способ аутентификации мобильных устройств, подключенных к фемтосоте, действующей согласно многостанционному доступу с кодовым разделением каналов

Классы МПК:H04W12/06 идентификация
Автор(ы):, ,
Патентообладатель(и):ЛУСЕНТ ТЕКНОЛОДЖИЗ ИНК. (US)
Приоритеты:
подача заявки:
2008-09-24
публикация патента:

В заявке описан способ связи с использованием фемтосоты, поддерживающей связь с защищенной базовой сетью, такой как мультимедийная IP-подсистема (IMS). При осуществлении способа первый защищенный объект в сети IMS принимает от фемтосоты информацию с указанием случайного числа. Также принимают аутентификационный ответ, вычисленный мобильным устройством на основании случайного числа и первого ключа, известного мобильному устройству и неизвестного фемтосоте. Первый защищенный объект дополнительно устанавливает, что случайное число является законным случайным числом, предоставленным фемтосоте сетью IMS. 4 н. и 5 з.п. ф-лы, 5 ил. способ аутентификации мобильных устройств, подключенных к фемтосоте,   действующей согласно многостанционному доступу с кодовым разделением   каналов, патент № 2464729

способ аутентификации мобильных устройств, подключенных к фемтосоте,   действующей согласно многостанционному доступу с кодовым разделением   каналов, патент № 2464729 способ аутентификации мобильных устройств, подключенных к фемтосоте,   действующей согласно многостанционному доступу с кодовым разделением   каналов, патент № 2464729 способ аутентификации мобильных устройств, подключенных к фемтосоте,   действующей согласно многостанционному доступу с кодовым разделением   каналов, патент № 2464729 способ аутентификации мобильных устройств, подключенных к фемтосоте,   действующей согласно многостанционному доступу с кодовым разделением   каналов, патент № 2464729 способ аутентификации мобильных устройств, подключенных к фемтосоте,   действующей согласно многостанционному доступу с кодовым разделением   каналов, патент № 2464729

Формула изобретения

1. Способ связи с использованием фемтосоты, выполненной с возможностью поддерживания связи с защищенной базовой сетью через промежуточную сеть, в котором:

принимают на первый защищенный объект в защищенной базовой сети информацию с указанием случайного числа и аутентификационного ответа, вычисленного мобильным устройством на основании этого случайного числа и первого ключа, известного мобильному устройству и неизвестного фемтосоте, причем фемтосота передает информацию через промежуточную сеть первому защищенному объекту в защищенной базовой сети; и

устанавливают на первом защищенном объекте, что случайное число является законным случайным числом, предоставленным фемтосоте защищенной базовой сетью.

2. Способ по п.1, в котором для установления того, что случайное число является законным случайным числом:

подписываются на предоставление случайных чисел вторым защищенным объектом в защищенной базовой сети и

принимают от второго защищенного объекта информацию с указанием случайного числа.

3. Способ по п.1, в котором у объекта аутентификации запрашивают по меньшей мере один второй ключ, вычисленный на основании информации с указанием случайного числа и аутентификационного ответа, вычисленного мобильным устройством, причем упомянутый по меньшей мере один второй ключ вычисляют на основании случайного числа и первого ключа, известного мобильному устройству и объекту аутентификации и не известного фемтосоте.

4. Способ связи с использованием фемтосоты, выполненной с возможностью поддерживания связи с защищенной базовой сетью через промежуточную сеть, в котором:

предоставляют информацию с указанием случайного числа и аутентификационного ответа, вычисленного мобильным устройством на основании этого случайного числа и первого ключа, известного мобильному устройству и не известного фемтосоте, причем посредством мобильного устройства передают информацию в ответ на глобальный вызов, циркулярно переданный фемтосотой, и фемтосота передает указанную информацию через промежуточную сеть первому защищенному объекту в защищенной базовой сети; и

принимают от первого защищенного объекта по меньшей мере один второй ключ, полученный на основании случайного числа и первого ключа, в ответ на установление первым защищенным объектом того, что случайное число является законным случайным числом, предоставленным фемтосоте защищенной базовой сетью.

5. Способ по п.4, в котором в ответ на циркулярную передачу глобального вызова принимают от мобильного устройства сообщение, содержащее информацию с указанием случайного числа и аутентификационного ответа.

6. Способ по п.4, в котором:

подписываются на предоставление случайных чисел вторым защищенным объектом в защищенной базовой сети и

принимают от второго защищенного объекта информацию с указанием случайного числа.

7. Способ по п.4, в котором устанавливают защищенную связь между фемтосотой и мобильным устройством на основании упомянутого по меньшей мере одного второго ключа.

8. Способ связи с использованием фемтосоты, действующей согласно стандартам многостанционного доступа с кодовым разделением каналов (CDMA) и также настроенной на поддержание связи с мультимедийной IP-подсистемой (IMS) через пормежуточную сеть, в котором:

принимают от фемтосоты через помежуточную сеть на первый защищенный объект в сети IMS информацию с указанием случайного числа и аутентификационного ответа, вычисленного мобильным устройством на основании этого случайного числа и первого ключа, известного мобильному устройству и не известного фемтосоте, и

устанавливают на первом защищенном объекте, что случайное число является законным случайным числом, предоставленным фемтосоте сетью IMS как часть глобального вызова.

9. Способ связи с использованием фемтосоты, действующей согласно стандартам многостанционного доступа с кодовым разделением каналов (CDMA) и также настроенной на поддержание связи с мультимедийной IP-подсистемой (IMS) через промежуточную сеть, в котором:

передают от фемтосоты через промежуточную сеть первому защищенному объекту в сети IMS информацию с указанием случайного числа и аутентификационного ответа, вычисленного мобильным устройством на основании случайного числа и первого ключа, известного мобильному устройству и не известного фемтосоте, причем передают эту информацию посредством мобильного устройства в ответ на глобальный вызов, циркулярно переданный фемтосотой, и

принимают от первого защищенного объекта по меньшей мере один второй ключ, вычисленный на основании случайного числа и первого ключа, в ответ на установление первым защищенным объектом того, что случайное число является законным случайным числом, предоставленным фемтосоте сетью IMS.

Описание изобретения к патенту

Перекрестная ссылка на родственные заявки

Приоритет настоящей заявки основан на предварительной заявке US 60/997579, поданной 4 октября 2007 г., под названием "Method for Femtocell Handset Authentication". Настоящая заявка является родственной заявке US 11/972262, поданной 10 января 2008 г., под названием "Method for Authenticating a Mobile Unit Attached to a Femtocell that Operates According to Code Division Multiple Access". Настоящая заявка также является родственной заявке US 12/019967, поданной 25 января 2008 г., под названием "Network Enforced Access Control for Femtocell". Настоящая заявка также является родственной предшествующей заявке 11/767722, поданной 25 июня 2007 г., под названием "A Method and Apparatus for Provisioning and Authentication/Registration for Femtocell Users on IMS Core Network.

Область техники, к которой относится изобретение

Настоящее изобретение относится к системам связи, более точно, к системам беспроводной связи.

Уровень техники

В обычных системах беспроводной связи используется сеть базовых станций, обеспечивающих возможность беспроводного соединения для одного или нескольких мобильных устройств. В некоторых случаях мобильные устройства могут инициировать беспроводную связь с одной или несколькими базовыми станциями в сете, например, когда пользователь мобильного устройства желает инициировать соединение для передачи речи или данных. В качестве альтернативы сеть может инициировать беспроводное соединение с мобильным устройством. Например, в случае беспроводной связи с обычной иерархической архитектурой сервер передает речь и(или) данные, адресованные целевому мобильному устройству, центральному элементу, такому как контроллер радиосети (КРС). Затем посредством одной или нескольких базовых станций КРС может передать целевому мобильному устройству сообщения системы поискового вызова. В ответ на прием сообщения системы поискового вызова от системы беспроводной связи целевое мобильное устройство может установить беспроводное соединение с одной или несколькими из базовых станций. Функция управления радиоресурсами внутри КРС принимает речь и(или) данные и координирует радиоресурсы и временные ресурсы, используемые набором базовых станций для передачи информации целевому мобильному устройству. Функция управления радиоресурсами способна осуществлять многоуровневое управление с целью распределения и высвобождения ресурсов для циркулярной передачи посредством набора базовых станций.

В обычной системе с иерархической структурой, такой как система CDMA (многостанционного доступа с кодовым разделением каналов), защищенная связь устанавливается на основании секретной информации (например, ключа аутентификации), известной только мобильному устройству и защищенному объекту в сети. Домашний регистр местоположения/центр аутентификации (ДРМ/ЦА) и мобильное устройство могут извлекать совместно используемые секретные данные (СИСД) из ключа аутентификации (КА), например, с использованием алгоритма CAVE (аутентификации и шифрования речи для сотовой связи, от английского - cellular authentication and voice encryption). КА представляет собой 64-битовый основный секретный ключ, известный только мобильному устройству и ДРМ/ЦА. Этот ключ никогда не используется совместно с партнерами по роумингу. КА может использоваться для генерации СИСД, которые представляют собой 128-битовый вторичный ключ, который может быть вычислен с использованием алгоритма CAVE и может использоваться совместно с партнерами по роумингу. Во время аутентификация как ДРМ/ЦА, так и мобильное устройство по отдельности и независимо вычисляют аутентификационный ответ при помощи совместно используемых входных данных, таких как СИСД, электронный порядковый номер устройства (ESN, от английского - electronic serial number), идентификационный номер мобильного устройства (MIN, от английского - Mobile Identity Number) и совместно используемое случайное число (СЧ (RAND)). Если независимо вычисленные результаты совпадают, аутентификация подтверждается, и мобильному устройству разрешается зарегистрироваться в сети.

Для аутентификации мобильных устройств, зарегистрированных в сети, могут использоваться КА или СИСД. Например, базовая станция может периодически генерировать СЧ и осуществлять циркулярную передачу СЧ. Мобильные устройства, принимающие циркулярно передаваемое СЧ, вычисляют выходные данные алгоритма аутентификации (АА (AUTH)) с использованием входных данных, включающих СЧ и КА или СИСД. АА и соответствующее СЧ (или выбранные части СЧ) иногда называют парой. Затем мобильное устройство может передать пару АА/СЧ базовой станция, которая затем по сети пересылает информацию ДРМ/ЦА. ДРМ/ЦА использует алгоритм аутентификации, хранящееся значение КА или СИСД, другие данные, соответствующие каждому мобильному устройству, и СЧ для вычисления расчетного значения АА. Если это значение совпадает со значением, переданным мобильным устройством, мобильное устройство аутентифицируют. Базовая станция часто изменяет значение СЧ, чтобы гарантировать, что значение АА является новым, и уменьшить возможность захвата ранее генерированных результатов АА/СЧ путем отслеживания радиоинтерфейса и их воспроизведения мошенническим мобильным устройством или эмулятором мобильного устройства. Этот метод считается по меньшей мере частично достаточно надежным, поскольку базовые станции обычно являются защищенными устройствами, находящимися под контролем поставщиков услуг беспроводной связи.

Одной из альтернатив обычной иерархической сетевой архитектуры является распределенная архитектура, в которую входит сеть точек доступа, таких как маршрутизаторы базовых станций, которые реализуют функциональные возможности распределенной сети связи. Например, каждый маршрутизатор базовых станций может сочетать функции КРС и(или) узла обслуживания пакетных данных (УОПД) в едином объекте, который управляет радиоканалами между одним или несколькими мобильными устройствами и внешней сетью, такой как Интернет. По сравнению с сетями с иерархической структурой распределенные архитектуры обладают потенциалом снижения стоимости и(или) сложности развертывания сети, а также стоимости и(или) сложности добавления дополнительных точек доступа, например, маршрутизаторов базовых станций, чтобы расширить зону обслуживания существующей сети. В распределенных сетях также могут быть сокращены (по сравнению с сетями с иерархической структурой) задержки, с которыми сталкиваются пользователи, поскольку могут быть сокращены или устранены задержки при организации очереди пакетов в КРС и УОПД сетей с иерархической структурой.

По меньшей мере частично за счет снижения стоимости и сложности развертывания маршрутизатора базовых станций маршрутизаторы базовых станций могут быть развернуты там, где это практически нецелесообразно для обычных базовых станций. Например, маршрутизатор базовых станций может быть развернут в жилом помещении или здании, чтобы обеспечить возможность беспроводного соединения для его жильцов. Маршрутизаторы базовых станций, развернутые в жилом помещении, обычно называют домашними маршрутизаторами базовых станций или фемтосотами, поскольку они рассчитаны на обеспечение возможности беспроводного соединения в пределах значительно меньшей зоны (например, фемтосоты), в которую входит жилое помещение. Тем не менее, функциональные возможности фемтосоты обычно являются абсолютно сходными с функциональными возможностями, реализованными в обычном маршрутизаторе базовых станций, который рассчитан на обеспечение возможности беспроводного соединения в пределах макросоты, которая может иметь зону обслуживания приблизительно в несколько квадратных километров. Одним из важных различий между фемтосотой и обычным маршрутизатором базовых станций является то, что домашние маршрутизаторы базовых станций являются недорогими устройствами типа "подключи и работай", которые могут быть приобретены в готовом виде и легко установлены непрофессионалом.

Обычно фемтосоты не содержат дорогостоящие защитные микросхемы для хранения информации, которая может использоваться, чтобы установить защищенную связь между фемтосотой и мобильным устройством. Кроме того, фемтосоты рассчитаны на развертывание в незащищенных местоположениях, таких как место проживания или работы. Следовательно, фемтосоты не считаются заслуживающими доверия местоположениями для хранения секретных ключей или другой информации, которая может использоваться для аутентификации мобильных устройств. Так, если фемтосоты настроены на генерацию случайных чисел СЧ, используемых для аутентификации мобильных устройств, они могут быть модифицированы и мошеннически представлять мобильное устройство. Например, незаконная фемтосота может перехватить передачу достоверной пары АА/СЧ между законным мобильным устройством и законной базовой станцией. Затем с помощью перехваченной пары АА/СЧ незаконная фемтосота может эмулировать законное мобильное устройство. Поскольку фемтосота отвечает за генерацию значений СЧ, сеть не способна определить, соответствует ли пара АА/СЧ, переданная незаконной фемтосотой, новому значению СЧ.

Раскрытие изобретения

В основу настоящего изобретения положена задача устранения последствий одной или нескольких из упомянутых выше проблем. Далее в упрощенной форме кратко изложена сущность изобретения с целью обеспечения общего понимания некоторых особенностей изобретения. Это краткое изложение не является подробным описанием изобретения, а является представлением некоторых идей изобретения в общей форме в качестве вступления к более подробному описанию, которое следует далее.

В одном из вариантов осуществления настоящего изобретения предложен способ обеспечения связи с использованием фемтосоты, поддерживающей связь с защищенной базовой сетью, такой как мультимедийная IP-подсистема (IMS). При осуществлении способа первый защищенный объект в сети IMS принимает от фемтосоты информацию, содержащую случайное число. При осуществлении способа также принимают аутентификационный ответ, вычисленный мобильным устройством на основании случайного числа и первого ключа, известного мобильному устройству и неизвестного фемтосоте. При осуществлении способа первый защищенный объект дополнительно определяет, является ли случайное число законным случайным числом, предоставленным фемтосоте сетью IMS.

В еще одном из вариантов осуществления настоящего изобретения также предложен способ, в котором используется фемтосота, поддерживающая связь с защищенной базовой сетью, такой как мультимедийная IP-подсистема (IMS). При осуществлении способа первый защищенный объект в сети IMS принимает от фемтосоты информацию, содержащую случайное число. При осуществлении способа также передают информации, содержащую аутентификационный ответ, вычисленный мобильным устройством на основании случайного числа и первого ключа, известного мобильному устройству и неизвестного фемтосоте. В ответ на глобальный вызов, циркулярно переданный фемтосотой, мобильное устройство передает информацию. При осуществлении способа от первого защищенного объекта дополнительно принимают по меньшей мере один второй ключ, вычисленный на основании случайного числа и первого ключа. Второй ключ принимают после того, как первый защищенный объект определяет, что случайное число является законным случайным числом, предоставленным фемтосоте сетью IMS.

Краткое описание чертежей

С целью обеспечения понимания настоящего изобретения далее приведено его описание со ссылкой на приложенные чертежи, на которых одинаковые элементы обозначены одинаковыми позициями и на которых представлено:

на фиг.1 - концептуальная иллюстрация одного из примеров осуществления системы беспроводной связи согласно настоящему изобретению,

на фиг.2 - концептуальная иллюстрация одного из примеров осуществления способа использования глобального вызова для аутентификации мобильного устройства, которое поддерживает связь с фемтосотой, согласно настоящему изобретению,

на фиг.3 - концептуальная иллюстрация первого примера осуществления способа предоставления случайных чисел фемтосоте согласно настоящему изобретению,

на фиг.4 - концептуальная иллюстрация второго примера осуществления способа предоставления случайных чисел фемтосоте согласно настоящему изобретению и

на фиг.5 - концептуальная иллюстрация третьего примера осуществления способа предоставления случайных чисел фемтосоте согласно настоящему изобретению.

Осуществление изобретения

Далее описаны наглядные примеры вариантов осуществления изобретения. Для простоты описаны не все признаки практической реализации. Разумеется, подразумевается, что при разработке любого такого варианта практического осуществления настоящего изобретения для достижения целей разработки необходимо принять множество зависящих от реализации решений, таких как соблюдение системных, деловых, государственных и иных ограничений, которые могут меняться в зависимости от реализации. Кроме того, подразумевается, что такая разработка может являться сложной и трудоемкой, но, тем не менее, типовой задачей для специалистов в данной области техники, ознакомившихся с настоящим описанием.

Далее настоящее изобретение описано со ссылкой на приложенные чертежи. Различные структуры, системы и устройства схематически представлены на чертежах лишь с целью пояснения и таким образом, чтобы не перегрузить описание настоящего изобретения подробностями, которые хорошо известны специалистам в данной области техники. Приложенные чертежи используются для описания и пояснения наглядных примеров настоящего изобретения. Используемые в описании слова и обороты следует понимать и интерпретировать в смысле, в котором эти слова и обороты понимают специалисты в соответствующей области техники. Подразумевается, что используемые в настоящем описании термины или обороты не имеют особого толкования, т.е. толкования, отличающегося от обычного и привычного значения в понимании специалистов в данной области техники. Если какой-либо термин или фраза имеет особый смысл, т.е. смысл, помимо того, в котором их понимают специалисты в данной области техники, такое особое толкование в прямой форме приведено в описании в виде определения, дающего прямое и недвусмысленное толкование такого термина или фразы.

На фиг.1 концептуально проиллюстрирован один из примеров осуществления системы 100 беспроводной связи согласно настоящему изобретению. В проиллюстрированном варианте осуществления в систему 100 беспроводной связи входит одна или несколько фемтосот 105 для предоставления возможности беспроводного соединения. Фемтосоты 105 могут предоставлять возможность беспроводного соединения в соответствии со стандартами и(или) протоколами, включающими без ограничения стандарты и(или) протоколы многостанционного доступа с кодовым разделением каналов (CDMA), стандарты и(или) протоколы универсальной системы мобильной связи (UMTS), стандарты и(или) протоколы глобальной системы мобильной связи (GSM), стандарты и(или) протоколы общемировой совместимости широкополосного беспроводного доступа (WiMAX), стандарты и(или) протоколы IEEE и т.п. Кроме того, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что настоящее изобретение не ограничено использованием фемтосот 105 для предоставления возможности беспроводного соединения. В альтернативных вариантах осуществления для предоставления возможности беспроводного соединения в системе 100 беспроводной связи могут использоваться такие устройства, как базовые станции, маршрутизаторы базовых станций, точки доступа, сети доступа и т.п.

Фемтосота 105 рассчитана на обслуживание беспроводной связью зоны, приблизительно охватывающей здание, в котором находится одно или несколько мобильных устройств 110, которым предоставлен доступ к фемтосоте 105. Мобильные устройства 110 могут быть зарегистрированы в фемтосоте 105 с использованием разнообразных методов, включая ввод пользователем посредством веб-страницы международного идентификационного номера оборудования подвижного абонента (IMSI, от английского - International Mobile Subscriber Identity) для зарегистрированных мобильных устройств 110, использование протокола с квитированием установления связи между мобильным устройством 110 и фемтосотой 105 и т.п. Затем фемтосоте 105 предоставляется список зарегистрированных мобильных устройств 110. В одном из вариантов осуществления фемтосота 105 имеет базу данных, содержащую значения IMSI для зарегистрированных мобильных устройств 110. В проиллюстрированном варианте осуществления мобильное устройство 110 представляет собой беспроводное мобильное устройство 110 на базе многостанционного доступа с кодовым разделением каналов (CDMA). Вместе с тем, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что настоящее изобретение не ограничено мобильными устройствами 110 на базе CDMA.

Фемтосота 105 предоставляет доступ к системе 100 беспроводной связи посредством защищенной базовой сети 115. В проиллюстрированном варианте осуществления защищенная базовая сеть представляет собой мультимедийную IP-подсистему (IMS) 115 (обозначенную пунктирным прямоугольником). Вместе с тем, также могут использоваться защищенные базовые сети 115 других типов. Например, фемтосоты 105 могут быть реализованы с использованием базовых сетевых технологий других типов, как, например, базовые сетевые технологии на основе IP, такие как протокол инициации сеанса (SIP). В различных альтернативных вариантах осуществления фемтосота 105 может быть связана с сетью IMS 115 разнообразными функциональными элементами. Например, как показано на фиг.1, фемтосота 105 связана с сетью 120 цифровых абонентских линий (DSL) или кабельных модемов, которая связана со шлюзом 125 фемтосети (ШФС или FNG, от английского - femto network gateway). Co шлюзом 125 фемтосети может быть связан сервер 130 администрирования и управление операциями (ОА & М, от английского - Operations Administration and Maintenance), который может использоваться для установления связи между фемтосотой 105 и IP-сетью 135 посредством шлюза 125 фемтосети. Вместе с тем, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что этот пример осуществления не имеет целью ограничить настоящее изобретение данной конкретной сетевой архитектуры.

Сеть IMS 115 представляет собой сеть на основе протокола инициации сеанса (SIP), которая поддерживает связь через Интернет посредством телефонных трубок множества типов. Например, эти телефонные трубки (такие как мобильное устройство 110 в сочетании с фемтосотой 105) могут использовать IP-телефонию (VoIP) и другие способы для передачи данных и речи в прикладных системах реального времени по IP-сети 135. В сеть IMS 115 входит домашний регистр 140 местоположения (ДРМ), представляющий собой главную базу данных пользователя, которая поддерживает объекты сети IMS, которые обрабатывают вызовы. ДРМ 140 может содержать касающиеся абонента данные (профили пользователя), осуществлять аутентификацию и авторизацию пользователя и способен предоставлять информацию о физическом местоположении пользователя. В сеть IMS 115 также может входить один или несколько объектов 145 функции управления соединениями (ФУС или CSCF, от английского - Call Session Control Function), которые используются для обработки служебных пакетов по протоколу SIP в сети IMS 115. Хотя на фиг.1 объекты 145 ФУС показаны как единственный функциональный блок, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что объекты 145 ФУС могут включать множество объектов, таких как обслуживающая ФУС, посредническая ФУС, опрашивающая ФУС и т.п., которые могут быть реализованы в одном или нескольких других функциональных и(или) физических объектах. Для координирования и управления функциями, связанными с мобильностью мобильных устройств 110, используется сервер 150 приложений управления мобильностью (СПУМ или MMAS, от английского - Mobility Management Application Server) 150.

Сеть IMS 115 также поддерживает предоставление случайных чисел фемтосоте 105 и другим базовым станциям или фемтосотам в системе 100 беспроводной связи. Эти случайные числа могут использоваться для глобальных вызовов мобильных устройств. Например, глобальный вызов может содержать случайное число, непрерывно передаваемое по служебному каналу. При каждом доступе в систему мобильные устройства должны вычислять ответ с использованием секретных данных (СИСД или АК) и передавать системе ответ и по меньшей мере часть случайного числа для верификации. Глобальные вызовы отличаются от индивидуальных вызовов, которые являются одноразовыми вызовами, адресованными мобильному устройству, и формируются на основании случайного числа и ожидаемого ответа, генерированного для индивидуального вызова. В проиллюстрированном варианте осуществления в сеть IMS 115 входит сервер 155 случайных чисел (СПУМ-СЧ), который генерирует случайные числа и предоставляет их фемтосоте 105. Например, сервер 155 случайных чисел приблизительно каждые 10 минут может периодически генерировать случайные числа и затем предоставлять их фемтосоте 105 для использования при аутентификации мобильных устройств 110. В качестве альтернативы сервер 155 случайных чисел может генерировать начальное число и предоставлять его фемтосоте 105, и затем СПУМ 150 может использовать начальное число для периодической генерации случайных чисел. Например, начальное число может генерироваться один в раз в сутки, и затем фемтосота 105 может использовать его (вместе с другой информацией в фемтосоте 105 и также известной СПУМ 150) для генерации новых случайных чисел каждые 10 минут. Каждая фемтосота 105 может подписаться на услугу предоставления случайных чисел сервером 155 случайных чисел, чтобы получать генерированные случайные числа. СПУМ 150 также может подписываться на услугу предоставления случайных чисел, чтобы получать уведомление о каждом изменении случайного числа.

Фемтосота 105 использует предоставленное случайное число, чтобы аутентифицировать мобильное устройство 110 и посредством радиоинтерфейса установить канал защищенной связи с мобильным устройством 110. Тем не менее, фемтосота 105 не может являться заслуживающим доверие элементом системы 100 беспроводной связи. Например, фемтосота 105 не может быть физически защищена, поскольку она может находиться по месту проживания или работы пользователя. Следовательно, поставщик услуг не способен гарантировать, что доступ к фемтосоте 105 не может быть осуществлен неправомочным пользователем, который может попытаться изменить или взломать фемтосоту 105. Кроме того, фемтосота 105 может быть подвержена хакерству в сети. Например, пользователь фемтосоты 105 не может обеспечить достаточную защиту с помощью межсетевого экрана, антивирусную защиту и т.п., что может позволить неправомочным пользователям взломать фемтосоту 105. Поскольку фемтосота 105 не является заслуживающим доверие элементом системы 100, фемтосоты 105 могут использоваться для мошеннического представления мобильного устройства 110. Соответственно, сеть IMS 115 может периодически удостоверяться в том, что данные аутентификации и случайное число, предоставленные фемтосотой 105, сформированы мобильным устройством 110, имеющим доступ к достоверному случайному числу, предоставленному СПУМ-СЧ 155. После проверки достоверности результатов аутентификации и случайного числа сеть IMS 115 может предоставить фемтосоте 105 услуги обработки вызовов и(или) защищенную информацию, такую как один или нескольку ключей, генерированных в домашнем регистре местоположения/центре аутентификации (ДРМ/ЦА) 160.

Объекты в сети IMS 115 (и вне этой сети), которые используются для верификации СЧ, являются заслуживающими доверия или защищенными объектами. Например, СПУМ 150, СПУМ-СЧ 155 и ДРМ/ЦА 160 могут являться физически защищенными, поскольку они расположены в здании, которое находится под контролем поставщика услуг. Следовательно, поставщик услуг может быть способен гарантировать невозможность осуществления доступа к СПУМ 150, СПУМ-СЧ 155 и(или) ДРМ/ЦА 160 неправомочным пользователем, который может попытаться изменить или взломать фемтосоту 105. Кроме того, СПУМ 150, СПУМ-СЧ 155 и(или) ДРМ/ЦА 160 могут быть защищены от хакерства путем защиты с помощью межсетевого экрана, антивирусной защиты и т.п. для предотвращения несанкционированного доступа к СПУМ 150, СПУМ-СЧ 155 и ДРМ/ЦА 160. В проиллюстрированном варианте осуществления шлюз 125 фемтосети (ШФС) также является заслуживающим доверие и(или) защищенным объектом.

На фиг.2 концептуально проиллюстрирован один из примеров осуществления способа 200 использования глобального вызов для аутентификации мобильного устройства, которое поддерживает связь с фемтосотой. В проиллюстрированном варианте осуществления SIP-агент пользователя в фемтосоте (FEMTO) регистрируется в сети IMS путем установления связи с соответствующими объектами ФУС, как это показано двунаправленной стрелкой 205. Методы регистрации в сети IMS известны из уровня техники и для ясности не будут рассматриваться далее. Фемтосота также регистрируется (как это показано стрелкой 210) в сервере СЧ с тем, чтобы принимать случайные числа, которые могут использоваться в глобальных вызовах, передаваемых мобильным устройствам (МУ) в системе беспроводной связи. Например, фемтосота может быть предварительно настроена на подписку (на шаге 210) на услугу предоставления случайных чисел при загрузке и(или) включении питания. После того как фемтосота зарегистрировалась (на шаге 210) в сервере случайных чисел, сервер случайных чисел может периодически предоставлять фемтосоте случайные числа (или информацию, которая может использоваться для генерации случайных чисел), как это показано стрелкой 215.

Сервер приложений управления мобильностью (СПУМ) в сети IMS также может подписываться (на шаге 220) на услугу предоставления случайных чисел с тем, чтобы получать уведомления (на шаге 225) об изменении случайных чисел, предоставляемых фемтосоте. В некоторых вариантах осуществления в систему беспроводной связи может входить множество объектов СПУМ, которые действуют как узлы верификации случайных чисел. В этих вариантах осуществления множество объектов СПУМ также могут подписываться на услугу предоставления случайных чисел, чтобы быть информированными о законных случайных числах, которые могут использоваться в целях алгоритма аутентификации. На этом этапе процесса (обозначенном пунктирной линией 230) сервер случайных чисел периодически предоставляет (позиции 215, 225) информацию о случайных числах как фемтосоте, так и серверу(-ам) приложений управления мобильностью. Интервал времени для предоставления случайных чисел может быть выбран исходя из конкурирующих потребностей в "свежих" случайных числах и низких непроизводительных издержках в сети.

Фемтосота периодически циркулярно передает (на шаге 235) мобильным устройствам (МУ) в системе беспроводной связи глобальный запрос аутентификации. В проиллюстрированном варианте осуществления глобальный запрос аутентификации циркулярно передается (на шаге 235) с использованием служебного сообщения, которое содержит текущее значение случайного числа, которое было предоставлено фемтосоте. Когда мобильное устройство пытается осуществить доступ в сеть, мобильное устройство передает (на шаге 240) фемтосоте аутентификационное сообщение. В проиллюстрированном варианте осуществления мобильное устройство передает (на шаге 240) результаты алгоритма аутентификации, такого как алгоритм CAVE, который выполняется с использованием предоставленного СЧ в качестве одного из входных параметров. Мобильное устройство также может передать (на шаге 240) информацию, содержащую случайное число, которое использовалось для получения выходных данных алгоритма аутентификации (ВАА). Сочетание выходных данных алгоритма аутентификации и случайного числа может именоваться парой ВАА/СЧ. Затем фемтосота может передать (на шаге 245) содержащее пару ВАА/СЧ сообщение ФУС, которая может переслать (на шаге 250) сообщение СПУМ. Например, фемтосота может преобразовать инициирующее сообщение в сообщение INVITE по протоколу SIP, в SIP-заголовке которого содержатся параметры аутентификации. Затем сообщение INVITE по протоколу SIP может быть передано (на шаге 245, 250) СПУМ.

СПУМ проверяет (на шаге 255) значение СЧ, указанное в параметрах аутентификации, принятых от фемтосоты. В одном из вариантов осуществления СПУМ действует как функция межсетевого взаимодействия между сетью IMS и ДРМ/ЦА. Так, СПУМ может преобразовать параметры аутентификация, принятые от фемтосоты, в запрос аутентификация в формате ANSI-41 (Американский национальный институт стандартов) по протоколу MAP (протокол автоматизации производства), который передается (на шаге 260) ДРМ/ЦА, который в ответ передает (на шаге 265) информацию, указывающую, была ли успешной или неудачной процедура аутентификации. Методы, с помощью которых определяют, была ли успешной или неудачной процедура аутентификации, осуществляемая в ДРМ/ЦА на основании запроса аутентификация в формате ANSI-41 по протоколу MAP, хорошо известны из уровня техники и для ясности не будут рассматриваться далее. Затем СПУМ может использовать ответ, поступивший от ДРМ/ЦА, чтобы установить, была ли успешной или неудачной процедура аутентификации. Если аутентификация является успешной, установление соединение может быть продолжено. В проиллюстрированном варианте осуществления СПУМ пересылает ответ с дальнего конца и включает в него ключи защиты речи, предоставленные ДРМ/ЦА в процессе процедуры аутентификации. Например, СПУМ может включать ключи защиты в сообщение по протоколу SIP, такое как сообщение 18х или сообщение 200 OK, и может передать (на шаге 270, 275) это сообщение фемтосоте в ответ на сообщение INVITE по протоколу SIP. Затем фемтосота может использовать содержащуюся в ключе защиты информацию для установления (на шаге 280) защищенного и(или) выделенного канала между мобильным устройством и фемтосотой.

На фиг.3 концептуально проиллюстрирован первый пример осуществления способа 300 предоставления случайных чисел фемтосоте. В проиллюстрированном варианте осуществления фемтосота (FEMTO) уже зарегистрирована в сети IMS. Фемтосота (или агент пользователя в фемтосоте) настроена на автоматическую подписку на услуги сетевого сервера случайных чисел. Так, в проиллюстрированном варианте осуществления посреднической функции управления соединениями (ПФУС) передают (на шаге 305) сообщение о подписке. Сообщение о подписке содержит запрос подписки на услугу предоставления информацию случайных чисел сервера СЧ. Например, сообщением о подписке может являться сообщение SUBSCRIBE согласно протоколу SIP, описанному в документе RFC 3265 (запрос для комментариев). ПФУС пересылает (на шаге 310) эту информацию обслуживающей ФУС (О-ФУС), которая в свою очередь пересылает (на шаге 315) сообщение серверу случайных чисел.

Затем сервер случайных чисел может передать (на шаге 320) ответное сообщение об успешной подписке фемтосота на услугу предоставления случайных чисел. В проиллюстрированном варианте осуществления ответным сообщением, переданным (на шаге 320) сервером случайных чисел, является ответ 200 ОК, в котором указано, что сообщение SUBSCRIBE было принято. Вместе с тем, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что для уведомления об успешном приеме сообщения о подписке в качестве альтернативы могут использоваться другие сообщения. Ответ может быть передан (на шаге 320) О-ФУС, которая может передать (на шаге 325) его ПФУС. Затем ответ может быть передан (на шаге 330) фемтосоте, чтобы уведомить ее об успешной подписке на услугу предоставления случайных чисел сервера случайных чисел.

Сервер случайных чисел может передать фемтосоте (на шаге 335) уведомление, содержащее текущее значение случайного числа, которое следует использовать для глобальных вызовов. В проиллюстрированном варианте осуществления сервер случайных чисел передает (на шаге 335) сообщение NOTIFY, которое является автоматическим ответом на сообщение SUBSCRIBE и содержит текущее значение СЧ. Сообщение NOTIFY может быть передано (на шаге 335) О-ФУС, которая может передать (на шаге 340) его ПФУС. Затем сообщение может быть передано (на шаге 345) фемтосоте, чтобы уведомить ее о текущем значении случайного числа, которое должно использоваться для глобальных вызовов. После приема сообщения NOTIFY фемтосота может передать подтверждение приема сообщения NOTIFY. В проиллюстрированном варианте осуществления фемтосота передает (на шаге 350) сообщение 200 ОК, чтобы подтвердить прием сообщения NOTIFY. Фемтосота может передать (на шаге 350) сообщение 200 ОК ПФУС, которая может переслать (на шаге 355) его О-ФУС для последующей передачи (на шаге 360) серверу случайных чисел.

Сервер случайных чисел периодически генерирует новые случайные числа и передает (на шаге 365) каждой подписанной на услугу фемтосоте информацию с указанием новых случайных чисел. В проиллюстрированном варианте осуществления сервер случайных чисел передает (на шаге 365) каждой фемтосоте сообщение NOTIFY, содержащее новое случайное число. Сервер случайных чисел также передает (на шаге 370) одному или нескольким серверам СПУМ, которые также подписались на услугу предоставления случайных чисел, информацию с указанием текущего значения случайного числа.

На фиг.4 концептуально проиллюстрирован второй пример осуществления способа 400 предоставления случайных чисел фемтосоте. Специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что второй пример осуществления не должен рассматриваться независимо от других описанных в изобретении методов, и особенности второго примера осуществления могут быть включены в другие описанные в изобретении способы и(или) алгоритмы. В проиллюстрированном варианте осуществления в систему беспроводной связи входит шлюз фемтосети (ШФС), который обеспечивает защищенный шлюз для подключений находящихся в домах пользователей фемтосот через общедоступную сеть Интернет. Шлюз фемтосети способен подписываться на услугу уведомления об обновлениях базы данных, предоставляемую сервером СЧ. Например, шлюз фемтосети может передать запрос подписки на услугу предоставления случайных чисел с использованием запроса уведомления о подписке согласно протоколу Diameter-sh, описанному в 3GPP2 Х.Р0013.11. Шлюз фемтосети может передать (на шаге 405) этот запрос серверу случайных чисел, который может в ответ передавать сообщение, содержащее текущее значение случайного числа, используемое для глобальных вызовов. Например, сервер случайных чисел может передать (на шаге 410) ответ на уведомление о подписке (содержащий случайное число) согласно протоколу Diameter-sh.

Фемтосота (FEMTO) может быть настроена на автоматическое установление (на шаге 415) защищенного канала со шлюзом фемтосети при включении питания. В проиллюстрированном варианте осуществления канал устанавливается согласно протоколу IPSec. Вместе с тем, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что для установления (на шаге 415) защищенного канала между фемтосотой и шлюзом фемтосети могут использоваться другие протоколы. В ответ на установление защищенного канала шлюз фемтосети может начать доставку (на шаге 420) фемтосоте текущего значения случайного числа. По мере включения и запуска дополнительных фемтосот (FEMTO-n) они также могут устанавливать (на шаге 425) защищенные каналы со шлюзом фемтосети, который затем может доставлять (на шаге 430) каждой фемтосоте (FEMTO, FEMTO-n) текущее значение случайного числа для глобальных вызовов.

Услуга предоставления случайных чисел обеспечивает периодическое обновление и(или) повторную генерацию случайного числа для глобальных вызовов. Затем шлюз фемтосети (и любые другие объекты, подписавшиеся на услугу предоставления случайных чисел) могут принимать информацию с указанием нового случайного числа. В проиллюстрированном варианте осуществления сервер случайных чисел передает (на шаге 435) шлюзу фемтосети запрос уведомления о доставке, содержащий информацию с указанием нового случайного числа. Затем шлюз фемтосети может передать (на шаге 440) ответ на уведомление о доставке с указанием успешного приема нового случайного числа. После этого шлюз фемтосети может доставить (на шаге 445, 450) фемтосотам новое случайное число, например, путем циркулярной передачи информации с указанием нового случайного числа.

На фиг.5 концептуально проиллюстрирован третий пример осуществления способа 500 предоставления случайных чисел фемтосоте. Специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что третий пример осуществления не должен рассматриваться независимо от других описанных в изобретении методов, и особенности третьего примера осуществления могут быть включены в другие описанные в изобретении способы и(или) алгоритмы. В проиллюстрированном варианте осуществления в систему беспроводной связи входит шлюз фемтосети (ШФС), который обеспечивает защищенный шлюз для подключений находящихся в домах пользователей фемтосот через общедоступную сеть Интернет. Шлюз фемтосети способен подписываться на услугу уведомления об обновлениях базы данных, предоставляемую сервером СЧ. Тем не менее, в отличие от проиллюстрированного на фиг.4 второго примера осуществления способа 400 согласно третьему примеру осуществления в шлюз фемтосети входит агент пользователя IMS, который способен осуществлять аутентификацию и регистрацию в сети IMS при включении шлюза фемтосети.

Агент пользователя шлюза фемтосети настроен на передачу запроса подписки на услугу предоставления случайных чисел с использованием протокола SIP, описанного в RFC 3265. Например, агент пользователя шлюза фемтосети может передать (на шаге 505) сообщение SUBSCRIBE серверу СЧ, который может подтверждать сообщения SUBSCRIBE путем передачи (на шаге 510) подтверждения, такого как сообщение 200 ОК. Затем сервер случайных чисел может передать (на шаге 515) сообщение, содержащее информацию с указанием текущего значения случайного числа. Например, сервер случайных чисел может передать (на шаге 515) сообщение NOTIFY, которое содержит текущее значение случайного числа, используемое для глобальных вызовов. Агент пользователя шлюза фемтосети способен подтверждать прием сообщения NOTIFY путем передачи (на шаге 520) подтверждения, такого как сообщение 200 ОК.

Фемтосота (FEMTO) может быть настроена на автоматическое установление (на шаге 525) защищенного канала со шлюзом фемтосети при включении питания. В проиллюстрированном варианте осуществления канал устанавливается согласно протоколу IPSec. Вместе с тем, специалистам в данной области техники, ознакомившимся с настоящим описанием, следует учесть, что для установления (на шаге 525) защищенного канала между фемтосотой и шлюзом фемтосети могут использоваться другие протоколы. В ответ на установление защищенного канала шлюз фемтосети может начать доставку (на шаге 530) фемтосоте текущего значения случайного числа. Например, шлюз фемтосети может доставлять (на шаге 530) сообщение по протоколу SIP, которое является сообщением стандартного типа по протоколу SIP, обычно используемым для диалогового обмена сообщениями. Фемтосота способна подтверждать прием доставленной информации путем передачи (на шаге 535) подтверждения, такого как сообщение 200 ОК. По мере включения и запуска дополнительных фемтосот (FEMTO-n) они также могут устанавливать (на шаге 540) защищенные каналы со шлюзом фемтосети, который затем может доставлять (на шаге 545) каждой фемтосоте (FEMTO-n) текущее значение случайного числа для глобальных вызовов. Фемтосота(-ы) способна подтверждать прием доставленной информации путем передачи (на шаге 550) подтверждения, такого как сообщение 200 ОК.

Услуга предоставления случайных чисел обеспечивает периодическое обновление и(или) повторную генерацию случайного числа для глобальных вызовов. Затем шлюз фемтосети (и любые другие объекты, подписавшиеся на услугу предоставления случайных чисел) могут принимать информацию с указанием нового случайного числа. В проиллюстрированном варианте осуществления сервер случайных чисел передает (на шаге 555) шлюзу фемтосети сообщение NOTIFY, содержащее информацию с указанием нового случайного числа. Затем шлюз фемтосети может передать (на шаге 560) ответное сообщение 200 ОК с указанием успешного приема нового случайного числа. После этого шлюз фемтосети может доставить (на шаге 565, 570) фемтосотам новое случайное число, например, путем передачи одного или нескольких сообщений по протоколу SIP или другим протоколам передачи данных, содержащее информацию с указанием нового случайного числа.

Некоторые элементы настоящего изобретения и соответствующее подробное описание представлены в терминах, относящихся к программному обеспечению или алгоритмам и символическим записям операций с битами данных в компьютерной памяти. Это описание и записи, которые используют специалисты в данной области для эффективного доведения сущности своей работы до сведения других специалистов в данной области техники.

Подразумевается, что термин "алгоритм" в том смысле, в котором он используется в настоящем описании, и в общепринятом смысле означает самосогласованную последовательность шагов, ведущих к достижению желаемого результата. Шагами являются шаги, требующие физических манипуляций физическими величинами. Обычно, хотя и необязательно эти величины выражены в виде оптических, электрических или магнитных сигналов, допускающих хранение, передачу, объединение, сравнение и иные манипуляции. Иногда, в основном, исходя из обычного использования, эти сигналы удобно называть битами, величинами, элементами, символами, знаками, членами, числами и т.п.

Вместе с тем, следует иметь в виду, что все эти и подобные термины должны быть связаны с соответствующими физическими величинами и являются лишь удобными обозначениями, применяемыми к этим величинам. Если только конкретно не указано или из описания не явствует иное, такие термины, как "обработка" или "вычисление", или "расчет", или "определение", или "отображение" и т.п. относятся к работе и процессам, выполняемым посредством компьютерной системы или аналогичных электронных вычислительных устройств, которые осуществляют манипулирование и преобразование данных, представленных в виде физических, электронных величин в регистрах и запоминающих устройствах компьютерной системы, в другие данные, которые аналогичным образом представлены в виде физических величин в запоминающих устройствах или в регистрах компьютерной системы или в иных таких устройствах для хранения, передачи или отображения информации.

Также следует отметить, что программно реализованные особенности изобретения обычно закодированы в запоминающем устройстве какого-либо рода для хранения программ или реализованы в передающей среде какого-либо типа. Запоминающим устройством для хранения программ может являться магнитное (например, накопитель на гибких дисках или накопитель на жестких дисках) или оптическое (например, постоянное запоминающее устройство на компакт-диске или ПЗУ на компакт-диске) устройство, которое может быть доступным только для чтения или с произвольным доступом. Аналогичным образом, передающей средой могут являться витые пары, коаксиальный кабель, оптическое волокно или какая-либо иная применимая передающая среда, известная из уровня техники. Изобретение не ограничено этими особенностями какой-либо заданной реализации.

Описанные частные варианты осуществления являются лишь пояснительными, поскольку изобретение может быть усовершенствовано и реализовано различными, но эквивалентными способами, очевидными для специалистов в данной области техники, ознакомившимися с изложенными в описании идеями. Кроме того, подробности описанной структуры или замысла не ограничены чем-либо помимо следующей далее формулы изобретения. Таким образом, очевидно, что описанные частные варианты осуществления могут быть изменены или усовершенствованы, и все такие изменения считаются входящими в пределы объема и сущности изобретения. Соответственно, испрашивается охрана в объеме следующей далее формулы изобретения.

Класс H04W12/06 идентификация

управление аутентификацией пользователя -  патент 2524868 (10.08.2014)
методики обеспечения и управления цифровым телефонным аппаратом для аутентификации с сетью -  патент 2518441 (10.06.2014)
система отслеживания мобильного тега, способ и устройство представления информации -  патент 2516232 (20.05.2014)
способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи -  патент 2515809 (20.05.2014)
аутентификация у поставщика идентификационной информации -  патент 2509446 (10.03.2014)
способ и устройство для уменьшения служебных данных для проверки целостности данных в беспроводной системе связи -  патент 2509445 (10.03.2014)
способ и сеть для синхронизации служебного ключа мобильного мультимедийного вещания и региональной системы мобильного условного доступа -  патент 2507711 (20.02.2014)
архитектура приложения мобильных платежей -  патент 2505857 (27.01.2014)
способ и система для аутентификации порядковой взаимосвязи и система мобильного мультимедийного вещания с условным доступом -  патент 2504116 (10.01.2014)
способ аутентификации пользовательского терминала в сервере интерфейса, а также сервер интерфейса и пользовательский терминал для его осуществления -  патент 2491771 (27.08.2013)
Наверх