JP6386967B2 - Authentication method and system - Google Patents
Authentication method and system Download PDFInfo
- Publication number
- JP6386967B2 JP6386967B2 JP2015092711A JP2015092711A JP6386967B2 JP 6386967 B2 JP6386967 B2 JP 6386967B2 JP 2015092711 A JP2015092711 A JP 2015092711A JP 2015092711 A JP2015092711 A JP 2015092711A JP 6386967 B2 JP6386967 B2 JP 6386967B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- idp
- signature
- client terminal
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
この発明は、クライアント端末、サーバ等の情報処理機器間でセッションを確立するためのプロトコル、特にSIPプロトコルにおける認証に関するものである。 The present invention relates to a protocol for establishing a session between information processing devices such as a client terminal and a server, in particular, authentication in the SIP protocol.
RFC3261に規定されているSIPプロトコルでは、HTTPダイジェスト認証によりクライアント端末が登録されている(例えば、非特許文献1参照。)。HTTPダイジェスト認証は、RFC2617に規定されている(例えば、非特許文献2参照。)。 In the SIP protocol defined in RFC3261, a client terminal is registered by HTTP digest authentication (see, for example, Non-Patent Document 1). HTTP digest authentication is defined in RFC2617 (see Non-Patent Document 2, for example).
HTTPダイジェスト認証を行うためには、パスワードリストをサーバに事前に記憶しておく必要があるが、このパスワードリストが流出するリスクがあった。 In order to perform HTTP digest authentication, it is necessary to store the password list in the server in advance, but there is a risk that this password list will be leaked.
この発明の目的は、パスワードリストが流出するリスクのない、SIPプロトコルにおける認証方法及びシステムを提供することである。 An object of the present invention is to provide an authentication method and system in the SIP protocol without risk of leaking a password list.
この発明の一態様による認証方法は、SPサーバが、SIPプロトコルにおけるクライアント端末の登録のときに、クライアント端末からの要求に応じて、上記SPサーバの秘密鍵を用いて上記SPサーバのチャレンジであるSPチャレンジに対して署名を行いSP署名を生成し、上記SP署名と、上記SPチャレンジと、IdPサーバについての情報とを上記クライアント端末に送信するステップと、上記クライアント端末が、上記IdPサーバについての情報により特定されるIdPサーバに、上記SP署名と、上記SPチャレンジと、クライアントチャレンジと、を送信するステップと、上記IdPサーバが、上記SPサーバの公開鍵を用いて上記SP署名の検証を行い、その検証に成功した場合には、上記クライアント端末のIDが存在するかどうかを確認し、その確認ができた場合には、上記IdPサーバの秘密鍵を用いて上記SPチャレンジに対して署名を行い第一IdP署名を生成し、上記IdPサーバの秘密鍵を用いて上記クライアントチャレンジに対して署名を行い第二IdP署名を生成し、上記第一IdP署名及び上記第二IdP署名を上記クライアント端末に送信するステップと、上記クライアント端末が、上記IdPサーバの公開鍵を用いて上記第二IdP署名の検証を行い、その検証に成功した場合には、上記第一IdP署名を上記SPサーバに送信するステップと、上記SPサーバが、上記IdPサーバの公開鍵を用いて上記第一IdP署名の検証を行い、その検証に成功した場合には、上記SIPプロトコルにおける上記クライアント端末の登録を行うステップと、を備えている。 The authentication method according to an aspect of the present invention is a challenge of the SP server using the SP server secret key in response to a request from the client terminal when the SP server registers the client terminal in the SIP protocol. Signing the SP challenge to generate an SP signature, sending the SP signature, the SP challenge, and information about the IdP server to the client terminal; and Transmitting the SP signature, the SP challenge, and the client challenge to the IdP server specified by the information, and the IdP server verifies the SP signature using the public key of the SP server. If the verification is successful, check whether the client terminal ID exists, and if the verification is successful, Use the IdP server private key to sign the SP challenge and generate the first IdP signature, and use the IdP server private key to sign the client challenge and generate the second IdP signature Transmitting the first IdP signature and the second IdP signature to the client terminal, and the client terminal verifies the second IdP signature using the public key of the IdP server. If successful, the first IdP signature is sent to the SP server, and the SP server verifies the first IdP signature using the public key of the IdP server, and the verification is successful. In some cases, the method includes a step of registering the client terminal in the SIP protocol.
パスワードリストが用いられないため、パスワードリストが流出するリスクがなくなる。 Since the password list is not used, there is no risk of the password list being leaked.
[第一実施形態]
第一実施形態の認証システムは、クライアント端末1及びサーバ2を例えば備えている。クライアント端末1は、携帯電話、スマートフォン、タブレット端末、PC等の情報処理機器である。サーバ2は、SIP(Session Initiation Protocol)サーバである。
[First embodiment]
The authentication system of the first embodiment includes a
認証システムが、図2や以下に例示する各処理を行うことにより認証方法が実現される。 The authentication method is realized by the authentication system performing the processes illustrated in FIG. 2 and the following.
<ステップS1>
まず、クライアント端末1は、SIPプロトコルにおけるクライアント端末1の登録のときに、クライアントチャレンジC1をサーバ2に送信する(ステップS1)。
<Step S1>
First, the
クライアントチャレンジC1は、任意の文字列であってもよいし、任意の数列であってもよい。クライアント端末1は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をクライアントチャレンジC1とする。
Client Challenge C 1 may be an arbitrary string, it may be any sequence. The
例えば、クライアント端末1は、SIPプロトコルにおけるREGISTERメソッドのメッセージと共にクライアントチャレンジC1をサーバ2に送信する。例えば、クライアントチャレンジC1はREGISTERメソッドのメッセージの一部としてサーバ2に送信される。このメッセージには、クライアント端末1を識別する情報であるCALL-IDが含まれていてもよい。
For example, the
<ステップS2>
サーバ2は、クライアント端末1からクライアントチャレンジC1を受信する。
<Step S2>
The server 2 receives the client challenge C 1 from the
サーバ2は、サーバ2の秘密鍵を用いてクライアントチャレンジC1に対して署名を行いサーバ署名σ1を生成し、サーバチャレンジC2及びサーバ署名σ1をクライアント端末1に送信する(ステップS2)。 Server 2 generates a server signature sigma 1 performs signature to the client challenge C 1 using the private key of the server 2, and transmits the server challenge C 2 and server signature sigma 1 to the client terminal 1 (step S2) .
署名の方法は、RSA署名、ElGamal署名、DSA署名、Schnorr署名、Cramer-Shoup署名、楕円ElGamal署名、楕円曲線DSA署名、楕円Schnorr署名等の既存の署名の方法を用いればよい。既存の署名の方法を用いればよいのは、この発明の他の署名についても同様である。 As a signature method, an existing signature method such as an RSA signature, an ElGamal signature, a DSA signature, a Schnorr signature, a Cramer-Shoup signature, an elliptic ElGamal signature, an elliptic curve DSA signature, or an elliptic Schnorr signature may be used. The existing signature method can be used for other signatures of the present invention.
サーバ2の秘密鍵をSsとし、署名の関数をsignとすると、サーバ署名σ1は、σ1=signSs(C1)と表記することができる。 When the secret key of the server 2 is Ss and the signature function is sign, the server signature σ 1 can be expressed as σ 1 = sign Ss (C 1 ).
サーバチャレンジC2は、任意の文字列であってもよいし、任意の数列であってもよい。サーバ2は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をサーバトチャレンジC2とする。 Server challenge C 2 may be an arbitrary string, it may be any sequence. Server 2, for example, generates a random number based on a predetermined algorithm, the generated random number with the server preparative challenge C 2.
例えば、サーバ2は、SIPプロトコルにおける2XX又は4XXの応答コードのメッセージと共にサーバチャレンジC2及びサーバ署名σ1をクライアント端末1に送信する。例えば、サーバチャレンジC2及びサーバ署名σ1は、2XX又は4XXの応答コードのメッセージの一部としてクライアント端末1に送信される。2XX及び4XXのXは、任意の整数である。
For example, the server 2 transmits the server challenge C 2 and the server signature σ 1 together with the 2XX or 4XX response code message in the SIP protocol to the
<ステップS3>
クライアント端末1は、サーバ2からサーバチャレンジC2及びサーバ署名σ1を受信する。
<Step S3>
The
クライアント端末1は、サーバ2の公開鍵を用いてサーバ署名σ1の検証を行い、その検証に成功した場合には、クライアント端末1の秘密鍵を用いてサーバチャレンジC2に対して署名を行いクライアント端末署名σ2を生成し、クライアント端末署名σ2をサーバ2に送信する(ステップS3)。
The
検証の方法は、RSA署名、ElGamal署名、DSA署名、Schnorr署名、Cramer-Shoup署名、楕円ElGamal署名、楕円曲線DSA署名、楕円Schnorr署名等の既存の署名の方法における検証方法を用いればよい。既存の署名の方法における検証方法を用いればよいのは、この発明の他の検証についても同様である。 As a verification method, a verification method in an existing signature method such as an RSA signature, an ElGamal signature, a DSA signature, a Schnorr signature, a Cramer-Shoup signature, an elliptic ElGamal signature, an elliptic curve DSA signature, or an elliptic Schnorr signature may be used. The verification method in the existing signature method may be used for other verifications of the present invention.
サーバ2の公開鍵をSpとし、サーバ署名をσ1とし、検証の関数をverifyとすると、クライアント端末1による検証は、verifySp(σ1)=?0 or 1と表記することができる。verifySp(σ1)=1は検証に成功したことを意味し、verifySp(σ1)=0は検証に成功しなかったことを意味する。
If the public key of the server 2 is Sp, the server signature is σ 1 , and the verification function is verify, the verification by the
クライアント端末1の秘密鍵をCsとし、署名の関数をsignとすると、クライアント端末署名σ2は、σ2=signCs(C2)と表記することができる。
When the secret key of the
例えば、クライアント端末1は、SIPプロトコルにおけるREGISTERメソッドのメッセージと共にクライアント端末署名σ2をサーバ2に送信する。例えば、クライアント端末署名σ2は、REGISTERメソッドのメッセージの一部としてサーバ2に送信される。このメッセージには、クライアント端末1を識別する情報であるCALL-IDをサーバ2が含まれていてもよい。
For example, the
<ステップS4>
サーバ2は、クライアント端末署名σ2をクライアント端末1から受信する。
<Step S4>
The server 2 receives the client terminal signature σ 2 from the
サーバ2が、クライアント端末1の公開鍵を用いてクライアント端末署名の検証を行い、その検証に成功した場合には、SIPプロトコルにおけるクライアント端末1の登録を行う(ステップS4)。
The server 2 verifies the client terminal signature using the public key of the
クライアント端末1の公開鍵をCpとし、クライアント端末署名をσ2とし、検証の関数をverifyとすると、サーバ2による検証は、verifyCp(σ2)=?0 or 1と表記することができる。verifyCp(σ2)=1は検証に成功したことを意味し、verifyCp(σ2)=0は検証に成功しなかったことを意味する。
If the public key of the
その際、サーバ2は、クライアント端末署名の検証の合格の後に、クライアント端末1のIDが存在するかどうかを確認し、その確認ができた場合に、クライアント端末1の登録を行ってもよい。
At this time, the server 2 may check whether the ID of the
クライアント端末1のIDの存在の確認は、サーバ2がIDのデータベースを有している場合には、そのデータベースを参照することにより行う。そのデータベースの中にクライアント端末1のIDが存在していれば、その存在が確認できたと判断することができ、そのデータベースの中にクライアント端末1のIDが存在していなければ、その存在は確認できないと判断することができる。
The existence of the ID of the
IDのデータベースが図示していないLDAPサーバに記憶されている場合には、サーバ2はLDAPサーバに問い合わせることにより、IDの存在を確認してもよい。例えば、IDとして、クライアント端末1のCALL-IDに対応するメールアドレスが用いられている場合には、サーバ2は、そのメールアドレスの存在の有無をLDAPサーバに問い合わせる。LDAPサーバは、そのメールアドレスが存在の有無についての情報をサーバ2に送信する。サーバ2は、そのメールアドレスが存在する旨の情報を得た場合には、クライアント端末1のIDの存在が確認できたと判断することができ、そのメールアドレスが存在しない旨の情報を得た場合には、クライアント端末1のIDが存在は確認できないと判断することができる。
When the database of IDs is stored in an LDAP server (not shown), the server 2 may confirm the existence of the IDs by making an inquiry to the LDAP server. For example, when a mail address corresponding to the CALL-ID of the
なお、サーバ2は、クライアント端末1のCALL-IDに対応するメールアドレスのみならず、クライアント端末1の公開鍵が存在しているかどうかをLDAPサーバに問い合わせ、クライアント端末1のCALL-IDに対応するメールアドレスのみならず、クライアント端末1の公開鍵が存在している場合に、クライアント端末1のIDが存在していると判断してもよい。
The server 2 inquires of the LDAP server whether the public key of the
サーバ2は、クライアント端末1に登録の結果についての情報を送信する。例えば、サーバ2は、SIPプロトコルにおける2XX又は4XXの応答コードのメッセージを送信することで、登録の結果についての情報を送信する。2XXはリクエストが成功したこと(ここでは、登録が成功したこと)を表す応答コードであり、4XXはリクエストが誤りであるかリクエストを処理することができないこと(ここでは、登録が成功しなかったこと)を表す応答コードである。
The server 2 transmits information about the registration result to the
サーバ2がSIPProxyサーバとして機能する場合には、その後、サーバ2が、検証に成功したクライアント端末1、言い換えれば登録されたクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージのみを受け付け、検証に成功していないクライアント端末1、言い換えれば登録されていないクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージの受け付けを拒否してもよい。
If the server 2 functions as a SIPProxy server, then the server 2 accepts only the INVITE method message in the SIP protocol from the
このように、SIPプロトコルの登録の際にパスワードリストを用いずに認証を行うことにより、パスワードリストが用いられないため、パスワードリストが流出するリスクがなくなる。 In this way, by performing authentication without using the password list when registering the SIP protocol, the password list is not used, and thus there is no risk of the password list being leaked.
[第二実施形態]
第二実施形態の認証システムは、図3に示すように、クライアント端末1、SPサーバ3、SIPサーバ4及びIdPサーバ5を例えば備えている。クライアント端末1は、携帯電話、スマートフォン、タブレット端末、PC等の情報処理機器である。SPサーバ3は、クライアント端末1に対して所定のサービスを提供するサービスプロバイダ(Service Provider)サーバである。SIPサーバ4は、SIP(Session Initiation Protocol)サーバである。IdPサーバ5は、アイデンティティプロバイダ(IDentity Provider)サーバである。
[Second Embodiment]
As shown in FIG. 3, the authentication system according to the second embodiment includes, for example, a
認証システムが、図4や以下に例示する各処理を行うことにより認証方法が実現される。 The authentication method is realized by the authentication system performing the processes illustrated in FIG. 4 and the following.
<ステップT1>
SPサーバ3は、SIPプロトコルにおけるクライアント端末1の登録のときに、クライアント端末1からの要求に応じて、SPサーバ3の秘密鍵を用いてSPサーバ3のチャレンジであるSPチャレンジCSPに対して署名を行いSP署名σSPを生成し、SP署名σSPと、SPチャレンジCSPと、IdPサーバ5についての情報とをクライアント端末1に送信する(ステップT1)。
<Step T1>
SP server 3, when the registration of the
クライアント端末1からの要求とは、例えば、クライアント端末1からSPサーバ3へのSIPプロトコルにおけるREGISTERメソッドのメッセージの送信のことである。このメッセージには、クライアント端末1を識別する情報であるCALL-IDが含まれていてもよい。
The request from the
SPチャレンジCSPは、任意の文字列であってもよいし、任意の数列であってもよい。SPサーバ3は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をSPチャレンジCSPとする。 The SP challenge C SP may be an arbitrary character string or an arbitrary number sequence. The SP server 3 generates a random number based on, for example, a predetermined algorithm, and uses the generated random number as an SP challenge C SP .
SPサーバ3の秘密鍵をSPsとし、署名の関数をsignとすると、SPサーバ署名σSPは、σSP=signSs(CSP)と表記することができる。 When the private key of the SP server 3 is SPs and the signature function is sign, the SP server signature σ SP can be expressed as σ SP = sign Ss (C SP ).
<ステップT2>
クライアント端末1は、SP署名σSPと、SPチャレンジCSPと、IdPサーバ5についての情報とをSPサーバ3から受信する。
<Step T2>
The
クライアント端末1は、IdPサーバ5についての情報により特定されるIdPサーバ5に、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とを送信する(ステップT2)。
The
クライアントチャレンジC1は、任意の文字列であってもよいし、任意の数列であってもよい。クライアント端末1は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をクライアントチャレンジC1とする。
Client Challenge C 1 may be an arbitrary string, it may be any sequence. The
例えば、クライアント端末1は、SIPプロトコルにおけるRESISTERメソッドのメッセージと共にSP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とをIdPサーバ5に送信する。例えば、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とはRESISTERメソッドのメッセージの一部としてIdPサーバ5に送信される。このメッセージには、クライアント端末1のCALL-IDが含まれていてもよい。
For example, the
<ステップT3>
IdPサーバ5は、クライアント端末1から、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とを受信する。
<Step T3>
The
IdPサーバ5は、SPサーバ3の公開鍵を用いてSP署名σSPの検証を行い、その検証に成功した場合には、クライアント端末1のIDが存在するかどうかを確認し、その確認ができた場合には、IdPサーバの秘密鍵を用いてSPチャレンジCSPに対して署名を行い第一IdP署名σIdPを生成し、IdPサーバの秘密鍵を用いてクライアントチャレンジC1に対して署名を行い第二IdP署名σ1を生成し、第一IdP署名σIdP及び第二IdP署名σ1をクライアント端末1に送信する(ステップT3)。
The
SPサーバ3の公開鍵をSPpとし、SPサーバ署名をσSPとし、検証の関数をverifyとすると、IdPサーバ5による検証は、verifySPp(σSP)=?0 or 1と表記することができる。verifySPp(σSP)=1は検証に成功したことを意味し、verifySPp(σSP)=0は検証に成功しなかったことを意味する。
When the SP server 3 public key is SPp, the SP server signature is σ SP , and the verification function is verify, verification by the
IdPサーバ5の秘密鍵をIdPsとし、署名の関数をsignとすると、第一IdP署名σIdPは、σIdP=signSs(CSP)と表記することができる。
If the private key of the
IdPサーバ5の秘密鍵をIdPsとし、署名の関数をsignとすると、第二IdP署名σ1は、σ1=signSs(C1)と表記することができる。
If the private key of the
IdPサーバ5によるクライアント端末1の存在の確認の方法は、第一実施形態のサーバ2によるクライアント端末1の存在の確認方法と同様であるため、ここでは説明を省略する。
Since the method for confirming the presence of the
例えば、IdPサーバ5は、SIPプロトコルにおける2XXの応答コードのメッセージと共に第一IdP署名σIdP及び第二IdP署名σ1をクライアント端末1に送信する。例えば、第一IdP署名σIdP及び第二IdP署名σ1は2XXの応答コードのメッセージの一部としてクライアント端末1に送信される。
For example, the
<ステップT4>
クライアント端末1は、IdPサーバ5から、第一IdP署名σIdP及び第二IdP署名σ1を受信する。
<Step T4>
The
クライアント端末1は、IdPサーバ5の公開鍵を用いて第二IdP署名σ1の検証を行い、その検証に成功した場合には、第一IdP署名σIdPをSPサーバ3に送信する(ステップT4)。
The
IdPサーバ5の公開鍵IdPpとし、第二IdP署名をσ1とし、検証の関数をverifyとすると、クライアント端末1による検証は、verifyIdPp(σ1)=?0 or 1と表記することができる。verifyIdPp(σ1)=1は検証に成功したことを意味し、verifyIdPp(σ1)=0は検証に成功しなかったことを意味する。
When the public key IdPp of the
例えば、クライアント端末1は、SIPプロトコルにおけるRESISTERメソッドのメッセージと共に第一IdP署名σIdPをSPサーバ3に送信する。例えば、第一IdP署名σIdPはRESISTERメソッドのメッセージの一部としてSPサーバ3に送信される。このメッセージには、クライアント端末1のCALL-IDが含まれていてもよい。
For example, the
<ステップT5>
SPサーバ3は、第一IdP署名σIdPをクライアント端末1から受信する。
<Step T5>
The SP server 3 receives the first IdP signature σ IdP from the
SPサーバ3は、、IdPサーバ5の公開鍵を用いて第一IdP署名σIdPの検証を行い、その検証に成功した場合には、SIPプロトコルにおけるクライアント端末1の登録を行う(ステップT5)。
The SP server 3 verifies the first IdP signature σ IdP using the public key of the
IdPサーバ5の公開鍵IdPpとし、第一IdP署名をσIdPとし、検証の関数をverifyとすると、クライアント端末1による検証は、verifyIdPp(σIdP)=?0 or 1と表記することができる。verifyIdPp(σIdP)=1は検証に成功したことを意味し、verifyIdPp(σIdP)=0は検証に成功しなかったことを意味する。
When the public key IdPp of the
SPサーバ3は、クライアント端末1を登録する旨の要求をSIPサーバ4に送信し、その要求を受信したSIPサーバ4がクライアント端末1を登録することにより、クライアント端末1の登録は例えば行われる。クライアント端末1を登録する旨の要求とは、例えば、SIPプロトコルにおけるRESISTERメソッドのメッセージである。このメッセージには、クライアント端末1のCALL-IDが含まれていてもよい。
The SP server 3 transmits a request to register the
なお、SPサーバ3は、上記検証に成功した後に、ステップT4において第一IdP署名σIdPを送信したクライアント端末1がステップT1において要求を行ったクライアント端末1と同一であるかを確認し、その確認ができた場合に、SIPプロトコルにおけるクライアント端末1の登録を行ってもよい。言い換えれば、SPサーバ3は、上記検証に成功し、かつ、上記の確認ができた場合に、SIPプロトコルにおけるクライアント端末1の登録を行ってもよい。
The SP server 3 confirms whether or not the
ステップT4において第一IdP署名σIdPを送信したクライアント端末1がステップT1において要求を行ったクライアント端末1と同一であるかの確認は、ステップT1においてSPサーバが受信したRRGISTERメソッドのメッセージにCALL-IDが含まれている場合であって、ステップT4において第一IdP署名σIdPと共にCALL-IDをSPサーバが受信している場合には、それらが同一であるかを確認することにより行うことができる。
In step T4, whether the
最後に、SPサーバ3は、クライアント端末1の登録の有無の結果の通知をクライアント端末1に送信する。例えば、サーバ2は、SIPプロトコルにおける2XX又は4XXの応答コードのメッセージを送信することで、登録の結果についての情報を送信する。2XXはリクエストが成功したこと(ここでは、登録が成功したこと)を表す応答コードであり、4XXはリクエストが誤りであるかリクエストを処理をすることができないこと(ここでは、登録が成功しなかったこと)を表す応答コードである。
Finally, the SP server 3 transmits a notification of the result of the presence / absence of registration of the
SPサーバ3がSIPProxyサーバとして機能する場合には、その後、SPサーバ3が、検証に成功したクライアント端末1、言い換えれば登録されたクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージのみを受け付け、検証に成功していないクライアント端末1、言い換えれば登録されていないクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージの受け付けを拒否してもよい。
When the SP server 3 functions as a SIPProxy server, the SP server 3 thereafter accepts only the INVITE method message in the SIP protocol from the
このように、SIPプロトコルの登録の際にパスワードリストを用いずに認証を行うことにより、パスワードリストが用いられないため、パスワードリストが流出するリスクがなくなる。 In this way, by performing authentication without using the password list when registering the SIP protocol, the password list is not used, and thus there is no risk of the password list being leaked.
[プログラム及び記録媒体]
クライアント端末1、サーバ2、SPサーバ3、SIPサーバ4、IdPサーバ5のそれぞれの各処理をコンピュータによって実現する場合、その各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各処理がコンピュータ上で実現される。
[Program and recording medium]
When each process of the
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。 The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
また、各処理手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 Each processing means may be configured by executing a predetermined program on a computer, or at least a part of these processing contents may be realized by hardware.
その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。 Needless to say, other modifications are possible without departing from the spirit of the present invention.
1 クライアント端末
2 サーバ
3 SPサーバ
4 SIPサーバ
5 IdPサーバ
1 Client terminal 2 Server 3
Claims (2)
上記クライアント端末が、上記IdPサーバについての情報により特定されるIdPサーバに、上記SP署名と、上記SPチャレンジと、クライアントチャレンジと、を送信するステップと、
上記IdPサーバが、上記SPサーバの公開鍵を用いて上記SP署名の検証を行い、その検証に成功した場合には、上記クライアント端末のIDが存在するかどうかを確認し、その確認ができた場合には、上記IdPサーバの秘密鍵を用いて上記SPチャレンジに対して署名を行い第一IdP署名を生成し、上記IdPサーバの秘密鍵を用いて上記クライアントチャレンジに対して署名を行い第二IdP署名を生成し、上記第一IdP署名及び上記第二IdP署名を上記クライアント端末に送信するステップと、
上記クライアント端末が、上記IdPサーバの公開鍵を用いて上記第二IdP署名の検証を行い、その検証に成功した場合には、上記第一IdP署名を上記SPサーバに送信するステップと、
上記SPサーバが、上記IdPサーバの公開鍵を用いて上記第一IdP署名の検証を行い、その検証に成功した場合には、上記SIPプロトコルにおける上記クライアント端末の登録を行うステップと、
を含む認証方法。 When the SP server registers a client terminal in the SIP protocol, the SP server signs the SP challenge, which is the challenge of the SP server, using the private key of the SP server in response to a request from the client terminal. Generating the SP signature, the SP challenge, and information about the IdP server to the client terminal;
The client terminal transmitting the SP signature, the SP challenge, and the client challenge to an IdP server specified by information about the IdP server;
The IdP server verifies the SP signature using the public key of the SP server. If the verification is successful, the client terminal ID is confirmed and confirmed. In this case, the SP challenge is signed using the IdP server private key to generate a first IdP signature, and the client challenge is signed using the IdP server private key. Generating an IdP signature and transmitting the first IdP signature and the second IdP signature to the client terminal;
The client terminal performs verification of the second IdP signature using the public key of the IdP server, and if the verification is successful, transmits the first IdP signature to the SP server;
The SP server performs verification of the first IdP signature using the public key of the IdP server, and if the verification is successful, registering the client terminal in the SIP protocol;
An authentication method that includes:
上記IdPサーバについての情報により特定されるIdPサーバに、上記SP署名と、上記SPチャレンジと、クライアントチャレンジと、を送信する上記クライアント端末と、
上記SPサーバの公開鍵を用いて上記SP署名の検証を行い、その検証に成功した場合には、上記クライアント端末のIDが存在するかどうかを確認し、その確認ができた場合には、上記IdPサーバの秘密鍵を用いて上記SPチャレンジに対して署名を行い第一IdP署名を生成し、上記IdPサーバの秘密鍵を用いて上記クライアントチャレンジに対して署名を行い第二IdP署名を生成し、上記第一IdP署名及び上記第二IdP署名を上記クライアント端末に送信する上記IdPサーバと、を含み、
上記クライアント端末は、上記IdPサーバの公開鍵を用いて上記第二IdP署名の検証を行い、その検証に成功した場合には、上記第一IdP署名を上記SPサーバに送信し、
上記SPサーバは、上記IdPサーバの公開鍵を用いて上記第一IdP署名の検証を行い、その検証に成功した場合には、上記SIPプロトコルにおける上記クライアント端末の登録を行う、
認証システム。 When registering a client terminal in the SIP protocol, in response to a request from the client terminal, the SP server secret key is used to sign the SP challenge, which is the SP server challenge, and an SP signature is generated. The SP server that sends the SP signature, the SP challenge, and information about the IdP server to the client terminal;
The client terminal that transmits the SP signature, the SP challenge, and the client challenge to the IdP server specified by the information about the IdP server;
The SP signature is verified using the public key of the SP server, and if the verification is successful, it is confirmed whether the ID of the client terminal exists. Use the IdP server private key to sign the SP challenge and generate a first IdP signature, use the IdP server private key to sign the client challenge and generate a second IdP signature The IdP server that transmits the first IdP signature and the second IdP signature to the client terminal, and
The client terminal performs verification of the second IdP signature using the public key of the IdP server, and when the verification is successful, transmits the first IdP signature to the SP server,
The SP server verifies the first IdP signature using the public key of the IdP server, and if the verification is successful, registers the client terminal in the SIP protocol.
Authentication system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015092711A JP6386967B2 (en) | 2015-04-30 | 2015-04-30 | Authentication method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015092711A JP6386967B2 (en) | 2015-04-30 | 2015-04-30 | Authentication method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016213543A JP2016213543A (en) | 2016-12-15 |
| JP6386967B2 true JP6386967B2 (en) | 2018-09-05 |
Family
ID=57552135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015092711A Active JP6386967B2 (en) | 2015-04-30 | 2015-04-30 | Authentication method and system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6386967B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6456451B1 (en) | 2017-09-25 | 2019-01-23 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002140534A (en) * | 2000-11-01 | 2002-05-17 | Sony Corp | System and method for contents distribution with log management constitution |
| JP4255046B2 (en) * | 2001-04-27 | 2009-04-15 | 日本電信電話株式会社 | Cryptographic communication path establishment method, program and program medium, and cryptographic communication system |
| JP2003085145A (en) * | 2001-09-13 | 2003-03-20 | Sony Corp | User authenticating system and user authenticating method |
| DE60314871T2 (en) * | 2002-05-24 | 2008-03-13 | Telefonaktiebolaget Lm Ericsson (Publ) | METHOD FOR AUTHENTICATING A USER IN ACCESS TO A SERVICE PROVIDER'S SERVICE |
| JP4299621B2 (en) * | 2003-09-24 | 2009-07-22 | 日本電信電話株式会社 | Service providing method, service providing program, host device, and service providing device |
| JP4870427B2 (en) * | 2005-12-28 | 2012-02-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Digital certificate exchange method, terminal device, and program |
| JP2008033652A (en) * | 2006-07-28 | 2008-02-14 | Nec Infrontia Corp | Client-server distributed system, client device, server device and mutual authentication method used therefor |
| JP5393594B2 (en) * | 2010-05-31 | 2014-01-22 | 株式会社日立製作所 | Efficient mutual authentication method, program, and apparatus |
-
2015
- 2015-04-30 JP JP2015092711A patent/JP6386967B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016213543A (en) | 2016-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9712515B2 (en) | Verifying an identity of a message sender | |
| US10805085B1 (en) | PKI-based user authentication for web services using blockchain | |
| US11336641B2 (en) | Security enhanced technique of authentication protocol based on trusted execution environment | |
| CN109309685B (en) | Information transmission method and device | |
| US20150215299A1 (en) | Proximity-based authentication | |
| CN104125565A (en) | Method for realizing terminal authentication based on OMA DM, terminal and server | |
| US11483155B2 (en) | Access control using proof-of-possession token | |
| CN105187450A (en) | Authentication method and device based on authentication equipment | |
| CN103986720A (en) | Log-in method and device | |
| CN109962878B (en) | Registration method and device of IMS (IP multimedia subsystem) user | |
| KR102137122B1 (en) | Security check method, device, terminal and server | |
| EP3337124B1 (en) | Authenticating a system based on a certificate | |
| CN105099707A (en) | Offline authentication method, server and system | |
| CN112398798B (en) | Network telephone processing method, device and terminal | |
| WO2009109093A1 (en) | Method, device and system for certifying response message | |
| CN102802150A (en) | Phone number validation method and system as well as terminal | |
| CN105095729B (en) | A kind of Quick Response Code login method, server and system | |
| US11575667B1 (en) | System and method for secure communications | |
| CN104753872A (en) | Authentication method, authentication platform, service platform, network elements and system | |
| CN111698204A (en) | Bidirectional identity authentication method and device | |
| US9713112B1 (en) | Communications methods, apparatus and systems for correlating registrations, service requests and calls | |
| JP6386967B2 (en) | Authentication method and system | |
| CN104468634A (en) | Call establishment method, terminals and security AS | |
| CN105577606A (en) | Method and device for realizing register of authenticator | |
| KR20180056715A (en) | Method and apparatus for verifying the identity of an entity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170829 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180529 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180725 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180810 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6386967 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |