将来のキャリアネットワークで、加入者を特定するためにつかわれるIdentityと、（主に）Webの世界でのユーザを特定するためのIdenitityとうまく関連付けると、みんな幸せになれる、かも。という仕様を見つけました。紹介します。

1. Identity Conference #8
Introduction of
Bridging IMS and Internet Identity
by @kthrtty
November 17, 2010
National Institute of Advanced Industrial Science and Technology(AIST), Akihabara

2. やべー、超門外漢なのにIMSとかNGNと
か手を出しちゃったわー。オレ、超最先端
走っちゃってるわー。 #misawa
Next Generation Network
1
http://jigokuno.com/

3. IDCONに集まる人はそんなん気にしない
やりたいようにやるのだ！
2

4. 将来のキャリアネットワークで、加入者を特定する
ためにつかわれるIdentityと、（主に）Webの世界で
のユーザを特定するためのIdenitityとうまく関連付
けると、みんな幸せになれる、かも。
という仕様を見つけました。紹介します。
今日の結論
3

5. Internet
4
IP Multimedia
Subsystem(IMS)
External Services
3rd Party
Internal Services
Mobile Network
Operator
キャリア
ネットワーク
（3GPPなど）
W3C, OASIS, IETF,
OIDF, WS-I

6. USE CASE
IMSとInternetのIdentityがつながるとこんなことができるようになるらしい
5

7. 電話しながら、自分のFLICKRから写真
を取得してきて、友人の電話にSIPで送
りつけて共有する！
use-case 1) Exposure of Authentication from IMS to Web
6

8. use-case 1)
Exposure of Authentication from IMS to Web
7
1. AがBに電話（IMS）
2. AがID/PWとか入力せずに写真サービス（Web）にアクセス
3. Aが写真を取得
4. AがIMSのコンテンツ共有サービスを使って写真を送信
5. BがAの写真を閲覧

9. 出品者が連絡先をオークションサイトに
登録しなくても、落札者から連絡が届く
（TWITTERアカウントで年賀状的）
use-case 2) Exposure of Web Federations to IMS Networks
8

10. use-case 2)
Exposure of Web Federations to IMS Networks
9
1. Aがオークションサイトに出品
2. オークションと自身のデバイスのIDを連携
3. Aがコンタクト機能を有効化
A) Bが落札
B) オークションサイトのコンタクト機能からAに電話
C) IMS設備がAとBに発信
D) AとBそれぞれとの経路を接続

11. サービスがユーザのプレゼンスに応じて、
適切なデバイスに通知
（UNIFIED COMMUNICATION）
use-case 3) Exposure of IMS resources to Web third-parties
10

12. use-case 3)
Exposure of IMS resources to Web third-parties
11
1. Aがニュースサービスに登録
2. IMSの世界で認証を実施し、認証コンテキストをInternetへ引継
3. 「プレゼンス情報提供サーバ」にアクセス、情報提供に同意
A) プレゼンスサーバは、ユーザ状態をニュースサービスに通知
B) ニュースサービスはプレゼンスに基づきユーザへニュース配信
C) ユーザは利用中の端末で最新ニュースを閲覧

13. BASIC CONCEPT
より便利になるということはなんとなく分かった。
どうやって実現するのだろう。
12

14. z
Bridging IMS and Internet Identity
13
Bootstrapping
Sever
Function
(BSF)
User
Equipment3GPP OASIS/IETF/OIDF…
Internet-WEBIMS-Telco-Domain
Web ClientGBA Client
Home Location Register(HLR)
Home Subscriber Server(HSS)
Network
Application
Function
(NAF)
Identity
Provider
(IdP)
Relying Party
(RP)

15. Federation(e.g. OpenID)
14
1. どちらさまですか？
2. kthrtty.myopenid.com です
3. kthrtty.myopenid.com に
ついて調べる
4. myopenid.com へリダイ
レクト要求
5. myopenid.com にリダイレクト、ログイン 6. 本人確認、認証結
果の通知確認
7. smart.fm へリダイレクト要求
8. smart.fm へリダイレクト

16. Generic Bootstrapping Architecture(GBA)
A part of GAA(Generic Authentication Architecture)
GBA client initiates GBA prodecure based on HTTP/S
15
HTTP Digest AuthN
(GBA ClientはUAが特殊)
AuthN and
Key Agreement Protocol
(anti-tamper feature)
AuthN
Vector(AV)を
HSSが返却IP Multimedia
Services
Identity Module
(3G SIMのIMS版)
Got a credencial !!
KS_NAF(session key)
B-TID(Txn-ID)

17. BRIDGE!!!
あとは繋ぐだけです
16

18. One example of combined sequence
17
RP
GBA
Client
Web
Client
IdP/NAF
GBA
servers
Got a credencial !!
KS_NAF, B-TID
401 Unauthorized
GET (UA: 3gpp-gba)
OpenID AuthN Req
Request service
Invoke(omit)
Initiate GBA prodecure
share(omit)
KS_NAF, B-TID (www-Authorization)
OpenID AuthN Rsp
Many patterns of
invoke or share
authN context.
Provide service

19. 奥深いWeb ClientとGBA Clientの連携
IMSの世界で鍵を共有するために(Push/Pull)の2モデル
GBA Clientが鍵を取りに行く
GBA Clientに鍵が通知されてくる
(GBA Client/Web Client)の(密結合/疎結合)パターン
同じ端末の中にWeb ClientとGBA Clientが同居
▪ 内部のTrusted storeを介して共有
Web ClientとGBA Clientが分離しているが、接続されている（有線、
無線、）
▪ 監視クライアントなどがなんとかする。
▪ 例）PCでWebブラウズ中、認証が必要になったら机の上のケータイがブルブル震え出す。
Web ClientとGBA Clientが分離していて、全く接続されていない
▪ たぶん人間がなんとかする。
▪ ケータイの画面に表示されたコードをPCに入力するなど。 18

20. まだまだオモシロポイントは多そう
SAMLもGBAを使って当然いろいろできる
HTTP Redirect BindingならぬSIP Binding
ID-WSFのユースケースもIMSに拡大
2G/3G Network backward compatibility
ISIMはIMSの世界のIdentity Module。USIM/SIMを使っても似たようなことは実現で
きるか？（どうなるケータイ認証的ネタ）
まずはdocomoからLTE時代突入。基盤の総IMS化もいつかやってくる？
みんなが使う一般的なブラウザ付きの音声端末が出てくれば今日の話は現実に。
NGNマスターとこのあたり会話してみたい。
19

21. せっかくの縁なので
もう少し追いかけてみます。
あまりこの辺りをカバーする人はいない？
20

22. References
ICIN10, IEEE, 2010 “Bridging IMS and Internet Identity” at
http://kantarainitiative.org/confluence/download/attachments/41649652/ICIN
10_IMS_and+Internet_Identity_v_1_0_1.doc
3GPP TR 33.924 “Identity management and Generic Authentication Architecture
(GAA) interworking”
3GPP TR 33.980 “Liberty Alliance and 3GPP security interworking; Interworking
of Liberty Alliance Identity Federation Framework (ID-FF), Identity Web
Services Framework (ID-WSF) and Generic Authentication Architecture (GAA)
Kantara Initiative Telecommunications ID Work Group available at
http://kantarainitiative.org/confluence/download/
attachments/41648511/WP-BridgingIMS_AndInternetIdentity_V1.0.pdf
3GPP TS 33.220 “Generic Authentication Architecture (GAA) Generic
bootstrapping architecture (GBA)”
21

23. ありがとうございました。
22