-
Die
Erfindung bezieht sich auf Telekommunikationssysteme. Speziell bezieht
sich die Erfindung auf ein Verfahren und ein System zum Schützen der Nutzeridentität eines
Service- bzw. Dienstnutzers vor dem Service-Provider in einem mobilen
Kommunikationsnetzwerk, wobei der diesbezügliche Service bzw. Dienst
ein Inhaltsdienst ist, welcher die geographische Information des
Dienstnutzers nutzt.
-
Stand der
Technik
-
Die
Netzwerk-Operatoren mobiler Kommunikationsnetzwerke haben in bemerkenswerter
Weise die Anzahl ihrer Dienste und die Zusammenarbeit mit den Service-Providern
in den letzten Jahren bemerkenswert erhöht. Die Anzahl der Dienste
ist breit gefächert,
und die meisten der Dienste erfordern keine speziellen Lösungen des
Operators, z.B. um den Schutz der Identität des Nutzers zu garantieren. Heutzutage
sind die Operatoren jedoch willens, z.B. ihre Inhaltsdienste zu
entwickeln, und auf die Bedeutung des Schutzes der Identität wird in
bemerkenswerter Weise Wert gelegt, da die gelieferten Dienste empfindliche
Information beinhalten kann, welche z.B. mit geographischer Information
vergleichbar ist. Im Allgemeinen sprechen Leute über einen Kunden, d.h. über den
Nutzer des Dienstes, und über
einen Netzwerk-Operator oder einen Telefon-Operator, welcher Netzwerkdienste
anbietet, wie z.B. die Übertragung
eines Anrufs, das Anklopfen, Antwortdienste, Konferenzanrufe, etc..
Als dritte Partei gibt es nun die Inhalts-Provider, welche nachfolgend
als Service-Provider bezeichnet werden. Diese Interessengruppen
liefern Inhaltsdienste, wie z.B. Horoskope, Nachrichtendienste,
Zeittabellen, etc.. Das Auftreten einer dritten Partei zwischen
dem Kunden und dem Netzwerk-Operator kann zu Veränderungen des Kompilierens
derartiger Identitäten
führen,
welche den Datenschutz des Kunden, d.h. des Nutzers des Dienstes,
beeinträchtigen
können.
Nach der gegenwärtigen
Rechtssprechung kann dem Inhalts-Provider keine Information gegeben
werden, welche den Schutz der Identität des Kunden beeinträchtigen könnte.
-
Beispielsweise
sind in dem GSM mehrere Register definiert, welche unterschiedliche
Datenbanken sind. Auf dem Heimatregister HLR werden die Teilnehmerdetails
permanent gespeichert, welche bei der Herstellung der Dienste benötigt werden, ungeachtet
der Tatsache, wo der Teilnehmer zu jedem Zeitpunkt platziert ist
bzw. sich aufhält.
Derartige Details des Teilnehmers sind z.B. die internationale mobile
Teilnehmeridentität
(IMSI, International Mobile Subscriber Identity), die ISDN-Nummer
der Mobilstation (MSISDN), zusätzliche
Dienste, welchen der Teilnehmer zugestimmt hat, bestimmte Information über den
augenblicklichen Ort des Teilnehmers. Entsprechend dem Stand der
Technik gibt es auch das Service bietende, mobile Standortzentrum
(SMLC, Servicing Mobile Location Centre), welches zur Standortzuordnung
der Position des Dienstnutzers zu dieser Zeit benutzt wird. Zuvor
sprachen Leute gewöhnlich über ein
mobiles Standortzuordnungszentrum (MLC, Mobile Location Centre),
aber da nun die momentane Position des Teilnehmers der Dienste genau
dem Standort zugeordnet werden muss, sind die Leute zum Gebrauchen
des zuvor erwähnten SMLC übergewechselt.
-
Auf
dem Besucherregister VLR werden die Teilnehmerdetails, welche für die Herstellung
der Dienste notwendig sind, für
die Zeitperiode, in welcher sich der Teilnehmer in der Dienstumgebung
der dienstgebenden Mobilzentren des VLR aufhält, vorübergehend gespeichert. Wenn
die Mobilstation in dem fraglichen Service-Bereich detektiert wird,
fragt die VLR das HLR nach diesen Details. Zusätzlich zur Information in dem
HLR wird die vorübergehende mobile
Teilnehmeridentität
(TMSI, Temporary Mobile Subscriber Identity) auf dem VLR gespeichert.
Dies wird beim Signalübertragen
auf einem Funkpfad anstatt dem IMSI benutzt, da gewünscht wird,
die permanente Identität
geheim zu halten. Zusätzlich
gibt es im VLR die Standortbereichsidentität (LAI, Location Area Identity)
zur augenblicklichen Zeit des Teilnehmers.
-
Das
Authentifizierungszentrum (AUC, Authentification Centre) ist eine
Datenbank, welche Details über
den Teilnehmer beinhaltet, welche sich auf die Informationssicherheit
beziehen. Das AUC prüft, ob
der Teilnehmer derjenige ist, welcher er oder welche sie beansprucht
zu sein (IMSI/TMSI). Das AUC beinhaltet auch die Schlüssel der
Verschlüsselung, welche
bei dem Funkpfad benutzt wurden.
-
Zusätzlich ist
entsprechend dem Stand der Technik die Bedeutung des drahtlosen
Applikationsprotokolls (WAP, Wireless Application Protocol) nicht als
eine alternative Aktionsweise zu leugnen, wenn Komponenten geplant
werden, welche die Dienstanforderung des Netzwerk-Operators steuern.
Das Gebrauchen des drahtlosen Applikationsprotokolls wird mehr und
mehr bei Lösungen
gebräuchlich,
bei welchen eine Verbindung zwischen portablen Endgeräten notwendig
ist, wie z.B. bei Mobilstationen und den Internet-Applikationen,
z.B. elektronisches Mail, WWW (World Wide Web), neuen Gruppen. Das drahtlose
Applikationsprotokoll liefert eine Architektur, welche Mobiltelefone,
Browser-Programme von Mobiltelefonen und das WWW adaptiert, um als
eine funktionale Einheit zu arbeiten. Der Betrag an Information,
welcher in dem Netzwerk zwischen dem Kunden, dem Netzwerk-Operator
und dem Service-Provider zu übertragen
ist, ist zu einem Problem geworden. Der Operator muss in der Lage
sein, sich um den Schutz der Identität des Kunden zu kümmern, und
muss versuchen, zu verhindern, dass Information schließlich in
die Hände
von Leuten gelangt, die nicht davon betroffen sind. Zur gleichen
Zeit muss der Operator in der Lage sein, aus dem Informationsfluss
die wesentliche Information herauszusuchen, welche benötigt wird,
um in der Lage zu sein, den Dienst dem richtigen Teilnehmer zuzuordnen.
-
In
dem Artikel: "Achieving
User Privacy in Mobile Networks",
B. Askwith, M. Merabti, Q. Ski, K. Whiteley, 8. Dezember 1997, S.
108–116,
wird eine Lösung
zum Sichern der Privatsphäre
in einem mobilen Kommunikationssystem beschrieben. Bei dieser Lösung wird
der Ort eines mobilen Teilnehmers vor dem Heimatnetzwerk versteckt,
die Identität
des mobilen Teilnehmers wird vor dem besuchten Netzwerk versteckt
und die Vertraulichkeit der Nachricht wird zugesichert. Als Erstes
wird wenigstens ein Anonymitätsserver
benutzt, um die Identität
des Senders einer gegebenen Nachricht vor dem Empfänger der Nachricht
zu verbergen. Die zu übertragene
Nachricht wird verschlüsselt,
indem ein öffentlicher Schlüssel des
Empfängers
benutzt wird. Daraufhin wird die Quelladresse verschlüsselt, indem
ein Schlüssel
benutzt wird, der dem Anonymitätsserver bekannt
ist und in der Nachricht enthalten ist. Der Empfänger schließt die verschlüsselte Quelladresse in
seine Antwortnachrichten an den Anonymitätsserver mit ein, um das Wegleitlenken
dieser Antwortnachrichten an die Quelladresse freizugeben. Die Architektur
der mobilen Kommunikationsnetzwerke betreffend wird in dem Artikel
ein System veröffentlicht, in
welchem ein mobiler Teilnehmer über
ein lokales Netzwerk bei Anforderung eines Heimatnetzwerkes authentifiziert
wird. Nach der Authentifizierung informiert das Heimatnetzwerk das
lokale Netzwerk über den
Erfolg der Authentifizierung. Das lokale Netzwerk wird durch den
mobilen Teilnehmer für
das Heimatnetzwerk authentifiziert, so dass das lokale Netzwerk
ein Sendeberechtigungszeichen blind abzeichnet, welches durch das
Heimatnetzwerk gesandt wurde, und das abgezeichnete Sendeberechtigungszeichen
wird über
den mobilen Teilnehmer zurück zum
Heimatnetzwerk gesandt. Das Heimatnetzwerk informiert den mobilen
Teilnehmer über
den Erfolg der Authentifizierung des lokalen Netzwerks. Zwischen
dem Heimatnetzwerk und einem besuchten Netzwerk wird ein Mischnetzwerk
angewandt, welches eine Anzahl von Anonymitätsservern aufweist.
-
Die
Lösung,
welche durch Askwith et al. beschrieben wird, hat den Nachteil,
dass sie zu kompliziert für
die Fälle
ist, wo nur die Identität
des mobilen Teilnehmers vor einem externen, über einen Wert hinzugefügten Service-Provider
verborgen werden muss. Beispielsweise erfordert das Liefern eines Misch netzwerkes
von einem mobilen Netzwerk-Operator eine Extra-Investition. Außerdem wird in der beschriebenen
Lösung
von Askwith et al. nicht veröffentlicht,
wie man im Falle einer Kommunikation von drei Parteien vorgeht,
z.B., wenn die dritte Partei ein Positionierservice ist, welcher
in Verbindung mit einem mobilen Kommunikationsnetzwerk geliefert wird.
-
Aufgabe der
Erfindung
-
Die
Aufgabe der vorliegenden Erfindung besteht darin, eine neue Art
von Verfahren und System zu veröffentlichen,
welches die oben aufgeführten Nachteile
eliminiert oder wenigstens signifikant mindert. Eine spezielle Aufgabe
der Erfindung besteht darin, ein Verfahren und ein System zu veröffentlichen,
welches es ermöglicht,
die Nutzeridentität
eines Dienstnutzers vor dem Service-Provider in einem mobilen Kommunikationsnetzwerk
zu schützen.
Jedoch wird der Schutz bei einem derartigen Niveau bewirkt, dass
der Service-Provider die Information erhält, welche ausreichend genug
für ihn
oder sie ist, um in der Lage zu sein, den Dienst an den richtigen Teilnehmer
zu richten.
-
Kurze Beschreibung
der Erfindung
-
In
der vorliegenden Erfindung wird eine Nutzeridentität eines
Dienstnutzers vor dem Service-Provider in einem mobilen Kommunikationsnetz geschützt, wie
z.B. dem GSM-Netzwerk (Global System for Mobile Telecommunications
bzw. Globales System für
Mobile Telekommunikation, GSM). Der Term "Service-Provider" bezieht sich auf den Provider bzw.
Lieferanten der Inhaltsdienste im Unterschied zum Telefonoperator,
welcher Netzwerkdienste liefert. Entsprechend bezieht sich der Term „Service
bzw. Dienst" auf
den Inhaltsdienst im Unterschied zu den Netzwerkdiensten. Speziell
bezieht sich der Dienst im Nachfolgenden im Allgemeinen auf einen
Inhaltsdienst, welcher die geographische Information des Dienstnutzers
nutzt.
-
Eine
Dienstanforderung, welche die Nutzeridentität des Dienstnutzers enthält, wird
von der Endgeräteeinrichtung
des Dienstnutzers gesandt. Unter der Nutzeridentität wird der
Weg des Identifizierens des Nutzers in unzweideutiger Weise verstanden, welcher
durch die in Gebrauch befindliche Mobilstation benutzt wird und
welcher an sich selbst bekannt ist, wie z.B. die MSISDN-Nummer (Mobile
Subscriber Integrated Services Digital Network bzw. Mobile Teilnehmer-integrierte
Dienste im Digitalen Netzwerk, MSISDN), der IMEI-Code (International
Mobile Station Equipment Identity bzw. Internationale Mobilstationsgeräte-Identität, IMSI)
oder die TMSI-Identität (Temporary
Mobile Subscriber Identity bzw. Zeitweilige Mobile Teilnehmeridentität, TMSI).
Eine modifizierte Dienstanforderung wird an das Gerät des Service-Providers übertragen,
mit deren Hilfe eine Dienstantwort generiert wird. Die Dienstantwort
wird von dem Gerät
des Service-Providers gesandt und wird an die Endgeräteeinrichtung
des Dienstnutzers übertragen.
Die Dienstanforderung wird an das Service-Gateway gerichtet, welche
die verschlüsselnde Partei
nach der anonymen Identität
fragt, welche der fraglichen Nutzeridentität entspricht. Die fragliche
anonyme Identität
wird mit Hilfe einer Verschlüsselungseinrichtung
erzeugt. Die Nutzeridentität
und die entsprechende anonyme Identität werden in einer Identifikationsdatenbank
gespeichert. Die anonyme Identität
wird an das Service-Gateway gesandt, in welchem die Dienstanforderung
in einer derartigen Weise modifiziert wird, dass die Nutzeridentität durch die
anonyme Identität
ersetzt wird. Danach wird die modifizierte Dienstanforderung an
das Gerät
des Service-Providers
gerichtet. Eine geographische Informationsanforderung, welche die
anonyme Identität
enthält,
wird von dem Gerät
des Service-Providers an das Ortsregister gesandt, welches aus der
Datenbank eine Nutzeridentität
wiedererstellt, welche der fraglichen anonymen Identität entspricht.
Die fragliche Nutzeridentität
hilft, die geographische Information des Dienstnutzers herauszufinden.
Die geographische Information und die entsprechende anonyme Identität werden
an das Gerät
des Service-Providers gesandt. Die Dienstantwort wird auf der Grundlage der
fraglichen geographischen Information erzeugt. Die Dienstantwort,
welche die anonyme Identität
enthält,
wird an das Service-Gateway gerichtet, welches aus der Identifikationsdatenbank
eine Nutzeridentität wiedergewinnt,
welche der anonymen Identität
entspricht. Die Dienstantwort wird an die Endgeräteeinrichtung des Dienstnutzers
mit Hilfe der fraglichen Nutzeridentität gerichtet.
-
In
einer Ausführungsform
der Erfindung wird die Nutzeridentität und die entsprechende anonyme Identität von der
Identifikationsdatenbank nach einer vorher festgelegten Zeit entfernt.
-
In
einer Ausführungsform
der Erfindung werden die Nutzeridentität und die entsprechende anonyme
Identität
von der Identifikationsdatenbank nach einer vorher festgelegten
Anzahl von Anfragen entfernt.
-
In
einer Ausführungsform
der Erfindung wird die geographische Information durch Wiedergewinnen
derselben aus dem SMLC-Zentrum (Servicing Mobile Location Centre
bzw. Servicelieferndes Mobiles Ortszentrum, SMLC) des mobilen Kommunikationsnetzwerkes
herausgefunden.
-
In
einer Ausführungsform
der Erfindung wird die geographische Information durch Wiedergewinnen
derselben aus der Ortsdatenbank herausgefunden, welche durch das
Ortsregister gewartet wird.
-
In
einer Ausführungsform
der Erfindung ist das Service-Gateway
in Zusammenhang mit dem SMS-Zentrum (Short Message Service bzw.
Kurzmitteilungsdienst, SMS) des mobilen Kommunikationsnetzwerkes
angeordnet.
-
In
einer Ausführungsform
der Erfindung ist das Service-Gateway
in Verbindung mit dem WAP-Gateway (Wireless Applica tion Protocol
bzw. Drahtloses Applikationsprotokoll, WAP) des mobilen Kommunikationsnetzwerkes
angeordnet.
-
In
einer Ausführungsform
der Erfindung ist die Nutzeridentität die MSISDN-Nummer der Endgeräteeinrichtung
des Dienstnutzers.
-
In
einer Ausführungsform
der Erfindung ist das mobile Telekommunikationsnetzwerk ein GSM-Netzwerk.
-
Verglichen
mit dem Stand der Technik liefert die vorliegende Erfindung den
Vorteil, dass sie es ermöglicht,
die Nutzeridentität
des Dienstnutzers vor dem Inhalts-Provider zu schützen. Dies
macht es auf der anderen Seite möglich,
derartige Inhaltsdienste eines mobilen Kommunikationsnetzwerkes
zu entwickeln und/oder zu liefern, welche die geographische Information
des Dienstnutzers nutzt, da dank der Erfindung keine empfindliche
Information, welche aus der Kombination der Identität und des
Ortes des Dienstnutzers resultiert, zum Schluss zu der dritten Partei
gelangt, d.h. zu dem Inhalts-Provider.
-
Kurze Beschreibung
der Zeichnungen
-
In
dem folgenden Abschnitt wird die Erfindung durch Hinzufügen der
beigefügten
Beispiele über
deren Ausführungsformen
mit Bezug auf die beigefügten
Zeichnungen beschrieben, in welchen:
-
1 schematisch
ein System der Erfindung darstellt; und
-
2 schematisch
ein anderes System der Erfindung darstellt.
-
Detaillierte Beschreibung
der Erfindung
-
1 ist
ein Flussdiagramm, welches ein System der Erfindung darstellt. In
der Figur wurde die Endgeräteeinrichtung
des Dienstnutzers 11 mit dem mobilen Kommunikationsnetzwerk 10 verbunden, z.B.
mit einem digitalen mobilen Netzwerk. Von der zuvor erwähnten Endgeräteeinrichtung 11 wird
eine Dienstanforderung an das mobile Kommunikationsnetzwerk 10 gesandt.
Mit dem zuvor erwähnten
mobilen Kommunikationsnetzwerk ist auch das Gerät des Service-Providers 12 verbunden,
welches z.B. ein Rechner oder ein anderes geeignetes Gerät oder eine
Software-Konfiguration sein kann. Das zuvor erwähnte Gerät wird benutzt, um z.B. die
Inhaltsdienste aufrechtzuerhalten und sie an die richtigen Kunden zu
richten. Das System weist auch ein Service-Gateway 14 auf,
welches mit dem mobilen Kommunikationsnetzwerk 10 verbunden
ist und welches z.B. in Verbindung mit dem SMS-Zentrum oder dem WAP-Gateway
angeordnet ist. Außerdem
kann das Service-Gateway als eine getrennte Einheit implementiert
sein. Zusätzlich
weist das System entsprechend der Erfindung eine Verschlüsselungseinrichtung 13 auf,
in deren Zusammenhang eine Identifikationsdatenbank 13 angeordnet
ist. Zusätzlich
weist das System entsprechend der Erfindung ein Ortsregister 15 auf,
in dessen Zusammenhang es möglich ist,
eine Ortsdatenbank 15 zum Aufrechterhalten der geographischen
Information anzuordnen.
-
2 ist
ein Flussdiagramm, welches ein anderes Verfahren der Erfindung darstellt.
Bei einem Schritt 21 wird von der Endgeräteeinrichtung
des Dienstnutzers, wie z.B. dem GSM-Telefon, eine Dienstanforderung, welche
die Nutzeridentität
des Service-Nutzers enthält,
gesandt. In dem beispielhaften Fall, wie in der Figur dargestellt
wird, ist die Nutzeridentität
die MSISDN-Nummer des Service-Nutzers. Entsprechend der Erfindung,
bei einem Schritt 22, leitet das mobile Kommunikationsnetz
die Dienstanforderung an das Service-Gateway, welches bei einem
Schritt 23 eine Anforderung an die Verschlüsselungseinrichtung
sendet, um die anonyme Identität
entsprechend der fraglichen Nutzeridentität zu geben. Die zuvor erwähnte anonyme
Identität
wird mit Hilfe der Verschlüsselungs einrichtung
erzeugt, und die Nutzeridentität
und die entsprechende anonyme Identität werden auf der Identifikationsdatenbank
bei einem Schritt 24 gespeichert. Bei einem Schritt 25 wird
die anonyme Identität
an das Service-Gateway gesandt, welches die Dienstanforderung durch
Ersetzen der Nutzeridentität
mit der anonymen Identität
modifiziert. Danach wird die modifizierte Dienstanforderung an das
Gerät des
Service-Providers
bei einem Schritt 26 gerichtet. Bei einem Schritt 27 wird
von dem Gerät
des Service-Providers eine geographische Informationsanforderung, welche
die anonyme Identität
enthält,
an das Ortsregister gesandt, welches bei dem Schritt 28, 29 und 30 die
Nutzeridentität
entsprechend der fraglichen anonymen Identität mit Hilfe der Identifikationsdatenbank und/oder
der Verschlüsselungseinrichtung
herausfindet. Mit Hilfe der fraglichen Nutzeridentität wird die geographische
Information des Dienstnutzers bei einem Schritt 31 herausgefunden,
indem das Ortsregister benutzt wird. Die geographische Information wird
z.B. durch Wiedergewinnen derselben aus dem SMLC-Zentrum (Servicing
Mobile Location Centre bzw. Dienstbringendes Mobiles Ortszentrum,
SMLC) des mobilen Kommunikationsnetzwerkes herausgefunden. Alternativ
wird z.B. in dem Ortsregister eine Ortsdatenbank aufrechterhalten,
aus der die geographische Information wiedergewonnen wird, falls
dies notwendig ist. Bei einem Schritt 32 werden die geographische
Information und die anonyme Identität, welche dieser entspricht,
an das Gerät
des Service-Providers gesandt. Die Dienstantwort wird auf der Grundlage
der fraglichen geographischen Information bei einem Schritt 33 erzeugt.
Bei einem Schritt 34 wird die Dienstantwort, welche die
anonyme Identität
enthält,
an das Service-Gateway gerichtet, welches die Nutzeridentität entsprechend
der anonymen Identität
von der Identifikationsdatenbank durch Wiederholen der Schritte
wiedergewinnt. Die Service-Antwort wird an die Endgeräteeinrichtung des
Dienstnutzers auf der Grundlage der fraglichen Nutzeridentität bei den
Schritten 35–36 gerichtet.