全国の大学をつなぐ認証基盤「UPKI」

Size: px

Start display at page:

Download "全国の大学をつなぐ認証基盤「UPKI」"

はなながだき
7 years ago
Views:

1 全国の大学をつなぐ認証基盤 UPKI 国立情報学研究所学術ネットワーク研究開発センター島岡政基 Nov 25, 2009 Internet Week

2 UPKI の背景各大学の認証基盤導入共通仕様運用標準など各大学との相互接続単位互換など大学間アプリケーションサービス連携 IT 人材育成など社会産学連携の本格的運用サービスや情報連携国際連携学術情報格差の克服 Nov 25, 2009 Internet Week

3 UPKI 初期のトピックパブリック証明書サーバ証明書 S/MIME 証明書学内認証基盤大学間相互接続 CP/CPS グリッド認証局 PKI 的には異端児 ( プロキシ証明書 ) 学内認証基盤との連携 WebTrust 認定統合型 ID 管理シングルサインオン運用コストの削減固定化ルート vs. ブリッジ Nov 25, 2009 Internet Week

4 UPKI の 3 層構造 Future plan オープンドメイン PKI NII Pub CA Other Pub CA Sign, Encrpt. Web Web サーハ Web サーハ Srv. S/MIME S/MIME S/MIME Web Web サーハサーハ Web Srv. S/MIME S/MIME S/MIME キャンパス PKI A Univ. CA Auth, Sign, Encrpt. B Univ. CA Auth, Sign, Encrpt. 学内用学内用 EE 学内用学内用 EE グリッド PKI A Univ. NAREGI CA B Univ. NAREGI CA Grid Computing Proxy Proxy Proxy EE EE EE Proxy Proxy Proxy EE EE EE サーバスパコンなど教職員学生などサーバスパコンなど教職員学生など Nov 25, 2009 Internet Week

5 UPKI が描く連携サービス企業, 海外現状大学のセキュリティレベルが低いため企業が信用せず接続を行わない UPKI 国内外の産学連携の橋渡し研究実用化のサイクル活性化 (3) 産学連携, (4) 国際連携大学ベンチャー企業育成 UPKI 認証局認証基盤 (UPKI) (1) 大学間連携, (2) 官学連携 UPKI 学内に設置された基盤ネットワークの相互利用民間 (5) 民学連携 UPKI 生涯学習 : 地域活性化誰もがどこからでも学習できる環境の提供大学官庁現状大学へセキュアに接続現状学間で論理ネットワークする仕組みが整備されていないネットワークポリシが異なるため Nov 25, 2009 Internet Week 2009 ローミングが難しい 5

UPKI の歩み 2006 年 2007 年 2008 年 2009 年以降 UPKI イニシアティブ発足仕様 ( 案 ) の提示導入事例の公開仕様 ( 案 ) への意見要望情報の共有意見交換オープン認証 UPKI 共通仕様アプリケーション開発相互運用大学のサーバ証明書 S/MIME 学内認証局調達仕様ガイドライン学内認証局の CP/CPS

6 UPKI の歩み 2006 年 2007 年 2008 年 2009 年以降 UPKI イニシアティブ発足仕様 ( 案 ) の提示導入事例の公開仕様 ( 案 ) への意見要望情報の共有意見交換オープン認証 UPKI 共通仕様アプリケーション開発相互運用大学のサーバ証明書 S/MIME 学内認証局調達仕様ガイドライン学内認証局の CP/CPS カイトラインアプリケーションの調査構築実装無線 LAN ローミングシングルサインオン各大学の認証基盤導入各大学との相互接続アプリケーションサービス連携社会産学連携の本格的運用認証局ソフトウェア認証局ソフトウェアパッケージの開発認証局ソフトウェアパッケージの配布導入支援 Nov 25, 2009 Internet Week

7 サーバ証明書プロジェクト大学向けサーバ証明書の普及推進と証明書発行プロセスの研究 09/11/06 現在期間機関数発行枚数旧フロシェクト 07/05~ 09/06 末 97 2,413 枚 ( 失効 92) 新フロシェクト 09/04~ 12/03 末 112 1,982 枚 ( 失効 48) いわゆるパブリック証明書を発行 WebTrust for CA に準ずる審査機関単位での参加機関認証を担保各大学への LRA 権限委譲機関毎に異なるネットワーク管理を緩衝証明書発行審査作業の効率化機関単位の失効というハリセンボンマシン Nov 25, 2009 Internet Week

8 ( 新 ) 証明書自動発行検証プロジェクト国立情報学研究所プロジェクト参加機関 2 プロジェクト参加申請 / 承認機関責任者事務局 ( NII) 4 加入者の審査 1 実務メンバの任命加入者サーバ認証局証明書自動発行支援システム 5TSV ファイルのアップロード登録担当者 3 発行申請ファイル ( TSV 形式 ) 提出 8 証明書インストール加入者オープンドメイン認証局システムから直接加入者宛てに証明書を自動発行 6 ダウンロード URL 通知 ( システム加入者 ) 7 証明書ダウンロード Nov 25, 2009 Internet Week

9 確認実施手順調査表の記入例凡例適切な判断規準不適切な判断規準参加申請書について機関責任者が参加申請書を記述するにあたって以下の項目をどのように確認したのかを教えてくださいドメインが組織の保有であることの確認申請するドメインが組織の所有であることをどのような情報をもとにどのような方法で確認を行いどのように承諾を得たかを教えてください Whoisデータベースでxxx.ac.jpのドメイン名管理者を確認し管理者へ直接対面で問い合わせて許本学の広報委員会が公式のWebページで利用しているドメインであることを確認し LAN 管理委員会会議で当該ドメインに対して証明書を発行することの承諾を得ました機関責任者自身がドメイン管理者であり自組織の所有であることに間違いない xxx.ac.jpのxxxが組織名と一致していることを確認した名称の確認だけでは機関の所有するドメインであることを確認したことにはなりません Nov 25, 2009 Internet Week

10 ゴール : 学内認証基盤との連携参加機関 NI I 外部ホスティング加入者登録担当者事務局認証局システム旧 PJ オフライン署名メール手入力新 PJ オフライン証明書自動発行支援システムオンライン Web I/F 一括発行対応 NII 内部の業務自動化登録担当者の利便性向上将来オンライン証明書登録連携システム SOAP 一括発行対応オンライン機関側の業務自動化加入者の利便性向上 Nov 25, 2009 Internet Week

11 サーバ証明書プロジェクト成功への鍵 LRA に対するガバナンス機関単位の失効 LRAの義務と責任審査規程の明文化 ( 確認実施手順調査票の提出 ) 機関認証の担保目下実証中法人登記のない学術機関公印という呪縛運用業務の省力化 PDCA サイクル既成手続きの見直しルーチン化参加機関の業務省力化支援 Nov 25, 2009 Internet Week

学術認証フェデレーション Shibboleth を利用した大学間認証連携の実現電子ジャーナル等の利便性向上海外との連携促進学術リソースを利用する大学 (IdP) と学術リソースを提供する大学企業等 (SP) で連合体を構成 27 27 機関機関 IdP:

12 学術認証フェデレーション Shibboleth を利用した大学間認証連携の実現電子ジャーナル等の利便性向上海外との連携促進学術リソースを利用する大学 (IdP) と学術リソースを提供する大学企業等 (SP) で連合体を構成機関機関 IdP: IdP: SP: SP: うち商用 SP1 件機関機関 IdP: IdP: SP: SP: うち商用 SP9 件 Nov 25, 2009 Internet Week

Shibboleth( シボレス ) 米国 EDUCAUSE/Internet2にて2000 年に発足したプロジェクト http://shibboleth.internet2.

13 Shibboleth( シボレス ) 米国 EDUCAUSE/Internet2にて2000 年に発足したプロジェクト SAML eduperson 等の標準仕様を利用した認可のための属性交換を行う標準仕様とミドルウェア ( オープンソースソフトウェア ) 最新はShibboleth V2.1 米国欧州でShibbolethによるFederationが運用拡大 Nov 25, 2009 Internet Week

14 Shibboleth によるフェデレーション構築プライバシ保護ユーザのユニークネスを保証しつつ個人情報は出さない SPは必要な情報のみをIdPに要求ユーザは各 SPに対する各属性の公開を制御可能シングルサインオン技術の組織外への展開属性の分散管理 =Federation IdP( 大学 ) がIDと属性を管理して SPがこれを利用 Webサービス従来 :SP で ID 管理ユーザアクセスパスワード SP SP ID 属性 ID 属性 SSO:IdP で ID 管理アクセスユーザパスワードアクセスパスワードアサーション Nov 25, 2009 Internet Week SP SP リダイレクト IdP ID 属性

15 08/07 TARO SUZUKI 08/07 フェデレーションにおける認証フロー利用者の所属大学 ID 管理サーバ (IdP) 5 認証認証連携サーバ (DS) 4 認証情報要求 NII 各大学が保有する電子コンテンツ SP 1 SP 2 SP 3 1アクセスする電子ジャーナルデータベースネットワーク計算リソース etc. 3 証明書参照 TARO SUZUKI 2 認証確認要求大学の利用者ポイント自分の所属する大学の認証情報 (ID) を利用して, 他大学等の Web サイトや電子コンテンツに, シングルサインオンできるシナリオ (1) 大学の利用者が, 他大学等が保有する電子コンテンツを提供する SP (Service Provider) にアクセスを行う. (2) 認証連携サービス (DS; Discovery Service) は, クライアント証明書の中に格納された所属大学の情報を利用して, 認証を求めるべき IdP (Identity Provider) を自動で判別する. (3) 認証情報を確認できた場合は利用者は電子コンテンツにアクセスすることができるようになる. Nov 25, 2009 Internet Week

16 学術認証フェデレーション普及に向けて大学全体の IdP 構築には学内調整等の時間が必要フェデレーションの早期拡大のため, 調整がついた学部単位や一部のユーザグループでの参加も可能とする IdP の構築運用の負担が大きい可能性 NII で IdP 用のホスティングサーバを用意 ( 準備中 ) 参加希望の機関は, データのメンテナンスのみでも参加可能データベース研究所 IdP フェデレーションを介したサービスの利用各種サービス (SP) 電子ジャーナルネットワーク計算資源大学 IdP IdP を構築した機関は自前の認証基盤で参加フェデレーション運営運用規程作成参加調整技術サポート海外フェデレーションとの連携学術認証フェデレーション IdP のホスティング IdP( 認証サーバ ) の構築ができない機関向けに NII がサーバを提供運用機関 (NII) 学会などのコミュニティの参加も支援 Nov 25, 2009 Internet Week IdP 学会 IdP を持たない機関は NII のホスティングサーバで参加大学研究所ホスティングサーバにデータを登録することで容易に参加

海外の学術認証フェデレーション Internet2 informatin kits http://www.internet2.edu/pubs/national_federations.

17 海外の学術認証フェデレーション Internet2 informatin kits から引用 Australia (AAF) Belgium (LUDIT-AAI) Canada (NRC-CNRC) Denmark (DK-AAI) Finland (HAKA) France (CRU) Germany (DFN-AAI) Greece (HEAL-Link) Italy (IDEM) Luxembourg (Restena) New Zealand (AAF) Norway (FEIDE) Spain (RedIRIS) Sweden (SWAMID) Switzerland (SWITCHaai) The Netherlands (SURFnet) United Kingdom (UK Access Fed.) United States (InCommon) Nov 25, 2009 Internet Week

18 学術認証フェデレーション成功への鍵 IdP への動機付け電子ジャーナル以外の付加価値学内認証基盤整備の動機付け統合管理による業務分析のための IT 武装 SP への動機付けプライバシ情報管理からの解放組織単位の認可など新たなサービス新たな枠組みへの発展可能性学術コミュニティ (VO) の推進大学間国際間でのサービス展開効率的なワークフロー設計フェデレーションへの参加手続き IdP/SP 間の契約支援運用サイクルの確立日々勉強中です! Nov 25, 2009 Internet Week

19 全国の大学をつなげるために (1) 継続的な啓発広報活動全国キャラバン3 回 ( 05, 07, 09) 単体イベント10 件関連イベント3 件外部講演多数海外学術機関等との連携調整民間 SPとの折衝各機関との合意形成ポリシ運用ガイドライン etc. サーバ証明書の普及推進 Webサイトの信頼性向上サーバとの安全な通信経路の提供認証連携に欠かせない要素 Nov 25, 2009 Internet Week

20 全国の大学をつなげるために (2) 学内認証基盤の整備支援 LDAP ベースの統合 ID 管理スモールスタートのサポート投資メリットのあるセンターサービス拡充キーパーソンの見極めと動機付け認証基盤 : 情報基盤センター学術コンテンツ : 図書館安定運用事業継続性基盤として求められる重要な要件 # これは NII が頑張るしかない!? Nov 25, 2009 Internet Week

21 最後に全国の様々な機関をつなげるには年月が必要各機関への啓発気運の醸成各機関の内部調整機関同士での合意形成一番の推進力触媒は目的の共有共通のビジネスメリットサーバ証明書の入手電子ジャーナルなどこれさえ明確なら話は早い Nov 25, 2009 Internet Week

RIMS 研究集会大学における学術認証基盤の展開北大の情報環境推進を例に髙井昌彰北海道大学 CIO 補佐官情報基盤センター教授副センター長

RIMS 研究集会大学における学術認証基盤の展開北大の情報環境推進を例に髙井昌彰北海道大学 CIO 補佐官情報基盤センター教授副センター長 Title 大学における学術認証基盤の展開北大の情報環境推進を例に Author(s) 髙井, 昌彰 Citation (2010) Issue Date 2010-09-16 URL http://hdl.handle.net/2433/126630 Right Type Presentation Textversion author Kyoto University RIMS 研究集会大学における学術認証基盤の展開