Посредник по предоставлению содержимого и обеспечению защиты в системе мобильной связи

Изобретение относится к способу и устройству для обеспечения функции защиты при передаче данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству сети мобильной связи.

Существующие и новые услуги по передаче данных предоставляют пользователям сети мобильной связи прямой доступ к сети Интернет и другим общедоступным сетям передачи данных. Тем самым используемый для мобильного применения мобильный телефон и используемые в связи с ним дополнительные устройства, например ноутбук или персональный цифровой помощник (портативный компьютер), подобно тому, как и в случае доступа к сети Интернет на основе стационарных сетей, оказывается открытым для самых различных атак третьей стороны.

В документе WO 01 33889 А1 описан способ обеспечения функции защиты при передаче данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству сети мобильной связи, причем в устройстве сетевого узла сети мобильной связи проводится анализ в реальном времени потока данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству, при этом данные с содержанием, ранее определенным пользователем или сетевым оператором/провайдером, распознаются и затем обрабатываются. Индивидуальное для пользователя обеспечение функций защиты в данном случае, очевидно, не гарантируется.

В документе WO 00 36793 А1 описан способ фильтрации пакетов данных в случае соединений протокола GPRS (общие услуги пакетной передачи данных) (GPRS-соединений), чтобы определить так называемый параметр “Quality of Service” (качество обслуживания) соединения передачи пакетных данных и соответствующим образом оказать на него воздействие. Целью этого устройства доступа является скорее не защита от нежелательных и вредных данных, а ускорение передачи данных или наилучшее возможное использование располагаемых ресурсов в сети связи.

Задача изобретения состоит в том, чтобы создать способ и устройство для обеспечения функции защиты при передаче данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству сети мобильной связи, чтобы эффективным образом защитить пользовательское оконечное устройство и подключенные к нему или взаимосвязанные с ним приборы.

Указанная задача решается признаками независимых пунктов формулы изобретения.

Основная идея изобретения заключается в том, чтобы в мобильной сети предложить услугу защиты, индивидуально персонализируемую для каждого подключения к мобильной радиосвязи и каждого пользователя.

Пользователь может интерактивно и динамически согласовывать свои настройки по обеспечению защиты.

Сетевой провайдер может предоставить ряд целесообразных стандартных настроек для функций фильтрации, например защиту от вирусов, защиту от рекламной информации, рассылаемой абонентам электронной почты и т.д.

Функция защиты при этом предлагается в форме специфического для сети устройства в форме устройства защиты и фильтрации. Общую функцию защиты можно сверх того связать с функцией сохранения, то есть части трафика данных временно сохраняются в устройстве и могут вызываться пользователем. Тем самым устройство защиты и фильтрации дополнительно берет на себя функцию так называемого «посредника». «Посредник» может быть определен как «представитель услуги». Посредники принимают запросы от клиента, например оконечного устройства, и передают их, при необходимости в модифицированном виде, в первоначальный целевой объект, например провайдеру Интернет-сервиса. Посредники могут локально сохранять пропускаемые данные и при следующем доступе непосредственно выдавать их. Тем самым одновременно достигается повышение эффективности, так как определенное содержимое может буферизоваться.

В соответствии с изобретением описываемая система может обеспечивать следующие функции защиты:

Фильтрация трафика данных на основе протокола IP/TCP (протокол управления передачей данных/межсетевой протокол) в форме так называемой функции брандмауэра (системы защиты доступа). Кроме того, фильтрация/отклонение пакетов данных из определенного места происхождения (IP-адреса) или пакетов данных от определенных услуг (ТСР-портов) или к определенным услугам (TCP-портам).

Анализ содержимого данных на наличие злонамеренного или критичного, с точки зрения защиты содержимого. Все содержимое, относящееся к соединению передачи данных, анализируется и исследуется по определенным образцам. Сигнатуры вирусов и т.д. отыскиваются и делаются безопасными, прежде чем они смогут попасть в оконечное устройство пользователя.

Анализ содержимого данных на наличие нежелательного содержимого, например, в форме «спама» (рекламной информации, принудительно рассылаемой абонентам электронной почты), рекламы или предосудительного содержания. Для этого все содержимое, относящееся к соединению, анализируется, и указанное пользователем нежелательное содержимое отфильтровывается, например, как запрещенное для предоставления детям и подросткам.

Сетевой провайдер сам может использовать механизмы системы, чтобы для определенных пользователей целенаправленно исключать определенный трафик данных, например платные услуги, если пользователи не являются абонентами соответствующей услуги.

Функция фильтрации для содержимого данных может осмысленным образом и технически с использованием тех же механизмов насыщаться дополнительно следующими функциями.

Например, относительно просто реализуется ограничение объема передаваемых данных. Для этого весь трафик, при определенных обстоятельствах с разделением на входящий и исходящий трафик, суммируется, и дополнительный трафик при превышении лимита, установленного пользователем или провайдером, прекращается.

Дополнительно с помощью компонента для расчета возмещения за услугу проверяется соблюдение бюджета. Пользователи или провайдер могут задавать определенную верхнюю границу для коммуникационных затрат. При превышении установленного бюджета пользователь уведомляется и трафик данных прекращается. За счет этого возможен эффективный контроль расходов и прозрачность расходов.

В систему могут целесообразным способом интегрироваться дополнительные функции.

Если возникают определенные события, т.е. распознаются случаи атаки, отфильтровывается рекламная информация, принудительно рассылаемая абонентам электронной почты («спам»), или системой распознаются подобные события, то осуществляется уведомление абонента или сетевого провайдера, чтобы обеспечить возможность прозрачного контроля отфильтрованных данных.

Пользователь может также установить, должен ли весь трафик проводиться через систему, или он должен проводиться через систему только избирательным образом, т.е. в определенные интервалы времени, после соответствующих событий или при возникновении подозрения относительно возможного злоупотребления.

Согласно дальнейшему развитию изобретения может быть предусмотрена распределенная реализация функций фильтрации, т.е. устройство обеспечения защиты и фильтрации не предусматривается центральным образом в сетевом узле системы мобильной связи, а распределенным или индивидуальным образом размещается в нескольких сетевых узлах. Тем самым снижается нагрузка для отдельных узлов.

Конфигурация системы может:

(а) быть обусловлена пространственно или технически сетевыми узлами, т.е. предусматривать распределение по нескольким сетям или сетевым узлам, или

(b) быть обусловлена функционально, например предусматривать специальные компоненты фильтрации для определенного содержимого данных, например фильтр электронной почты, фильтр вирусов и т.д., или

(с) быть обусловлена архитектурно или средствами программного обеспечения, например, на основе применения специальных аппаратных средств и программного обеспечения системы для выполнения определенных функций.

Диспетчеризация этих дополнительных функций может соответственно осуществляться централизованно с определенных узлов.

Пример осуществления изобретения описан ниже со ссылками на чертеж, который схематично иллюстрирует техническое выполнение системы.

Система является частью сети 10 мобильной связи, которая обеспечивает возможность множеству пользовательских оконечных устройств 13 осуществлять связь с другими общедоступными сетями, например с сетью Интернет 11.

Кроме того, могут предусматриваться подключенные к оконечному устройству 13 мобильной связи взаимосвязанные с ним приборы 14, например персональные компьютеры (РС), персональные цифровые помощники (PDA), интеллектуальные телефоны и т.д., которые обеспечивают возможность комфортабельного мобильного режима использования сети Интернет.

Внутри сети 10 мобильной связи, предпочтительно внутри соответствующего сетевого узла, например коммутатора MSC (центр коммутации мобильной связи), размещено соответствующее изобретению устройство 1 обеспечения защиты и фильтрации, которое в соответствии с изобретением может состоять из следующих функциональных частей.

Общий компонент 2 фильтрации:

Этот компонент имеет изменяемую функцию фильтрации, определяемую пользователем/сетевым провайдером, и анализирует в реальном времени поток 12 данных, обмен которыми производится между оконечным устройством 13 пользователя и сетью Интернет 11. Пользовательский трафик 12 в обоих направлениях проходит через этот фильтр 2 и анализируется в нем.

Компонент 3 аутентификации:

Для использования устройства 1 обеспечения защиты и фильтрации пользователь должен аутентифицировать себя по отношению к системе. Тем самым гарантируется, что не будет осуществляться никакой неавторизованный доступ, например, к персональным настройкам пользователя. Аутентификация в простейшем случае может осуществляться посредством номера вызова MSISDN пользователя. Более надежно и эффективно абонент защищается посредством дополнительного персонального идентификационного номера (PIN) и пароля.

В необходимом случае может использоваться криптографический способ аутентификации, например сертификат пользователя.

Компонент 4 управления:

Этот компонент образует интерфейс между системой и пользователем. Здесь пользователь может устанавливать свои персональные настройки. Это может осуществляться непосредственно через систему мобильной связи, Интернет или основанные на стационарной сети клиентские интерфейсы сетевого провайдера.

База 5 данных:

База 5 данных описывает, какие данные должны отфильтровываться или обрабатываться посредством компонента 2 фильтрации. Эта база 5 данных может предпочтительным образом разделяться на четыре банка данных. Первый банк 6 данных содержит индивидуальные фильтры и настройки для каждого пользователя. Второй банк 7 данных содержит фильтры и настройки по типу мобильного телефона.

Третий банк 8 данных содержит специфические для сетевого провайдера настройки и фильтры и четвертый банк 9 данных содержит общие установки и фильтры.

1. Способ обеспечения функций защиты при передаче данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству сети мобильной связи, содержащий выполнение в устройстве (1) защиты и фильтрации сетевого узла сети (10) мобильной связи анализа в реальном времени потока (12) данных от пользовательского оконечного устройства (13) и к пользовательскому оконечному устройству (13), распознавания данных с содержанием, заранее определенным сетевым оператором/провайдером, и последующей обработки распознанных данных,
отличающийся тем, что
перед указанными этапами выполняют процедуру аутентификации, посредством которой пользователь аутентифицирует себя по отношению к устройству (1) защиты и фильтрации сетевого узла сети мобильной связи.

2. Способ по п.1, отличающийся тем, что упомянутые этапы распознавания и обработки включают в себя распознавание и обработку трафика данных, передаваемого от определенных отправителей и к определенным получателям.

3. Способ по п.1 или 2, отличающийся тем, что обработка распознанных данных включает в себя селектирование, или изолирование, или стирание, или отдельное предоставление в распоряжение абоненту или сетевому оператору/провайдеру для последующей обработки.

4. Способ по п.1, отличающийся тем, что упомянутые этапы распознавания и обработки включают в себя выполнение фильтрации, основанной, в частности, на протоколе IP/TCP трафика данных.

5. Способ по п.1, отличающийся тем, что дополнительно включает ограничение объема передачи данных величиной, установленной пользователем или сетевым оператором.

6. Способ по п.1, отличающийся тем, что дополнительно включает в себя ограничение затрат на передачу данных величиной, установленной пользователем или сетевым оператором.

7. Способ по п.1, отличающийся тем, что при распознавании определенного содержимого данных и/или определенных отправителей осуществляют уведомление пользователя, сетевого оператора или провайдера.

8. Устройство для обеспечения функций защиты при передаче данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству сети мобильной связи, содержащее устройство (1) защиты и фильтрации, включающее в себя
компонент (2) фильтрации для анализа в реальном времени потока данных от пользовательского оконечного устройства и к пользовательскому оконечному устройству,
компонент (3) аутентификации для аутентификации пользователя по отношению к устройству (1) защиты и фильтрации,
компонент (4) администрирования в качестве интерфейса для пользователя,
базу (5) данных для хранения специфических для пользователей и сетевых операторов данных, а также функций защиты и фильтрации,
при этом компонент (2) защиты и фильтрации конфигурирован в одном или нескольких сетевых узлах сети (10) мобильной связи.

9. Устройство по п.8, отличающееся тем, что для определенных содержаний данных установлены конкретные компоненты фильтрации.