专利名称:移动电信网络中的欺骗检测方法
技术领域:
本发明一般涉及移动电信网络中的欺骗检测方法。特别是本发明涉及一种用于获得、存储和处理欺骗检测的重要数据的方法。
背景技术:
在第三代合作项目中负责安全体系(下文中称为“3GPP(SA3))”的安全分组已经在技术规范组服务和系统方面33.102V.3.5.0(下文中称为3G TS 33.102)介绍一个叫做认证失败报告的新程序。此外,包括在上述新程序中的标准信令信息和信息参数描述在通过3GPP技术规范委员会核心网络(下文中上述规范称为3GPP 29.002)出版的移动通信应用部分(下文中称为MAP)规范29.002V3.4.0中。
大部分前几代移动系统已经在某种程度上利用认证程序保证访问移动网络的用户是其要求的一个。并且不仅用户而且卷入确定的移动通信中的不通网络实体都已经在某种程度上是认证的对象。任何一个感兴趣的读者可以从欧洲电信标准协会(一般公知的和下文中称为TS ETST GSM03.20“有关网络功能的安全”)查阅用于GSM“有关网络功能的安全”的技术规范03.20。这个验证机制打算排除访问移动网络或移动服务的非认证用户或网络实体。此外,移动用户和网络实体的认证的需要不但对泛欧移动网络例如GSM有意义,而且对泛美移动网络例如一些基于临时规范序号41(下文中称为IS-41)的有意义。
前几代移动系统的认证机制是自然发展的,在第三代移动通信系统(下文中称为3G)范围内包括了新的安全特征。现在,3G的一个有名的实例是通用移动通信系统(下文中称为UMTS)和安全方面、安全特征和安全体系,例如在相关的用户认证和网络实体认证,上述提到的描述在技术规范3G TS 33.102中。
不考虑特殊的网络体系,这种移动系统或许已经产生,它包括不同的标准,例如上面提到的泛欧或泛美,一些团体随后被指出,这将有助于更好的理解本发明的范围。
另一方面,任何移动网络如
图1的一个都可以被认为由一个本底环境(N-1000)(下文中称为HE)、一个服务网络(N-2000)(下文中称为SN),和许多的移动终端,也就是用户设备(N-3000)(下文中缩写为UE)组成。另一方面,在图1中的这样一个移动网络被认为由一个核心网(N-0100)和一个接入网(N-2200)组成,其中前者由本底环境加上不包括来自接入网的网络实体的服务网络组成。
此外,现有的移动网络已经提供支持具有共享的和专用的网络基本设施,用于两者的电路交换(N-2120)(下文中称为CS)服务,例如纯粹的电话,以及分组交换(N-2110)(下文中称为PS)服务,例如其他的数据传输定向服务。分组交换服务近来已经通过2G移动系统进行了介绍。一个支持分组交换服务的现有的公知的实例是GSM分组无线系统(下文中缩写为GPRS)。
HE(N-1000)代表所有唯一的维护和支持某个公共陆地移动通信网(下文中PLMN)的本地用户的网络实体。例如,原籍位置寄存器(N-1102)(下文中HLR)是某个PLMN的网络实体,负责保存上述PLMN的本地用户的用户数据,从而是HE的一部分。HE的另外一个实体部分是鉴权中心(N-1101)(下文中AUC),负责产生和提供认证和密钥数据,不是作为GSM的三元组,就是作为UMTS的矢量。这些认证和密钥数据打算分别检查任何一个要求的本地用户,无论他或她在什么地方正在访问移动通信网络,并且去提供用于通过无线路径计算传输的方法。一个用于2G和3G认证的用途和过程的更详细的描述将进一步在本说明书中描述。
SN(N-2000)代表所有的网络实体或在某个PLMN中的资源,并提供服务给漫游在该PLMN中的移动用户,而不考虑其是本地用户还是访问用户。例如,移动服务交换中心(也叫做移动服务中心,并在下文中缩写为MSC)在无线系统和固定网络之间构成接口。上述的MSC是负责所有涉及电路交换(CS)、控制定位和其中某一用户正在漫游的路由区域的交换功能的网络实体,从而也成为SN的一部分。SN的另一个网络实体部分是访问位置寄存器(下文缩写为VLR)。上述的VLR是保存从通过该VLR控制的当前漫游区域中所有用户的相关预约数据的用户数据库,并且预约数据是从相应的HLR获得的,其中每一个用户有他或她自己的预约。现在,基于移动系统的大部分现存的GSM或IS-41已经实现所有的实体配置,所以通过缩写词MSC/VLR他们常常称作一个唯一的实体(N-2121)。此外,用于3G移动系统的上述MSC/VLR的发展版本被称作3G MSC/VLR。并以类似于上述MSC/VLR的方式负责相关的预约数据,并执行CS功能,GPRS服务支持节点(N-2111)(下文中缩写为SGSN)执行用于PS功能和对应的用户的类似任务。SGSN保存从通过该SGSN控制的当前漫游区域中所有用户的相关预约数据,并且预约数据是从相应的HLR获得的,其中每一个用户有他或她自己的预约。上述的SGSN也负责所有涉及分组交换(PS)、控制定位和其中某一用户正在漫游的路由区域的交换功能,从而成为SN的一部分。此外,用于3G移动系统的上述SGSN的发展版本被称作3G SGSN。此外,图1示出了用于完整目的一个代表性的网络接入节点,也就是UMTS陆地无线接入网络(N2201)(下文中称作UTRAN)。
一般说来,认证程序最初执行在试图再一次访问移动网络的移动用户的第一无线接入点。按照上面提到的规范3G TS 33.102,该方法被选择在关于用当前的GSM安全体系和从GSM到UMTS的促进迁移达到最佳兼容性的方法下。该方法由一个和GSM用户认证一致的询问/响应协议和与一列基于数字的一次通过协议结合的密钥建立协议组成用于网络认证。即使该程序主要是在随后描述,一个感兴趣的读者也可以通过阅读上述的规范3G TS 33.102的3.5.0版本的5.1.1和6.3.1节得到更详细的解释。
从GSM的询问/响应方法形式上通过从SN VLR/SGSN到HE HLR/AUC的一个请求以产生和提供认证三元组(在3G下是认证矢量)而启动。上述的认证三元组包括一个随机数RAND,一个预期响应XRES和一个密码索引CK。在原理上,每一个认证三元组都是正确的,用于正确的一个认证处理,尽管他们在某种环境下可以再次使用。上述的三元组从HE接收时,VLR/SGSN发送到GSM用户标识模块(下文缩写为SIM),并在用户一侧接收负责执行GSM用户认证和密钥协议的随机数RAND。在用户一侧,RAND和预先存储的用户恒等键KI用作输入到算法A3和A8以产生一个带符号的响应SRES和一个密码索引CK。SIM返回获得的SRES到询问器VLR/SGSN,并检查最近接收的并与存储的XRES相对的SRES。即使他们彼此匹配,VLR/SGSN和SIM具有的认证被认为是成功的,并且本地的CK进一步的通过无线路径用作密码通信。
图2概略的介绍这个询问/响应方法是如何发展用于UMTS网络的。按照3G TS 33.102,HE HLR/AUC被请求产生和提供包括一个随机数RAND、一个预料的用户响应XRES,一个密码索引CK、一个完整的密钥IK和一个网络认证令牌AUTN的认证矢量。依据从VLR/SGSN收到的这样一个请求,HEHLR/AUC产生(B-090)并发送一个n认证矢量(S-210)整齐阵列(相当于GSM“三元组”,并在下文中称作AV)到SN VLR/SGSN,其中这些认证矢量被被存储(B-100)。至于GSM,每一个认证矢量适用于在VLR/SGSN和用户服务标识模块(下文中称为USIM)之间的一个认证和密钥协议处理。与GSM相反,这些矢量不能再使用。在一个安全的环境下,这样一个USIM负责完成UMTS用户和网络认证以及密钥协议。上述的USIM也应该能够完成GSM认证和密钥协议以允许用户很容易的漫游到GSM无线接入网。当VLR/SGSN启动一个认证和密钥协议时,它选择来自阵列的下一个认证矢量(B-110),然后发送参数RAND和AUTN到用户(S-220)。通过计算匿名密钥AK作为RAND(B-120)的函数,USIM检查是否AUTN可以被接收,然后一旦AK是已知的,通过从接收的AUTN中提取序列号SQN(B-130)、认证管理域AMF(B-140)和信息认证码MAC(B-150)。下一个USIM计算XMAC作为RAND、SQN和AMF(B-160)的函数,并比较该XMAC值与先前提取的MAC(B-170)这些被提供的值被发现是不同的,用户发送一个“用户认证拒绝”(S-230)返回到具有原因的指示VLR/SGSN,并且程序被抛弃。该结构被认为是一个不成功的网络认证。因此,SN VLR/SGSN将向HE HLR启动一个指出“错误网络特征”作为失败原因的认证失败报告(S-240)。另一方面,当MAC和XMAC彼此匹配时,USIM校对在正确范围内的SQN值(B-180)。倘若考虑了SQN的USIM不在预定的范围内,它发送一个“同步失败”(S-250)返回到包括适当的参数的VLR/SGSN,然后程序被丢弃。假如SQN在范围内,USIM认为网络是成功的认证,并将不同的功能应用到不同的认证参数的组合以计算一个响应RES、一个密码索引CK和一个完整的密钥IK(B-190)。上述的响应RES是发送回到VLR/SGSN(S-260)。VLR/SGSN比较接收的RES和XRES(B-200)。假如上述的RES和XRES彼此匹配,则VLR/SGSN认为认证和密钥协议交换被成功的完成。建立的密钥、CK和IK将通过无线路径进一步用作本地的密码通信。但是,假如XRES和RES被发现是不相同的,SN VLR/SGSN将向HLR启动一个指示“错误的用户响应”作为失败原因的认证失败报告(S-270)程序。此外,SN VLR/SGSN也决定向用户重新尝试一个新的鉴定和认证程序。
按照3G TS 33.102,该机制稍微描述了上文中通过用户和通过网络完成的相互认证,并示出了仅在USIM和用户的HE中的AUC之间共享和可用密钥的知识。此外,在用户一侧的网络认证失败检测,也就是通过USIM,或在网络一侧的一个用户认证失败检测,也就是通过SN VLR/SGSN,他们都引发新的程序“认证失败报告”。
这个新程序的的目标是当认证失败时通知本地环境(HE),包括由于一个不成功的网络认证和一个不成功的用户认证引起的失败。然而,该程序不适用于同步失败,那是通过一个不同的程序报告的。总之,这样一个认证失败报告程序纯粹是用作报告失败(用户和网络)的种类和向HE的国际移动用户识别码(下文中称为IMSI)。
在这一点上,本发明的背景技术的另一点有意义的讨论是移动服务和移动网络的欺骗应用。暴露在移动网络的最高欺骗之一是由于使用辅助服务的通话销售,特别是由于当上述的用户漫游在不同于本地网络的一个PLMN中时用户活动的艰难控制。关于这一点,呼叫销售是一个欺骗活动,它存在于使用一个低于市场价格下的移动预约费去销售遍及全球的长距离呼叫服务,并且具有不支付给网络操作者这样呼叫费用的目的。例如,一个移动用户可以通过在HLR中的前向呼叫服务和第三方呼叫服务启动欺骗呼叫销售。另一个欺骗的实例是漫游欺骗。事实上,国际漫游可能用于大部分移动系统,其中欺骗是通过使用在某个可能发生漫游的国家的外国人预约启动呼叫销售操作予以执行。这个欺骗的活动几乎不能被及时的检测以行动,因为涉及了来自操作者的近来的报告和帐单。这些和其他的许多欺骗冒险已经被识别和努力地调整以提供阻止欺骗的装置,同时也检测特殊的欺骗活动。在这方面,围绕认证程序介绍的大部分机制与前述相同的欺骗检测相比更适用于欺骗预防。
然而,假如上述的欺骗预防一直没有达到,作出巨大努力来发展欺骗检测系统使其足够的坚固以保证一个欺骗活动的快速检测。需要决定的重要一点是清楚的识别一个被讨论的欺骗的标准。最好集中在合法的帧上来决定欺骗,本说明书的目标在于孤立的或结合的概述活动和情况,指示一个在移动网络资源中的欺骗应用。
为此目的,一个新的网络实体一般称为欺骗检测系统(下文中称为FDS)被介绍在移动网络中。上述的FDS负责通过分析指示符的某个量来检测出欺骗的存在。这种指示符依照使用的类型和线路分类。当通过类型分类指示符时,下述的三类指示符可以被识别。
I)应用性指示符通过涉及的移动电话被使用的线路的一些标准来定义。欺骗的大部分类型通过异乎寻常地的高利用率予以表征。例如在呼叫销售活动中,移动终端需要记录许多前向呼叫号码。
II)移动性指示符通过涉及的移动用户的移动率的一些标准来定义。例如在一个定义的时间间隔的位置更新或移交的号码。
III)推论的指示符,起源于欺骗行为的结果例如,电话会议的使用、前向呼叫等等。
当通过路线分类指示符时,下述的三类指示符可以被识别。
I)主要的指示符,在原理上可以独自的使用来检测欺骗。例如,在一个定义的时间间隔内调用大量的前向呼叫服务。
II)第二指示符,在原理上,假如他们考虑在独立的情况下,可以获得有用的信息,但是不能单独的用作检测欺骗。例如,包括在某个呼叫处理中的有关小区位置或交换区域的信息,因为用于某种目的的呼叫销售集中在买者生活的区域。
III)第三指示符,假如考虑他们在独自的情况下将不能获得有用的信息,但是在原理上可以用于提供与欺骗检测有关的必要信息。例如,在一个定义的时间间隔内定义的成功移交的数目。在这一点上,一个欺骗的呼叫销售服务请求一个稳定的位置,所以一个低迁移率、伴随具有相应指示符的其他活动也可能被认为是可能发生的欺骗活动。很明显的,许多移动用户不需要执行任何欺骗就可以具有这种低迁移率行为,所以在能够确定欺骗之前进一步其他活动的检测是必要的。
这样一个FDS被设想后处理这些指示符以确定是否一个欺骗活动正在发生,或至少有发生的怀疑。
在上文中讨论的这两点主要的、分离的、并且没有关联的方面,也就是执行认证失败的行为和用于欺骗检测的需要都是本发明的背景技术,并在本说明书中进一步的证明。
认证程序已经在2G和3G移动网络中进行了讨论,一个新的程序“认证失败报告”已经在向UMTS等3G移动系统中进行了讨论,然而,没有相应的程序存在于类似GSM等的2G系统中。
然而,指定的卖主增加就提供去增强的和完整的当前用于2G移动系统的标准。例如当一个认证失败检测在ERICSSON提供的MSC/VLR,上述的MSC/VLR记录所有相关失败数据,并激活一个告警。上述认证失败的记录包括例如日期、时间、IMSI、移动用户ISDN号码(下文中称为MSISDN,其中ISDN代表综合业务数字网络)、小区的全球识别号(下文中的CGI)等数据,并且无论MAP信息是否被发送。
这个卖主解决方案意味着在一个多卖主和多操作者环境下,现在不可能收集关于一个单一用户的认证失败的所有相关的欺骗信息。来自某个卖主的这样的信息将存储在MSC/VLR中,但是其他人将沿着不同的服务网络收集其它的认证失败。假定一个MSC/VLR卖主识别符将一直被用作启动欺骗标准去分析,则在这种设想下,这样一种方案不能被采用作为用于介绍一个标准欺骗检测系统的基础。那末,依靠指定的MSC/VLR卖主,其它可能的认证失败数据将在FDS中用作后处理。
关于欺骗检测的其它的解决方案在2G移动系统中已经存在,并通过不同的提供者已经在某种程度上采用。在移动网络中支持欺骗检测的大部分公共结构之一已经在图3中描述,其中FDS(N-1301)收集所有的指示符以请求从产生在MSC/VLR(N-2122)中的呼叫数据记录(下文中称为CDR)或SGSN(N-2112)中完成欺骗分析。上述的CDRs通过帐单网关(N-2301)(下文中称为BGW)递交,或其它的帐单仲裁装置。因此,通过FDS接收的信息恰好符合一个呼叫的建立,尽管任何其它的不涉及呼叫的相关欺骗信息将不到达FDS。这种信息将不通过当前装置通过FDS接收,因为它不符合一个已经建立的呼叫,并且因此不与CDR相关。因此,在这种解决方案中,来源于一个认证失败的相关欺骗信息意味着任何的CDR将在FDS接收。已经讨论的呼叫销售的案例很可能来源于在过去递交的一个CDR,尽管随后企图启动这样的一个呼叫销售将得到不成功的认证结果。在这一点上,欺骗预防完成了,然而在现有技术中任何有经验的人可以很容易的理解欺骗检测是非常值得做的,这便于知道新提交欺骗的企图启动时间。
另一方面,和类似GSM的2G系统不同,有一个用于IS-41(TIA/EIA标准)的认证失败报告程序。在上述程序下,为了决定是否接入的用户被拒绝、或一个符合标准安全程序的不同行为被请求,报告信息通过在IS-41(下文中称为AC,和GSM中的不同)下的认证中心使用。但是没有考虑符合欺骗检测的指定活动。
在IS-41中的认证程序没有以同样的方式一直执行。另一方面,VLR可能具有一种AC先前发送的共享秘密数据(下文中称为SSD),所以在认证程序中使用的认证数据从上述的SSD获得。另一方面,VLR也可以直接从AC接收认证数据,同理,也在GSM中使用,都是为了在认证程序中使用。无论什么原因,当一个认证失败发生时(通过用户发送的响应与VLR保存的预期响应不匹配),VLR不能作出决定,但可以发送上述认证失败报告到AC。然后,AC决定是否接入被否定或一个新的认证一定被执行。因为后者,所以AC也决定是否新的SSD发送给VLR,用于上述的VLR以产生新的认证数据,或假如新的认证数据通过AC直接产生,并发送到BLR以直接使用在新的认真程序中。这个程序完成的是一个控制网络的集中决定机制。
目前,有一个用于UMTS的新程序介绍,“认证失败报告”程序已经在上文中讨论,它仅仅是打算允许一个在本地环境(HE)下用于认证失败数据的集中存储。具有这样一种机制的HE可以正确的控制,不管用户正在遭受或产生认证失败。
然而,目前指定的认证失败报告程序从一个欺骗检测观点看仍没有提供有价值的信息以进一步采取行动。在这点上,图4示出了现存的运行的认证失败报告作为依照操作和参数在用于移动应用部分协议的3G TS 29.002中的指定程序。
从当前涉及的欺骗检测的解决方案看仍然有另一个缺点,也就是仅仅当有一个呼叫已经建立时,CDR存在,尽管没有什么可以用该方案检测作为试图在一次进入网络的欺骗用户设备。
发明的概述本发明的目的是提供相关信息用于欺骗检测的方法,它克服了上述提及的缺点。
按照本发明符合不成功认证程序的数据,例如接入类型、认证再尝试和服务地址等都可以被用于欺骗检测。
该方法从新介绍的机制通过报告认证失败得到利益,以便从一个欺骗检测观点向本地环境提供更有价值的信息,包括的步骤a)由于不成功的网络认证或不成功的用户认证而从用户认证程序的失败中获得第二欺骗指示符b)在上述的认证程序中,包括上述第二欺骗指示符作为一个从服务环境(3G MSC/VLR,3GSGSN)发送回本地环境(HE HLR)的认证失败报告信息的区域中的特定类型的新参数。
C)在原籍位置寄存器(HLR)中存储上述的信息用于进一步处理。
本发明的方法的另一目的是在本地环境向一个用于欺骗检测的适当的操作员特定装置收集前向的这些相关欺骗数据用于和用于欺骗检测目的的基本欺骗指示符协力处理。
附图的简述为了清楚和更好的理解本发明的范围和目的,这个详细的说明是连同随后的附图一同描述的。
图1是一个代表一个根据一个用户和网络认证前景的移动电信系统。这个系统依据不同的标准构成·预约所属的本地环境相对于用户漫游的服务网络;·核心网络相对于接入网络和用户设备;·电路交换服务相对于分组交换服务和相应的网络支持。
图2是一个示意地把认证程序描绘成当前指定用于3G移动系统的网络,例如UMTS网络的流程图。
图3是另一个代表一个当前存在的用于涉及欺骗活动呼叫的欺骗检测系统框图。
图4示出了根据操作和参数的如3G TS 29.002建议描述的用于UMTS的现有技术MAP操作认证失败报告。
图5是代表依据本发明要求一个完整的欺骗检测系统的结构框图。
图6是按照本发明代表用于3G移动系统如UMTS网络的认证程序的流程图。
图7给出按照本发明的优选实施例依据操作和参数的新MAP操作认证失败报告。
图8是示意性的代表依据本发明的具有新的建议数据的MAP操作认证失败报告发送的流程图,在HLR中的上述数据的存储和该数据到FDS的进一步传输用于欺骗分析。
优选实施例的详细描述按照上文中解释的在一个认证失败之后有非常有价值的用于欺骗检测的信息。符合认证失败的数据可以不再用作简册欺骗的基本指示符,因为认证本身是一种欺骗预防的方法,但是上述数据可以用作第二指示符,因为进一步的操作可以采用。然而,从一个欺骗检测的观点来看,在UMTS认证失败报告信息中发送的数据是相当差的。向在图2(S-240,S-270)中初步示出的和在图4中进一步陈述的那样,恰好IMSI和失败的种类在这样一个MAP操作中报告。
另一方面,在MSC/VLR中有用于欺骗检测的相当有价值的和重大意义的数据,它是涉及或来自一个认证失败的。这个用于欺骗的有意义的数据是被看作用于欺骗的第二指示符,并且是在一个欺骗检测系统中的欺骗标准的一部分。
按照本发明,当在图2中所示的认证程序发生时,已经通过MSC/VLR得知其它数据将在图6和图7所示的MAP信息认证失败报告请求(MAPAFR_req)(S-280,S-290)中提供给HE HLR。上述某些已知的、有关用于欺骗检测的数据是下面的·接入类型。为了区分是否认证程序是由于一个呼叫、一个紧急情况的呼叫、一个位置的更新、一个辅助性的服务程序或一个短信息传送引起的启动。
·认证的再尝试。这表明是否失败产生在一个正常的认证尝试中或它是由于一个认证的再尝试。后者表明有一个先前不成功的认证。
·服务器地址。它表明网络元件的地址,认证程序发生的地址不是SNMSC/VLR就是SN SGSN。这些数据将被包括,以便于有一个已经产生的认证失败的物理地址的参考。
按照本发明,三种新参数中每一个都有它自己的优势。
接入类型的参数可以被用作估算失败的严重性,因为它认为在一个位置更新中产生的失败比在呼叫建立中产生的更严重。而后者又比在一个短信息传输中产生的失败更严重。这种考虑是基于某些事实的例如,一个成功的位置更新先于一个不成功的呼叫被执行。
认证的再尝试参数被发送便于知道是否失败产生在一个第一认证程序或在一个再尝试期间。一个认证再尝试在当前的网络中被执行是因为失败可以通过一个临时移动台标识(下文中的TMSI)不匹配激发,或通过从先前的MSC/VLR或SGSN服务器接收的错误的认证矢量(再尝试是在请求新的认证矢量到达HLR之后执行)。当认证再尝试被执行时,相应的程序和正确的IMSI和正确的认证矢量一起执行,既然这样,一个错误具有更重要的性质。
从一个欺骗检测的观点来看服务器地址的兴趣属于这种情况,即在当前的移动网络中的某些欺骗活动如呼叫销售与具体的地理位置有关。
仍没有解释的这些和其它的数据确定为作为第二指示符对用于一个欺骗检测系统(FDS)有意义,并且是上述的FDS中的欺骗标准部分分析。当新的欺骗活动被确定时,新的数据被发现有兴趣作为欺骗指示符,并且依然是本发明的一部分。本发明的范围没有打算仅仅限于这三种识别和解释的新数据,并将被包括在现存的MAP AFR_req信息,同样的任何一个本领域有经验的人都可以很容易的理解。例如,当作为一个本发明的一个附加的实施例时,假如欺骗的严重性要求关于欺骗提交的位置的更准确的信息,则借助于GPS设备的道德用户设备位置可以在MAP AFR_req信息中发送,任何一个本领域有经验的人可以很容易的理解,在MSC/VLR或SGSN的用于欺骗检测有重大意义的已知的数据可以被包括在MAP AFR_req信息中。这样,这些数据可以最终提交到HE HLR,并从这里转送到一个合适的欺骗检测系统,例如FDS。
按照图7,本发明的优选实施例的建议是这些数据,也就是接入类型、认证再尝试和接入地址将被包括作为在MAP AFR_req信息中的指定参数。此外,仍然在本发明的优选实施例下,服务器地址将依照不同的参数表示,例如MSC/VLR_adderss和SGSN_adderss,以便于识别服务、电路和分组,认证失败了。
如图7陈述的那样,按照通过3G TS 29.002指定的信息和参数格式,随后的新参数可以被包括用于在上述规范中存在的MAP信息“authenticationFailureReport_req”。·“BOOLEAN”型的“authenticationReattempt”
·“accessType”的新类型“accessType”·“
ISDN-AddressString”类型的“vlr-Number”·“[1]ISDN-AddressString”类型的“SGSN-Number”此外,上面介绍的“AccessType”新类型也可以通过随后的ASN.1符号表示作为具有随后分配的“ENUMERATED”呼叫(0)、紧急情况呼叫(1)、位置更新(2)、辅助服务(3),短信息(4)。在本优选实施例下,因为在本领域任何一个有经验的人可以很容易的理解重新调整的先前的分配将不能充分地影响本发明的目的。
此外,按照在图7中所示的本发明的优选实施例,在上面提及的MAPAFR_req操作中的这些新数据的包含在一个说明性的和非限制下的方式下理解。在这方面,本发明的第二实施例建议的这些新数据包在扩展通信包领域内。
MAP AFR_req信息定义允许在一个扩展通信包内的新数据的介绍。在本发明中建议的所有数据都可以包括在提及的扩展通信包中,例如欺骗指示符。
上述的通信包可以被认作在一个标准信息中的介绍专用信息的装置,并且假如欺骗检测符被包括在那儿,则结果在某种程度上是一个专用解决方案。
因为上文中已经陈述,本发明的一个主要目标是任何操作者可以从它自己的用户中收集所有涉及认证失败的欺骗信息。使用一个专用解决方案将不能完成该目的,因为信息的接收不是依赖于VLR/SGSN提供者,而是依赖于服务的操作者(用于用户的漫游情况)。因此,操作者不能从他自己的用户收集所有认证欺骗的欺骗信息。此外,虽然效率不如优选的实施例,本发明的第二实施例也提出一个合理的装置以提供一个用于欺骗检测的具有第二需要指示符的FDS。
本发明一个进一步的处理步骤是这些新相关欺骗数据的接收,包括在按照图8叙述的HE中的MAP AFR_req操作中。
在包括在MAP AFR_req(S-700)的接收时,HLR将存储接收的数据以及报告(B-500)的时间和日期。
当失败的数目接近一个用于某个用户的给定阈值(B-510)时,一个告警将在HLR(B-520)发出。用于这样一个触发告警的阈值的值将到达FDS。
下一步,一个“认证失败告警”(S-710)将传送到在操作者网络的操作和维护网关(下文中称为OMG)。然后,通过该网关上述认证失败告警(S-720)将到达FDS。
在这样一个告警的接收时,FDS将使用这个命令通过操作和维护网关(S-730)请求在HLR中的存储的认证失败的记录。因而,记录关于认证失败报告的记录的HLR也将被传送到操作和维护网关(S-750),所以他们最终转发给FDS(S-760)。而且,FDS可以与可用的欺骗标准(B-530)一道分析接收的用于欺骗的第二指示符。此外,当在呼叫的数目在一个定义的时间间隔内传送时,在FDS中的这些第二指示符将与某些基本的指示符一道用作检测欺骗位置,例如SIM复制。
权利要求
1.一种在移动电信系统中用于欺骗检测的方法,包括的步骤a)由于不成功的网络认证或不成功的用户认证而从用户认证程序的失败中获得第二欺骗指示符;b)包括上述第二欺骗指示符的认证失败报告信息(MAP AFR_req)从服务环境(3G MSC/VLR,3GSGSN)发送回本地环境(HE HLR),作为用于每一个上述指示符的指定类型的新参数;和C)在原籍位置寄存器(HLR)中存储上述的信息用于进一步处理。
2.一种按照权利要求1的方法,进一步包括的步骤是当用户认证失败的数目超过一个预定值时,通过操作和维护网关(OMC)发送一个告警信息到一个欺骗检测系统(FDS)实体。
3.一种按照权利要求1或2的方法,进一步包括的步骤是从原籍位置寄存器(HLR)获得的认证失败信息(AFR-req)与基本欺骗指示符一道在欺骗检测系统(FDS)实体中处理,用于欺骗检测目的。
4.一种按照任何一个前述的权利要求的方法,特征在于上述的第二欺骗指示符包括通信的接入类型,其中认证程序失败了。
5.一种按照权利要求4的方法,特征在于接入类型至少对应于一个呼叫、一个紧急情况的呼叫、一个位置更新、一个辅助性的服务程序或一个短信息传送。
6.一种按照任何一个前述的权利要求的方法,特征在于上述的第二欺骗指示符包括一个指示认证失败是产生在一个正常的认证尝试还是在一个认证再尝试的再尝试指示符。
7.一种按照任何一个前述的权利要求的方法,特征在于上述的第二欺骗指示符包括访问位置寄存器(VLR)或GPRS服务支持节点(SGSN)地址。
8.一种按照任何一个前述的权利要求的方法,特征在于上述的第二欺骗指示符包括在代替了指定类型的新参数的上述认证失败报告信息(MAP AFR-req)的扩展通信包区域中。
全文摘要
本发明提供一个用于第三代移动通信系统的欺骗检测方法,该系统使用与不成功的认证程序有关的数据例如接入类型、认证再尝试和服务器地址作为第二欺骗指示符。上述数据被包括在从上述的认证程序中的服务环境发送回本地环境的认证失败报告信息的与定义类型区域中,并存储在原籍位置寄存器和发送到欺骗检测系统与基本欺骗指示符一道处理,用于欺骗检测目的。
文档编号G06F21/20GK1357986SQ01133890
公开日2002年7月10日 申请日期2001年11月24日 优先权日2000年11月24日
发明者A·贡扎莱茨, 普拉扎 申请人:艾利森电话股份有限公司