説明

マルチメディアサービスにアクセスするときのユーザを認証する装置及び方法

本発明は、アクセスネットワークとマルチメディアドメインとの間であるユーザに対する相互ドメイン認証を実行する、現存しているものよりも単純であり、ユーザがアクセスネットワークにより認証された場合に適用可能なドメイン間認証機構を提供する。それ故に、本発明に従えば、新しい特徴、即ち、“マルチメディアドメインについての暗黙の認証(Implicit Authentication for Multimedia domain)”が提供され、それは、加入者サーバと密接に協働する専用マルチメディア認証機器として実現されるかもしれないし、或いは前記加入者サービスに完全に内蔵されるものでも良い。最終的には、現在の標準に従うマルチメディアドメインの他のエンティティからの助けを用いて、異なるネットワーク間、或いは、異なる技術のドメイン間で認証データを再利用するために全てが構成された、新しい機器、新しいユーザ機器、及び新しい方法とが備えられる。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザが既に認証されたアクセスネットワークを介して、マルチメディアネットワークにアクセスするユーザを認証する簡略化された手順に関するものである。
【背景技術】
【0002】
現存する多くの移動体ネットワークと共に、標準化団体により定義された将来的に可能性のあるネットワークは、エンドユーザとユーザのエージェントに、ネットワークのアクセス時というよりむしろそのネットワークに関係したサービスへのアクセス時に、自分自身を認証することを要求する。この点において、GSM、GPRS、無線ローカルエリアネットワーク(WLAN)、及びマルチメディア(IMS)ドメインは、3GPPと3GPP2標準により定義されているように、それら全てのユーザ機器や端末が、ユーザやユーザのエージェントを前記ドメインへのアクセスを承諾する前に、各特定の技術的なドメインに関して特有の認証手順を実行するように構成されていることを要求する。特に、上に引用した技術的なドメインや他の成長しつつある技術的なドメインでは、異なる技術的なドメインの至るところでアクセスをより複雑にする異なる機密保護レベルを要求している。このアクセスは至るところで必ずしも必要ではない余計な機密保護、その結果、余計な処理とシグナリング能力とともに、ユーザ機器や端末での余計な複雑さの必要性を示唆している。
【0003】
現在のところ、3GPPマルチメディアドメインにおける認証手順は、非特許文献1に記載されているように実行され、図1には、セション開始プロトコル(SIP)を基本としたシグナリングフローによって描かれている。図1が例示し、言及された技術仕様が記載しているように、ユーザがマルチメディアドメインにおいて、与えられた秘密のそして公開のアイデンティティに関してSIP登録メッセージを送信することにより通常は開始されるものを登録するときには、マルチメディア認証は常に実行されねばならない。
【0004】
先に引用したフローを開始する前に仮定される初期条件とは、エンドユーザは、マルチメディアドメインにアクセスする前にデータ接続をオープンにしなければならないことである。この接続は、PDPコンテキストを起動させる点からすればGPRS接続であるかもしれず、或いは、IEEE802.11標準によって仕様が定められたようなデータ接続を確立する点からすればWLAN接続であるかもしれず、或いは、ユーザ側にデータ接続を提供する別のアクセスネットワークでも良い。このシナリオでは、エンドユーザ或いはユーザのエージェントは、そのようなデータ接続を確立するために、そして、SIPレジスタをマルチメディアドメインに送信する前に、GPRSであれWLANであれ他のものであれそのアクセスネットワークにより既に認証を受けているとしている。
【0005】
特に、現在用いられているアクセスネットワーク、即ち、GPRSとWLANの両方とも夫々に認証機構、即ち、GPRSについてはSIM/USIM−AKA、WLANについてはEAP−SIM/AKAを提供している。一方、マルチメディアドメインでは現在、上述したアクセスネットワークと類似のレベルの機密保護を提供する認証機構、所謂、USIM−AKAを利用している。その認証機構は、SIPレジスタメッセージが図1に示されているように、サービング・コール・ステータス・コントロール・ファンクション(S−CSCF)エンティティに到達するときに実行される。この点について、図2はWLANネットワークにアクセスしたユーザについてのEAP AKA認証を実行するために後に続く動作のシーケンスを図示している。ここで、DIAMETERがRADIUSやMAPの代わりに用いられても良いが、RADIUSとMAPとは最も確実性の高いプロトコル代替案であるように思われる。
【0006】
現在のところ、マルチメディアドメインにアクセスするのを望むユーザは、データ接続の以前の確立、即ち、GPRSやWLANのようなアクセスネットワークを介して頻繁に実行されたものを必要とし、結果的に、そのユーザはWLANアクセスネットワークについてはEAP−SIM/AKAで最初に認証され、さらに、そのユーザはマルチメディアドメインに登録するときにUSIM−AKAでその次に認証されるべきなのである。
【0007】
現在のところ、GPRSやWLANのようなアクセスネットワークとSIPを基本とするマルチメディアドメインとの間で、あるユーザに対する相互ドメイン認証を実行する認証機構はないと結論しても良いかもしれない。言い換えると、ユーザ或いはSIPユーザのエージェントのために認証データを管理して、一旦認証がユーザがアクセスする、おそらくはGPRSやWLANのようなアクセスネットワークにおいて既になされたなら、前記ユーザ或いはSIPユーザのエージェントをマルチメディアにおける認証操作を実行しなければならないことから解放することができる現存するサービスや機器はない。
【非特許文献1】3G TS33.203
【発明の開示】
【発明が解決しようとする課題】
【0008】
この場合、非特許文献1で説明され、図1において図示されたようなマルチメディアドメインについての認証は、あるシナリオの下では不必要であるかもしれない無線パスでの余分のシグナリングを追加することになる。第一に、SIPレジスタがS−SCSFで受信された後、S−SCSFは通常は認証チャレンジメッセージ(Authentication Challenge message)をSIPユーザのエージェントに送信する。この動作が成功するなら、S−CSCFは周期的に認証ベクトル要求(Authentication-Vector-request)をSIPユーザのエージェントに送信する。次に、そのSIPユーザのエージェントは認証ベクトル応答(Authentication-Vector-response)で応答しなければならない。これらメッセージの両方はマルチメディアドメインに余計な負荷を加えるとともに、登録時間もより長くなる。即ち、SIPユーザのエージェントは、認証ベクトル要求(Authentication-Vector-request)と認証ベクトル応答(Authentication-Vector-response)の両方を処理してこれらに応答すべきなのである。これらのメッセージは、SIPユーザのエージェントによる余分な処理を必要とする。このことは、SIPユーザのエージェントが、おそらくは電力消費が大きいという性質があるマルチメディアサービスのためにできるだけ多くの電力を用いるというよりはむしろ、この処理のために電力を用いなければならないことを意味しているが、電池の電力には限界があることを心に留めておくべきである。
【0009】
それに関して、本発明は、アクセスネットワークとマルチメディアドメインとの間であるユーザに対する相互ドメイン認証を実行する、現存しているものよりも単純であり、ユーザ認証がアクセスネットワークにより実行された場合に適用可能なドメイン間認証機構を提供することを目的としている。
【課題を解決するための手段】
【0010】
発明の要約
上述の目的は本発明に従えば、以下の請求項を備えることにより達成される。即ち、請求項1に記載の機器、請求項10に記載のユーザ機器、及び請求項15に記載の方法を備える。これら全ては異なるネットワーク間、或いは異なる技術ドメイン間で認証データを再利用するように構成されている。また、マルチメディアドメインにおいてユーザの認証を担当する請求項23に記載のサービングエンティティと、請求項29に記載のプロキシエンティティと、請求項32に記載の尋問エンティティからの助けによっても本発明の目的は達成される。これらのエンティティは、3GPP、3GPP2の標準に従うマルチメディアドメインのエンティティである。それ故に、本発明に従って備えられる新しい特徴があり、それはこれ以後、“マルチメディアドメインのための暗黙の認証”として言及され、それは、加入者サーバと密接に協働する専用マルチメディア認証機器として実施されても良いし、或いは前記加入者サーバに完全に内蔵されても良い。前記加入者サーバは、例えば、ホーム加入者サーバ(HSS)或いはユーザ認証・権利認証・精算(AAA)サーバのような、加入者認証中に関係する加入者データベースである。そして、マルチメディア認証機器は必要なロジックや構成要素を保持し、無線ローカルエリアネットワーク(WLAN)、汎用パケット無線システム(GPRS)ネットワーク、全球規模の移動体通信システム(UMTS)、或いは符号分割多元接続(CDMA2000)のようなアクセスネットワークと前記マルチメディアドメインとの間の認証データの再利用を可能にする。
【0011】
本発明に従う機器はネットワークを介してマルチメディアドメインにアクセスするユーザのマルチメディア認証に有用であり、その機器は、ユーザの認証データを保持し、マルチメディアドメインにアクセス可能なアクセスネットワークの加入者サーバにおいて用いられるか或いはその加入者サーバと協働するように構成されている。前記機器は、前記ユーザむしろ前記ユーザ機器と前記マルチメディアドメインとの間の暗黙の認証が生じえると判断する手段と、前記マルチメディアドメインにおける前記ユーザを認証することを担当するサービングエンティティに暗黙の認証が生じえることを教える手段とを有する。従って、この機器を用いると、明示的な認証の必要性がスキップされる。
【0012】
この機器では、前記暗黙の認証が生じえると判断する手段は、前記アクセスネットワークを介して前記マルチメディアドメインにアクセスするシグナリング経路の潜在的な安全性を判断する手段を含むことが好ましい。このため、この機器は同様に、異なるシグナリング経路の安全性を評価するように構成された供給及び構成データ手段を有しても良い。さらにその上、前記暗黙の認証が生じえると判断する手段は、前記ユーザ機器から発生した暗黙の認証の提案を処理する手段を有していても良い。
【0013】
その機器は都合良く、暗黙の認証が明示的な認証を強制するかもしれないユーザへの単なる提案であるか、或いは、それがネットワークによってなされた最終的な判断であるかどうかを判断し、明示的な認証が実行されないようにするよう構成されている。それ故に、前記サービングエンティティに暗黙の認証が生じえることを教える手段は、最終的な判断が前記ユーザ機器の側にあることを示唆する手段と、これが前記ネットワークによってなされた最終的な判断であることを示唆する手段を含む。
【0014】
この点に関し、その機器はさらに、前記マルチメディアドメインにアクセスする前記ユーザの暗黙の認証が前記ネットワークにより実行されることを前記ユーザの機器に通知する手段をさらに有する。であるにも係らず、その通知手段は同様にマルチメディアドメインの他のエンティティに常駐しても良い。
【0015】
さらにその上、本発明に従えば、暗黙の承認を実行するかどうかについての最終的な判断がユーザ機器の側にあるとされたなら、その機器はさらに、前記ネットワークにより提案された前記暗黙の認証の受け入れを確認するために前記ユーザ機器から発生した指示を受信する手段を有する。そのような受け入れの確認を受信する場合、その機器はまた、前記ユーザ機器が前記暗黙の認証を確認したことを、前記マルチメディアドメインにおける前記ユーザの認証を担当する前記サービングエンティティに示す手段を有する。またさらに、その機器は、付加的な認証データを前記サービングエンティティに提供する手段を有していても良く、その付加的な認証データは、認証タイプ、アクセス情報、及び認証時刻スタンプを含むグループの要素から選択された少なくとも1つの要素を含む。
【0016】
従来、ユーザ機器はアクセスネットワークを介してマルチメディアドメインにアクセスすることが可能となっており、従って、そのアクセスネットワークとの第1の明示的な認証手順と、そのマルチメディアドメインとの第2の明示的な認証手順とを実行するように構成されている。そのアクセスネットワークは、本発明のために、ユーザのための認証データを保持する加入者サーバを有しており、その加入者サーバはマルチメディアドメインにアクセス可能である。本発明に従えば、そのユーザ機器は、前記ユーザに対する暗黙の認証が実行されえることを示唆するマルチメディアドメインから受信した通知と、前記ユーザ機器が前記ネットワークに暗黙の認証を提案することを示唆する前記マルチメディアドメインへの通知とを含む通知のグループから選択された少なくとも1つの通知を処理する手段を有する。
【0017】
この手段は都合良く、最終的な判断が、明示的な認証を強制するかもしれない前記ユーザ機器の側にあるという示唆、或いは、それが前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないという示唆を前記マルチメディアドメインから受信する手段を含んでいても良い。特に、その最終的な判断がユーザ側にあるように構成された場合には、そのユーザ機器はさらに、前記ネットワークにより提案された暗黙の認証の受け入れを確認するための示唆を、前記マルチメディアドメインに対して送信する手段を有する。さらにその上、そのユーザ機器は前記マルチメディアドメインに対して、付加的な認証データを提供する手段を有していても良く、その付加的な認証データは、認証タイプ、アクセス情報、及び認証時刻スタンプを含むグループの要素から選択された少なくとも1つの要素を含む。
【0018】
また、アクセスネットワークを介してマルチメディアドメインにアクセスするユーザを認証する方法が備えられる。その方法は従来は、前記ユーザのための認証データをもつ加入者サーバをもち、前記マルチメディアドメインにアクセス可能なアクセスネットワークにおける前記ユーザを認証する工程と、前記ユーザを前記マルチメディアドメインに登録する工程とを有している。
【0019】
本発明に従えば、この方法はまた、
前記ユーザと前記マルチメディアドメインとの間の暗黙の認証が生じえると判断し、従って明示的な認証の必要をスキップする工程と、
前記マルチメディアドメインにおける前記ユーザの認証を担当するサービングエンティティに暗黙の認証が生じえることを教える工程とを有する。
【0020】
この方法はさらに、前記マルチメディアドメインにアクセスする前記ユーザの暗黙の認証が実行されえることを前記マルチメディアドメインから前記ユーザ機器に通知する工程をさらに有していても良い。
【0021】
この方法において、前記暗黙の認証が生じえると判断する工程は、前記アクセスネットワークを介して前記マルチメディアドメインにアクセスするシグナリング経路の潜在的な安全性を判断する工程を含んでいることが好ましい。さらにその上、前記暗黙の認証が生じえると判断する工程は、前記ユーザ機器から前記マルチメディアドメインに、前記ユーザ機器と前記マルチメディアドメインとの間で実行される暗黙の認証を提案する工程を同様に含んでいても良い。
【0022】
また、この方法において、前記サービングエンティティに暗黙の認証が生じえることを教える工程は、最終的な判断は明示的な認証を強制するかもしれない前記ユーザ機器の側にあるか、或いは、その最終的な判断は前記ネットワークによってなされ、明示的な認証が実行できないことを示唆する工程を含むことが好ましい。加えて、そして、特に、その最終的な判断がユーザの側にある場合については、その方法はさらに、前記ネットワークにより提案された前記暗黙の認証の受け入れを前記ユーザ機器から確認する工程を有していても良い。さらにその上、上記工程と提携すれば、その方法はさらに、前記ユーザが前記暗黙の認証を確認したことを、前記マルチメディアドメインにおける前記ユーザの認証を担当する前記サービングエンティティに示す工程を有すると良い。
【0023】
本発明はさらに、以前に認証を受けたユーザがアクセスネットワークを介してマルチメディアドメインにアクセスするとき、そのマルチメディアドメインにおけるユーザ機器の認証を担当するサービングエンティティを提供する。このサービングエンティティは、本発明に従えば、暗黙の認証が生じえることを示唆する上記機器から発生した指示を受信する手段と、そのマルチメディアドメインにアクセスする前記ユーザの暗黙の認証が前記ネットワークによって実行されえることをユーザ機器に通知する手段とを有する。
【0024】
このサービングエンティティは、前記暗黙の認証が前記ネットワークによって実行されえることをユーザ機器に通知する手段が、前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないか、或いは、前記暗黙の認証が前記ネットワークからの前記ユーザが受け入れるか或いは明示的な認証を強制することにより拒絶しても良いという提案であることを前記ユーザに示す手段を含むように構成されていると都合が良い。
【0025】
前記暗黙の認証が前記ネットワークによる提案である場合、そのサービングエンティティは、前記ネットワークにより提案されたそのような暗黙の認証の受け入れを確認するために、ユーザ機器から発生する示唆を受信する手段を有していると都合が良い。さらにその上、このサービングエンティティは、前記ユーザが前記暗黙の認証を確認したという示唆を上記機器から受信する手段を有していると都合が良い。
【0026】
このサービングエンティティはさらに、上記の機器から、そして、ユーザ機器から夫々受信した付加的な認証データのマッチングをチェックし、更なる安全性のサポートを提供する手段を有することが都合が良いかもしれない。これら付加的な認証データは、認証タイプ、アクセス情報、及び認証時刻スタンプを含むグループの要素から選択された少なくとも1つの要素を含む。
【0027】
本発明はさらに、3GPP或いは3GPP2の標準に従う典型的な形態を扱うために、プロキシや尋問エンティティのような他のいくつかのエンティティを備えることで補完される。
【0028】
3GPPや3GPP2に従えば、そのプロキシエンティティは、アクセスネットワークを介してマルチメディアドメインにアクセスする以前に認証を受けたユーザのために、前記マルチメディアドメインへのエントリポイントとして作用するように意図されている。本発明に従えば、そのプロキシエンティティは、
前記マルチメディアドメインにアクセスするユーザに対する暗黙の認証が前記ネットワークにより実行されえることを示唆する前記ユーザ機器に送信された通知と、
前記ユーザ機器と前記マルチメディアドメインとの間での暗黙の認証を前記マルチメディアドメインへ提案するために前記ユーザ機器から受信される通知とを
含む通知のグループから選択された少なくとも1つの通知を処理する手段を有する。
【0029】
このプロキシエンティティはまた、暗黙の認証がネットワークにより実行されえることを前記ユーザに通知する手段が、前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないか、或いは、前記暗黙の認証が前記ユーザが受け入れても或いは明示的な認証を強制することにより拒絶しても良いというネットワークからの提案であることを前記ユーザに示唆する手段を含むように構成されていると都合が良い。
【0030】
その暗黙の認証が前記ネットワークによる提案である場合、そのプロキシエンティティは、前記ネットワークによって提案されたそのような暗黙の認証を受け入れる前記ユーザ機器からの示唆を受信する手段を有していると都合が良い。
【0031】
3GPPや3GPP2に従う尋問エンティティは、別のアクセスネットワークを介してマルチメディアドメインにアクセスしたユーザについて、前記マルチメディアドメインにおける加入者サーバに照会することが意図されている。この尋問エンティティは、前記ユーザからの登録要求を受信する手段と、前記ユーザに対してそのような登録を確認応答する手段とを有しており、本発明に従えば、この尋問エンティティは、前記マルチメディアドメインにアクセスする前記ユーザの暗黙の認証が実行されえることの示唆を前記ユーザ機器に対して送信する手段を有する。
【0032】
本発明によって備えられた他の利点のある特徴を果たすために、その尋問エンティティは、ネットワークにより提案された暗黙の認証を受け入れることを確認するために、或いは、自分自身によるそのような暗黙の認証を提案するために前記ユーザ機器から発生した示唆を受信する手段と、上記の機器とサービングエンティティとを有するエンティティのグループから選択された少なくとも1つのエンティティに対して、ユーザによる受け入れのそのような確認を送信する手段とを有することが好ましい。
【0033】
さらにその上、本発明によって備えられた他の利点のある特徴を果たすために、その尋問エンティティはさらに、前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないという示唆を前記ユーザ機器に対して送信する手段を有する。
【0034】
本発明の特徴と目的と利点とは、添付図面と関連させて次の説明を読むことで明らかになろう。
【発明を実施するための最良の形態】
【0035】
次に、ユーザが既に認証を受けた場合に、アクセスネットワークを介してアクセスするとき、マルチメディアドメインによって暗黙に認証を受けられる可能性をそのユーザに提供する装置、ユーザ機器、及び方法についての現在好適な実施例について説明する。そのアクセスネットワークは、無線ローカルエリアネットワーク(WLAN)、汎用パケット無線システム(GPRS)ネットワーク、汎欧州デジタル移動電話方式(GSM)ネットワーク、全球規模の移動体通信システム(UMTS)ネットワーク、或いは、符号分割多元接続ネットワーク(CDMA2000)であることが好ましい。
【0036】
本発明は、特に、加入者サーバと密接に協働した孤立した機器により実行されても良いし、或いは、その加入者サーバ自身により実行されても良い“マルチメディアドメインについての暗黙の認証(Implicit Authentication for Multimedia domain)”という特徴が常駐する場所に関連して、幾つかの側面を呈示する。
【0037】
さらにその上、本発明はまた、決定の程度がユーザ側に残されるのか或いはネットワーク側に残されるのかに依存して、ユーザ機器、即ち、ユーザ端末、或いは、SIM、或いは、USIM、或いは、それらの組み合わせに関連した幾つかの側面を呈示する。
【0038】
本発明の第1の側面からすれば、特に、3GPP標準ではHSS、或いは3GPP2標準とCDMA2000ネットワークではAAAサーバであるかもしれない加入者サーバそれ自身、或いは、特定のユーザに関してマルチメディアドメインへのアクセスをサポートするマルチメディア認証機器は、マルチメディアドメインに関する明示的な認証が、そのユーザがアクセスしているアクセスネットワークによって実行される以前の加入者認証と、マルチメディアに関しての機密保護されたベアラのシグナリングはそのアクセスネットワークを介して実行されるという仮定とに基づけば不必要であるかもしれないことを判断する。そのような機密保護されたベアラは、例えば、GPRSがアクセスネットワークである場合にはPDPコンテキストであり、WLANがホームネットワークに対するアクセスネットワークである場合には機密保護されたトンネルであるかもしれず、一方では加入者認証を実行する。
【0039】
本発明に従えば、加入者サーバ或いは専用マルチメディア認証機器は、アクセスネットワークを介した以前のベアラ認証に基づいて、ユーザの認証を担当するサービングエンティティ、即ち、サービング・コール・ステータス・コントロール・ファンクション(S−CSCF)に対して、暗黙の認証手順がマルチメディアドメインにアクセスする前記ユーザに関して実行されうることを示す認証ポリシーを提供する。
【0040】
ユーザがアクセスしているネットワークによりユーザを認証するのとは別に、3GPP認証手順は、ユーザによるネットワークの認証をサポートする。それ故に、また、本発明の別の側面からすれば、加入者サーバ或いは専用マルチメディア認証機器は、オプション的にはそのユーザ機器に対して、別の認証ポリシーを示して、ユーザが受け入れても良いし、或いは受け入れなくとも良い可能性のある相互的な暗黙の認証を提案することができる。
【0041】
“マルチメディアドメインについての暗黙の認証(Implicit Authentication for Multimedia domain)”という特徴のために、ユーザ或いはユーザ機器により、そしてネットワークにより実行される認証操作の量は減少し、従って、マルチメディアドメインにおける回避可能なシグナリングメッセージの削減が達成される一方で、必要な機密保護レベルを維持し、本発明の1つの目的を達成する。
【0042】
本発明は、ユーザがマルチメディアドメインにアクセスする特定のアクセスネットワークを利用する異なるシナリオにも適用可能であり、それは本発明の異なる実施例ができるという結果になる。加えて、幾つかの変形例が1つの実施例から別のものへと、本発明の範囲を実質的に逸脱ことなく導入されても良い。
【0043】
第1のシナリオは、ユーザがUMTSネットワークにより認証され、さらに、GPRSネットワークを介してマルチメディアドメインにアクセスしている場合に生じる。
【0044】
このシナリオの下では、そして、図3に例示された本発明の第1実施例に従えば、暗黙の認証があり得ることが通知されたユーザをマルチメディアドメインにおいて認証する単純化された機構が備えられる。この通知の受信時には、ユーザ、むしろユーザ機器(UE)側は暗黙の認証を受け入れても良いし、或いは、図1が図示するようなマルチメディアドメインに関して適用可能な標準に従う明示的な認証を強制しても良い。さらにその上、この暗黙の認証は、ネットワークによるユーザの認証とユーザによるネットワークの認証の両方に適用しても良い。さらにその上、前記暗黙の認証は、図3に例示されているように、UMTSネットワークにおけるユーザの以前の認証を担当したホーム加入者サーバ(HSS)のような加入者サーバにより、或いは前記加入者サーバと協働する専用マルチメディア認証機器によりトリガがかけられても良い。
【0045】
それ故に、図3に示された第1実施例に従えば、エンドユーザ或いはユーザ機器がUMTSに属し認証され、そして、GPRSのPDPコンテキストをオープンさせる。この段階で、エンドユーザとユーザのエージェントは、SIP登録手順を開始することによりマルチメディアドメインへのアクセスを得る。
【0046】
このSIP登録手順は、ユーザ側(UE)からプロキシ・コール・ステータス・コントロール・ファンクション(P−CSCF)への、そして、このエンティティからインタローゲイティング(尋問)・コール・ステータス・コントロール・ファンクション(I−CSCF)へのSIP登録メッセージの送信を含む。I−CSCFは、ホーム加入者サーバ(HSS)に対して従来からCx−Selection−Infoと呼ばれる手順を開始し、現在そのユーザを担当しているサービング・コール・ステータス・コントロール・ファンクション(S−CSCF)を識別する。そのようなS−CSCFが一旦識別されたなら、I−CSCFは対応するSIP登録メッセージをS−CSCFに送信する。そのような登録メッセージを受信するS−CSCFは、ホーム加入者サーバ(HSS)に対して従来からCx−Putと呼ばれる手順を開始する。
【0047】
HSSがユーザプロファイルと認証ベクトルをサービングGPRSサポートノード(SGSN)と交換することにより、そのユーザのGPRSアクセス認証に以前に加わっていたとすれば、そのHSSは、他のネットワーク形態の情報に加えて、その加入者が位置するSGSNについての情報を用い、前記アクセスネットワークを介したマルチメディアドメインにアクセスするシグナリング経路の潜在的な安全性を判断する。それによって、本発明に従えば、HSSそれ自身或いは専用のマルチメディア認証機器は、そのユーザについての暗黙の認証を決定することができる。結局は、そのHSSはS−CSCFに対するCx−Put応答における“暗黙の認証(Implicit Authentication for Multimedia domain)”の示唆を含む。
【0048】
S−CSCFに対して、このメッセージを送信する決定は、ゲートウェイGPRSサポートノード(GGSN)がHSSと同じホームドメインに属し、GGSNが従って安全で信頼されるものと考えられるときになされると都合が良い。特に適切なシナリオは、例えば、そのユーザが提案された暗黙の認証をさらに拒絶する可能性を与えられているかどうかに係りなく、HSSとSGSNの両方が同じネットワーク運用者に属しているので、HSSも加入者が位置するSGSNを信頼するときである。
【0049】
加えて、“マルチメディアドメインについての暗黙の認証(Implicit Authentication for Multimedia domain)”という特徴は、加入者の基本にデータ提供とデータ構成とを含み、ユーザがこのサービスを提供され、そのユーザが信頼されるときに、HSSそれ自身或いは専用のマルチメディア認証機器はそのユーザについての暗黙の認証を決定することができる点である。この点において、特定のユーザがマルチメディアドメインにおいて複数のユーザ識別子を与えられても良いことを考慮すると、これ以降に言及され、そして、異なる実施例の下で説明される暗黙の認証は、マルチメディアドメインにおける全ての、或いは特定のユーザ識別子に適用できる。
【0050】
加えて、認証タイプ、例えばIPアドレスや連絡情報のようなアクセス情報、認証時刻スタンプ、特別な機密保護サポートを提供ための他の重要なデータのような他の関係する情報はまた、Cx−Put応答メッセージにおいてS−CSCFに対して送信されても良い。
【0051】
従って、上記注解した本発明の1側面からすれば、ユーザにはネットワークによって提案された暗黙の認証が通知され、ユーザはそれを受け入れるかどうかが求められる。それ故に、S−CSCFはSIPユーザのエージェントに、この明細書では“SIP 4xx Implicit Authentication(SIP4xxの暗黙の認証)”と呼ばれる新しいSIPメッセージを送信して、もし受け入れ可能であることが見出されたなら、そのSIPユーザのエージェントは従来は実行された明示的なマルチメディア認証手順を内部的に動作不能にする。即ち、SIPユーザのエージェントは認証−チャレンジメッセージ或いは3G TS 33.203で記載された認証ベクトルの受信を待ち合わせたり、或いは期待してはいけない。さらにその上、SIPユーザのエージェント、もっと一般的にはユーザ機器は、暗黙に認証されるようなマルチメディアドメインをサポートするネットワークを考慮しなければならない。これに対して、SIPユーザのエージェントは、暗黙の認証を受け入れ不可能と考慮するかもしれず、その場合には、図面では示されていない適切な未確認応答(negative acknowledge)がネットワークに対して送信されて上述の適用可能な標準に従う従来の明示的な認証機構を強制的に実行する。
【0052】
また図3を参照すると、SIPユーザのエージェントが一旦、暗黙の認証を受け入れたならば、それはこのメッセージに対して、新しいSIP登録メッセージで応答する。
【0053】
この段階では、信頼されたアクセスネットワークからの認証データをマルチメディアドメインで再利用することにより本発明に従って実行される暗黙の認証のために、本発明ではまた、前記マルチメディアドメインにアクセスする前にアクセスネットワークにより既に認証を受けたユーザについては、そのマルチメディアドメインでシングルサインオン(SSO:Single Sign-On)をサポートするという有用な解決策を提供していることに気づくかもしれない。
【0054】
この有用な解決策と連携して、図3は、ユーザ機器のSIPユーザのエージェントからS−CSCFに最終的に送信されたSIPレジスタは、暗黙の認証が受け入れられたことをネットワークに示すことが意図されている“イネーブルされたSSO”の指示を含むことを示している。ネットワークはそのようなSIPレジスタメッセージをS−CSCFに提供し、次に、そのS−CSCFはユーザ機器に対して“SIP200 OK”という成功の結果を返送する。エンドユーザは今や、そのエンドユーザのマルチメディア登録を通じて従来は発生していた余計な周期的認証処理なく、マルチメディアドメインに登録されるのである。
【0055】
このことを一般的に言えば、そして以下に説明する他の実施例にも適用可能であるが、暗黙の認証についてユーザ機器からの通知があるとすれば、サービングエンティティ(S−CSCF)はまた、SIPレジスタとCx−Put応答に夫々含まれる他の関連データが暗黙の認証とシングル・サインオンのアクセスに関して同時的に発生するかどうかをチェックするかもしれない。前記関連データは、例えば、認証タイプ、IPアドレスや連絡先情報のようなアクセス情報等、認証時刻スタンプ、或いはそれらの組み合わせ、そして特別な機密保護サポートを提供するための他の重要なデータであるかもしれない。
【0056】
さらに、ユーザがUMTSネットワークにより認証され、さらにGPRSネットワークを介してマルチメディアドメインにアクセスする場合の上記シナリオの下で、そして、図4に図示した第2実施例に従えば、マルチメディアドメインにおいてユーザを認証するさらに単純化された機構が提供される。その場合には、ユーザには暗黙の認証を実行するためにネットワークによりなされた決定が通知される。第2実施例では、ユーザはUMTSネットワークに属しており、そこでホーム加入者サーバ(HSS)の関与によって認証され、PDPコンテキストがGPRSエンティティ(SGSN、GGSN)で起動され、SIPレジスタメッセージがコール・ステータス・コントロール・ファンクション(P−CSCF、I−CSCF、S−CSCF)エンティティに対して送信されて第1実施例でなされたのと類似の方法でマルチメディアドメインに登録される。第1実施例と第2実施例との間の違いは、HSSそれ自身或いは専用マルチメディア認証機器が最終決定を行なってユーザのために暗黙の認証を実行する点である。このため、HSSはS−CSCFに対するCx−Put応答に、“ネットワークによる暗黙の認証”の示唆を含む。
【0057】
それから、S−CSCFとHSSとの間の“Cx−Pullプロセス”を完了した後に、そして、ユーザの受け入れを要求することなく、S−CSCFはユーザにネットワークが上述した新しい“SIP 4xx”メッセージを用いる代わりに、特定の“SIP 2xx OK”応答に“ネットワークによる暗黙の認証”の示唆を含めることにより、自分自身で暗黙の認証を実行したことを通知する。
【0058】
“ネットワークによる暗黙の認証”の示唆をともなう前記“SIP 2xx OK”応答の受信時には、SIPユーザのエージェントは、認証−チャレンジメッセージ或いは3G TS 33.203に記載されたような認証ベクトルを受信することを待ち合わせたり、或いは期待してはならない。さらにその上、SIPユーザのエージェント、或いは、より一般的にはユーザ機器は、そのユーザ機器がネットワークのそのような認証を実行するように構成されているとすれば、マルチメディアドメインをサポートするネットワークを暗黙に認証されたものとして考慮しても良い。
【0059】
エンドユーザは今や、そのエンドユーザのマルチメディア登録を通じて従来は発生していた余計な周期的認証処理なく、マルチメディアドメインに登録されるのであり、それはまた第1実施例で説明したものよりも単純な機構によりなされる。
【0060】
第2のシナリオは、ユーザが、GSMに加入しロケーション更新手順に従うUMTSネットワークにより認証されており、さらにGPRSネットワークを介してマルチメディアドメインにアクセスしている場合に生じる。この点において、また、説明を明瞭にするために、UMTSネットワークのホーム加入者サーバ(HSS)は全ての基本的な機能を有しており、GSMネットワークの伝統的なホームロケーションレジスタ(HLR)として振る舞うのに加えて、マルチメディアドメインにおける加入者サーバとして動作するのに必要な全ての機能を有している。にも係らず、伝統的なHLR機能がマルチメディアドメインのための加入者サーバとは異なるエンティティに常駐するとすれば、両方のエンティティ、即ち、GSMのHLRとマルチメディアドメイン用の加入者サーバとの間の付加的なインタフェースが用いられてユーザ認証データを共用する。
【0061】
上記第2のシナリオの下での第3実施例が図5に図示されている。ここでは、新しいフィールドが、GSMに属しロケーション更新手順を実行中にユーザ機器のSIPユーザのエージェントに戻される。それ故に、マルチメディアドメインの加入者サーバ(HSS)は、アクセスネットワークにおけるサービングGPRSサポートノード(SGSN)に対するGSM動作である“加入者データ挿入(Insert Subscriber Data)”に“暗黙の認証”の示唆を含ませる。それから、SGSNもSIPユーザのエージェントに対するGSM動作である“アップデート・ロケーション・アンサ(Update Location Answer)”に“暗黙の認証”の示唆を含ませる。
【0062】
この示唆はマルチメディアドメインにおける全ての或いは特定のユーザ識別子に適用でき、暗黙の招待としてユーザ機器(UE)により認識され、マルチメディアドメインへのシングル・サインオン(SSO)アクセスが、ユーザ機器により受け入れられても或いは受け入れられなくとも良いことを可能にする。暗黙の認証がエンドユーザ(UE)に受け入れ可能であるとするなら、特別な機密保護は必要ではないので、SIPレジスタメッセージがマルチメディアドメイン(P−CSCF、I−CSCF)に送信される。このSIPレジスタメッセージは暗黙の認証が受け入れられたことをネットワークに示すことが意図される“イネーブルとなったSSO(SSO enabled)”の示唆を含んでいる。
【0063】
尋問(Interrogating)コール・ステータス・コントロール・ファンクション(I−CSCF)エンティティにおけるそのようなSIPレジスタメッセージの受信時、“イネーブルとなったSSO(SSO enabled)”の示唆は、マルチメディアドメイン加入者サーバ(HSS)で保持された所謂“Cx−Selection−Info”手順に含まれる“Cx−Query(Cx照会)”メッセージの新しいフィールドに組み込まれる。この段階では、HSSそれ自身或いは専用マルチメディア認証機器における“マルチメディアドメインについての暗黙の認証(Implicit Authentication for Multimedia domain)”という特徴により“イネーブルとなったSSO(SSO enabled)”の示唆が処理され、さらに要求があれば、そのユーザについての認証データを提供する。
【0064】
“イネーブルとなったSSO(SSO enabled)”の示唆はまた、I−CSCFから、ユーザにサービスを行なうために現在選択されているサービング・コール・ステータス・コントロール・ファンクション(S−CSCF)エンティティに対して送信されたSIPレジスタに組み込まれる。前述の実施例のように、図5で図示されたこの実施例でもS−CSCFからHSSに実行される“Cx−Put”動作を示している。従って、HSSはS−CSCFに“ユーザにより確認された暗黙の認証(Implicit Authentication confirmed by user)”の示唆を含む“Cx−Put応答”の動作で指示を行い、エンドユーザの更なる認証を排除し、前記エンドユーザについての認証ベクトルを送信するのを回避する。次に、S−CSCFはまた、SIPレジスタとCx−Put応答に夫々含まれる他の関連データが、暗黙の認証、シングル・サインオンのアクセスに関して同時的に発生するかどうかをチェックするかもしれない。その関連データは、例えば、認証タイプ、IPアドレスや連絡先情報のようなアクセス情報等、認証時刻スタンプ、或いはそれらの組み合わせ、そして特別な機密保護サポートを提供するための他の重要なデータなどである。
【0065】
結局、S−CSCFと加入者サーバ(HSS)との間の“Cx−Pullプロセス”を終えたあと、S−CSCFはユーザに、そのユーザ機器におけるSIPユーザのエージェントに対する従来通りの成功の結果“SIP 200 OK”を戻す。
【0066】
上述の第2のシナリオの下で、さらに第4実施例が図6に図示されている。この場合、図5に示した前の第3実施例との相違はわずかに、一度、GSMに属する認証手順がロケーション更新手順の間になされる代わりに終了すると、“暗黙の認証”の示唆がユーザ機器のSIPユーザのエージェントには、加入者サーバ(HSS)それ自身或いは専用マルチメディア認証機器により以前に指示されたものとしてショートメッセージサービスセンタ(SMSC)から送信されるショートメッセージで戻される点である。図面における明瞭さのために、GPRSエンティティのペアである図5におけるSGSNとGGSNとは所謂図6における“GSN”エンティティで置換される。上述の実施例に関する“暗黙の認証”の示唆はまた、マルチメディアドメインにおける全ての或いは特定のユーザ識別子に適用できる。一旦、ユーザ機器が“暗黙の認証”の示唆を受信するのに気づくなら、そして、そのような暗黙の認証が受け入れ可能であることが見出されるとすれば、そのユーザ機器はそのメッセージを処理し、マルチメディアドメイン(P−CSCF、I−CSCF)にアクセスするために送信されるSIPレジスタメッセージに“イネーブルされたSSO(SSO enabled)”の示唆を含ませる。その“イネーブルされたSSO(SSO enabled)”の示唆は、暗黙の認証がユーザ機器により受け入れられたことをネットワークに示すことが意図されている。
【0067】
また、この第2のシナリオの下での実施例では、エンドユーザは、そのエンドユーザのマルチメディア登録の間を通じて従来は発生していた余分の周期的認証処理なく、そして、従来実行されたものよりも単純な機構を用いてマルチメディアドメインに登録される。
【0068】
第3のシナリオは、無線ローカルエリアネットワークを介してアクセスするユーザがUMTSネットワークにより認証されており、さらにこの無線ローカルエリアネットワーク(WLAN)を介してマルチメディアドメインにアクセスする場合に生じる。
【0069】
第3のシナリオの下で、図7に図示された第5実施例に従えば、エンドユーザはUMTSネットワークによりWLANに属して認証を受け、そのエンドユーザ或いはむしろエンドユーザ機器(UE)は、好ましくはホームネットワークへの従来からの所謂機密保護トンネルを用いてオープンされたIPセションを取得する。この機密保護されたトンネルは、好ましくは上記IPセションからのデータ、一般にはIPアドレスを暗号化されたメッセージペイロード内へとカプセル化することにより、ユーザ機器とパケットデータゲートウェイ(PD−GW)との間に確立される。一方で、そのIPセションに関連しない外部IPアドレスがユーザ機器(UE)とパケットデータゲートウェイ(PD−GW)との間で用いられる。
【0070】
この段階で、そして、図3に示された第1実施例に関するのと類似の方法では、図7におけるシグナリングフローは、エンドユーザと、SIPユーザのエージェント即ちユーザ機器(UE)が、ユーザ側(UE)からマルチメディアドメイン(P−CSCF、I−CSCF)へとSIPレジスタメッセージを送信することにより、どのようにマルチメディアドメインへのアクセスを得るのかを示している。
【0071】
尋問(Interrogating)コール・ステータス・コントロール・ファンクション(I−CSCF)エンティティは、ホーム加入者サーバ(HSS)、即ち、マルチメディアドメインにおける加入者サーバに対して、従来より“Cx−Selection−Info”と呼ばれる手順を開始して、現在、そのユーザを担当しているサービング・コール・ステータス・コントロール・ファンクション(S−CSCF)を識別する。そのようなS−CSCFが一旦識別されたなら、I−CSCFは対応するSIPレジスタメッセージをS−CSCFに送信する。そのような登録メッセージを受信するS−CSCFは、ホーム加入者サーバ(HSS)に対して従来より“Cx−Put”と呼ばれる手順を開始する。
【0072】
ユーザプロファイルとユーザ認証ベクトルを、図2に図示したような3GPP標準に従う所謂“ユーザ認証・権利認証・精算(課金)”サーバ(以下、AAA−3GPPとして言及する)で交換することにより、HSSがWLANアクセスに関するユーザの認証に以前関与したとすれば、そのHSSは、他のネットワーク形態情報に加えて、機密保護されたトンネルについてのその情報を用いて、前記アクセスネットワークを介してマルチメディアドメインにアクセスするシグナリング経路の潜在的な安全性を判断することができる。これにより、本発明に従えば、HSSそれ自身或いは専用マルチメディア認証機器は、前記ユーザについての暗黙の認証を決定することができる。この決定は、パケットデータゲートウェイ(PD−GW)がHSSと同じホームドメインに属するか、或いは、そのPD−GWが安全で信頼の置けるものと考えられる他の状態であるときになされると都合が良い。さらにその上、“マルチメディアドメインについての暗黙の認証(Implicit Authentication for Multimedia domain)”という特徴には、前の実施例のように加入者ベースでデータ提供とデータ構成とを含み、ユーザにこのサービスが提供され、そのユーザが信頼されるとき、HSSそれ自身或いは専用マルチメディア認証機器がそのユーザについての暗黙の認証を決定できるようにしても良い。
【0073】
それ故に、HSSはS−CSCFに対する“Cx−Put応答”に“暗黙の認証”の示唆を組み込む。都合良く、そして、機密保護のために、認証タイプ、例えばIPアドレスや連絡先情報のようなアクセス情報等、認証時刻スタンプ、特別な機密保護サポートを提供するための他の重要なデータのような他の関連情報も“Cx−Put応答メッセージ”でS−CSCFに対して送信されても良い。
【0074】
図7における第5実施例は図3の第1実施例と連携し、両方とも先に注解した本発明の1側面に従っているものであり、その場合、ユーザにはネットワークにより提案され、ユーザがそれを受け入れるかどうかが意図された暗黙の認証が通知される。
【0075】
それ故に、S−CSCFはSIPユーザのエージェントに、この明細書では“SIP 4xxの暗黙の認証”と呼ばれる新しいSIPメッセージを送信し、もし受け入れ可能であることが見出されるなら、SIPユーザのエージェントは、従来は実行された明示的なマルチメディア認証手順を内部的に動作不能にする。即ち、SIPユーザのエージェントは、認証−チャレンジメッセージ或いは3G TS 33.203に記載された認証ベクトルの受信を待ち合わせたり期待してはならない。
【0076】
一旦、SIPユーザのエージェントが暗黙の認証を受け入れたなら、暗黙の認証が受け入れられたことをネットワークに示すことが意図された“イネーブルされたSSO(SSO enabled)”の示唆を含む新しいSIPレジスタメッセージで“SIP 4xxの暗黙の認証”メッセージに応答する。ネットワーク(P−CSCF、I−CSCF)はそのようなSIPレジスタメッセージをS−CSCFに対して提出し、次に、そのS−CSCFはユーザ機器(UE)に対して成功の結果“SIP 200 OK”を返送する。WLANネットワークを介してアクセスしたエンドユーザは今や、そのエンドユーザのマルチメディア登録を通じて通常は発生していた余計な周期的認証処理なく、マルチメディアドメインに登録される。
【0077】
図7に図示された第5実施例についての説明は、できる限り、図3に示された第1実施例の説明に合わせられている。同様に、GPRSがアクセスネットワークである場合の図4に示された第2実施例からの教示は、WLANがアクセスネットワークである場合の他の実施例に都合良く適用可能であり、上述した実施例からすれば、後者の場合には更なる説明は必要としない。
【0078】
これに対して、GPRSがアクセスネットワークである場合の第3実施例は、ユーザ機器に送信される関連する認証示唆が具体的な属性値ペア(AVP:Attribute Value Pair)として、WLANアクセスにより用いられるRADIUS或いはDIAMETERプロトコルの対応するメッセージに含まれる限り、WLANがアクセスネットワークである場合の他の実施例にも同様に実際には適用可能である。
【0079】
結局、GPRSがアクセスネットワークである場合の上記第4実施例もまた、WLANがWLANにおけるショートメッセージサービス(SMS)のサポートを行なうアクセスネットワークである場合、或いは、ユーザ機器としてデュアル端末をもつ場合にはSMSについてのGPRSインフラストラクチュアの回路交換技術を用いることにより、他の実施例に適用可能である。
【0080】
4番目のシナリオは、ユーザがパケットデータサービスのアタッチ手順に従うCDMA2000ネットワークにより認証され、さらにパケットデータサービスネットワークを介してマルチメディアドメインにアクセスしている場合に生じるものである。図8は、第1のシナリオの下にある図4の実施例と連携した第6実施例を図示している。ここで、ユーザ認証、権利認証、清算(課金)サーバ(AAA)はCDMA2000ネットワークの加入者サーバとして動作する。この点において、また、説明を明瞭にするために、CDMAネットワーク2000のユーザ認証、権利認証、清算(課金)サーバ(AAA)は、CDMA2000ネットワークにおいてパケットデータサービスへのアクセスを可能にするために必要な全ての基本的な機能と、マルチメディアドメインにおける加入者サーバとして動作するために必要な全ての機能とを有している。
【0081】
にもかかわらず、CDMA2000のパケットデータサービスへのアクセスのために伝統的に知られたAAA機能が、マルチメディアドメインのための加入者サーバとは異なるエンティティに常駐するとすれば、両方のエンティティ間、即ち、伝統的なCDMA2000のAAAとマルチメディアドメインのための加入者サーバとの間の付加的なインタフェースが用いられて、ユーザ認証データを共用する。
【0082】
これらの考察とは別に、上述の実施例はまた、関係する情報が現在の半径(RADIUS)と直径(Diameter)のインタフェースへの拡張を用いて転送されても良いことを仮定しているCDMA2000ネットワークを関与させるシナリオにも適用可能である。
【0083】
さらに別の実施例は、上述の代表的な第1のシナリオの下で呈示され、図9に例示されている。ここでは、暗黙の認証の提案(SSOプロポーザル)は、実際にはユーザ機器(UE)それ自身からトリガがかけられ、マルチメディアドメイン(IMS)から前回の招待を受信することなはない。従って、図9におけるフローシーケンスは図5と図6のフローシーケンスに対する代替実施例を呈示している。ここで、ユーザ機器(UE)は、前記ユーザ機器とマルチメディアドメインとの間のそのような暗黙の認証を実行するために、マルチメディアドメイン(IMS)に対して直接、暗黙の認証の提案(SSOプロポーザル)を提出し、以前の招待をアップデートロケーションアンサメッセージやショートメッセージサービス(SMS)で受信するのではない。
【0084】
この新しいアプローチを同様に適用して上述した他の実施例を変形しても良く、適用シナリオとは独立でも良い。
【0085】
本発明を例示的かつ非限定的な方法で幾つかの実施例について上述のように説明した。上述の教示する内容からすると、明らかに本発明の変形や変更が可能であり、範囲の範囲内にある実施例のどんな変形も請求の範囲内に含まれることが意図されている。
【図面の簡単な説明】
【0086】
【図1】3GPP TS33.203に従う、マルチメディアドメインにおける認証処理の基本的な図である。
【図2】WLANアクセスネットワークを介してEAP−AKA機構に従うユーザの認証中における基本構造的な構成要素とシグナリングの流れを概観する図である。
【図3】GPRSやUMTSネットワークを介してマルチメディアドメインにアクセスするユーザの以前の認証を再利用する現在の好適な実施例を説明するフローシーケンスの図であり、この場合、ユーザ機器はこの点について通知を受信し暗黙の認証を受け入れるかどうかの可能性が与えられている。
【図4】図3に示された実施例に対する替わりの実施例を説明するフローシーケンスを示す図であり、この場合、ユーザ機器はこの点について通知を受信し、暗黙の認証を受け入れるかどうかの可能性が与えられているのではなく、むしろ、そのような暗黙の認証が発生したことを通知される。
【図5】図3と図4に示された実施例に対する替わりの実施例を説明する代替フローシーケンスを示す図であり、この場合、ユーザ機器は、マルチメディアドメインに対する暗黙の認証をさらに実行するための招待をロケーション手順中に受信し、ユーザは従って、暗黙の認証を受け入れるかどうかの可能性が与えられている。
【図6】図5に示された実施例に対する代替フローシーケンスを示す図であり、この場合、ユーザ機器は、マルチメディアドメインに対する暗黙の認証をさらに実行するための招待をショートメッセージサービス(SMS)で受信し、ユーザは従って、暗黙の認証を受け入れるかどうかの可能性が与えられている。
【図7】WLANネットワークを介してマルチメディアドメインにアクセスするユーザの以前の認証を再利用する現在の好適な実施例を説明するフローシーケンスの図であり、この場合、ユーザ機器はこの点について通知を受信し、暗黙の認証を受け入れるかどうかの可能性が与えられている。
【図8】CDMA2000ネットワークにより、パケットデータサービスネットワークを介してマルチメディアドメインにアクセスするユーザの以前の認証を再利用する、別の好適な実施例を説明するフローシーケンスの図であり、この場合、ユーザ機器はこの点について通知を受信し、暗黙の認証を受け入れるかどうかの可能性が与えられている。
【図9】図5と図6に呈示された実施例に対する代替フローシーケンスを示す図であり、この場合、ユーザ機器は、暗黙の認証をさらに実行するための招待を、アップデートロケーションアンサメッセージやショートメッセージサービス(SMS)で夫々受信するのではなくむしろ、ユーザ機器は、ネットワークに対する暗黙の認証の提案を生成する。

【特許請求の範囲】
【請求項1】
アクセスネットワーク(UMTS;WLAN;GPRS;CDMA2000)を介してマルチメディアドメイン(IMS)にアクセスするユーザのマルチメディア認証のために前記ユーザの認証データを保持し、前記マルチメディアドメイン(IMS)にアクセス可能な前記アクセスネットワークの加入者サーバ(HSS;AAA)において用いられるか或いは前記加入者サーバと協働する機器であって、前記機器は、
前記ユーザ(UE)と前記マルチメディアドメイン(IMS)との間の暗黙の認証が生じえると判断し、明示的な認証の必要をスキップする手段と、
前記マルチメディアドメイン(IMS)における前記ユーザ(UE)の認証を担当するサービングエンティティ(S−CSCF)に暗黙の認証が生じえることを教える手段とを有することを特徴とする機器。
【請求項2】
前記暗黙の認証が生じえると判断する手段は、前記アクセスネットワークを介して前記マルチメディアドメインにアクセスするシグナリング経路の潜在的な安全性を判断する手段を含むことを特徴とする請求項1に記載の機器。
【請求項3】
前記サービングエンティティに暗黙の認証が生じえることを教える手段は、最終的な判断が明示的な認証を強制するかもしれない前記ユーザ(UE)の側にあることを示唆する(暗黙の認証)手段を含むことを特徴とする請求項1に記載の機器。
【請求項4】
前記サービングエンティティに暗黙の認証が生じえることを教える手段は、これが前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないことを示唆する(暗黙の認証)手段を含むことを特徴とする請求項1に記載の機器。
【請求項5】
前記マルチメディアドメインにアクセスする前記ユーザの暗黙の認証が前記ネットワークにより実行されることを前記ユーザの機器に通知する手段(暗黙の認証、前記ネットワークによる暗黙の認証)をさらに有することを特徴とする請求項1に記載の機器。
【請求項6】
前記ユーザ(UE)と前記マルチメディアドメイン(IMS)との間の暗黙の認証が生じえると判断する手段は、前記ユーザの機器(UE)から発生した暗黙の認証の提案(SSOプロポーザル)を受信する手段を含むことを特徴とする請求項1に記載の機器。
【請求項7】
前記ネットワークにより提案された前記暗黙の認証の受け入れを確認するために前記ユーザの機器(UE)から発生した指示(イネーブルとなったSSO)を受信する手段をさらに有することを特徴とする請求項3に記載の機器。
【請求項8】
前記ユーザが前記暗黙の認証を確認したことを、前記マルチメディアドメイン(IMS)における前記ユーザの認証を担当する前記サービングエンティティ(S−CDCF)に示す(ユーザが確認した暗黙の認証)手段をさらに有することを特徴とする請求項7に記載の機器。
【請求項9】
付加的な認証データを前記サービングエンティティ(S−CSCF)に提供する手段をさらに有し、
前記付加的な認証データは、認証タイプ、アクセス情報、及び認証時刻スタンプを含むグループの要素から選択された少なくとも1つの要素を含むことを特徴とする請求項8に記載の機器。
【請求項10】
アクセスネットワーク(UMTS;WLAN;GPRS;CDMA2000)を介してマルチメディアドメイン(IMS)にアクセスすることが可能となり、前記アクセスネットワークとの第1の明示的な認証手順と前記マルチメディアドメイン(IMS)との第2の明示的な認証手順とを実行するように構成されたユーザ機器(UE)であって、
前記ユーザ機器(UE)は、
前記ユーザに対する暗黙の認証が前記ネットワークにより実行されえることを示す前記マルチメディアドメイン(IMS)から受信した通知(暗黙の認証;前記ネットワークによる暗黙の認証)と、
前記ユーザ機器と前記マルチメディアドメインとの間での暗黙の認証を実行するために、前記ユーザ機器(UE)から前記マルチメディアドメイン(IMS)へ提案される通知(SSOプロポーザル)とを
含む通知のグループから選択された少なくとも1つの通知を処理する手段を有することを特徴とするユーザ機器。
【請求項11】
前記マルチメディアドメイン(IMS)から受信した通知を処理する手段は、最終的な判断が、明示的な認証を強制するかもしれない前記ユーザ機器(UE)の側にあるという示唆(暗黙の認証)を受信し処理する手段を含むことを特徴とする請求項10に記載のユーザ機器。
【請求項12】
前記ネットワークにより提案された前記暗黙の認証の受け入れを確認するために、前記マルチメディアドメイン(IMS)に対して前記指示(イネーブルとなったSSO)を送信する手段をさらに有することを特徴とする請求項11に記載のユーザ機器。
【請求項13】
前記マルチメディアドメイン(IMS)に対して、付加的な認証データを提供する手段をさらに有し、
前記付加的な認証データは、認証タイプ、アクセス情報、及び認証時刻スタンプを含むグループの要素から選択された少なくとも1つの要素を含むことを特徴とする請求項12に記載のユーザ機器。
【請求項14】
前記マルチメディアドメイン(IMS)から受信した通知を処理する手段は、前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないという示唆(前記ネットワークによる暗黙の認証)を受信し処理する手段を含むことを特徴とする請求項10に記載のユーザ機器。
【請求項15】
アクセスネットワーク(UMTS;WLAN;GPRS;CDMA2000)を介してマルチメディアドメイン(IMS)にアクセスするユーザ(UE)を認証する方法であって、
前記方法は、
前記アクセスネットワーク(UMTS;WLAN;GPRS;CDMA2000)における前記ユーザを認証する工程と、
前記ユーザ(UE)を前記マルチメディアドメイン(IMS)に登録する工程と、
前記ユーザ(UE)と前記マルチメディアドメイン(IMS)との間の暗黙の認証が生じえると判断し、明示的な認証の必要をスキップする工程と、
前記マルチメディアドメイン(IMS)における前記ユーザ(UE)の認証を担当するサービングエンティティ(S−CSCF)に暗黙の認証が生じえることを教える工程とを有し、
前記ユーザは、前記ユーザの認証データを保持し、前記マルチメディアドメイン(IMS)にアクセス可能な加入者サーバ(HSS;AAA)を有する前記アクセスネットワークを介してアクセスを行なうことを特徴とする方法。
【請求項16】
前記マルチメディアドメインにアクセスする前記ユーザの暗黙の認証が実行されえること(暗黙の認証;ネットワークによる暗黙の認証)を前記マルチメディアドメイン(IMS)から前記ユーザ機器(UE)に通知する工程をさらに有することを特徴とする請求項15に記載の方法。
【請求項17】
前記暗黙の認証が生じえると判断する工程は、前記アクセスネットワークを介して前記マルチメディアドメインにアクセスするシグナリング経路の潜在的な安全性を判断する工程を含むことを特徴とする請求項15に記載の方法。
【請求項18】
前記暗黙の認証が生じえると判断する工程は、前記ユーザ機器(UE)から前記マルチメディアドメイン(IMS)に、前記ユーザ機器と前記マルチメディアドメインとの間で実行される暗黙の認証を提案する工程を含むことを特徴とする請求項15に記載の方法。
【請求項19】
前記サービングエンティティに暗黙の認証が生じえることを教える工程は、これが前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないことを示唆する(前記ネットワークによる暗黙の認証)工程を含むことを特徴とする請求項15に記載の方法。
【請求項20】
前記サービングエンティティに暗黙の認証が生じえることを教える工程は、最終的な判断は明示的な認証を強制するかもしれない前記ユーザ機器の側にあることを示唆する(暗黙の認証)工程を含むことを特徴とする請求項15に記載の方法。
【請求項21】
前記ネットワークにより提案された前記暗黙の認証の受け入れを前記ユーザの機器(UE)から確認する(イネーブルとなったSSO)工程をさらに有することを特徴とする請求項20に記載の方法。
【請求項22】
前記ユーザが前記暗黙の認証を確認したことを、前記マルチメディアドメイン(IMS)における前記ユーザ(UE)の認証を担当する前記サービングエンティティ(S−CSCF)に示す(ユーザが確認した暗黙の認証)工程をさらに有することを特徴とする請求項21に記載の方法。
【請求項23】
以前に認証を受けたユーザがアクセスネットワーク(UMTS;WLAN;GPRS;CDMA2000)を介してマルチメディアドメイン(IMS)にアクセスする場合、前記マルチメディアドメイン(IMS)におけるユーザ(UE)の認証を担当するサービングエンティティ(S−CSCF)であって、
前記サービングエンティティ(S−CSCF)は、
暗黙の認証が生じえることを示唆する請求項1に記載の機器から発生した指示(暗黙の認証;前記ネットワークによる暗黙の認証)を受信し処理する手段と、
前記マルチメディアドメイン(IMS)にアクセスする前記ユーザの暗黙の認証が前記ネットワークによって実行されえることをユーザ機器(UE)に通知する(暗黙の認証;前記ネットワークによる暗黙の認証)手段とを有することを特徴とするサービングエンティティ。
【請求項24】
前記ネットワークにより提案された暗黙の認証の受け入れを確認するために、請求項12に記載のユーザ機器(UE)から発生する示唆(イネーブルとなったSSO)を受信する手段をさらに有することを特徴とする請求項23に記載のサービングエンティティ。
【請求項25】
前記ユーザが前記暗黙の認証を確認したことを示唆する請求項8に記載の機器から発生する示唆(ユーザ確認の暗黙の認証)を受信する手段をさらに有することを特徴とする請求項23に記載のサービングエンティティ。
【請求項26】
請求項9に記載の機器から、そして、請求項13に記載のユーザ機器から夫々受信した付加的な認証データのマッチングをチェックし、更なる安全性のサポートを提供する手段をさらに有することを特徴とする請求項25に記載のサービングエンティティ。
【請求項27】
前記付加的な認証データは、認証タイプ、アクセス情報、及び認証時刻スタンプを含むグループの要素から選択された少なくとも1つの要素を含むことを特徴とする請求項26に記載のサービングエンティティ。
【請求項28】
前記暗黙の認証が前記ネットワークによって実行されえることをユーザ機器(UE)に通知する手段は、前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないことを前記ユーザに示す(前記ネットワークにより暗黙の認証)手段を含むことを特徴とする請求項23に記載のサービングエンティティ。
【請求項29】
アクセスネットワーク(UMTS;WLAN;GPRS;CDMA2000)を介してマルチメディアドメイン(IMS)にアクセスする以前に認証を受けたユーザ(UE)のために、前記マルチメディアドメイン(IMS)へのエントリポイントとして作用するように意図されたプロキシエンティティ(P−CSCF)であって、
前記マルチメディアドメイン(IMS)にアクセスするユーザに対する暗黙の認証が前記ネットワークにより実行されえることを示唆する前記ユーザ機器(UE)に送信された通知(暗黙の認証;前記ネットワークによる暗黙の認証)と、
前記ユーザ機器と前記マルチメディアドメインとの間での暗黙の認証を前記マルチメディアドメイン(IMS)へ提案するために前記ユーザ機器(UE)から受信される通知(SSOプロポーザル)とを
含む通知のグループから選択された少なくとも1つの通知を処理する手段を有することを特徴とするプロキシエンティティ。
【請求項30】
前記ネットワークによって提案された前記暗黙の認証を受け入れる前記ユーザ機器(UE)からの示唆(イネーブルとなったSSO)を受信する手段をさらに有することを特徴とする請求項29に記載のプロキシエンティティ。
【請求項31】
前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないことを前記ユーザ(UE)に示す(前記ネットワークによる暗黙の認証)手段をさらに有することを特徴とする請求項29に記載のプロキシエンティティ。
【請求項32】
アクセスネットワーク(WLAN;GPRS)を介してマルチメディアドメインにアクセスしたユーザについて、前記マルチメディアドメイン(IMS)における加入者サーバ(HSS;AAA−3GPP)に照会する、前記ユーザからの登録要求を受信する手段と、前記ユーザに対してそのような登録を確認応答する手段とを有する尋問エンティティ(I−CSCF)であって、
前記マルチメディアドメイン(IMS)にアクセスする前記ユーザの暗黙の認証が実行されえることの示唆(暗黙の認証、前記ネットワークによる暗黙の認証)を前記ユーザ(UE)に対して送信する手段を有することを特徴とする尋問エンティティ。
【請求項33】
暗黙の認証を可能にするよう前記ユーザ機器(UE)から発生した示唆(イネーブルとなったSSO、SSOプロポーザル)を受信する手段と、
請求項1に記載の機器と請求項23に記載のサービングエンティティ(S−CSCF)とを有するエンティティのグループから選択された少なくとも1つのエンティティに対して、前記ユーザ機器からのそのような示唆を送信する手段とをさらに有することを特徴とする請求項32に記載の尋問エンティティ。
【請求項34】
前記暗黙の認証が前記ネットワークによってなされた最終的な判断であり、明示的な認証が実行できないという示唆(前記ネットワークによる暗黙の認証)を前記ユーザ(UE)に対して送信する手段をさらに有することを特徴とする請求項32に記載の尋問エンティティ。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate


【公表番号】特表2007−521527(P2007−521527A)
【公表日】平成19年8月2日(2007.8.2)
【国際特許分類】
【出願番号】特願2005−508227(P2005−508227)
【出願日】平成15年8月26日(2003.8.26)
【国際出願番号】PCT/SE2003/001316
【国際公開番号】WO2005/020619
【国際公開日】平成17年3月3日(2005.3.3)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】