Comments
Description
Transcript
インターネットを介した安全なバイオメトリクス認証 ∼生体情報通信の
04―01058 インターネットを介した安全なバイオメトリクス認証 ∼生体情報通信のセキュリティ強化に関する研究調査 代表研究者 上 繁 義 史 九州システム情報技術研究所第2研究室研究員 共同研究者 櫻 井 幸 一 九州システム情報技術研究所第2研究室室長, 九州大学院システム情報科学院教授 1 研究の背景,目的 現在,様々な分野で個人認証技術が注目されている。これまで提案されてきた認証の考え方は主に3種類に分 類される。すなわち,i)ID-パスワード,PIN のような利用者の記憶に基づいた認証方式,ii)カード(IC カードを含む)など所有物に基づいた認証方式,iii)バイオメトリクス[1]のような利用者の身体的行動的特徴に よる認証方式である。記憶による認証の場合,忘却,類推が容易なパスワード,メモによる漏洩が考えられる。 また,所有物の場合では盗難,紛失の可能性がある。実際にスキミングやクローニングによるキャッシュカード の偽造という事件が発生している。バイオメトリクス認証は特別な認証装置を必要とすることが課題とされる。 しかしながら不正なパスポートでの入国,キャッシュカードの偽造などの社会問題に後押しされる形で,電子パ スポート[2]やキャッシュカードの所有者の識別などに利用されている。 近年,E-commerce,インターネットバンキング,電子政府をはじめとするインターネット上で多くのサービ スにて利用可能な個人認証技術が求められている。インターネットのようなオープンネットワーク環境における 本人認証の基盤として公開鍵基盤(Public Key Infrastructure; 以下 PKI)[3]が知られている。PKI において,利 用者はあらかじめ公開鍵と秘密鍵の対を生成する。公開鍵を認証局(Certificate Authority)に登録し,公開鍵 証明書を発行してもらう。PKI では公開鍵証明書の検証により,秘密鍵の所持者からの送信であることを確認 している。すなわち PKI における本人認証も所有物による方法に相当し,認証の問題は必ずしも解決されては いないと思われる。 そこで,本研究では公開鍵基盤の認証能力の強化を目的として,バイオメトリック認証について公開鍵基盤と 親和性の高いフレームワークとプロトコルについて研究を行い,以下の課題に取り組むこととした。 1)機密性を保持した生体情報に関する通信方法の確立(通信データから生体情報が漏洩しない通信プロトコ ル)[4] 2)生体情報の登録情報とその証明書に関する形式の明確化(上で検討した内容を実装するための,具体的な データ形式)[5],[6],[7] 本研究の特色は,生体情報が漏洩した場合にその情報が交換できない個人情報であるため,生体情報を扱う全 ての機器,生体情報をやり取りする各機器間において,生体情報の機密性を確保する点にある。一般に構成機器 だけでこの要求を満足することは困難である。そこで,生体情報を含むデータが漏洩しても,不正使用の抑止が 可能な本人認証プロトコルを開発する。以下で各課題の検討内容,結果について述べる。 2 検討内容と結果 2-1 機密性を保持した生体情報に関する通信方法の確立 2-1-1 研究のアプローチ 本研究では認証時に生体情報の特徴情報とテンプレートに対して非線形変換を施したものを用いて照合を行う ことにより,現行のバイオメトリック認証と親和性が高く,通信系路上におけるテンプレート漏洩に対して耐性 を持つ手法について考察する。本論文では登録された特徴情報に対して認証セッションごとに異なるテンプレー ― 395 ― ト情報を生成し,それを用いて認証を行う手法を提案する。本手法では認証セッションごとに,ある TTP が認 証セッション ID などの情報のタイムスタンプとその TTP がもつ秘密情報を利用してテンプレートに適用する 変換を生成することにより,変換のワンタイム性を保証することを目標としている。この結果として,プロセス 間の通信データを盗聴された場合にも,テンプレートと特徴情報のワンタイム性により登録されたテンプレート 自体が危殆化することはなくなるため,バイオメトリック認証の安全性を向上させることが可能になることが期 待される。本論文ではこのような認証セッションごとに異なる変換を「ワンタイム変換」と呼び,その実現法及 びバイオメトリック認証への適用について提案を行う。 以下,2-1-2でバイオメトリック認証の認証プロセスと保護の対象となる情報について説明し,2-1-3において 提案手法であるワンタイム変換の概念,生成方法,ワンタイム変換を用いた認証プロセスについて述べる。2-1-4 で提案手法の安全性について考察している。 2-1-2 バイオメトリック認証プロセスと本研究で対象とする課題 一般にバイオメトリック認証では登録と認証の2つの処理の流れがある。登録の処理ではセンサデバイスから バイオメトリックロウデータを取得して,特徴抽出を行い,得られた特徴情報をテンプレートとしてデータベー ス等に登録する。 一方,認証の処理では利用者から採取したバイオメトリックロウデータから特徴抽出を行い,データベース等 に登録されているテンプレートとの照合を行う。テンプレートの格納の形態によって,1:1照合,1:N照合 のケースが考えられる。一般に前者は利用者自身がスマートカード等に登録時のテンプレートが格納されており, 認証時にカードリーダを用いて読み出される。後者の場合には,テンプレートはデータベースに格納されており, 全登録者のテンプレートと照合を行う。認証ポリシを参照して,照合結果(スコア)から登録者か否かの判定が 行われる。 バイオメトリック認証をオープンネットワーク上で行う場合,生体情報取得∼決定の各プロセス間の通信につ いて一部,もしくは全部をオープンネットワーク上で行うことになる。このような場合,プロセス間の通信路は 安全ではないため,盗聴,改ざんの脅威によって認証プロセスのデータ,特に特徴情報,テンプレートやロウ データが漏洩,危殆化する可能性がある。これらのデータは危殆化すると,再登録が出来ないことが一般的に知 られている[8]。またこれらのデータが暗号化されている場合でも,偶発的に暗号が解読されたり,リプレイ攻撃 に利用されたりする可能性がある。このようなことから,これらのデータ保護がバイオメトリック認証における 重要な課題の一つとなっている。 本論文では,以下サーバ認証モデルにおいてテンプレートや特徴情報を保護する手法について検討を加える。 その理由としては,インターネットなどオープンな通信路を用いた遠隔のバイオメトリック認証を考えた場合, クライアント―認証サーバ間でロウデータ,もしくは特徴情報,テンプレートが直接通信されるため,危殆化の 可能性が高いと予想されるからである。 2-1-3 ワンタイム変換の提案 本研究ではこの問題に対して,登録されたテンプレート,抽出された検証用の特徴情報に対して,認証セッ ションごとに異なり,なおかつクライアント,認証サーバに共通な非線形変換を施すことによって,ワンタイム 性を持つバイオメトリック認証を行うことを提案する。提案する認証方法の特徴は新たな TTP の開設を必要と するものの,クライアント及び認証サーバにおいて,現行の生体認証システムにワンタイム変換の処理機能をソ フトウェアレベルで追加するだけでよく,現行の生体認証システムからの直接の拡張として実現できることであ る。 以下では,サーバ認証方式におけるワンタイムテンプレートの利用方式について述べる。 [1] 要件 本提案では,図1に示すように,エンティティとして,クライアント,サーバ,テンプレートを保管するデー タベースと,特徴情報やテンプレートを変換する関数を生成するファンクションジェネレータとタイムスタンプ サーバを仮定する。それぞれの機能及び(セキュリティの)要件は以下を仮定する。 ― 396 ― 1)ファンクションジェネレータ このエンティティは TTP と仮定する。関数生成における引数の種類と生成方法については公開するものとす る。関数生成の引数としては,ファンクションジェネレータが持つ秘密情報,クライアント・サーバ間の認証 セッション ID のハッシュ値,その値に付与されたタイムスタンプ(時間データ)を用いる。これにより,ワン タイム性を持つ関数を生成することが出来る。 関数生成器の安全性はクレデンシャルの安全な保管に依拠し,クレデンシャルの数値はそれぞれの関数生成器 に固有で予測困難であることが要求される。本稿では認証プロセスに焦点を置いているので,アクセス制御につ いては安全性が確保されていることを仮定する。 2)タイムスタンプサーバ タイムスタンプサーバも TTP と仮定する。タイムスタンプサーバは時刻認証リクエストを受信後,対象とな る情報に対してタイムスタンプを付してクライアントに返信する機能を持つこととする。本提案では,タイムス タンプサーバはファンクションジェネレータより認証セッション ID のハッシュ値を受け取り,これにタイムス タンプを発行する。 ࠲ࠗࡓࠬ࠲ࡦ ࡊࠨࡃ ࡈࠔࡦ࡚ࠢࠪࡦ ࠫࠚࡀ࠲ ᤨೞ⸽ಣℂ ࡢࡦ࠲ࠗࡓ ᄌ ឵ 㑐 ᢙ ↢ᚑಣℂ ࠹ࡦࡊ࠻ߩ ࠺࠲ࡌࠬ ࡢࡦ࠲ࠗࡓ ᄌ឵ಣℂ ࠢࠗࠕࡦ࠻ ⸽ࠨࡃ ↢ᖱႎណข ᾖวಣℂ ․ᓽಣℂ ್ቯಣℂ ࡢࡦ࠲ࠗࡓ ᄌ឵ಣℂ 図1 提案するバイオメトリック認証のモデル例 [2] テンプレートのワンタイム化 テンプレートのワンタイム化には,攻撃者に盗聴された場合に,元のテンプレート情報を秘匿し,なおかつ不 正取得したデータを用いたリプレイ攻撃を検出することを目的としている。この要件を満たすには,ワンタイム 化の処理が以下の要件を満たす必要がある: 1)特徴とテンプレートの写像点から元の内容の予測が極めて困難なこと。 (予測困難性) 2)特徴とテンプレート間の距離を適切な距離関数で評価できること。 (距離保存性) 3)ワンタイム変換から特徴とテンプレートに関する情報が抽出不可能なこと。 上記の条件を全て満たすことは一般には困難と思われるが,ワンタイム変換のイメージとしては,候補として カオス写像が考えられる。この写像は図2のように変換点の軌道が高い初期値依存性をもつことから,変換され た特徴点,テンプレートを用いて,生体情報を抽出すことが困難となるものと期待される。また,認証セッショ ンごとにパラメータを変更すれば,異なる認証セッションを盗聴して,同一人物に関する変換データを入手した としても,盗聴者に対して,同一人物の認証であることを秘匿できるものと期待できる。 本研究では,ワンタイム変換の生成に認証セッション ID のハッシュ値 H ID,タイムスタンプサーバの認証時 刻 t c,ファンクションジェネレータの秘密情報 s を入力して一方向性関数を適用して得られた数値を用いるもの とする。 ― 397 ― 㧦 ᤨ ೞ t1 㧘 ⸽ ࠶ ࠪ ࡚ ࡦ ⇟ ภ a1 ߩߣ߈ߩࡢࡦ࠲ࠗࡓᄌ឵ᓟߩᐳᮡ 㨥 㧦 ᤨ ೞ t2 㧘 ⸽ ࠶ ࠪ ࡚ ࡦ ⇟ ภ a2 ߩߣ߈ߩࡢࡦ࠲ࠗࡓᄌ឵ᓟߩᐳᮡ 㧔ߚߛߒ㧘t1ҁt2㧕 1 ߩ․ᓽᖱႎ߽ߒߊߪ ࠹ࡦࡊ࠻ߩᐳᮡ ේὐ O x 図2 ワンタイム変換処理のイメージ [3] ワンタイム変換を用いたバイオメトリック認証プロセス ワンタイム変換を用いた認証プロセスを以下に示す。①∼⑯は図3にて用いられている番号である。 Ë)①∼③は認証開始の準備である。この段階でクライアントと認証サーバは認証セッション番号を共有する。 Ì)④においてファンクションジェネレータはクライアントと認証サーバの双方から,認証セッション番号を伴 う,ワンタイム関数生成のリクエストを受け取り,⑤において正当なバイオメトリック認証セッションであ ることを検証する。 Í)⑥,⑦において,ファンクションジェネレータはタイムスタンプサーバより認証セッション番号に対する時 刻認証を得る。これはワンタイム変換生成のためのパラメータとして,認証セッション番号と,第三者が認 証した時刻情報を必要とするからである。 Î)⑨において,ファンクションジェネレータはクライアントとテンプレートのデータベースに対して,生成し たワンタイム写像を送信する。 Ï)⑫において,ファンクションジェネレータは認証サーバに対して,ワンタイム写像生成終了の信号を送信す る。ファンクションジェネレータの処理はこれで終了となる。 Ð)⑩,⑪において,クライアント及びテンプレートのデータベースでは,特徴情報,テンプレートのワンタイ ム変換を行う。共通の変換により写像されるため,ワンタイム変換後の情報を用いての照合処理が可能とな る。ワンタイム変換を F (x) とすると,特徴情報は下式のように反復変換を行う。 ftrn = F % n ( ftr) º 上式において,n は反復回数,ftr は特徴点の座標を表す。同様にテンプレートについても tpl n = F % n (tpl) » により反復変換を行う。上式における tpl はテンプレートの座標を表す。 Ñ)⑬,⑭において認証サーバはワンタイム変換後の特徴情報及びテンプレートの送信リクエストをクライアン ト及びテンプレートのデータベースに対して送信する。 Ò)⑮,⑯においてクライアント及びテンプレートのデータベースは,認証サーバに対して,ワンタイム変換後 の特徴情報及びテンプレートを送信する。これ以降認証サーバは照合処理,判定処理を行う。 Ó)照合プロセスでは,クライアントとデータベースより変換点の集合を受信し集合間の距離を計算する。集合 [9]: 間の距離の一例として以下のハウスドルフ距離(Hausdorff distance) ― 398 ― H (Tpl n , Ftrn ) = max { max min {d (tpl n , ftrn ) } tpl n ! Tpl n tpl n ! Fpl n ¼ max { max min {d (tpl n , ftrn ) }} ftrn ! Ftrn tpl n ! Tpl n が挙げられる。上式において,Tpl n はワンタイム変換後のテンプレート集合,Ftrn はワンタイム変換後の特徴点 集合,d ] : g は2点間の距離関数である。距離関数 d ] : g はワンタイム変換の形式に応じて最適なものを選ぶもの とする。 Ô)照合の距離計算よりスコアを計算し,決定プロセスにて認証の可否を決定する。 ࠲ࠗࡓࠬ࠲ࡦ ࡊࠨࡃ ࠢࠗࠕࡦ࠻ ࡈࠔࡦ࡚ࠢࠪࡦ ࠫࠚࡀ࠲ ࠹ ࡦ ࡊ ࠻ ߩ ࠺࠲ࡌࠬ ⸽ࠨࡃ Ԙ⸽࠶࡚ࠪࡦⷐ᳞ ԙ⸽࠶࡚ࠪࡦ㐿ᆎ Ԛ⸽࠶࡚ࠪࡦ㐿ᆎߩ⏕ ԛ⸽࠶࡚ࠪࡦ⇟ภ ԛ⸽࠶࡚ࠪࡦ⇟ภ Ԝࠢࠗࠕࡦ࠻㧘⸽ࠨࡃ ߆ࠄߩฃାᖱႎࠍᬌ⸽ ԝ⸽࠶࡚ࠪࡦ⇟ภ Ԟ ⸽ ࠶ ࠪ ࡚ࡦ ⇟ ภ ߩᤨೞ⸽ᖱႎ ԟࡢࡦ࠲ࠗࡓᄌ឵㑐ᢙߩ↢ᚑ Ԡࡢࡦ࠲ࠗࡓᄌ឵㑐ᢙ Ԡࡢࡦ࠲ࠗࡓᄌ឵㑐ᢙ Ԣࡢࡦ࠲ࠗࡓᄌ឵㑐ᢙߦ ࠃࠆ࠹ࡦࡊ࠻ߩᄌ឵ ԡ ࡢ ࡦ ࠲ ࠗ ࡓ ᄌ ឵ 㑐 ᢙ ߦ ࠃ ࠆ ․ᓽᖱႎߩᄌ឵ ԣ ࡢ ࡦ࠲ ࠗ ࡓ ᄌ ឵ 㑐ᢙ ↢ ᚑ ⚳ ੌ Ԥࡢࡦ࠲ࠗࡓᄌ឵ᓟߩ․ᓽᖱႎߩㅍାⷐ᳞ ԥ ࡢࡦ ࠲ ࠗ ࡓ ᄌ ឵ᓟ ߩ ࠹ ࡦࡊ ࠻ ߩ ㅍା ⷐ ᳞ ࡦ ࠲ ࠗࡓ ᄌ឵ ᓟ Ԧࡢ ԧࡢࡦ࠲ࠗࡓᄌ឵ᓟߩ․ᓽᖱႎ ߩ࠹ࡦࡊ࠻ 図3 認証セッションの開始∼テンプレート及び特徴情報の送信のプロトコル 2-1-4 安全性に関する考察 提案手法について,以下の観点から安全性について議論を行う。 1)ワンタイム化法の安全性 認証セッション ID や認証時刻に関する情報は認証セッションの正当性を保証するために検証可能であること を仮定しているが,ファンクションジェネレータの秘密情報 s によって,ワンタイム変換のパラメータを推測 することは困難であると考えられる。すなわち,ワンタイム変換の安全性はファンクションジェネレータの安全 性に依存するといえる。 2)バイオメトリック認証プロセスの安全性 ワンタイム変換におけるパラメータと変換に用いる写像の情報が通信路上で漏洩した場合に,ワンタイム変換 が危殆化するため,ワンタイム変換後の特徴情報,テンプレートと合わせて漏洩すると,元のデータを復元され る可能性がある。 3)攻撃の可能性 非線形関数の安全性を仮定して,ヒルクライミングアタック[10][11],リプレイアタック,結託攻撃について考 察を行う。 ― 399 ― ヒルクライミングアタックは照合処理のスコアが攻撃者に渡ることを仮定した攻撃法である。提案法で認証結 果(認証/拒否)とスコアがクライアントに送付されることを仮定する。攻撃者はファンクションジェネレータ からワンタイム変換を受け取り,これを用いて自分の作成したデータベースの特徴情報を変換する。スコアの評 価方法,閾値が距離関数 d ] : g に応じて変化するため,攻撃者はスコアの評価が困難となるものと考えられる。 したがって,一般の生体認証と比べると,攻撃成功の確率は低下すると思われる。 リプレイアタックは盗聴によって取得したデータが再利用可能でなければ成立しない。攻撃者がクライアント ―認証サーバ間の通信のみを盗聴している場合には,特徴情報,テンプレートのワンタイム性によって,盗聴 データの再利用が不可能であるため,リプレイアタックは成立しないと考えられる。ファンクションジェネレー タの通信を盗聴している場合,クライアントとデータベースに対してリプレイアタックを行う場合を考えると, クライアントとデータベースはファンクションジェネレータからのワンタイム写像のパラメータと,以前に送ら れてきたものとの非同一性を検証することによってリプレイアタックを検出することが可能となる。 2-2 生体情報の登録情報とその証明書に関する形式の明確化 2-2-1 アプローチ 本研究では,テンプレート証明書と他の証明書の入手による個人情報流出とバイオメトリック認証以外のテン プレート情報へのアクセスを防止するための対策として,利用者の持つ個人リポジトリの所有者の検証をアプリ ケーションサーバに対して匿名のままで行うフレームワークを提案する。このフレームワークではバイオメト リック認証に関する情報(テンプレートの証明書など)を所有者ではなく個人リポジトリと関連付けを行う。個 人リポジトリの所有者に関する証明書により所有者の検証を可能とする。ただし,この証明書へのアクセスは所 有者本人と信頼できる検証機関のみに制限することにより所有者の個人情報としての証明書を保護する。この検 証の後にバイオメトリック認証,公開鍵証明書の検証の順で認証プロセスを実行することにより,バイオメト リック認証が終わった段階ではアプリケーションサーバに対して匿名性を保持することを可能とする。 以下では2-2-2で我々の提案するフレームワークについて説明し,2-2-3でその安全性について議論を行う。 2-2-2 個人リポジトリ所有者検証型生体認証 提案するフレームワークを図4に示す。このフレームワークは以下のエンティティから構成される。 bユーザ:秘密鍵,テンプレート,テンプレート証明書(後述),公開鍵証明書を格納した個人リポジトリを 持つ。 bアプリケーションサーバ:バイオメトリック認証による本人確認の後サービスを提供するサーバ bユーザの個人リポジトリの認証局:後述する個人リポジトリの所有者証明書を検証局に配布する TTP であ Certificate Authority for User ’s Personal Repository Personal Repository Biometrics Device Client (User) Verification Authority for User ’s Personal Repository Internet Application Server Certificate Authority for Public Key Certificate Authority for Template Data Certificate Authority for Authentication Environment 図4 提案するオープンネットワーク上のバイオメトリック認証のフレームワーク ― 400 ― る。 bユーザの個人リポジトリの検証局:アプリケーションサーバからの要求により個人リポジトリの所有者情報 を検証し,個人リポジトリに格納されている証明書のリストからアプリケーションサーバが認証に必要な証 明書が含まれているか検証を行う。この検証局は信頼できると仮定する。 b公開鍵の認証局:利用者個人の公開鍵証明書を発行する認証局 bバイオメトリックテンプレートの認証局:テンプレート証明書(後述)を発行する認証局。 b認証環境の認証局:バイオメトリックデバイス,個人リポジトリデバイス,認証ソフトウェア,クライアン トなどの認証環境の精度,安全性に関する証明書を発行する認証局 [1] ユーザの個人リポジトリ所有者証明書 表1に個人リポジトリ所有者証明書の定義を示す。この証明書は“Owner’s Identity Information”のフィー ルドにより所有者の氏名などの情報を格納している。また,個人リポジトリが格納している証明書の識別情報に より公開鍵証明書とテンプレート証明書との関連付けを行っている。この証明書は個人リポジトリの所有者自身 と所有者の検証局にのみ配布される。これにより公開鍵証明書とテンプレート証明書から個人の情報が漏洩する 危険を減らすことが可能となると考えられる。 表1 個人リポジトリの所有者証明書 1 # Item 1 2 3 4 Contents Identify Information of personal repository. Owner ’s Identity Information Issuer Name ⸽ᦠ⊒ⴕ⠪ ߩ⼂ᖱႎ ߮ ⸽ᦠߩ ID ⇟ภ Valid period of the certificate ⸽ᦠߩലᦼ㑆㧔X.509 ߩ ᒻᑼ㧕 The number of certificates, n Information of 6 stored certificate 1 … n 6 + n [2] ੱࡐࠫ࠻ߩᚲ⠪ᖱႎ & ID 5 stored 5 + ੱࡐࠫ࠻ߩ⼂ᖱႎ 㧔㧦ࡌࡦ࠳ᖱႎ, ຠߩࠪ ࠕ࡞⇟ภ㧕 Information of stored certificate n Issuer ’s Digital Signature ੱࡐࠫ࠻ ߦᩰ⚊ߐࠇ ߡ ࠆ⸽ᦠߩᢙ ੱࡐࠫ࠻ ߦᩰ⚊ߐࠇ ߡ ࠆ⸽ᦠ 1 ߩ⼂ᖱႎ … ੱࡐࠫ࠻ ߦᩰ⚊ߐࠇ ߡ ࠆ⸽ᦠ n ߩ⼂ᖱႎ #1 㨪 #6+ n ߩ ࠺ ࠖ ࠫ ࠲ ࡞ ⟑ ฬ߅ࠃ߮⟑ฬࠕ࡞ࠧ࠭ࡓ テンプレート証明書 テンプレートフォーマット [12],[13]は“Certificate Identity Information”フィールドと“Template Data” フィールド(CBEFF 形式[15]のデータを格納)を含んでいる。このことから,テンプレートフォーマットは対応 する公開鍵証明書[16]と関連付けられており,直接テンプレート情報そのものを含んでいる。この結果として, 任意の第三者が公開鍵の所有者とテンプレートの所有者を関連付けることが出来,プライバシ上の問題を生じる。 ― 401 ― そこで,テンプレート証明書と公開鍵証明書とを間接的に関連付けを行う目的で“Personal Repository Identity Information”フィールドを設ける。また,テンプレートデータの漏洩を防ぐためにテンプレートデータを証明 書の内部に直接含むのではなく,ハッシュ値を含むことによりテンプレートデータの完全性を検証できるように する必要があると考えられる[17],[18]。そこで,表2のテンプレート証明書を提案する。 表2 バイオメトリックテンプレート証明書 2 # Item 1 2 Contents Certificate Identifier Personal Repository Identity Information Issuer 3 & ID ࠹ࡦࡊ࠻⸽ᦠߩ⼂ᖱႎ 㧔ࠪࠕ࡞⇟ภ㧕 ੱࡐࠫ࠻ߩ⼂ᖱႎ㧔 ੱᖱႎࡐࠫ࠻ߩ URI㧘ࡌࡦ ࠳ᖱႎ, ຠߩࠪࠕ࡞⇟ภ㧕 Name ⸽ ᦠ ⊒ ⴕ ⠪ ߩ ⼂ ᖱ ႎ ߮ ⸽ ᦠߩ ID ⇟ภ Valid period the ⸽ᦠߩലᦼ㑆㧔X.509㧕 certificate 4 of 5 Template Information Issuer ’s 6 Digital Signature [3] ࡃࠗࠝࡔ࠻࠶ࠢ࠹ࡦࡊ࠻ ߩ⒳㘃㧘ຠ⾰㧘ࡂ࠶ࠪࡘ୯㧘ࡃ ࠗࠝࡔ࠻࠶ࠢ⸽ߩࠕ࡞ࠧ ࠭ࡓ⼂ᖱႎ #1㨪#5 ߩ࠺ࠖࠫ࠲࡞⟑ฬ㧘⟑ฬ ࠕ࡞ࠧ࠭ࡓ⼂ᖱႎ 認証プロセス この節では個人リポジトリ所有者証明書の検証とバイオメトリック認証による認証プロセスについて述べる。 (図5参照) 1)個人リポジトリの所有者に関する検証 ここでは個人リポジトリが正当な所有者について検証を行う。このプロセスは個人リポジトリ,アプリケー ションサーバ,検証機関により行われる。アプリケーションサーバはこの段階ではまだ利用者は匿名となる。 Ë)利用者は認証セッション開始のリクエスト Request Auth Session をアプリケーションサーバ AS に送信す る。 Ì)アプリケーションサーバはレスポンスとしてセッション開始情報 Session Info を利用者(個人リポジトリ PR)に送信する。 Í)利用者は個人リポジトリのデバイス証明書 Cert PRdevice を AS に対して送信する。 Î)AS は 検 証 機 関 VA に 対 し て PR に つ い て の 正 当 な 所 有 者 の 存 在 に つ い て 検 証 の リ ク エ ス ト RequestVerf Pr owner ,利用者の個人リポジトリのデバイス証明書,認証に必要な証明書のリストを送信する。 同時に利用者は VA に対して個人リポジトリの所有者検証のリクエスト RequestVerf Pr owner ,利用者が認証 を求めているアプリケーションサーバの URI,個人リポジトリのデバイス証明書 Cert PRdevice,個人リポジ トリの所有者証明書 Cert Pr owner を送付する。 Ï)VA は PR と AS からのリクエストが同一の認証セッションであることを検証する。VA は Cert PRdevice ,Cert Pr owner のディジタル署名の検証,失効の検証を行う。検証結果として,PR に正当な所有者の有無の 確認結果を示す PrownerExist,AS が認証に必要な証明書の有無の確認結果 CertExist と VA によるディ ジタル署名 h (kVA , Pr ownerExist | CertExist) により VerfResult = Pr ownerExist | CertExist | h (kVA , Pr ownerExist | CertExist) を生成する。ただし式中の kVA は VA の秘密鍵を表す。 Ð)VA は PR と AS に対して検証結果 VerfResult を送信する。 Ñ)AS は VerfResult の検証を行い,PR の所有者の存在を確認し,認証に必要な証明書を格納していること を検証する。AS にて利用可能なバイオメトリック認証方式のリスト BioAuthListw を PR に送信する。 ― 402 ― PR の所有者の検証に失敗した,もしくはASが要求する証明書を PR が持たない場合には,セッション終 了コード ExitSession を送信する。 AS ࠢࠗࠕࡦ࠻ 1)(i) 1)(ii) 1)(iii) 1)(iv) PR VA 1)(vi) 1)(v) 1)(iv) 1)(vi) 1)(vii) BD 図5 個人リポジトリの認証プロセス(AS:アプリケーションサーバー,PR:個人リポジトリ, BD:バイオメトリックデバイス,VA:個人リポジトリ所有者の検証機関) 2)バイオメトリック認証プロセス バイオメトリック認証は図6のフローに従って実行される。ここでは BioAuthList によるバイオメトリックデ バイス BD の選択,テンプレート証明書の検証,バイオメトリック認証の照合が行われる。 ࠢࠗࠕࡦ࠻ BD AS 2)(i) PR 2)(ii) 2)(iii) 2)(iv) PR 2)(v) 2)(vi) 図6 バイオメトリック認証プロセス 2-2-3 安全性に関する考察 上で提案したフレームワークは個人リポジトリを正当な所有者が利用していることをバイオメトリック認証に より認証を行っており,この段階まではアプリケーションサーバでは利用者は匿名となっている。利用者と所有 者の同一性は VA において検証され,アプリケーションサーバは検証結果として同一性の情報しか受け取るこ とが出来ない。したがってこのモデルにおいてVAが利用者と結託した場合に安全なシステムと言えなくなる。 また,本提案では個人リポジトリにおいてデバイスとしての耐タンパ性を仮定する必要がある。また,通信内 容の検証を必要とするため,チャレンジレスポンスの検証,ディジタル署名の生成,検証の演算能力を仮定する 必要がある。 3 まとめ 本研究を通じて,各課題において以下のことが明らかとなった。 「機密性を保持した生体情報に関する通信方法の確立」では,バイオメトリック認証において,特徴情報とテ ンプレートの保護を目的として,ワンタイム変換の考え方を導入し認証セッションごとに異なるデータに変換す る手法を提案した。その結果,ファンクションジェネレータの安全性が保証されれば,ワンタイム変換後の特徴 ― 403 ― 情報とテンプレートが漏洩しても,ヒルクライミングアタック,リプレイアタックに対して安全なバイオメト リック認証が可能であるとの見通しを得た。今後の課題として,最適なワンタイム変換の形式とパラメータの具 体的な算出法について検討を行い,安全性と計算量について Formal な解析を行うことが挙げられる。 「生体情報の登録情報とその証明書に関する形式の明確化」でオープンネットワークでのバイオメトリック認 証のフレームワークについて提案した。本提案ではテンプレート証明書と公開鍵証明書が同時に送信されること による個人情報漏洩の可能性を低減するために,個人リポジトリの所有者に関する検証機関を設置し,アプリ ケーションサーバに対して利用者の匿名性を保持した。これによりバイオメトリック認証時の匿名性を保証する ことが可能となった。また,提案したフレームワークの安全性について議論を行った。今後の課題としては本モ デルをより一般的な認証モデルに拡張し,バイオメトリックデータ(ロウデータ,テンプレートデータなど)の 保護技術について検討を行うことが考えられる。 謝 辞 本研究助成によって,生体認証の遠隔認証への適用について理論的な研究を進めることが出来ました。ここに 関係者各位に心より感謝いたします。 文 献 [1] Paul Reid, “Biometrics for Network Security”, PRENTICE HALL Professional Technical Reference, 2004. [2] 榊純一,“IC 旅券の標準化動向と日本の取り組み”,信学会,ユビキタスネットワーク社会におけるバイ オメトリクスセキュリティ研究会第3回研究発表会,pp. 69-82,Sep. 2004 [3] Russell Housley, Warwick Ford, Tim Polk, David Solo, “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, RFC3280, Network Working Group Standard Track, 2002 [4] 上繁義史,櫻井幸一, “ワンタイムテンプレートによるバイオメトリクス認証の提案”, 暗号と情報セキュ リティシンポジウム2006 (SCIS2006), Jan. 2006 [5] 上繁義史,櫻井幸一:“オープンネットワーク上の生体認証過程における攻撃”, Computer Security Symposium 2005, Oct. 2005 [6] Yoshifumi Ueshige, Kouichi Sakurai : “A Study on a Framework of Online Biometric Authentication with Verification of Personal Repository”, Proceeding: In Jianyung Zhou, Meng-Chou, Feng Bao, and Hwee-Hwa Pang, editor, The 4th Applied Public Key Infrastructure, IOS Press, pp. 115-169, Sep., 2005 [7] 上繁義史, 櫻井幸一:“個人リポジトリの検証機構を備えたオンラインのバイオメトリクス認証のフレー ムワーク”,信学技報,ISEC2005-02,pp. 67-72,Jul., 2005 [8] 瀬戸洋一,「バイオメトリックセキュリティ入門」 ,ソフト・リサーチ・センター,2004. [9] M. F. Barnsley, “Fractals Everywhere second edition”, Academic Press Professional, 1993. [10] C. Soutar, “Biometric System Security”, Secure No. 5 ,pp. 46-49, (2002) (URL: http://www.silicontrust. com/pdf/secure_5/46_techno_4.pdf) [11] A. Dimovski, D. Gilogoroski, “Generating highly nonlinear Boolean function using a genetic algorithm”, 1st Balkan Conference on Informatics, (Nov. 2003) [12] Yoshiaki Isobe, Youich Seto, Masanori Kataoka, “Development of Personal Authentication System Using Fingerprint with Digital Signature”, Proceedings of the 34th Hawaii International Conference on System Sciences 2001, 2001 [13] 磯部義明,瀬戸洋一,“PKI とバイオメトリクスを連携した本人認証の課題と要件”,2004年暗号と情報 セキュリティシンポジウム,pp.561-566,Jan. 2004 [14] 池田竜朗,森尻智昭,才所敏明,“本人確認環境認証方式の提案” ,コンピュータセキュリティシンポジウ ム2002,pp.337-342,Oct. 2002. [15] Fernaldo L. Podio, Jeffrey S. Dunn, Lawrence Reinert, Catherine Tilton, Lawrence O’ Gorman, M. Paul Collier, Mark Jerde, Brigitte Wirtz, “Common Biometric Exchange File Format (CBEFF)”, National ― 404 ― Institute of Standards and Technology (NIST), (2001) [16] Stefan Santesson, Tim Polk, Magnus Nystrom, “Internet X. 509 Public Key Infrastructure: Qualified Certificate Profile”, RFC3739, Network Working Group Standard Track, 2001. [17] 上繁義史,櫻井幸一,“BioPKI の生体認証過程における生体情報の機密性に関する研究”,コンピュータ セキュリティシンポジウム2004 (CSS2004), pp. 517-522, Oct. 2004 [18] 上繁義史,櫻井幸一,“生体認証を伴う PKI の認証過程における生体情報の機密性確保に関する考察”, 学際的情報セキュリティ総合科学シンポジウム,Nov. 2004 〈発 表 資 料〉 題 名 掲 載 誌 ・ 学 会 名 等 発 表 年 月 “ワンタイムテンプレートによるバイオメ トリクス認証の提案” 暗号と情報セキュリティシンポジウム 2006(SCIS2006) 平成18年1月 “オープンネットワーク上の生体認証過程 における攻撃” コンピュータセキュリティシンポジウム 2005(CSS2005) 平成17年10月 “A Study on a Framework of Online Biometric Authentication with Verification of Personal Repository” The 4th Applied Public Key Infrastructure,(IWAP05) 平成17年9月 “個人リポジトリの検証機構を備えたオン ラインのバイオメトリック認証のフレーム ワーク” 電子情報通信学会 ISEC,SITE-情報処理 学会 CSEC 合同研究会 平成17年7月 ― 405 ―