ウェブサーバにおけるIPsecとIKEを用いたユーザアクセス制御方式の提案と実装

平野 学 (0051089)


IPsecとIKEは,ホスト認証の結果で得られたSAに基づいて,IP及び上位層プロトコルの保護を行う.

しかし,上位層プロトコルの保護を目的としたIPsecとIKEの機構は,二つの理由から導入が難しい.第一の理由は,IKEはホスト認証を行なうのでアプリケーションのユーザ認証にそのまま利用できないことである.第二の理由は,IPsecはIPデータグラムとユーザを対応付ける機構がないので同一ホストからの複数ユーザのIPデータグラムを区別できないことである.

そこで本論文では,認証されたユーザの識別子とトランスポート層におけるソケット・ペアの関連性を保証し,IKEのユーザ認証の結果をアプリケーションのアクセス制御に利用するために UADB(User Authentication Database)方式を提案する.

本論文では,UADB方式をWWWに適用する実装を行なった.本論文の実装は,ユーザ識別子とソケット・ペアを含んだ情報に電子署名を行い,IKEプロトコルのフェーズ2で相手ホストに転送する.サーバ側のIKEプログラムは,電子署名を検証することでユーザ認証を行う.HTTPデーモンはソケット・ペアからユーザ識別子を特定しアクセス制御に利用することが出来る.

最後に、本論文はサーバ・プログラムでUADB方式を利用するためのAPIを提案する.