ES2645270T3 - Aparato y método para autenticar a un usuario cuando accede a servicios multimedia - Google Patents

Aparato y método para autenticar a un usuario cuando accede a servicios multimedia Download PDF

Info

Publication number
ES2645270T3
ES2645270T3 ES13172208.4T ES13172208T ES2645270T3 ES 2645270 T3 ES2645270 T3 ES 2645270T3 ES 13172208 T ES13172208 T ES 13172208T ES 2645270 T3 ES2645270 T3 ES 2645270T3
Authority
ES
Spain
Prior art keywords
authentication
user
user equipment
multimedia domain
ims
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES13172208.4T
Other languages
English (en)
Inventor
John Michael Walker Pina
Juan Antonio Sanchez Herrero
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2645270T3 publication Critical patent/ES2645270T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

Equipo de usuario, UE, habilitado para acceder a un dominio multimedia (IMS) a través de una red de acceso (GSM/UMTS; WLAN;), dispuesto para llevar a cabo un procedimiento de autenticación explícito con la red de acceso, y caracterizado por estar dispuesto además para enviar un mensaje de inicio de sesión indicando que se propone un procedimiento de autenticación implícita con el dominio multimedia (IMS) desde el UE.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Aparato y metodo para autenticar a un usuario cuando accede a servicios multimedia Campo de la invencion
La presente invencion se refiere a un procedimiento simplificado para la autenticacion de un usuario que accede a una red multimedia a traves de una red de acceso en la que el usuario ya habfa sido autenticado.
Antecedentes
Muchas de las redes moviles actualmente existentes, asf como posibles redes futuras definidas por los cuerpos de normalizacion, necesitan la autenticacion de los usuarios finales y de los agentes de usuario cuando acceden a una red y, mas bien, cuando acceden a servicios asociados a la red. A este respecto, los dominios de GSM, GPRS, la red de area local inalambrica (WLAN - Wireless Local Area Network, en ingles) y multimedia (IMS) tal como estan definidos por los estandares 3GPP y 3GPP2, necesitan, todos ellos, la ejecucion por parte del equipo o los terminales de usuario de un procedimiento de autenticacion espedfico para cada dominio tecnologico particular antes de conceder a los usuarios o a los agentes de usuarios el acceso a dichos dominios. En particular, los dominios tecnologicos citados anteriormente, asf como otros dominios tecnologicos emergentes, requieren diferentes niveles de seguridad que complican mas el acceso a traves de los diferentes dominios tecnologicos. Este acceso implica una seguridad adicional que no siempre es necesaria y, como consecuencia, un procesamiento adicional y capacidades de senalizacion, asf como una complejidad extra en el equipo o los terminales del usuario.
En la actualidad, el procedimiento de autenticacion en un dominio multimedia 3GPP se lleva a cabo tal como se describe en el estandar 3GPP TS 33.203 V5.6.0 y esta representado en la figura 1 en terminos de un Flujo de senalizacion basado en el protocolo de inicio de sesion (SIP - Session Initiation Protocol, en ingles). Como muestra la figura 1 y describen las memorias descriptivas referidas, la autenticacion multimedia se llevara a cabo siempre cuando un usuario se registra en el dominio multimedia, lo que inicia tfpicamente enviando un mensaje de inicio de sesion de SIP para una identidad privada y publica dada.
Una condicion inicial supuesta antes de inicial el flujo citado anteriormente es que un usuario final debe tener una conexion de datos abierta antes de acceder al dominio multimedia. Esta conexion puede ser una conexion GPRS en terminos de tener un contexto de PDP activado, o una conexion WLAN en terminos de haber establecido una conexion de datos tal como se especifica mediante los estandares IEEE 802.11, u otra red de acceso que proporciona al lado de usuario una conexion de datos. En este escenario, un usuario final o un agente de usuario ha sido ya autenticado por la red de acceso, ya sea el GPRS, o la WLAN u otro, con el fin de establecer dicha conexion de datos y antes de enviar un inicio de sesion de SIP al dominio multimedia.
En particular, ambas redes de acceso actualmente utilizadas, a saber, GPRS y WLAN, estan ofreciendo un mecanismo de autenticacion respectivo, SIM/USIM-AKA para GPRS y EAP SIM/AKA para WLAN, mientras que el dominio multimedia utiliza actualmente un mecanismo de autenticacion que ofrece un nivel de seguridad similar al de las redes de acceso anteriores, el denominado USIM-AKA, que se lleva a cabo cuando el mensaje de inicio de sesion de SIP llega a una entidad de funcion de control de estado de llamada de servicio (S-CSCF - Serving Call Status Control Function, en ingles) tal como se muestra en la figura 1. A este respecto, la figura 2 muestra la secuencia de acciones seguidas para llevar a cabo una autenticacion AKA de EAP para un usuario que ha accedido a una red WLAN en la que RADIUS y MAP parecen ser las alternativas de protocolo mas probables, aunque tambien se podna utilizar DIAMETER en lugar de RADIUS o MAP.
En la actualidad, un usuario que desea acceder al dominio multimedia requiere un establecimiento previo de una conexion de datos, lo que frecuentemente se realiza a traves de una red de acceso tal como GPRS o WLAN y, por consiguiente, el usuario ha sido autenticado en primer lugar con un EAP-SIM/AKA para una red de acceso WLAN y, ademas, el usuario debe ser autenticado en segundo lugar con un USIM-AKA cuando se registra en el dominio multimedia.
Se puede concluir que actualmente no existe ningun mecanismo de autenticacion que realice una autenticacion entre dominios para un usuario dado entre una red de acceso tal como GPRS o WLAN y un dominio multimedia basado en SIP. En otras palabras, no existe ningun servicio o dispositivo que sea capaz de administrar datos de autenticacion en nombre de un usuario o un agente de usuario de SIP y de liberar dicho usuario o agente de usuario de SIP de tener que realizar operaciones de autenticacion en el dominio multimedia una vez que una autenticacion ya ha tenido lugar en la red de acceso a traves de la que el usuario accede, siendo dicha red de acceso probablemente GPRS o WLAN.
En esta situacion, la autenticacion para el dominio multimedia tal como se describe en el documento 3G TS 33.203 y se muestra en la figura 1 anade senalizacion adicional en la ruta de radio que, en algunos escenarios, podna ser innecesaria. En primer lugar, despues de que la S-SCSF recibe un inicio de sesion de SIP, la S-SCSF normalmente envfa un mensaje de pregunta de autenticacion al agente de usuario de SIP. Si esta operacion tiene exito, entonces la S-CSCF enviara periodicamente una solicitud de vector de autenticacion al agente de usuario de SIP que, a su vez, debe responder con una respuesta de vector de autenticacion. Ambos mensajes anaden carga adicional en el
5
10
15
20
25
30
35
40
45
50
55
dominio multimedia, as^ como tiempos mas largos de inicio de sesion. Es decir, los agentes de usuario de SIP deben procesar y responder tanto a la pregunta de autenticacion como a la solicitud de vector de autenticacion. Estos mensajes requieren un procesamiento adicional por el agente de usuario de SIP, lo que significa que el agente de usuario de SIP tiene que utilizar la energfa para este proceso en lugar de utilizar la mayor cantidad de energfa posible para los servicios de multimedia que probablemente son de alto consumo de energfa, y teniendo en cuenta el poder limitado de las batenas.
De este modo, la presente invencion tiene por objeto proporcionar un mecanismo de autenticacion entre dominios que realice una autenticacion entre dominios para un usuario dado entre un dominio de la red de acceso y un dominio multimedia, siendo este mecanismo de autenticacion entre dominios mas simple que el existente actualmente, y aplicable cuando ha sido realizada una autenticacion de usuario por la red de acceso.
Compendio de la invencion
El objetivo anterior se lleva a cabo de acuerdo con la presente invencion mediante la utilizacion del equipo de usuario de la reivindicacion 1, el metodo de la reivindicacion 10 y el sistema de la reivindicacion 19.
Se pueden disponer realizaciones para reutilizar datos de autenticacion entre diferentes redes o entre diferentes dominios tecnologicos y, con ayuda de un dispositivo para la autenticacion de multimedia de un usuario (UE), una entidad de servicio encargada de autenticar al usuario en el dominio multimedia, y de una entidad de Proxy y una entidad de interrogacion, estando ambas entidades de un dominio multimedia de acuerdo con las normas 3GPP y 3GPP2. Por lo tanto, existe una nueva caractenstica proporcionada de acuerdo con la invencion y denominada en lo sucesivo "autenticacion implfcita para dominio multimedia", que puede ser implementada como un dispositivo de autenticacion multimedia exclusivo en estrecha cooperacion con un servidor de abonado, o puede estar totalmente integrado en dicho servidor de abonado. Siendo dicho servidor de abonado una base de datos de abonados implicada durante la autenticacion de abonado, por ejemplo, un servidor de abonado domestico (HSS - Home Subscriber Server, en ingles) o un servidor de autenticacion-autorizacion-contabilidad (AAA - Authentication - Authorisation - Accounting, en ingles) y el dispositivo de autenticacion multimedia que contiene la logica y los componentes necesarios para permitir la reutilizacion de datos de autenticacion entre una red de acceso, tal como una red de area local inalambrica (WLAN - Wireless Local Area Network, en ingles), una red de sistema general de radio de paquetes (GPRS - General Packet Radio System, en ingles), un sistema universal de telecomunicaciones moviles (UMTS - Universal Mobile Telecommunications System, en ingles) o una red de acceso multiple por division de codigo (CDMA 2000 - Code Division Multiple Access 2000, en ingles) y dicho dominio multimedia.
Segun un primer aspecto de la invencion, se proporciona un equipo de usuario (UE - User Equipment, en ingles) capacitado para obtener acceso al dominio multimedia (IMS) a traves de una red de acceso, dispuesta para llevar a cabo un procedimiento de autenticacion explfcito con la red de acceso, y dispuesta para realizar posteriormente un procedimiento de autenticacion implfcito con el dominio multimedia (IMS). Este equipo de usuario (UE) puede estar dispuesto para enviar un mensaje de inicio de sesion que indica que se propone una autenticacion implfcita del equipo de usuario (UE) hacia el dominio multimedia (IMS).
De acuerdo con un segundo aspecto de la invencion, se proporciona un metodo para que un equipo de usuario (UE) obtenga acceso a un dominio multimedia (IMS) a traves de una red de acceso, comprendiendo el metodo: el equipo de usuario (UE) lleva a cabo un procedimiento de autenticacion explfcito con la red de acceso; y el equipo de usuario (UE) lleva a cabo posteriormente un procedimiento de autenticacion implfcito con el dominio multimedia (IMS).
De acuerdo con un tercer aspecto de la invencion, se proporciona un sistema para proporcionar un acceso de equipo de usuario (UE) a un dominio multimedia (IMS) a traves de una red de acceso, comprendiendo el sistema el dominio multimedia (IMS), la red de acceso y el equipo de usuario (UE) segun cualquiera de las reivindicaciones 1 a 10.
Un dispositivo, que de acuerdo con la invencion es util para la autenticacion multimedia de un usuario que accede a un dominio multimedia a traves de una red de acceso, esta dispuesto para su uso en, o en cooperacion con, un servidor de abonado de la red de acceso que contiene datos de autenticacion para usuario y es accesible al dominio multimedia. Dicho dispositivo comprende un medio para decidir que puede tener lugar una autenticacion implfcita entre el usuario o, mas bien, entre el equipo de usuario y el dominio multimedia, y medios para dar instrucciones a una entidad de servicio encargada de autenticar al usuario en el dominio multimedia de que la autenticacion implfcita puede tener lugar la utilizacion de este dispositivo evitando de este modo la necesidad de una autenticacion explfcita.
En este dispositivo, el medio para decidir que puede tener lugar una autenticacion implfcita incluye preferiblemente un medio para determinar la seguridad potencial de la ruta de senalizacion para acceder al dominio multimedia a traves de dicha red de acceso. Para ello, el dispositivo puede comprender asimismo un medio de aprovisionamiento y configuracion de datos dispuesto para evaluar la seguridad de diferentes rutas de senalizacion. Ademas, el medio para decidir que puede tener lugar una autenticacion implfcita puede incluir un medio para procesar una propuesta de autenticacion implfcita originada en el equipo de usuario.
5
10
15
20
25
30
35
40
45
50
55
El dispositivo esta dispuesto ventajosamente para determinar si una autenticacion impKcita es solo una propuesta al equipo de usuario, que puede forzar una autenticacion explfcita, o es una decision final adoptada por la red, de modo que no se puede realizar una autenticacion explfcita. Por lo tanto, los medios para dar instrucciones a la entidad de servicio que pueden implicar una autenticacion implfcita incluyen medios para indicar que la decision final esta en el equipo de usuario y medios para indicar que se trata de una decision final adoptada por la red.
A este respecto, el dispositivo comprende ademas un medio para notificar al usuario que una autenticacion implfcita del usuario para acceder al dominio multimedia puede ser llevada a cabo por la red. Sin embargo, este medio de notificacion podna residir asimismo en otras entidades del dominio multimedia.
Ademas, dado que la decision final sobre si realizar o no una autenticacion implfcita puede estar en el lado del equipo de usuario de acuerdo con la invencion, el dispositivo comprende ademas medios para recibir una indicacion originada desde el lado del equipo de usuario para confirmar la aceptacion de la autenticacion implfcita propuesta por la red. En el caso de recibir dicha confirmacion de aceptacion, el dispositivo comprende asimismo medios para indicar a la entidad de servicio encargada de autenticar al usuario en el dominio multimedia que el equipo de usuario ha confirmado la autenticacion implfcita. Mas aun, el dispositivo puede tener los medios para proporcionar datos de autenticacion adicionales a dicha entidad de servicio, incluyendo dichos datos de autenticacion adicionales al menos un elemento seleccionado de un grupo de elementos que comprende: tipo de autenticacion, informacion de acceso y marca de tiempo de autenticacion.
Convencionalmente, un equipo de usuario esta capacitado para obtener acceso a un dominio multimedia a traves de una red de acceso, y por lo tanto esta dispuesto para llevar a cabo un primer procedimiento de autenticacion explfcita con la red de acceso, y un segundo procedimiento de autenticacion explfcita con un dominio multimedia. La red de acceso comprende un servidor de abonado para contener datos de autenticacion para el usuario y, para el proposito de la presente invencion, dicho servidor de abonado es accesible al dominio multimedia. El equipo de usuario, de acuerdo con la invencion, comprende medios para procesar al menos una notificacion seleccionada de un grupo de notificaciones que incluyen: una notificacion desde el dominio multimedia indicando que se puede llevar a cabo una autenticacion implfcita para el usuario; y una notificacion hacia el dominio multimedia indicando que el equipo de usuario propone una autentificacion implfcita a la red.
Estos medios pueden incluir ventajosamente medios para recibir una indicacion desde el dominio multimedia de que la decision final esta en el lado del equipo de usuario, que podna forzar una autenticacion explfcita, o que es una decision final adoptada por la red, de modo que no se pueda realizar ninguna autentificacion explfcita. Especialmente dispuesto para el caso de que la decision final este en el lado del usuario, el equipo de usuario comprende medios para enviar hacia el dominio multimedia una indicacion para confirmar la aceptacion de una autenticacion implfcita propuesta por la red. Ademas, el equipo de usuario puede tener los medios para proporcionar datos de autenticacion adicionales al dominio multimedia, comprendiendo dichos datos de autenticacion adicionales al menos un elemento seleccionado de un grupo de elementos que comprende: tipo de autenticacion; informacion de acceso; y marca de tiempo de autenticacion.
Asimismo, se proporciona un metodo para autenticar un usuario en un dominio multimedia cuando el usuario accede a el a traves de una red de acceso, comprendiendo el metodo convencionalmente una etapa de autenticacion del usuario en la red de acceso, teniendo dicha red de acceso un servidor de abonado con datos de autenticacion para el usuario y accesibles al dominio multimedia; y una etapa de registrar al usuario en el dominio multimedia.
Este metodo, de acuerdo con la invencion comprende, asimismo: una etapa de decidor que puede tener lugar una autentificacion implfcita entre el usuario y el dominio multimedia, evitando de este modo las necesidades de una autenticacion explfcita; y una etapa de dar instrucciones a una entidad de servicio encargada de autenticar al usuario en el dominio multimedia de que puede tener lugar la autentificacion implfcita.
Este metodo puede comprender ademas una etapa de notificacion desde el dominio multimedia al equipo de usuario que se puede llevar a cabo una autenticacion implfcita del usuario para acceder al dominio multimedia.
En este metodo, la etapa de decidir que una autenticacion implfcita puede tener lugar preferiblemente incluye una etapa de determinar la seguridad potencial de la ruta de senalizacion para acceder al dominio multimedia a traves de dicha red de acceso. Ademas, la etapa anterior de decidir que puede tener lugar una autenticacion implfcita puede incluir asimismo una etapa de proponer desde el equipo de usuario hacia el dominio multimedia la realizacion de una autenticacion implfcita entre el equipo de dicho usuario y el dominio multimedia.
Tambien en este metodo, la etapa de dar instrucciones a la entidad de servicio de que puede tener lugar una autenticacion implfcita incluye preferiblemente una etapa de indicar si la decision final esta en el equipo de usuario, lo que podna forzar una autenticacion explfcita, o la decision esta adoptada por la red, de tal manera que no es posible realizar una autenticacion explfcita. Ademas, y, espedficamente para el caso en que la decision final esta del lado del usuario, el metodo puede comprender asimismo una etapa de confirmacion desde el equipo de usuario de la aceptacion de la autenticacion implfcita propuesta por la red. Ademas, y alineado con la etapa anterior, el metodo puede comprender asimismo una etapa de indicar a la entidad de servicio encargada de autenticar al usuario en el dominio multimedia que el usuario ha confirmado la autenticacion implfcita.
5
10
15
20
25
30
35
40
45
50
55
La invencion proporciona asimismo una entidad de servicio encargada de autenticar el equipo de un usuario en el dominio multimedia cuando el usuario accede a el a traves de una red de acceso en la que dicho usuario habfa sido previamente autenticado. Esta entidad de servicio comprende, de acuerdo con la invencion, medios para recibir instrucciones del dispositivo anterior indicando que puede tener lugar una autenticacion implfcita; y un medio para notificar al equipo de usuario que una autenticacion implfcita del usuario para acceder al dominio multimedia puede ser llevada a cabo por la red.
Esta entidad de servicio esta ventajosamente dispuesta de tal manera que el medio para notificar al usuario que una autenticacion implfcita puede ser llevada a cabo por la red incluye medios para indicar al usuario si la autenticacion implfcita es una decision final adoptada por la red y no se puede llevar a cabo ninguna autenticacion explfcita, o la autenticacion implfcita es una propuesta de la red que el usuario puede aceptar o rechazar obligando a una autenticacion explfcita.
En el caso de que la autenticacion implfcita sea una propuesta de la red, la entidad de servicio comprende ventajosamente medios para recibir una indicacion originada desde el equipo de usuario para confirmar la aceptacion de dicha autenticacion implfcita propuesta por la red. Ademas, esta entidad de servicio comprende preferiblemente medios para recibir dicha indicacion de que el usuario ha confirmado la autenticacion implfcita del dispositivo anterior.
Esta entidad de servicio puede comprender ventajosamente otros medios para comprobar la coincidencia de datos de autenticacion adicionales recibidos respectivamente del dispositivo y del equipo de usuario anteriores con el fin de proporcionar un soporte de seguridad adicional. Estos datos de autenticacion adicionales incluyen al menos un elemento de un grupo de elementos que comprende: tipo de autenticacion, informacion de acceso y marca de tiempo de autenticacion.
La invencion se complementa adicionalmente con la provision de algunas otras entidades, tales como un servidor de proximidad y una entidad de interrogacion, con el fin de abordar una topologfa tfpica siguiendo un estandar 3GPP o un estandar 3GPP2.
La entidad de servidor de proximidad, de acuerdo con los estandares 3GPP y 3GPP2, esta destinada a actuar como punto de entrada en el dominio multimedia para los usuarios que acceden a el a traves de una red de acceso, donde el usuario ya habfa sido autenticado. Esta entidad servidor de proximidad, de acuerdo con la invencion, comprende medios para procesar al menos una notificacion seleccionada de un grupo de notificaciones que incluye: una notificacion enviada hacia el equipo de usuario para indicar que una autenticacion implfcita del usuario para acceder al dominio multimedia puede ser llevada a cabo fuera de la red; y una notificacion recibida del equipo de usuario para proponer una autentificacion implfcita hacia el dominio multimedia entre dicho equipo de usuario y el dominio multimedia.
Esta entidad de servidor de proximidad esta ventajosamente dispuesta asimismo de tal manera que el medio para notificar al usuario que una autenticacion implfcita puede ser llevada a cabo por la red incluye medios para indicar al usuario si la autenticacion implfcita es una decision final adoptada por la red y no se puede llevar a cabo ninguna autenticacion explfcita, o la autenticacion implfcita es una propuesta de la red que el usuario puede aceptar o rechazar forzando una autenticacion explfcita.
En el caso de que la autenticacion implfcita sea una propuesta de la red, la entidad servidor de proximidad ventajosamente comprende medios para recibir una indicacion desde el equipo de usuario de que acepta dicha autenticacion implfcita propuesta por la red.
La entidad de interrogacion, de acuerdo con los estandares 3GPP y 3GPP2, tiene la intencion de consultar a un servidor de abonado en el dominio multimedia acerca de un usuario que ha accedido a dicho dominio multimedia a traves de otra red de acceso. Esta entidad de interrogacion tiene medios para recibir una solicitud de inicio de sesion del usuario, y medios para reconocertal inicio de sesion hacia el usuario y, de acuerdo con la invencion, la entidad de interrogacion comprende asimismo medios para transmitir una indicacion hacia el equipo de usuario de que se puede llevar a cabo una autenticacion implfcita del usuario para acceder al dominio multimedia.
La entidad de interrogacion, con el fin de conseguir otras caractensticas ventajosas proporcionadas por la invencion, comprende preferiblemente medios para recibir una indicacion originada desde el equipo de usuario para confirmar la aceptacion de una autenticacion implfcita propuesta por la red o para proponer tal autenticacion implfcita por sf mismo; y medios para transmitir dicha confirmacion de aceptacion del usuario hacia al menos una entidad seleccionada de un grupo de entidades que comprenden el dispositivo anterior y la entidad de servicio.
Ademas, y tambien para conseguir otras caractensticas ventajosas proporcionadas por la invencion, la entidad de interrogacion comprende ademas medios para transmitir hacia el equipo de usuario una indicacion de que la autenticacion implfcita es una decision final adoptada por la red y que no se puede realizar ninguna autenticacion explfcita.
5
10
15
20
25
30
35
40
45
50
Breve descripcion de los dibujos
Las caractensticas, objetos y ventajas de la invencion se haran evidentes mediante la lectura de esta descripcion conjuntamente con los dibujos adjuntos, en los cuales:
La figura 1 muestra un diagrama basico del flujo de autenticacion en un dominio multimedia de acuerdo con el documento 3GPP TS 33.203.
La figura 2 muestra una vista general de los componentes de la disposicion y el flujo de senalizacion durante la autenticacion de un usuario mediante un mecanismo de EAP-AKA a traves de una red de acceso WLAN.
La figura 3 muestra una secuencia de flujo que describe una realizacion actualmente preferida para reutilizar la autenticacion previa de un usuario que ha accedido a traves de una red GPRS o UMTS al dominio multimedia, donde el equipo de usuario recibe una notificacion a este respecto y se le da la posibilidad de aceptar o no una autenticacion implfcita.
La figura 4 muestra una secuencia de flujo que describe una realizacion alternativa a la mostrada en la figura 3, en la que el equipo de usuario recibe una notificacion a este respecto y sin que se le de la posibilidad de aceptar o no una autenticacion implfcita, sino que mas bien se le informa de que dicha autenticacion implfcita ha tenido lugar.
La figura 5 muestra una secuencia de flujo alternativa que describe una realizacion alternativa a las mostradas en la figura 3 y la figura 4, donde el equipo de usuario recibe una invitacion durante el procedimiento de localizacion para llevar a cabo una autenticacion implfcita hacia el dominio multimedia, teniendo de este modo el usuario la posibilidad de aceptar o no una autenticacion implfcita.
La figura 6 muestra una secuencia de flujo alternativa a la mostrada en la Figura 5, en la que el equipo de usuario recibe una invitacion con un servicio de mensajes cortos (SMS - Short Message Service, en ingles) para llevar a cabo una autenticacion implfcita hacia el dominio multimedia, teniendo el usuario, por lo tanto, la posibilidad de aceptar o no una autenticacion implfcita.
La figura 7 muestra una secuencia de flujo que describe una realizacion actualmente preferida para reutilizar la autenticacion previa de un usuario que tiene acceso a traves de una red WLAN al dominio multimedia, donde el equipo de usuario recibe una notificacion a este respecto y se le da la posibilidad de aceptar o no una autenticacion implfcita.
La figura 8 muestra una secuencia de flujo que describe otra realizacion preferida para reutilizar la autenticacion previa de un usuario mediante una red CDMA 2000, accediendo el usuario a traves de una red de servicios de paquetes de datos al dominio multimedia donde el equipo de usuario recibe una notificacion a este respecto y se le da la posibilidad de aceptar o no una autenticacion implfcita.
La figura 9 muestra una secuencia de flujo alternativa a las presentadas en las figuras 5 y 6, en la que el equipo de usuario no recibe una invitacion, con un mensaje de respuesta de actualizacion de localizacion o con un servicio de mensajes cortos (SMS) respectivamente para llevar a cabo una autenticacion implfcita pero, mas bien, el equipo de usuario genera una propuesta para una autentificacion implfcita a la red.
Descripcion de realizaciones preferidas
A continuacion, se describen realizaciones actualmente preferidas de: un aparato, un equipo de usuario y un metodo para ofrecer a un usuario la posibilidad de ser implfcitamente autenticado por un dominio multimedia cuando accede a traves de una red de acceso en la que el usuario ya ha sido autenticado. Preferiblemente, la red de acceso es una red de area local inalambrica (WLAN), una red del sistema general de radiocomunicaciones en paquetes (GPRS), una red del sistema global para comunicaciones moviles (GSM - Global System for Mobile communications, en ingles), o una red del sistema universal de telecomunicacion movil (UMTS - Universal Mobile Telecommunication System, en ingles) o una red de acceso multiple por division de codigo (CDMA 2000).
La presente invencion presenta varias realizaciones en relacion con el lugar en el que reside la caractenstica "autenticacion implfcita para dominio multimedia", que, en particular, pueden llevarse a cabo mediante un dispositivo aislado en estrecha cooperacion con un servidor de abonado o ser transportado por el propio servidor de abonado.
Ademas, la presente invencion presenta asimismo varias realizaciones relacionadas con el equipo de usuario, es decir, el terminal del usuario, o SIM, o USIM, o combinaciones de los mismos, dependiendo del grado de decision que queda en el lado del usuario o en el lado de la red.
De acuerdo con una realizacion de la presente invencion, el propio servidor de abonado, que en particular puede ser un HSS en el 3GPP o un servidor AAA en el estandar 3GPP2 y las redes CDMA 2000, o un dispositivo de autenticacion multimedia que soporta el acceso al dominio multimedia para un usuario espedfico determina que puede ser innecesaria una autenticacion explfcita para el dominio multimedia en base a una autenticacion de abonado anterior llevada a cabo por la red de acceso a la que accede el usuario, y en base a la suposicion de que se transporta un portador seguro para la senalizacion multimedia a traves de la red de acceso. Dicho portador
5
10
15
20
25
30
35
40
45
50
55
seguro puede ser, por ejemplo, un contexto PDP, en el caso de que el GPRS sea la red de acceso o un tunel seguro en el caso de que la WLAN sea la red de acceso hacia la red domestica mientras se lleva a cabo la autenticacion del abonado.
De acuerdo con la invencion, el servidor de abonado o el dispositivo de autenticacion multimedia exclusivo, proporcionan a una entidad de servicio encargada de autenticar al usuario, a saber, una funcion de control de estado de llamada de servicio (S-CSCF), una polftica de autenticacion que indica que se puede realizar un procedimiento de autenticacion implfcito para que dicho usuario acceda al dominio multimedia, en base a una autenticacion anterior del portador a traves de la red de acceso.
Aparte de la autenticacion de un usuario por la red a la que el usuario accede, los procedimientos de autenticacion 3GPP admiten la autenticacion de la red por parte del usuario. Por lo tanto, de acuerdo con otra realizacion de la invencion, el servidor de abonado o el dispositivo de autenticacion multimedia exclusivo pueden, opcionalmente, indicar al equipo de usuario otra polftica de autenticacion para sugerir una posible autenticacion implfcita mutua que el usuario puede o no aceptar.
Gracias a la caractenstica “autenticacion implfcita para el dominio multimedia”, se reduce la cantidad de operaciones de autenticacion realizadas por el usuario o por el equipo de usuario y por la red y, por lo tanto, se consigue una reduccion de mensajes de senalizacion evitables en el dominio multimedia manteniendo el nivel de seguridad requerido, logrando un objetivo de la presente invencion.
La invencion es aplicable a diferentes escenarios en los que un usuario hace uso de una red de acceso particular para acceder al dominio multimedia, dando como resultado, por tanto, diferentes realizaciones de la invencion. Ademas, se pueden introducir diversas variaciones de una realizacion a otra sin apartarse sustancialmente del alcance de la presente invencion.
Un primer escenario aparece cuando un usuario ha sido autenticado por una red UMTS y accede ademas al dominio multimedia a traves de una red GPRS.
Bajo este escenario y de acuerdo con una primera realizacion de la presente invencion mostrada en la figura 3, se proporciona un mecanismo simplificado para autenticar al usuario en el dominio multimedia en el que se notifica al usuario una posible autenticacion implfcita. El usuario, o mas bien, el equipo de usuario (UE), tras recibir esta notificacion, puede aceptar la autenticacion implfcita o forzar una autenticacion explfcita de acuerdo con la norma aplicable para el dominio multimedia, tal como muestra la figura 1. Ademas, esta autenticacion implfcita puede aplicarse tanto a la autenticacion del usuario por la red como a la autenticacion de la red por el usuario. Ademas, dicha autentificacion implfcita puede ser activada por un servidor de abonado tal como el servidor de abonado domestico (HSS) responsable de la autenticacion previa del usuario en la red UMTS, tal como se muestra en la Figura 3, o por un dispositivo de autenticacion multimedia exclusivo en cooperacion con dicho servidor de abonado.
Por lo tanto, de acuerdo con esta primera realizacion mostrada en la Figura 3, un usuario final o un equipo de usuario final esta conectado y autenticado en UMTS y tiene un contexto de PDP de GPRS abierto. En esta etapa, el usuario final y el agente de usuario acceden al dominio multimedia iniciando un procedimiento de inicio de sesion de SIP.
Este procedimiento de inicio de sesion de SIP comprende el envfo de un mensaje de inicio de sesion de SIP desde el lado del usuario (UE) hacia una funcion de control de estado de la llamada del servidor de proximidad (P-CSCF - Proxy Call Status Control Function, en ingles), y desde esta entidad hacia una funcion de control de estado de la llamada de interrogacion (I-CSCF - Interrogating Call Status Control Function). La I-CSCF inicia un procedimiento denominado convencionalmente Cx-Seleccion-Info hacia el servidor de abonados domesticos (HSS) para identificar la funcion de control del estado de la llamada de servicio (S-CSCF - Serving Call Status Control Function, en ingles) actualmente a cargo del usuario. Una vez identificada dicha S-CSCF, la I-CSCF envfa un mensaje de inicio de sesion de SIP correspondiente a la S-CSCF. La S-CSCF que recibe dicho mensaje de inicio de sesion inicia un procedimiento denominado convencionalmente Cx-Put hacia el servidor de abonados domesticos (HSS).
Dado que el HSS habfa participado previamente en la autenticacion de acceso de GPRS del usuario mediante el intercambio de un perfil de usuario y vectores de autenticacion con un nodo de soporte de GPRS de servicio (SGSN - Serving GPRS Support Node, en ingles), el HSS utiliza su informacion sobre el SGSN en el que esta situado el abonado, ademas de otra informacion de topologfa de la red, para determinar la seguridad potencial de la ruta de senalizacion para acceder al dominio multimedia a traves de dicha red de acceso. Por ello, de acuerdo con la invencion, el propio HSS, o un dispositivo exclusivo de autenticacion multimedia, puede decidir una autenticacion implfcita para el usuario. Con este fin, el HSS incluye una indicacion de autenticacion implfcita "en la respuesta de Cx-Put a la S-CSCF.
La decision para enviar este mensaje hacia la S-CSCF se adopta ventajosamente cuando el nodo de soporte de GPRS de la puerta de enlace (GGSN - Gateway GPRS Support Node, en ingles) pertenece al mismo dominio que el HSS y el gGsN es considerado, por lo tanto, seguro y fiable. Un escenario adecuado particular es cuando el HSS tambien conffa en el SGSN en el que esta situado el abonado dado que ambos pertenecen a un mismo operador de
5
10
15
20
25
30
35
40
45
50
55
la red, por ejemplo, e independientemente de si al usuario se le ha dado o no la posibilidad de rechazar ademas la autenticacion implfcita propuesta.
Ademas, la caractenstica "autenticacion implfcita para el dominio multimedia” puede incluir el aprovisionamiento de datos y la configuracion de datos por abonado de forma que cuando un usuario tiene contratado este servicio y el usuario es de confianza, el propio HSS, o un dispositivo exclusivo de autenticacion multimedia, puede determinar una autenticacion implfcita para ese usuario. A este respecto y teniendo en cuenta que a un usuario particular se le pueden dar una seriede identificadores de usuario en el dominio multimedia, la autenticacion implfcita a la que se hace referencia a continuacion, y descrita bajo diferentes realizaciones, se puede aplicar a todos o a identificadores de usuario espedficos en el dominio multimedia.
Adicionalmente, otra informacion relevante puede ser asimismo enviada a la S-CSCF en el mensaje respuesta de Cx-Put, tal como el tipo de autenticacion, la informacion de acceso, como por ejemplo la direccion IP y la informacion de contacto, la marca de tiempo de autenticacion y otros datos significativos para proporcionar un soporte de seguridad adicional.
De acuerdo con una realizacion de la invencion comentada anteriormente, se puede notificar al usuario, una autenticacion implfcita propuesta por la red y prevista para que el usuario la acepte o no. Por lo tanto, la S-CSCF envfa al agente de usuario de SIP un nuevo mensaje de SIP denominado "autenticacion implfcita SIP 4xx" en la especificacion instantanea de modo que el agente de usuario de SIP, si se encuentra aceptable, inhabilita internamente el procedimiento de autenticacion explfcita multimedia convencionalmente llevado a cabo. Es decir, el agente de usuario de SIP no debe esperar, o espera recibir, ya sea un mensaje de pregunta de autenticacion o vectores de autenticacion, tal como se describe en el documento 3G TS 33.203. Ademas, el agente de usuario de SIP o, de manera mas general, el equipo de usuario considerara que la red que soporta el dominio multimedia esta implfcitamente autenticada. Por otra parte, el agente de usuario de SIP podna considerar que la autenticacion implfcita no es aceptable, en cuyo caso se envfa un acuse de recibo negativo apropiado no mostrado en ningun dibujo, a la red, con el fin de forzar un mecanismo de autenticacion explfcita convencional de acuerdo con el estandar aplicable anterior.
Aun haciendo referencia a la figura 3, una vez que el agente de usuario de SIP ha aceptado la autenticacion implfcita, responde a este mensaje con un nuevo mensaje de inicio de sesion de SIP.
En esta etapa, se puede ser consciente de que gracias a la autenticacion implfcita realizada de acuerdo con la invencion mediante la reutilizacion en los datos de autenticacion del dominio multimedia de una red de acceso de confianza, la presente invencion proporciona asimismo una solucion ventajosa para soportar autenticacion unica (SSO - Single Sign-On, en ingles) en el dominio multimedia para usuarios que habfan sido ya autenticados por una red de acceso antes de acceder a dicho dominio multimedia.
En lmea con esta ventajosa solucion, la figura 3 muestra que el Inicio de sesion de SIP finalmente enviado desde el agente de usuario de SIP del equipo de usuario a la S-CSCF incluye una indicacion de "SSO habilitada" destinada a indicar a la red que la autenticacion implfcita se ha aceptado. La red envfa dicho mensaje de inicio de sesion de SIP a la CSCF que a su vez devuelve un resultado satisfactorio "SIP 200 OK" al equipo de usuario. El usuario final esta ahora registrado en el dominio multimedia sin que se produzcan esos procesos de autenticacion periodica adicionales en todo el inicio de sesion multimedia del usuario final.
En general, para esto y tambien aplicable para otras realizaciones descritas, y siempre que haya una notificacion del equipo de usuario sobre una autenticacion implfcita, la entidad de servicio (S-CSCF) podna comprobar si otros datos relevantes, incluidos respectivamente en el inicio de sesion de SIP y en la respuesta de Cx-Put, son coincidentes con respecto a la autenticacion implfcita y acceso de autenticacion unica. Dichos datos relevantes pueden ser, por ejemplo, un tipo de autenticacion, informacion de acceso como, por ejemplo, direccion IP e informacion de contacto, una marca de tiempo de autenticacion o combinaciones de los mismos y otros datos significativos para proporcionar un soporte de seguridad adicional.
Aun bajo el escenario anterior en el que un usuario ha sido autenticado por una red UMTS y accede de nuevo al dominio multimedia a traves de una red GPRS, y de acuerdo con una segunda realizacion mostrada en la figura 4, se proporciona un mecanismo aun mas simplificado para autenticar a un usuario en el dominio multimedia en el que el usuario acaba de ser informado de una decision adoptada por la red para llevar a cabo una autentificacion implfcita. Bajo esta segunda realizacion, el usuario se conecta a la red UMTS y se autentica en ella con la participacion del servidor de abonados domesticos (HSS), un contexto de PDP se activa con las entidades GPRS (SGSN, GGSN) y un mensaje de inicio de sesion de SIP se envfa hacia las entidades de funcion de control de estado de la llamada (P-CSCF, I-CSCF, S-CSCF) para registrarse en el dominio multimedia de una manera similar a la realizada en la primera realizacion La diferencia entre estas primera y segunda realizaciones es que el propio HSS, o un dispositivo exclusivo de autenticacion multimedia, adopta la decision final de llevar a cabo una autenticacion implfcita para el usuario. Con este fin, el HSS incluye una indicacion "autenticacion implfcita por la red" en la respuesta de Cx-Put hacia la S-CSCF.
5
10
15
20
25
30
35
40
45
50
55
A continuacion, despues de haber completado un "proceso Cx-Pull" entre la S-CSCF y el HSS, y sin haber solicitado la aceptacion del usuario, la S-CSCF informa al usuario de que la red ha realizado una autenticacion implfcita por sf misma incluyendo una indicacion "autenticacion implfcita por la red" en una respuesta "SIP 2xx OK ", en lugar de utilizar el nuevo mensaje "SIP 4xx" anterior.
Despues de recibir dicha respuesta "SIP 2xx OK" con una indicacion de "autenticacion implfcita por la red", el agente de usuario de SIP no debera esperar, o esperara recibir un mensaje de pregunta de autenticacion o vectores de autenticacion tal como se describe en el documento 3G TS 33.203. Ademas, el agente de usuario SIP o, de manera mas general, el equipo de usuario puede considerar que la red que soporta el dominio multimedia esta autenticada implfcitamente, siempre que el equipo de usuario este configurado para llevar a cabo dicha autenticacion de la red.
El usuario final ha iniciado ahora sesion en el dominio multimedia sin que se produzcan estos procesos de autenticacion periodica adicionales en todo el inicio de sesion multimedia del usuario final y aun con un mecanismo mas sencillo que el descrito en la primera realizacion.
Un segundo escenario aparece cuando un usuario ha sido autenticado por una red UMTS siguiendo un procedimiento de conexion GSM y de actualizacion de ubicacion y accede de nuevo a un dominio multimedia a traves de una red GPRS. A este respecto, y en aras de la claridad, el servidor de abonados domesticos (HSS) de una red UMTS comprende toda la funcionalidad basica, y se comporta como un registro de localizacion de abonados domesticos (HLR - Home Location Register, en ingles) tradicional de una red GSM, mas toda la funcionalidad necesaria para actuar como un servidor de abonados en un dominio multimedia. Sin embargo, siempre que la funcionalidad HLR tradicional resida en una entidad diferente que el servidor de abonado para el dominio multimedia, una interfaz adicional entre ambas entidades, a saber, el HLR de GSM y el servidor de abonado para el dominio multimedia, se utiliza para compartir datos de autenticacion del usuario.
Una tercera realizacion en el segundo escenario anterior se muestra en la figura 5, en la que se devuelve un nuevo campo al agente de usuario de SIP del equipo de usuario durante los procedimientos de conexion y actualizacion de localizacion de GSM. Por lo tanto, el servidor de abonados (HSS) del dominio multimedia incluye una indicacion de "autenticacion implfcita" en la operacion de GSM "insertar datos de abonado" hacia el nodo de soporte de GPRS de servicio (SGSN) en la red de acceso. A continuacion, el SGSN tambien incluye esta indicacion de "autenticacion implfcita" en la operacion de GSM "actualizar respuesta de localizacion" hacia el agente de usuario de SIP.
Esta indicacion puede ser aplicada a todos los identificadores de usuario espedficos en el dominio multimedia, y se comprende por el equipo de usuario (UE) como una invitacion implfcita para habilitar un acceso de autenticacion unica (SSO) al dominio multimedia que el equipo de usuario puede o no puede aceptar. Siempre que la autenticacion implfcita sea aceptable para el usuario final (UE) ya que no se requiere seguridad adicional, se envfa un mensaje de inicio de sesion de SIP al dominio multimedia (P-CSCF, I-CSCF), incluyendo el mensaje de inicio de sesion de SIP una indicacion de "SSO habilitada" destinada a indicar a la red que la autenticacion implfcita se ha aceptado.
Tras la recepcion de dicho mensaje de inicio de sesion de SIP en una entidad de funcion de control del estado de la llamada de interrogacion (I-CSCF), se incorpora la indicacion de "SSO habilitada" en un nuevo campo de un mensaje "Cx-Pregunta" incluido en un procedimiento denominado "Cx-Seleccion-Info" mantenido con el servidor de abonados del dominio multimedia (HSS). En esta etapa, la caractenstica "autenticacion implfcita para el dominio multimedia" en el propio HSS o en un dispositivo de autenticacion multimedia exclusivo, procesa la indicacion de "SSO habilitada" para proporcionar mas datos de autenticacion para el usuario tras una solicitud.
La indicacion de "SSO habilitada" se incorpora asimismo en el inicio de sesion de SIP enviado desde la I-CSCF hacia la entidad de funcion de control del estado de la llamada de servicio (S-CSCF) actualmente seleccionada para atender al usuario. Como en realizaciones anteriores, la presente realizacion mostrada en la figura 5 muestra asimismo una operacion "Cx-Put" llevada a cabo desde la S-CSCF al HSS. Por lo tanto, el HSS da instrucciones a la S-CSCF con una operacion "Cx-Put-respuesta" que incluye una indicacion de ’’autenticacion implfcita confirmada por el usuario" con el fin de impedir una autenticacion adicional del usuario final y evitar el envfo de vectores de autenticacion para dicho usuario final. A su vez, la S-CSCF podna comprobar asimismo si otros datos relevantes incluidos respectivamente en el inicio de sesion de SIP y en la respuesta Cx-Put son coincidentes con respecto a los datos relevantes de acceso de autenticacion implfcita y de inicio de sesion unico, tales como tipo de autenticacion, informacion de acceso, como por ejemplo direccion IP e informacion de contacto, marca de tiempo de autenticacion o combinaciones de los mismos y otros datos significativos para proporcionar un soporte adicional de seguridad.
Finalmente, despues de haber concluido un “Cx-Pull proceso" entre la S-CSCF y el servidor de abonado (HSS), la S- CSCF devuelve al usuario un resultado satisfactorio convencional "SIP 200 OK" hacia el agente de usuario de SIP en el equipo de usuario.
Una cuarta realizacion adicional en el segundo escenario anterior se muestra en la figura 6, en la que la unica diferencia con la tercera realizacion anterior mostrada en la figura 5 es que la indicacion de "autenticacion implfcita" se devuelve al agente de usuario de SIP del equipo de usuario en un mensaje corto enviado desde un centro de servicio de mensajes cortos (SMSC - Short Message Service Centre, en ingles) segun instrucciones previas del
5
10
15
20
25
30
35
40
45
50
55
propio servidor de abonados (HSS), o de un dispositivo exclusivo de autenticacion multimedia y, una vez que los procedimientos de conexion y autenticacion GSM han terminado, en lugar de realizarse durante el procedimiento de actualizacion de la ubicacion. Por razones de claridad en los dibujos, el par de entidades de GPRS SGSN y GGSN de la figura 5 se reemplazan por una entidad llamada "GSN" en la figura 6. Esta indicacion de "autenticacion implfcita", como para una realizacion anterior, se puede aplicar asimismo a todos o a identificadores de usuario espedficos en el dominio multimedia Una vez que el equipo de usuario es consciente de haber recibido esta indicacion de "autenticacion implfcita", y siempre que dicha autenticacion implfcita se encuentre aceptable, el equipo de usuario procesa el mensaje e incluye una indicacion de "SSO habilitada" en un mensaje de inicio de sesion de SIP que se envfa para acceder al dominio multimedia (P-CSCF, I-CSCF), la indicacion de "SSO habilitada" destinada a indicar a la red que la autenticacion implfcita ha sido aceptada por el equipo de usuario. A partir de este momento, el flujo de senalizacion puede ser el mismo que en la tercera realizacion anterior.
Tambien en las realizaciones bajo este segundo escenario el usuario final esta registrado en el dominio multimedia sin que esos procesos de autenticacion periodica adicionales ocurran convencionalmente a traves del inicio de sesion multimedia del usuario final y con un mecanismo mas sencillo que el convencionalmente llevado a cabo.
Un tercer escenario aparece cuando un usuario que accede a traves de una red de area local inalambrica ha sido autenticado por una red UMTS y accede ademas al dominio multimedia a traves de esta red inalambrica de area local (WLAN).
De acuerdo con una quinta realizacion mostrada en la figura 7, en este tercer escenario, un usuario final esta conectado y autenticado en WLAN por la red UMTS, el usuario final, o mas bien el equipo de usuario (UE), ha obtenido una sesion de IP abierta preferiblemente utilizando una llamada convencionalmente denominada tunel seguro a la red domestica. Este tunel seguro se establece preferiblemente entre el equipo de usuario y una puerta de enlace de datos en paquetes (PD-GW - Packet Data GateWay, en ingles) encapsulando datos de la sesion IP anterior, generalmente una direccion IP, dentro de la carga util del mensaje cifrado, mientras que una direccion IP externa no relacionada con la sesion IP se utiliza entre el equipo de usuario (UE) y la puerta de enlace de datos en paquetes (PD-GW).
En esta etapa y de manera similar a la primera realizacion mostrada en la figura 3, el flujo de senalizacion en la figura 7 muestra como el usuario final y el agente de usuario de SIP, es decir, el equipo de usuario (UE), obtienen acceso al dominio multimedia enviando un mensaje de inicio de sesion de SIP desde el lado del usuario (UE) hacia el dominio multimedia (P-CSCF, I-CSCF).
Una entidad de funcion de control del estado de la llamada de interrogacion (I-CSCF) inicia un procedimiento denominado convencionalmente "Cx-Seleccion-Info" hacia el servidor de abonados domesticos (HSS), es decir, el servidor de abonados en el dominio multimedia, para identificar una funcion de control del estado de la llamada de servicio (S-CSCF) actualmente a cargo del usuario. Una vez que dicha S-CSCF ha sido identificada, la I-CSCF envfa un mensaje de inicio de sesion de SIP correspondiente a la S-CSCF. La S-CSCF que recibe dicho mensaje de inicio de sesion inicia un procedimiento denominado convencionalmente Cx-Put hacia el servidor de abonados domesticos (HSS).
Dado que el HSS habfa participado previamente en la autenticacion del usuario para el acceso WLAN intercambiando un perfil de usuario y vectores de autenticacion de usuario con un servidor denominado “autenticacion, autorizacion y contabilidad” (denominado de aqrn en adelante AAA-3GPP (Authentication, Authorisation and Accounting - 3GPP)), tal como se muestra en la figura 2, el HSS puede utilizar su informacion sobre el tunel seguro ademas de otra informacion de topologfa de la red para determinar la seguridad potencial de la ruta de senalizacion para acceder al dominio multimedia a traves de dicha red de acceso. De este modo, de acuerdo con la invencion, el propio HSS, o un dispositivo de autenticacion multimedia exclusivo, puede decidir una autenticacion implfcita para dicho usuario. Esta decision se realiza ventajosamente cuando la puerta de enlace de datos en paquetes (PD-GW) pertenece al mismo dominio domestico que el HSS, o en otras situaciones en las que se considera que la PD-GW es segura y de confianza. Ademas, la caractenstica "autenticacion implfcita para el dominio multimedia" puede incluir, como en realizaciones anteriores, el aprovisionamiento de datos y la configuracion de datos por abonado, de tal manera que cuando un usuario tiene este servicio contratado y el usuario es de confianza, el propio HSS, o un dispositivo de autenticacion multimedia exclusivo puede determinar una autenticacion implfcita para ese usuario.
Por lo tanto, el HSS incorpora una indicacion de autenticacion implfcita en la “Cx-Put-respuesta” hacia la S-CSCF. Ventajosamente y en aras de la seguridad, se puede enviar asimismo otra informacion relevante a la S-CSCF en el mensaje "Cx-Put-respuesta", tal como tipo de autenticacion, informacion de acceso como por ejemplo direccion IP e informacion de contacto, marca de tiempo de autenticacion y otros datos significativos para proporcionar un soporte de seguridad adicional.
Esta quinta realizacion de la figura 7 esta alineada con la primera realizacion de la figura 3 y ambas estan de acuerdo con una realizacion de la invencion comentada anteriormente, donde el usuario puede ser informado de una autenticacion implfcita propuesta por la red y prevista para que el usuario la acepte o no.
5
10
15
20
25
30
35
40
45
50
55
Por lo tanto, la S-CSCF envfa al agente de usuario de SIP un nuevo mensaje de SIP denominado "autenticacion impKcita SIP 4xx" en la especificacion instantanea, de modo que el agente de usuario de SIP, si se encuentra aceptable, deshabilita internamente el procedimiento explfcito de autenticacion multimedia llevado a cabo convencionalmente. Es decir, el agente de usuario de SIP no debe esperar ni esperar recibir un mensaje de pregunta de autenticacion o vectores de autenticacion, tal como se describe en el documento 3G TS 33.203.
Una vez que el agente de usuario de SIP ha aceptado la autenticacion implfcita, responde a este mensaje de "SIP 4xx autenticacion implfcita" con un nuevo mensaje de inicio de sesion de SIP que incluye una indicacion de "SSO habilitada” prevista para indicar a la red que la autenticacion implfcita ha sido aceptada. La red (P-CSCF, I-CSCF) envfa dicho mensaje de inicio de sesion de SIP a la S-CSCF que, a su vez, devuelve un resultado satisfactorio "SIP 200 OK" al equipo de usuario (UE). El usuario final, habiendo accedido a traves de una red WLAN, esta ahora registrado en el dominio multimedia sin que estos procesos de autenticacion periodica adicionales ocurran tfpicamente durante todo el inicio de sesion multimedia del usuario final.
La descripcion para la quinta realizacion mostrada en la figura 7 se ha hecho coincidir en lo posible con la de la primera realizacion mostrada en la figura 3. De manera similar, la ensenanza a partir de la segunda realizacion mostrada en la figura 4, en la que GPRS es la red de acceso, puede ser convenientemente aplicable a otra realizacion en la que WLAN es la red de acceso, no requiriendo esto ultimo ninguna explicacion adicional a la vista de las realizaciones anteriores.
Por otra parte, la tercera realizacion anterior, en la que el GPRS es la red de acceso, es practicamente aplicable tambien a otra realizacion en la que WLAN es la red de acceso en la medida en que las indicaciones de autenticacion relevantes enviadas al equipo de usuario se incluyen como par de valor de atributo (AVP - Attribute Value Pair, en ingles) espedfico en los mensajes correspondientes de un protocolo RADIUS o Diametro utilizado por WLAN.
Finalmente, la cuarta realizacion anterior en la que el GPRS es la red de acceso es tambien aplicable a otra realizacion en la que WLAN es la red de acceso suponiendo un soporte para servicios de mensajes cortos (SMS) en WLAN o utilizando la tecnologfa de conmutacion de circuitos de una infraestructura de GRPS para SMS en caso de tener terminales dobles como equipo de usuario.
Un cuarto escenario aparece cuando un usuario ha sido autenticado por una red CDMA 2000 siguiendo un procedimiento de conexion de servicio de datos en paquetes y accede a un dominio multimedia a traves de una red de servicios de datos en paquetes. La figura 8 muestra una sexta realizacion alineada con la de la figura 4 bajo el primer escenario, en la que un servidor de autenticacion, autorizacion y contabilidad (AAA) actua como servidor de abonado de una red CDMa 2000. A este respecto y para mayor claridad, el servidor de autenticacion, autorizacion y contabilidad (AAA) de la red CDMA 2000 comprende toda la funcionalidad basica requerida para permitir el acceso a los servicios de datos en paquetes en una red CDMA 2000, y toda la funcionalidad necesaria para actuar como un servidor de abonado en un dominio multimedia.
No obstante, siempre que la funcionalidad AAA tradicionalmente conocida para el acceso a servicios de datos en paquetes CDMA 2000 resida en una entidad diferente del servidor de abonado para el dominio multimedia, una interfaz adicional entre ambas entidades, a saber, entre una AAA de CDMA 2000 tradicional y el servidor de abonado para el dominio multimedia, se utiliza para compartir datos de autenticacion de usuario.
Aparte de estas consideraciones, las realizaciones anteriores tambien son aplicables a este escenario que implica una red CDMA 2000 suponiendo que la informacion relevante puede ser transportada utilizando extensiones a las actuales interfaces RADIUS y Diametro.
Una realizacion adicional se presenta bajo el primer escenario de ejemplo anterior y se muestra en la figura 9, en la que la propuesta para una autenticacion implfcita (propuesta SSO) se desencadena realmente desde el propio equipo de usuario (UE) y sin que haber recibido una invitacion previa del dominio multimedia (IMS). Por lo tanto, la secuencia de flujo en la figura 9 presenta una realizacion alternativa a las figuras 5 y 6, en la que el equipo de usuario (UE) envfa directamente al dominio multimedia (IMS) su propuesta para una autenticacion implfcita (Propuesta SSO), sin haber recibido la invitacion anterior con un mensaje de respuesta de actualizar localizacion o con un servicio de mensajes cortos (SMS), y con el fin de llevar a cabo dicha autenticacion implfcita entre dicho equipo de usuario y el dominio multimedia.
Este nuevo enfoque se podna aplicar asimismo para modificar otras realizaciones anteriores e independientemente del escenario de aplicacion.
La invencion se ha descrito anteriormente con respecto a varias realizaciones de una manera ilustrativa y no restrictiva. Obviamente, modificaciones y variaciones de la presente invencion son posibles a la luz de las ensenanzas anteriores, y cualquier modificacion de las realizaciones que se encuentre dentro del alcance de las reivindicaciones esta destinada a ser incluida en ellas.
A continuacion, se describen otras realizaciones.
5
10
15
20
25
30
35
40
45
50
55
Realizacion 1: Un dispositivo para la autenticacion multimedia de un usuario (UE) que accede a un dominio multimedia (IMS) a traves de una red de acceso (UMTS; WLAN; GPRS; CDMA 20O0), el dispositivo para su uso en, o en cooperacion con un servidor de abonado (HSS; AAA) de la red de acceso que guarda los datos de autenticacion para el usuario y es accesible para el dominio multimedia (IMS), comprendiendo el dispositivo: un medio para decidir que una autenticacion implfcita entre el usuario (UE) y el dominio multimedia (IMS) puede tener lugar, evitando de este modo las necesidades de una autenticacion explfcita; y medios para dar instrucciones a una entidad de servicio (S-CSCF) encargada de autenticar al usuario (UE) en el dominio multimedia (IMS) de que puede tener lugar la autentificacion implfcita.
Realizacion 2: El dispositivo de la realizacion 1 en el que el medio para decidir que puede tener lugar una autentificacion implfcita incluye medios para determinar la seguridad potencial de la ruta de senalizacion para acceder al dominio multimedia a traves de dicha red de acceso.
Realizacion 3: El dispositivo de la realizacion. 1, en el que los medios para dar instrucciones a la entidad de servicio de que puede tener lugar una autenticacion implfcita incluyen medios para indicar (autenticacion implfcita) que la decision final esta en el lado del usuario (UE) que podna forzar una autenticacion explfcita.
Realizacion 4: El dispositivo de la realizacion 1, en el que los medios para dar instrucciones a la entidad de servicio de que puede tener lugar una autenticacion implfcita incluyen medios para indicar (autenticacion implfcita por la red) que esta es una decision final adoptada por la red y no se puede llevar a cabo ninguna autenticacion explfcita.
Realizacion 5: El dispositivo de la realizacion 1, que incluye ademas un medio (autenticacion implfcita, autenticacion implfcita por la red) para notificar al equipo de usuario que una autenticacion implfcita del usuario para acceder al dominio multimedia puede ser realizada por la red.
Realizacion 6: El dispositivo de la realizacion 1, en el que el medio para decidir que puede tener lugar una autenticacion implfcita entre el usuario (UE) y el dominio multimedia (IMS) incluye medios para recibir una propuesta de autenticacion implfcita (propuesta de SSO) originada en el equipo de usuario (UE).
Realizacion 7: El dispositivo de la realizacion 3, que comprende ademas medios para recibir una indicacion (SSO activada) originada en el equipo de usuario (UE) para confirmar la aceptacion de la autenticacion implfcita propuesta por la red.
Realizacion 8: El dispositivo de la realizacion 7, que comprende ademas medios para indicar (autenticacion implfcita confirmada por el usuario) a la entidad de servicio (S-CSCF) encargada de autenticar al usuario en el dominio multimedia (IMS) que el usuario ha confirmado la autenticacion.
Realizacion 9: El dispositivo de la realizacion 8, que comprende ademas medios para proporcionar datos de autenticacion adicionales a dicha entidad de servicio (S-CSCF), incluyendo dichos datos de autenticacion adicionales al menos un elemento seleccionado de un grupo de elementos que comprende: tipo de autenticacion: informacion de acceso; y marca de tiempo de autenticacion.
Realizacion 10: Un equipo de usuario (UE) habilitado para obtener acceso a un dominio multimedia (IMS) a traves de una red de acceso (UMTS; WLAN; GPRS; CDMA 2000), y dispuesto para llevar a cabo un primer procedimiento de autenticacion explfcita con la red de acceso y un segundo procedimiento de autenticacion explfcita con el dominio multimedia (IMS), comprendiendo el equipo de usuario (UE) medios para el procesamiento de al menos una notificacion seleccionada de un grupo de notificaciones que incluye: una notificacion (autenticacion implfcita, autenticacion implfcita por la red) recibida desde el dominio multimedia (IMS) indicando que la red puede llevar a cabo una autenticacion implfcita para el usuario; y una notificacion (propuesta de SSO) propuesta desde el equipo de usuario (UE) hacia el dominio multimedia (IMS) para llevar a cabo una autenticacion implfcita entre dicho equipo de usuario y el dominio multimedia.
Realizacion 11: El equipo de usuario (UE) de la realizacion 10, en el que los elementos para procesar una notificacion recibida desde el dominio multimedia (IMS) incluyen medios para recibir y procesar una indicacion (autenticacion implfcita) de que la decision final esta en el equipo de usuario (UE), que podna forzar una autenticacion explfcita.
Realizacion 12: El equipo de usuario (UE) de la realizacion 11, que comprende ademas medios para enviar hacia el dominio de multimedia (IMS) una indicacion (SSO habilitada) para confirmar la aceptacion de la autenticacion implfcita propuesta por la red.
Realizacion 13: El equipo de usuario (UE) de la realizacion 12, que comprende ademas medios para proporcionar datos de autenticacion adicionales al dominio multimedia (IMS), comprendiendo dichos datos de autenticacion adicionales al menos un elemento seleccionado de un grupo de elementos que comprende: tipo de autenticacion; informacion de acceso; y marca de tiempo de autenticacion.
Realizacion 14: Equipo de usuario (UE) de la realizacion 10, en el que el medio para procesar una notificacion recibida del dominio multimedia (IMS) incluye medios para recibir y procesar una indicacion (autenticacion implfcita
5
10
15
20
25
30
35
40
45
50
por la red) de que la autenticacion impKcita es una decision final adoptada por la red y no se puede realizar ninguna autenticacion explfcita.
Realizacion 15: Metodo para autenticar a un usuario (UE) que accede a un dominio multimedia (IMS) a traves de una red de acceso (UMTS; WLAN; GPRS; CDMA 2000), comprendiendo el metodo las etapas de: autenticar al usuario en la red de acceso (UMTS; WLAN; GPRS; CDMA 2000) a traves de la que el usuario accede, teniendo la red de acceso un servidor de abonado (HSS; AAA) con datos de autenticacion para el usuario y accesible al dominio multimedia (IMS); registrar el usuario (UE) en el dominio multimedia (IMS); decidir que puede tener lugar una autenticacion implfcita entre el usuario (UE) y el dominio multimedia (IMS), evitando asf las necesidades de una autenticacion explfcita; y dar instrucciones a una entidad de servicio (S-CSCF) encargada de autenticar al usuario (UE) en el dominio multimedia (IMS) de que puede tener lugar la autentificacion implfcita.
Realizacion 16: El metodo de la realizacion 15, que comprende ademas una etapa de notificar desde el dominio multimedia (IMS) (autenticacion implfcita; autenticacion implfcita por la red) al equipo de usuario (UE) que se puede realizar una autenticacion implfcita del usuario para acceder al dominio multimedia.
Realizacion 17: El metodo de la realizacion 15, en el que la etapa de decidir que puede tener lugar una autenticacion implfcita incluye una etapa de determinar la seguridad potencial de la ruta de senalizacion para acceder al dominio multimedia a traves de dicha red de acceso.
Realizacion 18: El metodo de la realizacion 15, en el que la etapa de decidir que puede tener lugar una autenticacion
implfcita incluye una etapa de proponer desde el equipo de usuario (UE) al dominio multimedia (IMS) una
autenticacion implfcita que se llevara a cabo entre dicho equipo de usuario y el dominio multimedia.
Realizacion 19: El metodo de la realizacion 15, en el que la etapa de dar instrucciones a la entidad de servicio de que puede tener lugar una autentificacion implfcita incluye una etapa de indicar (autenticacion implfcita por la red) que esta es una decision final adoptada por la red y no se puede llevar a cabo una autenticacion explfcita.
Realizacion 20: El metodo de la realizacion 15, en el que la etapa de indicar a la entidad de servicio que puede tener
lugar una autenticacion implfcita incluye una etapa de indicar (autenticacion implfcita) que la decision final esta en el equipo de usuario, que podna forzar una autenticacion explfcita.
Realizacion 21: El metodo de la realizacion 20, que comprende ademas una etapa de confirmar (SSO activada) desde el equipo de usuario (UE) la aceptacion de una autenticacion implfcita propuesta por la red.
Realizacion 22: El metodo de la realizacion 21, que comprende ademas una etapa de indicar (autenticacion implfcita confirmada por el usuario) a la entidad de servicio (S-CSCF) encargada de autenticar al usuario (UE) en el dominio multimedia (IMS) que el usuario ha confirmado la autenticacion implfcita.
Realizacion 23: Una entidad de servicio (S-CSCF) encargada de autenticar a un usuario (UE) en el dominio multimedia (IMS) cuando el usuario accede al mismo a traves de una red de acceso (UMTS; WLAN; GPRS; CDMA 2000) en la que dicho usuario ha sido autenticado previamente, comprendiendo la entidad de servicio (S-CSCF): medios para recibir y procesar instrucciones (autenticacion implfcita, autenticacion implfcita por la red) originados en el dispositivo de la realizacion 1 que indican que puede tener lugar una autentificacion implfcita; y un medio para notificar (autenticacion implfcita, autenticacion implfcita por la red) a un equipo de usuario (UE) que una autenticacion implfcita del usuario para acceder al dominio multimedia (IMS) puede ser llevada a cabo por la red.
Realizacion 24: La entidad de servicio (S-CSCF) de la realizacion 23, que comprende tambien medios para recibir una indicacion (SSO habilitada) originada en el equipo de usuario (UE) de la realizacion 12 para confirmar la aceptacion de una autenticacion implfcita propuesta por la red.
Realizacion 25: La entidad de servicio (S-CSCF) de la realizacion 23, que comprende ademas medios para recibir una indicacion (autenticacion implfcita confirmada por el usuario) originada en el dispositivo de la realizacion 8 que indica que el usuario ha confirmado la autenticacion implfcita.
Realizacion 26: La entidad de servicio (S-CSCF) de la realizacion 25, que comprende ademas medios para comprobar la coincidencia de datos de autenticacion adicionales recibidos respectivamente desde el dispositivo de la realizacion 9 y desde el equipo de usuario de la realizacion 13 con el fin de proporcionar un soporte de seguridad adicional.
Realizacion 27: La entidad de servicio (S-CSCF) de la realizacion 26, en la que dichos datos de autenticacion adicionales incluyen al menos un elemento seleccionado de un grupo de elementos que comprende: tipo de autenticacion; informacion de acceso; y marca de tiempo de autenticacion.
Realizacion 28: La entidad de servicio (S-CSCF) de la realizacion 23, en la que el medio para notificar al usuario (UE) que una autenticacion implfcita puede ser llevada a cabo por la red incluye medios para indicar (autenticacion implfcita por la red) al usuario (UE) que la autenticacion implfcita es una decision final adoptada por la red y no se puede realizar una autenticacion explfcita.
5
10
15
20
25
Realizacion 29: Una entidad de servidor de proximidad (P-CSCF) prevista para actuar como punto de entrada en el dominio multimedia (IMS) para usuarios (UE) que acceden a el a traves de una red de acceso (UMTS; WLAN; GPRS; CDMA 2000) en la que el usuario habfa sido autenticado previamente, y que comprende medios para procesar al menos una notificacion seleccionada de un grupo de notificaciones que incluyen: una notificacion (autenticacion impKcita, autenticacion impKcita por la red) enviada al equipo de usuario (UE) para indicar que una autenticacion implfcita del usuario para acceder al dominio multimedia (IMS) puede ser llevada a cabo por la red; y una notificacion (propuesta de SSO) recibida del equipo de usuario (UE) para proponer una autenticacion implfcita al dominio multimedia (IMS) entre dicho equipo de usuario y el dominio multimedia.
Realizacion 30: La entidad de servidor de proximidad (P-CSCF) de la realizacion 29, que comprende ademas medios para recibir una indicacion (SSO habilitada) desde el equipo de usuario (UE) de que acepta la autenticacion implfcita propuesta por la red.
Realizacion 31: La entidad de servidor de proximidad (P-CSCF) de la realizacion 29, que comprende ademas medios para indicar (autenticacion implfcita por la red) al usuario (UE) que la autenticacion implfcita es una decision final adoptada por la red y no se puede llevar a cabo ninguna autenticacion explfcita.
Realizacion 32: Una entidad de interrogacion (I-CSCF) que consulta a un servidor de abonado (HSS; AAA-3GPP) en el dominio multimedia (IMS) sobre un usuario (UE) que ha accedido a dicho dominio multimedia a traves de una red de acceso (WLAN, GPRS), teniendo la entidad de interrogacion medios para recibir una solicitud de inicio de sesion del usuario, y medios para acusar el recibo de dicho inicio de sesion hacia el usuario, y que comprende medios para transmitir una indicacion (autenticacion implfcita, autenticacion implfcita por la red) hacia el usuario (UE) de que se puede llevar a cabo una autenticacion implfcita del usuario para acceder al dominio multimedia (IMS).
Realizacion 33: La entidad de interrogacion (I-CSCF) de la realizacion 32, que comprende, ademas: medios para recibir una indicacion (SSO habilitada; SSO propuesta) originada en el equipo de usuario (UE) para permitir una autenticacion implfcita; y medios para transmitir dicha indicacion desde el equipo de usuario hacia al menos una entidad seleccionada de un grupo de entidades que comprende el dispositivo de la realizacion 1 y la entidad de servicio (S-CSCF) de la realizacion 23.
Realizacion 34: La entidad de interrogacion (I-CSCF) de la realizacion 32, que comprende ademas medios para transmitir al usuario (UE) una indicacion (autenticacion implfcita por la red) de que la autenticacion implfcita es una decision final adoptada por la red y no se puede llevar a cabo ninguna autenticacion explfcita.

Claims (19)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    REIVINDICACIONES
    1. Equipo de usuario, UE, habilitado para acceder a un dominio multimedia (IMS) a traves de una red de acceso (GSM/UMTS; WLAN;), dispuesto para llevar a cabo un procedimiento de autenticacion expKcito con la red de acceso, y caracterizado por estar dispuesto ademas para enviar un mensaje de inicio de sesion indicando que se propone un procedimiento de autenticacion implfcita con el dominio multimedia (IMS) desde el UE.
  2. 2. Equipo de usuario segun la reivindicacion 1, en el que el procedimiento de autenticacion implfcita con el dominio multimedia (IMS) se basa en el procedimiento de autenticacion explfcita anterior llevado a cabo con la red de acceso.
  3. 3. Equipo de usuario segun la reivindicacion 2, en el que el procedimiento de autenticacion explfcita con la red de acceso es un mecanismo de autentificacion AKA.
  4. 4. Equipo de usuario segun la reivindicacion la reivindicacion 3, en el que el mecanismo de autenticacion AKA llevado a cabo con la red de acceso es uno de: SIM AKA, USIM AKA y EAP AKA.
  5. 5. Equipo de usuario segun cualquiera de las reivindicaciones 1 a 4, en el que el mensaje de inicio de sesion es un mensaje de inicio de sesion de protocolo de inicio de sesion, en lo sucesivo en esta memoria, SIP.
  6. 6. Equipo de usuario segun la reivindicacion la reivindicacion 5, que comprende ademas medios para recibir desde el dominio multimedia (IMS), en respuesta al mensaje de inicio de sesion de SIP, un mensaje de SIP 200 OK.
  7. 7. Equipo de usuario segun la reivindicacion 6, en el que el mensaje SIP 200 OK indica un resultado de autentificacion implfcita satisfactoria.
  8. 8. Equipo de usuario segun cualquiera de las reivindicaciones 1 a 8, en el que el equipo de usuario esta dispuesto para llevar a cabo un procedimiento de autenticacion explfcita con el dominio multimedia (IMS) mediante la emision de un mensaje de inicio de sesion adicional para una identidad privada dada.
  9. 9. Equipo de usuario segun la reivindicacion 8, en el que el procedimiento de autenticacion explfcita con el dominio multimedia (IMS) es un mecanismo de autenticacion AKA.
  10. 10. Metodo para un equipo de usuario, UE, que obtiene acceso a un dominio multimedia (IMS) a traves de una red de acceso (GsM/UMTS; WLAN;), comprendiendo el metodo que:
    - el equipo de usuario lleva a cabo un procedimiento de autenticacion explfcita con la red de acceso; y caracterizado por que:
    el equipo de usuario emite un mensaje de inicio de sesion que indica que desde el UE se propone un procedimiento de autenticacion implfcita con el dominio multimedia (IMS).
  11. 11. Metodo segun la reivindicacion 10, en el que el procedimiento de autenticacion implfcita con el dominio multimedia (IMS) se basa en el procedimiento de autenticacion explfcita anterior llevado a cabo con la red de acceso.
  12. 12. Metodo segun la reivindicacion 11, en el que el procedimiento de autenticacion explfcita con la red de acceso es un mecanismo de autenticacion AKA.
  13. 13. Metodo segun la reivindicacion 12, en el que el mecanismo de autenticacion AKA llevado a cabo con la red de acceso es uno de: SIM AKA, USIM AKA y EAP AKA.
  14. 14. Metodo segun cualquiera de las reivindicaciones 10 a 13, en el que los mensajes de inicio de sesion son mensajes de inicio de sesion de protocolo de inicio de sesion, en lo sucesivo en esta memoria, SIP.
  15. 15. Metodo segun la reivindicacion 14, que comprende ademas que el equipo de usuario recibe desde el dominio multimedia (IMS), en respuesta al mensaje de inicio de sesion de SIP, un mensaje de SIP 200 OK.
  16. 16. Metodo segun la reivindicacion 15, en el que el mensaje SIP 200 OK indica un resultado de autenticacion implfcita satisfactoria.
  17. 17. Metodo segun cualquiera de las reivindicaciones 11 a 16, que comprende ademas que el equipo de usuario realiza un procedimiento de autenticacion explfcito con el dominio multimedia (IMS) emitiendo un mensaje de inicio de sesion adicional para una identidad privada dada.
  18. 18. Metodo segun la reivindicacion 17, en el que el procedimiento de autenticacion explfcita con el dominio multimedia (IMS) es un mecanismo de autenticacion AKA.
  19. 19. Sistema para proporcionar a un equipo de usuario, UE, acceso a un dominio multimedia (IMS) a traves de una red de acceso, comprendiendo el sistema el dominio multimedia (IMS), la red de acceso y el equipo de usuario (UE) de cualquiera de las reivindicaciones 1 a 9.
ES13172208.4T 2003-08-26 2003-08-26 Aparato y método para autenticar a un usuario cuando accede a servicios multimedia Expired - Lifetime ES2645270T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
PCT/SE2003/001316 WO2005020619A1 (en) 2003-08-26 2003-08-26 Apparatus and method for authenticating a user when accessing to multimedia services
EP13172208.4A EP2642723B1 (en) 2003-08-26 2003-08-26 Apparatus and method for authenticating a user when accessing to multimedia services

Publications (1)

Publication Number Publication Date
ES2645270T3 true ES2645270T3 (es) 2017-12-04

Family

ID=34215034

Family Applications (1)

Application Number Title Priority Date Filing Date
ES13172208.4T Expired - Lifetime ES2645270T3 (es) 2003-08-26 2003-08-26 Aparato y método para autenticar a un usuario cuando accede a servicios multimedia

Country Status (10)

Country Link
US (1) US7836487B2 (es)
EP (3) EP1658746B1 (es)
JP (1) JP4555224B2 (es)
CN (1) CN1849837B (es)
AU (1) AU2003256191A1 (es)
BR (1) BRPI0318446B1 (es)
CA (1) CA2532538C (es)
DK (2) DK2642723T3 (es)
ES (1) ES2645270T3 (es)
WO (1) WO2005020619A1 (es)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7624270B2 (en) * 2002-11-26 2009-11-24 Cisco Technology, Inc. Inter subnet roaming system and method
US6940844B2 (en) 2003-10-17 2005-09-06 Interdigital Technology Corporation Method and apparatus for reporting WLAN capabilities of a dual mode GPRS/WLAN or UMTS/WLAN WTRU
CN101032142B (zh) * 2003-12-29 2011-05-18 艾利森电话股份有限公司 通过接入网单一登录访问服务网络的装置和方法
US20060051061A1 (en) * 2004-09-09 2006-03-09 Anandpura Atul M System and method for securely transmitting data to a multimedia device
BRPI0517521B1 (pt) * 2004-10-26 2019-04-09 Telecom Italia S.P.A. Método e sistema para autenticar um assinante de uma primeira rede para acessar um serviço de aplicação através de uma segunda rede
US20060106726A1 (en) * 2004-11-18 2006-05-18 Contentguard Holdings, Inc. Method, system, and device for license-centric content consumption
KR100656079B1 (ko) * 2005-03-23 2006-12-11 에스케이 텔레콤주식회사 홈 네트워크 기반의 디지털 액자 서비스 제공 방법
CN1319350C (zh) * 2005-06-08 2007-05-30 华为技术有限公司 实现路由控制的系统和方法
US20060225128A1 (en) * 2005-04-04 2006-10-05 Nokia Corporation Measures for enhancing security in communication systems
CN100428718C (zh) * 2005-10-19 2008-10-22 华为技术有限公司 一种非ims移动终端接入ims域的鉴权注册方法及装置
CN100440997C (zh) * 2005-10-22 2008-12-03 华为技术有限公司 一种将传统移动终端接入多媒体域的系统和方法
WO2007062108A2 (en) 2005-11-23 2007-05-31 Pak Siripunkaw Method of upgrading a platform in a subscriber gateway device
US20080095070A1 (en) * 2005-12-05 2008-04-24 Chan Tat K Accessing an IP multimedia subsystem via a wireless local area network
WO2007078663A2 (en) * 2005-12-16 2007-07-12 Interdigital Technology Corporation Mobility middleware architecture for multiple radio access technology apparatus
CN100454840C (zh) * 2006-01-05 2009-01-21 华为技术有限公司 归属用户服务器的备份实现方法及ip多媒体网络
CN100592781C (zh) * 2006-03-02 2010-02-24 华为技术有限公司 一种电子节目单获取系统和方法
DE602006012446D1 (de) * 2006-04-03 2010-04-08 Alcatel Lucent Verfahren zur Sicherung der Kommunikation zwischen einem Zugangsnetz und einem Vermittlungsnetz
CN100596084C (zh) 2006-04-20 2010-03-24 华为技术有限公司 移动电路域用户接入ims网络的系统及其接入的注册方法
US8060612B1 (en) * 2006-09-29 2011-11-15 Sprint Communications Company L.P. NAI (Network Access Identifier) embedding
CN101170553B (zh) * 2006-10-24 2011-07-20 华为技术有限公司 实现互联网协议多媒体子系统容灾的方法和装置
CN101573934B (zh) * 2006-11-24 2016-03-09 艾利森电话股份有限公司 在通信网络中的鉴别
JP4946422B2 (ja) * 2006-12-22 2012-06-06 日本電気株式会社 通信システム、通信装置、サービス処理装置及びそれらに用いる通信方法
CN101242634B (zh) * 2007-02-07 2012-05-23 华为技术有限公司 一种业务提供系统、装置和方法
US8216221B2 (en) 2007-05-21 2012-07-10 Estech, Inc. Cardiac ablation systems and methods
ES2619423T3 (es) * 2007-05-22 2017-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Método, aparatos y programa informático para configurar dinámicamente una función de control de sesión de llamada proxy del subsistema multimedia IP desde un servidor de reglas de control de política
US9154526B2 (en) * 2007-06-08 2015-10-06 At&T Intellectual Property I, Lp System for communicating with an internet protocol multimedia subsystem network
WO2009002143A1 (en) * 2007-06-22 2008-12-31 Telefonaktiebolaget Lm Ericsson (Publ) Method of providing a service through a user equipment unit in an ip multimedia subsystem telecommunications network, including a user database server, service policy server and application server for use with said method
JP4980813B2 (ja) * 2007-07-23 2012-07-18 株式会社エヌ・ティ・ティ・ドコモ 認証処理装置、認証処理方法及び認証処理システム
EP2028811B1 (en) 2007-07-24 2011-05-18 T-Mobile International AG Method for exchanging user information in a telecommunication network
US8108911B2 (en) * 2007-11-01 2012-01-31 Comcast Cable Holdings, Llc Method and system for directing user between captive and open domains
US8949950B2 (en) * 2007-12-20 2015-02-03 Telefonaktiebolaget L M Ericsson (Publ) Selection of successive authentication methods
CN101911651A (zh) * 2008-01-11 2010-12-08 爱立信电话股份有限公司 保护联系信息的安全
CN101552987B (zh) * 2008-03-31 2011-11-16 华为技术有限公司 防止认证向量被滥用的方法、装置和系统
ES2684299T3 (es) * 2008-08-01 2018-10-02 Nokia Siemens Networks Oy Método, aparato, sistema y producto de programa informático para soportar P-CSCF heredada para indicar a la S-CSCF que omita autenticación
DK2396939T3 (da) * 2009-02-16 2020-06-08 Nokia Solutions & Networks Oy Fremgangsmåder, apparater, system, relaterede computerprogrammer og datastrukturer til levering af abonnementsoplysninger
CN101521930B (zh) * 2009-03-25 2011-09-21 中兴通讯股份有限公司 一种策略控制方法及系统
US8537762B2 (en) * 2009-04-27 2013-09-17 Qualcomm Incorporated System and method for optimally transferring data traffic on networks
US8838815B2 (en) * 2009-05-29 2014-09-16 At&T Intellectual Property I, L.P. Systems and methods to make a resource available via a local network
US8756705B2 (en) * 2009-07-01 2014-06-17 Fiserv, Inc. Personalized security management
KR20150058534A (ko) * 2010-06-18 2015-05-28 노키아 솔루션스 앤드 네트웍스 오와이 인증 정보 전송
CN102546574B (zh) * 2010-12-24 2014-10-08 中国移动通信集团公司 基于ip多媒体子系统的流媒体点播方法和装置
CN102355663B (zh) * 2011-06-30 2014-08-20 北京交通大学 基于分离机制网络的可信域间快速认证方法
US9094208B2 (en) 2011-12-13 2015-07-28 Sharp Laboratories Of America, Inc. User identity management and authentication in network environments
US20130247162A1 (en) * 2012-03-19 2013-09-19 Avaya, Inc. Single authentication context for network and application access
US9449156B2 (en) * 2012-10-01 2016-09-20 Microsoft Technology Licensing, Llc Using trusted devices to augment location-based account protection
US9756056B2 (en) 2013-09-04 2017-09-05 Anton Nikolaevich Churyumov Apparatus and method for authenticating a user via multiple user devices
CN106161361B (zh) * 2015-04-03 2018-10-02 北京神州泰岳软件股份有限公司 一种跨域资源的访问方法及装置
US10951600B2 (en) * 2017-05-08 2021-03-16 Microsoft Technology Licensing, Llc Domain authentication
CN110234112B (zh) * 2018-03-05 2020-12-04 华为技术有限公司 消息处理方法、系统及用户面功能设备
US10972463B2 (en) 2018-06-06 2021-04-06 Cisco Technology, Inc. Blockchain-based NB-IoT devices
US10505718B1 (en) 2018-06-08 2019-12-10 Cisco Technology, Inc. Systems, devices, and techniques for registering user equipment (UE) in wireless networks using a native blockchain platform
US10673618B2 (en) 2018-06-08 2020-06-02 Cisco Technology, Inc. Provisioning network resources in a wireless network using a native blockchain platform
US11394702B2 (en) * 2019-09-23 2022-07-19 T-Mobile Usa, Inc. Authentication system when authentication is not functioning

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6173406B1 (en) * 1997-07-15 2001-01-09 Microsoft Corporation Authentication systems, methods, and computer program products
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6763233B2 (en) * 2000-01-05 2004-07-13 Nortel Networks Limited Terminal roaming operations between intergenerational wireless networks
DE10025270C2 (de) * 2000-05-22 2002-12-12 Siemens Ag Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem
US6725036B1 (en) * 2000-05-30 2004-04-20 Nokia Telecommunications Ojy System and method of controlling application level access of a subscriber to a network
JP2003535506A (ja) * 2000-05-30 2003-11-25 ノキア コーポレイション ネットワークへの加入者のアプリケーション・レベル・アクセスを制御するシステム及び方法
US7024688B1 (en) * 2000-08-01 2006-04-04 Nokia Corporation Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages
WO2002045449A1 (en) * 2000-11-28 2002-06-06 Nokia Corporation System and method for authentication of a roaming subscriber
GB0110900D0 (en) 2001-05-03 2001-06-27 Nokia Corp Registrations in a communication system
GB0131046D0 (en) * 2001-12-28 2002-02-13 Nokia Corp Service access
US20030159067A1 (en) * 2002-02-21 2003-08-21 Nokia Corporation Method and apparatus for granting access by a portable phone to multimedia services

Also Published As

Publication number Publication date
CA2532538A1 (en) 2005-03-03
AU2003256191A1 (en) 2005-03-10
CA2532538C (en) 2016-02-16
JP4555224B2 (ja) 2010-09-29
EP1658746A1 (en) 2006-05-24
DK1658746T3 (da) 2012-09-17
EP1658746B1 (en) 2012-06-06
JP2007521527A (ja) 2007-08-02
EP2482576A3 (en) 2012-08-08
EP2482576A2 (en) 2012-08-01
CN1849837B (zh) 2010-11-10
EP2642723A2 (en) 2013-09-25
EP2482576B1 (en) 2013-07-31
US20070130471A1 (en) 2007-06-07
DK2642723T3 (en) 2017-10-02
WO2005020619A1 (en) 2005-03-03
BRPI0318446B1 (pt) 2017-05-16
US7836487B2 (en) 2010-11-16
CN1849837A (zh) 2006-10-18
BR0318446A (pt) 2006-08-01
EP2642723A3 (en) 2014-03-05
EP2642723B1 (en) 2017-07-26

Similar Documents

Publication Publication Date Title
ES2645270T3 (es) Aparato y método para autenticar a un usuario cuando accede a servicios multimedia
US10993161B2 (en) Authenticating user equipments through relay user equipments
ES2445647T3 (es) Soporte de llamadas sin UICC
CN113748699A (zh) 用于通信系统中的间接通信的服务授权
ES2371109T3 (es) Sistema y aparato para usuarios de cs móvil para acceder a la red de ims y el método de registro para el acceso.
ES2433194T3 (es) Método de registro y baja de un usuario
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
US20070143613A1 (en) Prioritized network access for wireless access networks
US7526642B2 (en) Controlling delivery of certificates in a mobile communication system
ES2553377T3 (es) Método simplificado para el registro de IMS en caso de llamadas de emergencia
US20060154645A1 (en) Controlling network access
WO2004034671A1 (en) Controlling delivery of certificates in a mobile communication system
RU2337504C2 (ru) Устройство и способ для аутентификации пользователя при доступе к мультимедийным службам