Система, способ и устройство аутентификации

Система, способ и устройство аутентификации

Иллюстрации

Показать все

Реферат

Область техники, к которой относится изобретение

Данное изобретение относится к области связи и, в частности, к системе, способу и устройству аутентификации.

Предпосылки создания изобретения

Мультимедийная подсистема на базе протокола IP (IMS) представляет собой систему управления сеансом связи на базе протокола инициирования сеанса (SIP) в связи с расширением доменной сети коммутации пакетов (PS), при этом система IMS состоит из функционального элемента управления сеансом вызова (CSCF), функционального элемента управления медиашлюзом (MGCF), функционального контроллера мультимедийных ресурсов (MRFC), сервера БД абонентов (HSS), функционального элемента управления шлюзом коммутации (BGCF), функционального процессора мультимедийных ресурсов (MRFP), медиашлюза (MGW), сервера приложений (СП), обеспечивающего сервис IMS, и других функциональных элементов. CSCF может логически функционально подразделяться на три логических элемента: обслуживающий CSCF (S-CSCF), посреднический CSCF (P-CSCF) и запрашивающий CSCF (I-CSCF), где S-CSCF представляет собой обслуживающий коммутационный центр системы IMS по осуществлению управления сеансом, поддержке статуса сеанса, управлению информацией об аппаратуре пользователя IMS, формированию платежной информации и т.д., (P-CSCF) представляет собой начальный пункт доступа аппаратуры пользователя IMS к системе IMS по осуществлению регистрации аппаратуры пользователя IMS, управлению качеством обслуживания (QoS) и управлению безопасностью, связи с системой пакетной радиосвязи общего пользования (GPRS) и т.д., и I-CSCF позволяет осуществлять связь с системой IMS, управляет распределением и выбором S-CSCF, укрывает топологию и конфигурацию сети от посторонних лиц, формирует платежную информацию и т.д.; BGCF обеспечивает управляемую коммуникацию с другой системой IMS; MGCF и MGW позволяют осуществлять внутреннюю связь между системой IMS и доменной системой коммутации каналов (CS) и между системой IMS и коммутируемой телефонной сетью общего пользования (PSTN); MRFC обеспечивает медиаресурс; a HSS хранит данные подписки и конфигурацию аппаратуры пользователя IMS, данные аутентификации аппаратуры пользователя IMS и т.д.

На Фиг.1 представлена принципиальная структурная схема системы IMS известного уровня техники, где аппаратура пользователя IMS обеспечивает доступ P-CSCF системы IMS к регистрации в системе IMS, и далее СП, обеспечивающий сервис IMS, обеспечивает аппаратуру пользователя IMS сервисом IMS, и аппаратура пользователя IMS может быть далее соединена с СП, обеспечивающим сервис не-IMS через интерфейс Ut для доступа к сервису не-IMS. СП, обеспечивающий сервис IMS, обозначается "СП IMS", а СП, обеспечивающий сервис не-IMS, обозначается "СП не-IMS". Доступ к сервису IMS и доступ к сервису не-IMS более подробно рассматриваются ниже.

На Фиг.2 представлена принципиальная схема последовательности рабочих операций способа для получения доступа аппаратуры пользователя IMS к сервису IMS известного уровня техники, и присущая ему последовательность операций рабочего процесса выглядит следующим образом.

На ступени 21 аппаратура пользователя IMS инициирует операцию регистрации и аутентификации IMS по отношению к P-CSCF/S-CSCF в системе IMS.

На ступени 22 P-CSCF/S-CSCF в системе IMS регистрирует статус начала сеанса аппаратуры пользователя IMS в HSS, при этом данные подписки и информация о конфигурации аппаратуры пользователя IMS сохраняются в HSS.

На ступени 23 аппаратура пользователя IMS передает запрос на обслуживание SIP, содержащий идентификационную информацию пользователя, к P-CSCF/S-CSCF, где идентификационная информация пользователя IMS вносится в рубрику приоритетной идентификации "Р-Preferred-Identity" заголовка запроса на обслуживание SIP.

На ступени 24 P-CSCF определяет, была ли зарегистрирована аппаратура пользователя IMS после получения запроса на обслуживание SIP, и если это так, то P-CSCF заменяет формулировку "P-Preferred-Identity" заголовка запроса на обслуживание SIP формулировкой подтвержденной идентификации "Р-Asserted-Identity", включая идентификационную информацию аутентифицированного пользователя, для индикации того, что идентификационная информация аппаратуры пользователя IMS была успешно аутентифицирована, и, поскольку во время процесса регистрации аппаратуры пользователя IMS идентификационная информация пользователя IMS сохранялась в P-CSCF, P-CSCF может осуществлять аутентификацию идентификационной информации непосредственно на аппаратуре пользователя IMS.

На ступени 25 P-CSCF пересылает модифицированный запрос на обслуживание SIP к СП IMS через S-CSCF.

На ступени 26 СП IMS определяет, имеет ли полученный модифицированный запрос на обслуживание SIP формулировку "P-Asserted-Identity" после получения запроса на обслуживание SIP, и если это так, то это означает, что СП IMS осуществил аутентификацию идентификационной информации аппаратуры пользователя IMS.

На ступени 27 СП IMS отвечает P-CSCF/S-CSCF, предоставляя результат успешной аутентификации.

На ступени 28 P-CSCF/S-CSCF отвечает на запрос на обслуживание SIP аппаратуры пользователя IMS, показывая, что аутентификация идентификационной информации аппаратуры пользователя IMS была успешной и что аппаратура пользователя IMS может осуществлять сервисное взаимодействие с СП IMS.

На ступени 29 аппаратура пользователя IMS осуществляет сервисное взаимодействие непосредственно с СП IMS для обеспечения доступа к сервису IMS, предоставляемому СП IMS.

Если в системе IMS нет P-CSCF, операция может быть осуществлена непосредственно через S-CSCF, функционирующий как P-CSCF и как S-CSCF, а если P-CSCF имеется, операция рабочего потока осуществляется через посредство взаимодействия P-CSCF и S-CSCF, обслуживающих в данный момент аппаратуру пользователя IMS.

Как можно видеть из описанного выше процесса, P-CSCF в системе IMS выполняет вместо СП IMS аутентификацию идентификационной информации аппаратуры пользователя IMS, обеспечивая доступ к сервису IMS без специальной аутентификации идентификационной информации СП IMS на аппаратуре пользователя IMS.

На Фиг.3 представлена принципиальная схема последовательности рабочих операций способа для получения доступа аппаратуры пользователя IMS к сервису не-IMS известного уровня техники и присущая ему последовательность операций рабочего процесса выглядит следующим образом.

На ступени 31 аппаратура пользователя IMS инициирует запрос на протокол передачи гипертекста (HTTP) к СП не-IMS.

На ступени 32 СП не-IMS отвечает сообщением об отсутствии разрешения на передачу (No-Grant message), содержащем первое случайное число, формируемое случайным порядком в СП не-IMS, и область (в базе данных) по аппаратуре пользователя IMS, где указанная область содержит инструкции для аппаратуры пользователя IMS по использованию имени пользователя и пароля для целей аутентификации.

На ступени 33 аппаратура пользователя IMS обнаруживает, что данное сообщение содержит указанную область по получении сообщения, и с помощью заданного алгоритма рассчитывает первый параметр отклика на базе своего собственного имени пользователя и пароля, а также полученного первого случайного числа.

На ступени 34 аппаратура пользователя IMS вводит рассчитанный первый параметр отклика и второе случайное число, формируемое случайным порядком аппаратурой пользователя IMS, в сообщение отклика HTTP и передает это сообщение отклика HTTP к СП не-IMS;

На ступени 35 СП не-IMS после получения сообщения отклика HTTP с помощью заданного алгоритма формирует второй параметр отклика на базе своего собственного сформированного первого случайного числа, а также имени пользователя и пароля аппаратуры пользователя IMS.

На ступени 36 СП не-IMS определяет, согласуется ли рассчитанный второй параметр отклика с полученным первым параметром отклика, и если это так, то это означает, что СП не-IMS осуществил аутентификацию идентификационной информации на аппаратуре пользователя IMS.

На ступени 37 СП не-IMS с помощью заданного алгоритма рассчитывает третий параметр отклика на базе второго случайного числа, формируемого случайным порядком аппаратурой пользователя IMS, а также имени пользователя и пароля аппаратуры пользователя IMS, переданных в полученном сообщении отклика HTTP.

На ступени 38 СП не-IMS вводит рассчитанный третий параметр отклика в сообщение 2000К и передает это сообщение 2000К аппаратуре пользователя IMS для того, чтобы аппаратура пользователя IMS осуществила аутентификацию СП не-IMS.

На ступени 39 аппаратура пользователя IMS после получения сообщения 2000К с помощью заданного алгоритма рассчитывает четвертый параметр отклика на базе своего собственного сформированного второго случайного числа, а также имени пользователя и пароля аппаратуры пользователя IMS.

На ступени 310 аппаратура пользователя IMS определяет, согласуется ли рассчитанный четвертый параметр отклика с полученным третьим параметром отклика, и если это так, то это означает, что аппаратура пользователя IMS осуществила аутентификацию СП не-IMS.

На ступени 311 аппаратура пользователя IMS передает запрос HTTP на обслуживание к СП не-IMS.

На ступени 312 СП не-IMS отвечает аппаратуре пользователя IMS сообщением 2000К и создает сервисное подключение к аппаратуре пользователя IMS, а аппаратура пользователя IMS получает доступ к сервису не-IMS, обеспечиваемому СП не-IMS.

Аппаратура пользователя IMS может не аутентифицировать СП не-IMS.

Как можно видеть из описанного выше процесса, аутентификация должна осуществляться непосредственно между СП не-IMS и аппаратурой пользователя IMS с обеспечением доступа к сервису не-IMS, поскольку СП не-IMS не может получить данные аутентификации аппаратуры пользователя IMS от системы IMS; кроме того, не существует унифицированного стандарта для режимов аутентификации между различными СП не-IMS и аппаратурой пользователя IMS, а имеющиеся механизмы аутентификации могут включать в себя механизмы аутентификации имени пользователя/ пароля, механизмы дайджест-проверки HTTP и механизмы обеспечения безопасности на транспортном уровне с использованием предопределенного ключевого слова.

Согласно известному уровню техники СП не-IMS должен осуществлять аутентификацию каждой аппаратуры пользователя IMS с обеспечением доступа к сервису не-IMS, что ведет к снижению эффективности сервисной обработки данных сервера СП.

Краткое изложение сущности изобретения.

Варианты осуществления изобретения предусматривают систему и способ аутентификации с целью решения проблемы известного уровня техники, состоящей в том, что СП не-IMS должен аутентифицировать каждую аппаратуру пользователя IMS, обеспечивая доступ к сервису IMS, что ведет к снижению эффективности сервисной обработки данных сервера СП.

Соответственно, варианты осуществления изобретения предусматривают также шлюз аутентификации, сервер приложений и аппаратуру пользователя IMS.

Технические решения вариантов осуществления изобретения являются следующими.

Система аутентификации включает в себя сервер приложений (СП), обеспечивающий сервис не-IMS (IMS - мультимедийная подсистема на базе протокола IP), шлюз аутентификации и аппаратуру пользователя IMS, где СП конфигурируется для пересылки сообщения запроса на соединение, переданного от аппаратуры пользователя IMS к шлюзу аутентификации, и первого случайного числа, переданного от шлюза аутентификации к аппаратуре пользователя IMS, для передачи первого параметра отклика, формируемого на базе первого случайного числа, подаваемого обратно от аппаратуры пользователя IMS к шлюзу аутентификации, и для обеспечения аппаратуры пользователя IMS сервисом не-IMS в ответ на инструкцию шлюза аутентификации; шлюз аутентификации конфигурируется для получения первого случайного числа и ожидаемого параметра отклика аппаратуры пользователя IMS, для передачи полученного первого случайного числа к СП, для подтверждения того, что аппаратура пользователя IMS успешно аутентифицирована, если сравнение первого параметра отклика, переданного от СП, с полученным ожидаемым параметром отклика показывает их соответствие, и для инструктирования СП с целью обеспечения аппаратуры пользователя IMS сервисом не-IMS; аппаратура пользователя IMS конфигурируется для передачи сообщения запроса на соединение к СП, для формирования первого параметра отклика на базе первого случайного числа, переданного от СП, и для передачи сформированного первого параметра отклика к СП.

Способ аутентификации включает в себя следующие ступени: получение шлюзом аутентификации сообщения запроса на соединение, переданного от аппаратуры пользователя IMS через СП, обеспечивающий сервис не-IMS; получение первого случайного числа и ожидаемого параметра отклика аппаратуры пользователя IMS; передачу шлюзом аутентификации полученного первого случайного числа к аппаратуре пользователя IMS через СП; получение первого параметра отклика, переданного от аппаратуры пользователя IMS через СП, где первый параметр отклика формируется аппаратурой пользователя IMS на базе первого случайного числа; определение шлюзом аутентификации того, что аппаратура пользователя IMS успешно аутентифицирована, если сравнение полученного первого параметра отклика с полученным ожидаемым параметром отклика показывает их соответствие; и инструктирование СП по обеспечению аппаратуры пользователя IMS сервисом не-IMS.

Шлюз аутентификации включает в себя следующее: первый приемный блок, конфигурированный для получения сообщения запроса на соединение, переданного от аппаратуры пользователя IMS через СП, обеспечивающий сервис не-IMS; запрашивающий блок, конфигурированный для запроса первого случайного числа и ожидаемого параметра отклика аппаратуры пользователя IMS; первый передающий блок, конфигурированный для передачи первого случайного числа, запрошенного запрашивающим блоком, к аппаратуре пользователя IMS через СП; второй приемный блок, конфигурированный для получения первого параметра отклика, переданного от аппаратуры пользователя IMS через СП, где первый параметр отклика формируется аппаратурой пользователя IMS на базе первого случайного числа; блок сравнения, конфигурированный для сравнения первого параметра отклика, полученного вторым приемным блоком, с ожидаемым параметром отклика, полученным запрашивающим блоком, на предмет определения их соответствия друг другу; подтверждающий блок, конфигурированный для подтверждения того, что аппаратура пользователя IMS успешно аутентифицирована, если результаты блока сравнения подтверждают наличие требуемого соответствия; и инструктирующий блок, конфигурированный для инструктирования СП, обеспечивающего аппаратуру пользователя IMS сервисом не-IMS.

Сервер приложений, обеспечивающий сервис не-IMS, включает в себя следующее: первый приемный блок, конфигурированный для получения сообщения запроса на соединение, переданного от аппаратуры пользователя IMS; первый пересылающий блок, конфигурированный для пересылки сообщения запроса на соединение, полученного первым приемным блоком, к шлюзу аутентификации; второй приемный блок, конфигурированный для получения первого случайного числа от шлюза аутентификации; второй пересылающий блок, конфигурированный для пересылки первого случайного числа, полученного вторым приемным блоком, к аппаратуре пользователя IMS; третий приемный блок, конфигурированный для получения первого параметра отклика, переданного от аппаратуры пользователя IMS; третий пересылающий блок, конфигурированный для пересылки первого параметра отклика, полученного третьим приемным блоком, к шлюзу аутентификации; и обеспечивающий блок, конфигурированный для обеспечения аппаратуры пользователя IMS сервисом не-IMS в ответ на инструкцию шлюза аутентификации.

Аппаратура пользователя IMS включает в себя следующее: первый передающий блок, конфигурированный для передачи сообщения запроса на соединение к СП, обеспечивающему сервис не-IMS; первый приемный блок, конфигурированный для получения первого случайного числа, переданного от шлюза аутентификации через СП; первый формирующий блок, конфигурированный для формирования первого параметра отклика на базе первого случайного числа, полученного первым приемным блоком; второй передающий блок, конфигурированный для передачи первого параметра отклика, сформированного первым формирующим блоком, к СП; и блок доступа к сервису, конфигурированный для доступа к сервису не-IMS от СП.

В технических решениях согласно вариантам осуществления изобретения система аутентификация включает в себя СП, обеспечивающий сервис не-IMS, шлюз аутентификации и аппаратуру пользователя IMS, где СП пересылает сообщение запроса на соединение, переданное от аппаратуры пользователя IMS к шлюзу аутентификации, шлюз аутентификации передает запрошенное первое случайное число к аппаратуре пользователя IMS через СП, аппаратура пользователя IMS формирует первый параметр отклика на базе первого случайного числа и передает сформированный первый параметр отклика к шлюзу аутентификации через СП, и если сравнение полученного первого параметра отклика с запрошенным ожидаемым параметром отклика показывает их соответствие, шлюз аутентификации определяет/подтверждает, что аппаратура пользователя IMS успешно аутентифицирована и инструктирует СП обеспечить аппаратуру пользователя IMS сервисом не-IMS. Как можно видеть, в системе аутентификации согласно настоящему изобретению аппаратура пользователя IMS аутентифицируется шлюзом аутентификации, этим значительно повышая эффективность сервисной обработки данных сервера СП и позволяя СП предоставлять сервис не-IMS для аутентификации аппаратуры пользователя IMS простым и унифицированным образом без необходимости для аппаратуры пользователя IMS согласовывать механизм аутентификации с каждым СП, обеспечивающим сервис не-IMS, этим значительно упрощая процесс аутентификации.

Краткое описание чертежей

На Фиг.1 представлена принципиальная структурная схема системы IMS известного уровня техники;

На Фиг.2 представлена принципиальная схема последовательности рабочих операций для способа получения аппаратурой пользователя IMS доступа к сервису IMS известного уровня техники;

На Фиг.3 представлена принципиальная схема последовательности рабочих операций для способа получения аппаратурой пользователя IMS доступа к сервису не-IMS известного уровня техники;

На Фиг.4 представлена принципиальная структурная схема системы аутентификации по одному из вариантов осуществления изобретения;

На Фиг.5 представлена принципиальная схема последовательности рабочих операций способа аутентификации по одному из вариантов осуществления изобретения;

На Фиг.6 представлена принципиальная схема последовательности рабочих операций способа для СП, обеспечивающего сервис не-IMS для аутентификации аппаратуры пользователя IMS, по первому варианту осуществления изобретения;

На Фиг.7 представлена принципиальная схема последовательности рабочих операций способа для формирования общего ключа по второму варианту осуществления изобретения;

На Фиг.8 представлена принципиальная схема последовательности рабочих операций способа для установки куки-файла проводника по сети Интернет (IE explorer) по третьему варианту осуществления изобретения;

На Фиг.9 представлена принципиальная схема последовательности рабочих операций способа доступа к сервису не-IMS аппаратуры пользователя IMS по четвертому варианту осуществления изобретения;

На Фиг.10 представлена принципиальная схема последовательности рабочих операций способа доступа к сервису не-IMS аппаратуры пользователя IMS с IE explorer по пятому варианту осуществления изобретения;

На Фиг.11 представлена принципиальная схема последовательности рабочих операций способа для аутентификации аппаратуры пользователя IMS, обеспечивающей доступ к сервису не-IMS, по шестому варианту осуществления изобретения;

На Фиг.12 представлена принципиальная схема последовательности рабочих операций способа для аутентификации аппаратуры пользователя IMS с IE explorer, обеспечивающей доступ к сервису не-IMS, по седьмому варианту осуществления изобретения;

На Фиг.13 представлена принципиальная структурная схема шлюза аутентификации по одному из вариантов осуществления изобретения;

На Фиг.14 представлена принципиальная структурная схема СП, обеспечивающего сервис не-IMS, по одному из вариантов осуществления изобретения; и

На Фиг.15 представлена принципиальная структурная схема аппаратуры пользователя IMS по одному из вариантов осуществления изобретения.

Подробное описание вариантов осуществления изобретения

Ниже со ссылками на чертежи излагаются общие принципы осуществления изобретения и конкретные технические решения в соответствии с вариантами осуществления изобретения, а также те преимущества, которые они могут дать.

В известном уровне техники аппаратура пользователя IMS при обеспечении допуска к сервису не-IMS должна осуществить соединение с СП сервиса не-IMS (СП не-IMS), а СП не-IMS, до осуществления такого соединения, должен аутентифицировать аппаратуру пользователя IMS; и поскольку аппаратура пользователя IMS взаимодействует с СП не-IMS непосредственно через интерфейс Ut без прохождения через опорную сеть системы IMS, аппаратура пользователя IMS не может быть аутентифицирована опорной сетью системы IMS, вместо СП не-IMS, как это показано на схеме последовательности рабочих операций на Фиг.2. Если аутентификация осуществляется непосредственно между аппаратурой пользователя IMS и СП не-IMS, эффективность сервисной обработки данных сервера СП может быть снижена, а аутентификация должна выполняться после того, как механизм аутентификации заранее согласован между ними; для получения доступа к различным сервисам не-IMS, обеспечиваемым различными серверами СП не-IMS, аппаратура пользователя IMS должна быть аутентифицирована различными серверами СП не-IMS, и, таким образом, может быть аутентифицирована только после предварительного согласования механизма аутентификации с каждым из различных серверов СП не-IMS; и при этом различные серверы СП не-IMS должны сохранять данные аутентификации аппаратуры пользователя IMS, подлежащей аутентификации, что приводит к снижению надежности и безопасности процесса аутентификации в связи с возможными утечками данных аутентификации аппаратуры пользователя IMS.

Учитывая вышеназванные проблемы, один из вариантов осуществления изобретения предусматривает систему аутентификации, структура которой показана на Фиг.4 и которая включает в себя СП 41, обеспечивающий сервис не-IMS, шлюз аутентификации 42 и аппаратуру пользователя IMS 43.

СП 41 конфигурирован для пересылки запроса на соединение, переданного от аппаратуры пользователя IMS 43 к шлюзу аутентификации 42, и первого случайного числа (RAND), переданного от шлюза аутентификации 42 к аппаратуре пользователя IMS 43, для передачи первого параметра отклика (RES, Response Internet Explorer), сформированного на базе первого RAND, подаваемого обратно от аппаратуры пользователя IMS 43 к шлюзу аутентификации 42, и для обеспечения аппаратуры пользователя IMS 43 сервисом не-IMS в ответ на инструкцию шлюза аутентификации 42.

Шлюз аутентификации 42 конфигурирован для запроса первого RAND и ожидаемого параметра отклика (XRES, Expected Response Internet Explorer) аппаратуры пользователя IMS 43, для передачи первого запрошенного RAND к СП 41, для подтверждения, что аппаратура пользователя IMS 43 успешно аутентифицирована, если сравнение первого RES, переданного от СП 41, с запрошенным XRES показывает их соответствие, и для инструктирования СП 41 по обеспечению аппаратуры пользователя IMS 43 сервисом не-IMS.

Аппаратура пользователя IMS 43 конфигурирована для передачи сообщения запроса на соединение к СП 41, для формирования первого RES на базе первого RAND, переданного от СП 41, и для передачи сформированного первого RES к СП 41.

По одному из вариантов осуществления изобретения сообщение запроса на соединение, переданное от аппаратуры пользователя IMS, может включать сообщение HTTP, но не будет ограничиваться только им.

Одна из конкретных последовательностей рабочих операций в рамках осуществления изобретения, где шлюз аутентификации запрашивает первое RAND и ожидаемый RES, может включать следующие два сценария осуществления изобретения, но не будет ограничиваться только ими.

В первом сценарии осуществления шлюз аутентификации запрашивает параметры аутентификации аппаратуры пользователя IMS, включая первое RAND и XRES аппаратуры пользователя IMS, где шлюз аутентификации может запрашивать параметры аутентификации от HSS (сервера БД абонентов), но не ограничиваясь этим, затем сообщение запроса на соединение, полученное шлюзом аутентификации, передает общедоступную идентификационную информацию пользователя IMS (IMS Public User Identity - IMPU) аппаратуры пользователя IMS, шлюз аутентификации передает поисковый информационный запрос, содержащий IMPU, к HSS, и HSS ищет в полученной IMPU сохраненные данные по корреспондентским взаимоотношениям между информациями IMPU и параметрами аутентификации, относящиеся к полученной IMPU, и передает найденные параметры аутентификации к шлюзу аутентификации.

Во втором сценарии осуществления шлюз аутентификации формирует первое RAND и запрашивает данные аутентификации аппаратуры пользователя IMS, и затем формирует XRES на базе сформированного первого RAND и запрошенных данных аутентификации, где шлюз аутентификации может запрашивать данные аутентификации от HSS (но не ограниваясь этим), затем сообщение запроса на соединение, полученное шлюзом аутентификации, передает IMPU аппаратуры пользователя IMS, шлюз аутентификации передает поисковый информационный запрос, содержащий IMPU, к HSS, и HSS ищет в полученной IMPU сохраненные данные по корреспондентским взаимоотношениям между информациями IMPU и параметрами аутентификации, относящиеся к полученной IMPU, и передает найденные параметры аутентификации к шлюзу аутентификации.

Шлюз аутентификации имеет интерфейс с HSS, который может включать интерфейс Sh, но не ограничивается этим, возможно в протоколе DIAMETER, и интерфейс с СП в протоколе non-SIP, например протоколе HTTP, или вместо этого они могут быть подключены через Интернет.

Вышеупомянутый процесс относится к однонаправленной аутентификации на аппаратуре пользователя IMS, но, разумеется, может иметь место и двунаправленная аутентификация, когда аппаратура пользователя IMS также аутентифицирует СП, что будет показано далее.

В первом сценарии осуществления изобретения параметры аутентификации, запрошенные шлюзом аутентификации, включают также первый аутентификационный маркер (AUTN);

шлюз аутентификации конфигурируется далее для передачи первого запрошенного AUTN к СП, до получения первого RES, переданного от аппаратуры пользователя IMS через СП;

СП конфигурируется далее для передачи первого AUTN, переданного от шлюза аутентификации, к аппаратуре пользователя IMS; и СП далее конфигурируется для передачи первого AUTN, переданного от шлюза аутентификации к аппаратуре пользователя IMS; и

аппаратура пользователя IMS конфигурируется далее для формирования второго AUTN на базе первого RAND, до формирования первого RES, и для подтверждения, что СП аутентифицирован успешно, если сравнение сформированного второго AUTN с полученным первым AUTN показывает их соответствие.

Во втором сценарии осуществления изобретения аппаратура пользователя IMS конфигурируется далее для формирования второго RAND, для передачи сформированного второго RAND к СП, для получения второго RES, переданного от СП, для формирования третьего RES на базе второго RAND и собственных данных аутентификации, и для подтверждения того, что СП аутентифицирован успешно, и допуска к сервису не-IMS, обеспечиваемому СП, если сравнение полученного второго RES со сформированным третьим RES показывает их соответствие.

СП конфигурирован далее для передачи второго RAND, переданного от аппаратуры пользователя IMS к шлюзу аутентификации, и для передачи второго RES, переданного от шлюза аутентификации к аппаратуре пользователя IMS; и

шлюз аутентификации конфигурирован далее для получения второго RAND, переданного от СП, для формирования второго RES от полученного второго RAND и запрошенных данных аутентификации, и для передачи сформированного второго RES к СП.

В системе в соответствии с данным изобретением, когда аппаратура пользователя IMS получает доступ к сервису не-IMS через IE explorer, СП передает идентификатор сеанса (SessionID) к аппаратуре пользователя IMS, подлежащей аутентификации, который хранится в куки-файле программы IE explorer и может быть непосредственно найден аппаратурой пользователя IMS, получающей доступ к сервису не-IMS через IE explorer, не будучи заполнен в IE explorer, где SessionID может быть сформирован шлюзом аутентификации и затем передан к СП или сформирован сервером СП.

Как можно видеть из рассмотренного выше процесса, система аутентификации в виде данного технического решения в соответствии с этим вариантом осуществления изобретения включает следующее: СП, обеспечивающий сервис не-IMS, шлюз аутентификации и аппаратуру пользователя IMS, где СП пересылает сообщение запроса на соединение, переданного от аппаратуры пользователя IMS, к шлюзу аутентификации, шлюз аутентификации передает первое запрошенное RAND к аппаратуре пользователя IMS через СП, аппаратура пользователя IMS формирует первый RES на базе первого RAND и передает сформированный первый RES к шлюзу аутентификации через СП, и если сравнение первого полученного RES с запрошенным XRES показывает их соответствие, то шлюз аутентификации подтверждает, что аппаратура пользователя IMS успешно прошла аутентификацию, и инструктирует СП обеспечить аппаратуру пользователя IMS сервисом не-IMS. Как можно видеть, в системе аутентификации согласно настоящему изобретению аппаратура пользователя IMS аутентифицируется шлюзом аутентификации, этим значительно повышая эффективность сервисной обработки данных сервера СП и позволяя СП предоставлять сервис не-IMS для аутентификации аппаратуры пользователя IMS простым и унифицированным образом без необходимости для аппаратуры пользователя IMS согласовывать механизм аутентификации с каждым СП, обеспечивающим сервис не-IMS, этим значительно упрощая процесс аутентификации

Кроме того, поскольку параметры/данные аутентификации аппаратуры пользователя IMS сохраняются в шлюзе аутентификации или извлекаются шлюзом аутентификации из сервера HSS, вместо того, чтобы сохраняться в каждом СП, обеспечивающем сервис не-IMS, то параметры/данные аутентификации аппаратуры пользователя IMS не будут потеряны, что повышает надежность аутентификации и безопасность последующего доступа к сервису не-IMS.

После Фиг.4, иллюстрирующей систему аутентификации, вариант осуществления изобретения поясняется далее на базе иллюстрации способа аутентификации, показанного на Фиг.5, конкретная последовательность рабочих операций/ступеней которого рассматривается ниже.

На ступени 51 шлюз аутентификации получает сообщение запроса на соединение, переданное от аппаратуры пользователя IMS через СП, обеспечивающий сервис не-IMS.

В одном из вариантов осуществления изобретения сообщение запроса на соединение может включать сообщение HTTP, но не будет ограничиваться этим.

Аппаратура пользователя IMS должна регистрироваться в системе IMS до передачи сообщения запроса на соединение к СП в рамках специального потока регистрации данных известного уровня техники и повторяющееся описание его приводиться здесь не будет.

На ступени 52 шлюз аутентификации запрашивает первое RAND и XRES аппаратуры пользователя IMS.

Конкретная последовательность рабочих операций/ступеней изобретения, когда шлюз аутентификации запрашивает первое RAND и XRES, может включать два сценария осуществления изобретения, но не будет ими ограничиваться.

В первом сценарии осуществления изобретения шлюз аутентификации запрашивает параметры аутентификации аппаратуры пользователя IMS, включая первое RAND и XRES аппаратуры пользователя IMS, где шлюз аутентификации может запрашивать параметры аутентификации от HSS (но не ограничивается этим), затем сообщение запроса на соединение, полученное шлюзом аутентификации, передает IMPU аппаратуры пользователя IMS, шлюз аутентификации передает поисковый информационный запрос, содержащий IMPU, к HSS, и HSS ищет в полученной IMPU сохраненные данные по корреспондентским взаимоотношениям между информациями IMPU и параметрами аутентификации, относящиеся к полученной IMPU, и передает найденные параметры аутентификации к шлюзу аутентификации, где параметры аутентификации, найденные HSS, могут включать 5-кортежные параметры аутентификации или 3-кортежные параметры аутентификации (триплет). Если параметры аутентификации, запрошенные шлюзом аутентификации, включают 5-кортежные параметры аутентификации, то параметры аутентификации включают первое RAND, первый AUTN, ключ шифрования (Cipher Key - СК), ключ целостности (Integrity Key - IK) и XRES.

Во втором сценарии осуществления изобретения шлюз аутентификации формирует первое RAND и запрашивает параметры аутентификации аппаратуры пользователя IMS и затем формирует XRES на базе сформированного первого RAND и запрошенных параметров аутентификации, где шлюз аутентификации может запрашивать параметры аутентификации от HSS (но не ограничивается этим), затем сообщение запроса на соединение, полученное шлюзом аутентификации, передает IMPU аппаратуры пользователя IMS, шлюз аутентификации передает поисковый информационный запрос, содержащий IMPU, к HSS, и HSS ищет в полученной IMPU сохраненные данные по корреспондентским взаимоотношениям между информациями IMPU и параметрами аутентификации, относящиеся к полученной IMPU, и передает найденные параметры аутентификации к шлюзу аутентификации.

На этой ступени HSS не будет передавать какие-либо параметры/данные аутентификации к СП, предотвращая этим перехват/ прослушивание или фальсификацию данных, поскольку преследуется цель повышения безопасности аутентификации аппаратуры пользователя IMS.

На ступени 53 шлюз аутентификации передает первое запрошенное RAND к аппаратуре пользователя IMS через СП.

Если требуется только аутентификация СП на аппаратуре пользователя IMS, то шлюз аутентификации просто передаст первое RAND к аппаратуре пользователя IMS, а если требуется также аутентификация аппаратуры пользователя IMS на СП, т.е. двунаправленная аутентификация, то:

В первом сценарии осуществления изобретения шлюз аутентификации передаст далее первый AUTN, содержащийся в запрошенных параметрах, к аппаратуре пользователя IMS, чтобы аппаратура пользователя IMS аутентифицировала СП, а аппаратура пользователя IMS формирует второй AUTN на базе первого RAND и подтверждает, что СП успешно аутентифицирован, если сравнение сформированного второго AUTN с полученным первым AUTN показывает их соответствие, где шлюз аутентификации может передать первый AUTN вместе с первым RAND или сначала первое RAND и затем первый AUTN или сначала первый AUTN и затем первое RAND к аппаратуре пользователя IMS (но не ограничиваясь этим), коль скоро первый AUTN передан до получения шлюзом аутентификации первого RES от аппаратуры пользователя IMS через СП.

Во втором сценарии осуществления изобретения аппаратура пользователя IMS формирует второе RAND и передает сформированное второе RAND к шлюзу аутентификации через СП, шлюз аутентификации формирует второй RES на базе второго RAND и данных аутентификации аппаратуры пользователя IMS и передает второй RES к аппаратуре пользователя IMS через СП, и аппаратура пользователя IMS формирует третий RES на базе сформированного второго RAND, и если сравнение сформированного третьего RES с полученным вторым RES показывает их соответствие, то аппаратура пользователя IMS подтверждает, что СП успешно аутентифицирован и может получить доступ к сервису не-IMS, обеспечиваемому СП.

На ступени 54 аппаратура пользователя IMS формирует первый RES на базе полученного первого RAND и передает сформированный первый RES к шлюзу аутентификации через СП.

Аппаратура пользователя IMS рассчитывает первый RES по предварительно заданному первому алгоритму после получения первого RAND и далее может рассчитать СК на базе полученного первого RAND по второму алгоритму и рассчитать IK на базе полученного первого RAND по третьему алгоритму, в результате чего шлюз аутентификации и аппаратура пользователя IMS имеют СК и IK.

Аппаратура пользователя IMS передает рассчитанный первый RES к шлюзу аутентификации через СП, чтобы шлюз аутентификации аутентифицировал аппаратуру пользователя IMS.