本发明专利技术涉及用于验证信息检索请求(10)的安全方法,所述信息检索请求请求将数据(20)在移动通信网络(100)中从位置寄存器服务器(LR)发送至发送实体(30),所述安全方法包括下列步骤:从所述发送实体(30)接收信息检索请求(10);从所述信息检索请求(10)中提取至少一个特性码(12),用于确定所述发送实体(30)和/或移动用户(MS);将所提取的至少一个特性码(12)与认证列表(14)进行比较;基于与所述认证列表(14)的比较结果,允许或禁止在所述信息检索请求(10)中请求的数据(20)的传输。
【技术实现步骤摘要】
用于验证信息检索请求的安全方法
本专利技术涉及一种用于验证信息检索请求(InformationRetrievalRequest)的安全方法、存储在计算机可读介质上且用于执行所述安全方法的计算机程序产品、用于验证信息检索请求的安全装置以及包括这种安全装置的移动通信网络。
技术介绍
根据现有技术,在复杂的移动通信网络中采用了不同类型的协议用于通信。例如,在移动通信网络中部署了不同类型的服务器。不同类型的服务器可以因其用途与地点而被独立开来。例如所谓的访问位置寄存器服务器(VLR:VisitedLocationRegister)可被用于调度若干网络小区和相应的网络天线,以及被用于存储来自位于该VLR内的用户的信息。而且,所谓的归属位置寄存器服务器(HLR:HomeLocationRegister)可被用于存储网络的一般或基础信息以及尤其是涉及网络的使用者即所谓的网络用户,并且用于存储用户(其登录至该移动通信网络)的MSC和VLR的当前地址。在通常已知的移动通信网络中,有关移动用户的信息必须在不同服务器之间传递,尤其是在电路交换网络中在VLR与HLR之间,或者在分组交换网络的情况下在服务GPRS支持节点(SGSN:ServingGPRSSupportNode)与HLR之间。某些时候,VLR被集成或存储在移动交换中心(MSC:MobilSwitchingCenter);因此,用户信息被存储在MSC/VLR或移动交换中心服务器(MSCS:MobilSwitchingCenterServer),因此存储在所谓的MSCS/VLR。SGSN在通用分组无线业务(GPRS)核心网中所处的层级与在电路交换网络(即GSM网络)的MSC相同。SGSN包括寄存器,其被称为SGSN位置寄存器(SLR),其存储用户信息,类似于存储在位于MSC内的VLR中的信息,即MSC/VLR配对类似于SGSN/SLR配对。在下列说明中,信息检索请求可以被引向任何一个这种位置寄存器。这种位置寄存器例如可以是VLR、MSC/VLR、MSCS/VLR、SGSN或SGSN/SLR,或者移动通信网络中其他任何相似设备。可以执行信息检索请求,以从位置寄存器或者说位置寄存器服务器检索特定用户信息。这种信息例如可以是存储在HLR并被转发给位置寄存器(即VLR或SGSN)的基础信息。这允许沿第一方向进行通信。在相反方向上,存储在位置寄存器(即VLR或SGSN)的数据也可以被发送至HLR,例如为了告知HLR不同的移动用户究竟位于相应小区或相应区域(由VLR或SGSN调度)的何处。存储在位置寄存器(即VLR或SGSN)的数据例如可以包括与移动用户的移动、使用情况或位置有关的信息。已经出现的情况是:随着网络工业技术可行性的增加,移动通信网络传统已知结构安全问题也随之上升。例如风险存在于:作为未经授权的HLR的外部服务器请求检索数据之时。这意味着,数据检索例如可以由欺骗性HLR来请求,而该欺骗性HLR不是由特定用户所注册的移动网络运营商所运营的移动通信网络的一部分;或者数据检索例如可以由欺骗性HLR来请求,而该欺骗性HLR与特定用户所注册的移动网络运营商所在国家不同。因此,在传统已知移动通信网络中,这种外部发送实体本身可被称为欺骗或伪HLR,并故而尝试请求位于位置寄存器(即VLR或SGSN)上的安全信息。
技术实现思路
本专利技术的目的在于克服上述缺陷。尤其是,本专利技术的目的在于提供提升存储在位置寄存器(例如VLR或SGSN)上的关键数据的安全性的解决方案。所述问题是通过具有独立权利要求1特征的安全方法、具有独立权利要求10特征的计算机程序产品、具有独立权利要求12特征的安全装置以及具有独立权利要求15特征的移动通信网络来解决的。本专利技术的其他特征和细节可以从从属权利要求、说明书和附图中得到。当然,与安全方法相关地探讨的特征和细节也可以按其他方式与结合计算机程序产品、安全装置和/或移动通信网络相关地探讨的特征和细节彼此结合。本专利技术的一个方面涉及用于验证信息检索请求的安全方法,所述信息检索请求请求将数据在移动通信网络中从位置寄存器(LR)发送至发送实体。本专利技术的安全方法包括下列步骤:从所述发送实体接收信息检索请求,从所述信息检索请求中提取至少一个特性码,用于确定所述发送实体和/或移动用户,将所提取的至少一个特性码与认证列表进行比较,基于与所述认证列表的比较结果,允许或禁止在所述信息检索请求中请求的数据的传输。根据本专利技术的一些实施例,本专利技术的安全方法包括下列步骤:从所述发送实体接收信息检索请求,从所述信息检索请求中提取至少两个特性码,用于确定所述发送实体和/或移动用户(MS),将所提取的至少两个特性码与认证列表进行比较,基于与所述认证列表的比较结果,允许或禁止在所述信息检索请求中请求的数据的传输。本专利技术的安全方法例如可以通过软件模块来实现,所述软件模块可位于VLR、MSCS/VLR或者MSC/VLR、SGSN、SGSN/SLR、相应的信令转接点(STP)。本专利技术的安全方法可被理解为用于给发送特定信息检索请求的发送实体授权的验证方法,或一致性检查方法。本专利技术的安全方法开始于从发送实体接收信息检索请求。这种信息检索请求首先包括与被请求检索的数据相关的信息以及其数据被请求的移动用户的信息(即其IMSI)。这种通过信息检索请求被请求的数据例如可以包括移动用户的位置信息、移动用户的使用或移动情况、用户状态信息、其设备的IMEI(国际移动设备识别码)。除了与所请求的数据和移动用户有关的信息之外,与发送实体有关的特性信息是该信息检索请求的一部分。因此,本专利技术的安全方法从所述特性信息中提取至少一个特性码,其至少部分地表征了发送实体和/或移动用户和/或所检索的数据。在下一步骤中,将所提取的至少一个特性码与认证列表进行比较,其尤其可以存储在LR(如VLR和/或SGSN)或相应的STP。与认证列表的比较得到了这样的结果,所述结果赋予该安全方法直接建议,用以允许或禁止由信息检索请求所请求的数据的传输。信息检索请求还包括与被编址的移动用户有关的信息,即其包含信息或至少一个移动用户特性码。在信息检索请求中的这种信息例如可以是国际移动用户识别码(IMSI)或IMSI的一段。IMSI被用于标识移动通信网络的移动用户,其中,IMSI是与所有蜂窝网络关联的唯一标识。IMSI包括一组片段,即特性码的移动用户识别码(MSIN:MobileSubscriberIdentificationNumber)、移动国家代码(MCC:MobileCountryCode)和移动网络码(MNC:MobileNetworkCode)。IMSI(MCC、MNC或MSIN)的特性码的每一个片段可以单独或组合地被提取,并且可被用于与认证列表比较的步骤。该比较步骤可以与用于确定发送实体的至少一个特性码结合进行,例如SCCP主叫方相对认证列表。这意味着:IMSI可以是特性码的至少一个第二片段,其被用于与至少一个特性码(其至少部分地表征发送实体,用于与认证列表相比较)相结合。因此,根据本专利技术的安全方法能够执行一致性检查。除了开始用于准备和传输所请求的数据的工作程序之外,安全方法尤其应当在开始这种工作程序之前执行。因此,发送实体和/或移动用户是针对认本文档来自技高网...
【技术保护点】
用于验证信息检索请求(10)的安全方法,所述信息检索请求请求将数据(20)在移动通信网络(100)中从位置寄存器服务器(LR)传输至发送实体(30),所述安全方法包括下列步骤:从所述发送实体(30)接收信息检索请求(10)的接收步骤,从所述信息检索请求(10)中提取至少一个特性码(12)的提取步骤,用于确定所述发送实体(30)和/或移动用户(MS),将所提取的至少一个特性码(12)与认证列表(14)进行比较的比较步骤,基于与所述认证列表(14)的比较结果,允许或禁止在所述信息检索请求(10)中请求的数据(20)的传输的允许/禁止步骤。
【技术特征摘要】
2013.11.06 EP 13191793.21.用于验证信息检索请求(10)的安全方法,所述信息检索请求请求将数据(20)在移动通信网络(100)中从位置寄存器服务器(LR)传输至发送实体(30),其中,所述发送实体(30)是归属位置寄存器服务器(HLR),所述安全方法包括下列步骤:从所述发送实体(30)接收信息检索请求(10)的接收步骤,从所述信息检索请求(10)中提取至少一个特性码(12)的提取步骤,用于确定所述发送实体(30)和/或移动用户(MS),将所提取的至少一个特性码(12)与认证列表(14)进行比较的比较步骤,基于与所述认证列表(14)的比较结果,允许或禁止在所述信息检索请求(10)中请求的数据(20)的传输的允许/禁止步骤。2.根据权利要求1所述的安全方法,其特征在于,提取至少一个用于确定发送实体(30)的特性码(12)以及提取至少一个用于确定移动用户(MS)的特性码(12),其中,将所提取的所有特性码(12)与认证列表(14)进行比较。3.根据前述权利要求之一所述的安全方法,其特征在于,所述信息检索请求(10)包括提供用户信息请求(PSI),其请求的传输数据(20)呈存储在访问位置寄存器服务器(VLR)中的用户信息(SI)形式。4.根据前述权利要求1至2之一所述的安全方法,其特征在于,在接收信息检索请求(10)之后,对所述信息检索请求(10)进行解码,以提取至少一个特性码(12)。5.根据前述权利要求1至2之一所述的安全方法,其特征在于,所述认证列表(14)包括允许的特性码(12)和/或禁止的特性码(12)。6.根据前述权利要求1至2之一所述的安全方法,其特征在于,所述提取步骤、所述比较步骤和所述允许/禁止步骤是在处理信息检索请求(10)的工作程序开始之前执行的。7.根据前述权利要求1至2之一所述的安全方法,其特征在于,提取至少两个特性码(12),尤其是提取所有可用的特性码(12)。8.根据前述权利要求1至2之一所述的安全方法,其特征在于,在禁止传输所述发送实体(30)所请求的数据(20)的情况下,执行下列其他步骤中的至少一个:向所述发送实体(30)发送禁止消息(40),向归属位置寄存器服务器(HLR)发送警告消息(50),尤其是包括所提取的至少一个特性码(12)。9.根据前述权利要求1至2之一所述的安全方法,其特征在于,在禁止传输所述发送实体(30)所请求的数据(...
【专利技术属性】
技术研发人员:奥利弗·绍德,拉尔斯·内斯特勒,西蒙·斯波托恩,
申请(专利权)人:沃达方控股有限责任公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。