Результат интеллектуальной деятельности: СПОСОБ И СИСТЕМА ПОВТОРНОЙ АУТЕНТИФИКАЦИИ В СИСТЕМЕ БАЗОВОЙ СЕТИ IP-МУЛЬТИМЕДИА

Область техники, к которой относится изобретение

Настоящее изобретение относится к системам связи и, в частности, но не исключительно, к системе связи, в которой пользователь подлежит регистрации и/или аутентификации системой.

Уровень техники

Иллюстративная сеть IP-связи описана в Выпуске 5 спецификаций Проекта сотрудничества по третьему поколению (3GPP). Различные соответствующие аспекты сети представлены в других технических спецификациях (доступных на веб-сайте 3gpp.org).

Техническая спецификация 3GPP 3G TS 24.229: "SIP Multimedia Call Control Protocol based on SIP and SDP" (TS 24.229 v2.0.0 (2002-02)), полностью включенная в настоящее описание посредством ссылки, посвящена протоколу управления вызовом между мобильным устройством (т.е. пользовательским оборудованием (ПО), абонентом и т.д.) и различными сетевыми элементами, например "обслуживающей функцией управления состоянием вызова" (S-CSCF), "посреднической функцией управления состоянием вызова" (P-CSCF) и "опрашивающей функцией управления состоянием вызова" (I-CSCF). Глава 5.4.1 TS 24.229 посвящена регистрации и аутентификации ПО с помощью сетевого элемента, например S-CSCF, и указывает, что при неправильном ответе аутентификации со стороны ПО в ходе регистрации сеть либо (1) пытается дополнительно оспорить аутентификацию, либо (2) отменяет регистрацию пользователя и прекращает любые действующие сеансы для всех общих пользовательских идентификаторов, связанных с аутентифицируемым личным пользовательским идентификатором, и высвобождают ресурсы, выделенные этим сеансам. В TS 24.229 дополнительно указано, что в случае неверного ответа аутентификации со стороны ПО для трех последовательных попыток S-CSCF отменяет регистрацию пользователя и прекращает любые действующие сеансы для всех общих пользовательских идентификаторов, связанных с аутентифицируемым личным пользовательским идентификатором, и высвобождают ресурсы, выделенные этим сеансам.

Проблема с этой процедурой состоит в том, что, если "личный идентификатор IP-мультимедиа" (IMPI) пользователя становится известен другому лицу, то другое лицо (ложный пользователь) может направлять в сеть ложные запросы регистрации, содержащие IMPI пользователя. Когда сеть отправляет оспаривание аутентификации, ложный пользователь не генерирует правильные ответы аутентификации, поскольку ложный пользователь не имеет необходимой защиты (т.е. карты ISIM) в ПО. Ввиду неправильного ответа аутентификации, сетевой элемент может отменить регистрацию (подлинного) пользователя и, таким образом, разорвать все действующие вызовы истинного пользователя. Из-за этого недосмотра абоненты сети могут подвергаться атакам "отказа в обслуживании" (DoS).

TS 33.203 v2.0.0 (2002-03), полностью включенная в данное описание посредством ссылки, посвящена безопасности доступа к услугам на основе IP. В TS 33.203 предполагается, что даже после безуспешной повторной регистрации абонент "подсистемы базовой сети IP-мультимедиа" (IMS) (т.е. мобильное устройство) остается зарегистрированным, пока не истечет таймер, установленный для следующей повторной регистрации. До тех пор флаг регистрации сохраняется на "собственном сервере абонента" (HSS) равным значению "зарегистрирован", даже если аутентификация не удалась. S-CSCF не удаляет данные о регистрации абонента, и P-CSCF должна сохранять существующую "ассоциацию безопасности" (SA).

В TS 33.203 предложена попытка решения проблемы DoS, возникшей в связи с TS 24.229. Однако это предложение проблематично в том, что даже если ложный абонент посылает в сеть неверный ответ и сеть теряет доверие к абоненту, абонент по-прежнему остается зарегистрированным, пока не истечет его таймер истечения.

Раскрытие изобретения

Способ и система для аутентификации мобильного устройства, которая включает в себя мобильное устройство и сетевой элемент в системе связи. Сетевой элемент может представлять собой функцию управления состоянием вызова. Если сетевой элемент обнаруживает неправильное событие, связанное с мобильным устройством, то сетевой элемент сокращает время действия регистрации для мобильного устройства и направляет мобильному устройству извещение о повторной аутентификации. Неправильное событие может представлять собой, например, неверный ответ аутентификации, неверное действие мобильного устройства, сеанс сверх максимального времени, трафик, генерируемый сверх максимума, или истечение кредита. Мобильное устройство снимается с регистрации, если не удается повторно аутентифицировать мобильное устройство в течение сокращенного времени действия регистрации, и повторно регистрируется, если удается повторно аутентифицировать мобильное устройство в течение сокращенного времени действия регистрации. После повторной регистрации время действия регистрации для мобильного устройства увеличивается либо обратно до исходного значения, либо до нового значения. Сеть связи может представлять собой "сеть IP-мультимедиа" (IMN).

Краткое описание чертежей

Настоящее изобретение дополнительно описано в нижеследующем подробном описании со ссылкой на совокупность чертежей посредством неограничительных примеров вариантов осуществления настоящего изобретения, в которых подобные позиции обозначают сходные детали на нескольких видах чертежей и в которых:

фиг.1 - система повторной аутентификации мобильного устройства согласно иллюстративному варианту осуществления настоящего изобретения;

фиг.2 - схема системы повторной аутентификации мобильного узла согласно другому иллюстративному варианту осуществления настоящего изобретения;

фиг.3 - диаграмма времени действия регистрации согласно иллюстративному варианту осуществления настоящего изобретения;

фиг.4 - блок-схема процесса аутентификации мобильного устройства согласно иллюстративному варианту осуществления настоящего изобретения.

Осуществление изобретения

Показанные здесь частности приведены в порядке примера и в целях иллюстративного рассмотрения вариантов осуществления настоящего изобретения. Из описания в совокупности с чертежами специалисты в данной области могут понять, как настоящее изобретение можно осуществить на практике.

Кроме того, механизмы могут быть показаны в виде блок-схемы во избежание затемнения изобретения, а также в виду того факта, что специфика в отношении реализации таких блок-схемных механизмов в значительной степени зависит от платформы, на которой реализуется изобретение, т.е. специфики должны быть хороши в кругозоре специалиста в данной области. Конкретные детали (например, схемы, блок-схемы) изложены для описания иллюстративных вариантов осуществления изобретения, но специалисту в данной области следует понимать, что изобретение можно осуществить на практике без этих конкретных деталей. Наконец, нужно отметить, что для реализации вариантов осуществления настоящего изобретения можно использовать любую комбинацию электронных схем и программных инструкций, т.е. настоящее изобретение не ограничивается какой-либо конкретной комбинацией электронных схем и программных инструкций.

Хотя иллюстративные варианты осуществления настоящего изобретения можно описать с использованием блок-схемы иллюстративной системы, в иллюстративной среде главного устройства, практическое применение изобретения этим не ограничивается, т.е. изобретение применимо к другим типам систем и к другим типам сред.

В описании изобретения выражения "один вариант осуществления" или "вариант осуществления" означает, что конкретные признаки, структура или характеристика, описанные в связи с вариантом осуществления, включены, по меньшей мере, в один вариант осуществления изобретения. Выражение "в одном варианте осуществления", появляющееся в разных местах описания изобретения, не обязательно относятся к одному и тому же варианту осуществления.

Настоящее изобретение относится к повторной аутентификации пользователя в сети связи (например, в "подсистеме базовой сети IP-мультимедиа" (IMS) сети связи согласно Выпуску 5 3GPP). В порядке иллюстрации настоящего изобретения термины "абонент", "пользовательское оборудование" (ПО) и "мобильное устройство" используются взаимозаменяемо и представляют одно и то же сетевое устройство. В частности, настоящее изобретение относится к повторной аутентификации мобильного устройства (абонента) сетевым элементом при наступлении неправильного события, связанного с мобильным устройством. Неправильное событие, обнаруженное сетевым элементом, может представлять собой любое из ряда различных событий. Неправильное событие может являться, в частности, неверным ответом аутентификации, сеансом мобильного устройства, который имел место сверх максимального времени, трафиком, генерируемым мобильным устройством сверх максимума, исчерпанием кредита или любым другим неправильным, ошибочным или подозрительным действием мобильного устройства. Неверный ответ аутентификации может иметь причиной неправильное значение RES, полученное на сетевом узле от абонента. Кроме того, мобильное устройство может являться мобильным устройством любого типа, например мобильным телефоном, карманным персональным компьютером (КПК) и т.д.

Обнаружив неправильное событие, связанное с абонентом, сетевой элемент сокращает время регистрации для абонента (например, мобильного устройства) и извещает абонента о необходимости повторной аутентификации с целью повторной регистрации, вместо того, чтобы прерывать любой действующий вызов вследствие немедленного прекращения сеансов согласно TS 24.229. Сокращенное время действия регистрации устанавливают равным достаточно безопасному значению, чтобы абонента можно было повторно аутентифицировать. Если абонент успешно аутентифицируется в сокращенное время действия регистрации, то абонент повторно регистрируется, и время действия регистрации увеличивается либо обратно до исходного периода, либо до нового периода. Если же аутентификация мобильного устройства не удается или не происходит до истечения сокращенного времени действия регистрации, то таймер абонирования абонента делается неверным, и регистрация абонента отменяется.

Согласно варианту осуществления настоящего изобретения сетевой элемент может являться функцией управления состоянием вызова и, в частности, обслуживающей функцией управления состоянием вызова (S-CSCF). Это применимо к иллюстративному варианту осуществления, где сеть представляет собой "подсистему базовой сети IP-мультимедиа" (IMS). В этом варианте осуществления S-CSCF сокращает время действия регистрации с исходного значения до меньшего периода времени и отправляет абоненту извещение. В этом варианте осуществления извещение может содержать информацию, указывающую, что период регистрации был сокращен и/или является запросом "извещение" (Notify) согласно "протоколу инициирования сеанса" (SIP).

Настоящее изобретение можно реализовать с использованием существующих в настоящее время сетевых элементов и единиц пользовательского оборудования. Например, метод регистрации и длительность периода регистрации можно устанавливать программными средствами в таких элементах, и ими можно легко управлять согласно настоящему изобретению, производя изменения в программном обеспечении. Кроме того, применение настоящего изобретения не ограничивается использованием CSCF в качестве сетевого элемента или IMS. Настоящее изобретение можно реализовать с использованием других сетевых элементов (или множественных сетевых элементов), а также сетей связи любых других типов.

Однако иллюстративный вариант осуществления, предусматривающий применение настоящего изобретения в IMS, при этом для помощи в иллюстрировании настоящего изобретения используется неправильное событие, являющееся неверным ответом аутентификации.

На фиг.1 показана система повторной аутентификации мобильного устройства согласно одному варианту осуществления настоящего изобретения. Мобильное устройство 12 и сетевой элемент 14 входят в состав сети связи 10. При нормальной работе мобильное устройство 12 направляет запрос регистрации сетевому элементу 14, чтобы зарегистрироваться в сети связи 10. Получив его, сетевой элемент 14 выполняет процесс аутентификации с мобильным устройством 12 прежде, чем зарегистрировать мобильное устройство 12. Будучи аутентифицировано сетевым элементом 14, мобильное устройство 12 регистрируется в сети связи 10.

Если ложный пользователь пытается использовать "личный идентификатор IP-мультимедиа" (IMPI) мобильного устройства 12 в попытке зарегистрироваться через сетевой элемент 14, то сетевой элемент 14 оспаривает этот запрос, требуя, чтобы мобильное устройство 12 прошло повторную аутентификацию посредством сетевого элемента 14. После оспаривания запроса повторной регистрации ложного пользователя ложный пользователь может ответить неверным значением RES. Тогда сетевой элемент 14 может сократить время действия регистрации для мобильного устройства 12. Однако предпочтительно остается достаточно времени для повторной аутентификации мобильного устройства 12. Затем сетевой элемент 14 может генерировать сообщение "извещение" (NOTIFY), адресованное мобильному устройству 12, запрашивающее его повторную аутентификацию. Поскольку ложный пользователь не будет иметь правильных ответов аутентификации, ложный пользователь не будет аутентифицирован и зарегистрирован. Однако мобильное устройство 12 может направлять надлежащие ответы аутентификации сетевому элементу 14, тем самым вынуждая сетевой элемент 14 повторно зарегистрировать мобильное устройство 12. Затем сетевое устройство 14 может увеличить сокращенное время действия регистрации либо обратно до исходного времени, либо до нового времени для устройства 12.

На фиг.2 показана диаграмма системы для повторной аутентификации мобильного узла согласно другому иллюстративному варианту осуществления настоящего изобретения. В этом иллюстративном варианте осуществления мобильное устройство 22 взаимодействует с посреднической функцией управления состоянием вызова (P-CSCF) 24, которая может взаимодействовать с обслуживающей функцией управления состоянием вызова (S-CSCF) 26. Мобильное устройство 22, P-CSCF 24 и S-CSCF 26 могут входить в состав сети связи 20. S-CSCF 26 может взаимодействовать с "собственным сервером абонента" (HSS) 28.

Посредническая CSCF 24 может содержать информацию аутентификации, касающуюся мобильного устройства 22, которое может использоваться обслуживающей CSCF 26 для определения, нужно ли регистрировать мобильное устройство 22. В этом иллюстративном варианте осуществления, когда сеть связи 20 принимает новый запрос регистрации от мобильного устройства 22 (или того, что выглядит, как мобильное устройство, например, ложного абонента), S-CSCF может выдать оспаривание аутентификации на запрашивающее мобильное устройство. В случае приема неправильных запросов S-CSCF может сократить время действия регистрации мобильного устройства 22, оставляя достаточно времени для повторной аутентификации мобильного устройства 22, и генерировать сообщение NOTIFY, адресованное мобильному устройству 22, запрашивающему повторную аутентификацию. Если не удается зарегистрировать мобильное устройство 22 в то время, как его регистрация все еще действительна, то мобильное устройство 22 может быть повторно зарегистрировано обслуживающей CSCF 26. Если мобильное устройство 22 аутентифицируется в течение сокращенного времени действия регистрации, то обслуживающая CSCF 26 затем повторно регистрирует мобильное устройство 22 и может увеличить сокращенное время действия регистрации либо обратно до исходного значения, либо до нового значения времени действия регистрации для мобильного устройства 22.

На фиг.3 показана диаграмма времени действия регистрации согласно иллюстративному варианту осуществления настоящего изобретения. Абонент может попытаться зарегистрироваться в сети связи с помощью сетевого элемента и преуспеть в этом в момент Т1. В этот момент сетевой элемент (например, CSCF) может установить период 40 времени действия регистрации, который истекает в момент Т5. Этот период может представлять период, в течение которого регистрация абонента/мобильного устройства действительна в сети связи. В некоторый момент Т2 в течение периода 40 времени действия регистрации может быть предпринята попытка повторной регистрации при неудачной аутентификации (например, ложного пользователя). Затем сетевой элемент может в момент Т3 сократить период времени действия регистрации абонента до периода времени 42, который истекает в момент Т4. В течение периода времени от Т3 до Т4 абонента можно попросить повторно пройти аутентификацию, чтобы зарегистрировать его в сети. Если абоненту не удается пройти повторную аутентификацию до того, как период времени 42 истечет в момент Т4, сетевой элемент может отменить регистрацию абонента. Если абонент успешно проходит аутентификацию до момента Т4, то сетевой элемент может повторно зарегистрировать абонента и увеличить время действия регистрации обратно до периода времени 40, который истекает в момент Т5 или после Т5.

На фиг.4 показана блок-схема процесса аутентификации мобильного устройства согласно одному варианту осуществления настоящего изобретения. Сетевой элемент может аутентифицировать и зарегистрировать мобильное устройство в сети связи (S1). Затем сетевой элемент может установить время действия регистрации для мобильного устройства (S2). Сетевой элемент может обнаружить неправильное событие, связанное с мобильным устройством (S3). Затем сетевой элемент может сократить время действия регистрации для мобильного устройства (S4) и отправить на мобильное устройство извещение о повторной аутентификации (S5). Затем он может определить, получена ли информация повторной аутентификации от мобильного устройства в течение сокращенного времени действия регистрации (S6), и, если нет, то время действия регистрации может быть признано недействительным (S7), и регистрация мобильного устройства в сети может быть отменена (S8). Если мобильное устройство было повторно аутентифицировано в течение сокращенного времени, то время действия регистрации может быть увеличено (S9) либо обратно до исходного значения, либо до нового значения, и мобильное устройство повторно регистрируется (S10) в сети связи.

Способ и система для аутентификации мобильного устройства в сети связи имеют те преимущества, что если ложный пользователь пытается зарегистрироваться, регистрация правильного абонента не отменяется, и действующие сеансы, которые он продолжает, прекращаются. Кроме того, даже если определено, что ложный пользователь попытался повторно зарегистрироваться, и сетевой элемент теряет доверие к ложному пользователю, правильный абонент не остается зарегистрированным, пока не истечет его таймер истечения, если правильный абонент не пройдет повторную аутентификацию в течение сокращенного периода истечения и не перерегистрируется в сети.

Заметим, что вышеописанные примеры были предложены только в целях объяснения и никоим образом не должны рассматриваться в порядке ограничения настоящего изобретения. Хотя настоящее изобретение описано со ссылкой на предпочтительный вариант осуществления, понятно, что используемые здесь слова являются словами описания и иллюстрации, а не словами ограничения. Прилагаемая ранее утвержденная и измененная формулы изобретения предусматривают изменения, не выходящие за рамки сущности и объема настоящего изобретения в его аспектах. Хотя настоящее изобретение описано со ссылками на конкретные способы, материалы и варианты осуществления, настоящее изобретение не ограничивается раскрытыми здесь частностями, напротив, настоящее изобретение охватывает все функционально эквивалентные структуры, способы и варианты использования, которые отвечают объему прилагаемой формулы изобретения.