前のページ 目次 次のページ

 


9  今後の技術動向

本章では、最新の技術動向についての方式の紹介と、今後予想される動きや期待される機能(製品・サービス)などについての概要や動向について解説します。技術要素として、PKI ユーザの権限を証明する「属性証明書」、個人(自然人)を証明する「特定証明書」、時刻を証明する「タイムスタンプ」、第三者が文書などの証明を行う「公証サービス」、および電子署名を長期的に保存するための要件を取り上げます。

9.1  属性証明書

9.1.1  概要

公開鍵証明書によって、システムに対する本人認証(Authentication)を行った後は、そのユーザに割り当てられた「権限」によるアクセス制御(アクセスコントロール)が必要となります。公開鍵証明書のみを用いたアクセスコントロールには 2通りの方法がありますが、各々問題があります(表 9-1)。

表 9-1 公開鍵証明書を用いたアクセスコントロール

方法

問題

権限情報はシステム内部で保持し、本人認証の結果と結びつける

システムの作りにより権限情報の安全管理レベルがまちまちになる。権限管理機能の開発維持にコストがかかる。

公開鍵証明書に権限を記載する

権限の変更に伴い、公開鍵証明書の再発行が必要となる。複雑な権限情報を記載できる適当な領域(プロファイル)が無い。

そこで、ユーザの権限に関する「属性」のみを記載した証明書、「属性証明書(Attribute Certificate)」が考案されました。属性証明書は公開鍵証明書に紐付けられており、本人認証を公開鍵証明書で行い、その後のアクセスコントロールに属性証明書を利用します。

属性証明書は、表中の問題をクリアするため、公開鍵証明書を発行する CA とは別の組織(人)により運営される属性認証機関(AA: Attribute Authority)により発行されることを想定しています。また、属性証明書には公開鍵が含まれないため、属性証明書の発行に関する運用形態はシンプルなものになります。

属性証明書が初めてインターネットドラフトに登場したことにより、いわゆる公開鍵を含む証明書は、属性証明書と区別するため「公開鍵証明書」と言われるようになりました。

9.1.2  利用例

企業における属性証明書の利用例を、社員の証明は人事部で一括して行い、その社員の役割・権限が各事業部(属性認証機関)に任されているモデルを用いて解説します。

このモデルでは、人事部 (CA)において公開鍵証明書を発行しますが、権限を証明する属性証明書は各事業部(属性証明機関)で発行し、業務上必要となる権限を設定します(図 9-1)。

図 9-1 属性証明書の発行

属性証明書を使用する場合、発行の契機、属性証明書の有効期限、失効などは全て属性認証機関に委ねられているため、組織の必要に応じた臨時の発行が可能になります。

社員がシステムを利用する際は、以下のどちらかの手順で属性証明書を使用します。

(1)  発行を受けた社員が利用時ごとに属性証明書の提示を行う。

(2)  属性証明書をリポジトリに一元管理し、公開鍵証明書による本人認証を行ったシステムが、公開鍵証明書のユーザ名からリポジトリを参照して属性証明書を取得する(図 9-2)。

 

図 9-2 属性証明書を利用したシステム例

9.1.3  技術仕様

属性証明書は、公開鍵証明書にも用いられている X.509 証明書のフォーマットを用います。属性証明書は、権限に関する情報を含み、属性認証機関の署名が付与されます(図 9-3)。属性認証機関の公開鍵証明書で属性内容の検証ができます。

また、属性証明書の有効性確認には、属性認証機関の提供する方法(CRL、OCSP など)が利用できます。

図 9-3 属性証明書のフォーマット

属性証明書のバージョン 2 から、属性(attribute)に標準的な属性タイプが用意されました(表 9-2)。

表 9-2 属性タイプ

属性タイプ

内容

認証情報サービス

(Service Authentication Information)

パスワード認証のシステムなどに利用・適用する際に ID やパスワードを記載できるようになっている。

利用者識別

(Access Identify)

パスワードを含まない、上記とは別の利用者IDに使うことができる。

課金識別

(Charging Identify)

システム利用の際、課金する場合の課金先を指定することができる。

グループ

(Group)

利用者の所属するグループの指定ができる。

権限

(Role)

利用者の役職や権限に使うことができる。

セキュリティ区分

(Clearance)

利用者がアクセスできる情報セキュリティ区分を指定できる。権限とは別の独立した機密レベルと対応させるために使うことができる。

9.1.4  今後の動向

属性証明書は、「An Internet Attribute Certificate Profile for Authorization」の名前で未だドラフト(2002年 2月)の状態ですが、利用形態についての様々な意見や、考案当時のX.509と現在のものとで仕様が変更になった影響を受けるなど、標準への道のりが遠い状況となっています。

属性証明書は、市販の証明書発行アプリケーションの一部で発行することは可能ですが、現在は図 9-2 のようなアプリケーションが存在しません。属性証明書を利用する場合は、権限を制御するアプリケーションの開発が必要となります。


前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.