ケーパビリティに基づくアクセス制御を持つスケジュール管理アプリケーション馬渕充啓 † 1. 新城靖 ‡ はじめに 2.1 加藤和彦 ‡ 目的現在、アクセス制御方式としては、ACL(Access Control 本研究は、ケーパビリティを用いることで個々のユーザ List) に基づくものが主流である。ACL とは、ファイル等のオブジェクトが保持するユーザ毎のアクセス権を列挙したが自律的に、また、ユーザ同士が連携してスケジュール管理リストのことである。これに対して、ケーパビリティに基までのアプリケーションは、他のカレンダーをインポート、づくアクセス制御方式がある。これは、ファイル等のオブおよびエクスポートすることしかできないものが多い。グジェクトへの参照と、オブジェクトに対するアクセス権をループウェアでは、アクセス制御に ACL を用いている。一アクセスの主体であるユーザやプロセス等に持たせるもの般的に ACL の設定が煩雑なため、アクセス可能な人であれである。ば他人のスケジュールの削除や追加が可能な状態で運用さケーパビリティを用いることで、ACL に基づくアクセスを行うことができるアプリケーションの実現を目指す。今れていることが多い。本研究では、これらの問題をケーパ制御の問題点を解決することができる。ACL に基づくアクビリティを用いることで解決する。セス制御では、ユーザ認証を必要とする。例えば、ユーザ 2.2 機能 ID やパスワードの入力が必要になる。それらを他人に渡すことは、全権を渡すことになってしまう。また、新しいユー連携してスケジュール管理を行うために必要な機能を提供ザの登録やユーザの消去など、厳密なユーザ管理が必要でする。これらの機能を、以下のように弱いケーパビリティある。これに対して、ケーパビリティに基づくアクセス制を用いることで実現する。御では、あるオブジェクトに対応するケーパビリティに関して、機能を絞った弱いケーパビリティを提供できるため、他人に全権を渡さなくてもよいという利点がある。ユーザの追加に関しては、新しいユーザにケーパビリティを配布本アプリケーションは、共通の目的を持つユーザ同士が 1. あるユーザが他のユーザに対してスケジュールを閲覧可能にしたい時、閲覧のみ可能なケーパビリティを他のユーザに渡すことで、閲覧させること以外の機能を与えない。することで、即座に対応できるという利点がある。本研究では、ケーパビリティに基づくアクセス制御を持つ 2. あるユーザが他のユーザに対してスケジュールを書き込んでもらいたい時、開始時間や終了時間等を指定しスケジュール管理アプリケーションを実現する。スケジューた書き込みのケーパビリティを渡すことで、指定されル管理アプリケーションを選んだ理由は、スケジュール管た時間帯にしか書き込めないようする。理というものがセンシティブな情報を扱うためアクセス制御が重要であると考えたからである。ケーパビリティを用また、その他に複数のカレンダーをマージして 1 つのカいる事により、既存の ACL に基づくアクセス制御の問題点レンダーとして扱う機能を提供する。これにより、あるユーを解決し、ユーザ認証と管理、および権限変更の手間を軽ザのスケジュールを把握しやすくする。減をすることを目指す。本アプリケーションでは、あるオブジェクトに対するケーパビリティから、それよりも弱いケーパビリティを生成する機能を提供する。これにより、ユーザ同士が連携してスケジュール管理を行えるようにする。 2. スケジュール管理アプリケーションこの章では、本研究で設計・実装しているスケジュール管理アプリケーションについて説明する。 2.3 実装 Web サービスのサーバとクライアントは、Java と GLUE を用いる。GLUE とは、Java オブジェクトによる Web サービスの実装を可能にするフレームワークである [2]。Web サービスにすることで、オンラインであれば、どこにいてもすべてのクライアントが使用できる。ケーパビリティには、WSDL（Web Service Description Language）の文書を用いる [1]。WSDL の文書は、Web サービスにおけるインタフェース記述を含む XML 形式の文書である。WSDL による記述は、サーバやオブジェクトの位置 † 筑波大学大学院システム情報工学研究科コンピュータサイエンス専攻 ‡ 筑波大学大学院システム情報工学研究科コンピュータサイエンス専攻/JST CREST 情報（URL）を含むため、それだけでオブジェクトの手続きを呼び出し、操作することが可能である。ケーパビリティには、パスワード等のユーザ識別機能がないため盗聴や偽造等から保護しなければいけない。本システムでは、URL 4.Send Capability Client A Client B に乱数を使用し予測されないようにすることで、ケーパビ 3.Create(capabity) リティの保護を行っている [1]。 5.Access 本アプリケーションは、カレンダー・オブジェクトから構成さる。カレンダー・オブジェクトは、イベントのリストを持つ。各イベントはイベント ID、開始時間、終了時間、 Interface Interface Server Object 1 1.Create() Interface ... Object n イベント名を持つ。カレンダー・オブジェクトは、以下の 3 <Stackable Server> 2.Access つのメソッドを持つ。 read イベントのリストを読み込むメソッド：時間帯を指 Interface Interface 定すると、その時間帯に含まれるスケジュールを返す。 Server write イベントを書き込むメソッド。 delete イベントを消去するメソッド。弱いケーパビリティとは、メソッドの数が他のものと比 Object A Interface ... Object N <Base Server> べて少ないものやメソッドの機能に制限を持つものである。図 1: 動作イメージ弱いケーパビリティの実装方法としては、スタッカブル・オブジェクトを利用する。スタッカブル・オブジェクトを利用することで、オブジェクトのモジュール性が高くなる。以ジェクトが下位のオブジェクトと通信することで、カレン下に、本研究で実現するスタッカブル・オブジェクトの例ダー・オブジェクトにアクセスすることができる。を示す。 1. イベントの一部の情報を表示しない read メソッドを持つオブジェクト：例えば、イベント名を表示しないで予定が入っていることだけを返す。 2. 書き込みの時間帯を制限した write メソッドを持つオブジェクト：例えば、2 月しか書き込みができないオブジェクトを生成し、ケーパビリティをユーザに渡す。 3. 複数のカレンダーをマージする read メソッドを持つオブジェクト：例えば、あるユーザと他のユーザのカレンダーをマージして表示することができる。 2.4 ケーパビリティの取得とアクセス本スケジュール管理アプリケーションの基本的な使い方を説明する。まず、図 1 の 1 のように、クライアント A がサーバに生成要求を送ると、サーバはカレンダー・オブジェ 3. 関連研究 Amoeba は、オブジェクトへのアクセス制御にケーパビリティを利用している [3]。Amoeba では、本アプリケーションと同じく、弱いケーパビリティを提供する機能を持つ。 Amoeba は、ログイン時にパスワードを必要とするクローズな環境を対象としている。これに対して、本アプリケーションはオープンな環境で利用されることを考えている。 4. まとめと今後の課題本論文では、ケーパビリティに基づくアクセス制御を持つスケジュール管理アプリケーションの実現について述べた。本研究では、ケーパビリティを用いることにより、ACL に基づくアクセス制御の問題である、ユーザ認証と管理、および権限変更の手間を軽減する。今後の課題としては、現在未実装の機能を実装すること、クトを生成し、そのオブジェクトにアクセスするためのケー他のアプリケーションのカレンダーをインポートできるよパビリティをクライアント A へ返す。うにすること、および、GUI の作成である。クライアント A が弱いケーパビリティを取得したい時は、図 1 の 3 のように、スタッカブル・サーバに生成要求と 1 参考文献で生成した下位のケーパビリティを送信する。スタッカブ [1] 新城靖, 阿部聡, 板野肯三: XML Web サービスのための大域的ファイル・サービスの提案, 情報処理学会システムソフトウェアとオペレーティングシステム研究会 pp.15-22(2004). [2] Graham Glass: Web Services: Building Blocks for Distributed Systems [3] Mullender, S.J., van Rossum, G.,Tenenbaum, A.S., van Renesse, R. and van Staveren, H.: Amoeba: A Distributed Operating System for the 1990s, IEEE Computer, Vol. 23, No.5, pp.44-53 (1990). ル・サーバは、それを受けて下位のケーパビリティでスタッカブル・オブジェクトを生成し、それにアクセスするためのケーパビリティをクライアント A に返す。また、クライアント A は図 1 の 4 のように、ケーパビリティをクライアント B に渡すことができる。クライアント B は受け渡されたケーパビリティを使用することで、スタッカブル・オブジェクトにアクセスし、スタッカブル・オブ