JP6386967B2 - 認証方法及びシステム - Google Patents
認証方法及びシステム Download PDFInfo
- Publication number
- JP6386967B2 JP6386967B2 JP2015092711A JP2015092711A JP6386967B2 JP 6386967 B2 JP6386967 B2 JP 6386967B2 JP 2015092711 A JP2015092711 A JP 2015092711A JP 2015092711 A JP2015092711 A JP 2015092711A JP 6386967 B2 JP6386967 B2 JP 6386967B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- idp
- signature
- client terminal
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
この発明は、クライアント端末、サーバ等の情報処理機器間でセッションを確立するためのプロトコル、特にSIPプロトコルにおける認証に関するものである。
RFC3261に規定されているSIPプロトコルでは、HTTPダイジェスト認証によりクライアント端末が登録されている(例えば、非特許文献1参照。)。HTTPダイジェスト認証は、RFC2617に規定されている(例えば、非特許文献2参照。)。
RFC3261
RFC2617
HTTPダイジェスト認証を行うためには、パスワードリストをサーバに事前に記憶しておく必要があるが、このパスワードリストが流出するリスクがあった。
この発明の目的は、パスワードリストが流出するリスクのない、SIPプロトコルにおける認証方法及びシステムを提供することである。
この発明の一態様による認証方法は、SPサーバが、SIPプロトコルにおけるクライアント端末の登録のときに、クライアント端末からの要求に応じて、上記SPサーバの秘密鍵を用いて上記SPサーバのチャレンジであるSPチャレンジに対して署名を行いSP署名を生成し、上記SP署名と、上記SPチャレンジと、IdPサーバについての情報とを上記クライアント端末に送信するステップと、上記クライアント端末が、上記IdPサーバについての情報により特定されるIdPサーバに、上記SP署名と、上記SPチャレンジと、クライアントチャレンジと、を送信するステップと、上記IdPサーバが、上記SPサーバの公開鍵を用いて上記SP署名の検証を行い、その検証に成功した場合には、上記クライアント端末のIDが存在するかどうかを確認し、その確認ができた場合には、上記IdPサーバの秘密鍵を用いて上記SPチャレンジに対して署名を行い第一IdP署名を生成し、上記IdPサーバの秘密鍵を用いて上記クライアントチャレンジに対して署名を行い第二IdP署名を生成し、上記第一IdP署名及び上記第二IdP署名を上記クライアント端末に送信するステップと、上記クライアント端末が、上記IdPサーバの公開鍵を用いて上記第二IdP署名の検証を行い、その検証に成功した場合には、上記第一IdP署名を上記SPサーバに送信するステップと、上記SPサーバが、上記IdPサーバの公開鍵を用いて上記第一IdP署名の検証を行い、その検証に成功した場合には、上記SIPプロトコルにおける上記クライアント端末の登録を行うステップと、を備えている。
パスワードリストが用いられないため、パスワードリストが流出するリスクがなくなる。
[第一実施形態]
第一実施形態の認証システムは、クライアント端末1及びサーバ2を例えば備えている。クライアント端末1は、携帯電話、スマートフォン、タブレット端末、PC等の情報処理機器である。サーバ2は、SIP(Session Initiation Protocol)サーバである。
第一実施形態の認証システムは、クライアント端末1及びサーバ2を例えば備えている。クライアント端末1は、携帯電話、スマートフォン、タブレット端末、PC等の情報処理機器である。サーバ2は、SIP(Session Initiation Protocol)サーバである。
認証システムが、図2や以下に例示する各処理を行うことにより認証方法が実現される。
<ステップS1>
まず、クライアント端末1は、SIPプロトコルにおけるクライアント端末1の登録のときに、クライアントチャレンジC1をサーバ2に送信する(ステップS1)。
まず、クライアント端末1は、SIPプロトコルにおけるクライアント端末1の登録のときに、クライアントチャレンジC1をサーバ2に送信する(ステップS1)。
クライアントチャレンジC1は、任意の文字列であってもよいし、任意の数列であってもよい。クライアント端末1は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をクライアントチャレンジC1とする。
例えば、クライアント端末1は、SIPプロトコルにおけるREGISTERメソッドのメッセージと共にクライアントチャレンジC1をサーバ2に送信する。例えば、クライアントチャレンジC1はREGISTERメソッドのメッセージの一部としてサーバ2に送信される。このメッセージには、クライアント端末1を識別する情報であるCALL-IDが含まれていてもよい。
<ステップS2>
サーバ2は、クライアント端末1からクライアントチャレンジC1を受信する。
サーバ2は、クライアント端末1からクライアントチャレンジC1を受信する。
サーバ2は、サーバ2の秘密鍵を用いてクライアントチャレンジC1に対して署名を行いサーバ署名σ1を生成し、サーバチャレンジC2及びサーバ署名σ1をクライアント端末1に送信する(ステップS2)。
署名の方法は、RSA署名、ElGamal署名、DSA署名、Schnorr署名、Cramer-Shoup署名、楕円ElGamal署名、楕円曲線DSA署名、楕円Schnorr署名等の既存の署名の方法を用いればよい。既存の署名の方法を用いればよいのは、この発明の他の署名についても同様である。
サーバ2の秘密鍵をSsとし、署名の関数をsignとすると、サーバ署名σ1は、σ1=signSs(C1)と表記することができる。
サーバチャレンジC2は、任意の文字列であってもよいし、任意の数列であってもよい。サーバ2は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をサーバトチャレンジC2とする。
例えば、サーバ2は、SIPプロトコルにおける2XX又は4XXの応答コードのメッセージと共にサーバチャレンジC2及びサーバ署名σ1をクライアント端末1に送信する。例えば、サーバチャレンジC2及びサーバ署名σ1は、2XX又は4XXの応答コードのメッセージの一部としてクライアント端末1に送信される。2XX及び4XXのXは、任意の整数である。
<ステップS3>
クライアント端末1は、サーバ2からサーバチャレンジC2及びサーバ署名σ1を受信する。
クライアント端末1は、サーバ2からサーバチャレンジC2及びサーバ署名σ1を受信する。
クライアント端末1は、サーバ2の公開鍵を用いてサーバ署名σ1の検証を行い、その検証に成功した場合には、クライアント端末1の秘密鍵を用いてサーバチャレンジC2に対して署名を行いクライアント端末署名σ2を生成し、クライアント端末署名σ2をサーバ2に送信する(ステップS3)。
検証の方法は、RSA署名、ElGamal署名、DSA署名、Schnorr署名、Cramer-Shoup署名、楕円ElGamal署名、楕円曲線DSA署名、楕円Schnorr署名等の既存の署名の方法における検証方法を用いればよい。既存の署名の方法における検証方法を用いればよいのは、この発明の他の検証についても同様である。
サーバ2の公開鍵をSpとし、サーバ署名をσ1とし、検証の関数をverifyとすると、クライアント端末1による検証は、verifySp(σ1)=?0 or 1と表記することができる。verifySp(σ1)=1は検証に成功したことを意味し、verifySp(σ1)=0は検証に成功しなかったことを意味する。
クライアント端末1の秘密鍵をCsとし、署名の関数をsignとすると、クライアント端末署名σ2は、σ2=signCs(C2)と表記することができる。
例えば、クライアント端末1は、SIPプロトコルにおけるREGISTERメソッドのメッセージと共にクライアント端末署名σ2をサーバ2に送信する。例えば、クライアント端末署名σ2は、REGISTERメソッドのメッセージの一部としてサーバ2に送信される。このメッセージには、クライアント端末1を識別する情報であるCALL-IDをサーバ2が含まれていてもよい。
<ステップS4>
サーバ2は、クライアント端末署名σ2をクライアント端末1から受信する。
サーバ2は、クライアント端末署名σ2をクライアント端末1から受信する。
サーバ2が、クライアント端末1の公開鍵を用いてクライアント端末署名の検証を行い、その検証に成功した場合には、SIPプロトコルにおけるクライアント端末1の登録を行う(ステップS4)。
クライアント端末1の公開鍵をCpとし、クライアント端末署名をσ2とし、検証の関数をverifyとすると、サーバ2による検証は、verifyCp(σ2)=?0 or 1と表記することができる。verifyCp(σ2)=1は検証に成功したことを意味し、verifyCp(σ2)=0は検証に成功しなかったことを意味する。
その際、サーバ2は、クライアント端末署名の検証の合格の後に、クライアント端末1のIDが存在するかどうかを確認し、その確認ができた場合に、クライアント端末1の登録を行ってもよい。
クライアント端末1のIDの存在の確認は、サーバ2がIDのデータベースを有している場合には、そのデータベースを参照することにより行う。そのデータベースの中にクライアント端末1のIDが存在していれば、その存在が確認できたと判断することができ、そのデータベースの中にクライアント端末1のIDが存在していなければ、その存在は確認できないと判断することができる。
IDのデータベースが図示していないLDAPサーバに記憶されている場合には、サーバ2はLDAPサーバに問い合わせることにより、IDの存在を確認してもよい。例えば、IDとして、クライアント端末1のCALL-IDに対応するメールアドレスが用いられている場合には、サーバ2は、そのメールアドレスの存在の有無をLDAPサーバに問い合わせる。LDAPサーバは、そのメールアドレスが存在の有無についての情報をサーバ2に送信する。サーバ2は、そのメールアドレスが存在する旨の情報を得た場合には、クライアント端末1のIDの存在が確認できたと判断することができ、そのメールアドレスが存在しない旨の情報を得た場合には、クライアント端末1のIDが存在は確認できないと判断することができる。
なお、サーバ2は、クライアント端末1のCALL-IDに対応するメールアドレスのみならず、クライアント端末1の公開鍵が存在しているかどうかをLDAPサーバに問い合わせ、クライアント端末1のCALL-IDに対応するメールアドレスのみならず、クライアント端末1の公開鍵が存在している場合に、クライアント端末1のIDが存在していると判断してもよい。
サーバ2は、クライアント端末1に登録の結果についての情報を送信する。例えば、サーバ2は、SIPプロトコルにおける2XX又は4XXの応答コードのメッセージを送信することで、登録の結果についての情報を送信する。2XXはリクエストが成功したこと(ここでは、登録が成功したこと)を表す応答コードであり、4XXはリクエストが誤りであるかリクエストを処理することができないこと(ここでは、登録が成功しなかったこと)を表す応答コードである。
サーバ2がSIPProxyサーバとして機能する場合には、その後、サーバ2が、検証に成功したクライアント端末1、言い換えれば登録されたクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージのみを受け付け、検証に成功していないクライアント端末1、言い換えれば登録されていないクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージの受け付けを拒否してもよい。
このように、SIPプロトコルの登録の際にパスワードリストを用いずに認証を行うことにより、パスワードリストが用いられないため、パスワードリストが流出するリスクがなくなる。
[第二実施形態]
第二実施形態の認証システムは、図3に示すように、クライアント端末1、SPサーバ3、SIPサーバ4及びIdPサーバ5を例えば備えている。クライアント端末1は、携帯電話、スマートフォン、タブレット端末、PC等の情報処理機器である。SPサーバ3は、クライアント端末1に対して所定のサービスを提供するサービスプロバイダ(Service Provider)サーバである。SIPサーバ4は、SIP(Session Initiation Protocol)サーバである。IdPサーバ5は、アイデンティティプロバイダ(IDentity Provider)サーバである。
第二実施形態の認証システムは、図3に示すように、クライアント端末1、SPサーバ3、SIPサーバ4及びIdPサーバ5を例えば備えている。クライアント端末1は、携帯電話、スマートフォン、タブレット端末、PC等の情報処理機器である。SPサーバ3は、クライアント端末1に対して所定のサービスを提供するサービスプロバイダ(Service Provider)サーバである。SIPサーバ4は、SIP(Session Initiation Protocol)サーバである。IdPサーバ5は、アイデンティティプロバイダ(IDentity Provider)サーバである。
認証システムが、図4や以下に例示する各処理を行うことにより認証方法が実現される。
<ステップT1>
SPサーバ3は、SIPプロトコルにおけるクライアント端末1の登録のときに、クライアント端末1からの要求に応じて、SPサーバ3の秘密鍵を用いてSPサーバ3のチャレンジであるSPチャレンジCSPに対して署名を行いSP署名σSPを生成し、SP署名σSPと、SPチャレンジCSPと、IdPサーバ5についての情報とをクライアント端末1に送信する(ステップT1)。
SPサーバ3は、SIPプロトコルにおけるクライアント端末1の登録のときに、クライアント端末1からの要求に応じて、SPサーバ3の秘密鍵を用いてSPサーバ3のチャレンジであるSPチャレンジCSPに対して署名を行いSP署名σSPを生成し、SP署名σSPと、SPチャレンジCSPと、IdPサーバ5についての情報とをクライアント端末1に送信する(ステップT1)。
クライアント端末1からの要求とは、例えば、クライアント端末1からSPサーバ3へのSIPプロトコルにおけるREGISTERメソッドのメッセージの送信のことである。このメッセージには、クライアント端末1を識別する情報であるCALL-IDが含まれていてもよい。
SPチャレンジCSPは、任意の文字列であってもよいし、任意の数列であってもよい。SPサーバ3は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をSPチャレンジCSPとする。
SPサーバ3の秘密鍵をSPsとし、署名の関数をsignとすると、SPサーバ署名σSPは、σSP=signSs(CSP)と表記することができる。
<ステップT2>
クライアント端末1は、SP署名σSPと、SPチャレンジCSPと、IdPサーバ5についての情報とをSPサーバ3から受信する。
クライアント端末1は、SP署名σSPと、SPチャレンジCSPと、IdPサーバ5についての情報とをSPサーバ3から受信する。
クライアント端末1は、IdPサーバ5についての情報により特定されるIdPサーバ5に、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とを送信する(ステップT2)。
クライアントチャレンジC1は、任意の文字列であってもよいし、任意の数列であってもよい。クライアント端末1は、例えば所定のアルゴリズムに基づいて乱数を生成して、生成された乱数をクライアントチャレンジC1とする。
例えば、クライアント端末1は、SIPプロトコルにおけるRESISTERメソッドのメッセージと共にSP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とをIdPサーバ5に送信する。例えば、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とはRESISTERメソッドのメッセージの一部としてIdPサーバ5に送信される。このメッセージには、クライアント端末1のCALL-IDが含まれていてもよい。
<ステップT3>
IdPサーバ5は、クライアント端末1から、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とを受信する。
IdPサーバ5は、クライアント端末1から、SP署名σSPと、SPチャレンジCSPと、クライアントチャレンジC1とを受信する。
IdPサーバ5は、SPサーバ3の公開鍵を用いてSP署名σSPの検証を行い、その検証に成功した場合には、クライアント端末1のIDが存在するかどうかを確認し、その確認ができた場合には、IdPサーバの秘密鍵を用いてSPチャレンジCSPに対して署名を行い第一IdP署名σIdPを生成し、IdPサーバの秘密鍵を用いてクライアントチャレンジC1に対して署名を行い第二IdP署名σ1を生成し、第一IdP署名σIdP及び第二IdP署名σ1をクライアント端末1に送信する(ステップT3)。
SPサーバ3の公開鍵をSPpとし、SPサーバ署名をσSPとし、検証の関数をverifyとすると、IdPサーバ5による検証は、verifySPp(σSP)=?0 or 1と表記することができる。verifySPp(σSP)=1は検証に成功したことを意味し、verifySPp(σSP)=0は検証に成功しなかったことを意味する。
IdPサーバ5の秘密鍵をIdPsとし、署名の関数をsignとすると、第一IdP署名σIdPは、σIdP=signSs(CSP)と表記することができる。
IdPサーバ5の秘密鍵をIdPsとし、署名の関数をsignとすると、第二IdP署名σ1は、σ1=signSs(C1)と表記することができる。
IdPサーバ5によるクライアント端末1の存在の確認の方法は、第一実施形態のサーバ2によるクライアント端末1の存在の確認方法と同様であるため、ここでは説明を省略する。
例えば、IdPサーバ5は、SIPプロトコルにおける2XXの応答コードのメッセージと共に第一IdP署名σIdP及び第二IdP署名σ1をクライアント端末1に送信する。例えば、第一IdP署名σIdP及び第二IdP署名σ1は2XXの応答コードのメッセージの一部としてクライアント端末1に送信される。
<ステップT4>
クライアント端末1は、IdPサーバ5から、第一IdP署名σIdP及び第二IdP署名σ1を受信する。
クライアント端末1は、IdPサーバ5から、第一IdP署名σIdP及び第二IdP署名σ1を受信する。
クライアント端末1は、IdPサーバ5の公開鍵を用いて第二IdP署名σ1の検証を行い、その検証に成功した場合には、第一IdP署名σIdPをSPサーバ3に送信する(ステップT4)。
IdPサーバ5の公開鍵IdPpとし、第二IdP署名をσ1とし、検証の関数をverifyとすると、クライアント端末1による検証は、verifyIdPp(σ1)=?0 or 1と表記することができる。verifyIdPp(σ1)=1は検証に成功したことを意味し、verifyIdPp(σ1)=0は検証に成功しなかったことを意味する。
例えば、クライアント端末1は、SIPプロトコルにおけるRESISTERメソッドのメッセージと共に第一IdP署名σIdPをSPサーバ3に送信する。例えば、第一IdP署名σIdPはRESISTERメソッドのメッセージの一部としてSPサーバ3に送信される。このメッセージには、クライアント端末1のCALL-IDが含まれていてもよい。
<ステップT5>
SPサーバ3は、第一IdP署名σIdPをクライアント端末1から受信する。
SPサーバ3は、第一IdP署名σIdPをクライアント端末1から受信する。
SPサーバ3は、、IdPサーバ5の公開鍵を用いて第一IdP署名σIdPの検証を行い、その検証に成功した場合には、SIPプロトコルにおけるクライアント端末1の登録を行う(ステップT5)。
IdPサーバ5の公開鍵IdPpとし、第一IdP署名をσIdPとし、検証の関数をverifyとすると、クライアント端末1による検証は、verifyIdPp(σIdP)=?0 or 1と表記することができる。verifyIdPp(σIdP)=1は検証に成功したことを意味し、verifyIdPp(σIdP)=0は検証に成功しなかったことを意味する。
SPサーバ3は、クライアント端末1を登録する旨の要求をSIPサーバ4に送信し、その要求を受信したSIPサーバ4がクライアント端末1を登録することにより、クライアント端末1の登録は例えば行われる。クライアント端末1を登録する旨の要求とは、例えば、SIPプロトコルにおけるRESISTERメソッドのメッセージである。このメッセージには、クライアント端末1のCALL-IDが含まれていてもよい。
なお、SPサーバ3は、上記検証に成功した後に、ステップT4において第一IdP署名σIdPを送信したクライアント端末1がステップT1において要求を行ったクライアント端末1と同一であるかを確認し、その確認ができた場合に、SIPプロトコルにおけるクライアント端末1の登録を行ってもよい。言い換えれば、SPサーバ3は、上記検証に成功し、かつ、上記の確認ができた場合に、SIPプロトコルにおけるクライアント端末1の登録を行ってもよい。
ステップT4において第一IdP署名σIdPを送信したクライアント端末1がステップT1において要求を行ったクライアント端末1と同一であるかの確認は、ステップT1においてSPサーバが受信したRRGISTERメソッドのメッセージにCALL-IDが含まれている場合であって、ステップT4において第一IdP署名σIdPと共にCALL-IDをSPサーバが受信している場合には、それらが同一であるかを確認することにより行うことができる。
最後に、SPサーバ3は、クライアント端末1の登録の有無の結果の通知をクライアント端末1に送信する。例えば、サーバ2は、SIPプロトコルにおける2XX又は4XXの応答コードのメッセージを送信することで、登録の結果についての情報を送信する。2XXはリクエストが成功したこと(ここでは、登録が成功したこと)を表す応答コードであり、4XXはリクエストが誤りであるかリクエストを処理をすることができないこと(ここでは、登録が成功しなかったこと)を表す応答コードである。
SPサーバ3がSIPProxyサーバとして機能する場合には、その後、SPサーバ3が、検証に成功したクライアント端末1、言い換えれば登録されたクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージのみを受け付け、検証に成功していないクライアント端末1、言い換えれば登録されていないクライアント端末1からの、SIPプロトコルにおけるINVITEメソッドのメッセージの受け付けを拒否してもよい。
このように、SIPプロトコルの登録の際にパスワードリストを用いずに認証を行うことにより、パスワードリストが用いられないため、パスワードリストが流出するリスクがなくなる。
[プログラム及び記録媒体]
クライアント端末1、サーバ2、SPサーバ3、SIPサーバ4、IdPサーバ5のそれぞれの各処理をコンピュータによって実現する場合、その各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各処理がコンピュータ上で実現される。
クライアント端末1、サーバ2、SPサーバ3、SIPサーバ4、IdPサーバ5のそれぞれの各処理をコンピュータによって実現する場合、その各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各処理がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、各処理手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
1 クライアント端末
2 サーバ
3 SPサーバ
4 SIPサーバ
5 IdPサーバ
2 サーバ
3 SPサーバ
4 SIPサーバ
5 IdPサーバ
Claims (2)
- SPサーバが、SIPプロトコルにおけるクライアント端末の登録のときに、クライアント端末からの要求に応じて、上記SPサーバの秘密鍵を用いて上記SPサーバのチャレンジであるSPチャレンジに対して署名を行いSP署名を生成し、上記SP署名と、上記SPチャレンジと、IdPサーバについての情報とを上記クライアント端末に送信するステップと、
上記クライアント端末が、上記IdPサーバについての情報により特定されるIdPサーバに、上記SP署名と、上記SPチャレンジと、クライアントチャレンジと、を送信するステップと、
上記IdPサーバが、上記SPサーバの公開鍵を用いて上記SP署名の検証を行い、その検証に成功した場合には、上記クライアント端末のIDが存在するかどうかを確認し、その確認ができた場合には、上記IdPサーバの秘密鍵を用いて上記SPチャレンジに対して署名を行い第一IdP署名を生成し、上記IdPサーバの秘密鍵を用いて上記クライアントチャレンジに対して署名を行い第二IdP署名を生成し、上記第一IdP署名及び上記第二IdP署名を上記クライアント端末に送信するステップと、
上記クライアント端末が、上記IdPサーバの公開鍵を用いて上記第二IdP署名の検証を行い、その検証に成功した場合には、上記第一IdP署名を上記SPサーバに送信するステップと、
上記SPサーバが、上記IdPサーバの公開鍵を用いて上記第一IdP署名の検証を行い、その検証に成功した場合には、上記SIPプロトコルにおける上記クライアント端末の登録を行うステップと、
を含む認証方法。 - SIPプロトコルにおけるクライアント端末の登録のときに、クライアント端末からの要求に応じて、SPサーバの秘密鍵を用いて上記SPサーバのチャレンジであるSPチャレンジに対して署名を行いSP署名を生成し、上記SP署名と、上記SPチャレンジと、IdPサーバについての情報とを上記クライアント端末に送信する上記SPサーバと、
上記IdPサーバについての情報により特定されるIdPサーバに、上記SP署名と、上記SPチャレンジと、クライアントチャレンジと、を送信する上記クライアント端末と、
上記SPサーバの公開鍵を用いて上記SP署名の検証を行い、その検証に成功した場合には、上記クライアント端末のIDが存在するかどうかを確認し、その確認ができた場合には、上記IdPサーバの秘密鍵を用いて上記SPチャレンジに対して署名を行い第一IdP署名を生成し、上記IdPサーバの秘密鍵を用いて上記クライアントチャレンジに対して署名を行い第二IdP署名を生成し、上記第一IdP署名及び上記第二IdP署名を上記クライアント端末に送信する上記IdPサーバと、を含み、
上記クライアント端末は、上記IdPサーバの公開鍵を用いて上記第二IdP署名の検証を行い、その検証に成功した場合には、上記第一IdP署名を上記SPサーバに送信し、
上記SPサーバは、上記IdPサーバの公開鍵を用いて上記第一IdP署名の検証を行い、その検証に成功した場合には、上記SIPプロトコルにおける上記クライアント端末の登録を行う、
認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015092711A JP6386967B2 (ja) | 2015-04-30 | 2015-04-30 | 認証方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015092711A JP6386967B2 (ja) | 2015-04-30 | 2015-04-30 | 認証方法及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016213543A JP2016213543A (ja) | 2016-12-15 |
| JP6386967B2 true JP6386967B2 (ja) | 2018-09-05 |
Family
ID=57552135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015092711A Active JP6386967B2 (ja) | 2015-04-30 | 2015-04-30 | 認証方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6386967B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6456451B1 (ja) | 2017-09-25 | 2019-01-23 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信装置、通信方法、及びプログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002140534A (ja) * | 2000-11-01 | 2002-05-17 | Sony Corp | ログ管理構成を持つコンテンツ配信システムおよびコンテンツ配信方法 |
| JP4255046B2 (ja) * | 2001-04-27 | 2009-04-15 | 日本電信電話株式会社 | 暗号通信路の確立方法、プログラム及びプログラム媒体、並びに、暗号通信システム |
| JP2003085145A (ja) * | 2001-09-13 | 2003-03-20 | Sony Corp | ユーザ認証システム及びユーザ認証方法 |
| US20060053296A1 (en) * | 2002-05-24 | 2006-03-09 | Axel Busboom | Method for authenticating a user to a service of a service provider |
| JP4299621B2 (ja) * | 2003-09-24 | 2009-07-22 | 日本電信電話株式会社 | サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置 |
| JP4870427B2 (ja) * | 2005-12-28 | 2012-02-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | デジタル証明書交換方法、端末装置、及びプログラム |
| JP2008033652A (ja) * | 2006-07-28 | 2008-02-14 | Nec Infrontia Corp | クライアント・サーバ型分散システム、クライアント装置、サーバ装置及びそれらに用いる相互認証方法 |
| JP5393594B2 (ja) * | 2010-05-31 | 2014-01-22 | 株式会社日立製作所 | 効率的相互認証方法,プログラム,及び装置 |
-
2015
- 2015-04-30 JP JP2015092711A patent/JP6386967B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016213543A (ja) | 2016-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9712515B2 (en) | Verifying an identity of a message sender | |
| US10805085B1 (en) | PKI-based user authentication for web services using blockchain | |
| CN109309685B (zh) | 信息传输方法和装置 | |
| US20150215299A1 (en) | Proximity-based authentication | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN105187450A (zh) | 一种基于认证设备进行认证的方法和设备 | |
| CN103986720A (zh) | 一种登录方法及装置 | |
| US11483155B2 (en) | Access control using proof-of-possession token | |
| KR102137122B1 (ko) | 보안 체크 방법, 장치, 단말기 및 서버 | |
| CN109962878B (zh) | 一种ims用户的注册方法及装置 | |
| CN108833431B (zh) | 一种密码重置的方法、装置、设备及存储介质 | |
| EP3337124B1 (en) | Authenticating a system based on a certificate | |
| CN105099707A (zh) | 一种离线认证方法、服务器及*** | |
| CN112398798B (zh) | 一种网络电话处理方法、装置及终端 | |
| WO2009109093A1 (zh) | 响应消息认证方法、装置及*** | |
| CN102802150A (zh) | 手机号码验证方法、***以及终端 | |
| CN105095729B (zh) | 一种二维码登录方法、服务器及*** | |
| US11575667B1 (en) | System and method for secure communications | |
| CN104753872A (zh) | 认证方法、认证平台、业务平台、网元及*** | |
| US9713112B1 (en) | Communications methods, apparatus and systems for correlating registrations, service requests and calls | |
| JP6386967B2 (ja) | 認証方法及びシステム | |
| CN104468634A (zh) | 一种呼叫建立方法、终端和安全as | |
| CN105577606A (zh) | 一种实现认证器注册的方法和装置 | |
| KR20180056715A (ko) | 엔티티의 신원의 유효성을 검증하기 위한 방법 및 장치 | |
| CN111698204A (zh) | 一种双向身份认证的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170829 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180529 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180725 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180810 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6386967 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |