CN1219337A

CN1219337A - 发现复制的sim卡

Info

Publication number: CN1219337A
Application number: CN199898800255A
Authority: CN
Inventors: 杰纳·赫米
Original assignee: Nokia Telecommunications Oy
Current assignee: Nokia Oyj; Nokia Technologies Oy
Priority date: 1997-03-10
Filing date: 1998-03-06
Publication date: 1999-06-09
Anticipated expiration: 2018-03-06
Also published as: JP4030588B2; RU2204219C2; AU731100B2; DE69823976T2; FI970993A; AR011959A1; ATE267500T1; FI102499B1; WO1998041050A1; CN1142700C; CA2252623A1; FI102499B; HUP0002064A2; ZA981868B; TW337627B; FI970993A0; JP2000511021A; EP0940057A1; CA2252623C; EP0940057B1

Abstract

一种方法和实现该方法的装置,用于在移动通信网中检测复制的国际移动用户标识(IMSI)的方法,在该移动通信网中移动台(MS)的位置至少在网络的一个寄存器(HLR、VLR)中更新。按照本方法,监视预定监视周期(例如24小时)内至少一种类型的位置更新(最好是MSC间位置更新)次数(N)。该次数(N)与预定阈值(N_MAX)进行比较,如果位置更新次数(N)超过预定阈值(N_MAX),则生成指示该超出的一个信号。

Description

发现复制的SIM卡

本发明涉及一种方法和装置，用于防止移动通信***中盗用复制的用户标识。

在所有电信***中都必须保护用户和网络运营商，使之尽可能免受第三方的侵害。因此，网络中需要多种类型的安全功能。于网络安全相关的最重要的功能是(1)保护网络所传输的信息，以及(2)鉴权用户并控制其接入。在可见的将来，保护信息的最重要的安全措施是某种形式的加密。通过鉴权可以保证信息来自它所声称的那一源点。鉴权一般基于口令和密钥。接入权限是指通过传输信道发送和/或接收的能力。接入机制基于某种形式的口令和密钥。

因为到移动用户的传输通过无线连接进行，所以无线连接的公众陆地移动网(PLMN)对未授权用户利用其资源以及在无线路径上窃听信息交换特别敏感。这是因为攻击者可以从任何地方监听并发送无线信号，而不需要获得用户或运营商设备的接入。可以看出，PLMN网络中需要比传统通信网更好的安全标准。

泛欧数字蜂房无线***GSM(全球移动通信***)的基本结构在图1中示出。GSM网络的结构包括两个部分：基站子***(BSS)和网络子***(NSS)。BSS和移动台MS通过无线连接通信。在BSS中，每个小区由基站(BTS)提供服务。一组基站BTS连接到基站控制器(BSC)，基站控制器的功能是控制BTS所用的射频和信道。基站控制器BSC连接到移动业务交换中心(MSC)。MSC的功能是交换涉及至少一个MS的呼叫。某些MSC耦合到其他通信网，例如公用综合业务网(PISN)，它们包括交换功能，用于处理来自这些网络的呼叫以及发向这些网络的呼叫。这种移动交换中心用术语网关MSC(GMSC)来表示。

呼叫的路由寻址涉及两种数据库。在归属位置寄存器(HLR)中永久或半永久存储网络所有用户的用户数据，这类数据包含该用户租用的所有业务的信息，以及用户的当前位置。第二寄存器类型是访问位置寄存器(VLR)。VLR通常连接到一个MSC，但它也可以服务于多个MSC。VLR通常集成在MSC中。这种集成网元称为VMSC(VLR+MSC)。在MS处于活跃状态时(它已在网络中登记，可以发出或接收呼叫)，HLR中包括的大部分与MS相关的用户数据载入(复制)到该MS处于其服务区的MSC的VLR。

GSM***包括一种极其安全的鉴权***。由GSM***演变而成的***，例如DCS也具有这种安全的鉴权***。这种鉴权***基于所谓的询问-应答原理。在签订用户合同时，分配一个秘密用户鉴权密钥(Ki)和国际移动用户标识(IMSI)给用户。Ki存储在GSM网络中用于此目的的网元中，该网元称为鉴权中心(AUC)，它与用户的HLR相关联，或者连接到用户的HLR。AUC还包含一种称为A8的加密算法、一种称为A3的鉴权算法以及一个随机数生成器RAND。基于Ki和RAND，通过算法A8生成加密密钥Kc。类似地，基于Ki和RAND，应用A3算法生成签署响应(SRES)。这三个参数RAND、Ki和SRES形成了一个标识用户特征的三元组，可以用于后续的鉴权和加密。

参看图2,AUC包括数据库20,GSM网络中每个用户的鉴权密钥Ki都存储在该数据库。以IMSI为索引可以从该数据库20中检索到用户的Ki。

为了避免每次需要时都计算并发送三元组，AUC/HLR预先为每个用户计算若干三元组，在需要时，将这些三元组传送到VLR中进行存储。对每个访问用户，MSC/VLR随时都有一个未用的三元组可供使用。较高安全级别还设定三元组仅使用于某个连接一次，之后即被销毁。

图4说明了一些这样的与具体用户相关的三元组。安全参数文件40包括用于1-n个IMSI中每一个的n个三元组。这些数据是用户第一次在访问MSC和VLR中登记时存储在安全参数文件40中的。它是通过“***用户数据”消息从HLR中载入的用户数据的一部分。

参看图5，如果用户已用完了所有的三元组，则向AUC/HLR发送一次请求，计算并送回一组新数据。三元组的补充过程包括两个消息：“发送参数”以及作为其响应的“发送参数结果”。前者包括移动用户的IMSI，用于检索Ki以计算三元组，如图2所示。计算出的三元组在“发送参数结果”消息中发送给MSC/VLR，它们存储在VLR中。

再次参看图4,MS发送一个接入请求给MSC/VLR。MSC/VLR利用IMSI作为索引，从安全参数文件40中检索到分配给该MS的三元组。MSC/VLR一方面将Kc值发送给BSC的信道设备用于业务信道编码，另一方面，它将RAND值在“鉴权请求”消息中发送给MS。这由图4的框41示出。MS基于RAND计算出三元组的其他值(SRES和Kc)。

现在参看图3，移动台的存储器中存储着移动用户鉴权密钥Ki的副本，以及加密算法A8和鉴权算法A3。在接收到“鉴权请求”消息时，移动台MS从消息中析取RAND，将RAND以及存储的Ki作为算法A3和A8的输入，分别计算出签署SRES和加密密钥Kc。计算出的SRES通过“鉴权结果”消息传送到MSC/VLR以完成鉴权，如图4和5所示。

参看图4,MSC/VLR从“鉴权请求”消息中析取SRES值(框42)，从文件40中检索到存储的SRES值。此后针对该次连接，在进行其他处理之前，MSC/VLR通过检查AUC/HLR中计算出的SRES是否与移动台计算出的SRES(框44)相同来鉴权该移动用户。如果这两个值相同，则允许接入。否则，拒绝接入(框46)。

在例示性GSM***中，移动用户的鉴权需要一个标识单元，该标识单元与具体用户相关。这样，终端设备的使用不局限于某个特定用户。用户标识模块，例如SIM卡是一个功能卡或者智能卡，它置于移动台中，包含识别用户以及加密无线业务量所需的信息，例如鉴权密钥Ki。在本申请中，用户标识模块，例如SIM卡是指可以从移动台中取出的功能卡，通过它用户可以使用卡控移动台。

因此，如果使用用户标识模块，例如SIM卡(用户标识模块)，则用户不必具有他自己的移动台，他所需要的只是移动通信***运营商发给他的用户标识模块。这种用户标识模块可以例如是SIM卡，在某种方式下，它是一种电话卡，通过它用户可以从***的任一移动台发出或接收呼叫。一方面，SIM卡的功能使得移动台能够安全使用标识用户的数据，另一方面，SIM卡的功能是向移动台提供业务。这些业务包括维护(输入、改变)个人标识号码，维护数据加密密钥，即鉴权密钥Ki，以及在SIM卡因为输入错误PIN(个人标识号码)次数过多而阻塞时，解锁SIM卡。解锁已锁定的SIM卡可以例如通过PUK码(个人解锁密钥)进行。

作为在手机中实现SIM卡的一种可选方式，引入了所谓的嵌入式SIM卡。嵌入式SIM卡是一个硬币大小的部件，它包括***大小SIM卡的电子器件，它被置于手机中使得用户无法轻易替换。手机也可以具有一个集成的嵌入式SIM卡，以及一个读卡机。如果读卡机内有一张卡，则基于该外部卡识别该手机，否则基于集成的嵌入式SIM卡进行识别。

因此，从本申请的角度来说，移动台(MS)包括下面两个部分：移动设备(ME)和用户标识模块(SIM)。SIM卡的规范在GSM建议02.17中指定。建议11.11通过确定例如SIM和ME之间的协议、SIM卡中数据域的确切内容和长度以及与电子和机械接口相关的问题，详细定义了建议02.17中规范的问题。类似地，在本申请的范围内，除非上下文给出其他解释，否则SIM的概念一般是指用户标识模块，例如SIM卡、小嵌入式SIM、***大小功能SIM智能卡以及包含用户标识和鉴权密钥Ki的MS集成用户标识模块。

按照GSM建议02.17和11.11，使用了三种算法：A3、A5和A8。算法A3用于鉴权，A8用于生成加密密钥，A5用于加密。算法A3和A8存储在SIM卡以及鉴权中心AUC。算法A5存储在移动台的ME和基站BTS。此外，例如以下信息存储在AUC:IMSI、鉴权密钥Ki以及所用的算法版本信息。这些信息还同样存储在移动用户的SIM卡中。

例如当SIM卡或SIM卡所包含的信息被某个恶意者获取时，以上描述的现有技术移动通信***会出现问题。这可以是因为，例如手机放错了地方或者被盗，或者仅是从手机中盗走SIM卡，将其信息复制到另一SIM卡。该***因而包含了两个具有同样信息的SIM卡，即原卡及其复制品。不论盗用程度如何，以任何方式使用复制卡都会对持有原卡的移动用户造成损害。在盗用猖獗的情况下，可能会导致用户在察觉其下一张电话话单中的问题之前，已造成较高的经济损失。另一方面，如果盗用较少，则该问题可能会在较长时间内未被发觉。在本申请的范围内，使用复制SIM卡是指欺诈性使用另一移动用户的SIM卡中信息的任何技术。

因此，本发明的目的是提出一种方法和实现该方法的装置，用于解决与盗用SIM卡或者SIM卡中信息相关的前述问题。本发明的目的通过多种方法和***达成，这些方法和***的特征由独立的权利要求书公开。本发明的优选实施例在独立的权利要求书中提出。

本发明基于下述见解：复制的SIM卡和原SIM卡不会总在移动通信网的相同定位区中漫游。至少在某些情况下肯定会出现以下情况：复制的SIM卡和原SIM卡位于不同移动交换中心的服务区中。这种情况引起了归属位置寄存器的位置更新。这样，复制SIM卡的存在以及位置区可以基于业务交换中心之间异常频繁的位置更新行为来检测。这种情况可以通过，例如在移动通信网中维护事件计数器来检测，该事件计数器对监控周期内进行的位置更新进行计数。如果监控周期内位置更新次数超过了某个预设的阈值，则生成指示可能盗用的信号。

本发明提高了移动通信***抵御盗用的安全性。本发明可以应用于移动交换中心软件和/或归属位置寄存器中明确定义的较小受限区域。用户设备或者网络体系结构的其他部分不需要进行修改。

下面参照附图，结合优选实施例给出本发明的详细描述，在附图中

图1说明了对本发明重要的移动通信网部分；

图2-5说明了现有技术GSM***中的用户识别；以及

图6是说明按照本发明的技术的流程图。

电话网运营商能够通过简单的方式确定每时间单元的位置更新次数，例如建立一个事件文件，该事件文件具有每个被监视的用户的记录，用以存储位置更新次数。可选地，***中的已有用户文件可以补充一个附加域，在该域中维护监视的位置更新次数。在最简单的情况下，本发明在监视之初将用户事件记录的次数域设置为零，每次位置更新时增量该次数域。事件记录中的次数域的内容(监视的位置更新次数N)至少在监视周期结束(例如在24小时之后)时读出，将其与预定阈值N_MAx比较。超过阈值则生成一个信号，基于该信号运营商可以将某个用户置于特定监控状态下，从而可以更好地跟踪位置更新(例如在存储器中存储日期和时间、基站等与位置更新相关的信息)。阈值可以设置成例如24小时内10次位置更新。也可以在监视周期期间，例如在位置更新刚开始时监视位置更新的次数。

在上述方式中，本发明相对容易实现。本领域中技术人员可能会发现实现本发明的若干可选方式。例如，被监视的更新不一定必须发生在交换中心之间。为了发现复制的用户标识，发生在地理位置相距较远的两个基站之间的任何位置更新都是可以的。此处，“地理位置相距较远”意味着例如几十公里。如果在24小时内，相距几十公里的地点发生了若干次具有相同用户标识的位置更新，则有理由怀疑用户标识的复制。通过将监视限制在MSC之间的更新，可以得到一个显著的优点，因为在该情况下用户的位置确实会在网络的归属位置寄存器中更新，并且在MSC之间的位置更新的情况下，本发明功能的实现最为简单。

本发明部分基于下述观点：发现复制的用户标识不一定需要特定的复杂算法。在例示性GSM***中，用户标识的复制无论如何都非常复杂，从而防止了攻击者得到设备和信息以复制一个或几个用户标识：如果发生未授权复制，该操作可能会广为流传。甚至通过传播下述信息，就可以预先防止未授权复制：移动通信网络以后可能具有按照本发明的功能，该功能实际上无疑迟早会发现复制用户标识的用户。

按照另一可选实施例，监视移动通信网中的位置更新行为并不是连续针对所有用户，而是选择一次监视适当的一组用户，例如特定范围内的IMSI号码。这种实施例提供了的优点是减少了所需的存储器资源。

按照上述简单实施例实现本发明可能会引起错误的告警，例如移动台在不同移动交换中心服务区中重复漫游的情况。这种情况可能是因为移动台由一个公众运输交通工具的司机使用而引起(尤其是当同一个移动台由所有工作班次一起使用时)。错误的告警可以例如通过在用户记录中存储激活告警的监视周期中与具体用户相关的位置更新次数来防止。可选地，用户可以划分成至少两种类型(例如合作用户和私人用户)，其中一种类型用于这种特殊用户，该类型引发告警的阈值高于通常用户。

一种可选方案可以是为这种特殊用户确定一个范畴或者与具体用户相关的条件，其中不采用按照本发明的监视方案。维护一个独立的例外文件(未示出)可以达到同样的目的，该例外文件中存储不需要监视的用户标识。但是，如果对某些用户完全不进行监视，则可能会形成下述威胁：这些用户的用户标识会成为吸引盗用者的特定目标。

作为一种可选实施例，可以使阈值变成可调节，前述阈值即引发告警的监视周期内的位置更新次数。这可以通过例如下述方式完成：根据同一用户的位置更新的平均次数生成阈值，并在其上加入一个适当的概率界限，例如50-100％。如果位置更新频率变化较大，则有理由怀疑用户标识的复制。这种实施例提供的优点是，它易于发现每个用户标识的位置更新行为的变化。

图6的流程图示出了如何组合上述过程。标号60标记一个新颖的事件记录，它包括一个事件计数器N以及事件可能的最大次数N_MAX。事件记录60可以存储在单独的事件文件中，或者可以构成已有用户记录的一部分。该信息可以基于IMSI直接在网络的MSC或HLR中维护。图6仅示出了一个事件记录。被监视的每个用户自然都有一个专用记录。

步骤600-602说明了按照本发明的位置更新的监视如何在移动通信***中被集成到维护MS位置的软件中，该软件最好位于MSC。在步骤602，检查该位置更新是否属于其总数需要监视的类型。如上所述，特定的较适当的监视位置更新类型是MSC间位置更新，因为这种更新的信息无论如何都传送到用户归属网络的HLR。如果步骤600-602在MSC中集成在实现MSC间位置更新的软件中，则不需要单独的步骤602。在步骤604，事件计数器N的值增量，在步骤606中将它与预定阈值N_MAX比较。如果超过了阈值，则在步骤608生成告警，在步骤610计数器N设置为零以用于后续监视周期。生成告警的步骤608可以通过下面针对步骤632-634描述的方式补充。在步骤612，维护位置更新的处理与现有技术一样继续。

步骤620-636说明了在预定时刻实现按照本发明监视位置更新的一种方式。在步骤620，处理开始于监视周期的开始。流程图的步骤624说明了检查监视周期(例如24小时)是否到时的测试。实际上，根本不需要进行单独的测试，因为测试624可以通过下述方式隐式完成：在其后增加中心或类似地点的软件的步骤，该软件无论如何都以预定间隔(例如在午夜)执行。在步骤626，读取事件计数器N(最好基于IMSI)。并确定事件的最大次数N_MAX。在图6的例子中，以与具体用户相关的方式从同一个记录60中读取最大次数N_MAX作为事件计数器N。如上所述，最大次数N_MAX也可以是固定的或者与具体划分相关。在步骤628，事件计数器N的值与允许的最大次数N_MAX进行比较。如果事件计数器N的值超过了最大次数N_MAX，则在步骤630生成一个告警。在步骤632，检查是否是一次错误告警，即可靠的用户移动台是否在24小时内进行了若干次位置更新。如果是一次错误告警，则例如以与具体用户相关的方式增量最大次数N_MAX的值。可选地，该IMSI可以存储在例外文件(未示出)中，该例外文件存储不需要生成告警的用户标识。

以上针对图6描述的按照本发明的方法可以通过对软件和/或硬件的改动实现，这些改动相对于现有技术移动通信***而言较为简单。如果监视MSC间位置更新，则可以利用无论如何都需要传送到MSC的信号。在该情况下，实现本发明所需的所有改动可以限制在MSC/HLR的软件和数据库。此外，仅需要将告警以信令方式通知给中心的外部(例如计费中心，在该图中未示出)。可以实现图6所示事件计数器N，使得例如通过在HLR中并入一个事件计数器N，扩充了HLR维护的用户数据，还可以并入与具体用户相关的事件最大次数N_MAX的用户分类。

本领域中的技术人员将会发现，显然通过技术上的改进，本发明的基本思想可以通过许多不同方式实现。以上通过GSM***及其衍生***的例子描述了本发明，但是本发明也可以应用于其他移动通信***，只要该***具有引入本发明以控制用户位置和位置更新的机制。本发明及其实施例并不局限于上述例子，它们可以在权利要求书的范围内有所变化。

Claims

1．一种在移动通信网中检测复制的用户标识(IMSI)的方法，在该移动通信网中移动台(MS)的位置至少在网络的一个寄存器(HLR、VLR)中更新，

其特征在于

-为至少一些移动台(MS)监视预定监视周期内至少一种类型的位置更新次数(N)；

-比较所述位置更新次数和预定阈值(N_MAX)；

-响应于所述位置更新次数(N)超过预定阈值(N_MAX)，生成指示该超出的一个信号。

2．根据权利要求1的方法，其特征在于，被监视的位置更新类型包括MSC间位置更新。

3．根据权利要求1或2的方法，其特征在于，被监视的位置更新类型包括至少相距几十公里的基站(BTS)之间的位置更新。

4．根据权利要求1-3任意一项的方法，其特征在于，用户被划分成至少两种类型，每种类型的所述阈值是不同的。

5．根据权利要求1-3任意一项的方法，其特征在于，维护一组特殊用户，仅当用户不是所述特殊用户之一时才生成指示该超出的信号。

6．根据权利要求1-3任意一项的方法，其特征在于，所述阈值(N_MAX)与具体用户相关，依赖于同一用户以前的位置更新频率。

7．一种移动通信网的网元，最好是一个移动交换中心(MSC)，装置(HLR、VLR)在功能上耦合到该网元以处理用户的位置更新，其特征在于，该网元(MSC)还包括：

-装置(60)，用于以与具体用户相关的方式监视预定监视周期内至少一种类型的位置更新次数(N)；

-装置(628)，用于比较所述次数(N)和预定阈值(N_MAX)；以及

-装置(630)，用于响应于所述位置更新次数(N)超过预定阈值(N_MAX)，生成指示该超出的一个信号。