JP2014153878A - End-end personal identity guarantee system and method - Google Patents

End-end personal identity guarantee system and method Download PDF

Info

Publication number
JP2014153878A
JP2014153878A JP2013022471A JP2013022471A JP2014153878A JP 2014153878 A JP2014153878 A JP 2014153878A JP 2013022471 A JP2013022471 A JP 2013022471A JP 2013022471 A JP2013022471 A JP 2013022471A JP 2014153878 A JP2014153878 A JP 2014153878A
Authority
JP
Japan
Prior art keywords
ims
terminal
assertion
authentication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013022471A
Other languages
Japanese (ja)
Inventor
Tetsuya Hishiki
徹也 日紫喜
Takumi Oba
巧 大羽
Arata Koike
新 小池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013022471A priority Critical patent/JP2014153878A/en
Publication of JP2014153878A publication Critical patent/JP2014153878A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To guarantee personal identity between users stored in a network without trust relationship.SOLUTION: End-end terminals perform authentication requests to an IMS (IP Multimedia Subsystem) where the respective terminals are stored, or an IMS or a network having no trust relationship with the IMS; acquire assertions for proving that the authentication is correctly performed; exchange assertion information items between the two terminals; and request the exchanged assertion information items of the other parties to the IMS of the other parties, or an IMS or a network having no thrust relationship with the IMS to confirm the personal identity that the users are authenticated by normal means.

Description

本発明は、エンド−エンド間本人性保証システム及び方法に係り、特に、認証機構やその認証情報を用いた本人性の保証に関連する技術であり、IMS(IP Multimedia Subsystem)クライアントやWebクライアント等に対してエンド−エンド間での本人性保証を提供するためのエンド−エンド間本人性保証システム及び方法に関する。また、IMSのユーザが認証を行う場合、IMSの認証機能(IMS-AKA:Authentication and Key Agreement(認証/暗号鍵方式)認証、最初に物理回線の情報などから端末の認証を行うNASS-Bundled認証)を利用することができるエンド−エンド間本人性保証システム及び方法に関する。   The present invention relates to an end-to-end identity guarantee system and method, and in particular, is a technology related to guarantee of identity using an authentication mechanism and its authentication information, such as an IMS (IP Multimedia Subsystem) client, a Web client, etc. The present invention relates to an end-to-end identity guarantee system and method for providing end-to-end identity guarantee. In addition, when IMS users authenticate, IMS authentication function (IMS-AKA: Authentication and Key Agreement (authentication / encryption key method) authentication, NASS-Bundled authentication that first authenticates the terminal from physical line information, etc.) ) To an end-to-end identity guarantee system and method.

従来のIMSにおいては、接続されているユーザの本人性認証はIMSが行っていた。IMS Aに収容されたユーザAとIMS Bに収容されているユーザBが通信する場合、ユーザA/BはそれぞれのIMS A/Bに認証を行うだけで、ユーザAは通信相手がユーザBであることを確認し、逆にユーザBは通信相手がユーザAであることを確認するという本人性の保証を行うことができる。これは、二つのIMS間にトラストリレーションシップがあるという事実に基づくことで可能となっており、IMSに限らず他ネットワークとの相互接続を行う上でも、本人性認証は接続ネットワーク間でのトラストリレーションシップに基づいて行われる(例えば、非特許文献1参照)。言い換えると、トラストリレーションシップにないIMSや他ネットワークに収容されたユーザとの間での本人性保証を行うことはできない。   In conventional IMS, the identity authentication of the connected user is performed by IMS. When user A accommodated in IMS A and user B accommodated in IMS B communicate with each other, user A / B simply authenticates to each IMS A / B, and user A is user B as the communication partner. On the contrary, the user B can guarantee the identity by confirming that the communication partner is the user A. This is possible based on the fact that there is a trust relationship between the two IMSs, and identity authentication is used for trust between connected networks not only for IMS but also for interconnection with other networks. This is performed based on the relationship (see Non-Patent Document 1, for example). In other words, it is not possible to guarantee the identity of users who are not in a trust relationship or who are accommodated in other networks.

また、IMSの認証機構を拡張し、他アプリケーションからのIMS-AKA認証を許容するGeneric Bootstrapping Architecture (GBA)技術がある。これはIMSを使った第三者認証を行うための技術であり、IMS Aに収容されたユーザAが、GBA技術を利用した第三者アプリケーションAを利用する際に、IMS Aにおける認証情報を利用するというものである(例えば、非特許文献2参照)。   There is also a Generic Bootstrapping Architecture (GBA) technology that extends the IMS authentication mechanism and allows IMS-AKA authentication from other applications. This is a technology for performing third-party authentication using IMS. When user A accommodated in IMS A uses third-party application A using GBA technology, authentication information in IMS A is provided. It is used (for example, refer nonpatent literature 2).

一方で、Web系の技術では第三者認証の仕組み等が発達しており、例えば、ブラウザ上でリアルタイムコミュニケーションを実現するRTCWebでは、本人性保証をエンド−エンド間で行うように規定がなされている。ある認証サーバXで認証したユーザXが、ある認証サーバYで認証したユーザYと通信を行う時、二つの認証サーバ間にはIMSのようなトラストリレーションシップがないため、認証サーバからその認証の証左を示すアサーション情報を取得し、エンド間でその情報の交換を行うことでお互いの本人性を保証する(例えば、非特許文献3参照)。   On the other hand, third-party authentication mechanisms have been developed in Web-related technologies. For example, RTCWeb, which realizes real-time communication on a browser, has been stipulated to perform identity guarantee end-to-end. Yes. When a user X authenticated by a certain authentication server X communicates with a user Y authenticated by a certain authentication server Y, there is no trust like IMS between the two authentication servers. Assertion information indicating evidence is acquired, and the identity is guaranteed by exchanging the information between the ends (see, for example, Non-Patent Document 3).

3GPP TS23.228 IP Multimedia Subsystem (IMS); Stage 2, http://www.3gpp.org/ftp/Specs/html-info/23228.htm3GPP TS23.228 IP Multimedia Subsystem (IMS); Stage 2, http://www.3gpp.org/ftp/Specs/html-info/23228.htm 3GPP TS33.220 Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA), http://www.3gpp.org/ftp/Specs/html-info/33220.htm3GPP TS33.220 Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA), http://www.3gpp.org/ftp/Specs/html-info/33220.htm IETF Draft draft-ietf-rtcweb-security-arch-05, TRCWEB Security Architecture, http://datatracker.ietf.org/doc/draft-ietf-rtcweb-security-arch/IETF Draft draft-ietf-rtcweb-security-arch-05, TRCWEB Security Architecture, http://datatracker.ietf.org/doc/draft-ietf-rtcweb-security-arch/

これまでのIMSにおける本人性保証は、IMS間のトラストリレーションシップに依存しており、図1に示すように、トラストリレーションシップのないIMS/他ネットワークに収容されたユーザの本人性保証が行えないという問題点があった。   The identity guarantee in IMS so far depends on the trust relationship between IMS, and as shown in Fig. 1, the identity of users in IMS / other networks without trust relationship cannot be guaranteed. There was a problem.

GBA技術はIMS保証を外部アプリケーションから利用して第三者認証を可能とする技術であるが、本人性の保証には適用できない。   GBA technology is a technology that enables third-party authentication using IMS assurance from an external application, but it cannot be applied to guarantee identity.

本発明は、上記の点に鑑みなされたもので、トラストリレーションシップのないネットワークに収容されたユーザ間で本人性保証が可能なエンド−エンド間本人性保証システム及び方法を提供することを目的とする。   The present invention has been made in view of the above points, and an object of the present invention is to provide an end-to-end identity guarantee system and method capable of guaranteeing identity between users accommodated in a network having no trust relationship. To do.

上記の課題を解決するため、本発明(請求項1)は、IMSやネットワークを介してエンド−エンド間での本人性保証を行うエンド−エンド間本人性保証システムであって、
エンド−エンド間のクライアントの2つの端末A,Bと、
前記端末Aを収容する第1のIMSと、
前記第1のIMSとはトラストレーションシップがなく前記端末Bを収容する第2のIMSまたはネットワークと、
を有し、
前記端末Aは、
自端末を収容する前記第1のIMSに対して認証要求を送出し、該第1のIMSから正しく認証が行われたことを証明するためのアサーション情報を取得する手段と、
前記端末Bとの間で前記アサーション情報を交換し、該端末Bのアサーション情報を該端末Bの前記第2のIMSまたは前記ネットワークに問い合わせて正規の手段で認証されたユーザであるという本人性を確認する手段と、を有し、
前記端末Bは、
自端末を収容する前記第2のIMSまたは前記ネットワークに対して認証要求を送出し、該第2のIMSまたは該ネットワークから正しく認証が行われたことを証明するためのアサーション情報を取得する手段と、
前記端末Aとの間で前記アサーション情報を交換し、該端末Aのアサーション情報を該端末AのIMSに問い合わせて正規の手段で認証されたユーザであるという本人性を確認する手段と、を有し、
前記第1のIMSは、
前記端末Aからの前記認証要求を受信すると、認証を行う認証手段と、
前記認証手段で正しく認証が行われたことを証明するためのアサーションを生成し、前記認証要求元の端末Aに送信するアサーション生成手段と、
前記端末Bからアサーションの問い合わせを受信すると、該アサーションが当該IMSで正規に生成されたものであるか否かを判定し、判定結果を問い合わせ元の該端末Bに送信するアサーション確認手段と、を有する。 In order to solve the above problems, the present invention (Claim 1) is an end-to-end identity guarantee system for guaranteeing end-to-end identity via IMS or a network,
Two terminals A and B of the end-to-end client;
A first IMS accommodating the terminal A;
A second IMS or network that has no trustship with the first IMS and accommodates the terminal B;
Have
The terminal A
Means for sending an authentication request to the first IMS accommodating the own terminal and obtaining assertion information for proving that the authentication has been correctly performed from the first IMS;
The identity of the terminal B is exchanged with the assertion information, the identity of the terminal B is inquired of the second IMS of the terminal B or the network, and the user is authenticated by a legitimate means. And means for confirming,
The terminal B
Means for sending an authentication request to the second IMS or the network accommodating the terminal and acquiring assertion information for proving that the authentication has been correctly performed from the second IMS or the network; ,
A means for exchanging the assertion information with the terminal A, inquiring the IMS of the terminal A for the assertion information of the terminal A, and confirming the identity that the user is authenticated by a legitimate means. And
The first IMS is:
Receiving the authentication request from the terminal A, authenticating means for performing authentication;
An assertion generating means for generating an assertion for certifying that the authentication has been correctly performed by the authentication means, and transmitting the assertion to the terminal A of the authentication request source;
Receiving an assertion inquiry from the terminal B, determining whether or not the assertion is properly generated by the IMS, and transmitting the determination result to the inquiry source terminal B; Have.

本発明(請求項2)は、IMSやネットワークを介してエンド−エンド間での本人性保証を行うエンド−エンド間本人性保証方法であって、
エンド−エンド間のクライアントの2つの端末A,Bと、
前記端末Aを収容する第1のIMSと、
前記第1のIMSとはトラストレーションシップがなく前記端末Bを収容する第2のIMSまたはネットワークと、を有するシステムにおいて、
前記第1のIMSと前記第2のIMSまたは前記ネットワークが、それぞれ収容する端末A,Bからの認証要求に基づいて認証を行い、該認証が正しく行われたことを証明するためのアサーション情報を該端末に送出し、
前記端末A,Bが、前記アサーション情報を互いに交換し、交換した相手のアサーション情報を、相手のIMSまたはネットワークに問い合わせて、該アサーション情報が正規に生成されたものであるか否かの問い合わせを行い、
前記第1のIMS及び前記第2のIMSまたは前記ネットワークが、前記問い合わせに対してアサーション情報が該第1のIMS及び該第2のIMSまたは該ネットワーク内で正規に生成されたか否かを判定し、判定結果を前記端末A,Bにそれぞれ通知する。 The present invention (Claim 2) is an end-to-end identity guarantee method for guaranteeing end-to-end identity via IMS or a network,
Two terminals A and B of the end-to-end client;
A first IMS accommodating the terminal A;
In the system having the second IMS or network that accommodates the terminal B without any trustship with the first IMS,
The first IMS and the second IMS or the network perform authentication based on authentication requests from the terminals A and B accommodated therein, respectively, and assertion information for proving that the authentication has been performed correctly. Send to the terminal,
The terminals A and B exchange the assertion information with each other, inquire the other party's IMS or network for the other party's assertion information, and inquire whether the assertion information has been properly generated. Done
The first IMS and the second IMS or the network determine whether assertion information has been properly generated in the first IMS and the second IMS or the network in response to the query. The determination results are notified to the terminals A and B, respectively.

本発明は、エンド−エンド間の本人性保証を実現するためのアサーション関連の機能を導入し、従来実現し得なったトラストリレーションシップのないネットワークに収容されたユーザ間で本人性保証が可能となる。   The present invention introduces an assertion-related function for realizing end-to-end identity guarantee, and it is possible to guarantee identity between users accommodated in a network without a trust relationship that has not been realized in the past. Become.

従来のIMSにおけるトラストリレーションシップと本人性保証の仕組みである。It is a mechanism of trust relationship and identity guarantee in conventional IMS. 本発明の一実施の形態における拡張IMSの構成例である。It is a structural example of extended IMS in one embodiment of this invention. 本発明の一実施の形態における本人性保証の流れを示す図である。It is a figure which shows the flow of an identity guarantee in one embodiment of this invention. 本発明の第1の実施例におけるCSCFを拡張した場合のシーケンスチャートである。It is a sequence chart at the time of extending CSCF in the 1st example of the present invention. 本発明の第2の実施例における新規エンティティを導入した場合のシーケンスチャートである。It is a sequence chart at the time of introducing the new entity in the 2nd Example of this invention.

以下、図面と共に本発明の実施の形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

本発明は、トラストリレーションシップのないネットワークに収容されたユーザとの間の本人性保証に関する課題に対して、エンド−エンド間での本人性保証を行うものである。本発明では、図2に示すように、IMS100には、ユーザ情報を取得して認証を行う認証部110の他に、アサーション生成部120とアサーション確認部130を導入することでエンド−エンド間での本人性保証を実現する。なお、IMS100にはゲートウェイ(GW)を介してIMS端末が接続されているものとする。   The present invention provides end-to-end identity guarantees for issues relating to identity guarantees with users accommodated in networks without trust relationships. In the present invention, as shown in FIG. 2, the IMS 100 introduces an assertion generation unit 120 and an assertion confirmation unit 130 in addition to the authentication unit 110 that acquires and authenticates user information, thereby end-to-end. Realize the identity guarantee. It is assumed that an IMS terminal is connected to the IMS 100 via a gateway (GW).

認証部110は、IMS端末から認証要求を受信すると、IMS加入者情報が格納されているUPSF(User Profile Server Function)にアクセスしてユーザ情報を取得し、当該認証要求に含まれる端末情報と示し合わせることで認証を行う。   Upon receiving the authentication request from the IMS terminal, the authentication unit 110 accesses the UPSF (User Profile Server Function) in which the IMS subscriber information is stored, acquires user information, and indicates the terminal information included in the authentication request. Authenticate by matching.

アサーション生成部120は、認証部110で正しく認証が行われたことを証明するためのアサーションを生成し、認証結果と共に認証要求元に通知する。   The assertion generation unit 120 generates an assertion for proving that the authentication unit 110 has correctly authenticated, and notifies the authentication request source together with the authentication result.

アサーション確認部130は、ユーザからのアサーション確認要求を取得し、受け付けられたアサーションが本当にそのIMSで生成されたものかどうかを確認し、その結果を確認要求元に通知する。   The assertion confirmation unit 130 acquires an assertion confirmation request from the user, confirms whether the accepted assertion is actually generated by the IMS, and notifies the confirmation request source of the result.

図3は、本発明の一実施の形態における本人性認証の流れを示す図である。   FIG. 3 is a diagram showing the flow of identity authentication in one embodiment of the present invention.

本発明においては、上記のIMSのアサーションに関連した機能を利用することで、IMS Aに収容されたユーザAとIMS AとはトラストリレーションシップのないネットワークB間に収容されたユーザBの間で本人性認証を、下記のような手順で実現する。   In the present invention, by utilizing the function related to the above-mentioned IMS assertion, the user A accommodated in IMS A and the IMS A are connected between the user B accommodated between the networks B having no trust relationship. The identity authentication is realized by the following procedure.

(1)ユーザAはIMS Aで認証し、その証左を示すアサーション情報を取得する。また、ユーザBはネットワークBで認証し、その証左を示すアサーション情報を取得する。なお、ネットワークBにおける認証方法については特に限定しないが、例えば、Webベースの認証や、IMS認証等を用いることが可能である。   (1) User A authenticates with IMS A and obtains assertion information indicating the evidence. Further, the user B authenticates with the network B and acquires assertion information indicating the proof. The authentication method in the network B is not particularly limited, but for example, web-based authentication, IMS authentication, or the like can be used.

(2)ユーザAとBはお互いのアサーション情報を交換する。   (2) Users A and B exchange each other's assertion information.

(3)ユーザAはユーザBより送信されたアサーション情報の正当性をネットワークBに問い合わせる。これにより、ユーザBはユーザAより送信されたアサーション情報の正当性をIMS Aに問い合わせる。IMS Aのアサーション確認部130からアサーション確認情報を取得し、ユーザAに正当性を通知することにより、それぞれのユーザはお互いが正規の手段で認証されたユーザであるという本人性を保証することができる。   (3) User A inquires of network B about the validity of the assertion information transmitted from user B. Thereby, user B inquires IMS A about the validity of the assertion information transmitted from user A. By acquiring the assertion confirmation information from the assertion confirmation unit 130 of IMS A and notifying the validity to the user A, each user can guarantee the identity that each user has been authenticated by a legitimate means. it can.

IMSとトラストリレーションシップのないネットワークとの間で、エンド−エンド間で本人性保証を行う上では、IMSにアサーション関連の機能を実装する必要がある。IMSにこれらの機能を実装した例は図2の通りである。ここでは、2つの実施例について述べる。この例の中では、IMSとトラストレーションシップのないネットワークとして、アサーション関連の機能を実装しているRTCWeb(Real Time Communication in Web)を想定している。   In order to guarantee end-to-end identity between IMS and a non-trusted network, it is necessary to implement assertion-related functions in IMS. An example of implementing these functions in IMS is shown in FIG. Here, two examples are described. In this example, RTCWeb (Real Time Communication in Web), which implements assertion-related functions, is assumed as a network that does not have a trustship with IMS.

[第1の実施例]
本実施例では、CSCF(Call Session Control Function)に機能追加を行い、アサーション関連を行わせる。 [First embodiment]
In this embodiment, a function is added to the CSCF (Call Session Control Function) to make an assertion related.

IMSにおいて認証を行っているエンティティであるCSCFを拡張してアサーション関連の機能を実装することで、IMSを用いたエンド−エンド間の本人性認証を行うことができる。実現のためのアーキテクチャとフローを図4に示す。   By implementing CSCF, an entity that performs authentication in IMS, and implementing assertion-related functions, end-to-end identity authentication using IMS can be performed. The architecture and flow for implementation are shown in FIG.

ブラウザa、ブラウザbは、RTCWebサーバからJava Script(登録商標)をダウンロードする。   Browser a and browser b download Java Script (registered trademark) from the RTCWeb server.

まず、本人性認証を行う場合に、認証フェーズでは、ブラウザaは、IMS認証情報とアサーション要求を、ゲートウェイを介してx-CSCFsに送信する。x-CSCFsは、UPSFに対してユーザ情報を要求する。UPSFはユーザ情報をx-CSCFsに通知し、x-CSCFsは認証とアサーション生成を行い、認証が成功した場合は、認証OKの情報とアサーションをゲートウェイを介してブラウザaに通知する。ブラウザaはRTCWebサーバに対して、接続要求とアサーションを通知し、RTCWebサーバは当該要求とアサーションをブラウザbに通知する(ステップ101)。   First, when performing identity authentication, in the authentication phase, the browser a transmits IMS authentication information and an assertion request to the x-CSCFs via the gateway. x-CSCFs requests user information from UPSF. The UPSF notifies the user information to the x-CSCFs, and the x-CSCFs performs authentication and assertion generation. When the authentication is successful, the authentication OK information and the assertion are notified to the browser a via the gateway. The browser a notifies the RTCWeb server of the connection request and assertion, and the RTCWeb server notifies the browser b of the request and assertion (step 101).

アサーション確認フェーズでは、ブラウザbからアサーション確認要求をゲートウェイを介してx-CSCFsに送信する。x-CSCFsでは、当該アサーションが当該x-CSCFsで生成されたアサーションであるかを確認し、確認できた場合は確認OKをゲートウェイを介して確認成功の通知をブラウザbに送信する(ステップ102)。   In the assertion confirmation phase, the browser b transmits an assertion confirmation request to the x-CSCFs via the gateway. In x-CSCFs, it is confirmed whether the assertion is an assertion generated in the x-CSCFs. If it can be confirmed, a confirmation OK is transmitted to the browser b via the gateway (step 102). .

[第2の実施例]
本実施例では、新規エンティティを導入し、アサーション関連の処理を行わせる。 [Second Embodiment]
In this embodiment, a new entity is introduced, and assertion-related processing is performed.

認証とアサーション関連の処理を行う機能を実装することで、アサーション関連の処理を行うことができる。実現のためのアーキテクチャとフローを図5に示す。   By implementing a function that performs processing related to authentication and assertion, processing related to assertion can be performed. FIG. 5 shows the architecture and flow for implementation.

ブラウザaとブラウザbは、JavaScript(登録商標)をRTCWebサーバからダウンロードする。   Browser a and browser b download JavaScript (registered trademark) from the RTC Web server.

認証フェーズでは、ブラウザaは、新規エンティティにIMS認証情報とアサーションの生成を要求する。新規エンティティは、当該要求を取得すると、UPSFに対してユーザ情報を要求する。UPSFからユーザ情報を取得すると、新規エンティティ内において、ユーザ認証とアサーションを生成を行い、アサーションをブラウザaに送信する。ブラウザaはRTCWebに対してアサーションと要求を送信し、当該RTCWebは当該要求とアサーションをブラウザbに送信する(ステップ201)。   In the authentication phase, browser a requests the new entity to generate IMS authentication information and an assertion. When the new entity acquires the request, it requests user information from the UPSF. When user information is acquired from the UPSF, user authentication and assertion are generated in the new entity, and the assertion is transmitted to the browser a. Browser a transmits an assertion and request to RTCWeb, and RTCWeb transmits the request and assertion to browser b (step 201).

アサーション確認フェーズでは、ブラウザbからアサーション確認要求をゲートウェイを介してx-CSCFsに送信する。x-CSCFsでは要求されたアサーションが当該x-CSCFsで生成されたかを確認し、その結果確認された場合には確認OKを成功メッセージとしてブラウザbに送信する(ステップ202)。   In the assertion confirmation phase, the browser b transmits an assertion confirmation request to the x-CSCFs via the gateway. In x-CSCFs, it is confirmed whether the requested assertion is generated in the x-CSCFs. If the result is confirmed, confirmation OK is transmitted as a success message to browser b (step 202).

アサーション自体の実施例としては、必要な鍵情報自体がわかるものであれば、その形式は何でもよいため、例えば、以下のような形式が考えられる。   As an example of the assertion itself, any format can be used as long as necessary key information itself can be understood. For example, the following format is conceivable.

・テキスト形式
・バイナリ形式
なお、本発明は、上記の実施の形態及び実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。 -Text format-Binary format In addition, this invention is not limited to said embodiment and Example, A various change and application are possible within a claim.

100 IMS
110 認証部
120 アサーション生成部
130 アサーション確認部 100 IMS
110 Authentication Unit 120 Assertion Generation Unit 130 Assertion Confirmation Unit

Claims (2)

IMS(IP Multimedia Subsystem)やネットワークを介してエンド−エンド間での本人性保証を行うエンド−エンド間本人性保証システムであって、
エンド−エンド間のクライアントの2つの端末A,Bと、
前記端末Aを収容する第1のIMSと、
前記第1のIMSとはトラストレーションシップがなく前記端末Bを収容する第2のIMSまたはネットワークと、
を有し、
前記端末Aは、
自端末を収容する前記第1のIMSに対して認証要求を送出し、該第1のIMSから正しく認証が行われたことを証明するためのアサーション情報を取得する手段と、
前記端末Bとの間で前記アサーション情報を交換し、該端末Bのアサーション情報を該端末Bの前記第2のIMSまたは前記ネットワークに問い合わせて正規の手段で認証されたユーザであるという本人性を確認する手段と、を有し、
前記端末Bは、
自端末を収容する前記第2のIMSまたは前記ネットワークに対して認証要求を送出し、該第2のIMSまたは該ネットワークから正しく認証が行われたことを証明するためのアサーション情報を取得する手段と、
前記端末Aとの間で前記アサーション情報を交換し、該端末Aのアサーション情報を該端末AのIMSに問い合わせて正規の手段で認証されたユーザであるという本人性を確認する手段と、を有し、
前記第1のIMSは、
前記端末Aからの前記認証要求を受信すると、認証を行う認証手段と、
前記認証手段で正しく認証が行われたことを証明するためのアサーションを生成し、前記認証要求元の端末Aに送信するアサーション生成手段と、
前記端末Bからアサーションの問い合わせを受信すると、該アサーションが当該IMSで正規に生成されたものであるか否かを判定し、判定結果を問い合わせ元の該端末Bに送信するアサーション確認手段と、
を有することを特徴とするエンド−エンド間本人性保証システム。 An end-to-end identity guarantee system that guarantees end-to-end identity via IMS (IP Multimedia Subsystem) or network,
Two terminals A and B of the end-to-end client;
A first IMS accommodating the terminal A;
A second IMS or network that has no trustship with the first IMS and accommodates the terminal B;
Have
The terminal A
Means for sending an authentication request to the first IMS accommodating the own terminal and obtaining assertion information for proving that the authentication has been correctly performed from the first IMS;
The identity of the terminal B is exchanged with the assertion information, the identity of the terminal B is inquired of the second IMS of the terminal B or the network, and the user is authenticated by a legitimate means. And means for confirming,
The terminal B
Means for sending an authentication request to the second IMS or the network accommodating the terminal and acquiring assertion information for proving that the authentication has been correctly performed from the second IMS or the network; ,
A means for exchanging the assertion information with the terminal A, inquiring the IMS of the terminal A for the assertion information of the terminal A, and confirming the identity that the user is authenticated by a legitimate means. And
The first IMS is:
Receiving the authentication request from the terminal A, authenticating means for performing authentication;
An assertion generating means for generating an assertion for certifying that the authentication has been correctly performed by the authentication means, and transmitting the assertion to the terminal A of the authentication request source;
When an assertion inquiry is received from the terminal B, it is determined whether or not the assertion is properly generated by the IMS, and an assertion confirmation unit that transmits a determination result to the terminal B that is the inquiry source;
An end-to-end identity guarantee system characterized by comprising: IMSやネットワークを介してエンド−エンド間での本人性保証を行うエンド−エンド間本人性保証方法であって、
エンド−エンド間のクライアントの2つの端末A,Bと、
前記端末Aを収容する第1のIMSと、
前記第1のIMSとはトラストレーションシップがなく前記端末Bを収容する第2のIMSまたはネットワークと、を有するシステムにおいて、
前記第1のIMSと前記第2のIMSまたは前記ネットワークが、それぞれ収容する端末A,Bからの認証要求に基づいて認証を行い、該認証が正しく行われたことを証明するためのアサーション情報を該端末に送出し、
前記端末A,Bが、前記アサーション情報を互いに交換し、交換した相手のアサーション情報を、相手のIMSまたはネットワークに問い合わせて、該アサーション情報が正規に生成されたものであるか否かの問い合わせを行い、
前記第1のIMS及び前記第2のIMSまたは前記ネットワークが、前記問い合わせに対してアサーション情報が該第1のIMS及び該第2のIMSまたは該ネットワーク内で正規に生成されたか否かを判定し、判定結果を前記端末A,Bにそれぞれ通知する
ことを特徴とするエンド−エンド間本人性保証方法。 An end-to-end identity guarantee method for guaranteeing end-to-end identity via IMS or a network,
Two terminals A and B of the end-to-end client;
A first IMS accommodating the terminal A;
In the system having the second IMS or network that accommodates the terminal B without any trustship with the first IMS,
The first IMS and the second IMS or the network perform authentication based on authentication requests from the terminals A and B accommodated therein, respectively, and assertion information for proving that the authentication has been performed correctly. Send to the terminal,
The terminals A and B exchange the assertion information with each other, inquire the other party's IMS or network for the other party's assertion information, and inquire whether the assertion information has been properly generated. Done
The first IMS and the second IMS or the network determine whether assertion information has been properly generated in the first IMS and the second IMS or the network in response to the query. The end-to-end identity guarantee method, wherein the determination result is notified to the terminals A and B, respectively.
JP2013022471A 2013-02-07 2013-02-07 End-end personal identity guarantee system and method Pending JP2014153878A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013022471A JP2014153878A (en) 2013-02-07 2013-02-07 End-end personal identity guarantee system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013022471A JP2014153878A (en) 2013-02-07 2013-02-07 End-end personal identity guarantee system and method

Publications (1)

Publication Number Publication Date
JP2014153878A true JP2014153878A (en) 2014-08-25

Family

ID=51575704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013022471A Pending JP2014153878A (en) 2013-02-07 2013-02-07 End-end personal identity guarantee system and method

Country Status (1)

Country Link
JP (1) JP2014153878A (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005063028A (en) * 2003-08-08 2005-03-10 Nippon Telegr & Teleph Corp <Ntt> Method and system for controlling use of distributed collaborative type information
WO2009057485A1 (en) * 2007-10-29 2009-05-07 Nec Corporation Server, authentication server, content delivery system, and program
JP2010273015A (en) * 2009-05-20 2010-12-02 Nippon Telegr & Teleph Corp <Ntt> COOPERATION METHOD FOR MAKING WEB SYSTEM COOPERATE WITH VoIP SYSTEM, VoIP SYSTEM, AND COOPERATION PROGRAM
US20120027706A1 (en) * 1997-07-28 2012-02-02 Shapiro Stanley S Methods for treating skin pigmentation
WO2012027706A1 (en) * 2010-08-26 2012-03-01 Interdigital Patent Holdings, Inc. Method and device for preventing unsolicited communications

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120027706A1 (en) * 1997-07-28 2012-02-02 Shapiro Stanley S Methods for treating skin pigmentation
JP2005063028A (en) * 2003-08-08 2005-03-10 Nippon Telegr & Teleph Corp <Ntt> Method and system for controlling use of distributed collaborative type information
WO2009057485A1 (en) * 2007-10-29 2009-05-07 Nec Corporation Server, authentication server, content delivery system, and program
JP2010273015A (en) * 2009-05-20 2010-12-02 Nippon Telegr & Teleph Corp <Ntt> COOPERATION METHOD FOR MAKING WEB SYSTEM COOPERATE WITH VoIP SYSTEM, VoIP SYSTEM, AND COOPERATION PROGRAM
WO2012027706A1 (en) * 2010-08-26 2012-03-01 Interdigital Patent Holdings, Inc. Method and device for preventing unsolicited communications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015042910; Eric Rescorla: 'RTCWEB Security Architecture draft-ietf-rtcweb-security-arch-06' WebRTC Security Architecture , 20130122, p.1-p.43 *

Similar Documents

Publication Publication Date Title
CN101455053B (en) Authenticating an application
JP5496907B2 (en) Key management for secure communication
KR101050335B1 (en) Method for generating and distributing encryption keys in mobile wireless system and corresponding mobile wireless system
JP5106682B2 (en) Method and apparatus for machine-to-machine communication
KR101461455B1 (en) Authentication method, system and device
JP4643657B2 (en) User authentication and authorization in communication systems
JP5490874B2 (en) Identity management services provided by network operators
EP3180934B1 (en) Methods and nodes for mapping subscription to service user identity
US8875236B2 (en) Security in communication networks
US9882897B2 (en) Method and system for transmitting and receiving data, method and device for processing message
WO2011022999A1 (en) Method and system for encrypting video conference data by terminal
Lopez et al. Pceps: Usage of tls to provide a secure transport for the path computation element communication protocol (pcep)
JP4870427B2 (en) Digital certificate exchange method, terminal device, and program
KR101326403B1 (en) Delegated operation system and method
JP5342818B2 (en) Management device, registered communication terminal, unregistered communication terminal, network system, management method, communication method, and computer program.
WO2007000115A1 (en) A method for authenticating the device receiving the sip request message
Saint-Andre et al. Use of transport layer security (TLS) in the extensible messaging and presence protocol (XMPP)
US20060020791A1 (en) Entity for use in a generic authentication architecture
CN102694779B (en) Combination attestation system and authentication method
US20170331793A1 (en) Method and a system for managing user identities for use during communication between two web browsers
Kara et al. Bcvop2p: Decentralized Blockchain-Based Authentication Scheme for Secure Voice Communication.
Li et al. Who is calling which page on the web?
JP2014153878A (en) End-end personal identity guarantee system and method
JP5746774B2 (en) Key management for secure communication
Lopez et al. RFC 8253: PCEPS: Usage of TLS to Provide a Secure Transport for the Path Computation Element Communication Protocol (PCEP)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151027

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160531

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160801

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160823