第 4 回平成 24 年度バイオ共通本人認証基盤検討委員会 資料 3 バイオ IdM 共通本人認証基盤システムの検討状況 2013 年 2 月 22 日 OKI ソフトウェア中村敏男 Copyright 2013 Oki Software Ltd. All rights reserved. 1
1. 今年度の予定 No 項目 状況 1 とOpenIDとの接続 作業完了 2 バイオメトリック装置を用いた検証実験 作業完了 3 ACBioとの接続可能性検討 (2013 年 2 月以降 ) 項目 2012/4 5 6 7 8 9 10 11 12 2013/1 2 3 イベント 第 1 回委員会 第 2 回委員会 第 3 回委員会 第 4 回委員会 ( 現時点 ) 当初予定 OpenID (SAML) 組み込み方式検討 バイオメトリック装置接続確認 OpenID+ バイオメトリック装置による検証実験 評価 報告書 作業項目 現在 日立装置組込み SSO システム構築 ( パスワード ) BP 構築検討 検証実験 評価 報告書 Copyright 2013 Oki Software Ltd. All rights reserved. 2
2. 前回報告内容 2.1 システム構成 プロトコル (OP-BP- 間のプロトコル ) は OpenID プロトコルを流用することとする (2) OP BP (6) OpenID プロトコル プロトコル プロトコル = OpenID プロトコル (5) Connection/Transaction (3) (1) (4) (2) (11) OP (=) (5) (9) BP (=OP) OpenID プロトコル OpenID プロトコル (10) (6) (1) (4) (7) (3) (8) Connection/Transaction Copyright 2013 Oki Software Ltd. All rights reserved. 3
2.2 検証実験のイメージ 本方式を採用した場合の検証実験は 下表の観点に着目してそれぞれの条件におけるシングルサインオンの機能検証および性能評価 ( 速度評価 ) を行うこととする No 観点内容分類検証対象 1 BSP の違い指静脈 指紋 (1) 2 ブラウザの違い Chrome IE10 Firefox Connection/Transaction 3 システム構成の違い標準構成 簡易構成 BP Protocol 4 OpenID 対応サイトの違い評価用 国内 海外の OpenID 対応サイト (2) OP システム全体 (WSO2 含む ) < 案 1> パブリックな場所にサーバ PC を設置 1 OKI ソフト内でパブリックなサーバを立てられるか検討する 2 委員の皆様が所属される施設内で試験サーバ用 PC およびサーバとしての動作環境 ( 固定 IP アドレスなど ) の 2013 年 1 月 ~2 月末頃のご提供が可能な場合 < 案 2> Oki ソフトの VPN 内にサーバ PC を設置 構築可能 ( 機器は準備済み ) ただし 国内 海外の OpenID 対応 からの SSO 検証ができなくなります (OKI ソフトの VPN 内での検証のみ ) < 案 1> パブリックなサーバ < 案 2>OKI ソフトウェア 住所 : 未定 接続 : 未定 通信 : 未定 OP BP 案 1 が不可の場合案 2 を選択する 住所 : 中国地方 接続 : 社内 VPN 通信 : 有線 LAN OP BP OKI ソフトウェア 場所 : 埼玉県蕨市 接続 : 社内 VPN 通信 : 無線 LAN OKI ソフトウェア ( 関西地区 ) 場所 : 関西地区 接続 : 社内 VPN 通信 : モデムカード 国内 海外の OpenID 対応 注 : (1) 指紋装置を用いた実験可否については検討中 (2) 実験システムの OP,BP がパブリックな場所に設置できた場合のみ実施可能 Copyright 2013 Oki Software Ltd. All rights reserved. 4
3. 実装結果 3.1 システム構成 世の中の1 世の中の2 OP(=) Identity Server V4.0 (WSO2) Identity Server V4.0 (WSO2) 平成 24 年度開発分 平成 23 年度開発分 BP(=OP) 世の中の n (2) (11) パスワード登録 認証機能 BP との連携機能 (5) (9) OP との連携機能 バイオメトリック登録 認証機能 OpenID プロトコル OpenID プロトコル Connection Transaction +BioAPI Framework (10) (6) (3) (1) (4) (7) (8) ブラウザ (Chrome or IE10 or Firefox) Connection 登録 照合機能 HTTP Transaction BioAPI Framework 登録 照合機能 プログラムダウンロード 日立指静脈認証装置日立指静脈 BSP PC-KCA100 Copyright 2013 Oki Software Ltd. All rights reserved. 5
3. 実装結果 3.2 取り扱うデータ 世の中の1 世の中の2 OP(=) Identity Server V4.0 (WSO2) Identity Server V4.0 (WSO2) BP(=OP) 世の中の n (2) (11) 1OP 用ユーザ ID 2BP 用ユーザ ID 3 ユーザ属性 (5) (9) 1BP 用ユーザ ID 2 ユーザ属性 3 乱数パスワード (20 桁 ) OpenID プロトコル OpenID プロトコル Connection Transaction +BioAPI Framework SRE (OpenID 拡張仕様 ) 氏名 メールアドレス 郵便番号 国名 +BP 内の属性情報 (10) (1) (4) (3) ブラウザ (Chrome or IE10 or Firefox) (6) (7) (8) SRE (OpenID 拡張仕様 ) ニックネーム 性別 生年月日 1BP 用ユーザ ID 2 生体テンプレート 3 乱数パスワード (20 桁 ) Connection Transaction BioAPI Framework HTTP プログラムダウンロード 日立指静脈認証装置日立指静脈 BSP PC-KCA100 Copyright 2013 Oki Software Ltd. All rights reserved. 6
4. 検証実験結果 4.1 実験環境 PC: DELL Vostro 200 CPU: Intel Core 2 Duo 3GHz Mem: 3.25 GB OS: Windows XP SP3 PC: DELL Vostro 200 CPU: Intel Core 2 Duo 3GHz Mem: 3.25 GB OS: Windows XP SP3 パブリックなサーバ 場所 : 東京理科大 接続 : インターネット 通信 :LAN OP BP OKI ソフトウェア OKI ソフトウェア 場所 : 埼玉県蕨市 接続 : イントラネット 通信 : 無線 LAN 場所 : 広島地区 接続 : イントラネット 通信 :LAN 国内 海外の OpenID 対応 PC: NEC VersaPro CPU: Intel Celeron 1.07GHz Mem: 2GB OS: Windows 7 Professional SP1 PC: DELL Optiplex 745 CPU: Core 2 Duo 6300 1.86GHz Mem: 2 GB OS: Windows XP SP3 OpenID 発行サイト (http://www.openid.ne.jp/) に記載されている OpenID 対応 一覧を使用 Copyright 2013 Oki Software Ltd. All rights reserved. 7
4.2 実験結果 (1) 概要 No 項目 環境 システム構成ブラウザ 試験内容 結果概要 1 標準構成試験 標準構成 (-OP-BP- ) Chrome 試験用 1 操作試験 :167 項目 2 SSO 試験 :13 項目 3 性能測定 :40 項目 1 開発プログラムおよび Identity Server において 生体認証および SSO 機能が正常に動作した 2 簡易構成試験 簡易構成 (-BP-) Chrome 試験用 1 操作試験 :3 項目 2 性能測定 :40 項目 2 性能においては OpenID プロトコルによる通信時間の全体時間に占める比率が高い 3 ブラウザ試験 標準構成 (-OP-BP- ) IE10 および Firefox 試験用 1 操作試験 (IE10):48 項目 2 操作試験 (Firefox):48 項目 WebSocket の通信機能そのものはブラウザ間に違いはなく正常動作した ただし に関してブラウザによって実装上の違いがあった 4 国内外 試験 標準構成 (-OP-BP- ) Chrome 国内外の 1 操作試験 ( 国内 ):8 サイト 2 操作試験 ( 海外 ):5 サイト により接続できるものとできないものがある 接続できない主な原因として が使用可能な OP を限定していることが考えられる Copyright 2013 Oki Software Ltd. All rights reserved. 8
(2) 標準構成試験結果 1 操作試験 : 一般的な操作周りの試験 ( ボタンの動作 ) 画面表示結果 2 SSO 試験 1: 複数 - 2 つの から同一の ID で認証依頼する - 2 つの から異なる ID で認証依頼する < 結果 > 正常 : 同一 ID の場合のみ 2 回目は生体認証要求が行われない 3 SSO 試験 2: 認証成功後 OP が表示する認証許可画面 - Approve ボタンを押した後の動作 - Approve Always ボタンを押した後の動作 < 結果 > 正常 : Approve Always の場合のみ 2 回目は認証許可画面が表示されなくなる ただし 以下の制約がある Identity Server は Approve Always を押したとき がリクエスト時に指定した openid.return_to パラメータをサーバ内に記録し 次回以降の同一タイミングで参照し画面表示要否を判断する によってはこのパラメータが同一ユーザでも異なる場合があるため そのような の場合同一ユーザでも認証許可画面が再度表示されてしまう Copyright 2013 Oki Software Ltd. All rights reserved. 9
(2) 標準構成試験結果 4 性能測定 OP BP 10 認証結果 1 認証リクエスト (f) (a) (Chrome) (b) Connection (c) (d) (e) 7 からの結果応答 5 認証要求 6 結果応答 (f) (a) = 認証開始から終了までの総時間 (e)-(b) = 内認証時間 Transaction (d)-(c) = バイオメトリック処理時間 Biometric Device 上記を 3 回計測 (f)-(a) > (e)-(b) > (d)-(c) Copyright 2013 Oki Software Ltd. All rights reserved. 10
(2) 標準構成試験結果 < 性能測定結果 > No 観点内容 ブラウザのキャッシュ 毎回削除 削除しない 計測時間は 3 回測定した平均値 備考 (1) 認証開始から終了までの総時間 (f) (a) 7.5 秒 6.4 秒 (2) 内認証時間 (e) - (b) 2.0 秒 1.9 秒 (3) バイオメトリック処理時間 ( 参考情報 ) (d) - (c) (1.5 秒 ) (1.5 秒 ) キャプチャのための被験者の挙動時間や初期処理 終了処理時間を含む (4) 総時間からバイオメトリック処理時間を引いた時間 (1) (3) 6.0 秒 4.9 秒生体認証を除いたシステム処理時間 (5) 内認証時間からバイオメトリック処理時間を引いた時間 (2) (3) 0.5 秒 0.4 秒 BSP 処理時間を除いた Connection と Transaction の処理時間 (6) 総時間から 内認証時間を引いた時間 (1) (2) 5.5 秒 4.5 秒 Copyright 2013 Oki Software Ltd. All rights reserved. 11
(3) 簡易構成試験結果 1 操作試験 : 基本操作として OP や BP への登録および を用いた認証操作試験を実施 2 性能測定 BP 8 認証結果 ClientPC 1 認証リクエスト (f) (a) (Chrome) (b) Connection (c) (d) 6からの結果応答 (e) 4 認証要求 5 結果応答 (f) (a) = 認証開始から終了までの総時間 (e)-(b) = 内認証時間 Transaction (d)-(c) = バイオメトリック処理時間 Biometric Device 上記を 3 回計測 (f)-(a) > (e)-(b) > (d)-(c) Copyright 2013 Oki Software Ltd. All rights reserved. 12
(3) 簡易構成試験結果 < 性能測定結果 > No 観点内容 ブラウザのキャッシュ 毎回削除 削除しない 計測時間は 3 回測定した平均値 説明 (1) 認証開始から終了までの総時間 (f) (a) 4.4 秒 4.0 秒 (2) 内認証時間 (e) - (b) 2.0 秒 2.0 秒 (3) バイオメトリック処理時間 ( 参考情報 ) (d) - (c) (1.7 秒 ) (1.5 秒 ) キャプチャのための被験者の挙動時間や初期処理 終了処理時間を含む (4) 総時間からバイオメトリック処理時間を引いた時間 (1) (3) 2.7 秒 2.5 秒生体認証を除いたシステム処理時間 (4) 内認証時間からバイオメトリック処理時間を引いた時間 (2) (3) 0.3 秒 0.5 秒 BSP 処理時間を除いた Connection と Transaction の処理時間 (6) 総時間から 内認証時間を引いた時間 (1) (2) 2.4 秒 2.0 秒 Copyright 2013 Oki Software Ltd. All rights reserved. 13
(3) 簡易構成試験結果 3 標準構成と簡易構成の性能測定比較 ブラウザのキャッシュを毎回削除した場合 No 観点内容標準構成簡易構成比率 (1) 認証開始から終了までの総時間 (f) (a) 7.5 秒 4.4 秒 1.7 (2) 内認証時間 (e) - (b) 2.0 秒 2.0 秒 1.0 (3) (4) (5) (6) バイオメトリック処理時間 ( 参考情報 ) 総時間からバイオメトリック処理時間を引いた時間 内認証時間からバイオメトリック処理時間を引いた時間 総時間から 内認証時間を引いた時間 (d) - (c) (1.5 秒 ) (1.7 秒 ) (0.9) (1) (3) 6.0 秒 2.7 秒 2.2 (2) (3) 0.5 秒 0.3 秒 1.7 (1) (2) 5.5 秒 2.4 秒 2.3 Copyright 2013 Oki Software Ltd. All rights reserved. 14
(4) ブラウザ試験結果 1 ブラウザ試験用ブラウザ Internet Explorer 10: Windows 7 Prerelease 版 Firefox: バージョン 18.0 2 実施試験内容 バイオメトリック登録処理および認証機能の試験 : Connection / Transaction 間の WebSocket 通信 OpenID プロトコルに関する試験 : OP BP 間の OpenID プロトコルに関わる動作試験 結果 試験項目はすべて合格となったが 対応に関して実装上の差異があることが判明した の WebSocket は現状 未対応 (OSS が WebSocket に対応していないため ) (1) ブラウザの種類により の扱いが異なっており これがシステムの動作に影響を与える 注 ) (1) WebSocket ライブラリとして websocket++ (http://www.zaphoyd.com/websocketpp) を使用 1 Chrome の場合 OP BP Chrome ( Connection) 不可 Transaction Copyright 2013 Oki Software Ltd. All rights reserved. 15
(4) ブラウザ試験結果 2 IE10 および Firefox の場合 OP OP BP 依存 OP 依存 BP Web サーバとブラウザが https で通信している場合 を用いない WebSocket は禁止される 依存 OP 依存 不可 左記 実線矢印のプロトコルを 対応するためには各サーバの考慮が必要 市販の Web サーバが の有効無効を単一の設定でしか行えない場合 そのサーバを使用する限り が無効になる IE10 および Firefox ( Connection) 不可 Transaction 注 ) 使用したブラウザは以下のとおり Internet Explorer 10: Windows 7 Prerelease 版 Firefox: バージョン 18.0 Firefox のみ回避可能 OP BP ただし Firefox 場合 ブラウザの設定値である network.websocket.allowinsecurefromhttps を有効にすることにより本制限を回避できる Firefox ( Connection) 不可 Transaction Copyright 2013 Oki Software Ltd. All rights reserved. 16
(5) 国内外 試験 OpenID 発行サイト (http://www.openid.ne.jp/) 対象 :18 サイト 内訳 : 使用可能 :5 サイト (1) 使用不可 :3 サイト リンク切れ :10 サイト 注 )(1) 5 サイトのうち 条件付成功が 2 サイト サイト名 URL 結果 詳細 Choix http://www.choix.jp 対象外 限定されたOPしか許していない ( 対象 OP: Yahoo,Hatena,Jugemu,livedoorのみ ) LiveJournal http://www.livejournal.com/openid 成功 OpenIDで直接ログイン可能 ( ユーザ登録不要 ) URL 入力のみでログイン可能 Place Engine http://www.placeengine.com/auth/login 成功 OpenIDで直接ログイン可能 ( ユーザ登録不要 ) URL 入力のみでログイン可能 Haru.fm http://www.haru.fm 対象外? OPにリクエストが来ないため 使用可能なOPを限定している可能性あり Stack Stock Books http://stack.nayutaya.jp/ 成功 OpenID で直接ログイン可能 ( ユーザ登録不要 ) URL のみでログイン可能 ( 登録時 j) UPD.JP http://upd.jp/ 対象外? OP にリクエストが来ないため 使用可能な OP を限定している可能性あり ClipCast http://clipcast.jp/ 条件付 成功 埼玉の地域情報 Saitama-e.com http://www.saitama-e.com/ 条件付成功 OP のサーバ証明書が正式なものでない為 TLS ハンドシェイク時にエラーが発生する (48:unknown_ca) http で接続したところ使用できた OP のサーバ証明書が正式なものでない為 TLS ハンドシェイク時にエラーが発生する (48:unknown_ca) http で接続したところ使用できた Copyright 2013 Oki Software Ltd. All rights reserved. 17
(5) 国内外 試験 OpenID 発行サイト (http://www.openid.ne.jp/) 対象 :30 サイト 内訳 : 使用可能 :2 サイト 使用不可 :3 サイト リンク切れ :25 サイト サイト名 URL 結果詳細 Hampr http://www.hampr.com/home 失敗 OPのURLやOpenID URLをログイン用テキストボックスに入力してSubmitしたが ログ イン画面に進まなかった 原因不明 Wikitravle http://wikitravel.org/en/special:openidlogin 対象外? OpenID URLを入力すると以下のエラーが発生してログインできない An error occured during verification of the OpenID URL. OpenIDのURLを限定している可能性あり (My OpenID Flickr LiveJournal Verisign,Blogger) LiveJournal http://www.livejournal.com/openid 成功 への正常登録および認証ができた userstyles http://userstyles.org 成功 への正常登録および認証ができた ClaimID http://claimid.com 失敗 への登録のためにOPで認証成功後 以下のエラーが表示される error:required attributes missing ns:http://specs.openid.net/auth/2.0 Copyright 2013 Oki Software Ltd. All rights reserved. 18
5. まとめ (1) 基本機能 WSO2 の Identity Server と システム ( Connection Transaction BioAPI Framework) および日立指静脈認証装置を組み合わせることにより 生体認証を用いた OpenID の SSO システムを構築することができた (2) 性能測定認証処理において と OP および と BP の間のリダイレクト処理時間が大きいことがわかった 性能改善の可能性について今後検討する必要がある (3) ブラウザと Connection と Transaction の間の WebSocket において 現状 が実現されていない セキュリティ上およびシステム構築上の問題となるため 今後対応する必要がある WebSocket の 対応版が OSS として最近提供されたため への組み込みが可能となった (4) 国内 海外 一部の について 本システムとの接続時にエラーが発生した が OP を限定していると思われるケースが多かったが 原因の特定されていないものもあるため 確認が必要である 平成 25 年度作業 1 性能改善検討 2 WebSocket の 対応 3 国内外 との接続確認 検証 4 ACBio の実装研究 5 震災時の本人確認システムの開発 ( サブワーキング検討結果 ) Copyright 2013 Oki Software Ltd. All rights reserved. 19