CN100388722C - 移动通信系统中的内容和安全代理 - Google Patents

Abstract

本发明涉及一种用于在从移动通信网络的用户终端传输数据以及传输数据到该用户终端的过程中提供安全功能的方法和设备。在移动通信网络的网络节点的设备中执行来自和到用户终端的数据流的实时分析，在分析过程中，利用用户和网络运营商/提供商事先规定的内容识别和处理数据。这可能以最佳的方式保护了终端和与其相连的用户设备防止外部攻击。

Description

移动通信系统中的内容和安全代理

技术领域

本发明涉及一种用于在从移动通信网络的用户终端传输数据以及传输数据到该用户终端的过程中提供安全功能的方法和设备。

背景技术

当前的和新的数据业务为用户提供从移动通信网络直接接入因特网和其他的公共数据网络。因此，应用于移动使用的移动电话以及与这些移动电话操作的附加终端，例如笔记本和个人数字助理，类似还有在基于固定网络接入因特网时，都经历不同的外部攻击。

WO0133889A1公开了用于在从移动通信网络的用户终端传输数据以及传输数据到该用户终端的过程中提供安全功能的方法，其中在移动通信网络的网络节点的设备中，执行来自用户终端和到达用户终端的数据流的实时分析，其中识别和进一步处理带有事先由用户或者网络运营商/供应商规定内容的数据。但是这里公开的内容没有保证用户单独的提供安全功能。

WO0036793A1涉及一种在GPRS通信时过滤数据包的方法，以便确定和影响数据包通信的所谓“服务质量”。这种接入设备的目的是在不希望和令人不愉快数据之前的一点保护，而且是促进数据传输或者最可能地充分利用通信网络的可用容量。

发明内容

本发明的目的在于，提供一种用于在从移动通信网络的用户终端传输数据以及传输数据到该用户终端的过程中提供安全功能的方法和设备，以便保护用户终端和与其相连的或者与其组合的终端功能完整。

该目的通过独立权利要求的特征而实现。

本发明的核心在于，在移动无线网络中每个移动无线连接和用户提供个性化的安全业务。

用户能够交互和动态地匹配其安全调整。

可以由网络运营商预先确定用于过滤功能的标准调整，例如规定病毒保护，广告邮件之前的保护等等。

因此，该保护功能将由一种安全过滤设备形式的网络专用设备提供。该通常的保护功能允许与存储功能耦合，即数据传输部分将暂时存储在该设备中并且能够由电话机进行呼叫。所以，安全和过滤设备能够另外地担任所谓的代理。‘代理’意味着和‘代表的业务’一样多。代理担任了要求一个与此相对相应修改的客户机例如终端进一步到达初始的目标，例如因特网提供商。该代理能够本地放弃通过的数据并直接提供接下来的接入。

因此，由于能够缓冲确定的内容，而同时实现了性能的提高。

根据本发明，从所描述的系统能够提供以下的保护功能：

以所谓的防火墙功能的形式过滤基于IP/TCP的数据传输。进一步，该过滤/拒绝由数据包确定的源(IP地址)或者来自以及用于确定服务(TCP端口)的数据包。

对险恶或者安全危急的内容进行数据内容分析。分析数据连接的总内容，并根据确定的样本进行检查。在它到达用户的终端之前，搜出并无危险地进行病毒指示等等。

对不希望的内容，例如垃圾邮件形式的内容、广告和令人不愉快的内容进行数据内容的分析。为此，分析连接的总内容并过滤出用户确定的不希望的内容，以例如保护小孩和年轻人。

网络运营商自己能够利用系统的这种机制，当用户不再预订这种业务时，从而阻止为确定用户获得的确定数据传输，例如无偿提供的业务。

用于数据内容的过滤功能能够有意义地并技术性地利用自身的机制另外还有以下功能而实现。

例如可以实现相对简单的限制数据传输量。为此，累计在入局和出局传输之后可能分开的总传输，以及在违反用户或运营商规定限制时禁止其他的传输。

另外，能够利用用于计算报酬的组件检查预算遵守。该用户或运营商能够提供用于通信费用的上限。在违反该规定的预算时通知用户，并禁止该数据传输。因此，能够实现一种有效的费用控制和费用透明。

其他的功能能够有意义地集成到该系统中：

当发生确定的事件，即识别到攻击、过滤垃圾邮件或者由系统所识别的类似事件，为了使过滤数据的透明控制成为可能，实现了用户或运营商的通知。

该用户能够根据相应的突发事件或者在无需要的怀疑时，继续管理是否在系统上传送其总的传输或者仅仅选择性传送即到确定的时间。

根据本发明的其他构造，提供了过滤功能的分布实现，即安全和过滤设备不是集中提供在移动通信系统的网络节点，而是分布或者各自位于多个网络节点中。因此，对于单个节点减少了负担。

该系统的设备能够：

(a)如果不是空间就是网络技术受限制，即分布在多个网络或网络节点上，或者

(b)如果功能受限制，例如用于确定数据内容的专用过滤组件，例如电子邮件过滤器、病毒过滤器等等，或者

(c)如果是体系结构或软件技术受限制，根据例如为确定的功能应用专用硬件和系统软件。

其他功能的管理能够分别由确定的节点分开地实现。

附图说明

图1示意性示出了系统的原理构造。

具体实施方式

以下将借助附图描述本发明的实施例。

图1示意性示出了系统的原理构造。

该系统是移动通信网络10的一部分，并允许其大量的用户终端13与其他的公开网络例如因特网11进行通信。

而且，能够提供与移动无线终端13连接的、组合终端14，诸如例如PC、PDA、智能电话等等，这些终端使得进行舒适的移动因特网使用成为可能。

在移动通信网络10内部，优选在相应的网络节点，诸如例如交换中心MSC内部，安排了根据本发明的安全和过滤设备1，根据本发明的该设备能够由以下功能部件构成。

通用的过滤组件2：

该组件具有由用户/网络运营商定义的可变过滤功能，并实时地搜索在用户终端13和因特网11之间交换的数据流12。双向的用户传输12经由该过滤器2传输并在那里进行分析。

认证组件3：

为了利用安全和过滤设备1，用户必须通过与所述系统相比进行认证。因此，保证实现了不能未经授权的访问例如用户的个人设置。在最简单的情况下，这种认证能够以用户的电话号码MSISDN来实现。用户利用其他的PIN或者密码将较为安全和较好地进行保护。

相应地，能够利用加密认证方法，例如用户的证书。

管理组件4：

该组件构成了系统和用户之间的接口。这里，用户能够管理其个人设置。该组件能够直接在网络运营商的移动无线系统、因特网或者基于固定网络的客户端接口上予以实现。

数据库5：

数据库5描述了通过过滤组件2过滤出或处理哪些数据。数据库5能够有利地分成四个数据库。第一数据库6包含各个过滤器和每个用户的设置。第二数据库7包含每个移动站-Typ的过滤器和设置。

第三数据库8包含网络运营商专用的设置和过滤器，以及第四数据库9包含公共设置和过滤器。

Claims (10)

1.一种在从移动通信网络的用户终端传输数据以及传输数据到该用户终端的过程中提供安全功能的方法，其中在移动通信网络(10)的网络节点的安全和过滤设备(1)中执行来自用户终端(13)和到达该用户终端的数据流(12)的实时分析，其中识别和进一步处理带有事先由用户或者网络运营商/提供商规定内容的数据，其特征在于，首先执行认证方法，通过该认证方法来认证所述用户以使得所述用户能利用所述安全和过滤设备(1)。

2.根据权利要求1所述的方法，其特征在于，识别和进一步处理来自和到达规定发送者和接收者的数据传输。

3.根据权利要求1或2所述的方法，其特征在于，被识别的所述数据被选择、或被分离、或被清除、或供用户或网络运营商/提供商单独进一步处理所使用。

4.根据权利要求1或2所述的方法，其特征在于，执行基于IP/TCP数据传输的过滤。

5.根据权利要求1或2所述的方法，其特征在于，将突然袭击的数据传输量限制在由用户或网络运营商确定的量上。

6.根据权利要求1或2所述的方法，其特征在于，将突然袭击的数据传输费用限制在由用户或网络运营商确定的量上。

7.根据权利要求1或2所述的方法，其特征在于，在识别确定的数据内容和/或发送者时通知所述用户、网络运营商或提供商。

8.一种在从移动通信网络的用户终端传输数据以及传输数据到该用户终端的过程中提供安全功能的设备，其包括有安全和过滤设备(1)，该安全和过滤设备具有以下组件：

过滤组件(2)，用于实时分析来自和到达所述用户终端的数据流；

认证组件(3)，用于认证用户以使得所述用户能利用所述安全和过滤设备(1)；

管理组件(4)，用作用户的接口；

数据库(5)，用于存储用户和网络运营商专用数据以及安全和过滤功能的数据。

9.根据权利要求8所述的提供安全功能的设备，其特征在于，在移动通信网络(10)的一个或多个网络节点中设置安全和过滤设备(1)。

10.根据权利要求8或9所述的提供安全功能的设备，其特征在于，所述过滤组件(2)是电子邮件过滤器或病毒过滤器。

Images