| 講演名 | 2024-01-25 [奨励講演]OpenID Connectにおけるセッショントークンの悪用に対するアクセス制御手法の提案 湯浅 潤樹(奈良先端大), 笹田 大翔(奈良先端大), 妙中 雄三(奈良先端大), 門林 雄基(奈良先端大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年, webサービスにおけるユーザのアカウント管理の負担を削減するためにシングルサインオン(SSO)の導入が進んでいる. 主要なSSOプロトコルであるOpenID Connectを用いたwebサービスでは, IDプロバイダから発行される認証結果であるIDトークンを用いてユーザを認証し, セッションを識別するためのセッショントークンを認証後のリクエスト認可に用いることが多い. しかし, 攻撃者が正規ユーザのIDトークン, セッショントークンを取得し, そのトークンを利用してセッションを乗っ取ることが可能であり, ユーザの真正性が侵害される. 本研究では, セッショントークンを用いたなりすましの問題に対処するための対策手法を提案する. 提案対策手法は, セッショントークンを用いたリクエストをwebサービスのサーバ側で監視・検証することで, 認証後であっても真正性検証の結果に応じて適切にアクセス制御する. 具体的には, 認証完了時に本人であることを証明する一時的な秘密鍵を生成し, 以降の認証後リクエストではユーザ側はその秘密鍵で署名したメッセージを送信することで, サーバ側では正しいユーザによるリクエストであることを確認する. そして, ユーザ端末が侵害された際に秘密鍵を用いて有効な署名を作成される問題に対処するため, 認証後の機密性の高い操作においては, パスワードレス認証技術であるFIDOを用いて指紋などのジェスチャを要求することで正しいユーザであることを確認する. |
| 抄録(英) | In recent years, the adoption of Single Sign-On (SSO) has been increasing in web services to reduce the burden of user account management. In web services that use OpenID Connect, a primary SSO protocol, users are authenticated using ID tokens issued by Identity Providers (IdPs), and session tokens are often used for authorizing requests post-authentication to identify sessions. However, attackers obtaining session tokens can conduct impersonation attacks, compromising the authenticity of users. This study proposes an access control mechanism to address the issue of impersonation using session tokens. The proposed mechanism monitors and verifies requests using session tokens on the server side of web services, ensuring appropriate access control based on the results of authenticity verification even after authentication. Specifically, upon completion of authentication, a temporary private key is generated to prove the user's identity. For post-authentication requests, the user sends messages signed with this private key, enabling the server to confirm that the requests are coming from the correct user. To address the issue of attackers creating valid signatures using stolen private keys when user devices are compromised, the mechanism employs password-less authentication technology, such as FIDO, for high-confidentiality operations post-authentication. This involves requesting gestures like fingerprint authentication to verify the identity of the correct user. |
| キーワード(和) | アクセス制御 / ユーザ真正性 / シングルサインオン / OpenID Connect / FIDO / セッションハイジャック |
| キーワード(英) | Access Control / User Authenticity / Single Sign-On / OpenID Connect / FIDO / Session Hijacking |
| 資料番号 | NS2023-162 |
| 発行日 | 2024-01-18 (NS) |
| 研究会情報 | |
| 研究会 | NS |
|---|---|
| 開催期間 | 2024/1/25(から2日開催) |
| 開催地(和) | 広島大 東千田キャンパス + オンライン開催 |
| 開催地(英) | Higashisenda Campus, HiroshimaUniversity + Online |
| テーマ(和) | NWソフトウエア(ソフトウエアアーキテクチャ,ミドルウエア),NWアプリケーション,SOA/SDP,NGN/IMS/API,分散制御・ダイナミックルーチング,グリッド,NFV,IoT,NW及びシステム信頼性,NW及びシステム評価,一般 |
| テーマ(英) | Network software (Software architecture, Middleware), Network application, SOA/SDP, NGN/IMS/API, Distributed control/Dynamic routing, Grid, NFV, IoT, Network/System reliability, Network/System evaluation, etc. |
| 委員長氏名(和) | 大石 哲矢(NTT) |
| 委員長氏名(英) | Tetsuya Oishi(NTT) |
| 副委員長氏名(和) | 三好 匠(芝浦工大) |
| 副委員長氏名(英) | Takumi Miyoshi(Shibaura Inst. of Tech.) |
| 幹事氏名(和) | 島崎 大作(NTT) / 山口 実靖(工学院大) |
| 幹事氏名(英) | Daisaku Shimazaki(NTT) / Saneyasu Yamaguchi(Kogakuin Univ.) |
| 幹事補佐氏名(和) | 山本 宏(NTT) |
| 幹事補佐氏名(英) | Hiroshi Yamamoto(NTT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Network Systems |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | [奨励講演]OpenID Connectにおけるセッショントークンの悪用に対するアクセス制御手法の提案 |
| サブタイトル(和) | |
| タイトル(英) | [Encouragement Talk] Access Control Method to Prevent Session Token Abuse on OpenID Connect |
| サブタイトル(和) | |
| キーワード(1)(和/英) | アクセス制御 / Access Control |
| キーワード(2)(和/英) | ユーザ真正性 / User Authenticity |
| キーワード(3)(和/英) | シングルサインオン / Single Sign-On |
| キーワード(4)(和/英) | OpenID Connect / OpenID Connect |
| キーワード(5)(和/英) | FIDO / FIDO |
| キーワード(6)(和/英) | セッションハイジャック / Session Hijacking |
| 第 1 著者 氏名(和/英) | 湯浅 潤樹 / Junki Yuasa |
| 第 1 著者 所属(和/英) | 奈良先端科学技術大学院大学(略称:奈良先端大) Nara Institute of Science and Technology(略称:NAIST) |
| 第 2 著者 氏名(和/英) | 笹田 大翔 / Taisho Sasada |
| 第 2 著者 所属(和/英) | 奈良先端科学技術大学院大学(略称:奈良先端大) Nara Institute of Science and Technology(略称:NAIST) |
| 第 3 著者 氏名(和/英) | 妙中 雄三 / Yuzo Taenaka |
| 第 3 著者 所属(和/英) | 奈良先端科学技術大学院大学(略称:奈良先端大) Nara Institute of Science and Technology(略称:NAIST) |
| 第 4 著者 氏名(和/英) | 門林 雄基 / Youki Kadobayashi |
| 第 4 著者 所属(和/英) | 奈良先端科学技術大学院大学(略称:奈良先端大) Nara Institute of Science and Technology(略称:NAIST) |
| 発表年月日 | 2024-01-25 |
| 資料番号 | NS2023-162 |
| 巻番号(vol) | vol.123 |
| 号番号(no) | NS-367 |
| ページ範囲 | pp.19-24(NS), |
| ページ数 | 6 |
| 発行日 | 2024-01-18 (NS) |