UPKIプロジェクトと 大学間認証認可連携について 国立情報学研究所 片岡 俊幸 1.UPKIについて 2.UPKI共通仕様 3.サーバ証明書発行 4.大学間無線ローミング 5.キャンパス認証局スタートパック 6.UPKI認証連携基盤(UPKI-Fed) 7.今後の方針 2 1.UPKIについて 3 最先端学術情報基盤 (Cyber Science Infrastructure:CSI) 人材育成及び推進体制の整備 (推進組織・人材確保等) バーチャル研究組織/ライブ コラボレーションの育成・支援 学術コンテンツの確保・発信システム 産 業 ・ 社 会 貢 献 コンピュータ資源を結ぶグリッドの実用展開 大学・研究機関のための認証システムの開発と実用化 学術情報ネットワーク(SINET3)の運用 【NIIと大学の情報基盤センターや図書館等連携による 学術情報ネットワークの運用と学術コンテンツ整備・発信】 ・学術情報ネットワーク運営・連携本部 (H17.2設置) ・学術コンテンツ運営・連携本部 (H17.10設置) 国 際 貢 献 ・ 連 携 ● 大学・研究機関の研究リソース整備・研究成果等の発信 4 大学間連携のための全国共同電子認証基盤(UPKI)と は 最先端学術情報基盤(Cyber Science Infrastructure)実現のため,大 学等が保有する,教育・研究用計算機,電子コンテンツ,ネットワーク および事務システムなどの学術情報資源を安心・安全かつ有効に活 用するための電子認証基盤 PKI(公開鍵認証基盤)を活用 UPKI の概要 B 大の教授 B 大職員 A 大アクセスポイント C 大電子コンテンツ 無線LAN ローミング C 大事務システム B 大アクセスポイント UPKI 共通仕様 学内認証基盤 A 大学 学内認証基盤 B 大学 学内認証基盤 C 大学 5 学術力(情報力・研究力・教育力・文化力)の強化 30年前は、大型計算機、大型実験設備の保有が 研究力・教育力の差に 10年前から、インターネットが情報力・研究力・教 育力の差に 5年前ころから、コンテンツ発信・探索が情報力・ 研究力・教育力・文化力の差に これからは、フェデレーション・コラボレーション・コ ミュニティのための認証基盤が学術力の差になる のでは・・・・ 6 連携(Federation)がキーワード 1. 学術基盤連携(科学技術の進展) 2. 高等教育連携(分野と専門を超えた交流) 3. ICT人材育成、トップSE、単位互換、研究倫理な R&D連携(イノベーションダイナミクスの創出) 4. ドライ系 ネットワーク・コンテンツ・コンピュータ・デー タベース ウエット系 信頼関係など 産学共同研究開発、学術知財管理など 社会連携(学術から知流社会への転換) 大学の情報社会基盤 市民講座、生涯学習、公共スペース活用など 7 学術コミュニティとの連携による 「最先端学術情報基盤(CSI)」 の推進体制 大学・研究機関 国立情報学研究所 学術情報ネットワーク運営・連携本部 学術ネットワーク研究開発センター ネットワーク作業部会 ネットワークグループ 認証作業部会 認証基盤グループ リサーチグリッド研究開発センター グリッド作業部会 高等教育機関における 情報セキュリティポリシー推進部会 学術コンテンツ運営・連携本部 図書館連携作業部会 学術コンテンツサービス研究開発センター 学会・関連機関 8 国立情報学研究所 学術情報ネットワーク運営・連携本部 認証作業部会 岡部 寿男(京都大学学術情報メディアセンター)… 主査 曽根原 登(国立情報学研究所)……………………… 幹事 高井 昌彰(北海道大学情報基盤センター) 曽根 秀昭(東北大学サイバーサイエンスセンター) 後藤 英昭 (東北大学サイバーサイエンスセンター) 佐藤 周行(東京大学情報基盤センター) 平野 靖(名古屋大学情報連携基盤センター) 馬場 健一(大阪大学サイバーメディアセンター) 鈴木 孝彦(九州大学情報基盤センター) 飯田 勝吉(東京工業大学学術国際情報センター) 湯浅 富久子 (高エネルギー加速器研究機構計算科学センター) 中村 素典(国立情報学研究所) 山地 一禎(国立情報学研究所) 9 国立情報学研究所 学術ネットワーク研究開発センター 認証基盤グループ 曽根原 登 岡部 寿男 中村 素典 谷本 茂明 岡田 仁志 山地 一禎 島岡 政基 片岡 俊幸 樋口 秀樹 夏目 典大 教授(情報社会相関研究系 研究主幹)……主査 客員教授(京都大学教授) …………………副主査 教授(学術ネットワーク研究開発センター) 客員教授(学術ネットワーク研究開発センター) 准教授(情報社会相関研究系) 准教授(学術ネットワーク研究開発センター) 特任准教授(学術ネットワーク研究開発センター) 特任准教授(学術ネットワーク研究開発センター) 基盤企画課副課長 基盤企画課係長(連携システムチーム) 10 認証基盤の形成例 全国共同電子認証基盤を構築し、大学の先生、研究者、学生、事務職員が、連携して いる大学のネットワークに自由に入れるようにする。更に共通プラットフォーム上で利 用できる機能を活用することで、利便性の向上を図る。 A大の学生 B大の学生 C大の学生 D大の研究者 コンテンツ コンテンツ E大の教授 コンテンツ コンテンツ コンテンツ アプリケーション アプリケーション 学内公共無線LANの認証利用 のためのインタフェース構築 アプリケーション 事務システムの認証利用のための インタフェース構築 相互認証 ハウジング ホスティング アプリケーション アプリケーション キャンパスユビキタス ネットワークのためのVPN技術 遠隔講義・ 会議支援への応用 科学を推進するための 資源共有のための基盤の構築 UPKI以外の認証プロトコル を持つICカードとの連携 ICカードによる公衆端末 の個人専用機化 認証プラットフォーム ネットワーク セキュリティ 海外研究者 ネットワーク マネジメント 属性認証 データストレージ ヘルプデスク 高度/広帯域ネットワーク セキュリティを確保した連携を行うには、個人を認識するための認証機能は不可欠 UPKIの3層アーキテクチャ オープン ドメイン NII Pub CA サーバ サーバ PKI WebWeb Web Srv. PKI Webサーバ サーバ WebWeb Srv. S/MIME S/MIME S/MIME Auth, Sign, Encrypt. Auth, B Univ. CA 学内用 Proxy EEEE EE Server, Super Computer B Univ. Grid NAREGI CA Proxy Proxy Proxy Server, Super Computer Student, Faculty Sign, Encrypt. 学内用 EE A Univ. NAREGI CA Proxy Proxy Sign, Encrypt. 学内用 学内用 EE グリッド PKI S/MIME S/MIME S/MIME A Univ. CA キャンパス Other Pub CA EEEE Computing EE Student, Faculty 12 各PKI層のコンセプト オープンドメインPKI キャンパスPKI いわゆるパブリックPKI ルート証明書が予め配布されたPKI 皆が信頼しているPKI、誰でも検証できるPKI 各大学が個別のポリシに合わせて構築するプライベート PKI その大学のユーザ(教職員and/or学生)であることを証明す る ユーザ(教職員and/or学生)への厳格な(対面等の配付が可 能) グリッドPKI AP Grid PMAなどグリッド独自のセキュリティレベル プロキシ証明書など一般的なPKIとは明らかに異なる概念 13 UPKIの活動 項番 事項 内容 「UPKI共通仕様」の作成と配布 1 2 共通仕様の作成によりA大学 とB大学の認証局の認証連携 を実現 A大学 認証局 オープンドメイン認証局の構築と サーバ証明書の発行 NIIオープンドメイン 認証局の構築 Web Trust CA 3 サーバ証明書 の発行 NII認証局の承認 大学間無線LANローミングの実 現 B大学 認証局 海外の 大学 B大学 A大学 「UPKI共通仕様」の利用により大学での ・学内認証局の構築 ・CP/CPS等の規程の整備 が容易に実現可能に オープンドメイン認証局の構築 により,全世界に通用する サーバ証明書を発行し,大学 Webサーバ のWebサーバの実在性証明と 通信の暗号化を実現 eduroamによる大学間無線LANロー ミングを実現。海外のeduroam参加機 関との連携も実現 C大学 4 5 コンテンツサービスのシングルサ インオン実験 ID-FF SAML2.0 オープンソースの認証局ソフトウェアある NAREGI-CAを用いて,認証局を簡単に構 築し,無線LAN認証を容易に実現できるソ フトウェアを開発 NAREGI-CAを利用した認証局ソ フトウェアパッケージの開発 LDAP S/MIME証明書の試験利用 6 shibboleth コンテンツ サービス 各種データベースサーバへのシングルサ インオンを実現するため,shibboleth, SAML2.0等の仕様を調査し,UPKIにふ 1つのIDで複数の さわしい方式を検討 DBにアクセス RADIUS NAREGI-CA S/MIME対応メーラーの調査 電子署名付きメール, メールの暗号化の実現 無線LAN AP これにより,大学の認証局構築を促進する S/MIME証明書を,認証関係者間で試 験利用するとともに,対応メーラーの調 査,WebメールでのS/MIME利用の調 査研究を実施 14 UPKI構築の全体スケジュール 2006年 UPKI イニシアティブ オープン 認証 UPKI 共通仕様 2007年 発足 2008年 ・仕様(案)の提示・導入事例の公開、仕様(案)への意見・要望 ・情報の共有・意見交換 大学のサーバ証明、S/MIME 学内認証局 調達仕様ガイドライン 学内認証局のCP/CPSガイドライン アプリケーションの調査、構築、実装 アプリケーション 開発・相互運用 無線LANローミング シングルサインオン 認証局 ソフトウェア 2009年以降 認証局ソフトウェア パッケージの開発 ・各大学の 認証基盤導入 ・各大学との 相互接続 ・アプリケー ション サービス連携 ・社会産学連携 の 本格的運用 認証局ソフトウェアパッケージの 配布、導入支援 15 主なUPKIプロジェクト(アーキテクチャ上にマッピング) NII Pub CA Open サーバ証明書 Domain S/MIME Web サーバ S/MIME Web サーバ 発行PJ Web Srv. S/MIME PKI Campus PKI A Univ. CA SSO 学内用 実証実験 EE学内用 A Univ. NAREGI CA NAREGI PKI Proxy Proxy Proxy EEEE EE Other Pub CA Auth, Sign, Encrypt. Auth, B Univ. CA UPKI 共通仕様 NAREGI-CA Proxy 機能拡張 Proxy Server, Super Computer Sign, Encrypt. 大学間無線LAN ローミング( Eduroam) 学内用 学内用 EE B Univ. Grid NAREGI CA Proxy Server, Super Computer Student, Faculty Sign, Encrypt. S/MIME証明書の S/MIME Web サーバ 試験利用 S/MIME サーバ S/MIME WebWeb Srv. EEEE Computing EE Student, Faculty 16 16 UPKIイニシアティブ UPKIの相互運用性,利用促進に関しての意見交換や技術 的な検証を行う場として設立(2006年8月16日) 運営主体は認証作業部会 UPKIイニシアティブの活動は,主にホームページ上の UPKIポータルを使用(https://upki-portal.nii.ac.jp/) 各活動のページから関連情報、資料を発信 UPKIポータルの トップページ 各活動のページ が並んでいます。 17 2.UPKI共通仕様 18 UPKI共通仕様の目的 「UPKI共通仕様」では、各大学において、キャンパスPKIを導入 する際の参考となる共通仕様(キャンパスPKI調達仕様、 CP/CPSガイドライン)を作成し、大学へのキャンパスPKI導入を 促進するとともにPKI導入に対する将来の連携性確保*やコスト 削減**等を狙いとするものである。 *:連携性確保 大学間の相互運用性を考慮した共通仕様の採用 保証レベルの平準化 ⇒連携時の情報セキュリティの問題を解消 **:コスト削減 キャンパスPKI導入検討コストの削減 CP/CPS策定コストの削減 ⇒各大学での認証局構築における金銭的・人的コストを低減 ガイドライン公開により キャンパスPKI導入を促進!! 19 UPKI共通仕様の位置づけ ~ 適用領域等 ~ オープンドメイン PKI キャンパスPKI グリッドPKI 適用領域 インターネット 各大学内 全国共同利用セン ター 目的 インターネット上 での認証、署名・ 暗号など 学内NW・システムへの 安全なアクセス 計算機資源の安 全な共有 用途 主にSSL/TLS認 証、その他 S/MIME署名・暗 号など Web SSO、VPN、無線 SSO、VPN、無線LAN LAN(802.1X)、申請・署名 (802.1X)、申請・署名アプ Proxy証明書の発 アプリ(身分証明書、事務 リ(身分証明書、事務ペー 行など ペーパレス化等) パレス化等) 証明書発行対象 サーバ、自然人 など 教職員、学生、学内サー バなど 各地域の計算機 資源、計算機利用 者など 信頼者 (Relying Party) 不特定多数? 主に学内関係者 計算機利用者 認証局の運用 オープンドメイン 認証事業者など アウトソース 、インソース 全国共同利用セン ター 20 UPKI共通仕様の位置づけ ~ スケジュール ~ 段階的に展開(3年計画) これまでにキャンパスPKI共通仕様(アウトソースモデル、 インソースモデル)を作成(H18, 19年度) 仕様は順次、UPKIイニシアティブの共通仕様ページ※で公開 (※:https://upki-portal.nii.ac.jp/upkispecific/) H18年度 キャンパス PKI 調達仕様 アウトソースモデル CP/CPS ガイドライン アウトソースモデル H19年度 H20年度 H21年度以降 各大学への展開 UPKI本格運用 各大学とNII相互接続 UPKIとアプリの連携など インソースモデル 各大学への展開 今年度は、作成したモデルを大学 へ展開するための活動を実施中! 21 キャンパスPKIモデル PKIの主な構成要素: CP/CPS(証明書ポリシーと認証局運用規程) CP(Certificate Policy):証明書ポリシー 証明書を発行する際の基準。 身元確認方法や鍵ペアの生成方法、想 定するアプリケーションなどを記述した もの。 一般的には、証明書を発行する認証局 毎に定義して用いる。 CPS(Certification Practice Statement):認 証局運用規定 CPの要件を満たすために、認証局がど のような運用を行うかを規程したもの 認証局は、CP/CPSを策定し加入者と 利用者に公開し、サービス利用の是 非を判断してもらう材料としてもらう 認証局 公開 信用 加入者、利用者 22 キャンパスPKIモデル キャンパスPKIの一般的な運用モデル アウトソースモデル(H18年度作成済み) 学内 アウトソース先 IA RA (登録局) (発行局) インソースモデル(H19年度作成済み) 学内 IA RA (登録局) (発行局) 23 キャンパスPKIガイドライン アウトソースモデル、インソースモデルを対象に、先行大学の調査結 果を踏まえ、UPKI共通仕様として以下に示すガイドラインを作成した。 (1)特徴:ガイドラインの作成にあたっては、以下の点に留意した。 各大学の調達・設計における参考資料、たたき台、雛形として活用で きること 必ずしも準拠性を求めるものではないが、将来的に相互接続を想定 している場合には本仕様に準拠することが望ましい (2) 構成:ガイドラインの構成は、下記のとおり。 24 キャンパスPKIガイドライン CP/CPSガイドライン:主な記述内容 本ガイドラインの記述内容は、先行大学からの調査結果に加 え、RFC3647(CP/CPSのフレームワークを規定)を参考に記述 している。主な内容を下記に示す (1) 概要 (2) 公開とリポジトリの責任 (3) 本人性確認と認証 (4) 証明書のライフサイクル (5) 設備、管理、運用上の統制 (6) 技術的セキュリティ管理 (7) 証明書、失効リスト、OCSPのプロファイル (8) 準拠性監査とその他の評価 (9) 他の業務上の問題及び法的問題 (10)証明書、ARL/CRLプロファイル例 CP/CPS 25 共通仕様の(想定)効果 共通仕様化による効果 費用削減:最初から作成する場合に比べ、調達仕様、CP/CPSに関わ る費用削減が可能 期間短縮:先行大学の共通項をモデル化した標準モデル提供により、 大学固有部分の検討に集中できるため、大幅に構築期間短縮が可能 連携性確保による効果 保証レベルの平準化:単位互換等、大学間連携の際における情報セ キュリティ面の問題を解消できる 国際接続:国際的に通用するグリッド用利用者証明書の発行審査に キャンパスPKIから発行された証明書が利用可能に(現在、検討中) (参考)「国立大学法人等における情報セキュリティポリシー策定作業部会と電子情報通 信学会 ネットワーク運用ガイドライン」の規程群のうち,認証に関わる部分については, 『UPKI共通仕様』が参照されている。 http://www.nii.ac.jp/csi/sp/doc/sp-sample-fy2007.pdf 26 3.サーバ証明書発行 27 大学等におけるサーバ証明書の実態 証明書の利用状況 ( 未回答・わからないを除く) 11%( 16) 証明書を利用できていない台数 6%( 9) 2%( 5) 26%( 37) 25%( 54) 33%( 73) SINET加入機関全体で推定すると 2,300~3,500台分のサーバ証明書が不足 3%( 6) 4%( 9) 33%( 71) 57%( 79) 1 台だけ利用している 2 台以上 1 0 台未満 1 0 台以上 3 0 台未満 3 0 台以上 未回答 すべて利用している 1 0 台未満 1 0 台以上 3 0 台未満 3 0 台以上 わからない H18年度 「大学等における電子証明書の利用状況に関する実態調査」より 対象: SINET加入機関818件、うち有効回答218件 28 普及が進まない理由 証明書を利用できてない理由 6%( 14) 12%( 26) 4%( 9) 理由がわからない!! 運用コストの負担 実際に生じる負担は? 11%( 25) 16%( 35) 51%( 109 ) 未回答 導入予算確保が難しい 運用コストが負担である 手続きが煩雑である 証明書の必要性を感じていない その他 実際に使ってもらって 確認してはどうか? 29 サーバ証明書発行・導入における 啓発・評価研究プロジェクト 目的 2007/04/01~2009/06/30 ゴール 大学等のサーバ証明書の普及を推進 認証局を用いた研究開発 ⇒ 登録発行業務の改善 学術機関のWebサーバ信頼性向上 体験を通じて サーバ証明書の導入・運用ノウハウの共有 啓発 参加者のサーバに対してのサーバ証明書無償配布 期間 認証局を用いた 評価研究 証明書有効期間は2010/06/30まで。 ただし、プロジェクト終了後一定期間 にて失効予定 H19年度: サーバ証明書の普及が進まない理由・課題の整理 H20年度: サーバ証明書の普及促進の仮説・立証 将来的に: キャンパスPKI層を活用した証明書発行業務の自動化 主な作業 プロジェクト参加機関の募集 各登録担当者へのS/MIME証明書発行 参加機関が管理するサーバに対するサーバ証明書の発行 参加機関加入者によるサーバ証明書の導入・運用 発行手続、導入手順などに対する改善案・Tipsのフィードバック、整 理・公開 30 証明書発行の基本方針 用語の定義 審査項目の分担による発行業務の最適化 本人性確認: なりすましや否認を防止するために本人意 思を確認する作業 実在性確認: 証明書に記載する組織に実在することを確 認する作業 その審査を一番手早く実現できるのは誰か? 認証局が最低限責任を負うべき項目は? 商用サービスと同等の保証レベル 機関の実在性認証まで含めた審査項目→分担して実現 31 プロジェクト概念図 認証作業部会 プロジェクト参加 機関 利用状況の フィードバック(年1 回) 機関責任者 審査・発行 証明書発行 事務局(NII) 登録・発行 ルート認証局 証明書発行 オープンドメイ ン 認証局(発行 局) 審査・配布 登録担当者 発行時 本プロジェクト目 的は ・ 発行時の手続 き ・ 審査時の手続 き を最適化すること です 証明書発行 加入者 証明書 インストー ル 加入者サー バ 32 サーバ証明書発行プロジェクト参加機関と発行枚数 参加機関数=81機関 サーバ証明書発行枚数=約1,700枚 (2008年12月時点) 参加機関一覧 ▼国立大学 1 北海道大学 2 弘前大学 3 東北大学 4 秋田大学 5 山形大学 6 福島大学 7 茨城大学 8 筑波大学 9 筑波技術大学 10 宇都宮大学 11 群馬大学 26 27 28 29 30 31 32 33 34 35 36 37 京都工芸繊維大学 大阪大学 大阪教育大学 奈良教育大学 鳥取大学 広島大学 山口大学 愛媛大学 九州大学 九州工業大学 佐賀大学 熊本大学 ▼私立大学 1 札幌学院大学 2 北海道医療大学 3 昭和大学 4 清泉女子大学 5 大東文化大学 6 日本大学 7 椙山女学園大学 8 名古屋商科大学 9 南山大学 10 京都外国語大学 11 京都学園大学 12 埼玉大学 38 大分大学 12 京都文教大学 13 東京大学 39 宮崎大学 13 立命館大学 14 東京農工大学 15 東京工業大学 40 鹿児島大学 41 琉球大学 総合研究大学院大 42 学 14 東亜大学 15 九州産業大学 16 お茶の水女子大学 17 一橋大学 18 19 20 21 横浜国立大学 金沢大学 岐阜大学 名古屋大学 16 九州情報大学 ▼私立短期大学 1 北海道自動車短期大学 2 京都経済短期大学 ▼独立行政法人 1 国立国語研究所 2 日本学術振興会 3 物質・材料研究機構 ▼国立高等専門学校 1 大島商船高等専門学校 ▼公立高等専門学校 1 東京都立産業技術高等専門学 校 ▼大学共同利用機関法人 1 高エネルギー加速器研究機構 17 久留米大学 ▼公立大学 1 産業技術大学院大 2 愛知県立看護大学 3 大阪府立大学 22 三重大学 4 兵庫県立大学 23 滋賀大学 5 広島市立大学 24 京都大学 6 北九州市立大学 25 京都教育大学 7 熊本県立大学 18 福岡大学 19 福岡工業大学 20 熊本保健科学大学 ▼大学共同利用機関 1 国立情報学研究所 ▼第4条4号該当機関 J-PARCセンター(大強度陽子加 1 速器計画) 2 東京国立博物館 国立情報学研究所学術基盤推 3 進部学術ネットワーク課 33 4.大学間無線ローミング 34 35 eduroamがあると 参加組織に所属する利用者は、他の参加組織で無 線LANローミングを利用可能 世界の他キャンパスで、自大学のEduRoam用IDとパス ワードにより無線LANが利用可能となる! そこで、eduroam.jpを構築してeduroam(Asia-Pacific)と 接続。 Eduroam.jpポータルサイト: http://eduroam.jp/ 現在、9機関が接続 36 日本のeduroam接続機関 http://eduroam.jp/map.htmlより引用 37 EduRoamに参加している国 http://www.eduroam.org/ より引用 38 EduRoamの仕組み(1/2) IEEE 802.1x を利用 無線アクセスポイント(AP)やLANスイッチで ユーザを認証するための仕組み 「SSLサーバ証明書」でネットワーク(AP)を認証 「ID+パスワード」や「SSLクライアント証明書」で 端末を認証 認証サーバとしてRADIUSを利用 「ID+パスワード」などを送信 Internet SSLサーバ証明書 ID1,パスワード1 ID2,パスワード2 : 認証サーバ RADIUS 端末 802.1x対応AP 正規の利用者かどうか確認 39 EduRoamの仕組み(2/2) RADIUS間連携 国際 RADIUSプロキシ RADIUSプロキシ 日本国内 RADIUSプロキシ 京大 RADIUS 他国 RADIUSプロキシ 東北大 RADIUS 他組織 RADIUS ID:[email protected] パスワード:****** 40 5.キャンパス認証局スタートパック 43 大学向け認証局スタートパックとは? 学内認証局と無線LAN認証システムを簡単に構築して運用 する ためのパック (オープンソース、構築スクリプト、マ 証明書を利用するアプリケーション ニュアル)。 認証局システム 学内無線LAN認証のための証明書発行に特化した、認証局スタートパッ クを実現する。 認証方式はサーバ証明書とクライアント証明書を利用するIEEE802.1X EAP-TLS方式とする。 NAREGI(National Research Grid Initiative)で開発され、運用実績の あるNAREGI-CAを利用。 オープン・ソースであり、商用CA製品と同レベルの運用が可能なシステ ム。 昨年度UPKIで開発した権限分離機能の拡張を含む。 無線LANシステム FreeRadiusとOpenLDAPを利用する構成。 44 スタートアップパックのイメージ スタートアップパック 構築用システム スクリプト、マニュアル 簡単な構築 を実現! 大学 短期間で運用 開始が可能! 認証局 CA RA 申請サーバ (web) RA アドミニストレータ TARO SUZUKI 権限委譲 CA アドミニストレータ 08/07 IC Card等 申請 本人確認 発行承認 ユーザ RA オペレータ 管理サーバ (web) 発行要求 証明書発行 LDAP RADIUS 無線LAN認証 AP 45 スタートパック内容 スクリプト インストール・スクリプト: • プロファイル: • CSI認証局スタートアップガイド: • 認証局のインストール、および、無線LANと連携した認証に関する構成、設定を 含めた構築方法を説明。 無線LAN用認証局運用手順書: • 認証局の運用手順を説明。 利用者用マニュアル: • 学内ユーザが構築した認証局を利用して証明書を取得し、これを用いて無線 LANを利用する手順を説明。 システム 無線LAN認証の証明書発行のためのプロファイル、および、設定テンプレートを 添付。 ドキュメント 認証局を簡単に構築するためのスクリプトを添付。 NAREGI-CA Ver2.2 ダウンロード UPKIイニシアティブの認証局スタートパックページからダウンロード可能! https://upki-portal.nii.ac.jp/startpack 46 6.UPKI認証連携基盤 (UPKI-Fed) 47 UPKI認証連携基盤 UPKI認証連携基盤 (UPKI-Fed) SP 電子ジャーナル CiNii、・・ 証明書発行 サーバ証明書、・・I UPKIフェデレーション運営組織 ・ポリシー ・システム定義 ・規約 IdP 大学 大学 大学 認証 アカウント発行 無線LAN、・・ DS(ディスカバリー サービス) UPKI-IdP Metadata リポジトリ 支援ポータル ・・・ 認証 学外、他大学から 教員 の自由で安心な アクセス ・・・ e-Learning 学内システム 学会 学会 認証 学生 学会員 ・・・ ・・・ ShibbolethとPKIを利用し たフェデレーション: ・ID管理工数の低減 ・セキュアで個人情報 を 保護した安心・安全 なアクセス管理 シングルサインオン でスムーズなアクセ ス 48 UPKIの3層構造におけるUPKI認証連携基盤 Sign, Encrypt. Open Domain Web サーバ Web サーバ Web Srv. PKI UPKI認証連携基盤 Campus PKI A Univ. CA AuthN 学内用 学内用 EE Other Pub CA NII Pub CA Webサーバ サーバ WebWeb Srv. UPKI IdP AuthZ UPKI SP UPKI SP A Univ. NAREGI CA NAREGI PKI Proxy Proxy Proxy EEEE EE Server, Super Computer B Univ. CA AuthN Proxy Proxy Proxy 学内用 学内用 EE B Univ. Grid NAREGI CA Server, Super Computer Student, Faculty Auth, Sign, Encrypt. UPKI IdP EEEE UPKI SP Computing EE Student, Faculty 49 Shibboleth概要 米国EDUCAUSE/Internet2にて2000年に発 足したプロジェクト SAML、eduPerson等の標準仕様を利用した、 認可のための属性交換を行う標準仕様と オープンソフト 最新はShibboleth V2.1 米国、欧州でShibbolethのFederationが運用、 拡大 50 Shibbolethの特徴 (1)属性の分散管理=Federation IdP(大学)がIDと属性を管理して、SPがこれを利用 (2)プライバシ保護 ユーザの識別情報をIdP外部に公開しない仕組み ユーザは各SPに対する各属性の公開を制御可能 (3)SSO Webサービスのシングルサインオン SP ・ID ・属性 ユーザ SP ・ID ・属性 IdP ・ID ・属性 SP SSO SP 51 シングルサインオンの動き 1.まず、最初のサービス(SP)にログインします。 “ログイン” をクリック 現在、下記の各IdP が登録されています。 ユーザは、所属する 組織のIdPを選択します。 52 シングルサインオンの動き 2.これで、1番目のサービスに“shib_user_1”としてログインしました。 自学IdPが表示する 認証画面です。 自学IdPの認証用 “ID”、“パスワード” を入力します。 これらは、SPに送信 されません。 53 シングルサインオンの動き 3.2番目のサービス(CiNiiテストログイン)にアクセスして、 シングルサインオンします。 シングルサインオン! “Shibboleth Login” をクリック DSが表示される 自大学のIdPを選択するだけで、ID、 パスワードの入力無しにログインでき ます。 さらに、認証にPKI証明書を利用して いる場合はDS画面をスキップします。 54 (参考) Shibbolethの対応アプリケーション * “https://wiki.internet2.edu/confluence/display/seas/Home”より引用 55 Federationについて あるルール(ポリシー)のもとで属性交換の相互運用に 合意した組織(IdP、SP)の集合 Federation運営組織が、ポリシー策定や認証局の認定、 DS、メタデータDLサイトの提供を行う 世界のIdP; - 米国: InCommon - 英国: The UK Access Management Federation - スイス: SWITCHaai - オーストラリア: MAMS、AAF - フィンランド: HAKA - フランス: CRU - ノルウェイ: FEIDE - デンマーク: WAYF - ドイツ: DFN-AAI 世界のSP; - ScienceDirect、 Ovid Technologies、JSTOR、ExLibris、 Digitalbrain、Thomson Gale等 - Blackboard、WebCT、Moodle、OLAT、WebAssign等 - DSpace, uPOrtal, Napster, Sharepoint, Symplicity, TWiki, Zope+Plone, eAcademy等 56 スイスのFederation事例 SWITCH(1987年設立): スイスの大学が出資するPrivate Company。 スイスの大学に、認証認可基盤を含むネット ワークサービス(AAI、Grid、PKI、Mobile)を幅広く提供。 SWITCHaaiの構築(2005-2007): Shibbolethベースの認証・認可フェデレーションを構築。 スイス国内75%の大学が利用。 e-Learning利用基盤からスイス国内標準基盤へ。 今後はAAA/SWITCHを展開(2008-2011): ・AAA(Auditing/Accounting/Assurance) ・Grid middleware ・VO ・e-Learning 57 SWITCHaaiのスケジュール * SWITCH “AAI Introductory Tutorial”より引用 58 SWITCHaaiの導入状況 * SWITCH “AAI Introductory Tutorial”より引用 59 SWITCHaaiの属性 * SWITCH “AAI Introductory Tutorial”より引用 60 SWITCHaaiのアクセス管理例 * SWITCH “AAI Introductory Tutorial”より引用 61 SWITCHaaiのSP(サービス) * SWITCH “AAI Introductory Tutorial”より引用 62 SWITCHaaiのツール このSPに送付 します! あなたの これらの情報 を送付します! 送付しても良いで すか? * SWITCH “ArpViwer Demo”より 63 Inter-Federations Federationの次は、、、Inter-Federations 米国では、InCommonとU.S. E-Authentication Identity Federationが連携したPilot Programを実施(2006年12月) スペイン、ドイツ、スウェーデンはフェデレーション間ブリッ ジを利用。 REFEDS (Research and Education Federations): http://wiki.rediris.es/tf-emc2/index.php/Federations 米国、欧州の各フェデレーション同士で連携するための 国際的な検討。 第一回:2007年9月 第二回:2008年6月 第三回:2008年12月 64 (参考)世界のフェデレーション Internet2 informatin kits http://www.internet2.edu/pubs/national_federations200809.pdf から引用 65 シングルサインオン実証実験について 2006年度 2007年度 シングルサインオン の海外状況調査 シングルサインオンの 実現方法の検討 2008年度 電子コンテンツ シングルサインオン実証実験 2009年度以降 シングルサインオンによる 大学間認証連携の実現 「 各大学の利用者が、安全・安心かつ有効に 学術サービスを利用するための基盤の実証と検討を行う。」 ・ 各大学間を実際に接続して、ユーザ利便性向上、管理工数削減等、 UPKI認証連携基盤が各大学の現実の状況に適合すること、効果があること、 運用可能であること等を実証・評価する。 ・ 今後のUPKI認証連携基盤を実現、運用していくための、アーキテクチャ、 運用ポリシー等を検討・策定する。 66 UPKI認証連携基盤の利便性 実証実験で、様々な利便性を検証して、枠組みの検討・定義を行う。 シングルサインオン 個人情報保護 学術サービスの連携を促進 ユーザ中心の考え方 スムーズな学術サービス利用 漏えいリスクの低減 利用者への権限移譲 らくなID管理 安心なサービス利用 管理工数削減 信頼基盤 (フェデレーション) 学外での利用 (リモートアクセス) 学内のサービス連携を促進 学内のID管理統合 インシデント対策工数の低減 いつでも、どこでも 学術サービスにアクセス可能 構築費の低減 疎な信頼連携 オープンソース 67 実証実験の概要 B大学 A大学 属性管理 C大学 属性管理 SP IdP 学内認証局 属性管理 IdP IdP 学内認証局 管理者 証明書発行 TARO SUZUKI 管理者 管理者 証明書発行 08/07 TARO SUZUKI 利用者 (A大学) SSO CiNii UPKI オープン ドメイン認証局 SSO 電子ジャーナ ル 08/07 利用者 (B大学) SSO CMS(Moodle) 利用者 (C大学) ①利用者は各大 学のIdPで認証さ れる SSO CMS(Plone) DS IdP_00 リポジトリ IdP_01 UPKI認証連携基盤 68 実証実験のスケジュール 各大学の状況 を 反映した実証 参加大学 IdP 構築 接続 テスト 構築 接続 テスト SP テスト用ID、 属性を設定 各SPとの 接続テス ト 各IdPとの 接続テスト UPKIでの ・実証実験システム 検討と提供 ・構築手順書 ・VMイメージ 有効性(ユーザ、管理者)、 実現性(構築、運用)の 確認と実証 結果の 報告 有効性(ユーザ、管理者)、 実現性(構築、運用)の 確認と実証 結果の 報告 ・実証実験SP ・実証実験用Wiki ・各種ツール ・支援、ヘルプデスク ・各種資料(事例、海外動向、運用方法) ・属性は4つ ・証明書はUPKI オープンドメイン 認証局から発行 ・属性の検討 ・証明書の検討 ・各種ツールの検討 ・SPの検討 ・結果とり まとめ ・報告会開催 UPKI UPKI オープン ドメイン認証局 リポジトリ IdP_00 CiNii CMS(Moodle) DS IdP_01 電子ジャーナ ル CMS(Plone) 69 実証実験の参加機関 参加機関(27機関) IdP(20機関、22サイト) SP(10機関、11サイト、公開3サイト) IdP 20サイト 10サイト 10サイト 8月 9月 10月 11月 SP 12月 70 各参加機関の構築状況 参加機関名称 IdP SP 参加機関名称 IdP SP 北海道大学 ○ - 金沢大学 ○ 東北大学 ○* - ファイル送信サービス、 DSpace 山形大学 - - 名古屋大学 ○ - 福島大学 - - 愛知県立看護大学 ○ - 高エネルギー加速器研 究機構 - - 京都大学 ○ (無線LANアカウント発行) 京都産業大学 - - 筑波大学 ○2 (未公開) 大阪大学 ○ (グリッド証明書発行) 筑波技術大学 - - 愛媛大学 - - 千葉大学 △ - 徳島大学 - (OpenPNE) 東京大学 ○* - 広島大学 ○ - 東京工業大学 ○ (未公開) 山口大学 ○* (未公開)* お茶の水女子大学 - - 九州大学 ○ - 産業技術大学院大学 ○2 マルチマウスAP、 (構築中) 熊本大学 ○ - 慶応義塾大学 - - 佐賀大学 ○* (未公開) 国立情報学研究所 ○2* CiNiiテスト* ○ 2 △ * : 構築済み : 2サイト構築 : 接続実験中 : メタデータ自動更新設定済み 71 実証実験の進め方 Ⅰ.利用方法の検証: 1.ユーザの視点 2.運用者の視点(IdP) 3.運用者の視点(SP) Ⅱ.連携実験の検証: 1.属性管理 2.セキュリティ設定実験 3.ツール利用実験 72 利用方法の検証(ユーザ) 【想定するユーザのメリット】 シングルサインオン • IDの統合、 (少なくとも)1つのパスワードを削減 学外からのアクセス ユーザは本人性(身元)を明かす機会が減少 • 個人情報は本人と所属機関で管理される 出版社からより良いサービスを提供される • 個人情報を保護したマイページの提供 【検証項目】 学内、学外からのログイン シングルサインオンの利便性 操作性 安心感 従来方法との比較 73 利用方法の検証(IdP) 【想定するIdPサイトのメリット】 個人情報保護法の遵守 ユーザへの、より良いサービスの提供 既存のアクセス管理システムとの連携 学内、学外含めた全てのリソースに対する管理方法の 統一化 集中管理によるサポート問題の削減 【検証項目】 構築状況 難易度、サーバ証明書の種類、認証方式、 ネットワーク構成等 運用状況 個人情報管理、属性リリースの設定方法、 学内ポリシーとの関係等 構築、運用の課題等 74 利用方法の検証(SP) 【想定するSPサイトのメリット】 ユーザデータベースの運用・管理がいらなくなる • • ユーザサポート工数の削減 規程遵守のための工数削減 • 認証はIdPで実行 認可は機関、職位、権限で判断 個人情報の蓄積、処理を削減 厳格なライセンス制御管理の実現 ID統合により、ユーザのID/パスワード管理が向上 サービス利用機関は集中管理により正確な認証を運用・管理可 能となる 【検証項目】 構築状況 難易度、提供するアプリケーション、必須属性、 ネットワーク構成等 運用状況 個人情報管理、ユーザ管理工数等 構築、運用の課題等 75 連携実験の検証 属性管理 各属性の交換 学内LDAPとの接続性 SPに対応した属性リリース制御 日本語への対応 セキュリティ設定実験 Metadata自動ダウンロード(実施済み) Metadataの署名と検証 SP、IdP間のTLS通信等(UPKI内で実施予定) ツール利用実験 ArpViewerのインストールと利用 76 7.今後の方針 77 今後の方針 UPKI認証連携基盤プロジェクト 「シングルサインオン実証実験」は、2009年 3月末終了 新規に、「学術フェデレーション(UPKI-Fed) 試行運用(仮称)」を、2009年4月から スタートする予定 サーバ証明書発行プロジェクト 「サーバ証明書発行・導入における啓発・評価 研究プロジェクト」は、2009年6月30日まで 継続 新規に、「サーバ証明書自動発行検証プロジェ クト(仮称)」をスタートする予定 78 学術フェデレーションの構築(2009年度~) 利用者(教職員,学生等) 所属大学で認証を受けると, どこからでも簡単に,他大 学,他機関のサービスが利 用できる。 認証 Elsevier Springer Wiley-Blackwell 利用 OUP CUP LWW/Ovid などが参加表明 利用 認証フェデレーション (運用機関NII) ・ 運用規程作成と参加調整 ・ 技術仕様作成・サポート ・ 海外フェデレーションとの連携交渉 OPAC 認証サーバ 機関リポジトリ 大学等 (IdP) SINET サイボウズなど グリッド 無線LAN等 電子ジャーナル NII,NDL,JST等 データベース等 学術Eリソース L1オンデマンド予約 VPN予約等での認証利用 • • • • 大学等とNIIが連携して「認証フェデレーション」を構築・運用する 2009年4月からフェデレーション試行運用を開始 2009年4月時点で,複数の大学,NII内でのシングルサインオン実現 2010年4月からの事業化を目指す 79 学術フェデレーションの構築スケジュール 事 項 内 容 実証実験の成果の (平成21年1月~3月) 利用 実証実験で使用したIdP, SPを継続して運用 大学で構築されたIdP, SPの,フェデレーションへの移行 規程(ポリシー)の 作成 対象コンテンツの 拡充 フェデレーション試 行運用の実施 フェデレーションの規程(ポリシー)を年度内に作成 パブリックコメントを実施予定 国立大学図書館協議会等の協力により,商用電子ジャーナル 各社と交渉を実施(Elsevier社のScience Directについては,平成 20年11月中に実現予定) NIIコンテンツサービスのシングルサインオン化実施 平成21年度は,試行運用としてフェデレーションを運用 試行運用を行いながら,問題点の改善,規程の改訂を実施 引き続き,大学への参加を広く呼びかける 80
© Copyright 2024 ExpyDoc
