[go: up one dir, main page]

RU2337504C2 - Device and method for user identification for access to multimedia services - Google Patents

Device and method for user identification for access to multimedia services Download PDF

Info

Publication number
RU2337504C2
RU2337504C2 RU2006109469/09A RU2006109469A RU2337504C2 RU 2337504 C2 RU2337504 C2 RU 2337504C2 RU 2006109469/09 A RU2006109469/09 A RU 2006109469/09A RU 2006109469 A RU2006109469 A RU 2006109469A RU 2337504 C2 RU2337504 C2 RU 2337504C2
Authority
RU
Russia
Prior art keywords
authentication
user
implicit
multimedia domain
domain
Prior art date
Application number
RU2006109469/09A
Other languages
Russian (ru)
Other versions
RU2006109469A (en
Inventor
ПИНА Джон Майкл УОКЕР (ES)
ПИНА Джон Майкл УОКЕР
ЭРРЕРО Хуан Антонио САНЧЕС (ES)
ЭРРЕРО Хуан Антонио САНЧЕС
Original Assignee
Телефонактиеболагет Лм Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телефонактиеболагет Лм Эрикссон (Пабл) filed Critical Телефонактиеболагет Лм Эрикссон (Пабл)
Priority to RU2006109469/09A priority Critical patent/RU2337504C2/en
Publication of RU2006109469A publication Critical patent/RU2006109469A/en
Application granted granted Critical
Publication of RU2337504C2 publication Critical patent/RU2337504C2/en

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

FIELD: physics, communications.
SUBSTANCE: invention claims 'implicit identification for multimedia domain' implemented as special device of multimedia identification in close contact with user server or integrated to user server completely. For that purpose the invention claims new device, new user device, and new method of their composition for reuse of identification data between different communication networks or between different technological domains with assistance of other multimedia domain objects in accordance with existing standards.
EFFECT: simplified interdomain identification.
34 cl, 9 dwg

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Настоящее изобретение относится к упрощенной процедуре аутентификации пользователя, осуществляющего доступ к мультимедийной сети через сеть доступа, где пользователь уже был аутентифицирован.The present invention relates to a simplified authentication procedure for a user accessing a multimedia network through an access network where the user has already been authenticated.

УРОВЕНЬ ТЕХНИКИBACKGROUND

Многие из сетей мобильной связи, существующих в настоящее время, а также возможные будущие сети связи, определяемые основными документами по стандартизации, требуют от конечных пользователей и агентов пользователей аутентифицировать себя при доступе к сети связи и, вернее, при доступе к службам, ассоциированным с сетью связи. В этом отношении, для всех: GSM, GPRS, беспроводной локальной сети связи (БЛС, WLAN) и доменов мультимедиа (IMS), как определено стандартами 3GPP и 3GPP2, требуются терминалы или устройства пользователя, скомпонованные для выполнения процедуры аутентификации, определенной для каждого конкретного технологического домена, перед предоставлением пользователям или агентам пользователей доступа к упомянутым доменам. В частности, вышеупомянутые технологические домены, а также другие появляющиеся технологические домены требуют различных уровней защиты, что еще более усложняет доступ через различные технологические домены. Этот сквозной доступ подразумевает дополнительную защиту, которая не всегда требуется, и, как следствие, дополнительные возможности обработки и сигнализации, а также дополнительное усложнение терминала или устройства пользователя.Many of the current mobile communication networks, as well as possible future communication networks defined by the basic standardization documents, require end users and user agents to authenticate themselves when accessing the communication network and, rather, when accessing the services associated with the network communication. In this regard, for all: GSM, GPRS, wireless local area network (WLAN) and multimedia domains (IMS), as defined by the 3GPP and 3GPP2 standards, user terminals or devices are required that are configured to perform the authentication procedure specific to each technological domain, before providing users or user agents with access to these domains. In particular, the aforementioned technology domains as well as other emerging technology domains require different levels of protection, which further complicates access through various technology domains. This end-to-end access implies additional protection, which is not always required, and, as a result, additional processing and signaling capabilities, as well as additional complication of the terminal or user device.

В настоящее время процедура аутентификации в домене мультимедиа 3GPP выполняется, как описано в стандарте 3G TS 33.203 и изображено на фиг.1 в терминах потока сигнализации, основанного на протоколе инициирования сеанса связи (ПИС, SIP). Как иллюстрирует фиг.1 и описывают указанные технические спецификации, аутентификация мультимедиа (аутентификация при доступе к мультимедийным службам) должна быть выполнена всегда при регистрации пользователя в домене мультимедиа, которая обычно начинается с передачи сообщения SIP-Регистрации (SIP Register) для заданного частного и открытого идентификатора.Currently, the authentication procedure in the 3GPP multimedia domain is performed as described in 3G TS 33.203 and is shown in FIG. 1 in terms of a signaling flow based on a Session Initiation Protocol (SIP). As illustrated by FIG. 1 and described by the technical specifications, multimedia authentication (authentication when accessing multimedia services) should always be performed when a user is registered in a multimedia domain, which usually begins by sending a SIP Register message for a given private and public identifier.

Начальное условие, предполагаемое перед началом вышеупомянутого потока сигнализации, состоит в том, что перед доступом к домену мультимедиа конечный пользователь должен иметь открытое соединение для передачи данных. Этим соединением может быть или соединение GPRS в терминах наличия активизированного PDP-контекста, или соединение WLAN в терминах наличия установленного соединения для передачи данных, как определено стандартами IEEE 802.11, или другая сеть доступа, обеспечивающая сторону пользователя соединением для передачи данных. В этом сценарии конечный пользователь или агент пользователя уже был аутентифицирован сетью доступа, либо GPRS, либо WLAN, либо другой, для установления такого соединения для передачи данных, причем перед передачей SIP-Регистации в домен мультимедиа.The initial condition, assumed before the start of the aforementioned signaling stream, is that before accessing the media domain, the end user must have an open data connection. This connection can be either a GPRS connection in terms of having an activated PDP context, or a WLAN connection in terms of having an established data connection, as defined by IEEE 802.11, or another access network providing the user side with a data connection. In this scenario, the end user or user agent has already been authenticated by the access network, either GPRS, or WLAN, or another, to establish such a data connection, before transferring SIP Registration to the multimedia domain.

В частности, обе сети доступа, используемые в настоящее время, а именно GPRS и WLAN, обеспечивают соответственный механизм аутентификации, SIM/USIM-AKA для GPRS и EAP-SIM/AKA для WLAN, в то время как домен мультимедиа в настоящее время использует механизм аутентификации, обеспечивающий уровень защиты, подобный обеспечиваемому вышеупомянутыми сетями доступа, так называемый USIM-AKA, который выполняется при достижении сообщением SIP-Регистрации объекта Обслуживающей Функции управления состоянием вызова (О-ФУСВ, S-CSCF), как изображено на фиг.1. В этом отношении, фиг.2 иллюстрирует последовательность действий, которой придерживаются для выполнения аутентификации EAP AKA для пользователя, осуществлявшего доступ к сети связи WLAN, причем RADIUS и MAP кажутся наиболее вероятными вариантами протокола, хотя вместо RADIUS или MAP может быть использован также DIAMETER.In particular, both access networks currently in use, namely GPRS and WLAN, provide a corresponding authentication mechanism, SIM / USIM-AKA for GPRS and EAP-SIM / AKA for WLAN, while the multimedia domain currently uses the mechanism authentication, providing a level of protection similar to that provided by the aforementioned access networks, the so-called USIM-AKA, which is executed when the SIP-Registration object reaches the Serving Call State Management Function (S-CSCF), as shown in Fig. 1. In this regard, FIG. 2 illustrates the sequence of steps taken to perform EAP AKA authentication for a user accessing a WLAN, wherein RADIUS and MAP seem to be the most likely protocol options, although DIAMETER can also be used instead of RADIUS or MAP.

В настоящее время, от пользователя, предпочитающего получить доступ к домену мультимедиа, требуется предварительное установление соединения для передачи данных, что часто выполняется через сеть доступа, такую как GPRS или WLAN и, следовательно, во-первых, пользователь был аутентифицирован с использованием EAP-SIM/AKA для сети доступа WLAN, и, во-вторых, дополнительно, пользователь должен быть аутентифицирован с использованием USIM-AKA при регистрации в домене мультимедиа.Currently, a user who prefers access to the multimedia domain is required to establish a data connection beforehand, which is often done through an access network such as GPRS or WLAN, and therefore, firstly, the user was authenticated using EAP-SIM / AKA for the WLAN access network, and secondly, in addition, the user must be authenticated using USIM-AKA when registering in the multimedia domain.

Можно заключить, что в настоящее время не существует механизма аутентификации, выполняющего черездоменную аутентификацию для заданного пользователя между сетью доступа, такой как GPRS или WLAN, и доменом мультимедиа, основанном на SIP. Другими словами, не существует службы или устройства, которые обеспечивают возможность управления данными аутентификации от лица пользователя или SIP-агента пользователя и освобождают упомянутого пользователя или SIP-агента пользователя от необходимости выполнения операций аутентификации в домене мультимедиа, если уже имела место аутентификация в сети доступа, где пользователь осуществляет доступ через упомянутую сеть доступа, вероятно, являющуюся GPRS или WLAN.We can conclude that at present there is no authentication mechanism that performs cross-domain authentication for a given user between an access network such as GPRS or WLAN and a SIP-based multimedia domain. In other words, there are no services or devices that provide the ability to manage authentication data on behalf of the user or the SIP agent of the user and free the mentioned user or SIP agent of the user from having to perform authentication operations in the multimedia domain if authentication has already taken place in the access network, where the user accesses through said access network, probably being GPRS or WLAN.

В этом случае аутентификация для домена мультимедиа, как описано в 3G TS 33.203 и иллюстрируется на фиг.1, добавляет дополнительную сигнализацию в радиоканале, что при некоторых сценариях может не требоваться. Во-первых, после приема в S-SCSF SIP-Регистрации, S-SCSF, обычно, передает SIP-агенту пользователя сообщение Вызова_Аутентификации (Auth_Challenge). Если эта операция является успешной, то S-CSCF будет периодически передавать Вектор-запрос_Аутентификации SIP-агенту пользователя, который в свою очередь должен отвечать Вектор-ответом_Аутентификации. Оба эти сообщения добавляют дополнительную нагрузку на домен мультимедиа, а также продлевают время регистрации. То есть, SIP-агенты пользователя должны обрабатывать и Вызов_Аутентификации и Вектор-запрос_Аутентификации и отвечать на них. Эти сообщения требуют дополнительной обработки SIP-агентом пользователя, что означает, что SIP-агент пользователя должен скорее использовать мощность для этого процесса, чем использовать максимально возможную мощность для мультимедийных служб, которые, по сути, вероятно, являются энергоемкими, с учетом ограниченной мощности батарей.In this case, authentication for the multimedia domain, as described in 3G TS 33.203 and illustrated in FIG. 1, adds additional signaling in the radio channel , which may not be required in some scenarios. First, after receiving SIP SCs in the S-SCSF, the S-SCSF typically sends the Auth_Challenge message to the SIP user agent. If this operation is successful, then the S-CSCF will periodically transmit the Authentication Vector Request to the SIP agent of the user, which in turn must respond with the Authentication Vector Answer. Both of these messages add extra workload to the multimedia domain and also extend the registration time. That is, the user SIP agents must process and respond to the Authentication_Call and the Authentication_Vector-Request. These messages require additional processing by the SIP agent of the user, which means that the SIP agent of the user should use the power for this process rather than use the maximum possible power for multimedia services, which, in essence, are probably energy-intensive, given the limited battery power .

Вследствие этого, задачей настоящего изобретения является обеспечение механизма междоменной аутентификации, выполняющего черездоменную аутентификацию для заданного пользователя между доменом сети доступа и доменом мультимедиа, этот механизм междоменной аутентификации является более простым, чем существующий в настоящее время, и применим там, где сетью доступа была выполнена аутентификация пользователя.Therefore, it is an object of the present invention to provide a cross-domain authentication mechanism that performs cross-domain authentication for a given user between an access network domain and a multimedia domain, this cross-domain authentication mechanism is simpler than the current one, and is applicable where the access network has authenticated user.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

Вышеупомянутая задача решается, согласно настоящему изобретению, посредством обеспечения устройства по п.1 формулы изобретения, устройства пользователя по п.10 формулы изобретения и способа по п.15 формулы изобретения, причем устройства скомпонованы, и способ организован для повторного использования данных аутентификации между различными сетями связи или между различными технологическими доменами, и при содействии обслуживающего объекта по п.23 формулы изобретения, ответственного за аутентификацию пользователя в домене мультимедиа, и посреднического объекта по п.29 и опрашивающего объекта по п.32 формулы изобретения, которые являются объектами домена мультимедиа, согласно стандартам 3GPP и 3GPP2. Следовательно, согласно изобретению обеспечен новый признак, далее упоминаемый, как "Неявная аутентификация для домена мультимедиа", который может быть реализован, как специализированное устройство аутентификации мультимедиа в тесном взаимодействии с сервером абонентов, или полностью интегрированным в упомянутый сервер абонентов. Упомянутым сервером абонентов является база данных абонентов, участвующая в аутентификации абонента, например, Домашний сервер абонентов (ДСА, HSS) или Сервер Аутентификации-Авторизации-Учетных записей (ААУ, AAA), и устройство Аутентификации Мультимедиа хранит необходимую логику и компоненты для обеспечения возможности повторного использования данных аутентификации между сетью доступа, такой как беспроводная локальная сеть связи (WLAN), сеть связи Общей системы пакетной радиопередачи (ОСПР, GPRS), Универсальная система мобильной электросвязи (УСМЭ, UMTS) или сеть связи Множественного доступа с кодовым разделением каналом (МДКР, CDMA 2000) и упомянутым доменом мультимедиа.The aforementioned problem is solved according to the present invention by providing a device according to claim 1, a user device according to claim 10 and a method according to claim 15, wherein the devices are arranged and the method is organized for reusing authentication data between different networks communication or between different technological domains, and with the assistance of a service object according to claim 23 of the claims responsible for authenticating a user in a multimedia domain, and osrednicheskogo object according to claim 29 and interrogating the object according to claim 32 of the claims that are the objects of multimedia domain according to 3GPP and 3GPP2 standards. Therefore, according to the invention, a new feature is provided, hereinafter referred to as “Implicit Authentication for a Multimedia Domain”, which can be implemented as a specialized multimedia authentication device in close cooperation with a subscriber server, or fully integrated into the subscriber server. The subscriber server mentioned is a subscriber database involved in the authentication of the subscriber, for example, the Home Subscriber Server (DSA, HSS) or the Authentication-Authorization-Accounts Server (AAA), and the Multimedia Authentication device stores the necessary logic and components to enable repeated using authentication data between an access network such as a wireless local area network (WLAN), a general packet radio system (GPRS) communication network, a universal mobile telecommunication system (USME, UMTS) or code division multiple access communication network (CDMA, CDMA 2000) and said multimedia domain.

Устройство, которое, согласно изобретению, используют для аутентификации мультимедиа пользователя, осуществляющего доступ к домену мультимедиа через сеть доступа, скомпоновано для использования в сервере абонентов сети доступа или во взаимодействии с сервером абонентов сети доступа, в котором хранятся данные аутентификации для пользователя и который является доступным для домена мультимедиа. Упомянутое устройство содержит средство для принятия решения о том, что может иметь место неявная аутентификация между пользователем или скорее между устройством пользователя и доменом мультимедиа, и средство для инструктирования обслуживающего объекта, ответственного за аутентификацию пользователя в домене мультимедиа относительно того, что может иметь место неявная аутентификация. Соответственно, при использовании этого устройства обходится необходимость в явной аутентификации.The device that is used according to the invention for authenticating a multimedia user accessing a multimedia domain through an access network is arranged for use in an access network subscriber server or in conjunction with an access network subscriber server in which authentication data is stored for the user and which is accessible for the multimedia domain. Said device comprises means for deciding that there may be implicit authentication between the user or rather between the user device and the multimedia domain, and means for instructing a serving entity responsible for authenticating the user in the multimedia domain that implicit authentication may take place . Accordingly, using this device eliminates the need for explicit authentication.

В этом устройстве средство для принятия решения о том, что может иметь место неявная аутентификация, предпочтительно, содержит средство для определения потенциальной защиты канала передачи сигнализации для доступа к домену мультимедиа через упомянутую сеть доступа. Для этого устройство может содержать также средство инициализации и данных конфигурации, скомпонованное для оценки защиты различных каналов передачи сигнализации. Кроме того, средство для принятия решения о том, что может иметь место неявная аутентификация, может содержать средство для обработки предложения неявной аутентификации, исходящего из устройства пользователя.In this device, the means for deciding that implicit authentication may take place preferably comprises means for determining the potential protection of the signaling channel for accessing the multimedia domain through said access network. For this, the device may also comprise initialization means and configuration data arranged to evaluate the protection of various signaling transmission channels. Furthermore, the means for deciding that implicit authentication may take place may include means for processing the implicit authentication proposal coming from the user device.

Устройство, предпочтительно, скомпоновано для определения, является ли неявная аутентификация только предложением для устройства пользователя, которое может принудительно выполнить явную аутентификацию, или она является окончательным решением, принятым сетью связи, так что явная аутентификация не может быть выполнена. Следовательно, средство для инструктирования обслуживающего объекта относительно того, что может иметь место неявная аутентификация, содержит средство для указания, что окончательное решение осуществляется на устройстве пользователя, и средство для указания, что это есть окончательное решение, принятое сетью связи.The device is preferably configured to determine whether implicit authentication is only an offer to a user device that can force explicit authentication, or if it is the final decision made by the communication network so that explicit authentication cannot be performed. Therefore, the means for instructing the serving entity that implicit authentication may take place comprises means for indicating that the final decision is made on the user's device, and means for indicating that this is the final decision made by the communication network.

В этом отношении устройство дополнительно содержит средство для уведомления пользователя о том, что сетью связи может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа. Однако это средство для уведомления также может постоянно находиться в других объектах домена мультимедиа.In this regard, the device further comprises means for notifying the user that the implicit user authentication for accessing the multimedia domain can be performed by the communication network. However, this notification tool may also reside in other media domain objects.

Кроме того, при условии, что окончательное решение относительно того, выполнять ли неявную аутентификацию, может осуществляться на стороне устройства пользователя, согласно изобретению устройство дополнительно содержит средство для приема указания, исходящего со стороны устройства пользователя, для подтверждения согласия на неявную аутентификацию, предложенную сетью связи. В случае приема такого подтверждения согласия устройство также содержит средство для указания обслуживающему объекту, ответственному за аутентификацию пользователя в домене мультимедиа, что устройство пользователя подтвердило неявную аутентификацию. Еще дополнительно, устройство может иметь средство для обеспечения дополнительных данных аутентификации в упомянутый обслуживающий объект, упомянутые дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, содержащей: вид аутентификации; информацию доступа и временную метку аутентификации.In addition, provided that the final decision as to whether to perform implicit authentication can be made on the side of the user device, according to the invention, the device further comprises means for receiving an indication coming from the side of the user device to confirm consent to the implicit authentication proposed by the communication network . If receiving such a confirmation of consent, the device also comprises means for indicating to the serving entity responsible for authenticating the user in the multimedia domain that the user device has confirmed implicit authentication. Still further, the device may have means for providing additional authentication data to said serving entity, said additional authentication data including at least one element selected from a group of elements comprising: an authentication type; access information and authentication timestamp.

Обычно устройство пользователя обеспечено возможностью получения доступа к домену мультимедиа через сеть доступа, и, соответственно, скомпоновано для выполнения первой процедуры явной аутентификации сетью доступа и второй процедуры явной аутентификации доменом мультимедиа. Сеть доступа содержит сервер абонентов для хранения данных аутентификации для пользователя, и, в целях настоящего изобретения, упомянутый сервер абонентов является доступным для домена мультимедиа. Устройство пользователя, согласно изобретению, содержит средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя: уведомление, указывающее, что для пользователя может быть выполнена неявная аутентификация, из домена мультимедиа; и уведомление, указывающее, что устройство пользователя предлагает сети связи неявную аутентификацию, в домен мультимедиа.Typically, a user device is provided with the ability to access a multimedia domain through an access network, and is accordingly arranged to perform a first explicit authentication procedure by an access network and a second multimedia domain explicit authentication procedure. The access network comprises a subscriber server for storing authentication data for the user, and, for the purposes of the present invention, said subscriber server is accessible to the multimedia domain. A user device according to the invention comprises means for processing at least one notification selected from a group of notifications, including: a notification indicating that implicit authentication can be performed for a user from a multimedia domain; and a notification indicating that the user device offers the communication network implicit authentication to the multimedia domain.

Это средство, предпочтительно, может содержать средство для приема указания из домена мультимедиа, что окончательное решение осуществляется на стороне устройства пользователя, которая может принудительно выполнить явную аутентификацию, или что это есть окончательное решение, принятое сетью связи, так что явная аутентификация не может быть выполнена. Устройство пользователя, специально скомпонованное для случая, где окончательное решение осуществляется на стороне пользователя, дополнительно содержит средство для передачи в домен мультимедиа указания для подтверждения согласия на неявную аутентификацию, предложенную сетью связи. Кроме того, устройство пользователя может иметь средство для обеспечения дополнительных данных аутентификации в домен мультимедиа, упомянутые дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, содержащей: вид аутентификации; информацию доступа; и временную метку аутентификации.This means may preferably comprise means for receiving an indication from the multimedia domain that the final decision is made on the side of the user device that can force explicit authentication, or that it is the final decision made by the communication network so that explicit authentication cannot be performed . The user device, specially configured for the case where the final decision is made on the user side, further comprises means for transmitting instructions to the multimedia domain to confirm consent to the implicit authentication proposed by the communication network. In addition, the user device may have means for providing additional authentication data to the multimedia domain, said additional authentication data including at least one element selected from the group of elements comprising: an authentication type; access information; and timestamp authentication.

Также обеспечен способ аутентификации пользователя в домене мультимедиа при доступе к нему пользователя через сеть доступа, который, обычно, включает этап аутентификации пользователя в сети доступа, упомянутая сеть доступа имеет сервер абонентов с данными аутентификации для пользователя и являющийся доступным для домена мультимедиа; и этап регистрации пользователя в домене мультимедиа.Also provided is a method of authenticating a user in a multimedia domain when a user accesses it through an access network, which typically includes a step of authenticating a user in an access network, said access network having a subscriber server with authentication data for the user and being available for the multimedia domain; and a user registration step in the multimedia domain.

Этот способ, согласно изобретению, также включает:This method according to the invention also includes:

- этап принятия решения о том, что может иметь место неявная аутентификация между пользователем и доменом мультимедиа, соответственно, обходя необходимость явной аутентификации; и- the stage of deciding that implicit authentication may occur between the user and the multimedia domain, respectively, bypassing the need for explicit authentication; and

- этап инструктирования обслуживающего объекта, ответственного за аутентификацию пользователя в домене мультимедиа, относительно того, что может иметь место неявная аутентификация.- the step of instructing the serving entity responsible for authenticating the user in the multimedia domain regarding that implicit authentication may occur.

Этот способ может дополнительно включать этап уведомления о том, что может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа, из домена мультимедиа в устройство пользователя.This method may further include the step of notifying that implicit user authentication may be performed to access the media domain from the media domain to the user device.

В этом способе этап принятия решения о том, что может иметь место неявная аутентификация, предпочтительно, включает этап определения потенциальной защиты канала передачи сигнализации для доступа к мультимедийному домену через упомянутую сеть доступа. Кроме того, вышеупомянутый этап принятия решения о том, что может иметь место неявная аутентификация, может включать также этап предложения о выполнении неявной аутентификации между устройством пользователя и доменом мультимедиа, из упомянутого устройства пользователя в домен мультимедиа.In this method, the step of deciding that implicit authentication may take place preferably includes the step of determining the potential protection of the signaling channel for accessing the multimedia domain through said access network. In addition, the aforementioned decision-making step that implicit authentication may take place may also include the step of proposing to perform implicit authentication between the user device and the multimedia domain from said user device to the multimedia domain.

Также в этом способе этап инструктирования обслуживающего объекта относительно того, что может иметь место неявная аутентификация, предпочтительно, включает этап указания, осуществляется ли окончательное решение на устройстве пользователя, которое может принудительно выполнить явную аутентификацию, или окончательное решение принято сетью, так что явная аутентификация не может быть выполнена. Дополнительно, и в частности для случая, где окончательное решение осуществляется на стороне пользователя, способ может дополнительно включать этап подтверждения согласия на неявную аутентификацию, предложенную сетью связи, из устройства пользователя. Кроме того, и присоединяется к вышеупомянутому этапу то, что способ может дополнительно включать этап указания, что пользователь подтвердил неявную аутентификацию, в обслуживающий объект, ответственный за аутентификацию пользователя в домене мультимедиа.Also in this method, the step of instructing the serving entity that implicit authentication may take place preferably includes the step of indicating whether the final decision is made on the user's device, which can force explicit authentication, or the final decision is made by the network, so that explicit authentication is not can be performed. Additionally, and in particular for the case where the final decision is made on the user side, the method may further include the step of confirming consent to the implicit authentication proposed by the communication network from the user's device. In addition, and joins the above step, the method may further include the step of indicating that the user has confirmed implicit authentication to the serving entity responsible for authenticating the user in the multimedia domain.

Изобретение дополнительно обеспечивает обслуживающий объект, ответственный за аутентификацию устройства пользователя в домене мультимедиа при осуществлении пользователем к нему доступа через сеть доступа, где упомянутый пользователь был предварительно аутентифицирован. Согласно изобретению этот обслуживающий объект содержит средство для приема инструкций из вышеупомянутого устройства, указывающих, что может иметь место неявная аутентификация; и средство для уведомления устройства пользователя о том, что сетью связи может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа.The invention additionally provides a service entity responsible for authenticating a user device in a multimedia domain when a user accesses it through an access network where said user has been previously authenticated. According to the invention, this serving entity comprises means for receiving instructions from the aforementioned device indicating that implicit authentication may take place; and means for notifying a user device that an implicit user authentication for accessing a multimedia domain can be performed by the communication network.

Этот обслуживающий объект, предпочтительно, скомпонован таким образом, что средство для уведомления пользователя о том, что сетью связи может быть выполнена неявная аутентификация, содержит средство для указания пользователю, является ли неявная аутентификация окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена, или неявная аутентификация является предложением из сети связи, на которое пользователь может согласиться, или которое пользователь может отклонить, принудительно осуществляя явную аутентификацию.This serving entity is preferably arranged in such a way that the means for notifying the user that implicit authentication can be performed by the communication network comprises means for indicating to the user whether implicit authentication is the final decision made by the communication network and explicit authentication cannot be completed, or implicit authentication is a proposal from the communication network to which the user can agree, or which the user can reject, forcibly performing an explicit au authentication.

В случае если неявная аутентификация является предложением сети связи, обслуживающий объект, предпочтительно, содержит средство для приема указания, исходящего из устройства пользователя, для подтверждения согласия на такую неявную аутентификацию, предложенную сетью связи. Кроме того, этот обслуживающий объект, предпочтительно, содержит средство для приема такого указания, что пользователь подтвердил неявную аутентификацию, из вышеупомянутого устройства.In the event that implicit authentication is a proposal of a communication network, the serving entity preferably comprises means for receiving an indication coming from a user device to confirm consent to such implicit authentication proposed by the communication network. In addition, this serving entity preferably comprises means for receiving such an indication that the user has confirmed implicit authentication from the aforementioned device.

Этот обслуживающий объект, предпочтительно, может содержать дополнительное средство для проверки соответствия дополнительных данных аутентификации, соответственно, принятых из вышеупомянутого устройства и устройства пользователя, для обеспечения дополнительной поддержки защиты. Эти дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент из группы элементов, включающей в себя: вид аутентификации, информацию доступа и временную метку аутентификации.This serving entity may preferably comprise additional means for verifying the conformity of the additional authentication data respectively received from the aforementioned device and the user device to provide additional security support. This additional authentication data includes at least one element from the group of elements including: authentication type, access information and authentication timestamp.

Изобретение дополнительно дополнено обеспечением некоторых других объектов, таких как посреднический и опрашивающий объект, для обращения к стандартной топологии, следующей стандарту 3GPP или 3GPP2.The invention is further complemented by the provision of certain other entities, such as an intermediary and an interrogating entity, for accessing a standard topology following the 3GPP or 3GPP2 standard.

Посреднический объект, в соответствии со стандартами 3GPP и 3GPP2, предназначен для действия в качестве точки входа в домен мультимедиа для пользователей, осуществляющих к нему доступ через сеть доступа, где пользователь уже был аутентифицирован. Согласно изобретению этот посреднический объект содержит средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя:The mediation facility, in accordance with the 3GPP and 3GPP2 standards, is designed to act as an entry point to the multimedia domain for users accessing it through an access network where the user has already been authenticated. According to the invention, this intermediary object comprises means for processing at least one notification selected from the group of notifications, including:

- уведомление для указания, что сетью связи может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа, переданное в устройство пользователя; и- a notification to indicate that an implicit user authentication for accessing the multimedia domain transmitted to the user device may be performed by the communication network; and

- уведомление для предложения в домен мультимедиа неявной аутентификации между упомянутым устройством пользователя и доменом мультимедиа, принятое из устройства пользователя.- a notification for an offer to the multimedia domain of implicit authentication between said user device and the multimedia domain received from the user device.

Этот посреднический объект также, предпочтительно, скомпонован так, что средство для уведомления пользователя о том, что сетью связи может быть выполнена неявная аутентификация, содержит средство для указания пользователю, является ли неявная аутентификация окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена, или неявная аутентификация является предложением из сети связи, на которое пользователь может согласиться, или которое пользователь может отклонить, принудительно осуществляя явную аутентификацию.This intermediary entity is also preferably arranged so that the means for notifying the user that the implicit authentication can be performed by the communication network includes means for indicating to the user whether implicit authentication is the final decision made by the communication network and explicit authentication cannot be completed, or implicit authentication is a proposal from the communication network to which the user can agree, or which the user can reject by forcing an explicit auth typification.

В случае, если неявная аутентификация является предложением сети связи, посреднический объект, предпочтительно, содержит средство для приема указания о согласии на такую неявную аутентификацию, предложенную сетью связи, из устройства пользователя.In the event that implicit authentication is an offer of a communication network, the intermediary entity preferably comprises means for receiving an indication of consent to such implicit authentication proposed by the communication network from a user device.

Опрашивающий объект, в соответствии со стандартами 3GPP и 3GPP2, предназначен для запроса сервера абонентов в домене мультимедиа относительно пользователя, осуществлявшего доступ к упомянутому домену мультимедиа через другую сеть доступа. Этот опрашивающий объект имеет средство для приема запроса на регистрацию от пользователя и средство для квитирования (сообщения) такой регистрации для пользователя, и, согласно изобретению, опрашивающий объект также содержит средство для передачи указания, что для доступа к домену мультимедиа может быть выполнена неявная аутентификации пользователя, в устройство пользователя.The interrogating object, in accordance with the 3GPP and 3GPP2 standards, is designed to request the subscriber server in the multimedia domain regarding a user accessing the multimedia domain through another access network. This interrogating entity has means for receiving a registration request from the user and means for acknowledging (reporting) such registration for the user, and according to the invention, the interrogating entity also comprises means for transmitting an indication that implicit user authentication can be performed to access the media domain to the user's device.

Опрашивающий объект для выполнения с другими предпочтительными признаками, обеспеченными изобретением, предпочтительно, содержит средство для приема указания, исходящего из устройства пользователя, для подтверждения согласия на неявную аутентификацию, предложенную сетью связи, или для собственного предложения такой неявной аутентификации; и средство для передачи такого подтверждения согласия пользователя, по меньшей мере, в один объект, выбранный из группы объектов, содержащей вышеупомянутое устройство и обслуживающий объект.The interrogating entity for performing with other preferred features provided by the invention preferably comprises means for receiving an indication coming from a user device, for confirming consent to an implicit authentication proposed by a communication network, or for an offer of such implicit authentication; and means for transmitting such a confirmation of user consent to at least one object selected from the group of objects containing the aforementioned device and serving the object.

Кроме того, и также для выполнения с другими предпочтительными признаками, обеспеченными изобретением, опрашивающий объект дополнительно содержит средство для передачи в устройство пользователя указания, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.In addition, and also to perform with other preferred features provided by the invention, the interrogating entity further comprises means for transmitting to the user device an indication that implicit authentication is the final decision made by the communication network, and explicit authentication cannot be performed.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

Признаки, задачи и преимущества изобретения станут ясны при прочтении этого описания совместно с приложенными чертежами.The features, objectives and advantages of the invention will become apparent upon reading this description in conjunction with the attached drawings.

Фиг.1 изображает основную диаграмму потока (сигнализации) аутентификации в домене мультимедиа в соответствии с 3GPP TS 33.203.Figure 1 depicts a basic diagram of the flow (signaling) authentication in the multimedia domain in accordance with 3GPP TS 33.203.

Фиг.2 иллюстрирует общее представление архитектурных компонентов и поток сигнализации при аутентификации пользователя, следующей механизму EAP-AKA, через сеть доступа WLAN.2 illustrates a general view of architectural components and a signaling flow in user authentication following the EAP-AKA mechanism through a WLAN access network.

Фиг.3 изображает последовательность потока, описывающую в настоящее время предпочтительный вариант осуществления для повторного использования предыдущей аутентификации пользователя, имеющего доступ к домену мультимедиа через сеть связи GPRS или UMTS, где устройство пользователя принимает уведомление в этом отношении и обеспечено возможностью согласиться или не согласиться на неявную аутентификацию.Figure 3 depicts a flow sequence describing a currently preferred embodiment for reusing a previous user authentication having access to a multimedia domain via a GPRS or UMTS communication network, where the user device receives a notification in this regard and is provided with the ability to agree or not to agree to implicit Authentication

Фиг.4 изображает последовательность потока, описывающую альтернативный вариант осуществления относительно изображенного на фиг.3, где устройство пользователя принимает уведомление в этом отношении и скорее не обеспечено возможностью согласиться или не согласиться на неявную аутентификацию, а информируется о том, что имела место такая неявная аутентификация.FIG. 4 is a flow diagram describing an alternative embodiment relative to that shown in FIG. 3, where the user device receives the notification in this regard, and is rather not provided with the ability to agree or disagree with implicit authentication, but is informed that such implicit authentication has occurred. .

Фиг.5 изображает альтернативную последовательность потока, описывающую альтернативный вариант осуществления относительно изображенных на фиг.3 и фиг.4, где устройство пользователя при процедуре определения местоположения принимает приглашение на дополнительное выполнение неявной аутентификации в домене мультимедиа, соответственно, пользователь обеспечен возможностью согласиться или не согласиться на неявную аутентификацию.Fig. 5 is an alternative flow sequence describing an alternative embodiment to those shown in Figs. 3 and 4, where the user device receives an invitation to perform additional implicit authentication in the multimedia domain during the location procedure, respectively, the user is provided with the opportunity to agree or disagree to implicit authentication.

Фиг.6 изображает альтернативную последовательность потока относительно изображенной на фиг.5, где устройство пользователя принимает приглашение Службой коротких сообщений (СКС, SMS) на дополнительное выполнение неявной аутентификации в домене мультимедиа, соответственно, пользователь обеспечен возможностью согласиться или не согласиться на неявную аутентификацию.Fig.6 depicts an alternative flow sequence relative to that shown in Fig.5, where the user device accepts an invitation from the Short Message Service (SCS, SMS) to perform additional implicit authentication in the multimedia domain, respectively, the user is provided with the opportunity to agree or disagree with implicit authentication.

Фиг.7 изображает последовательность потока, описывающую в настоящее время предпочтительный вариант осуществления для повторного использования предыдущей аутентификации пользователя, имеющего доступ к домену мультимедиа через сеть связи WLAN, где устройство пользователя принимает уведомление в этом отношении и обеспечено возможностью согласиться или не согласиться на неявную аутентификацию.Fig. 7 is a flowchart describing a currently preferred embodiment for reusing a previous authentication of a user having access to a multimedia domain through a WLAN communication network, where the user device receives a notification in this regard and is enabled to agree or not to agree to implicit authentication.

Фиг.8 изображает последовательность потока, описывающую другой предпочтительный вариант осуществления для повторного использования предыдущей аутентификации пользователя сетью связи CDMA 2000, пользователь осуществляет доступ к домену мультимедиа через сеть связи Службы коммутации пакетов, где устройство пользователя принимает уведомление в этом отношении и обеспечено возможностью согласиться или не согласиться на неявную аутентификацию.Fig. 8 is a flowchart describing another preferred embodiment for reusing previous user authentication by a CDMA 2000 communication network, a user accessing a multimedia domain through a packet switching service communication network, where a user device receives a notification in this regard and is provided with the ability to agree or not agree to implicit authentication.

Фиг.9 изображает альтернативную последовательность потока относительно представленной на фиг.5 и 6, где устройство пользователя скорее не принимает приглашение сообщением Ответа на Обновление Местоположения или Службой коротких сообщений (SMS), соответственно, на дополнительное выполнение неявной аутентификации, а устройство пользователя формирует предложение неявной аутентификации для сети связи.Fig. 9 depicts an alternative flow sequence relative to that shown in Figs. 5 and 6, where the user device most likely does not accept the invitation with a Location Update Response message or the Short Message Service (SMS), respectively, to perform additional implicit authentication, and the user device generates an implicit sentence authentication for the communication network.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯDETAILED DESCRIPTION OF THE INVENTION

Ниже описаны в настоящее время предпочтительные варианты осуществления устройства, устройства пользователя и способа для обеспечения пользователю возможности быть неявно аутентифицированным доменом мультимедиа при доступе через сеть доступа, где пользователь уже был аутентифицирован. Сетью доступа, предпочтительно, является беспроводная локальная сеть связи (WLAN), сеть связи общей системы пакетной радиопередачи (GPRS), сеть связи Глобальной системы мобильной связи (ГСМ, GSM), сеть связи Универсальной системы мобильной электросвязи (UMTS) или сеть связи Множественного доступа с кодовым разделением каналов (CDMA 2000).The currently preferred embodiments of a device, a user device, and a method for enabling a user to be an implicitly authenticated multimedia domain when accessing through an access network where the user has already been authenticated are described below. The access network is preferably a wireless local area network (WLAN), a general packet radio system (GPRS) communication network, a Global Mobile Communications System (GSM) communication network, a Universal Mobile Telecommunication System (UMTS) communication network or a Multiple Access communication network code division multiplexing (CDMA 2000).

Настоящее изобретение представляет несколько аспектов в связи с местом, в котором постоянно находится признак "неявной аутентификации для домена мультимедиа", который, в частности, может быть выполнен отдельным устройством в тесном взаимодействии с сервером абонентов или может быть выполнен непосредственно сервером абонентов.The present invention presents several aspects in connection with the place where the sign of “implicit authentication for the multimedia domain” resides, which, in particular, can be performed by a separate device in close cooperation with the subscriber server or can be performed directly by the subscriber server.

Кроме того, настоящее изобретение также представляет несколько аспектов в связи с устройством пользователя, а именно терминал пользователя, или SIM, или USIM, или их комбинацию, в зависимости от степени принятия решения, оставленной на стороне пользователя или на стороне сети связи.In addition, the present invention also presents several aspects in connection with a user device, namely a user terminal, or SIM, or USIM, or a combination thereof, depending on the degree of decision making left on the user side or on the communication network side.

Согласно первому аспекту настоящего изобретения непосредственно сервер абонентов, которым, в частности, может быть HSS в 3GPP или AAA-сервер в стандартах 3GPP2 и сетях связи CDMA 2000, или устройство аутентификации мультимедиа, поддерживающее доступ к домену мультимедиа, определяет для определенного пользователя, что явная аутентификация для домена мультимедиа может не требоваться, на основе предыдущей аутентификации абонента, выполненной сетью доступа, через которую осуществляет доступ пользователь, и на основе допущения, что через сеть доступа осуществлен защищенный носитель для сигнализации мультимедиа. Таким защищенным носителем может быть, например, PDP-контекст в случае, если сетью доступа является GPRS, или защищенный туннель в случае, если сетью доступа является WLAN, в отношении к домашней сети связи при выполнении аутентификации абонента.According to a first aspect of the present invention, a direct server of subscribers, which, in particular, can be an HSS in 3GPP or an AAA server in 3GPP2 standards and CDMA 2000 communication networks, or a multimedia authentication device that supports access to a multimedia domain, determines for a particular user that explicit authentication for a multimedia domain may not be required, based on previous subscriber authentication performed by the access network through which the user accesses, and based on the assumption that through the access network suschestvlen protected carrier for multimedia signaling. Such a secure medium can be, for example, a PDP context in case the access network is GPRS, or a secure tunnel in case the access network is WLAN, in relation to the home communication network when performing subscriber authentication.

Согласно изобретению сервер абонентов или специализированное устройство аутентификации мультимедиа обеспечивает обслуживающему объекту, ответственному за аутентификацию пользователя, а именно Обслуживающей функции управления состоянием вызова (S-CSCF), политику аутентификации, указывающую, что для упомянутого пользователя, осуществляющего доступ к домену мультимедиа, может быть выполнена процедура Неявной Аутентификации на основе предыдущей аутентификации носителя через сеть доступа.According to the invention, the subscriber server or a specialized multimedia authentication device provides the servicing entity responsible for user authentication, namely the Serving Call State Management Function (S-CSCF), an authentication policy indicating that said user accessing the multimedia domain can be executed Implicit Authentication procedure based on previous media authentication through the access network.

Кроме аутентификации пользователя сетью связи, где пользователь осуществляет доступ, процедуры аутентификации 3GPP поддерживают аутентификацию сети связи пользователем. Следовательно, и согласно другому аспекту изобретения, сервер абонентов или специализированное устройство аутентификации мультимедиа может, факультативно, указать устройству пользователя другую политику аутентификации для предложения возможной взаимной неявной аутентификации, на которую пользователь может согласиться или не согласиться.In addition to authenticating the user with the communications network where the user is accessing, 3GPP authentication procedures support authentication of the communications network with the user. Therefore, according to another aspect of the invention, a subscriber server or a specialized multimedia authentication device may optionally indicate a different authentication policy to the user device to offer possible mutual implicit authentication to which the user may or may not agree.

Благодаря признаку "неявной аутентификации для домена мультимедиа" количество операций аутентификации, выполняемых либо пользователем, либо устройством пользователя и сетью связи, уменьшается и, соответственно, в домене мультимедиа достигается уменьшение сообщений сигнализации, которых можно избежать, при этом поддерживается требуемый уровень защиты, выполняя одну задачу настоящего изобретения.Due to the flag of “implicit authentication for the multimedia domain”, the number of authentication operations performed by either the user or the user device and the communication network is reduced and, accordingly, in the multimedia domain, signaling messages can be reduced, which can be avoided, while maintaining the required level of protection by performing one objective of the present invention.

Изобретение применимо к различным сценариям, где пользователь использует конкретную сеть доступа для доступа к домену мультимедиа, что, соответственно, приводит к различным вариантам осуществления изобретения. Дополнительно, существенно не удаляясь от контекста настоящего изобретения, от одного варианта осуществления к другому могут вноситься отдельные изменения.The invention is applicable to various scenarios where a user uses a particular access network to access a multimedia domain, which accordingly leads to various embodiments of the invention. Additionally, without substantially departing from the context of the present invention, individual changes may be made from one embodiment to another.

Первый сценарий развивается там, где пользователь был аутентифицирован сетью связи UMTS и дополнительно осуществляет доступ к домену мультимедиа через сеть связи GPRS.The first scenario develops where the user has been authenticated by the UMTS communication network and additionally accesses the multimedia domain through the GPRS communication network.

По этому сценарию и согласно первому варианту осуществления настоящего изобретения, иллюстрируемому на фиг.3, обеспечен упрощенный механизм для аутентификации пользователя в домене мультимедиа, при этом пользователя уведомляют о возможной неявной аутентификации. Пользователь или скорее сторона устройства пользователя (УП, UE) после приема этого уведомления может согласиться на неявную аутентификацию или принудительно выполнить явную аутентификацию в соответствии с применяемым стандартом для домена мультимедиа, как иллюстрирует фиг.1. Кроме того, эта неявная аутентификация может применять аутентификацию пользователя сетью и также аутентификацию сети пользователем. Кроме того, упомянутая неявная аутентификация может быть запущена сервером абонентов, таким как домашний сервер абонентов (HSS), ответственным за предыдущую аутентификацию пользователя в сети UMTS, как иллюстрируется на фиг.3, или специализированным устройством аутентификации мультимедиа во взаимодействии с упомянутым сервером абонентов.In this scenario and in the first embodiment of the present invention illustrated in FIG. 3, a simplified mechanism is provided for authenticating a user in a multimedia domain, with the user being notified of possible implicit authentication. The user, or rather the user device side (UE), upon receiving this notification may agree to implicit authentication or force explicit authentication in accordance with the applicable standard for a multimedia domain, as illustrated in FIG. In addition, this implicit authentication can apply user authentication to the network and also user authentication to the network. Furthermore, said implicit authentication may be triggered by a subscriber server, such as a home subscriber server (HSS), responsible for the previous user authentication in the UMTS network, as illustrated in FIG. 3, or a specialized multimedia authentication device in cooperation with said subscriber server.

Следовательно, согласно этому первому варианту осуществления, изображенному на фиг.3, конечный пользователь или устройство пользователя является подключенным к UMTS и аутентифицированным в UMTS и имеет открытым PDP-контекст GPRS. На этом этапе конечный пользователь и агент пользователя получают доступ к домену мультимедиа посредством инициирования процедуры SIP-Регистрации.Therefore, according to this first embodiment shown in FIG. 3, the end user or user device is connected to UMTS and authenticated in UMTS and has an open GPRS PDP context. At this point, the end user and user agent gain access to the multimedia domain by initiating the SIP Registration procedure.

Эта процедура SIP-Регистрации содержит передачу сообщения SIP-Регистрации со стороны пользователя (UE) в Посредническую функцию управления состоянием вызова (P-CSCF) и из этого объекта в Опрашивающую функцию управления состоянием вызова (I-CSCF). I-CSCF инициирует обычно вызываемую процедуру Cx-Selection-Info (Cx-Выбор-Информации) в направлении домашнего сервера абонентов (HSS) для идентификации Обслуживающей функции управления состоянием вызова (S-CSCF), ответственной за пользователя в текущее время. Когда такая S-CSCF идентифицирована, I-CSCF передает соответствующее сообщение SIP-Регистрации в S-CSCF. S-CSCF, принимая такое сообщение Регистрации, инициирует обычно вызываемую процедуру Cx-Put (Cx-Внести) в направлении домашнего сервера абонентов (HSS).This SIP Registration procedure comprises transmitting a SIP Registration message from the user (UE) to the Call State Intermediary Function (P-CSCF) and from this object to the Call Status Interrogating Function (I-CSCF). The I-CSCF initiates the commonly called Cx-Selection-Info (Cx-Information-Info) procedure toward the home subscriber server (HSS) to identify the Call State Management Service (S-CSCF) currently in charge. When such an S-CSCF is identified, the I-CSCF transmits the corresponding SIP Registration message to the S-CSCF. The S-CSCF, upon receiving such a Registration message, initiates the commonly called Cx-Put (Cx-Insert) procedure towards the home subscriber server (HSS).

При условии, что HSS предварительно участвовал в аутентификации пользователя при доступе к GPRS посредством обмена профилем пользователя и векторами аутентификации с сервисным узлом поддержки служб GPRS (SGSN), HSS дополнительно к другой информации топологии сети использует свою информацию относительно SGSN, где находится абонент, для определения потенциальной защиты канала сигнализации для доступа к домену мультимедиа через упомянутую сеть доступа. Вследствие этого, согласно изобретению, непосредственно HSS или специализированное устройство аутентификации мультимедиа может принять решение о неявной аутентификации для пользователя. В связи с этим, HSS включает в Cx-Put-response (Cx-Внести-ответ) в направлении S-CSCF указание о "неявной аутентификации".Provided that the HSS previously participated in user authentication when accessing GPRS by exchanging the user profile and authentication vectors with the GPRS support service node (SGSN), the HSS, in addition to other network topology information, uses its information regarding the SGSN where the subscriber is located to determine potential protection of the signaling channel for accessing the multimedia domain through said access network. Therefore, according to the invention, directly the HSS or the specialized multimedia authentication device can decide on implicit authentication for the user. In this regard, the HSS includes an “implicit authentication” indication in the Cx-Put-response in the S-CSCF direction.

Решение о передаче этого сообщения в S-CSCF, предпочтительно, принимается, когда шлюзовой узел поддержки служб GPRS (GGSN) принадлежит тому же домашнему домену, что и HSS, и, соответственно, GGSN считается защищенным и доверительным. Конкретным применимым сценарием является тот, когда HSS также считает доверительным SGSN, где находится абонент, например, так как они оба относятся к одному оператору сети, и независимо от того, обеспечен ли пользователь возможностью, дополнительно отказаться от предложенной неявной аутентификации.The decision to send this message to the S-CSCF is preferably made when the GPRS Gateway Support Node (GGSN) belongs to the same home domain as the HSS, and accordingly the GGSN is considered secure and trusted. A specific applicable scenario is when the HSS also considers the SGSN to be trusted where the subscriber is, for example, since they both belong to the same network operator, and regardless of whether the user is provided with the opportunity to additionally refuse the proposed implicit authentication.

Дополнительно, признак "неявной аутентификации для домена мультимедиа" может включать в себя инициализацию данных и конфигурацию данных на основе абонента, чтобы, когда пользователь имеет обеспеченной эту службу и пользователь является доверительным, непосредственно HSS или специализированное устройство аутентификации мультимедиа могли определить неявную аутентификацию для этого пользователя. В этом отношении и учитывая, что для определенного пользователя может быть задано несколько идентификаторов пользователя в домене мультимедиа, неявная аутентификация, далее описанная и упоминаемая при различных вариантах осуществления, может применять все идентификаторы пользователя или определенный идентификатор пользователя в домене мультимедиа.Additionally, the sign of “implicit authentication for the multimedia domain” may include initializing data and configuring data based on the subscriber, so that when the user is provided with this service and the user is trusting, the HSS or specialized media authentication device can determine the implicit authentication for this user . In this regard, and given that several user identifiers in a multimedia domain can be specified for a particular user, the implicit authentication described and mentioned below in various embodiments can apply all user identifiers or a specific user identifier in the multimedia domain.

Дополнительно, в сообщении Cx-Put-response в S-CSCF может быть передана также другая релевантная информация, такая как вид аутентификации, информация доступа, например, IP-адрес и контактная информация, временная метка аутентификации и другие данные, значимые для обеспечения дополнительной поддержки защиты.Additionally, other relevant information, such as the type of authentication, access information, for example, IP address and contact information, authentication timestamp, and other data significant to provide additional support, may also be transmitted to the S-CSCF in the Cx-Put-response message. protection.

Согласно аспекту изобретения, поясняемому выше, пользователь может быть уведомлен относительно неявной аутентификации, предложенной сетью связи и предназначенной для согласия или не согласия на нее пользователем. Следовательно, S-CSCF передает SIP-агенту пользователя новое SIP-сообщение, называемое в настоящем описании "неявной аутентификацией SIP 4xx", так что SIP-агент пользователя, если полагает допустимым, блокирует внутри себя обычно выполняемую процедуру явной аутентификации мультимедиа. То есть, SIP-агент пользователя не должен ожидать или предполагать прием либо сообщения Вызова- Аутентификации, либо векторов аутентификации, как описано в 3G TS 33.203. Кроме того, SIP-агент пользователя или, более обобщенно, устройство пользователя должны рассматривать сеть связи, поддерживающую домен мультимедиа, как неявно аутентифицированную. С другой стороны, SIP-агент пользователя может считать неявную аутентификацию недопустимой, в этом случае в сеть связи передается соответствующая отрицательная квитанция, не изображенная на чертежах, для принудительного осуществления обычного механизма явной аутентификации в соответствии с вышеупомянутым применяемым стандартом.According to the aspect of the invention explained above, the user may be notified of the implicit authentication proposed by the communication network and intended to be agreed or not by the user. Therefore, the S-CSCF transmits to the SIP user agent a new SIP message, referred to herein as “implicit SIP 4xx authentication”, so that the user SIP agent, if it is deemed valid, blocks within itself the normally performed procedure for explicit multimedia authentication. That is, the SIP agent of the user should not expect or expect the reception of either a Call-Authentication message or authentication vectors, as described in 3G TS 33.203. In addition, the user SIP agent or, more generally, the user device should consider the communication network supporting the multimedia domain as implicitly authenticated. On the other hand, the SIP agent of the user may consider implicit authentication inadmissible, in this case, the corresponding negative receipt, not shown in the drawings, is transmitted to the communication network to enforce the usual mechanism of explicit authentication in accordance with the aforementioned applicable standard.

Согласно фиг.3, когда SIP-агент пользователя согласился на неявную аутентификацию, он отвечает на это сообщение новым сообщением SIP-Регистрации.According to figure 3, when the SIP agent of the user agreed to implicit authentication, he replies to this message with a new message SIP Registration.

На этом этапе можно понять, что благодаря неявной аутентификации, выполняемой, согласно изобретению, посредством повторного использования в домене мультимедиа данных аутентификации из доверительной сети доступа, настоящее изобретение также обеспечивает предпочтительное решение поддержки единой регистрации (SSO) в домене мультимедиа для пользователей, которые уже были аутентифицированы сетью доступа перед доступом к упомянутому домену мультимедиа.At this stage, it can be understood that due to the implicit authentication performed according to the invention by reusing authentication data from the trusted access network in the multimedia domain, the present invention also provides a preferred solution for single sign-on (SSO) support in the multimedia domain for users who have already been authenticated by the access network before accessing said multimedia domain.

Наряду с этим предпочтительным решением, фиг.3 изображает, что SIP-Регистрация, в конечном счете, передаваемая из SIP-агента пользователя устройства пользователя в S-CSCF, включает в себя указание "обеспечена возможность SSO" ("SSO enabled"), предназначенное для указания сети связи, что дается согласие на неявную аутентификацию. Сеть связи представляет (на рассмотрение) такое сообщение SIP-Регистрации в S-CSCF, которая в свою очередь передает обратно в устройство пользователя успешный результат "SIP 200 утвержден" ("SIP 200 OK"). Теперь конечный пользователь является зарегистрированным в домене мультимедиа без тех дополнительных периодических процессов аутентификации, обычно происходящих при регистрации мультимедиа конечного пользователя.Along with this preferred solution, FIG. 3 depicts that SIP Registration ultimately transmitted from the SIP agent of the user device user to the S-CSCF includes an indication of “SSO enabled” intended to indicate the communication network that consent is given to implicit authentication. The communication network submits (for consideration) such a SIP Registration message to the S-CSCF, which in turn sends back to the user device the successful result "SIP 200 approved" ("SIP 200 OK"). The end user is now registered in the multimedia domain without those additional periodic authentication processes that typically occur during multimedia registration of the end user.

Говоря в общем, для этого варианта осуществления, и что также применимо для других вариантов осуществления, описанных далее, обеспечено, что имеет место уведомление из устройства пользователя относительно неявной аутентификации, обслуживающий объект (S-CSCF) может проверить, соответствуют ли также другие релевантные данные, соответственно включенные в SIP-Регистрацию и в Cx-Put-response, в отношении неявной аутентификации и доступа с единой регистрацией. Упомянутыми релевантными данными могут быть, например, вид аутентификации, информация доступа, например, подобная IP-адресу и контактной информации, временная метка аутентификации, или их комбинация, и другие данные, значимые для обеспечения дополнительной поддержки защиты.Generally speaking, for this embodiment, and which is also applicable to the other embodiments described below, it is ensured that there is a notification from the user device regarding implicit authentication, the serving entity (S-CSCF) can check whether other relevant data also matches respectively included in SIP Registration and Cx-Put-response, with respect to implicit authentication and single sign-on access. Relevant data mentioned may be, for example, the type of authentication, access information, for example, similar to the IP address and contact information, the authentication timestamp, or a combination thereof, and other data significant to provide additional security support.

Согласно вышеупомянутому сценарию, где пользователь был аутентифицирован сетью связи UMTS и дополнительно осуществляет доступ к домену мультимедиа через сеть связи GPRS, и согласно второму варианту осуществления, иллюстрируемому фиг.4, обеспечен еще более упрощенный механизм аутентификации пользователя в домене мультимедиа, при этом пользователя просто уведомляют о решении выполнить неявную аутентификацию, принятом сетью связи. Согласно этому второму варианту осуществления пользователь подключается к сети связи UMTS и аутентифицируется в ней с участием домашнего сервера абонентов (HSS), объектами GPRS (SGSN, GGSN) активизируется PDP-контекст, и в объекты функции управления состоянием вызова (P-CSCF, I-CSCF, S-CSCF) передается сообщение SIP-Регистрации для регистрации в домене мультимедиа подобно тому, как это делалось в первом варианте осуществления. Отличие между указанными первым и вторым вариантами осуществления состоит в том, что окончательное решение о выполнении неявной аутентификации для пользователя принимает непосредственно HSS или специализированное устройство аутентификации мультимедиа. В этой связи HSS включает указание "неявной аутентификации сетью" в Cx-Put-response в направлении S-CSCF.According to the above scenario, where the user has been authenticated by the UMTS communication network and additionally accesses the multimedia domain via the GPRS communication network, and according to the second embodiment illustrated in FIG. 4, an even more simplified user authentication mechanism is provided in the multimedia domain, and the user is simply notified about the decision to perform implicit authentication adopted by the communication network. According to this second embodiment, the user connects to the UMTS communication network and authenticates in it with the participation of the home subscriber server (HSS), the PDP context is activated by the GPRS objects (SGSN, GGSN), and the call state control function objects (P-CSCF, I- CSCF, S-CSCF) a SIP Registration message is transmitted for registration in the multimedia domain, similar to what was done in the first embodiment. The difference between the aforementioned first and second embodiments is that the final decision to perform implicit authentication for the user is made directly by the HSS or a specialized multimedia authentication device. In this regard, the HSS includes an indication of "implicit network authentication" in the Cx-Put-response in the direction of the S-CSCF.

Затем, после завершения "Cx-Pull-process" ("Cx-Выполнить-процесс") между S-CSCF и HSS и без запроса на согласие пользователя S-CSCF уведомляет пользователя о том, что сеть связи самостоятельно выполнила неявную аутентификацию посредством включения указания "неявной аутентификации сетью связи" в определенный ответ "SIP 2xx УТВЕРЖДЕН" вместо того, чтобы использовать вышеупомянутое новое сообщение "SIP 4xx".Then, upon completion of the “Cx-Pull-process” between the S-CSCF and the HSS and without requesting user consent, the S-CSCF notifies the user that the communication network independently performed implicit authentication by including an indication “implicit authentication by the communications network” to the specific “SIP 2xx APPROVED” response instead of using the aforementioned new “SIP 4xx” message.

После приема упомянутого ответа "SIP 2xx УТВЕРЖДЕН" с указанием "неявной аутентификации сетью связи" SIP-агент пользователя не должен ожидать или предполагать прием либо сообщения Вызова-Аутентификации, либо векторов аутентификации, как описано в 3G TS 33.203. Кроме того, SIP-агент пользователя или в обобщенном смысле устройство пользователя может считать сеть связи, поддерживающую домен мультимедиа, как неявно аутентифицированную, если устройство пользователя сконфигурировано для выполнения такой аутентификация сети связи.After receiving the said response, “SIP 2xx is APPROVED” indicating “implicit authentication by the communications network”, the SIP user agent should not expect or expect the receipt of either a Call-Authentication message or authentication vectors, as described in 3G TS 33.203. In addition, the user SIP agent or, in a generalized sense, the user device can consider the communication network supporting the multimedia domain as implicitly authenticated if the user device is configured to perform such authentication of the communication network.

Теперь конечный пользователь является зарегистрированным в домене мультимедиа без тех дополнительных периодических процессов аутентификации, обычно происходящих при регистрации мультимедиа конечного пользователя, и, кроме того, с использованием более простого механизма, чем механизм, описанный в первом варианте осуществления.Now the end user is registered in the multimedia domain without those additional periodic authentication processes that usually occur during registration of multimedia of the end user, and, in addition, using a simpler mechanism than the mechanism described in the first embodiment.

Второй сценарий развивается там, где пользователь был аутентифицирован сетью связи UMTS после подключения к GSM и процедуры обновления местоположения и дополнительно осуществляет доступ к домену мультимедиа через сеть связи GPRS. В этом отношении, для упрощения понимания, домашний сервер абонентов (HSS) сети связи UMTS содержит все базовые функциональные возможности и работает, как обычный Домашний Регистр Местоположения (ДРМ, HLR) сети связи GSM, и дополнительно все функциональные возможности, требуемые для действия в качестве сервера абонентов в домене мультимедиа. Однако, если обычные функциональные возможности HLR постоянно находятся в объекте, отличном от сервера абонентов для домена мультимедиа, то для совместного использования данных аутентификации пользователя используют дополнительный интерфейс между обоими объектами, а именно GMS HLR и сервером абонентов для домена мультимедиа.The second scenario develops where the user was authenticated by the UMTS communication network after connecting to GSM and the location update procedure and additionally accesses the multimedia domain through the GPRS communication network. In this regard, to simplify the understanding, the home subscriber server (HSS) of the UMTS communication network contains all the basic functionality and works like a regular Home Location Register (HLR) of the GSM communication network, and additionally all the functionality required to act as subscribers server in the multimedia domain. However, while the usual HLR functionality resides in an object other than the subscriber server for the multimedia domain, then for sharing the user authentication data, an additional interface is used between both objects, namely the GMS HLR and the subscriber server for the multimedia domain.

Согласно фиг.5 по вышеупомянутому второму сценарию иллюстрируется еще третий вариант осуществления, в котором при подключении к GSM и процедуре обновления местоположения SIP-агенту пользователя устройства пользователя возвращают новое поле. Следовательно, сервер абонентов (HSS) домена мультимедиа включает указание "неявной аутентификации" в операцию GSM "Вставить Данные Абонента" ("Insert Subscriber Data") в направлении к сервисному узлу поддержки служб GPRS (SGSN) в сети доступа. Затем SGSN также включает это указание "неявной аутентификации" в операцию GSM "Ответ на Обновление Местоположения" ("Update Location Answer") в направлении к SIP-агенту пользователя.5, the aforementioned second scenario illustrates another third embodiment, in which, when connected to GSM and the procedure for updating the location, the user device returns a new field to the user's SIP agent. Therefore, the multimedia domain subscriber server (HSS) includes the indication of “implicit authentication” in the GSM operation “Insert Subscriber Data” towards the GPRS service support node (SGSN) in the access network. Then, the SGSN also includes this “implicit authentication” indication in the GSM operation “Update Location Answer” towards the user's SIP agent.

Это указание может применять все идентификаторы пользователя или определенный идентификатор пользователя в домене мультимедиа, и понимается устройством пользователя (UE), как неявное приглашение на обеспечение возможности доступа с единой регистрацией (SSO) к домену мультимедиа, на которое устройство пользователя может согласиться или не согласиться. Если неявная аутентификация допустима для конечного пользователя (UE), так как не требуется дополнительной защиты, то в домен мультимедиа (P-CSCF, I-CSCF) передается сообщение SIP-Регистрации, сообщение SIP-Регистрации включает в себя указание "Обеспечена возможность SSO", предназначенное для указания сети, что дано согласие на неявную аутентификацию.This indication may apply all user identifiers or a specific user identifier in a multimedia domain, and is understood by a user device (UE) as an implicit invitation to provide single sign-on (SSO) access to a multimedia domain to which a user device may or may not agree. If implicit authentication is acceptable for the end user (UE), since additional protection is not required, then the SIP Registration message is sent to the multimedia domain (P-CSCF, I-CSCF), the SIP Registration message includes the indication "SSO is enabled" intended to indicate to the network that consent has been given to implicit authentication.

После приема такого сообщения SIP-Регистрации в объекте опрашивающей функции управления состоянием вызова (I-CSCF), указание "Обеспечена возможность SSO" включается в новое поле сообщения "Cx-Query" ("Cx-запрос"), включенного в так называемую процедуру "Cx-Selection-Info", которая хранится в домашнем сервере абонентов (HSS) домена мультимедиа. На этом этапе признак "неявной аутентификации для домена мультимедиа" непосредственно в HSS или в специализированном устройстве аутентификации мультимедиа обрабатывает указание "Обеспечена возможность SSO" для дополнительного обеспечения по запросу данных аутентификации для пользователя.After receiving such a SIP Registration message in the object of the interrogating call state management function (I-CSCF), the indication "SSO is enabled" is included in the new field of the message "Cx-Query"("Cx-request") included in the so-called procedure " Cx-Selection-Info " , which is stored in the home server of subscribers (HSS) of the multimedia domain. At this point, the sign of “implicit authentication for the multimedia domain” directly in the HSS or in a dedicated multimedia authentication device processes the indication “SSO is enabled” to further provide authentication information to the user upon request.

Указание "Обеспечена возможность SSO" также включают в SIP-Регистрацию, передаваемую из I-CSCF в объект обслуживающей функции управления состоянием вызова (S-CSCF), выбранный для обслуживания пользователя в текущее время. Как в предыдущих вариантах осуществления, представленный вариант осуществления, иллюстрируемый на фиг.5, также изображает операцию "Cx-Put", выполняемую из S-CSCF в направлении HSS. Соответственно, HSS посредством операции "Cx-Put-response", которая включает в себя указание "неявной аутентификации, подтвержденной пользователем", инструктирует S-CSCF в отношении предотвращения дополнительной аутентификации конечного пользователя и передачи векторов аутентификации для упомянутого конечного пользователя. В свою очередь, S-CSCF может проверить также, соответствуют ли другие релевантные данные, соответственно включенные в SIP-Регистрацию и в Cx-Put-response, в отношении неявной аутентификации и доступа с единой регистрацией, релевантными данными, например, являются вид аутентификации, информация доступа, например, подобная IP-адресу и контактной информации, временная метка аутентификации, или их комбинации, и другие данные, значимые для обеспечения дополнительной поддержки защиты.The indication “SSO Enabled” is also included in the SIP Registration transmitted from the I-CSCF to the Call Status Management Function (S-CSCF) entity selected to currently serve the user. As in previous embodiments, the presented embodiment illustrated in FIG. 5 also depicts a “Cx-Put” operation performed from the S-CSCF in the HSS direction. Accordingly, the HSS through the “Cx-Put-response” operation, which includes the indication of “implicit authentication, confirmed by the user”, instructs the S-CSCF to prevent additional authentication of the end user and transmit authentication vectors for said end user. In turn, the S-CSCF can also check whether other relevant data included in the SIP Registration and Cx-Put-response, respectively, with respect to implicit authentication and single sign-on access, relevant data, for example, is the type of authentication, access information, such as IP address and contact information, authentication timestamp, or combinations thereof, and other data relevant to provide additional security support.

В итоге, после завершения "Cx-Pull-process" между S-CSCF и сервером абонентов (HSS), S-CSCF возвращает обратно пользователю обычный успешный результат "SIP 200 УТВЕРЖДЕН" в направлении SIP-агента пользователя в устройстве пользователя.As a result, after the completion of the “Cx-Pull-process” between the S-CSCF and the Subscriber Server (HSS), the S-CSCF returns to the user the usual successful result “SIP 200 APPROVED” in the direction of the SIP agent of the user in the user device.

Согласно фиг.6 по вышеупомянутому второму сценарию иллюстрируется дополнительный четвертый вариант осуществления, единственным отличием которого от предыдущего третьего варианта осуществления, изображенного на фиг.5, является то, что указание "неявной аутентификации" возвращают SIP-агенту пользователя устройства пользователя в Коротком Сообщении, переданном из Центра службы коротких сообщений (SMSC), как предварительно проинструктировано непосредственно сервером абонентов (HSS) или специализированным устройством аутентификации мультимедиа, и тогда, когда осуществлено подключение к GSM и закончены процедуры аутентификации, а не при процедуре обновления местоположения. Для упрощения понимания на чертежах пара объектов GPRS, SGSN и GGSN фиг.5 заменена на так называемый объект "GSN" на фиг.6. Это указание "неявной аутентификации", как и для вышеупомянутого варианта осуществления, может также применять все идентификаторы пользователя или определенный идентификатор пользователя в домене мультимедиа. Когда устройство пользователя осведомлено о приеме этого указания "неявной аутентификации", и если такая неявная аутентификация признана допустимой, то устройство пользователя обрабатывает сообщение и включает указание "Обеспечена возможность SSO" в Сообщение SIP-Регистрации, передаваемое для доступа к домену мультимедиа (P-CSCF, I-CSCF), указание "Обеспечена возможность SSO" предназначено для указания сети связи, что устройство пользователя дает согласие на неявную аутентификацию. С этого момента далее поток сигнализации может быть идентичным потоку сигнализации в предыдущем третьем варианте осуществления.6, the aforementioned second scenario illustrates an additional fourth embodiment, the only difference from the previous third embodiment shown in FIG. 5 is that the indication of “implicit authentication” is returned to the user device SIP agent of the user device in the Short Message transmitted from the Short Message Service Center (SMSC) , as previously instructed directly by the subscriber server (HSS) or a specialized multimedia authentication device unified, and then, when a connection is made to GSM and authentication procedures are completed, and not with the procedure for updating the location. To simplify the understanding in the drawings, a pair of GPRS, SGSN and GGSN objects of FIG. 5 are replaced by the so-called “GSN” object of FIG. 6. This indication of "implicit authentication", as for the aforementioned embodiment, may also apply all user identifiers or a specific user identifier in the media domain. When the user device is aware of the receipt of this “implicit authentication” indication, and if such implicit authentication is deemed valid, the user device processes the message and includes the “SSO Enabled” indication in the SIP Registration Message transmitted to access the media domain (P-CSCF , I-CSCF), the indication “SSO is enabled” is intended to indicate to the communication network that the user device agrees to implicit authentication. From now on, the signaling stream may be identical to the signaling stream in the previous third embodiment.

Также в вариантах осуществления по указанному второму сценарию конечного пользователя регистрируют в домене мультимедиа без указанных дополнительных периодических процессов аутентификации, которые обычно происходят при регистрации мультимедиа конечного пользователя, и с использованием более простого механизма, чем обычно выполняемый механизм.Also, in the embodiments according to the specified second scenario, the end user is registered in the multimedia domain without these additional periodic authentication processes that usually occur during registration of multimedia of the end user, and using a simpler mechanism than the usual mechanism.

Третий сценарий развивается там, где пользователь, осуществляющий доступ через беспроводную локальную сеть связи, был аутентифицирован сетью связи UMTS и дополнительно осуществляет доступ к домену мультимедиа через указанную беспроводную локальную сеть связи (WLAN).The third scenario develops where a user accessing through a wireless local area network has been authenticated by the UMTS communication network and additionally accesses the media domain through the specified wireless local area network (WLAN).

Согласно иллюстрируемому на фиг.7 пятому варианту осуществления по указанному третьему сценарию, конечный пользователь подключен и аутентифицирован в WLAN сетью связи UMTS, конечный пользователь или скорее устройство пользователя (UE) получило открытый IP-сеанс, предпочтительно, посредством использования обычно так называемого защищенного туннеля в домашней сети связи. Этот защищенный туннель, предпочтительно, устанавливается между устройством пользователя и Шлюзом (сети) Коммутации Пакетов (Ш-КП, PD - GW) посредством инкапсулирования данных из вышеупомянутого IP-сеанса, в основном, IP-адреса, в шифрованную полезную нагрузку сообщения, в то время как между устройством пользователя (UE) и шлюзом коммутации пакетов (PD - GW) используется внешний IP-адрес, не относящийся к IP-сеансу.According to the fifth embodiment illustrated in FIG. 7, according to the third scenario, the end user is connected and authenticated in the WLAN by the UMTS communication network, the end user or rather the user equipment (UE) has received an open IP session, preferably by using the usually so-called secure tunnel in home network connection. This secure tunnel is preferably established between the user device and the Packet Switching Gateway (network) (W-KP, PD-GW) by encapsulating the data from the above IP session, mainly the IP address, into the encrypted message payload, while while an external IP address other than an IP session is used between the user device (UE) and the packet switching gateway (PD - GW).

На этом этапе, подобному тому, как это выполняется для первого варианта осуществления, изображенного на фиг.3, поток сигнализации на фиг.7 изображает, как конечный пользователь и SIP-агент пользователя, а именно устройство пользователя (UE), получают доступ к домену мультимедиа посредством передачи сообщения SIP-Регистрации со стороны пользователя (UE) в домен мультимедиа (P-CSCF, I-CSCF).At this stage, similar to how it is performed for the first embodiment shown in FIG. 3, the signaling flow in FIG. 7 depicts how the end user and the user SIP agent, namely the user device (UE), gain access to the domain multimedia by transmitting a SIP Registration message from a user (UE) to a multimedia domain (P-CSCF, I-CSCF).

Объект Опрашивающей функции управления состоянием вызова (I-CSCF) инициирует обычно вызываемую процедуру "Cx-Selection- Info" в направлении к домашнему серверу абонентов (HSS), а именно серверу абонентов в домене мультимедиа, для идентификации Обслуживающей функции управления состоянием вызова (S- CSCF), ответственной за пользователя в текущее время. Когда такая S-CSCF идентифицирована, I-CSCF передает соответствующее сообщение SIP-Регистрации в S-CSCF. S-CSCF, принимая такое сообщение на регистрацию, инициирует обычно вызываемую процедуру Cx-Put в направлении домашнего сервера абонентов (HSS).The Call State Management Interrogation Function (I-CSCF) object initiates the commonly called "Cx-Selection-Info" procedure towards the home subscriber server (HSS), namely the subscriber server in the multimedia domain, to identify the Call State Management service (S- CSCF) currently responsible for the user. When such an S-CSCF is identified, the I-CSCF transmits the corresponding SIP Registration message to the S-CSCF. The S-CSCF, upon receiving such a registration message, initiates the commonly called Cx-Put procedure towards the home subscriber server (HSS).

При условии, что HSS предварительно участвовал в аутентификации пользователя для доступа WLAN, посредством обмена профилем пользователя и векторами аутентификации пользователя с так называемым сервером "аутентификации, авторизации и учетной записи", следующим стандартам 3GPP (который именуется далее AAA- 3GPP), как иллюстрируется на фиг.2, HSS может дополнительно к другой информации топологии сети использовать свою информацию относительно защищенного туннеля для определения потенциальной защиты канала сигнализации для осуществления доступа к домену мультимедиа через упомянутую сеть доступа. Вследствие этого, согласно изобретению, непосредственно HSS или специализированное устройство аутентификации мультимедиа может принять решение о неявной аутентификации для упомянутого пользователя. Это решение, предпочтительно, принимается, когда Шлюз коммутации пакетов (PD - GW) принадлежит тому же домашнему домену, что и HSS, или в других случаях, где PD-GW считается защищенным и доверительным. Кроме того, признак "неявной аутентификации для домена мультимедиа" может включать в себя, как в предыдущих вариантах осуществления, инициализацию данных и конфигурацию данных на основе абонента, чтобы, когда пользователь имеет обеспеченной эту службу и является доверительным, непосредственно HSS или специализированное устройство аутентификации мультимедиа могло определить неявную аутентификацию для этого пользователя.Provided that the HSS has previously participated in user authentication for WLAN access, by exchanging the user profile and user authentication vectors with the so-called “authentication, authorization and account” server, following 3GPP standards (which is referred to as AAA-3GPP hereinafter), as illustrated in 2, the HSS may, in addition to other network topology information, use its information about the secure tunnel to determine the potential protection of the signaling channel to access barter media through said access network. Consequently, according to the invention, directly the HSS or the specialized multimedia authentication device can decide on implicit authentication for said user. This decision is preferably made when the Packet Gateway (PD-GW) belongs to the same home domain as the HSS, or in other cases where the PD-GW is considered secure and trusted. In addition, the sign of “implicit authentication for the multimedia domain” may include, as in previous embodiments, initializing data and configuring data based on the subscriber, so that when the user is provided with this service and is trusted, directly HSS or a specialized multimedia authentication device could define implicit authentication for this user.

Следовательно, HSS включает указание "неявной аутентификации" в "Cx-Put-response" в направлении S-CSCF. Предпочтительно и в целях защиты, в сообщении "Cx-Put-response" в S-CSCF может передаваться также другая релевантная информация, такая как вид аутентификации, информация доступа, например, подобная IP-адресу и контактной информации, временная метка аутентификации и другие данные, значимые для обеспечения дополнительной поддержки защиты.Therefore, the HSS includes an indication of "implicit authentication" in the "Cx-Put-response" in the direction of the S-CSCF. Preferably, and for security purposes, the Cx-Put-response message to the S-CSCF may also transmit other relevant information, such as the type of authentication, access information, such as IP address and contact information, authentication timestamp, and other data significant to provide additional protection support.

Указанный пятый вариант осуществления фиг.7 присоединяется к первому варианту осуществления фиг.3, и оба соответствуют аспекту изобретения, поясняемому выше, где пользователь может быть уведомлен о неявной аутентификации, предложенной сетью связи и предназначенной для согласия или не согласия на нее пользователем.Said fifth embodiment of FIG. 7 is attached to the first embodiment of FIG. 3, and both correspond to an aspect of the invention explained above, where the user can be notified of the implicit authentication proposed by the communication network and intended to be agreed or not by the user.

Следовательно, S-CSCF передает SIP-агенту пользователя новое SIP-сообщение, называемое в настоящем описании "неявной аутентификацией SIP 4xx", так что SIP-агент пользователя, если полагает допустимым, блокирует внутри себя обычно выполняемую процедуру явной аутентификации мультимедиа. То есть, SIP-агент пользователя не должен ожидать или предполагать прием либо сообщения Вызова-Аутентификации, либо векторов аутентификации, как описано в 3G TS 33.203.Therefore, the S-CSCF transmits to the SIP user agent a new SIP message, referred to herein as “implicit SIP 4xx authentication”, so that the user SIP agent, if it is deemed valid, blocks within itself the normally performed procedure for explicit multimedia authentication. That is, the SIP agent of the user should not expect or expect the reception of either a Call-Authentication message or authentication vectors, as described in 3G TS 33.203.

Когда SIP-агент пользователя согласился на неявную аутентификацию, он отвечает на указанное сообщение "неявной аутентификации SIP 4xx" новым сообщением SIP-Регистрации, которое включает в себя указание "Обеспечена возможность SSO", предназначенное для указания сети связи, что дано согласие на неявную аутентификацию. Сеть связи (P-CSCF, I-CSCF) представляет такое сообщение SIP-Регистрации в S-CSCF, которая в свою очередь передает обратно в устройство пользователя (UE) успешный результат "SIP 200 Утвержден". Конечный пользователь, осуществлявший доступ через сеть связи WLAN, теперь является зарегистрированным в домене мультимедиа без тех дополнительных периодических процессов аутентификации, которые обычно происходят при регистрации мультимедиа конечного пользователя.When the SIP agent of the user has agreed to implicit authentication, he replies to the indicated message "implicit SIP 4xx authentication" with a new SIP Registration message, which includes the indication "SSO is enabled", designed to indicate the communication network that consent has been given to implicit authentication . The communication network (P-CSCF, I-CSCF) presents such a SIP Registration message to the S-CSCF, which in turn transmits the successful SIP 200 Approved result back to the user device (UE). The end user accessing through the WLAN is now registered in the multimedia domain without the additional periodic authentication processes that typically occur during multimedia registration of the end user.

Описание пятого варианта осуществления, иллюстрируемого на фиг.7, по возможности максимально соответствует описанию первого варианта осуществления, изображенного на фиг.3. Аналогично, принципы второго варианта осуществления, изображенного на фиг.4, где сетью доступа является GPRS, могут быть без труда применимы к другому варианту осуществления, где сетью доступа является WLAN, последнее не требует дополнительного пояснения ввиду вышеизложенных вариантов осуществления.The description of the fifth embodiment illustrated in FIG. 7 corresponds as far as possible to the description of the first embodiment shown in FIG. 3. Similarly, the principles of the second embodiment shown in FIG. 4, where the access network is GPRS, can easily be applied to another embodiment, where the access network is WLAN, the latter not requiring further explanation in view of the above embodiments.

С другой стороны, вышеупомянутый третий вариант осуществления, где сетью доступа является GPRS, является практически применимым также к другому варианту осуществления, где сетью доступа является WLAN, поскольку релевантные указания аутентификации, передаваемые в устройство пользователя, включены в соответствующие сообщения протокола RADIUS или Diameter, используемого при доступе к WLAN, в виде определенной пары значение - атрибут (ПЗА, AVP).On the other hand, the aforementioned third embodiment, where the access network is GPRS, is also practically applicable to another embodiment, where the access network is WLAN, since the relevant authentication instructions transmitted to the user device are included in the corresponding RADIUS or Diameter messages used when accessing a WLAN, in the form of a specific pair, the value is attribute (PZA, AVP).

В итоге, вышеупомянутый четвертый вариант осуществления, где сетью доступа является GPRS, также применим для другого варианта осуществления, где сетью доступа является WLAN, при предположении поддерживания в WLAN Службы коротких сообщений (SMS), или при использовании технологии коммутации каналов инфраструктуры GRPS для SMS в случае наличия в виде устройства пользователя двухрежимных терминалов.As a result, the aforementioned fourth embodiment, where the access network is GPRS, is also applicable to another embodiment, where the access network is WLAN, assuming that the Short Message Service (SMS) is supported in the WLAN, or when using the GRPS infrastructure channel switching technology for SMS in if there are dual-mode terminals as a user device.

Четвертый сценарий развивается там, где пользователь был аутентифицирован сетью связи CDMA 2000 после процедуры подключения к службе коммутации пакетов и дополнительно осуществляет доступ к домену мультимедиа через сеть связи службы коммутации пакетов. Фиг.8 иллюстрирует шестой вариант осуществления, присоединенный к варианту осуществления фиг.4 по первому сценарию, при этом в качестве сервера абонентов сети связи CDMA 2000 действует сервер аутентификации, авторизации и учетных записей (AAA). В этом отношении и для упрощения понимания сервер аутентификации, авторизации и учетных записей (AAA) сети связи CDMA 2000 содержит все базовые функциональные возможности, требуемые для обеспечения возможности доступа к службам коммутации пакетов в сети связи CDMA 2000, и все функциональные возможности, требуемые для действия в качестве сервера абонентов в домене мультимедиа.The fourth scenario develops where the user was authenticated by the CDMA 2000 communication network after the procedure of connecting to the packet switching service and additionally accesses the multimedia domain through the packet switching communication network. Fig. 8 illustrates a sixth embodiment connected to the embodiment of Fig. 4 according to the first scenario, wherein an authentication, authorization, and account (AAA) server acts as a subscription server of the CDMA 2000 communication network. In this regard, and to simplify understanding, the authentication, authorization, and account (AAA) server of a CDMA 2000 communication network contains all the basic functionality required to provide access to packet switching services in a CDMA 2000 communication network, and all the functionality required for action as a subscriber server in the multimedia domain.

Однако, если известные обычные функциональные возможности AAA для доступа к службам коммутации пакетов CDMA 2000 постоянно находятся в объекте, отличном от сервера абонентов для домена мультимедиа, то для совместного использования данных аутентификации используется дополнительный интерфейс между обоими объектами, а именно между обычным AAA CDMA 2000 и сервером абонентов для домена мультимедиа.However, if the well-known usual AAA functionality for accessing CDMA 2000 packet switching services is constantly located in an object other than the subscriber server for the multimedia domain, then an additional interface is used between the two objects for sharing authentication data, namely, between the ordinary AAA CDMA 2000 and subscriber server for multimedia domain.

Отдельно от этих рассуждений, вышеупомянутые варианты осуществления также применимы к этому сценарию, вовлекающему сеть связи CDMA 2000, при предположении, что релевантная информация может передаваться с использованием добавлений к существующим интерфейсам RADIUS и Diameter.Apart from these considerations, the aforementioned embodiments are also applicable to this scenario involving a CDMA 2000 communication network, under the assumption that relevant information may be transmitted using additions to existing RADIUS and Diameter interfaces.

По вышеупомянутому возможному первому сценарию представлен еще дополнительный вариант осуществления, который иллюстрируется на фиг.9, в котором предложение неявной аутентификации (Предложение SSO) (SSO Proposal) фактически запускается непосредственно из устройства пользователя (UE) и без приема предшествующего приглашения из домена мультимедиа (IMS). Соответственно, последовательность потока на фиг.9 представляет вариант осуществления, альтернативный вариантам осуществления на фиг.5 и 6, при этом для выполнения неявной аутентификации между устройством пользователя и доменом мультимедиа, упомянутое устройство пользователя (UE) непосредственно представляет в домен мультимедиа (IMS) свое предложение такой неявной аутентификации (Предложение SSO), без приема предшествующего приглашения сообщением Ответа на Обновление Местоположение или Службой коротких сообщений (SMS).In the aforementioned possible first scenario, an additional embodiment is presented, which is illustrated in FIG. 9, in which the implicit authentication offer (SSO Proposal) (SSO Proposal) is actually launched directly from the user's device (UE) and without receiving the previous invitation from the multimedia domain (IMS ) Accordingly, the flow sequence in FIG. 9 represents an alternative embodiment to FIGS. 5 and 6, in order to perform implicit authentication between a user device and a multimedia domain, said user device (UE) directly submits its to the multimedia domain (IMS) offer such implicit authentication (SSO Offer), without receiving the previous invitation by the Location Response Response message or Short Message Service (SMS).

Этот новый подход может быть также применен для модификации других вышеупомянутых вариантов осуществления, независимо от применяющегося сценария.This new approach can also be applied to modify the other aforementioned embodiments, regardless of the scenario used.

Выше в иллюстративной и не накладывающей ограничений форме описано изобретение в отношении нескольких вариантов осуществления. Очевидно, в свете вышеупомянутых принципов возможны изменения и модификации настоящего изобретения, и любое изменение вариантов осуществления, которое попадает в контекст формулы изобретения, предназначено для включения в нее.The invention has been described above in an illustrative and non-limiting form with respect to several embodiments. Obviously, in light of the above principles, changes and modifications of the present invention are possible, and any change in the embodiments that fall within the context of the claims is intended to be included therein.

Claims (34)

1. Устройство для аутентификации мультимедиа пользователя (UE), осуществляющего доступ к домену мультимедиа (IMS) через сеть доступа, устройство используется в сервере абонентов или во взаимодействии с сервером абонентов сети доступа, в котором хранятся данные аутентификации для пользователя и который является доступным для домена мультимедиа, устройство отличается тем, что содержит1. A device for authenticating a multimedia user (UE) accessing a multimedia domain (IMS) through an access network, the device is used in a subscriber server or in conjunction with a subscriber server of an access network that stores authentication data for a user and which is accessible to a domain multimedia device differs in that it contains средство для принятия решения о том, что доступна неявная аутентификация между пользователем и доменом мультимедиа на основе предыдущей аутентификации пользователя сетью доступа, соответственно, обходя потребность в явной аутентификации, иmeans for deciding that implicit authentication between the user and the multimedia domain is available based on the previous authentication of the user by the access network, respectively, bypassing the need for explicit authentication, and средство для инструктирования обслуживающего объекта (S-CSCF), ответственного за аутентификацию пользователя в домене мультимедиа, относительно того, что доступна неявная аутентификация.means for instructing a serving entity (S-CSCF) responsible for authenticating a user in a multimedia domain that implicit authentication is available. 2. Устройство по п.1, в котором средство для принятия решения о том, что доступна неявная аутентификация, содержит средство для определения потенциальной защиты канала сигнализации для доступа к домену мультимедиа через сеть доступа.2. The device according to claim 1, in which the means for deciding that implicit authentication is available, comprises means for determining the potential protection of the signaling channel for accessing the multimedia domain through the access network. 3. Устройство по п.1, в котором средство для инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, содержит средство для указания, что окончательное решение осуществляется на стороне пользователя, которая способна принудительно выполнить явную аутентификацию.3. The device according to claim 1, in which the means for instructing the serving entity that implicit authentication is available, comprises means for indicating that the final decision is made on the user side, which is capable of forcing explicit authentication. 4. Устройство по п.1, в котором средство для инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, содержит средство для указания, что это есть окончательное решение, принятое сетью связи, и явная аутентификация не может быть выполнена.4. The device according to claim 1, in which the means for instructing the serving entity that implicit authentication is available, comprises means for indicating that this is the final decision made by the communication network, and explicit authentication cannot be performed. 5. Устройство по п.1, которое также содержит средство для уведомления устройства пользователя о том, что для сети связи доступно выполнение неявной аутентификации пользователя для доступа к домену мультимедиа.5. The device according to claim 1, which also includes means for notifying the user device that the communication network is available to perform implicit user authentication to access the multimedia domain. 6. Устройство по п.1, в котором средство для принятия решения о том, что доступна неявная аутентификация между пользователем и доменом мультимедиа, содержит средство для приема предложения неявной аутентификации, исходящего из устройства пользователя.6. The device according to claim 1, in which the means for deciding that implicit authentication between the user and the multimedia domain is available, comprises means for receiving an implicit authentication offer originating from the user device. 7. Устройство по п.3, которое также содержит средство для приема указания для подтверждения согласия на неявную аутентификацию, предложенную сетью связи, исходящего из устройства пользователя.7. The device according to claim 3, which also contains means for receiving instructions for confirming consent to implicit authentication proposed by the communication network emanating from the user's device. 8. Устройство по п.7, которое также содержит средство для указания, что пользователь подтвердил неявную аутентификацию, в обслуживающий объект, ответственный за аутентификацию пользователя в домене мультимедиа.8. The device according to claim 7, which also contains means for indicating that the user has confirmed implicit authentication to the serving entity responsible for authenticating the user in the multimedia domain. 9. Устройство по п.8, которое также содержит средство для обеспечения дополнительных данных аутентификации в обслуживающий объект, дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, включающей в себя вид аутентификации, информацию доступа и временную метку аутентификации.9. The device of claim 8, which also includes means for providing additional authentication data to the serving entity, the additional authentication data includes at least one element selected from a group of elements including the type of authentication, access information, and temporary authentication label. 10. Устройство пользователя (UE), обеспеченное возможностью получить доступ к домену мультимедиа (IMS) через сеть доступа и скомпонованное для выполнения первой процедуры явной аутентификации сетью доступа и второй процедуры явной аутентификации доменом мультимедиа, устройство пользователя отличается тем, что имеет средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя10. A user device (UE) provided with the ability to access a multimedia domain (IMS) through an access network and configured to perform a first explicit authentication procedure by an access network and a second explicit authentication procedure by a multimedia domain, a user device is characterized in that it has a means for processing, at least one notification selected from a notification group including уведомление, принятое из домена мультимедиа, указывающее, что для сети связи доступно выполнение неявной аутентификации для пользователя, иa notification received from a multimedia domain indicating that implicit authentication for the user is available for the communication network, and уведомление для выполнения неявной аутентификации между устройством пользователя и доменом мультимедиа, предложенное из устройства пользователя в домен мультимедиа.a notification for performing implicit authentication between a user device and a media domain proposed from a user device to a media domain. 11. Устройство пользователя по п.10, в котором средство для обработки уведомления, принятого из домена мультимедиа, содержит средство для приема и обработки указания, что окончательное решение осуществляется на устройстве пользователя, которое способно принудительно выполнить явную аутентификацию.11. The user device of claim 10, wherein the means for processing the notification received from the multimedia domain comprises means for receiving and processing indications that the final decision is made on the user device, which is capable of forcing explicit authentication. 12. Устройство пользователя по п.11, которое также содержит средство для передачи в домен мультимедиа указания для подтверждения согласия на неявную аутентификацию, предложенную сетью связи.12. The user device according to claim 11, which also contains means for transmitting instructions to the multimedia domain to confirm consent to the implicit authentication proposed by the communication network. 13. Устройство пользователя по п.12, которое также содержит средство для обеспечения дополнительных данных аутентификации в домен мультимедиа, дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, включающей в себя: вид аутентификации, информацию доступа и временную метку аутентификации.13. The user device according to item 12, which also contains means for providing additional authentication data to the multimedia domain, the additional authentication data includes at least one element selected from a group of elements including: type of authentication, access information and timestamp authentication. 14. Устройство пользователя по п.10, в котором средство для обработки уведомления, принятого из домена мультимедиа, содержит средство для приема и обработки указания, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.14. The user device of claim 10, wherein the means for processing a notification received from the multimedia domain comprises means for receiving and processing indications that implicit authentication is the final decision made by the communication network, and explicit authentication cannot be performed. 15. Способ аутентификации пользователя (UE), осуществляющего доступ к домену мультимедиа (IMS) через сеть доступа, способ включает в себя15. A method for authenticating a user (UE) accessing a multimedia domain (IMS) through an access network, the method includes этап аутентификации пользователя в сети доступа, через которую осуществляет доступ пользователь, сеть доступа имеет сервер абонентов с данными аутентификации для пользователя и доступный для домена мультимедиа, иa user authentication step in the access network through which the user accesses, the access network has a subscriber server with authentication data for the user and available for the multimedia domain, and этап регистрации пользователя в домене мультимедиа,stage of user registration in the multimedia domain, способ отличается тем, что включает в себя:The method is characterized in that it includes: этап принятия решения о том, что доступна неявная аутентификация между пользователем и доменом мультимедиа, соответственно обходя потребность в явной аутентификации, иthe step of deciding that implicit authentication is available between the user and the media domain, respectively bypassing the need for explicit authentication, and этап инструктирования обслуживающего объекта (S-CSCF), ответственного за аутентификацию пользователя в домене мультимедиа, относительно того, что доступна неявная аутентификация.the step of instructing the serving entity (S-CSCF) responsible for authenticating the user in the multimedia domain as to whether implicit authentication is available. 16. Способ по п.15, который также содержит этап уведомления, что может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа, из домена мультимедиа в устройство пользователя.16. The method of claim 15, further comprising the step of notifying that implicit user authentication can be performed to access the multimedia domain from the multimedia domain to the user device. 17. Способ по п.15, в котором этап принятия решения о том, что доступна неявная аутентификация, включает этап определения потенциальной защиты канала сигнализации для доступа к домену мультимедиа через сеть доступа.17. The method of claim 15, wherein the step of deciding that implicit authentication is available includes the step of determining the potential protection of the signaling channel for accessing the multimedia domain through the access network. 18. Способ по п.15, в котором этап принятия решения о том, что доступна неявная аутентификация, включает этап предложения о выполнении неявной аутентификации между устройством пользователя и доменом мультимедиа, из устройства пользователя в домен мультимедиа.18. The method of claim 15, wherein the step of deciding that implicit authentication is available includes the step of proposing to perform implicit authentication between the user device and the multimedia domain from the user device to the multimedia domain. 19. Способ по п.15, в котором этап инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, включает этап указания, что это есть окончательное решение, принятое сетью связи, и явная аутентификация не может быть выполнена.19. The method of claim 15, wherein the step of instructing the serving entity that implicit authentication is available includes the step of indicating that this is the final decision made by the communication network and that explicit authentication cannot be performed. 20. Способ по п.15, в котором этап инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, включает этап указания, что окончательное решение осуществляется на устройстве пользователя, которое способно принудительно выполнить явную аутентификацию.20. The method of claim 15, wherein the step of instructing the serving entity that implicit authentication is available includes the step of indicating that the final decision is made on a user device that is capable of forcing explicit authentication. 21. Способ по п.20, который также содержит этап подтверждения согласия на неявную аутентификацию, предложенную сетью связи, из устройства пользователя.21. The method according to claim 20, which also includes the step of confirming consent to implicit authentication proposed by the communication network from the user device. 22. Способ по п.21, который также содержит этап указания, что пользователь подтвердил неявную аутентификацию, в обслуживающий объект, ответственный за аутентификацию пользователя в домене мультимедиа.22. The method according to item 21, which also includes the step of indicating that the user has confirmed implicit authentication to the serving entity responsible for authenticating the user in the multimedia domain. 23. Обслуживающий объект (S-CSCF), ответственный за аутентификацию пользователя (UE) в домене мультимедиа (IMS), когда пользователь осуществляет к нему доступ через сеть доступа, причем пользователь был предварительно аутентифицирован, обслуживающий объект отличается тем, что содержит23. A service object (S-CSCF) responsible for authenticating a user (UE) in a multimedia domain (IMS), when a user accesses it through an access network, the user being pre-authenticated, the service object is different in that it contains средство для приема и обработки инструкций, исходящих из устройства по п.1, указывающих, что доступна неявная аутентификация на основе предварительной аутентификации пользователя сетью доступа, иmeans for receiving and processing instructions coming from the device according to claim 1, indicating that implicit authentication is available based on preliminary authentication of the user by the access network, and средство для уведомления, что для сети связи доступно выполнение неявной аутентификации пользователя для доступа к домену мультимедиа.means for notifying that implicit user authentication is available for the communication network to access the media domain. 24. Обслуживающий объект по п.23, который также содержит средство для приема указания, исходящего из устройства пользователя по п.12, для подтверждения согласия на неявную аутентификацию, предложенную сетью связи.24. The service entity of claim 23, which also comprises means for receiving an indication emanating from the user device of claim 12 to confirm consent to the implicit authentication proposed by the communication network. 25. Обслуживающий объект по п.23, который также содержит средство для приема указания, исходящего из устройства по п.8, указывающего, что пользователь подтвердил неявную аутентификацию.25. The service object of claim 23, which also comprises means for receiving an indication coming from the device of claim 8, indicating that the user has confirmed implicit authentication. 26. Обслуживающий объект по п.25, который также содержит средство для проверки соответствия дополнительных данных аутентификации соответственно принятых из устройства по п.9 и из устройства пользователя по п.13 для обеспечения дополнительной поддержки защиты.26. The service object of claim 25, which also comprises means for verifying compliance of additional authentication data respectively received from the device of claim 9 and from the user device of claim 13 to provide additional security support. 27. Обслуживающий объект по п.26, в котором дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, включающей в себя вид аутентификации, информацию доступа и временную метку аутентификации.27. The service entity of claim 26, wherein the additional authentication data includes at least one item selected from a group of items including an authentication type, access information, and an authentication timestamp. 28. Обслуживающий объект по п.23, в котором средство для уведомления пользователя о том, что для сети связи доступно выполнение неявной аутентификации, содержит средство для указания пользователю, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.28. The service object of claim 23, wherein the means for notifying the user that implicit authentication is available for the communication network comprises means for indicating to the user that implicit authentication is the final decision made by the communication network, and explicit authentication cannot be done. 29. Точка входа в домен мультимедиа (IMS), для пользователей (UE), осуществляющих к нему доступ через сеть доступа, причем пользователь был предварительно аутентифицирован, отличающаяся тем, что она имеет средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя29. The entry point to the multimedia domain (IMS), for users (UE) accessing it through the access network, and the user has been pre-authenticated, characterized in that it has means for processing at least one notification selected from notification group including уведомление (неявная аутентификация, неявная аутентификация сетью связи), переданного в устройство пользователя для указания, что для сети связи доступно выполнение неявной аутентификации пользователя для доступа к домену мультимедиа, иa notification (implicit authentication, implicit authentication by the communication network) sent to the user device to indicate that implicit user authentication is available for the communication network to access the multimedia domain, and уведомление для предложения в домен мультимедиа неявной аутентификации между упомянутым устройством пользователя и доменом мультимедиа, принятое из устройства пользователя.a notification for an offer to the media domain of implicit authentication between said user device and the media domain received from the user device. 30. Точка входа в домен мультимедиа по п.29, которая также содержит средство для приема указания о согласии на неявную аутентификацию, предложенную сетью связи, из устройства пользователя.30. The entry point to the multimedia domain according to clause 29, which also contains a means for receiving an indication of consent to implicit authentication proposed by the communication network from the user device. 31. Точка входа в домен мультимедиа по п.29, который также содержит средство для указания пользователю, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.31. The entry point to the multimedia domain according to clause 29, which also contains means for indicating to the user that implicit authentication is the final decision made by the communication network, and explicit authentication cannot be performed. 32. Опрашивающий объект (I-CSCF), запрашивающий сервер абонентов в домене мультимедиа (IMS) относительно пользователя (UE), осуществлявшего доступ к упомянутому домену мультимедиа через сеть доступа, опрашивающий объект имеет средство для приема запроса на регистрацию от пользователя и средство для квитирования такой регистрации в направлении пользователя, и отличается тем, что содержит средство для передачи указания пользователю, что неявная аутентификация пользователя для доступа к домену мультимедиа доступна.32. An interrogating entity (I-CSCF) requesting a subscriber server in a multimedia domain (IMS) regarding a user (UE) accessing said multimedia domain through an access network, the interrogating entity has a means for receiving a registration request from a user and means for acknowledging such registration in the direction of the user, and is characterized in that it comprises means for transmitting an indication to the user that implicit user authentication for accessing the multimedia domain is available. 33. Опрашивающий объект по п.32, который также содержит33. The interviewer according to claim 32, which also contains средство для приема указания для обеспечения возможности неявной аутентификации, исходящего из устройства пользователя, иmeans for receiving instructions to enable implicit authentication coming from a user device, and средство для передачи такого указания из устройства пользователя, по меньшей мере, в один объект, выбранный из группы объектов, включающей в себя устройство по п.1, и обслуживающий объект по п.23.means for transmitting such an indication from the user device to at least one object selected from the group of objects including the device according to claim 1, and the serving object according to claim 23. 34. Опрашивающий объект по п.32, который также содержит средство для передачи пользователю указания, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.34. The interrogating entity of claim 32, which further comprises means for transmitting to the user an indication that implicit authentication is the final decision made by the communication network, and explicit authentication cannot be performed.
RU2006109469/09A 2003-08-26 2003-08-26 Device and method for user identification for access to multimedia services RU2337504C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2006109469/09A RU2337504C2 (en) 2003-08-26 2003-08-26 Device and method for user identification for access to multimedia services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2006109469/09A RU2337504C2 (en) 2003-08-26 2003-08-26 Device and method for user identification for access to multimedia services

Publications (2)

Publication Number Publication Date
RU2006109469A RU2006109469A (en) 2006-07-10
RU2337504C2 true RU2337504C2 (en) 2008-10-27

Family

ID=36830603

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2006109469/09A RU2337504C2 (en) 2003-08-26 2003-08-26 Device and method for user identification for access to multimedia services

Country Status (1)

Country Link
RU (1) RU2337504C2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2519511C2 (en) * 2009-04-15 2014-06-10 ЗетТиИ Корпорейшн Method and system for creating multimedia service
RU2522029C2 (en) * 2009-12-28 2014-07-10 Нек Корпорейшн Communication system and method of creating topology information

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100551146C (en) * 2007-01-22 2009-10-14 华为技术有限公司 A kind of method, system and device of realizing user identification relevancy
CN101383725B (en) 2007-09-28 2013-03-13 华为技术有限公司 IP multimedia subsystem and disaster tolerant resuming method
CN101610261B (en) 2009-06-26 2012-10-10 中兴通讯股份有限公司 Method for leading traditional fixed network user to access IMS domain and system thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002091785A1 (en) * 2001-05-03 2002-11-14 Nokia Corporation Subscriber registrations in a mobile communication system
RU2001102498A (en) * 1998-06-26 2003-01-27 Телефонактиеболагет Лм Эрикссон (Пабл) METHOD FOR CHECKING THE AUTHORITY OF THE SUBSCRIBER IN THE SYSTEM OF COMMUNICATION WITH THE CELLULAR STRUCTURE OF THE SERVICE AREA
WO2003056781A1 (en) * 2001-12-28 2003-07-10 Nokia Corporation Service access

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6606491B1 (en) * 1998-06-26 2003-08-12 Telefonaktiebolaget Lm Ericsson (Publ) Subscriber validation method in cellular communication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2001102498A (en) * 1998-06-26 2003-01-27 Телефонактиеболагет Лм Эрикссон (Пабл) METHOD FOR CHECKING THE AUTHORITY OF THE SUBSCRIBER IN THE SYSTEM OF COMMUNICATION WITH THE CELLULAR STRUCTURE OF THE SERVICE AREA
WO2002091785A1 (en) * 2001-05-03 2002-11-14 Nokia Corporation Subscriber registrations in a mobile communication system
WO2003056781A1 (en) * 2001-12-28 2003-07-10 Nokia Corporation Service access

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2519511C2 (en) * 2009-04-15 2014-06-10 ЗетТиИ Корпорейшн Method and system for creating multimedia service
RU2522029C2 (en) * 2009-12-28 2014-07-10 Нек Корпорейшн Communication system and method of creating topology information

Also Published As

Publication number Publication date
RU2006109469A (en) 2006-07-10

Similar Documents

Publication Publication Date Title
US7836487B2 (en) Apparatus and method for authenticating a user when accessing to multimedia services
CN113748699B (en) Service authorization for indirect communication in a communication system
JP5069320B2 (en) Support for calls without UICC
US9503890B2 (en) Method and apparatus for delivering keying information
CA3073091A1 (en) Authenticating user equipments through relay user equipments
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
US20080198861A1 (en) Method for the routing and control of packet data traffic in a communication system
CN116887256A (en) Enhanced registration procedure in mobile systems supporting network slicing
US20070143613A1 (en) Prioritized network access for wireless access networks
US7970380B2 (en) User authentication in a communications system
US7600116B2 (en) Authentication of messages in a communication system
CN108464027A (en) 3GPP evolution block cores are accessed by WLAN for unauthenticated user and support emergency services
WO2010086029A1 (en) Method and radio communication system for establishing an access to a mobile network domain
RU2337504C2 (en) Device and method for user identification for access to multimedia services
EP3169043A1 (en) Support of imei checking for wlan access to a packet core of a mobile network
HK1260371B (en) Support of emergency services over wlan access to 3gpp evolved packet core for unauthenticated users