-
GEBIET DER ERFINDUNG
-
Die
Erfindung bezieht sich auf die Vermeidung des Abhörens und
des betrügerischen
Auftretens in Kommunikationssystemen und insbesondere auf das Steuern
unverschlüsselten
Verkehrs in Kommunikationssystemen.
-
HINTERGRUND DER ERFINDUNG
-
Drahtlose
Kommunikationssysteme beziehen sich im allgemeinen auf jedes Telekommunikationssystem,
das eine drahtlose Kommunikation zwischen einem Benutzerendgerät und einen
Netz ermöglicht.
In einem mobilen Kommunikationssystem können sich die Benutzer im Dienstgebiet
bewegen und seine Dienste verwenden. Ein typisches mobiles Kommunikationssystem
ist das öffentliche
Landmobilnetz (Public Land Mobile Network, PLMN). Oft ist das mobile
Kommunikationsnetz ein Zugangsnetz, das einem Benutzer einen drahtlosen
Zugang zu externen Netzen, Hosts oder Diensten, die von spezifischen
Dienstanbietern geliefert werden, erlaubt.
-
In
Mobilsystemen der zweiten Generation, wie dem globalen System für mobile
Kommunikation (Global System for Mobile Communication, GSM), werden
Sprache und Daten in einer digitalen Form übertragen. Zusätzlich zur
konventionellen Sprachübertragung
liefern digitale mobile Kommunikationssysteme eine Vielzahl von
anderen Diensten: Kurznachrichten, Faksimile, Datenübertragung
etc.
-
Der
allgemeine Paketfunkdienst (General Packet Radio Service) GPRS ist
ein neuer Dienst im GSM-System (globales System für mobile
Kommunikation). Ein Unternetz umfasst eine Anzahl von Paketdatendienstknoten
SN, die in dieser Anmeldung als bedienende GPRS-Unterstützungsknoten
SGSN bezeichnet werden.
-
Jeder
SGSN ist mit dem mobilen GSM-Kommunikationsnetz (typischerweise
mit einer Basisstationssteuerung BSC oder einer Basisstation in
einem Basisstationssystem) verbunden, so dass der SGSN einen Paketdienst
für mobile
Datenendgeräte über mehrere
Basisstationen, das sind Zellen, liefern kann. Das dazwischen liegende
mobile Kommunikationsnetz liefert einen Funkzugang und eine paketvermittelte
Datenübertragung
zwischen dem SGSN und mobilen Datenendgeräten. Verschiedene Unternetze
sind wiederum mit einem externen Datennetz, beispielsweise einem öffentlichen
Datennetz PSPDN, über
GPRS Gatewayunterstützungsknoten GGSN,
verbunden. Der GPRS-Dienst erlaubt es somit, eine Paketdatenübertragung
zwischen mobilen Datenendgeräten
und externen Datennetzen zu liefern, wenn das GSM-Netz als ein Funkzugangsnetz RAN
fungiert.
-
Mobilsysteme
der dritten Generation, wie das universale mobile Kommunikationssystem
(Universal Mobile Communications System, UMTS) und das zukünftige öffentliche
Landmobiltelekommunikationssystem (Future Public Land Mobile Telecommunications
System, FPLMTS), das später
in IMT-2000 (International Mobile Telecommunication 2000) umbenannt
wurde, sind entwickelt worden. In der UMTS-Architektur liefert ein
terrestrisches UMTS-Funkzugangsnetz, UTRAN, Benutzerausrüstungen
UE einen drahtlosen Zugang zu einem oder mehreren Kernnetzen (CN).
Das UTRAN besteht aus mindestens einer Funknetzsteuerung RNC und
einer Vielzahl von Basisstationen BS. Das Kernnetz, das das UMTS-Funkzugangsnetz
verwendet, schließt das
GSM und das GPRS ein.
-
1 ist
ein Blockdiagramm, das einen Überblick über die
Prinzipien der Registrierung und Verbindung der Benutzerausrüstung im
UMTS in einem leitungsvermittelten (CS) Dienstbereich (beispielsweise
einem GSM-Kernnetz) und einem paketvermittelten (PS) Dienstbereich
(beispielsweise einem GPRS-Kernnetz) gibt. Wie bei konventionellen GSM/GPRS-Systemen finden die
Benutzeridentifikation, die Authentifizierung und die Schlüsselaushandlung
in jedem Dienstbereich unabhängig
statt. Im CS-Dienstbereich wird eine leitungsvermittelte Verbindung
zwischen der UE und einer Mobildienstvermittlungszentrale (MSC)
der dritten Generation (3G) oder einem integrierten MSC/VLR (Besucherregister) aufgebaut.
Im PS-Bereich wird eine paketvermittelte virtuelle Verbindung zwischen
der UE und einem bedienenden GPRS-Unterstützungsknoten (SGSN) aufgebaut.
In 1 haben die CS- und PS-Dienstbereiche eine gemeinsame
Teilnahmedatenbank HLR (Heimatregister), die Teilnehmerdaten für die Benutzer
der UEs speichert. Ein Teil der Teilnehmerdaten wird in die CS-
und PS-Dienstbereiche kopiert (beispielsweise in das VLR beziehungsweise
den SGSN), wenn sich eine UE bei dem entsprechenden Dienstbereich
registriert. Die Sicherheitsaspekte von UMTS sind in der technischen
Spezifikation 3G TS 33.102, Version 3.4.0 des Partnerschaftsprojekts
der dritten Generation definiert. Die Authentifizierung und die
Schlüsselaushandlung
sind in den Kapiteln 6.3 und 6.4 des Dokuments 3G TS 33.102 dargestellt. Benutzerverkehr
kann unter Verwendung des Chiffrierschlüssels, auf den man sich im
entsprechenden Dienstbereich geeinigt hat, verschlüsselt werden,
wie das in den Kapiteln 6.6 und 6.7 des Dokuments 3G TS 33.102 dargestellt
ist.
-
Die
US-A-5509075 offenbart
ein Verfahren für
das Detektieren einer nicht autorisierten Benutzung einer Kommunikationseinheit
in einem sicheren Kommunikationssystem auf der Basis historischer Daten
des bisherigen Verhaltens des Benutzers.
-
Im
UMTS sind auch unverschlüsselte
Gespräche
oder Sitzungen möglich,
wenn man sich von der UE und dem Netz darauf verständigt hat.
In drahtlosen Systemen ist das Abhören an der Funkschnittstelle
ein reales Problem. Dies ist insbesondere in Paketdatenübertragungssystemen,
wie dem GPRS, der Fall, bei denen eine Authentifizierung am Beginn der
virtuellen Verbindung ausgeführt
wird. Eine virtuelle Verbindung bedeutet, dass die UE und der SGSN Paketdatenprotokoll
(PDP) Kontexte geschaffen haben, die es ermöglichen, Datenpakete zu und
von der UE zu jeder Zeit zu übertragen,
während
der physikalische Kanal nur für
die tatsächliche Übertragung
reserviert wird, was hier als eine Sitzung bezeichnet wird. Für einzelne
Sitzungen wird keine Authentifizierung ausgeführt. Diese Lösung erlaubt
eine Übertragung
ohne Verzögerung
und optimiert die Verwendung von Funkressourcen an den Funkschnittstellen. Der
Nachteil bei dieser Lösung
ist der, dass ein Endgerät
oder eine Basisstation eines Dritten im Prinzip Daten für Abhörzwecke
senden oder empfangen kann. Auch bei leitungsvermittelten Gesprächen kann
es sein, dass der Benutzer in allen Situationen eine Verschlüsselung
wünscht.
-
Somit
gibt es ein Bedürfnis
nach einem zuverlässigen
Verfahren für
das Steuern unverschlüsselter
Gespräche
oder Sitzungen.
-
OFFENBARUNG DER ERFINDUNG
-
Eine
Aufgabe der vorliegenden Erfindung besteht darin, ein zuverlässiges Verfahren
und Mittel für
das Steuern unverschlüsselten
Verkehrs in einem drahtlosen Kommunikationssystem zu liefern.
-
Die
Aufgabe wird gelöst
durch ein Verfahren, ein System und eine Teilnehmerausrüstung, die durch
das gekennzeichnet sind, was in den angefügten unabhängigen Ansprüchen 1,
9 beziehungsweise 17 offenbart ist. Die bevorzugten Ausführungsformen der
Erfindung sind in den angefügten
abhängigen
Ansprüchen
offenbart.
-
Gemäß der vorliegenden
Erfindung werden die Teilnehmerdaten in einem Heimatnetz eines Teilnehmers
mit einem Teilnehmerverschlüsselungsprofil
versehen, das angibt, ob ein nicht verschlüsseltes Gespräch, eine
nicht verschlüsselte
Sitzung oder ein nicht verschlüsseltes
Datenpaket zurückzuweisen ist,
akzeptiert oder in irgend einer anderen Weise gehandhabt werden
soll. Beispielsweise kann ein bedienendes Netz das Teilnehmerverschlüsselungsprofil
in einem oder mehreren der folgenden Fälle prüfen: 1) für jeden Aufbau eines nicht
verschlüsselten Gesprächs oder
einer nicht verschlüsselten
Verbindung, 2) für
jede nicht verschlüsselte
Sitzung einer paketvermittelten Datenübertragung, oder 3) für jede Paketdatenübertragung,
die von der Teilnehmerausrüstung
ausgeht. Die Funktion, die vom bedienenden Netz ausgeführt wird,
hängt vom
Teilnehmerverschlüsselungsprofil
ab und kann eine oder mehrere der folgenden Funktionen einschließen: Zurückweisung
oder Akzeptanz des nicht verschlüsselten
Gesprächs,
der nicht verschlüsselten
Verbindung, der nicht verschlüsselten
Sitzung beziehungsweise des nicht verschlüsselten Datenpakets oder erneute
Authentifizierung der Teilnehmerausrüstung. Als ein Ergebnis werden
die nicht verschlüsselten
Gespräche, Sitzungen
oder Paketdatenübertragungen
zuverlässig
zurückgewiesen,
wenn der Netzbetreiber oder der Benutzer das Teilnehmerverschlüsselungsprofil entsprechend
festlegt. Die erneute Authentifizierung verhindert ein betrügerisches
Auftreten durch einen Dritten, insbesondere bei von einer Mobilstation
ausgehenden Transaktionen. In diesem Fall kann, wenn die Teilnehmerausrüstung erneut
erfolgreich authentifiziert wird, das Netz schließlich die
nicht verschlüsselte
Transaktion akzeptieren, da ein betrügerisches Auftreten verhindert
worden ist. Es wird für
diese neue Funktion nicht notwendigerweise eine Unterstützung von
den Benutzerausrüstungen
benötigt, und
dadurch kann die Funktion in existierende Netze für alle Benutzerendgeräte leicht
eingeführt
werden. Diese Lösung
ist zuverlässiger
als eine alternative Lösung,
bei der die Zurückweisung
durch ein vom Benutzer einstellbares Flag in der Benutzerausrüstung gesteuert
würde.
Bei der letztern Lösung
würde das
Netz den Status des Flags in der Benutzerausrüstung nicht kennen, und es
würde somit
nicht sicher sein, ob die Sitzung oder die Paketdatenübertragung
gestartet werden kann, wenn sie angefordert wird. Die alternative
Lösung
könnte
nur in neuen Benutzerendgeräten
implementiert werden und würde nicht
für alle
Benutzer verfügbar
sein.
-
Die
vorliegende Erfindung ist insbesondere bei einer paketvermittelten Übertragung
vorteilhaft. In einer Ausführungsform
der Erfindung ist das Netz, um ein Abhören oder ein betrügerisches
Auftreten zu verhindern, ausgebildet, alle nicht verschlüsselten Datenübertragungssitzungen
abzuweisen, wenn das Teilnehmerverschlüsselungsprofil keinen nicht
verschlüsselten
Benutzerverkehr erlaubt. In einer weiteren Ausführungsform der Erfindung ist
das Netz ausgebildet, alle nicht verschlüsselten Datenpakete zu verwerfen,
von denen es scheint, dass sie von der Teilnehmerausrüstung ausgehen,
die aber von einer betrügerischen
Teilnehmerausrüstung
(betrügerisches
Auftreten) während
einer akzeptierten Sitzung stammen können (wenn das Teilnehmerverschlüsselungsprofil
keinen nicht verschlüsselten
Benutzerverkehr erlaubt). In einer nochmals weiteren Ausführungsform
wird die erneute Authentifizierung des Teilnehmers ausgelöst in Erwiderung
auf eine nicht verschlüsselte
Datenübertragungssitzung
oder ein nicht verschlüsseltes
Datenpaket, wenn das durch das Teilnehmerverschlüsselungsprofil gefordert wird.
In diesem Fall kann das Netz, wenn die Teilnehmerausrüstung erfolgreich
erneut authentifiziert wird, schließlich die nicht verschlüsselte Sitzung
oder das nicht verschlüsselte
Datenpaket akzeptieren, da ein betrügerisches Auftreten verhindert
worden ist. Da die erneute Authentifizierung nur bei speziellen
Umständen
vorgenommen wird, die durch das Teilnehmerverschlüsselungsprofil
gesteuert werden, wird beim normalen Verkehr keine Verzögerung verursacht.
Diese Ausführungsformen
erlauben eine hohe Sicherheit auch während diskreter Datenpaketübertragungen,
obwohl die Teilnehmerausrüstung
normalerweise nur authentifiziert wird, wenn eine virtuelle Verbindung
aufgebaut wird.
-
Gemäß einer
bevorzugten Ausführungsform der
Erfindung wird das Teilnehmerverschlüsselungsprofil auch an die Teilnehmerausrüstung des
Benutzers, beispielsweise in Verbindung mit der Authentifizierung
des Teilnehmers, gesandt. Somit ist auch die Benutzerausrüstung fähig, das
Teilnehmerverschlüsselungsprofil
lokal zu prüfen
und nicht verschlüsselte Gespräche, Verbindungen
oder Sitzungen entsprechend zurückzuweisen
oder zu akzeptieren. Dies macht die Steuerung der nicht verschlüsselten
Gespräche
und Sitzungen zuverlässiger.
-
Gemäß einer
Ausführungsform
der Erfindung kann der Teilnehmer das Teilnehmerverschlüsselungsprofil
im Netz über
die Funkschnittstelle modifizieren. Somit hat der Teilnehmer die
Möglichkeit, die
Zurückweisung
nicht verschlüsselter
Gespräche, Sitzungen
oder Datenpakete jeder Zeit in einer flexiblen Art zu aktivieren
oder zu deaktivieren.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Nachfolgend
wird die Erfindung mittels bevorzugter Ausführungsformen unter Bezug auf
die begleitende Zeichnungen detaillierter beschrieben.
-
1 zeigt
leitungsvermittelte und paketvermittelte Verbindungen im UMTS-System.
-
BEVORZUGTE AUSFÜHRUNGSFORMEN
DER ERFINDUNG
-
Die
vorliegende Erfindung kann auf jedes Kommunikationssystem angewandt
werden, das sowohl eine verschlüsselte
als auch eine nicht verschlüsselte Übertragung
von Benutzerverkehr aufweist. Die Erfindung kann insbesondere vorzugsweise
für das
Vorsehen eines allgemeinen Paketfunkdienstes GPRS im paneuropäischen digitalen
mobilen Kommunikationssystem GSM (Globales System für mobile
Kommunikation) oder in entsprechenden mobilen Kommunikationssystemen,
wie DCS1800 und PCS (Persönliches
Kommunikationssystem) oder in mobilen Systemen der dritten Generation (3G),
wie UMTS, die eine Paketfunkverbindung vom GPRS-Typ implementieren,
verwendet werden. Nachfolgend werden bevorzugte Ausführungsformen der
Erfindung mittels eines UMTS-Systems beschrieben, das GPRS- und GSM-Kernnetze
aufweist, ohne die Erfindung auf diese speziellen Systeme zu begrenzen.
Die Erfindung kann auch in der mobilen Internetumgebung (wie MIP,
Mobiles Internetprotokoll) verwendet werden, wobei in diesem Fall
die Teilnehmerdatenbank beispielsweise der Heimatagent (HA) des
mobilen Hosts sein kann. Insbesondere in der Internetumgebung kann
die Teilnehmerausrüstung oder
das Netzelement ein Server sein, und der betrügerische Dritte kann als ein
solcher Server agieren, das heißt
einen solchen Server betrügerisch
darstellen.
-
Wenn
man wieder die 1 betrachtet, so wird ein Teilnehmerverschlüsselungsprofil
eines Teilnehmers in Verbindung mit anderen Teilnehmerdaten im Heimatregister
HLR seines heimischen öffentlichen
Landmobilnetzes (HPLM) gespeichert. In diesem illustrierenden Beispiel
hat sich der Teilnehmer sowohl bei GPRS-Netzen als auch GSM-Netzen
angemeldet, und sein HLR ist diesen Netzen gemeinsam. Es kann jedoch
getrennte Teilnehmerverschlüsselungsprofile
(cs Profil, ps Profil) für
die GSM- und GPRS-Netze in den Teilnehmerdaten geben, oder es kann
sein, dass es ein Teilnehmerverschlüsselungsprofil nur für die GPRS-Netze
gibt, da diese gegenüber
einem Abhören
empfindlicher sind. Die Teilnehmerverschlüsselung kann ein 2-Bit-Flag
sein, das zwei Zustände
aufweist: 11 = nicht verschlüsselter Verkehr
soll abgewiesen werden, 00 = nicht verschlüsselter Verkehr ist erlaubt,
und 01 = eine erneute Authentifizierung ist vor dem Akzeptieren
des nicht verschlüsselten
Verkehrs erforderlich. Das Teilnehmerverschlüsselungsprofil kann jedoch
mehr als zwei Zustände
aufweisen. Es kann auch sein, dass der Benutzer fähig ist,
das Teilnehmerverschlüsselungsprofil
im Netz über
die Funkschnittstelle zu ändern.
Dies kann in einer ähnlichen
Weise leicht als die Änderung
der ergänzenden
Dienste, wie ein Rufweiterleitungsdienst, in den aktuellen GSM-
und GPRS-Netzen
implementiert werden.
-
Einige
der Teilnehmerdaten, die das Teilnehmerverschlüsselungsprofil einschließen, werden
in das MSC/VLR oder den SGSN kopiert, wenn sich die UE beim MSC/VLR
oder dem SGSN registriert und/oder wenn die UE authentifiziert wird.
Die Authentifizierungs- und Schlüsselvereinbarung
als auch die Verschlüsselung
kann so erfolgen, wie das in der technischen Spezifikation 3G TS
33.102, Version 3.4.0 vom dritten Partnerschaftsprojekt angegeben ist.
Die exakte Implementierung ist für
die vorliegende Erfindung jedoch nicht relevant.
-
Nach
dem Erhalten des Teilnehmerverschlüsselungsprofils können das
MSC/VLR und der SGSN, der den Verbindungsaufbau für Gespräche oder
paketvermittelte Datenübertragungssitzungen steuert,
nicht verschlüsselte
Gespräche
und Sitzungen steuern, wie das unten erläutert werden wird. Das MSC/VLR
oder der SGSN können
die Teilnehmerprofilinformation weiter an das UTRAN oder insbesondere
an die bedienende Funknetzsteuerung RNC innerhalb des UTRANs senden,
die die Verschlüsselung
und die Entschlüsselung
auf der Netzseite ausführt,
so dass nicht verschlüsselte
Paketdatenübertragungen,
die von der UE ausgehen, gesteuert werden können. Das Teilnehmerverschlüsselungsprofil
kann auch an die Benutzerausrüstung
UE gesandt werden, so dass sie nicht verschlüsselte Gespräche oder
Sitzungen handhaben kann, wie das unten beschrieben wird.
-
Man
nehme an, dass die UE eine paketvermittelte Verbindung über das
GPRS-Kernnetz aufbauen will und deswegen eine Verbindungsanforderung
(beispielsweise Aktiviere PDP-Kontext Anforderung) an den SGSN sendet,
wodurch das Authentifizierungs- und Schlüsselvereinbarungsverfahren
zwischen dem SGSN und der UE ausgeführt wird. Dies kann umfassen,
dass der SGSN Authentifizierungsanforderungsdaten an das HLR der
UE sendet, um einen Satz von Authentifizierungsparametern zu erhalten,
wenn der SGSN nicht irgend welche nicht verwendete Authentifizierungsparameter
hat, die er vorher vom HLR empfangen hat. Im Schlüsselvereinbarungsverfahren
wird ein Chiffrierschlüssel
(CK) und ein Integritätsschlüssel (IK)
erhalten. Der SGSN bestimmt die UMTS-Integritätsalgorithmen (UIAs) und die
UMTS-Verschlüsselungsalgorithmen
(UEAs), die verwendet werden dürfen.
Die Datenintegrität
bezieht sich auf eine Eigenschaft, dass Daten während der Übertragung nicht in einer nicht
autorisierten Weise geändert
worden sind. Es kann ein Satz unterschiedlicher UEAs und UIAs geben,
die vom Netz und der UE unterstützt
werden. Der SGSN sendet an das UTRAN (insbesondere an die bedienende
Funknetzsteuerung RNC innerhalb des UTRAN) einen Sicherheitsmodusbefehl,
der eine Liste erlaubter UMTS-Verschlüsselungsalgorithmen (UEAs)
und UIAs als auch den vereinbarten Integritätsschlüssel (IK) und den Verschlüsselungsschlüssel enthält. Die RNC
wählt aus
der Liste den ersten UTA und den ersten UEA, den sie unterstützt. Dann
sendet die RNC an die UE einen Sicherheitsbefehl, der den gewählten UEA
und UTA anzeigt. Wenn die RNC keine der UEAs und UIAs auf der Liste
unterstützt,
sendet die RNC eine Sicherheitsmoduszurückweisungsnachricht an den
SGSN. Wenn die UE den UEA und den UTA, die von der RNC ausgewählt wurden,
unterstützt,
sendet sie eine Sicherheitssteuerungsantwort an den RNC, wodurch
ein Integritätsschutz
und eine Verschlüsselung
der Daten und Signalisiernachrichten über die Funkschnittstelle initiiert
werden. Wenn die UE den gewählten
UEA und UTA nicht unterstützt,
sendet die UE eine Sicherheitssteuerungszurückweisungsnachricht an die
RNC, und die Initiierung des Integritätsschutzes oder der Verschlüsselung
misslingt. Die RNC kann eine neue UTA oder UEA aus der Liste wählen und
einen neuen Sicherheitssteuerungsbefehl senden, bis die Initiierung
des Integritätsschutzes
und der Verschlüsselung
gelingt oder schließlich
misslingt. Die RNC bestätigt
das Ergebnis dem SGSN. Wenn der Integritätsschutz und die Verschlüsselung
erfolgreich gestartet wurden, beendet der SGSN den Verbindungsaufbau.
Wenn die Verschlüsselung
jedoch nicht verwendet wird, prüft der
SGSN das Teilnehmerverschlüsselungsprofil. Wenn
das Teilnehmerverschlüsselungsprofil
einen Wert "11 =
nicht verschlüsselter
Verkehr soll zurückgewiesen
werden" aufweist,
so löst
der SGSN die Verbindung aus. Wenn das Teilnehmerverschlüsselungsprofil
einen Wert "00 =
nicht verschlüsselter
Verkehr ist erlaubt" besitzt,
vollendet der SGSN den Verbindungsaufbau. Somit wird nicht verschlüsselter Verkehr
nur akzeptiert, wenn dies gemäß dem Teilnehmerverschlüsselungsprofil
erlaubt ist. Wenn das Teilnehmerverschlüsselungsprofil einen Wert "01 = erneute Authentifizierung
ist erforderlich" aufweist, wird
der SGSN eine erneute Authentifizierung der UE auslösen und
die nicht verschlüsselte
Transaktion nur akzeptieren, wenn die erneute Authentifizierung erfolgreich
ist.
-
In
der paketvermittelten Übertragung
reserviert die UE typischerweise einen physikalischen Verkehrskanal
nur für
eine kurze Zeitdauer für
die Übertragung
von Datenpaketen, was hier als Sitzungen bezeichnet wird, so dass
die UE die meiste Zeit in Ruhe ist, während sie zur selben Zeit eine
virtuelle Verbindung zum SGSN aufweist. Die UE wird nicht jedes
Mal, wenn sie in den physikalischen Verkehrskanal für eine Paketübertragungssitzung
eintritt, authentifiziert. Somit ist es möglich, dass eine UE eines betrügerischen
Dritten Datenpakete an das Netz überträgt, um beispielsweise
zu bewirken, dass der tatsächliche
Teilnehmer für
die Verbindungskosten zahlt. Es ist auch möglich, dass die UE beginnt,
eine nicht verschlüsselte Übertragung
in der Mitte der virtuellen Verbindung zu verwenden, was eine Abhören der Übertragung
erlauben würde.
Um solche Probleme zu verhindern, ist das Netz (wie die RNC oder
der SGSN) so ausgebildet, dass es alle nicht verschlüsselten
Datenübertragungssitzungen
zurückweist, wenn
das Teilnehmerverschlüsselungsprofil
keinen nicht verschlüsselten
Benutzerverkehr erlaubt. In einer weiteren Ausführungsform der Erfindung ist
das Netz (wie die RNC oder der SGSN) ausgelegt, um alle nicht verschlüsselten Datenpakete
zu verwerfen, die von der UE während
einer akzeptierten Sitzung stammen (und sie können von der korrekte UE oder von
einer betrügerischen
UE stammen), wenn das Teilnehmerverschlüsselungsprofil keinen nicht
verschlüsselten
Benutzerverkehr erlaubt. Dies ermöglicht eine hohe Sicherheit
auch während
diskreten Datenpaketübertragungen,
obwohl die UE nur authentifiziert wird, wenn die virtuelle Verbindung
aufgebaut wird. Es kann auch sein, dass diese Ausführungsformen
des Teilnehmerverschlüsselungsprofils eine
erfolgreiche erneute Authentifizierung erfordern, bevor der nicht
verschlüsselte
Benutzerverkehr akzeptiert wird.
-
In
einer Ausführungsform
der Erfindung wird das Teilnehmerverschlüsselungsprofil auch an die UE
gesandt, beispielsweise in Verbindung mit der Authentifizierung
der UE. Somit ist auch die UE fähig, das
Teilnehmerverschlüsselungsprofil
lokal zu prüfen und
die nicht verschlüsselten
Gespräche,
Verbindungen oder Sitzungen entsprechend zurückzuweisen oder zu akzeptieren,
in einer ähnlichen
Weise, wie das oben in Bezug auf die Netzseite beschrieben wurde.
Dies macht die Steuerung nicht verschlüsselter Gespräche und
Sitzungen noch zuverlässiger.
Da das Teilnehmerverschlüsselungsprofil
in der UE eine Kopie des Verschlüsselungsprofils
in der Heimatteilnehmerdatenbank ist, wird die Datenintegrität aufrecht
gehalten. Sogar wenn der Benutzer der UE das Teilnehmerverschlüsselungsprofil
nur lokal in der UE ändert,
um eine nicht verschlüsselte Übertragung
zu erlauben, würde
das Netz nicht verschlüsselten
Benutzerverkehr nicht akzeptieren, bis das Profil auch in der Heimatdatenbank
geändert
wird.
-
Die
Beschreibung zeigt nur bevorzugte Ausführungsformen der Erfindung.
Die Erfindung ist jedoch nicht auf diese Beispiele begrenzt, sondern
sie kann innerhalb des Umfangs der angefügten Ansprüche variieren.