは,接触型ICカードを利用する場合がほとんどであり,ICカード/クライアント間通信のセキュリティはそれほど重要ではなかった.しかし,今後は非接触型ICカードの普及が見込まれ,ICカード/クライアント間でも暗号通信を行うことが必須になると考えられる.これを実現するために,すべてのICカードとクライアントに同じ共通鍵を所持させるという方法があるが,クライアントから情報が流出するという懸念があった.本論文では,非接触型IC カードを利用し,初期情報を一切持たないクライアントに重要情報を配送することを可能とするプロトコルSPAICを提案する.

7B-4 (時間: 9:45 - 10:10)
題名人間の動作を用いた認証方式に関する検討
著者*梅本 功太 (静岡大学大学院情報学研究科), 西垣 正勝 (静岡大学創造科学技術大学院)
Pagepp. 1338 - 1346
Keywordバイオメトリクス, 動作, 加速度
Abstract生体認証には生体情報の取替えが効かないという問題がある.これを解決する一つのアプローチは,ユーザに任意のパス動作の登録を自由に許した上で,登録されているパス動作に基づいて本人性を確認することができる生体認証方式を実現することである.そのためには,人間は自分が登録した任意のパス動作を十分な精度で再生することが可能であるか確認する必要がある.そこで本稿では,ユーザが任意のパス動作を練習により習得することができるか否かに関する調査を行った.基礎実験の結果,円や四角形のような単純な動作に関しては,一週間に一セット10回の練習を行うことにより,多くの被験者が三週間で動作を習熟することができるという事実が得られた.

7B-5 (時間: 10:10 - 10:35)
題名仮名認証に基づいた地域交通支援システムのための位置情報プライバシ保護フレームワーク
著者*山崎 重一郎 (近畿大学)
Pagepp. 1347 - 1355
Keywordプライバシ, 電子認証, 地域交通, 位置情報
Abstract 我々は、仮名認証に基づく個人情報管理システム「アイデンティティシェルタ」の研究開発を行っている。本論文では、地域に潜在する交通資源を最大限に活用するために利用者の位置情報を活用する地域交通支援システムを提案し、さらにこのシステムのための実用的な位置情報のプライバシ保護フレームワークをアイデンティティシェルタを利用して構成することによって、アイデンティティシェルターの有効性の評価を行う。  本論文の構成を以下に示す。 1章.提案する地域交通支援システム  本論文で提案する地域交通支援システムは、生活拠点に設置された端末や携帯電話を介して登録される利用者の位置、目的地、到着希望時刻などの情報を利用して動的に利用者コミュニティ(相乗りコミュニティ)を作成し、その位置情報を交通事業者に開示することによって、予約制のタクシーやデマンドバスの相乗り率を高めることを目的とする。  また、提案するシステムの要件として、相乗りコミュニティは同乗者の性別などの制限や目的地からの距離の制限などの参加条件を付与可能にすること、自分の位置情報などの個人情報を開示する範囲の限定を可能にすること、移動距離や時間に基づく匿名化機能、利用者によるプライバシポリシの定義と個人情報利用履歴の請求機能を備えることなどを要求する。 2章.ローケーションプライバシの関連研究  IETFのGeoPriv WGで提案されている位置情報を扱うサービスの一般的アーキテクチャの要件と、MarkLangheinrichによって提案されているユビキタスプライバシの6原則にを中心に述べる。 3章.仮名認証と認可の基本モデル  この章では、まず我々の専門用語としての「仮名」の概念の定義を行う。我々の「仮名」は、信頼できる第三者が本人の実在性と属性の真正性を保証したアイデンティティである。仮名認証書は、仮名の実在を証明するクレデンシャルであり、仮名属性証明書は、仮名認証書に対して定義される真正性が保証された属性証明書である。  本論文では、まずNIST SP 800-63モデルに基づいて実名の認証書から仮名認証書を発行するシステムを構成し、次いでSAMLの基本モデルに基づいて仮名認証書と仮名属性証明書とSAMLアサーションによる認可機構について述べる。 4章.アイデンティティシェルタ  アイデンティティシェルタは、仮名による個人の実名の保護と個人情報の統合管理を目的としたAgentシステムである。アイデンティティシェルタは、一つの本人Agentと複数の仮名Agent群から構成される。本人Agentは本人に関する全ての情報が記録されるが直接的にアクセスできるのは本人のみである。仮名Agentは一定の用途のためのポリシに基づいて生成されるAgentで、仮名認証書や仮名属性証明書を持ち、本人情報の一部にアクセスすることができる。外部システムとは必ず仮名Agentを介してコミュニケーションが行われる。仮名Agentは必要に応じて生成と消滅が行われる。仮名Agentが消滅しても本人の情報が失われることはない。 5章.地域交通支援システムの構成  プレースエージェントモデルは、Agent間で情報の共有と流通を行うためのフレームワークである。本論文では、2階層のプレースを用いることによって、相乗りコミュニティと交通事業者のコミュニティの間で位置情報の安全な流通が可能であることを示す。 6章.提案システムのロケーションプライバシの観点からの評価  提案する地域交通支援システムがGeoPrivアーキテクチャとMarkLangheinrichのユビキタスプライバシ6原則の観点からローケーションプライバシの要件を満たしていることを示す。 7章.実装方法 Ruby言語によるLindaの実装であるRindaによるプレースエージェントモデルの構成とOpenSAMLを利用した認証と認可システムの構成に基づく提案システムの実装方法について述べる。 8章.運用の視点からのトラストモデル  本システムを実際に運用するときのアイデンティティシュエルタサービスの管理主体や個人情報の利用履歴の請求に対する情報開示の主体などに関するトラストモデルについて議論する。 9章.まとめと実用化のための技術的課題  この章でまとめを行う。また、本論文では仮名に基づくローケーションプライバシ保護技術に主眼を置いたが、地域交通支援システムの実用化のためにはこの他にも様々な技術的課題があり、その課題の一部についてこの章で議論を行う。  例えば、仮名認証だけでは個人の行動の追跡を完全には防止できないため、より安全性を高めるためには匿名化技術が必要である。また、相乗り率向上のためには、利用者の行動予測が重要であるが、一日ごと、曜日ごと、年間の行事ごとなどの行動パタンを学習する機能をロケーションプライバシを守りつつつ導入する必要がある。