Патент на изобретение №2204219
|
||||||||||||||||||||||||||
(54) СПОСОБ ОБНАРУЖЕНИЯ СКОПИРОВАННОГО МЕЖДУНАРОДНОГО КОДА ИДЕНТИФИКАЦИИ МОБИЛЬНОГО АБОНЕНТА (IMSI) В СЕТИ МОБИЛЬНОЙ СВЯЗИ И ЭЛЕМЕНТ СЕТИ МОБИЛЬНОЙ СВЯЗИ
(57) Реферат: Изобретение относится к способу и устройству для предотвращения неправильного использования скопированной идентификационной информации абонента в системе мобильной связи. Достигаемый технический результат – улучшение защиты системы мобильной связи от неправильного использования, при этом модификации оборудования абонента и других узлов сетевой архитектуры не требуется. Расположение мобильных станций (Ms) корректируется, по меньшей мере, в одном регистре (HLR, VLR) сети. Согласно способу количество (N), по меньшей мере, одного типа корректировок расположения (преимущественно между мобильными центрами коммутации MSC) проверяют в течение заданного периода контроля (например, 24 ч). Это количество (N) сравнивается с заданным пороговым значением (Nmax), и если количество (N) корректировок расположения превышает заданное пороговое значение (Nmax), будет сформирован сигнал, указывающий возможное копирование идентификационной информации абонента. 2 с. и 5 з.п. ф-лы, 6 ил. Изобретение относится к способу и устройству для предотвращения неправильного использования скопированной идентификационной информации абонента в системе мобильной связи. Во всех сетях связи и пользователи, и сетевой оператор должны быть защищены по возможности лучше от нежелательных вторжений третьих лиц. Следовательно, в сетях существует необходимость во многих типах функций защиты. Наиболее важными особенностями, относящимися к защите сети, являются (1) защита информации, передаваемой сетью, и (2) аутентификация пользователей и управление их доступом. Наиболее важной мерой безопасности для защиты информации в обозримом будущем является некоторый вид кодирования. Аутентификация является способом, посредством которого делаются попытки, гарантирующие, что информация исходит из источника, когда заявлено, что он ее выдает. Обычно это основано на паролях и ключах. Права доступа относятся к способности передать и/или получить по каналу передачи. Механизмы доступа основаны на некотором типе пароля или ключа. Поскольку передача мобильным абонентам происходит посредством радиосвязи, соединенные посредством радиосвязи Мобильные Сети Общего Пользования (PLMN) особенно чувствительны к незарегистрированным пользователям, использующим их ресурсы и подслушивающим информацию, обмениваемую по радиоканалу. Это исходит из возможности прослушивать и передавать радиосигналы отовсюду без необходимости в получении доступа к оборудованию пользователя или оператора. Очевидно, что в PLMN сетях требуются лучшие стандарты защиты, чем в обычных сетях связи. Основная структура восточноевропейской цифровой сотовой системы радиосвязи GSM (Глобальная Система Мобильной Связи) изображена на фиг. 1. Структура GSM сети состоит из двух частей: подсистемы базовой станции (BSS) и подсистемы сети (NSS). BSS и мобильные станции MS связываются посредством радиосоединений. В BSS каждая ячейка обслуживается базовой станцией приемопередачи (BTS). Группа базовых станций BTS соединена с контроллером базовой станции (BSC), чьей функцией является управление радиочастотами и каналами, используемыми BTS. Контроллеры базовой станции BSC соединены с центром коммутации мобильных устройств (MSC). Функция MSC заключается в переключении вызовов, которые вызывают, по меньшей мере, одну MS. Некоторые из MSC подсоединены к другим сетям связи типа общей интегрированной сети услуг (PISN) и они включают функции переключения для обработки вызовов к этим сетям и из этих сетей. Такие мобильные центры коммутации называют термином “станция межсетевого сопряжения” MSC (GMSC). Маршрутизация вызовов включает в себя два типа баз данных. В регистре исходного местоположения (HLR) сохраняются постоянно или полупостоянно данные абонента всех абонентов сети, такие данные содержат информацию относительно всех услуг, на которые абонент имеет право, и текущее расположение абонента. Второй тип регистра – регистр положения посетителя (VLR). VLR обычно соединен с одним MSC, но может также обслуживать несколько MSC. VLR обычно входят в состав MSC. Такой составной сетевой элемент называют VMSC (VLR + MSC). Когда MS активна (она зарегистрирована в сети и может осуществлять или принимать вызовы), большинство данных абонента, касающихся MS, включенных в HLR, загружаются (копируются) в VLR для MSC, в чьей области обслуживания размещена MS. GSM система содержит наиболее безопасную систему аутентификации. Это также сохраняется верным для производных GSM системы, таких как DCS. Система аутентификации основана на так называемом принципе запроса и ответа. После составления контракта абонента абоненту назначают секретный ключ аутентификации абонента (Ki) и международный код индентификации мобильного абонента (IMSI). Ki сохранен в элементе сети, служащем для этой цели в GSM сети, называемом центром аутентификации (AUC), который связан или соединен с HLR абонента. AUC также содержит алгоритм шифрования, известный как А8, алгоритм аутентификации, известный как A3, и генератор случайных чисел RAND. На основе Ki и RAND алгоритмом А8 формируется ключ шифрования Кс. Аналогично на основе Ki и RAND алгоритмом A3 формируется Signed Response (Подписанный Ответ SRES). Эти три параметра – RAND, Ki и SRES – образуют триплет, который является характеристикой абонента и который используют в дальнейшем для аутентификации и шифрования. AUC (фиг. 2) содержит базу данных 20, в которой сохраняют аутентификационный ключ Ki каждого абонента в GSM сети. Ki абонента может быть найден в базе данных 20, используя IMSI в качестве индекса. Чтобы избежать вычисления и передачи триплета каждый раз, необходимо, чтобы AUC/HLR вычислял несколько триплетов для каждого абонента заранее, и если требуется, выдавал их в VLR, в котором они сохраняются. MSC/VLR имеет в любое время неиспользуемый триплет в своем распоряжении для каждого абонента посетителя. Высокий уровень защиты устанавливает условие, что триплет используется только однажды для одного соединения, после чего он разрушается. Фиг. 4 изображает несколько таких триплетов, специфичных для абонента. Файл 40 параметра защиты содержит n триплетов для каждого 1-n кода IMSI. Такой резерв в файле 40 параметра защиты устанавливается, когда абонент впервые регистрируется в посещенном MSC и VLR. Он является частью данных абонента, которые были загружены из HLR вместе с сообщением INSERT SUBSCRIBER DATA (вставить данные абонента). Когда абонент использовал (фиг. 5) все триплеты, находящиеся в его распоряжении, осуществляется запрос к AUC/HLR, чтобы вычислить и послать обратно новую последовательность. Процедура дополнения триплетов состоит из двух сообщений: SEND PARAMETERS (“Послать параметры”) и ответ на него SEND PARAMETERS RESULT (“Послать результат параметров”). Первое из двух содержит IMSI мобильного абонента, который используется, чтобы найти Ki для вычисления триплетов, как раскрыто применительно к фиг. 2. Вычисленные триплеты посылают к MSC/VLR в сообщении SEND PARAMETERS RESULT и они сохраняются в VLR. MS (фиг. 4) передает запрос доступа к MSC/VLR. MSC/VLR находит триплет, назначенный MS, из файла 40 параметров защиты, используя IMSI в качестве индекса. С одной стороны MSC/VLR передает значение Кс оборудованию канала BSC для использования при кодировании канала графика, и с другой стороны, он передает значение RAND в MS в сообщении AUTHENICATION REQUEST (“Запрос аутентификации”). Это показано блоком 41 на фиг. 4. На основе RAND MS вычисляет другие значения триплета (SRES и Кс). Мобильная станция (фиг. 3) содержит в своей памяти копию ключа Ki аутентификации мобильного абонента, а также алгоритм кодирования А8 и алгоритм A3 аутентификации. После получения сообщения AUTHENICATION REQUEST мобильная станция MS извлекает RAND из сообщения и передает его и сохраненный Ki в алгоритмы A3 и А8 соответственно для вычисления отмеченного SRES и ключ кодирования Кс. Вычисленный SRES передается в MSC/VLR в сообщении AUTHENICATION RESULT (“Результат аутентификации”), чтобы завершить установление подлинности, как показано на фиг. 4 и 5. MSC/VLR (фиг. 4) извлекает значение SRES из сообщения AUTHENICATION RESULT (блок 42) и находит сохраненное значение SRES из файла 40 (блок 43). Затем для этого соединения и до другой обработки MSC/VLR устанавливает подлинность мобильного абонента, проверяя, что SRES”, вычисленный в AUC/HLR, является идентичным с SRES (блок 44), вычисленным в мобильной станции. Если два значения идентичны, доступ разрешается. Если нет, доступ запрещается (блок 46). В типовой GSM системе аутентификация мобильного абонента требует блока идентичности, который является специфичным для абонента. Собственное оборудование терминала не ограничено принадлежностью специфическому абоненту. Модуль идентичности абонента, такой как SIM карта (плата), является функциональной платой или интеллектуальной платой, которая размещена в мобильной станции и которая содержит информацию, например, аутентификационный ключ Ki, требуемый для идентификации абонента и для шифрования радиотрафика. В настоящей заявке модуль идентичности абонента, такой как SIM плата, относится к функциональной плате, которая может быть удалена из мобильной станции и посредством которой абонент способен использовать плату, управляющую мобильной станцией. Следовательно, если используется модуль идентичности абонента, такой как SIM плата (такой как Subscriber Identity Module – Модуль идентичности абонента), пользователю нет необходимости иметь свою собственную мобильную станцию, но модуль идентичности абонента, выданный ему оператором мобильной системы связи, – это все, что ему нужно. Такой модуль идентичности абонента может быть, например, SIM платой, которая в некотором смысле является телефонной картой, посредством которой абонент может осуществлять и принимать вызовы от любой мобильной станции системы. С одной стороны, функцией SIM платы является выдавать данные, которые идентифицируют пользователя, безопасно надежные для использования мобильной станцией, и с другой стороны, предоставлять услуги мобильной станции. Услуги включают поддержание (ввод, изменение) персонального идентификационного номера, поддержание ключа кодирования данных, то есть ключа Ki аутентификации, и разблокировку SIM платы в случае, если использование было блокировано в результате слишком многих попыток ввода неправильного PIN (Персональный идентификационный номер). Разблокирование блокированной SIM платы происходит, например, PUK кодом (Персональный раз блокирующий ключ). В качестве альтернативного способа реализации SIM платы в карманных телефонах представляется так называемый способ plug -in-SIM (сменная SIM плата). Сменная SIM является частью размером с монету, содержащей электронику размером с кредитную карточку и помещенной в телефон так, чтобы пользователь не был способен ее с легкостью заменить. Телефон может также иметь встроенную сменную SIM и, кроме того, устройство считывания платы. Если устройство считывания платы содержит плату, телефон идентифицируется на основе внешней платы или в противном случае на основе встроенной сменной SIM. В настоящей заявке мобильная станция (MS) таким образом состоит из следующих двух частей: мобильное оборудование (ME) и модуль идентичности абонента (SIM). SIM плата описана в GMS рекомендации 02.17. Рекомендация 11.11 определяет более подробно вопросы, определенные в рекомендации 02.17, определяя, например, протоколы между SIM и ME, точное содержание и длину полей данных в SIM и вопросы в отношении электронного и механического интерфейса. Пример поля данных, занятого SIM платой, представляет IMSI (международный код идентификации мобильного абонента), который идентифицирует мобильного абонента. Аналогично в объеме настоящей заявки понятие SIM вообще относится к модулю идентичности абонента, такому как SIM плата, маленькая сменная SIM плата, функциональная интеллектуальная SIM плата размером с кредитную карточку и встроенный в MS модуль идентичности абонента, содержащий идентификацию абонента и аутентифицированный ключ Ki, если контекст не дает некоторой другой интерпретации. Согласно GSM-рекомендациям 02.17 и 11.11 используются три алгоритма: A3, А5 и А8. Алгоритм A3 используется для аутентификации, А8 – для формирования ключа А5 кодирования и А5 – для кодирования. Алгоритмы A3 и А8 сохраняют и в SIM плате, и в центре AUC аутентификации. Алгоритм А5 сохраняют и в ME мобильной станции, и базовой станции BTS. Кроме того, например, следующую информацию сохраняют в AUC:IMSI, аутентификационный ключ Ki и информацию о версии используемого алгоритма. Ту же самую информацию также сохраняют в SIM плате мобильного абонента. С проблемой в известной мобильной системе связи, описанной выше, сталкиваются, например, когда SIM плата или информация, содержащаяся в ней, попадает в руки нечестного человека. Это может произойти, например, из-за потери или кражи всего телефона, или только SIM платы, украденной из телефона, чья информация скопирована на другую SIM плату. Система, следовательно, содержит две SIM платы с идентичной информацией, то есть оригинальной платой и ее копией. Любое использование скопированной платы вредит мобильному абоненту, имеющему оригинальную плату, независимо от того, является ли неправильное использование многочисленным или незначительным. В случае, если неправильное использование многочисленно, это может привести к высокой стоимости прежде, чем абонент обнаружит проблему в своем следующем телефонном счете. С другой стороны, если неправильное использование незначительное, проблема может быть не обнаружена в течение длительного времени. В объеме настоящей заявки использование скопированной SIM платы относится к любому способу обманного использования информации в SIM плате другого мобильного абонента. Сущность изобретения Следовательно, задачей настоящего изобретения является разработка способа и устройства, реализующего способ для решения вышеуказанных проблем, связанных с неправильным использованием SIM платы или информации в ней. Задачи изобретения достигаются способами и системами, которые характеризуются тем, что раскрыты в независимых пунктах формулы изобретения. Предпочтительные варианты осуществления изобретения сформулированы в независимых пунктах. Изобретение основано на представлении, что скопированные и оригинальные SIM платы не могут всегда перемещаться в одних и тех же областях расположения в сети мобильной связи. По меньшей мере иногда ситуации связаны с моментами, в течение которых скопированные и оригинальные SIM платы находятся в областях обслуживания различных центров коммутации мобильных устройств. Такая ситуация приводит к корректировке расположения в регистре исходного месторасположения. Существование и область расположения скопированной SIM платы могут затем быть обнаружены на основе неожиданно высокой активности обновления места расположения между центрами переключения. Такая ситуация может быть обнаружена, например, поддержкой счетчика событий в мобильной сети связи, который подсчитывает корректировки расположения, выполненные за контрольный период. Когда число корректировок расположения за контрольный период превышает заранее заданное пороговое значение, формируется сигнал, который указывает возможное неправильное использование. Изобретение улучшает защиту системы мобильной связи от неправильного использования. Изобретение может быть применено к малой, несомненно ограниченной определенной области в программном обеспечении центра коммутации мобильных устройств и/или регистра исходного месторасположения. Никакие модификации не требуются в оборудовании абонента или других узлах сетевой архитектуры. Краткое описание чертежей Ниже предлагается более подробное описание изобретения совместно с предпочтительными вариантами осуществления со ссылками на следующие чертежи, на которых: фиг. 1 изображает узлы сети мобильной связи, которые являются существенными с точки зрения изобретения, фиг. 2-5 изображают идентификацию абонента в известной GSM системе, фиг. 6 изображает последовательность операций, иллюстрирующих способ согласно настоящему изобретению. Подробное описание изобретения Оператор телефонной сети способен определить число корректировок расположения в единицу времени простым способом, например устанавливая файл события, имеющего запись для каждого абонента, проверяемого на сохранение числа корректировок расположения. Или же существующий файл абонента в системе может быть дополнен дополнительным полем, в котором поддерживается количество проверяемых корректировок расположения. В простейшем виде изобретение функционирует так, чтобы в начале контроля поле количества в записи событий абонента было установлено равным нулю и увеличивалось при каждой корректировке расположения. Содержание поля количества в записи события (количество N проверяемых корректировок расположения) считывается, по меньшей мере, в конце контрольного периода (например, через 24 часа) и сравнивается с заданным пороговым значением Nmax. Превышение порогового значения формирует сигнал, на основе которого оператор может взять абонента под специальное наблюдение, в котором можно отслеживать корректировки расположения более точно (например, сохранять в памяти даты и время, базовые станции и т.д., относящиеся к корректировкам расположения). Пороговое значение может быть установлено, например, равным 10 корректировкам расположения за 24 часа. Число корректировок расположения может также быть проверено в течение контрольного периода, например, в сам момент корректировки расположения. В описанном выше способе изобретение относительно просто для выполнения. Специалист может обнаружить несколько альтернативных способов реализации изобретения. В качестве примера не является строго необходимым, чтобы проверяемые корректировки происходили между центрами коммутации. Чтобы обнаружить скопированную идентификационную информацию абонента, удовлетворит любая корректировка расположения, которая происходит между двумя базовыми станциями, географически удаленными на большое расстояние. Здесь понятие “географически удаленный на большое расстояние” означает, например, несколько десятков километров. Если корректировка расположения с одной и той же идентификационной информацией абонента выполнена несколько раз за 24 часа в местах, которые являются удаленными на десятки километров, имеется причина подозревать копирование идентификационной информации абонента. Ограничивая контроль за корректировками между MSC, может быть получено заметное преимущество, так как это имеет место точно в случае, когда расположение абонента корректируется в сетевом регистре исходного месторасположения и функциональные возможности изобретения являются самыми простыми для реализации совместно с корректировками расположения между MSC. Изобретение частично основано на понятии, что обнаружение скопированной идентификационной информации абонента не требует особенно сложного алгоритма. В случае типовой GSM системы копирование идентификационной информации абонента в любом случае достаточно усложнено без приобретения оборудования и знания, чтобы копировать идентификационную информацию только одного или нескольких абонентов: если несанкционированное копирование имеет место, операция вероятно широко распространена. Несанкционированному копированию препятствуют заранее, зная, что сети мобильной связи можно даже впоследствии обеспечить функциональными возможностями согласно изобретению, в котором, практически говоря, пользователь скопированной идентификационной информации абонента будет без сомнения разоблачен рано или поздно. Согласно еще одному альтернативному варианту осуществления контроль действия корректировки расположения в мобильной сети связи не направлен непрерывно ко всем абонентам; вместо этого может быть выбрана подходящая подгруппа абонентов для одновременной проверки, например нескольких IMSI внутри определенного диапазона. Этот вариант осуществления обеспечивает преимущество, заключающееся в уменьшении требований к ресурсам памяти. Выполненное согласно простому описанному выше варианту осуществления изобретение может вызывать ложные тревоги, например, в ситуации, в которой мобильная станция неоднократно перемещается в областях обслуживания различных центров коммутации мобильных устройств. Такая ситуация может возникнуть в случае, когда мобильная станция используется водителем общественного транспортного средства (особенно, если одна и та же мобильная станция находится в использовании совместно всеми рабочими сменами). Ложные тревоги могут быть предотвращены, например, сохраняя в записи абонента, также определенной для абонента, такого количества корректировок расположения за контрольный период, в течение которого тревога активизирована. Или же абоненты могут быть разделены, по меньшей мере, на две категории (такие как общие пользователи и частные пользователи), одна категория из которых используется для таких особых абонентов с пороговым значением, приводящим к тревоге, являющимся выше для этой категории, чем для обычных абонентов. Альтернативный подход может заключаться в определении для таких особых абонентов категории или специфического для абонента условия, при котором контролирующая схема согласно изобретению не используется. Тот же результат достигают, поддерживая отдельный файл исключения (не показан), в котором сохраняют идентификационную информацию такого абонента, который не контролируется. Однако если текущий контроль полностью выключен для некоторых абонентов, появляется угроза, что идентификационная информация таких абонентов станет особенно привлекательной целью для ложных действий. Возможно в качестве альтернативного варианта осуществления устанавливать адаптивное пороговое значение, то есть число корректировок расположения за контрольный период, которое приводит к тревоге. Это может быть реализовано, например, формированием порогового значения из среднего числа корректировок расположения одним и тем же абонентом и добавляя к нему подходящий допуск, например, 50-100%. Если частота изменений корректировок расположения значительна, то существует причина подозревать копирование идентификационной информации абонента. Этот вариант осуществления обеспечивает преимущество, заключающееся в том, что просто обнаружить изменения в активности корректировок расположения для идентификационной информации каждого отдельного абонента. Фиг. 6 представляет последовательность операций объединения процедур, описанных выше. Номер 60 обозначает новую запись события, которая содержит счетчик событий N и возможно максимальное число Nmax событий. Записи 60 события могут быть сохранены в отдельном файле события или они могут составлять часть существующей записи абонента. Эта информация может поддерживаться на основе IMSI непосредственно в MSC или HLR сети. Фиг. 6 показывает только одну запись события. Естественно существует специализированная запись для каждого проверяемого абонента. Операции 600-602 изображают, как контроль корректировок расположения согласно изобретению может быть встроен в мобильную систему связи в программное обеспечение, поддерживающее расположение MS, наиболее выгодно – в MSC. При операции 602 проверяют, принадлежит ли корректировка расположения типу, чье общее количество контролируется. Как отмечено выше, особенно хорошо подходящим типом контролируемых корректировок расположения являются корректировки расположения между MSC, так как информация о такой корректировке в любом случае передается в HLR местной сети абонента. В случае, когда операции 600-602 включены в MSC в программное обеспечение, выполняющее корректировку расположения между MSC, отдельная операция 602 не требуется. При операции 604 значение счетчика N событий увеличивается и при операции 606 сравнивается с заданным пороговым значением Nmax. Если пороговое значение превышено, при операции 608 формируется тревога, при операции 610 счетчик N устанавливается в ноль для последующих контрольных периодов. Операция 608, формирующая тревогу, может быть дополнена способом, описанным ниже, применительно к операциям 632-634. При операции 612 процесс, поддерживающий корректировку расположения, продолжается как обычно. Операции 620-636 иллюстрируют способ, посредством которого контроль корректировок расположения согласно изобретению может быть выполнен в заданные моменты времени. Процесс начинают в начале контрольного периода при операции 620. При операции 622 счетчик N событий устанавливают в ноль для всех абонентов. Операция 624 последовательности операций иллюстрирует тест, который проверяет, является ли контрольный период (например, 24 часа) истекшим. В действительности в общем случае отдельный тест не обязательно требуется, поскольку тест 624 может быть выполнен неявно путем добавления операций после него к программному обеспечению, которое находится в центре, или аналогично в любом случае выполнен в заданные моменты времени, например в полночь. При операции 626 счетчик N событий считывает наиболее подходяще на основе IMSI. Также определяется максимальное количество Nmax событий. В примере фиг. 6 максимальное количество Nmax определяют, считывая его специфическую для абонента информацию из той же записи 60, что и счетчик N событий. Как указано выше, максимальный номер Nmax может также быть фиксированным или определенным для категории. При операции 628 значение счетчика N событий сравнивается с разрешенным максимальным номером Nmax. Если значение счетчика N событий превышает максимальный номер Nmax, при операции 630 формируется тревога. При операции 632 проверяют, сомнительна ли ложная тревога, то есть выполнила ли мобильная станция честного абонента несколько корректировок расположения, проверенных за 24 часа. Если такая ложная тревога сомнительна, значение максимального количества Nmax может быть увеличено, например, специально для абонента. Или же сомнительный IMSI может быть сохранен в файле исключения (не показан), который сохраняет идентификационную информацию абонента, при этом не формируется тревога. Способ согласно изобретению, описанный применительно к фиг. 6, может быть выполнен с относительно простыми изменениями в программном обеспечении и/или аппаратных средствах, если сравнивать с известными системами мобильной связи. Если проверяют корректировки расположения между MSC, можно использовать сигналы, которые в любом случае передают в MSC. В таком случае все корректировки, требуемые для выполнения изобретения, могут быть ограничены программным обеспечением и базами данных MSC/HLR. К тому же только тревоги передаются вне центра (например, к центру составления счетов, который не показан на чертежах). Счетчик N событий, показанный на фиг. 6, может быть выполнен, например, так, что данные абонента, поддерживаемые в HLR, дополняют включением в него счетчика N событий и возможно также категории абонента для специфичного для абонента максимального количества Nmax событий. Специалистам очевидно, что с развитием в технологии основная идея изобретения может быть выполнена многими различными способами. Изобретение описано посредством примера для GSM системы и ее производных систем, но оно применимо к другим системам мобильной связи, которые имеют встроенный механизм, чтобы контролировать расположение и корректировки расположения абонентов. Изобретение и его варианты осуществления не ограничены приведенными примерами и могут изменяться в объеме формулы изобретения. Формула изобретения
РИСУНКИ
|
||||||||||||||||||||||||||