Устройство и способ для аутентификации пользователя при доступе к мультимедийным службам

Область техники, к которой относится изобретение

Настоящее изобретение относится к упрощенной процедуре аутентификации пользователя, осуществляющего доступ к мультимедийной сети через сеть доступа, где пользователь уже был аутентифицирован.

УРОВЕНЬ ТЕХНИКИ

Многие из сетей мобильной связи, существующих в настоящее время, а также возможные будущие сети связи, определяемые основными документами по стандартизации, требуют от конечных пользователей и агентов пользователей аутентифицировать себя при доступе к сети связи и, вернее, при доступе к службам, ассоциированным с сетью связи. В этом отношении, для всех: GSM, GPRS, беспроводной локальной сети связи (БЛС, WLAN) и доменов мультимедиа (IMS), как определено стандартами 3GPP и 3GPP2, требуются терминалы или устройства пользователя, скомпонованные для выполнения процедуры аутентификации, определенной для каждого конкретного технологического домена, перед предоставлением пользователям или агентам пользователей доступа к упомянутым доменам. В частности, вышеупомянутые технологические домены, а также другие появляющиеся технологические домены требуют различных уровней защиты, что еще более усложняет доступ через различные технологические домены. Этот сквозной доступ подразумевает дополнительную защиту, которая не всегда требуется, и, как следствие, дополнительные возможности обработки и сигнализации, а также дополнительное усложнение терминала или устройства пользователя.

В настоящее время процедура аутентификации в домене мультимедиа 3GPP выполняется, как описано в стандарте 3G TS 33.203 и изображено на фиг.1 в терминах потока сигнализации, основанного на протоколе инициирования сеанса связи (ПИС, SIP). Как иллюстрирует фиг.1 и описывают указанные технические спецификации, аутентификация мультимедиа (аутентификация при доступе к мультимедийным службам) должна быть выполнена всегда при регистрации пользователя в домене мультимедиа, которая обычно начинается с передачи сообщения SIP-Регистрации (SIP Register) для заданного частного и открытого идентификатора.

Начальное условие, предполагаемое перед началом вышеупомянутого потока сигнализации, состоит в том, что перед доступом к домену мультимедиа конечный пользователь должен иметь открытое соединение для передачи данных. Этим соединением может быть или соединение GPRS в терминах наличия активизированного PDP-контекста, или соединение WLAN в терминах наличия установленного соединения для передачи данных, как определено стандартами IEEE 802.11, или другая сеть доступа, обеспечивающая сторону пользователя соединением для передачи данных. В этом сценарии конечный пользователь или агент пользователя уже был аутентифицирован сетью доступа, либо GPRS, либо WLAN, либо другой, для установления такого соединения для передачи данных, причем перед передачей SIP-Регистации в домен мультимедиа.

В частности, обе сети доступа, используемые в настоящее время, а именно GPRS и WLAN, обеспечивают соответственный механизм аутентификации, SIM/USIM-AKA для GPRS и EAP-SIM/AKA для WLAN, в то время как домен мультимедиа в настоящее время использует механизм аутентификации, обеспечивающий уровень защиты, подобный обеспечиваемому вышеупомянутыми сетями доступа, так называемый USIM-AKA, который выполняется при достижении сообщением SIP-Регистрации объекта Обслуживающей Функции управления состоянием вызова (О-ФУСВ, S-CSCF), как изображено на фиг.1. В этом отношении, фиг.2 иллюстрирует последовательность действий, которой придерживаются для выполнения аутентификации EAP AKA для пользователя, осуществлявшего доступ к сети связи WLAN, причем RADIUS и MAP кажутся наиболее вероятными вариантами протокола, хотя вместо RADIUS или MAP может быть использован также DIAMETER.

В настоящее время, от пользователя, предпочитающего получить доступ к домену мультимедиа, требуется предварительное установление соединения для передачи данных, что часто выполняется через сеть доступа, такую как GPRS или WLAN и, следовательно, во-первых, пользователь был аутентифицирован с использованием EAP-SIM/AKA для сети доступа WLAN, и, во-вторых, дополнительно, пользователь должен быть аутентифицирован с использованием USIM-AKA при регистрации в домене мультимедиа.

Можно заключить, что в настоящее время не существует механизма аутентификации, выполняющего черездоменную аутентификацию для заданного пользователя между сетью доступа, такой как GPRS или WLAN, и доменом мультимедиа, основанном на SIP. Другими словами, не существует службы или устройства, которые обеспечивают возможность управления данными аутентификации от лица пользователя или SIP-агента пользователя и освобождают упомянутого пользователя или SIP-агента пользователя от необходимости выполнения операций аутентификации в домене мультимедиа, если уже имела место аутентификация в сети доступа, где пользователь осуществляет доступ через упомянутую сеть доступа, вероятно, являющуюся GPRS или WLAN.

В этом случае аутентификация для домена мультимедиа, как описано в 3G TS 33.203 и иллюстрируется на фиг.1, добавляет дополнительную сигнализацию в радиоканале, что при некоторых сценариях может не требоваться. Во-первых, после приема в S-SCSF SIP-Регистрации, S-SCSF, обычно, передает SIP-агенту пользователя сообщение Вызова_Аутентификации (Auth_Challenge). Если эта операция является успешной, то S-CSCF будет периодически передавать Вектор-запрос_Аутентификации SIP-агенту пользователя, который в свою очередь должен отвечать Вектор-ответом_Аутентификации. Оба эти сообщения добавляют дополнительную нагрузку на домен мультимедиа, а также продлевают время регистрации. То есть, SIP-агенты пользователя должны обрабатывать и Вызов_Аутентификации и Вектор-запрос_Аутентификации и отвечать на них. Эти сообщения требуют дополнительной обработки SIP-агентом пользователя, что означает, что SIP-агент пользователя должен скорее использовать мощность для этого процесса, чем использовать максимально возможную мощность для мультимедийных служб, которые, по сути, вероятно, являютсяэнергоемкими, с учетом ограниченной мощности батарей.

Вследствие этого, задачей настоящего изобретения является обеспечение механизма междоменной аутентификации, выполняющего черездоменную аутентификацию для заданного пользователя между доменом сети доступа и доменом мультимедиа, этот механизм междоменной аутентификации является более простым, чем существующий в настоящее время, и применим там, где сетью доступа была выполнена аутентификация пользователя.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

Вышеупомянутая задача решается, согласно настоящему изобретению, посредством обеспечения устройства по п.1 формулы изобретения, устройства пользователя по п.10 формулы изобретения и способа по п.15 формулы изобретения, причем устройства скомпонованы, и способ организован для повторногоиспользования данных аутентификации между различными сетями связи или между различными технологическими доменами, и при содействии обслуживающегообъектапо п.23 формулы изобретения, ответственного за аутентификацию пользователя в домене мультимедиа, и посреднического объекта по п.29 и опрашивающего объектапо п.32 формулы изобретения, которые являются объектамидомена мультимедиа, согласно стандартам 3GPP и 3GPP2. Следовательно, согласно изобретению обеспечен новый признак, далее упоминаемый, как "Неявная аутентификациядля домена мультимедиа", который может быть реализован, как специализированное устройство аутентификации мультимедиа в тесном взаимодействии с сервером абонентов, или полностью интегрированным в упомянутый сервер абонентов. Упомянутым сервером абонентов является база данных абонентов, участвующая в аутентификации абонента, например, Домашний сервер абонентов (ДСА, HSS) или Сервер Аутентификации-Авторизации-Учетных записей (ААУ, AAA), и устройство Аутентификации Мультимедиа хранит необходимую логику и компоненты для обеспечения возможности повторного использования данных аутентификации между сетью доступа, такой как беспроводная локальная сеть связи (WLAN), сеть связи Общей системы пакетной радиопередачи(ОСПР, GPRS), Универсальная система мобильной электросвязи (УСМЭ, UMTS) или сеть связи Множественного доступа с кодовым разделением каналом (МДКР, CDMA 2000) и упомянутым доменом мультимедиа.

Устройство, которое, согласно изобретению, используют для аутентификации мультимедиа пользователя, осуществляющего доступ к домену мультимедиа через сеть доступа, скомпоновано для использования в сервере абонентов сети доступа или во взаимодействии с сервером абонентов сети доступа, в котором хранятся данные аутентификации для пользователя и который является доступным для домена мультимедиа. Упомянутое устройство содержит средство для принятия решения о том, что может иметь место неявная аутентификация между пользователем или скорее между устройством пользователя и доменом мультимедиа, и средство для инструктированияобслуживающего объекта, ответственного за аутентификацию пользователя в домене мультимедиа относительно того, что может иметь место неявная аутентификация. Соответственно, при использовании этого устройства обходится необходимость в явной аутентификации.

В этом устройстве средство для принятия решения о том, что может иметь место неявная аутентификация, предпочтительно, содержит средство для определения потенциальной защиты каналапередачи сигнализации для доступа к домену мультимедиа через упомянутую сеть доступа. Для этого устройство может содержать также средство инициализации и данных конфигурации, скомпонованное для оценки защиты различных каналов передачи сигнализации. Кроме того, средство для принятия решения о том, что может иметь место неявная аутентификация, может содержать средство для обработки предложениянеявной аутентификации, исходящего из устройства пользователя.

Устройство, предпочтительно, скомпоновано для определения, является ли неявная аутентификация только предложением для устройства пользователя, которое может принудительно выполнить явную аутентификацию, или она является окончательным решением, принятым сетью связи, так что явная аутентификация не может быть выполнена. Следовательно, средство для инструктирования обслуживающего объекта относительно того, что может иметь место неявная аутентификация, содержит средство для указания, что окончательное решение осуществляется на устройстве пользователя, и средство для указания, что это есть окончательное решение, принятое сетью связи.

В этом отношении устройство дополнительно содержит средство для уведомления пользователя о том, что сетью связи может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа. Однако это средство для уведомления также может постоянно находиться в других объектах домена мультимедиа.

Кроме того, при условии, что окончательное решение относительно того, выполнять ли неявную аутентификацию, может осуществляться на стороне устройства пользователя, согласно изобретению устройство дополнительно содержит средство для приема указания, исходящего со стороны устройства пользователя, для подтверждения согласия на неявную аутентификацию, предложенную сетью связи. В случае приема такого подтверждения согласия устройство также содержит средство для указания обслуживающему объекту, ответственному за аутентификацию пользователя в домене мультимедиа, что устройство пользователя подтвердило неявную аутентификацию. Еще дополнительно, устройство может иметь средство для обеспечения дополнительных данных аутентификации в упомянутый обслуживающий объект, упомянутые дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, содержащей: вид аутентификации; информацию доступа и временную метку аутентификации.

Обычно устройство пользователя обеспечено возможностью получения доступа к домену мультимедиа через сеть доступа, и, соответственно, скомпоновано для выполнения первой процедуры явной аутентификации сетью доступа и второй процедуры явной аутентификации доменом мультимедиа. Сеть доступа содержит сервер абонентов для хранения данных аутентификации для пользователя, и, в целях настоящего изобретения, упомянутый сервер абонентов является доступным для домена мультимедиа. Устройство пользователя, согласно изобретению, содержит средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя: уведомление, указывающее, что для пользователя может быть выполнена неявная аутентификация, из домена мультимедиа; и уведомление, указывающее, что устройство пользователя предлагает сети связи неявную аутентификацию, в домен мультимедиа.

Это средство, предпочтительно, может содержать средство для приема указания из домена мультимедиа, что окончательное решение осуществляется на стороне устройства пользователя, которая может принудительно выполнить явную аутентификацию, или что это есть окончательное решение, принятое сетью связи, так что явная аутентификация не может быть выполнена. Устройство пользователя, специально скомпонованное для случая, где окончательное решение осуществляется на стороне пользователя, дополнительно содержит средство для передачи в домен мультимедиа указания для подтверждения согласия на неявную аутентификацию, предложенную сетью связи. Кроме того, устройство пользователя может иметь средство для обеспечения дополнительных данных аутентификации в домен мультимедиа, упомянутые дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, содержащей: вид аутентификации; информацию доступа; и временную метку аутентификации.

Также обеспечен способ аутентификации пользователя в домене мультимедиа при доступе к нему пользователя через сеть доступа, который, обычно, включает этап аутентификации пользователя в сети доступа, упомянутая сеть доступа имеет сервер абонентов с данными аутентификации для пользователя и являющийся доступным для домена мультимедиа; и этап регистрации пользователя в домене мультимедиа.

Этот способ, согласно изобретению, также включает:

- этап принятия решения о том, что может иметь место неявная аутентификация между пользователем и доменом мультимедиа, соответственно, обходя необходимость явной аутентификации; и

- этап инструктирования обслуживающего объекта, ответственного за аутентификацию пользователя в домене мультимедиа, относительно того, что может иметь место неявная аутентификация.

Этот способ может дополнительно включать этап уведомления о том, что может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа, из домена мультимедиа в устройство пользователя.

В этом способе этап принятия решения о том, что может иметь место неявная аутентификация, предпочтительно, включает этап определения потенциальной защиты канала передачи сигнализации для доступа к мультимедийному домену через упомянутую сеть доступа. Кроме того, вышеупомянутый этап принятия решения о том, что может иметь место неявная аутентификация, может включать также этап предложения о выполнении неявной аутентификации между устройством пользователя и доменом мультимедиа, из упомянутого устройства пользователя в домен мультимедиа.

Также в этом способе этап инструктирования обслуживающего объекта относительно того, что может иметь место неявная аутентификация, предпочтительно, включает этап указания, осуществляется ли окончательное решение на устройстве пользователя, которое может принудительно выполнить явную аутентификацию, или окончательное решение принято сетью, так что явная аутентификация не может быть выполнена. Дополнительно, и в частности для случая, где окончательное решение осуществляется на стороне пользователя, способ может дополнительно включать этап подтверждения согласия на неявную аутентификацию, предложенную сетью связи, из устройства пользователя. Кроме того, и присоединяетсяк вышеупомянутому этапу то, что способ может дополнительно включать этап указания, что пользователь подтвердил неявную аутентификацию, в обслуживающий объект, ответственный за аутентификацию пользователя в домене мультимедиа.

Изобретение дополнительно обеспечивает обслуживающий объект, ответственный за аутентификацию устройства пользователя в домене мультимедиа при осуществлении пользователем к нему доступа через сеть доступа, где упомянутый пользователь был предварительно аутентифицирован. Согласно изобретению этот обслуживающий объект содержит средство для приема инструкций из вышеупомянутого устройства, указывающих, что может иметь место неявная аутентификация; и средство для уведомления устройства пользователя о том, что сетью связи может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа.

Этот обслуживающий объект, предпочтительно, скомпонован таким образом, что средство для уведомления пользователя о том, что сетью связи может быть выполнена неявная аутентификация, содержит средство для указания пользователю, является ли неявная аутентификация окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена, или неявная аутентификация является предложением из сети связи, на которое пользователь может согласиться, или которое пользователь может отклонить, принудительно осуществляя явную аутентификацию.

В случае если неявная аутентификация является предложением сети связи, обслуживающий объект, предпочтительно, содержит средство для приема указания, исходящего из устройства пользователя, для подтверждения согласия на такую неявную аутентификацию, предложенную сетью связи. Кроме того, этот обслуживающий объект, предпочтительно, содержит средство для приема такого указания, что пользователь подтвердил неявную аутентификацию, из вышеупомянутого устройства.

Этот обслуживающий объект, предпочтительно, может содержать дополнительное средство для проверки соответствиядополнительных данных аутентификации, соответственно, принятых из вышеупомянутого устройства и устройства пользователя, для обеспечения дополнительной поддержки защиты. Эти дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент из группы элементов, включающей в себя: вид аутентификации, информацию доступа и временную метку аутентификации.

Изобретение дополнительно дополнено обеспечением некоторых других объектов, таких как посреднический и опрашивающий объект, для обращения к стандартной топологии, следующей стандарту 3GPP или 3GPP2.

Посреднический объект, в соответствии со стандартами 3GPP и 3GPP2, предназначен для действия в качестве точки входа в домен мультимедиа для пользователей, осуществляющих к нему доступ через сеть доступа, где пользователь уже был аутентифицирован. Согласно изобретению этот посреднический объект содержит средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя:

- уведомление для указания, что сетью связи может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа, переданное в устройство пользователя; и

- уведомление для предложения в домен мультимедиа неявной аутентификации между упомянутым устройством пользователя и доменом мультимедиа, принятое из устройства пользователя.

Этот посреднический объект также, предпочтительно, скомпонован так, что средство для уведомления пользователя о том, что сетью связи может быть выполнена неявная аутентификация, содержит средство для указания пользователю, является ли неявная аутентификация окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена, или неявная аутентификация является предложением из сети связи, на которое пользователь может согласиться, или которое пользователь может отклонить, принудительно осуществляя явную аутентификацию.

В случае, если неявная аутентификация является предложением сети связи, посреднический объект, предпочтительно, содержит средство для приема указания о согласии на такую неявную аутентификацию, предложенную сетью связи, из устройства пользователя.

Опрашивающий объект, в соответствии со стандартами 3GPP и 3GPP2, предназначен для запроса сервера абонентов в домене мультимедиа относительно пользователя, осуществлявшегодоступ к упомянутому домену мультимедиа через другую сеть доступа. Этот опрашивающий объект имеет средство для приема запроса на регистрацию от пользователя и средство для квитирования (сообщения) такой регистрации для пользователя, и, согласно изобретению, опрашивающий объект также содержит средство для передачи указания, что для доступа к домену мультимедиа может быть выполнена неявная аутентификации пользователя, в устройство пользователя.

Опрашивающий объект для выполнения с другими предпочтительными признаками, обеспеченными изобретением, предпочтительно, содержит средство для приема указания, исходящего из устройства пользователя, для подтверждения согласия на неявную аутентификацию, предложенную сетью связи, или для собственного предложения такой неявной аутентификации; и средство для передачи такого подтверждения согласия пользователя, по меньшей мере, в один объект, выбранный из группы объектов, содержащей вышеупомянутое устройство и обслуживающий объект.

Кроме того, и также для выполнения с другими предпочтительными признаками, обеспеченными изобретением, опрашивающий объект дополнительно содержит средство для передачи в устройство пользователя указания, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Признаки, задачи и преимущества изобретения станут ясны при прочтении этого описания совместно с приложенными чертежами.

Фиг.1 изображает основную диаграмму потока (сигнализации) аутентификации в домене мультимедиа в соответствии с 3GPP TS 33.203.

Фиг.2 иллюстрирует общее представление архитектурных компонентов и поток сигнализации при аутентификации пользователя, следующей механизму EAP-AKA, через сеть доступа WLAN.

Фиг.3 изображает последовательность потока, описывающую в настоящее время предпочтительный вариант осуществления для повторного использования предыдущей аутентификации пользователя, имеющего доступ к домену мультимедиа через сеть связи GPRS или UMTS, где устройство пользователя принимает уведомление в этом отношении и обеспечено возможностью согласиться или не согласиться на неявную аутентификацию.

Фиг.4 изображает последовательность потока, описывающую альтернативный вариант осуществления относительно изображенного на фиг.3, где устройство пользователя принимает уведомление в этом отношении и скорее не обеспечено возможностью согласиться или не согласиться на неявную аутентификацию, а информируется о том, что имела место такая неявная аутентификация.

Фиг.5 изображает альтернативную последовательность потока, описывающую альтернативный вариант осуществления относительно изображенных на фиг.3 и фиг.4, где устройство пользователя при процедуре определения местоположенияпринимает приглашение на дополнительное выполнение неявной аутентификации в домене мультимедиа, соответственно, пользователь обеспечен возможностью согласиться или не согласиться на неявную аутентификацию.

Фиг.6 изображает альтернативную последовательность потока относительно изображенной на фиг.5, где устройство пользователя принимает приглашение Службой коротких сообщений (СКС, SMS) на дополнительное выполнение неявной аутентификации в домене мультимедиа, соответственно, пользователь обеспечен возможностью согласиться или не согласиться на неявную аутентификацию.

Фиг.7 изображает последовательность потока, описывающую в настоящее время предпочтительный вариант осуществления для повторного использования предыдущей аутентификации пользователя, имеющего доступ к домену мультимедиа через сеть связи WLAN, где устройство пользователя принимает уведомление в этом отношении и обеспечено возможностью согласиться или не согласиться на неявную аутентификацию.

Фиг.8 изображает последовательность потока, описывающую другой предпочтительный вариант осуществления для повторного использования предыдущей аутентификации пользователя сетью связи CDMA 2000, пользователь осуществляет доступ к домену мультимедиа через сеть связи Службы коммутации пакетов, где устройство пользователя принимает уведомление в этом отношении и обеспечено возможностью согласиться или не согласиться на неявную аутентификацию.

Фиг.9 изображает альтернативную последовательность потока относительно представленной на фиг.5 и 6, где устройство пользователя скорее не принимает приглашение сообщением Ответа на Обновление Местоположения или Службой коротких сообщений (SMS), соответственно, на дополнительное выполнение неявной аутентификации, а устройство пользователя формирует предложение неявной аутентификации для сети связи.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

Ниже описаны в настоящее время предпочтительные варианты осуществления устройства, устройства пользователя и способа для обеспечения пользователю возможности быть неявно аутентифицированным доменом мультимедиа при доступе через сеть доступа, где пользователь уже был аутентифицирован. Сетью доступа, предпочтительно, является беспроводная локальная сеть связи (WLAN), сеть связи общей системы пакетной радиопередачи (GPRS), сеть связи Глобальной системы мобильной связи (ГСМ, GSM), сеть связи Универсальной системы мобильной электросвязи (UMTS) или сеть связи Множественного доступа с кодовым разделением каналов (CDMA 2000).

Настоящее изобретение представляет несколько аспектов в связи с местом, в котором постоянно находится признак "неявной аутентификации для домена мультимедиа", который, в частности, может быть выполнен отдельным устройством в тесном взаимодействии с сервером абонентов или может быть выполнен непосредственно сервером абонентов.

Кроме того, настоящее изобретение также представляет несколько аспектов в связи с устройством пользователя, а именно терминал пользователя, или SIM, или USIM, или их комбинацию, в зависимости от степени принятия решения, оставленной на стороне пользователя или на стороне сети связи.

Согласно первому аспекту настоящего изобретения непосредственно сервер абонентов, которым, в частности, может быть HSS в 3GPP или AAA-сервер в стандартах 3GPP2 и сетях связи CDMA 2000, или устройство аутентификации мультимедиа, поддерживающее доступ к домену мультимедиа, определяет для определенного пользователя, что явная аутентификация для домена мультимедиа может не требоваться, на основе предыдущей аутентификации абонента, выполненной сетью доступа, через которую осуществляет доступ пользователь, и на основе допущения, что через сеть доступа осуществлен защищенный носитель для сигнализации мультимедиа. Таким защищенным носителем может быть, например, PDP-контекст в случае, если сетью доступа является GPRS, или защищенный туннель в случае, если сетью доступа является WLAN, в отношении к домашней сети связи при выполнении аутентификации абонента.

Согласно изобретению сервер абонентов или специализированное устройство аутентификации мультимедиа обеспечивает обслуживающему объекту, ответственному за аутентификацию пользователя, а именно Обслуживающей функции управления состоянием вызова(S-CSCF), политику аутентификации, указывающую, что для упомянутого пользователя, осуществляющего доступ к домену мультимедиа, может быть выполнена процедура Неявной Аутентификации на основе предыдущей аутентификации носителя через сеть доступа.

Кроме аутентификации пользователя сетью связи, где пользователь осуществляет доступ, процедуры аутентификации 3GPP поддерживают аутентификацию сети связи пользователем. Следовательно, и согласно другому аспекту изобретения, сервер абонентов или специализированное устройство аутентификации мультимедиа может, факультативно, указать устройству пользователя другую политику аутентификации для предложения возможной взаимной неявной аутентификации, на которую пользователь может согласиться или не согласиться.

Благодаря признаку "неявной аутентификации для домена мультимедиа" количество операций аутентификации, выполняемых либо пользователем, либо устройством пользователя и сетью связи, уменьшается и, соответственно, в домене мультимедиа достигается уменьшение сообщений сигнализации, которых можно избежать, при этом поддерживается требуемый уровень защиты, выполняя одну задачу настоящего изобретения.

Изобретение применимо к различным сценариям, где пользователь использует конкретную сеть доступа для доступа к домену мультимедиа, что, соответственно, приводит к различным вариантам осуществления изобретения. Дополнительно, существенно не удаляясь от контекста настоящего изобретения, от одного варианта осуществления к другому могут вноситься отдельные изменения.

Первый сценарий развивается там, где пользователь был аутентифицирован сетью связи UMTS и дополнительно осуществляет доступ к домену мультимедиа через сеть связи GPRS.

По этому сценарию и согласно первому варианту осуществления настоящего изобретения, иллюстрируемому на фиг.3, обеспечен упрощенный механизм для аутентификации пользователя в домене мультимедиа, при этом пользователя уведомляют о возможной неявной аутентификации. Пользователь или скорее сторона устройства пользователя (УП, UE) после приема этого уведомления может согласиться на неявную аутентификацию или принудительно выполнить явную аутентификацию в соответствии с применяемым стандартом для домена мультимедиа, как иллюстрирует фиг.1. Кроме того, эта неявная аутентификация может применять аутентификацию пользователя сетью и также аутентификацию сети пользователем. Кроме того, упомянутая неявная аутентификация может быть запущена сервером абонентов, таким как домашний сервер абонентов (HSS), ответственным за предыдущую аутентификацию пользователя в сети UMTS, как иллюстрируется на фиг.3, или специализированным устройством аутентификации мультимедиа во взаимодействии с упомянутым сервером абонентов.

Следовательно, согласно этому первому варианту осуществления, изображенному на фиг.3, конечный пользователь или устройство пользователя является подключенным к UMTS и аутентифицированным в UMTS и имеет открытым PDP-контекст GPRS. На этом этапе конечный пользователь и агент пользователя получают доступ к домену мультимедиа посредством инициирования процедуры SIP-Регистрации.

Эта процедура SIP-Регистрации содержит передачу сообщения SIP-Регистрации со стороны пользователя (UE) в Посредническую функцию управления состоянием вызова (P-CSCF) и из этого объекта в Опрашивающую функцию управления состоянием вызова(I-CSCF). I-CSCF инициирует обычно вызываемую процедуру Cx-Selection-Info (Cx-Выбор-Информации) в направлении домашнего сервера абонентов (HSS) для идентификации Обслуживающей функции управления состоянием вызова (S-CSCF), ответственной за пользователя в текущее время. Когда такая S-CSCF идентифицирована, I-CSCF передает соответствующее сообщение SIP-Регистрации в S-CSCF. S-CSCF, принимая такое сообщение Регистрации, инициирует обычно вызываемую процедуру Cx-Put (Cx-Внести) в направлении домашнего сервера абонентов (HSS).

При условии, что HSS предварительно участвовал в аутентификации пользователя при доступе к GPRS посредством обмена профилем пользователя и векторами аутентификации с сервисным узлом поддержки служб GPRS(SGSN), HSS дополнительно к другой информации топологии сети использует свою информацию относительно SGSN, где находится абонент, для определения потенциальной защиты канала сигнализации для доступа к домену мультимедиа через упомянутую сеть доступа. Вследствие этого, согласно изобретению, непосредственно HSS или специализированное устройство аутентификации мультимедиа может принять решение о неявной аутентификации для пользователя. В связи с этим, HSS включает в Cx-Put-response (Cx-Внести-ответ) в направлении S-CSCF указание о "неявной аутентификации".

Решение о передаче этого сообщения в S-CSCF, предпочтительно, принимается, когда шлюзовой узел поддержки служб GPRS (GGSN) принадлежит тому же домашнему домену, что и HSS, и, соответственно, GGSN считается защищенным и доверительным. Конкретным применимым сценарием является тот, когда HSS также считает доверительным SGSN, где находится абонент, например, так как они оба относятся к одному оператору сети, и независимо от того, обеспечен ли пользователь возможностью, дополнительно отказаться от предложенной неявной аутентификации.

Дополнительно, признак "неявной аутентификации для домена мультимедиа" может включать в себя инициализацию данных и конфигурацию данных на основе абонента, чтобы, когда пользователь имеет обеспеченной эту службу и пользователь является доверительным, непосредственно HSS или специализированное устройство аутентификации мультимедиа могли определить неявную аутентификацию для этого пользователя. В этом отношении и учитывая, что для определенного пользователя может быть задано несколько идентификаторов пользователя в домене мультимедиа, неявная аутентификация, далее описанная и упоминаемая при различных вариантах осуществления, может применять все идентификаторы пользователя или определенный идентификатор пользователя в домене мультимедиа.

Дополнительно, в сообщении Cx-Put-response в S-CSCF может быть передана также другая релевантная информация, такая как вид аутентификации, информация доступа, например, IP-адрес и контактная информация, временная метка аутентификации и другие данные, значимые для обеспечения дополнительной поддержки защиты.

Согласно аспекту изобретения, поясняемому выше, пользователь может быть уведомлен относительно неявной аутентификации, предложенной сетью связи и предназначенной для согласия или не согласия на нее пользователем. Следовательно, S-CSCF передает SIP-агенту пользователя новое SIP-сообщение, называемое в настоящем описании "неявной аутентификацией SIP 4xx", так что SIP-агент пользователя, если полагает допустимым, блокирует внутри себя обычно выполняемую процедуру явной аутентификации мультимедиа. То есть, SIP-агент пользователя не должен ожидать или предполагать прием либо сообщения Вызова- Аутентификации, либо векторов аутентификации, как описано в 3G TS 33.203. Кроме того, SIP-агент пользователя или, более обобщенно, устройство пользователя должны рассматривать сеть связи, поддерживающую домен мультимедиа, как неявно аутентифицированную. С другой стороны, SIP-агент пользователя может считать неявную аутентификацию недопустимой, в этом случае в сеть связи передается соответствующая отрицательная квитанция, не изображенная на чертежах, для принудительного осуществления обычного механизма явной аутентификации в соответствии с вышеупомянутым применяемым стандартом.

Согласно фиг.3, когда SIP-агент пользователя согласился на неявную аутентификацию, он отвечает на это сообщение новым сообщением SIP-Регистрации.

На этом этапе можно понять, что благодаря неявной аутентификации, выполняемой, согласно изобретению, посредством повторного использования в домене мультимедиа данных аутентификации из доверительной сети доступа, настоящее изобретение также обеспечивает предпочтительное решение поддержки единой регистрации(SSO) в домене мультимедиа для пользователей, которые уже были аутентифицированы сетью доступа перед доступом к упомянутому домену мультимедиа.

Наряду с этим предпочтительным решением, фиг.3 изображает, что SIP-Регистрация, в конечном счете, передаваемая из SIP-агента пользователя устройства пользователя в S-CSCF, включает в себя указание "обеспечена возможность SSO" ("SSO enabled"), предназначенное для указания сети связи, что дается согласие на неявную аутентификацию. Сеть связи представляет (на рассмотрение) такое сообщение SIP-Регистрации в S-CSCF, которая в свою очередь передает обратно в устройство пользователя успешный результат "SIP 200 утвержден" ("SIP 200 OK"). Теперь конечный пользователь является зарегистрированным в домене мультимедиа без тех дополнительных периодических процессов аутентификации, обычно происходящих при регистрации мультимедиа конечного пользователя.

Говоря в общем, для этого варианта осуществления, и что также применимо для других вариантов осуществления, описанных далее, обеспечено, что имеет место уведомление из устройства пользователя относительно неявной аутентификации, обслуживающий объект (S-CSCF) может проверить, соответствуют ли также другие релевантные данные, соответственно включенные в SIP-Регистрацию и в Cx-Put-response, в отношении неявной аутентификации и доступа с единой регистрацией. Упомянутыми релевантными данными могут быть, например, вид аутентификации, информация доступа, например, подобная IP-адресу и контактной информации, временная метка аутентификации, или их комбинация, и другие данные, значимые для обеспечения дополнительной поддержки защиты.

Согласно вышеупомянутому сценарию, где пользователь был аутентифицирован сетью связи UMTS и дополнительно осуществляет доступ к домену мультимедиа через сеть связи GPRS, и согласно второму варианту осуществления, иллюстрируемому фиг.4, обеспечен еще более упрощенный механизм аутентификации пользователя в домене мультимедиа, при этом пользователя просто уведомляют о решении выполнить неявную аутентификацию, принятом сетью связи. Согласно этому второму варианту осуществления пользователь подключается к сети связи UMTS и аутентифицируется в ней с участием домашнего сервера абонентов (HSS), объектами GPRS (SGSN, GGSN) активизируется PDP-контекст, и в объекты функции управления состоянием вызова (P-CSCF, I-CSCF, S-CSCF) передается сообщение SIP-Регистрации для регистрации в домене мультимедиа подобно тому, как это делалось в первом варианте осуществления. Отличие между указанными первым и вторым вариантами осуществления состоит в том, что окончательное решение о выполнении неявной аутентификации для пользователя принимает непосредственно HSS или специализированное устройство аутентификации мультимедиа. В этой связи HSS включает указание "неявной аутентификации сетью" в Cx-Put-response в направлении S-CSCF.

Затем, после завершения "Cx-Pull-process" ("Cx-Выполнить-процесс") между S-CSCF и HSS и без запроса на согласие пользователя S-CSCF уведомляет пользователя о том, что сеть связи самостоятельно выполнила неявную аутентификацию посредством включения указания "неявной аутентификации сетью связи" в определенный ответ "SIP 2xx УТВЕРЖДЕН" вместо того, чтобы использовать вышеупомянутое новое сообщение "SIP 4xx".

После приема упомянутого ответа "SIP 2xx УТВЕРЖДЕН" с указанием "неявной аутентификации сетью связи" SIP-агент пользователя не должен ожидать или предполагать прием либо сообщения Вызова-Аутентификации, либо векторов аутентификации, как описано в 3G TS 33.203. Кроме того, SIP-агент пользователя или в обобщенном смысле устройство пользователя может считать сеть связи, поддерживающую домен мультимедиа, как неявно аутентифицированную, если устройство пользователя сконфигурировано для выполнения такой аутентификация сети связи.

Теперь конечный пользователь является зарегистрированным в домене мультимедиа без тех дополнительных периодических процессов аутентификации, обычно происходящих при регистрации мультимедиа конечного пользователя, и, кроме того, с использованием более простого механизма, чем механизм, описанный в первом варианте осуществления.

Второй сценарий развивается там, где пользователь был аутентифицирован сетью связи UMTS после подключения к GSM и процедуры обновления местоположения и дополнительно осуществляет доступ к домену мультимедиа через сеть связи GPRS. В этом отношении, для упрощения понимания, домашний сервер абонентов (HSS) сети связи UMTS содержит все базовые функциональные возможности и работает, как обычный Домашний Регистр Местоположения (ДРМ, HLR) сети связи GSM, и дополнительно все функциональные возможности, требуемые для действия в качестве сервера абонентов в домене мультимедиа. Однако, если обычные функциональные возможности HLR постоянно находятся в объекте, отличном от сервера абонентов для домена мультимедиа, то для совместного использования данных аутентификации пользователя используют дополнительный интерфейс между обоими объектами, а именно GMS HLR и сервером абонентов для домена мультимедиа.

Согласно фиг.5 по вышеупомянутому второму сценарию иллюстрируется еще третий вариант осуществления, в котором при подключении к GSM и процедуре обновления местоположения SIP-агенту пользователя устройства пользователя возвращают новое поле. Следовательно, сервер абонентов (HSS) домена мультимедиа включает указание "неявной аутентификации" в операцию GSM "Вставить Данные Абонента" ("Insert Subscriber Data") в направлении к сервисному узлу поддержки служб GPRS (SGSN) в сети доступа. Затем SGSN также включает это указание "неявной аутентификации" в операцию GSM "Ответ на Обновление Местоположения" ("Update Location Answer") в направлении к SIP-агенту пользователя.

Это указание может применять все идентификаторы пользователя или определенный идентификатор пользователя в домене мультимедиа, и понимается устройством пользователя (UE), как неявное приглашение на обеспечение возможности доступа с единой регистрацией(SSO) к домену мультимедиа, на которое устройство пользователя может согласиться или не согласиться. Если неявная аутентификация допустима для конечного пользователя (UE), так как не требуется дополнительной защиты, то в домен мультимедиа (P-CSCF, I-CSCF) передается сообщение SIP-Регистрации, сообщение SIP-Регистрации включает в себя указание "Обеспечена возможность SSO", предназначенное для указания сети, что дано согласие на неявную аутентификацию.

После приема такого сообщения SIP-Регистрации в объекте опрашивающей функции управления состоянием вызова (I-CSCF), указание "Обеспечена возможность SSO" включается в новое поле сообщения "Cx-Query" ("Cx-запрос"), включенного в так называемую процедуру "Cx-Selection-Info", которая хранится в домашнем сервере абонентов (HSS) домена мультимедиа. На этом этапе признак "неявной аутентификации для домена мультимедиа" непосредственно в HSS или в специализированном устройстве аутентификации мультимедиа обрабатывает указание "Обеспечена возможность SSO" для дополнительного обеспечения по запросу данных аутентификации для пользователя.

Указание "Обеспечена возможность SSO" также включают в SIP-Регистрацию, передаваемую из I-CSCF в объект обслуживающей функции управления состоянием вызова (S-CSCF), выбранный для обслуживания пользователя в текущее время. Как в предыдущих вариантах осуществления, представленный вариант осуществления, иллюстрируемый на фиг.5, также изображает операцию "Cx-Put", выполняемую из S-CSCF в направлении HSS. Соответственно, HSS посредством операции "Cx-Put-response", которая включает в себя указание "неявной аутентификации, подтвержденной пользователем", инструктирует S-CSCF в отношении предотвращения дополнительной аутентификации конечного пользователя и передачи векторов аутентификации для упомянутого конечного пользователя. В свою очередь, S-CSCF может проверить также, соответствуют ли другие релевантные данные, соответственно включенные в SIP-Регистрацию и в Cx-Put-response, в отношении неявной аутентификации и доступа с единой регистрацией, релевантными данными, например, являются вид аутентификации, информация доступа, например, подобная IP-адресу и контактной информации, временная метка аутентификации, или их комбинации, и другие данные, значимые для обеспечения дополнительной поддержки защиты.

В итоге, после завершения "Cx-Pull-process" между S-CSCF и сервером абонентов (HSS), S-CSCF возвращает обратно пользователю обычный успешный результат "SIP 200 УТВЕРЖДЕН" в направлении SIP-агента пользователя в устройстве пользователя.

Согласно фиг.6 по вышеупомянутому второму сценарию иллюстрируется дополнительный четвертый вариант осуществления, единственным отличием которого от предыдущего третьего варианта осуществления, изображенного на фиг.5, является то, что указание "неявной аутентификации" возвращают SIP-агенту пользователя устройства пользователя в Коротком Сообщении, переданном из Центра службы коротких сообщений (SMSC), как предварительно проинструктировано непосредственно сервером абонентов (HSS) или специализированным устройством аутентификации мультимедиа, и тогда, когда осуществлено подключение к GSM и закончены процедуры аутентификации, а не при процедуре обновления местоположения. Для упрощения понимания на чертежах пара объектов GPRS, SGSN и GGSN фиг.5 заменена на так называемый объект "GSN" на фиг.6. Это указание "неявной аутентификации", как и для вышеупомянутого варианта осуществления, может также применять все идентификаторы пользователя или определенный идентификатор пользователя в домене мультимедиа. Когда устройство пользователя осведомленоо приеме этого указания "неявной аутентификации", и если такая неявная аутентификация признанадопустимой, то устройство пользователя обрабатывает сообщение и включает указание "Обеспечена возможность SSO" в Сообщение SIP-Регистрации, передаваемое для доступа к домену мультимедиа (P-CSCF, I-CSCF), указание "Обеспечена возможность SSO" предназначено для указания сети связи, что устройство пользователя дает согласие на неявную аутентификацию. С этого момента далее поток сигнализации может быть идентичным потоку сигнализации в предыдущем третьем варианте осуществления.

Также в вариантах осуществления по указанному второму сценарию конечного пользователя регистрируют в домене мультимедиа без указанных дополнительных периодических процессов аутентификации, которые обычно происходят при регистрации мультимедиа конечного пользователя, и с использованием более простого механизма, чем обычно выполняемый механизм.

Третий сценарий развивается там, где пользователь, осуществляющий доступ через беспроводную локальную сеть связи, был аутентифицирован сетью связи UMTS и дополнительно осуществляет доступ к домену мультимедиа через указанную беспроводную локальную сеть связи (WLAN).

Согласно иллюстрируемому на фиг.7 пятому варианту осуществления по указанному третьему сценарию, конечный пользователь подключен и аутентифицирован в WLAN сетью связи UMTS, конечный пользователь или скорее устройство пользователя (UE) получило открытый IP-сеанс, предпочтительно, посредством использования обычно так называемого защищенного туннеля в домашней сети связи. Этот защищенный туннель, предпочтительно, устанавливается между устройством пользователя и Шлюзом (сети) Коммутации Пакетов (Ш-КП, PD - GW) посредством инкапсулирования данных из вышеупомянутого IP-сеанса, в основном, IP-адреса, в шифрованную полезную нагрузку сообщения, в то время как между устройством пользователя (UE) и шлюзом коммутации пакетов (PD - GW) используется внешний IP-адрес, не относящийся к IP-сеансу.

На этом этапе, подобному тому, как это выполняется для первого варианта осуществления, изображенного на фиг.3, поток сигнализации на фиг.7 изображает, как конечный пользователь и SIP-агент пользователя, а именно устройство пользователя (UE), получают доступ к домену мультимедиа посредством передачи сообщения SIP-Регистрации со стороны пользователя (UE) в домен мультимедиа (P-CSCF, I-CSCF).

Объект Опрашивающей функции управления состоянием вызова (I-CSCF) инициирует обычно вызываемую процедуру "Cx-Selection- Info" в направлении к домашнему серверу абонентов (HSS), а именно серверу абонентов в домене мультимедиа, для идентификации Обслуживающей функции управления состоянием вызова (S- CSCF), ответственной за пользователя в текущее время. Когда такая S-CSCF идентифицирована, I-CSCF передает соответствующее сообщение SIP-Регистрации в S-CSCF. S-CSCF, принимая такое сообщение на регистрацию, инициирует обычно вызываемую процедуру Cx-Put в направлении домашнего сервера абонентов (HSS).

При условии, что HSS предварительно участвовал в аутентификации пользователя для доступа WLAN, посредством обмена профилем пользователя и векторами аутентификации пользователя с так называемым сервером "аутентификации, авторизации и учетной записи", следующим стандартам 3GPP (который именуется далее AAA- 3GPP), как иллюстрируется на фиг.2, HSS может дополнительно к другой информации топологии сети использовать свою информацию относительно защищенного туннеля для определения потенциальной защиты канала сигнализации для осуществления доступа к домену мультимедиа через упомянутую сеть доступа. Вследствие этого, согласно изобретению, непосредственно HSS или специализированное устройство аутентификации мультимедиа может принять решение о неявной аутентификации для упомянутого пользователя. Это решение, предпочтительно, принимается, когда Шлюз коммутации пакетов(PD - GW) принадлежит тому же домашнему домену, что и HSS, или в других случаях, где PD-GW считается защищенным и доверительным. Кроме того, признак "неявной аутентификации для домена мультимедиа" может включать в себя, как в предыдущих вариантах осуществления, инициализацию данных и конфигурацию данных на основе абонента, чтобы, когда пользователь имеет обеспеченной эту службу и является доверительным, непосредственно HSS или специализированное устройство аутентификации мультимедиа могло определить неявную аутентификацию для этого пользователя.

Следовательно, HSS включает указание "неявной аутентификации" в "Cx-Put-response" в направлении S-CSCF. Предпочтительно и в целях защиты, в сообщении "Cx-Put-response" в S-CSCF может передаваться также другая релевантная информация, такая как вид аутентификации, информация доступа, например, подобная IP-адресу и контактной информации, временная метка аутентификации и другие данные, значимые для обеспечения дополнительной поддержки защиты.

Указанный пятый вариант осуществления фиг.7 присоединяется к первому варианту осуществления фиг.3, и оба соответствуют аспекту изобретения, поясняемому выше, где пользователь может быть уведомлен о неявной аутентификации, предложенной сетью связи и предназначенной для согласия или не согласия на нее пользователем.

Следовательно, S-CSCF передает SIP-агенту пользователя новое SIP-сообщение, называемое в настоящем описании "неявной аутентификацией SIP 4xx", так что SIP-агент пользователя, если полагает допустимым, блокирует внутри себя обычно выполняемую процедуру явной аутентификации мультимедиа. То есть, SIP-агент пользователя не должен ожидать или предполагать прием либо сообщения Вызова-Аутентификации, либо векторов аутентификации, как описано в 3G TS 33.203.

Когда SIP-агент пользователя согласился на неявную аутентификацию, он отвечает на указанное сообщение "неявной аутентификации SIP 4xx" новым сообщением SIP-Регистрации, которое включает в себя указание "Обеспечена возможность SSO", предназначенное для указания сети связи, что дано согласие на неявную аутентификацию. Сеть связи (P-CSCF, I-CSCF) представляет такое сообщение SIP-Регистрации в S-CSCF, которая в свою очередь передает обратно в устройство пользователя (UE) успешный результат "SIP 200 Утвержден". Конечный пользователь, осуществлявший доступ через сеть связи WLAN, теперь является зарегистрированным в домене мультимедиа без тех дополнительных периодических процессов аутентификации, которые обычно происходят при регистрации мультимедиа конечного пользователя.

Описание пятого варианта осуществления, иллюстрируемого на фиг.7, по возможности максимально соответствует описанию первого варианта осуществления, изображенного на фиг.3. Аналогично, принципы второго варианта осуществления, изображенного на фиг.4, где сетью доступа является GPRS, могут быть без труда применимы к другому варианту осуществления, где сетью доступа является WLAN, последнее не требует дополнительного пояснения ввиду вышеизложенных вариантов осуществления.

С другой стороны, вышеупомянутый третий вариант осуществления, где сетью доступа является GPRS, является практически применимым также к другому варианту осуществления, где сетью доступа является WLAN, поскольку релевантные указания аутентификации, передаваемые в устройство пользователя, включены в соответствующие сообщения протокола RADIUS или Diameter, используемого при доступе к WLAN, в виде определенной пары значение - атрибут (ПЗА, AVP).

В итоге, вышеупомянутый четвертый вариант осуществления, где сетью доступа является GPRS, также применим для другого варианта осуществления, где сетью доступа является WLAN, при предположении поддерживания в WLANСлужбы коротких сообщений (SMS), или при использовании технологии коммутации каналов инфраструктуры GRPS для SMS в случае наличия в виде устройства пользователя двухрежимных терминалов.

Четвертый сценарий развивается там, где пользователь был аутентифицирован сетью связи CDMA 2000 после процедуры подключения к службе коммутации пакетов и дополнительно осуществляет доступ к домену мультимедиа через сеть связи службы коммутации пакетов. Фиг.8 иллюстрирует шестой вариант осуществления, присоединенныйк варианту осуществления фиг.4 по первому сценарию, при этом в качестве сервера абонентов сети связи CDMA 2000 действует сервер аутентификации, авторизации и учетных записей (AAA). В этом отношении и для упрощения понимания сервер аутентификации, авторизации и учетных записей (AAA) сети связи CDMA 2000 содержит все базовые функциональные возможности, требуемые для обеспечения возможности доступа к службам коммутации пакетов в сети связи CDMA 2000, и все функциональные возможности, требуемые для действия в качестве сервера абонентов в домене мультимедиа.

Однако, если известные обычные функциональные возможности AAA для доступа к службам коммутации пакетов CDMA 2000 постоянно находятся в объекте, отличном от сервера абонентов для домена мультимедиа, то для совместного использования данных аутентификации используется дополнительный интерфейс между обоими объектами, а именно между обычным AAA CDMA 2000 и сервером абонентов для домена мультимедиа.

Отдельно от этих рассуждений, вышеупомянутые варианты осуществления также применимы к этому сценарию, вовлекающему сеть связи CDMA 2000, при предположении, что релевантная информация может передаваться с использованием добавлений к существующим интерфейсам RADIUS и Diameter.

По вышеупомянутому возможному первому сценарию представлен еще дополнительный вариант осуществления, который иллюстрируется на фиг.9, в котором предложение неявной аутентификации (Предложение SSO) (SSO Proposal) фактически запускается непосредственно из устройства пользователя (UE) и без приема предшествующего приглашения из домена мультимедиа (IMS). Соответственно, последовательность потока на фиг.9 представляет вариант осуществления, альтернативный вариантам осуществления на фиг.5 и 6, при этом для выполнения неявной аутентификации между устройством пользователя и доменом мультимедиа, упомянутое устройство пользователя (UE) непосредственно представляет в домен мультимедиа (IMS) свое предложение такой неявной аутентификации (Предложение SSO), без приема предшествующего приглашения сообщением Ответа на Обновление Местоположение или Службой коротких сообщений (SMS).

Этот новый подход может быть также применен для модификации других вышеупомянутых вариантов осуществления, независимо от применяющегося сценария.

Выше в иллюстративной и не накладывающей ограничений форме описано изобретение в отношении нескольких вариантов осуществления. Очевидно, в свете вышеупомянутых принципов возможны изменения и модификации настоящего изобретения, и любое изменение вариантов осуществления, которое попадает в контекст формулы изобретения, предназначено для включения в нее.

1. Устройство для аутентификации мультимедиа пользователя (UE), осуществляющего доступ к домену мультимедиа (IMS) через сеть доступа, устройство используется в сервере абонентов или во взаимодействии с сервером абонентов сети доступа, в котором хранятся данные аутентификации для пользователя и который является доступным для домена мультимедиа, устройство отличается тем, что содержит

средство для принятия решения о том, что доступна неявная аутентификация между пользователем и доменом мультимедиа на основе предыдущей аутентификации пользователя сетью доступа, соответственно, обходя потребность в явной аутентификации, и

средство для инструктирования обслуживающего объекта (S-CSCF), ответственного за аутентификацию пользователя в домене мультимедиа, относительно того, что доступна неявная аутентификация.

2. Устройство по п.1, в котором средство для принятия решения о том, что доступна неявная аутентификация, содержит средство для определения потенциальной защиты канала сигнализации для доступа к домену мультимедиа через сеть доступа.

3. Устройство по п.1, в котором средство для инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, содержит средство для указания, что окончательное решение осуществляется на стороне пользователя, которая способна принудительно выполнить явную аутентификацию.

4. Устройство по п.1, в котором средство для инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, содержит средство для указания, что это есть окончательное решение, принятое сетью связи, и явная аутентификация не может быть выполнена.

5. Устройство по п.1, которое также содержит средство для уведомления устройства пользователя о том, что для сети связи доступно выполнение неявной аутентификации пользователя для доступа к домену мультимедиа.

6. Устройство по п.1, в котором средство для принятия решения о том, что доступна неявная аутентификация между пользователем и доменом мультимедиа, содержит средство для приема предложения неявной аутентификации, исходящего из устройства пользователя.

7. Устройство по п.3, которое также содержит средство для приема указания для подтверждения согласия на неявную аутентификацию, предложенную сетью связи, исходящего из устройства пользователя.

8. Устройство по п.7, которое также содержит средство для указания, что пользователь подтвердил неявную аутентификацию, в обслуживающий объект, ответственный за аутентификацию пользователя в домене мультимедиа.

9. Устройство по п.8, которое также содержит средство для обеспечения дополнительных данных аутентификации в обслуживающий объект, дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, включающей в себя вид аутентификации, информацию доступа и временную метку аутентификации.

10. Устройство пользователя (UE), обеспеченное возможностью получить доступ к домену мультимедиа (IMS) через сеть доступа и скомпонованное для выполнения первой процедуры явной аутентификации сетью доступа и второй процедуры явной аутентификации доменом мультимедиа, устройство пользователя отличается тем, что имеет средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя

уведомление, принятое из домена мультимедиа, указывающее, что для сети связи доступно выполнение неявной аутентификации для пользователя, и

уведомление для выполнения неявной аутентификации между устройством пользователя и доменом мультимедиа, предложенное из устройства пользователя в домен мультимедиа.

11. Устройство пользователя по п.10, в котором средство для обработки уведомления, принятого из домена мультимедиа, содержит средство для приема и обработки указания, что окончательное решение осуществляется на устройстве пользователя, которое способно принудительно выполнить явную аутентификацию.

12. Устройство пользователя по п.11, которое также содержит средство для передачи в домен мультимедиа указания для подтверждения согласия на неявную аутентификацию, предложенную сетью связи.

13. Устройство пользователя по п.12, которое также содержит средство для обеспечения дополнительных данных аутентификации в домен мультимедиа, дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, включающей в себя: вид аутентификации, информацию доступа и временную метку аутентификации.

14. Устройство пользователя по п.10, в котором средство для обработки уведомления, принятого из домена мультимедиа, содержит средство для приема и обработки указания, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.

15. Способ аутентификации пользователя (UE), осуществляющего доступ к домену мультимедиа (IMS) через сеть доступа, способ включает в себя

этап аутентификации пользователя в сети доступа, через которую осуществляет доступ пользователь, сеть доступа имеет сервер абонентов с данными аутентификации для пользователя и доступный для домена мультимедиа, и

этап регистрации пользователя в домене мультимедиа,

способ отличается тем, что включает в себя:

этап принятия решения о том, что доступна неявная аутентификация между пользователем и доменом мультимедиа, соответственно обходя потребность в явной аутентификации, и

этап инструктирования обслуживающего объекта (S-CSCF), ответственного за аутентификацию пользователя в домене мультимедиа, относительно того, что доступна неявная аутентификация.

16. Способ по п.15, который также содержит этап уведомления, что может быть выполнена неявная аутентификация пользователя для доступа к домену мультимедиа, из домена мультимедиа в устройство пользователя.

17. Способ по п.15, в котором этап принятия решения о том, что доступна неявная аутентификация, включает этап определения потенциальной защиты канала сигнализации для доступа к домену мультимедиа через сеть доступа.

18. Способ по п.15, в котором этап принятия решения о том, что доступна неявная аутентификация, включает этап предложения о выполнении неявной аутентификации между устройством пользователя и доменом мультимедиа, из устройства пользователя в домен мультимедиа.

19. Способ по п.15, в котором этап инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, включает этап указания, что это есть окончательное решение, принятое сетью связи, и явная аутентификация не может быть выполнена.

20. Способ по п.15, в котором этап инструктирования обслуживающего объекта, относительно того, что доступна неявная аутентификация, включает этап указания, что окончательное решение осуществляется на устройстве пользователя, которое способно принудительно выполнить явную аутентификацию.

21. Способ по п.20, который также содержит этап подтверждения согласия на неявную аутентификацию, предложенную сетью связи, из устройства пользователя.

22. Способ по п.21, который также содержит этап указания, что пользователь подтвердил неявную аутентификацию, в обслуживающий объект, ответственный за аутентификацию пользователя в домене мультимедиа.

23. Обслуживающий объект (S-CSCF), ответственный за аутентификацию пользователя (UE) в домене мультимедиа (IMS), когда пользователь осуществляет к нему доступ через сеть доступа, причем пользователь был предварительно аутентифицирован, обслуживающий объект отличается тем, что содержит

средство для приема и обработки инструкций, исходящих из устройства по п.1, указывающих, что доступна неявная аутентификация на основе предварительной аутентификации пользователя сетью доступа, и

средство для уведомления, что для сети связи доступно выполнение неявной аутентификации пользователя для доступа к домену мультимедиа.

24. Обслуживающий объект по п.23, который также содержит средство для приема указания, исходящего из устройства пользователя по п.12, для подтверждения согласия на неявную аутентификацию, предложенную сетью связи.

25. Обслуживающий объект по п.23, который также содержит средство для приема указания, исходящего из устройства по п.8, указывающего, что пользователь подтвердил неявную аутентификацию.

26. Обслуживающий объект по п.25, который также содержит средство для проверки соответствия дополнительных данных аутентификации соответственно принятых из устройства по п.9 и из устройства пользователя по п.13 для обеспечения дополнительной поддержки защиты.

27. Обслуживающий объект по п.26, в котором дополнительные данные аутентификации включают в себя, по меньшей мере, один элемент, выбранный из группы элементов, включающей в себя вид аутентификации, информацию доступа и временную метку аутентификации.

28. Обслуживающий объект по п.23, в котором средство для уведомления пользователя о том, что для сети связи доступно выполнение неявной аутентификации, содержит средство для указания пользователю, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.

29. Точка входа в домен мультимедиа (IMS), для пользователей (UE), осуществляющих к нему доступ через сеть доступа, причем пользователь был предварительно аутентифицирован, отличающаяся тем, что она имеет средство для обработки, по меньшей мере, одного уведомления, выбранного из группы уведомлений, включающей в себя

уведомление (неявная аутентификация, неявная аутентификация сетью связи), переданного в устройство пользователя для указания, что для сети связи доступно выполнение неявной аутентификации пользователя для доступа к домену мультимедиа, и

уведомление для предложения в домен мультимедиа неявной аутентификации между упомянутым устройством пользователя и доменом мультимедиа, принятое из устройства пользователя.

30. Точка входа в домен мультимедиа по п.29, которая также содержит средство для приема указания о согласии на неявную аутентификацию, предложенную сетью связи, из устройства пользователя.

31. Точка входа в домен мультимедиа по п.29, который также содержит средство для указания пользователю, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.

32. Опрашивающий объект (I-CSCF), запрашивающий сервер абонентов в домене мультимедиа (IMS) относительно пользователя (UE), осуществлявшего доступ к упомянутому домену мультимедиа через сеть доступа, опрашивающий объект имеет средство для приема запроса на регистрацию от пользователя и средство для квитирования такой регистрации в направлении пользователя, и отличается тем, что содержит средство для передачи указания пользователю, что неявная аутентификация пользователя для доступа к домену мультимедиа доступна.

33. Опрашивающий объект по п.32, который также содержит

средство для приема указания для обеспечения возможности неявной аутентификации, исходящего из устройства пользователя, и

средство для передачи такого указания из устройства пользователя, по меньшей мере, в один объект, выбранный из группы объектов, включающей в себя устройство по п.1, и обслуживающий объект по п.23.

34. Опрашивающий объект по п.32, который также содержит средство для передачи пользователю указания, что неявная аутентификация является окончательным решением, принятым сетью связи, и явная аутентификация не может быть выполнена.