Виртуальная закрытая сеть

Изобретение относится к области мобильной связи. Технический результат изобретения заключается в защите от определения местоположения абонентов сети подвижной связи. Способ построения виртуальной закрытой сети основывается на использовании динамически меняющейся связки телефонных номеров защищаемых абонентов. Программный модуль ядра формирует два абонентских номера: публичный телефонный номер, который отображается на экране телефона у вызывающих абонентов, и внутренний телефонный номер, который периодически меняется и на который устанавливается переадресация с публичного номера защищаемых абонентов при входящих и исходящих звонках и смс-сообщениях. Программный модуль ядра контролирует связку публичного и внутренних телефонных номеров защищаемых абонентов и устанавливает периодически меняющуюся переадресацию на номера защищаемых абонентов, содержит алгоритмы подмены местоположения защищаемых абонентов, фильтрует и управляет телефонными звонками и смс-сообщениями защищаемых абонентов и содержит правила по их защите при локализации через пакетную передачу данных. 8 ил.

 

Область техники, к которой относиться изобретение

Способ построения виртуальной закрытой сети относится к области мобильной связи, а именно способу защиты от определения местоположения защищаемых абонентов сети подвижной связи.

Уровень техники

Известен (RU, патент №2428808) способ и устройство для организации защиты информации о местоположении и управления доступом с использованием информации о местоположении, который состоит из блока беспроводной передачи/приема (WTRU) и включает в себя объект определения местоположения и модуль идентификации абонента (SIM). Объект определения местоположения формирует информацию о местоположении WTRU, и информация о местоположении сохраняется в защищенной области SIM. Модуль доверительной обработки в WTRU верифицирует целостность информации о местоположении. Модуль доверительной обработки может находиться на SIM. Информация о местоположении может быть информацией о физическом местоположении или имеющей отношение к вытекающему из контекста местоположению информацией. Модуль доверительной обработки сконфигурирован для криптографической защиты и привязывания информации о местоположении к WTRU, и верификации метрик доверия внешнего объекта перед предоставлением доступа к информации о местоположении или признанием информации от внешнего объекта. Модуль доверительной обработки может быть доверенным модулем платформы (ТРМ) или доверенным модулем мобильной связи (МТМ) группы доверительных вычислений (TCG). Информация о местоположении может использоваться с целью аутентификации или для управления доступом. Информация о местоположении может объединяться с информацией о времени.

В сетях подвижной связи, после процедуры регистрации абонента в центре коммутации сетей подвижной связи (MSC), возможно определение идентификаторов соты (LAC+CI), которые в настоящий момент обслуживают абонента и при наложении этой информации на карту радио покрытия оператора подвижной связи, можно определить точное местоположение абонента.

Недостатком известного способа следует признать сложность и то, что он не блокирует запросы, отправленные в коммутатор оператора на определение текущей соты (LAC+CI). В этой процедуре телефон не задействуется, а коммутатор возвращая информацию по текущей соте полностью демаскирует (выдает) местоположение абонента.

Раскрытие сущности изобретения

Техническим результатом является способ построения виртуальной закрытой сети, в которой абоненты защищены от попыток определения местоположения, перехвата голосового и смс-трафика в сети подвижной связи.

Технический результат достигается представленным способом построения виртуальной закрытой сети, состоящей из:

- Программного модуля ядра системы и модуля управления компонентами комплекса, осуществляющих управление всеми частями системы, содержащих информацию обо всех абонентах комплекса, об их услугах, правила управления сигнальным трафиком, алгоритмы блокировки или подмены местоположения, правила по работе с IP пакетами и алгоритмы по противодействию системам позиционирования других операторов.

- Программного модуля обработки ОКС7 трафика, обеспечивающего интеграцию комплекса с сетью ОКС7, с использованием IP в качестве транспорта. Используются протоколы SCTP, M3UA. Модуль обработки получает и генерирует сообщения протокола ОКС7, обеспечивая работу компонентов системы со всеми элементами опорной сети ОПС.

- Программного модуля обработки и коммутации речевых каналов связи, который интегрируется с коммутаторами ОПС по протоколам SIP или SIP-I (SIP-T) и предназначен для коммутации речевых каналов, проигрывания автоинформаторов, работы DTMF, записи голосовых каналов и организацию конференций. Модуль может как терминировать голосовые вызовы, так и инициировать их самостоятельно.

- Программного модуля анализа пакетного трафика (DPI), предназначенного для анализа, фильтрации и(или) блокировки трафика пакетной передачи данных абонентов. DPI позволяет выявлять и блокировать попытки локализации абонентов, сделанные через web-протоколы и предотвращает утечку конфиденциальной информации.

Для каждого из защищаемых абонентов при построении виртуальной закрытой сети создается два идентификатора (абонентских номера): 1 номер - «публичный», на который абонент принимает телефонные звонки и при исходящих звонках отображается на экране телефона у других абонентов; 2 номер - это «внутренний» номер абонента, который нужен для установки переадресаций и является тем номером, на который абонент имеет возможность принимать звонки и CMC сообщения (номер устройства беспроводной или проводной связи). Программный модуль ядра системы контролирует связку данных номеров, обеспечивая установку динамической (периодически меняющейся) переадресации и обезличиванием данных защищаемых абонентов с сохранением всех абонентских сервисов.

Краткое описание чертежей

Подробное описание способа построения виртуальной закрытой сети и сценарии работы представлены на фигурах ниже:

Фиг 1. Общая схема способа построения виртуальной закрытой сети и ее интеграция в сеть ОПС.

Фиг 2. Схема регистрации абонента в виртуальной закрытой сети.

Фиг 3. Схема обработки входящего вызова защищаемых абонентов.

Фиг 4. Схема обработки исходящего вызова защищаемых абонентов.

Фиг 5. Схема обработки входящего CMC сообщения защищаемых абонентов.

Фиг 6. Схема обработки исходящего CMC сообщения защищаемых абонентов.

Фиг 7. Схема маскировки защищаемых абонентов от определения их местоположения внешними запросами.

Фиг 8. Схема работы сервиса передачи данных защищаемых абонентов.

Осуществление изобретения

Иллюстрируется Фиг. 1. Общая схема построения виртуальной закрытой сети и интеграция в сеть ОПС.

Сценарии работы виртуальной закрытой сети.

Регистрация защищаемых абонентов в сети подвижной связи (Фиг. 2): после включения устройства беспроводной связи (мобильного телефона защищаемого абонента) в модуль ОКС7 контроллер поступает запрос на разрешение регистрации в центре коммутации сети подвижной связи, программный модуль ядра системы разрешает регистрацию и определяет необходимый набор информации, разрешенный для данного центра коммутации сети подвижной связи. Идентификаторы центра коммутации (GT) сохраняются и могут использоваться для работы сервисов защищаемых абонентов. Модуль ядра системы фиксирует факт регистрации и контролирует необходимость переадресации вызовов защищаемых абонентов.

Обслуживание входящего вызова для защищаемых абонентов (Фиг. 3): при поступлении входящего вызова на «публичный» номер защищаемого абонента из центра коммутации сети подвижной связи (MSC) или из сети общего пользования (ТфОП), MSC отправляет вызов в модуль обработки речевых каналов связи. Модуль ядра системы анализирует входящий номер абонента А, номер вызывающего абонента В и установленные настройки переадресации. Далее, по результатам анализа, вызов разрешается или запрещается.

Обслуживание исходящего вызова защищаемого абонента (Фиг. 4): из центра коммутации сети подвижной связи (MSC) или сети общего пользования (ТфОП) на модуль обработки трафика ОКС7 поступает запрос на разрешение исходящего вызова от защищаемого абонента. Модуль трафика ОКС7 дает разрешение на исходящий звонок. Исходящий вызов защищаемого абонента поступает в модуль обработки речевых каналов и делает запрос параметров изменения номера защищаемого абонента в модуль ядра системы. Модуль ядра системы отправляет модулю речевых каналов связи параметры изменения номера защищаемого абонента. Модуль обработки речевых каналов отправляет вызов защищаемого абонента с «публичным» номером в телефонную сеть общего пользования (ТфОП) или в направлении других операторов подвижной связи.

Обслуживание входящего CMC сообщения для защищаемых абонентов (Фиг. 5): из центра рассылки текстовых сообщений (SMSC) входящее CMC сообщение поступает на «публичный» номер защищаемого абонента и в модуль обработки трафика ОКС7. Модуль обработки трафика ОКС7 посылает запрос в модуль ядра системы на разрешение входящего CMC сообщение. Модуль ядра системы анализирует входящий номер защищаемого абонента, номер абонента-отправителя и настройки переадресации. В зависимости от настроек защищаемого абонента, модуль ядра системы дает разрешение (или не разрешает) на входящее CMC сообщение. CMC сообщение поступает (или нет) на «внутренний» номер защищаемого абонента, если беспроводной терминал абонента поддерживает функциональность приема CMC сообщений.

Обслуживание исходящего CMC сообщения защищаемых абонентов (Фиг. 6): исходящее CMC сообщение от защищаемого абонента с «внутренним» номером поступает в центр рассылки текстовых сообщений (SMSC). Центр рассылки текстовых сообщений (SMSC) делает запрос в модуль обработки ОКС7 на разрешение исходящего текстового сообщения. Модуль обработки ОКС7 делает запрос параметров изменения номера в модуль ядра системы. Модуль ядра системы отправляет модулю обработки ОКС7 параметры изменения номера с «внутреннего» на «публичный». Исходящее текстовое сообщение от защищаемого абонента с «публичным» номером отправляется получателю.

Работа системы позиционирования (LBS) (Фиг. 7) в сети подвижной связи: при поступлении входящего запроса от системы позиционирования (LBS), модуль обработки ОКС7 делает запрос в модуль ядра системы, анализирует отправителя запроса и выбирает одно из следующих решений:

a) Заблокировать определение местоположение абонента.

b) Возвратить измененное местоположение.

c) Возвратить настоящее местоположение.

Ответ на запрос, в зависимости от алгоритма скрытия местоположения каждого защищаемого абонента, возвращаются системе позиционирования (LBS).

Работа пакетной передачи данных (Фиг. 8): из центра поддержки пакетной радиопередачи (GGSN) поступают запросы, которые направляются в модуль анализа пакетного трафика (DPI), анализирующий трафик пакетной передачи данных защищаемых абонентов. Модуль анализа пакетного трафика (DPI) производит разборку и анализ содержимого IP пакетов, и на основании этого принимает решение о дальнейшем пропуске, изменении или блокировке передачи данных в модуль ядра системы. Если ядро системы дает разрешение на передачу данных для защищаемых абонентов, модуль анализа пакетного трафика (DPI) передает данные для абонента в сеть интернет или модуль ядра системы блокирует передачу данных для защищаемых абонентов. Сервисы, использующие защищенные каналы связи (ssh, https и пр.) предоставляются после анализа сервера получателя IP пакета и наличии разрешения в настройках модуля анализа пакетного трафика (DPI) для защищаемого номера абонента.

Способ построения виртуальной закрытой сети основывается на использовании динамически меняющейся связки телефонных номеров защищаемых абонентов, при котором программный модуль ядра формирует два абонентских номера: публичный телефонный номер, который постоянен, отображается на экране телефона у вызывающих абонентов, на который поступают входящие звонки и смс-сообщения, и внутренний телефонный номер, который периодически меняется и на который устанавливается переадресация с публичного номера защищаемых абонентов при входящих и исходящих звонках и смс-сообщениях, отличающийся тем, что программный модуль ядра контролирует связку публичного и внутренних телефонных номеров защищаемых абонентов и устанавливает периодически меняющуюся переадресацию на номера защищаемых абонентов, содержит алгоритмы подмены местоположения защищаемых абонентов, фильтрует и управляет телефонными звонками и смс-сообщениями защищаемых абонентов и содержит правила по их защите при локализации через пакетную передачу данных.



 

Похожие патенты:

Изобретение относится к системам связи и управления и может быть использовано для создания транспортных сетей полевой системы связи, осуществляющих образование каналов и трактов, коммутацию и передачу по магистральным линиям связи различного вида информации.

Изобретение относится к области технологии сетевых коммуникаций. Техническим результатом является повышение скорости и точности идентификации первого пользователя вторым пользователем.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в обеспечении обмена информацией для подключения при соединении устройств.

Изобретение относится к беспроводной связи и предназначено для обнаружения того, когда мобильный терминал находится в состоянии, в котором он не допускает отклик на сообщение.

Изобретение относится к беспроводной связи. Технический результат заключается в повышении эффективности радиоинтерфейса и улучшении выделения нового спектра.

Изобретение относится к технологии мобильной связи и характеризует выбор режима межмашинной связи. Абонентский терминал (UE) содержит компонент для обеспечения режимов передачи, селекторный компонент и передающий компонент.

Группа изобретений относится к системам защиты данных. Технический результат заключается в повышении эффективности защиты данных.

Изобретение относится к аппаратно-программным комплексам сетевой связи, а именно к способам определения типа проходящего сетевого трафика семиуровневой модели OSI для фильтрации и управления скоростью сетевых соединений.

Изобретение относится к области телекоммуникаций. Технический результат заключается в сокращении времени организации сети связи с одновременным обеспечением гарантированной защиты от несанкционированного доступа передаваемых по радиоэфиру настроечных данных.

Изобретение относится к области беспроводной связи. Техническим результатом является содействие инициализации маршрутизатора для пользователя.

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является определение, является ли программная сущность вредоносной, на основе множества показателей оценки соответствующей сущности, что позволяет создать более надежное антивредоносное решение по сравнению с аналогичными традиционными решениями.

Группа изобретений относится к системам, управляемым вычислительными устройствами. Способ для управления включением и выключением интеллектуальной розетки заключается в том, что обнаруживают, что текущее время достигает времени временной привязки, захватывают сохраненную информацию временной привязки и отправляют инструкцию временной привязки связанной интеллектуальной розетке через локальную вычислительную сеть.

Изобретение относится к области беспроводной связи. Техническим результатом является содействие инициализации маршрутизатора для пользователя.

Изобретение относится к области связи, а именно к связыванию между пользователем и интеллектуальным устройством. Технический результат – повышение эффективности связывания пользователя и интеллектуального устройства.

Группа изобретений относится к области управления проектами и обеспечению визуализации и взаимодействия с цифровыми модулями информационного моделирования зданий (BIM).

Комплекс сопряжения виртуальных и реальных радиосетей относится к тренажеростроению и может быть использован для совместного обучения учащихся, как на виртуальных тренажерах радиосредств, так и на реальных радиосредствах.

Изобретение относится к области связи. Технический результат изобретения заключается в обеспечении управления отказами, реализуемого путем формирования сообщений об отказах и их обработкой в среде виртуализации сетевых функций NFV.

Изобретение относится к способу передачи данных пользовательского ввода от беспроводного устройства получателя на беспроводное устройство источника. Технический результат заключается в обеспечении возможности пользователю беспроводного устройства получателя управлять беспроводным устройством источника и контентом, который передается от беспроводного устройства источника на беспроводное устройство получателя.

Изобретение относится к области технологий связи. Техническим результатом является обработка короткого сообщения.

Изобретение относится к предоставлению объекта, относящегося к услуге. Технический результат – повышение эффективности предоставления объекта, относящегося к услуге.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных.

Изобретение относится к области мобильной связи. Технический результат изобретения заключается в защите от определения местоположения абонентов сети подвижной связи. Способ построения виртуальной закрытой сети основывается на использовании динамически меняющейся связки телефонных номеров защищаемых абонентов. Программный модуль ядра формирует два абонентских номера: публичный телефонный номер, который отображается на экране телефона у вызывающих абонентов, и внутренний телефонный номер, который периодически меняется и на который устанавливается переадресация с публичного номера защищаемых абонентов при входящих и исходящих звонках и смс-сообщениях. Программный модуль ядра контролирует связку публичного и внутренних телефонных номеров защищаемых абонентов и устанавливает периодически меняющуюся переадресацию на номера защищаемых абонентов, содержит алгоритмы подмены местоположения защищаемых абонентов, фильтрует и управляет телефонными звонками и смс-сообщениями защищаемых абонентов и содержит правила по их защите при локализации через пакетную передачу данных. 8 ил.

Наверх