ВИРТУАЛЬНАЯ ЗАКРЫТАЯ СЕТЬ

Область техники, к которой относиться изобретение

Способ построения виртуальной закрытой сети относится к области мобильной связи, а именно способу защиты от определения местоположения защищаемых абонентов сети подвижной связи.

Уровень техники

Известен (RU, патент №2428808) способ и устройство для организации защиты информации о местоположении и управления доступом с использованием информации о местоположении, который состоит из блока беспроводной передачи/приема (WTRU) и включает в себя объект определения местоположения и модуль идентификации абонента (SIM). Объект определения местоположения формирует информацию о местоположении WTRU, и информация о местоположении сохраняется в защищенной области SIM. Модуль доверительной обработки в WTRU верифицирует целостность информации о местоположении. Модуль доверительной обработки может находиться на SIM. Информация о местоположении может быть информацией о физическом местоположении или имеющей отношение к вытекающему из контекста местоположению информацией. Модуль доверительной обработки сконфигурирован для криптографической защиты и привязывания информации о местоположении к WTRU, и верификации метрик доверия внешнего объекта перед предоставлением доступа к информации о местоположении или признанием информации от внешнего объекта. Модуль доверительной обработки может быть доверенным модулем платформы (ТРМ) или доверенным модулем мобильной связи (МТМ) группы доверительных вычислений (TCG). Информация о местоположении может использоваться с целью аутентификации или для управления доступом. Информация о местоположении может объединяться с информацией о времени.

В сетях подвижной связи, после процедуры регистрации абонента в центре коммутации сетей подвижной связи (MSC), возможно определение идентификаторов соты (LAC+CI), которые в настоящий момент обслуживают абонента и при наложении этой информации на карту радио покрытия оператора подвижной связи, можно определить точное местоположение абонента.

Недостатком известного способа следует признать сложность и то, что он не блокирует запросы, отправленные в коммутатор оператора на определение текущей соты (LAC+CI). В этой процедуре телефон не задействуется, а коммутатор возвращая информацию по текущей соте полностью демаскирует (выдает) местоположение абонента.

Раскрытие сущности изобретения

Техническим результатом является способ построения виртуальной закрытой сети, в которой абоненты защищены от попыток определения местоположения, перехвата голосового и смс-трафика в сети подвижной связи.

Технический результат достигается представленным способом построения виртуальной закрытой сети, состоящей из:

- Программного модуля ядра системы и модуля управления компонентами комплекса, осуществляющих управление всеми частями системы, содержащих информацию обо всех абонентах комплекса, об их услугах, правила управления сигнальным трафиком, алгоритмы блокировки или подмены местоположения, правила по работе с IP пакетами и алгоритмы по противодействию системам позиционирования других операторов.

- Программного модуля обработки ОКС7 трафика, обеспечивающего интеграцию комплекса с сетью ОКС7, с использованием IP в качестве транспорта. Используются протоколы SCTP, M3UA. Модуль обработки получает и генерирует сообщения протокола ОКС7, обеспечивая работу компонентов системы со всеми элементами опорной сети ОПС.

- Программного модуля обработки и коммутации речевых каналов связи, который интегрируется с коммутаторами ОПС по протоколам SIP или SIP-I (SIP-T) и предназначен для коммутации речевых каналов, проигрывания автоинформаторов, работы DTMF, записи голосовых каналов и организацию конференций. Модуль может как терминировать голосовые вызовы, так и инициировать их самостоятельно.

- Программного модуля анализа пакетного трафика (DPI), предназначенного для анализа, фильтрации и(или) блокировки трафика пакетной передачи данных абонентов. DPI позволяет выявлять и блокировать попытки локализации абонентов, сделанные через web-протоколы и предотвращает утечку конфиденциальной информации.

Для каждого из защищаемых абонентов при построении виртуальной закрытой сети создается два идентификатора (абонентских номера): 1 номер - «публичный», на который абонент принимает телефонные звонки и при исходящих звонках отображается на экране телефона у других абонентов; 2 номер - это «внутренний» номер абонента, который нужен для установки переадресаций и является тем номером, на который абонент имеет возможность принимать звонки и CMC сообщения (номер устройства беспроводной или проводной связи). Программный модуль ядра системы контролирует связку данных номеров, обеспечивая установку динамической (периодически меняющейся) переадресации и обезличиванием данных защищаемых абонентов с сохранением всех абонентских сервисов.

Краткое описание чертежей

Подробное описание способа построения виртуальной закрытой сети и сценарии работы представлены на фигурах ниже:

Фиг 1. Общая схема способа построения виртуальной закрытой сети и ее интеграция в сеть ОПС.

Фиг 2. Схема регистрации абонента в виртуальной закрытой сети.

Фиг 3. Схема обработки входящего вызова защищаемых абонентов.

Фиг 4. Схема обработки исходящего вызова защищаемых абонентов.

Фиг 5. Схема обработки входящего CMC сообщения защищаемых абонентов.

Фиг 6. Схема обработки исходящего CMC сообщения защищаемых абонентов.

Фиг 7. Схема маскировки защищаемых абонентов от определения их местоположения внешними запросами.

Фиг 8. Схема работы сервиса передачи данных защищаемых абонентов.

Осуществление изобретения

Иллюстрируется Фиг. 1. Общая схема построения виртуальной закрытой сети и интеграция в сеть ОПС.

Сценарии работы виртуальной закрытой сети.

Регистрация защищаемых абонентов в сети подвижной связи (Фиг. 2): после включения устройства беспроводной связи (мобильного телефона защищаемого абонента) в модуль ОКС7 контроллер поступает запрос на разрешение регистрации в центре коммутации сети подвижной связи, программный модуль ядра системы разрешает регистрацию и определяет необходимый набор информации, разрешенный для данного центра коммутации сети подвижной связи. Идентификаторы центра коммутации (GT) сохраняются и могут использоваться для работы сервисов защищаемых абонентов. Модуль ядра системы фиксирует факт регистрации и контролирует необходимость переадресации вызовов защищаемых абонентов.

Обслуживание входящего вызова для защищаемых абонентов (Фиг. 3): при поступлении входящего вызова на «публичный» номер защищаемого абонента из центра коммутации сети подвижной связи (MSC) или из сети общего пользования (ТфОП), MSC отправляет вызов в модуль обработки речевых каналов связи. Модуль ядра системы анализирует входящий номер абонента А, номер вызывающего абонента В и установленные настройки переадресации. Далее, по результатам анализа, вызов разрешается или запрещается.

Обслуживание исходящего вызова защищаемого абонента (Фиг. 4): из центра коммутации сети подвижной связи (MSC) или сети общего пользования (ТфОП) на модуль обработки трафика ОКС7 поступает запрос на разрешение исходящего вызова от защищаемого абонента. Модуль трафика ОКС7 дает разрешение на исходящий звонок. Исходящий вызов защищаемого абонента поступает в модуль обработки речевых каналов и делает запрос параметров изменения номера защищаемого абонента в модуль ядра системы. Модуль ядра системы отправляет модулю речевых каналов связи параметры изменения номера защищаемого абонента. Модуль обработки речевых каналов отправляет вызов защищаемого абонента с «публичным» номером в телефонную сеть общего пользования (ТфОП) или в направлении других операторов подвижной связи.

Обслуживание входящего CMC сообщения для защищаемых абонентов (Фиг. 5): из центра рассылки текстовых сообщений (SMSC) входящее CMC сообщение поступает на «публичный» номер защищаемого абонента и в модуль обработки трафика ОКС7. Модуль обработки трафика ОКС7 посылает запрос в модуль ядра системы на разрешение входящего CMC сообщение. Модуль ядра системы анализирует входящий номер защищаемого абонента, номер абонента-отправителя и настройки переадресации. В зависимости от настроек защищаемого абонента, модуль ядра системы дает разрешение (или не разрешает) на входящее CMC сообщение. CMC сообщение поступает (или нет) на «внутренний» номер защищаемого абонента, если беспроводной терминал абонента поддерживает функциональность приема CMC сообщений.

Обслуживание исходящего CMC сообщения защищаемых абонентов (Фиг. 6): исходящее CMC сообщение от защищаемого абонента с «внутренним» номером поступает в центр рассылки текстовых сообщений (SMSC). Центр рассылки текстовых сообщений (SMSC) делает запрос в модуль обработки ОКС7 на разрешение исходящего текстового сообщения. Модуль обработки ОКС7 делает запрос параметров изменения номера в модуль ядра системы. Модуль ядра системы отправляет модулю обработки ОКС7 параметры изменения номера с «внутреннего» на «публичный». Исходящее текстовое сообщение от защищаемого абонента с «публичным» номером отправляется получателю.

Работа системы позиционирования (LBS) (Фиг. 7) в сети подвижной связи: при поступлении входящего запроса от системы позиционирования (LBS), модуль обработки ОКС7 делает запрос в модуль ядра системы, анализирует отправителя запроса и выбирает одно из следующих решений:

a) Заблокировать определение местоположение абонента.

b) Возвратить измененное местоположение.

c) Возвратить настоящее местоположение.

Ответ на запрос, в зависимости от алгоритма скрытия местоположения каждого защищаемого абонента, возвращаются системе позиционирования (LBS).

Работа пакетной передачи данных (Фиг. 8): из центра поддержки пакетной радиопередачи (GGSN) поступают запросы, которые направляются в модуль анализа пакетного трафика (DPI), анализирующий трафик пакетной передачи данных защищаемых абонентов. Модуль анализа пакетного трафика (DPI) производит разборку и анализ содержимого IP пакетов, и на основании этого принимает решение о дальнейшем пропуске, изменении или блокировке передачи данных в модуль ядра системы. Если ядро системы дает разрешение на передачу данных для защищаемых абонентов, модуль анализа пакетного трафика (DPI) передает данные для абонента в сеть интернет или модуль ядра системы блокирует передачу данных для защищаемых абонентов. Сервисы, использующие защищенные каналы связи (ssh, https и пр.) предоставляются после анализа сервера получателя IP пакета и наличии разрешения в настройках модуля анализа пакетного трафика (DPI) для защищаемого номера абонента.