RU2645287C2 - Виртуальная закрытая сеть - Google Patents

Виртуальная закрытая сеть Download PDF

Info

Publication number
RU2645287C2
RU2645287C2 RU2016112143A RU2016112143A RU2645287C2 RU 2645287 C2 RU2645287 C2 RU 2645287C2 RU 2016112143 A RU2016112143 A RU 2016112143A RU 2016112143 A RU2016112143 A RU 2016112143A RU 2645287 C2 RU2645287 C2 RU 2645287C2
Authority
RU
Russia
Prior art keywords
protected
subscribers
public
numbers
subscriber
Prior art date
Application number
RU2016112143A
Other languages
English (en)
Other versions
RU2016112143A (ru
Inventor
Элла Михайловна Порошина
Original Assignee
Элла Михайловна Порошина
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Элла Михайловна Порошина filed Critical Элла Михайловна Порошина
Priority to RU2016112143A priority Critical patent/RU2645287C2/ru
Publication of RU2016112143A publication Critical patent/RU2016112143A/ru
Application granted granted Critical
Publication of RU2645287C2 publication Critical patent/RU2645287C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к области мобильной связи. Технический результат изобретения заключается в защите от определения местоположения абонентов сети подвижной связи. Способ построения виртуальной закрытой сети основывается на использовании динамически меняющейся связки телефонных номеров защищаемых абонентов. Программный модуль ядра формирует два абонентских номера: публичный телефонный номер, который отображается на экране телефона у вызывающих абонентов, и внутренний телефонный номер, который периодически меняется и на который устанавливается переадресация с публичного номера защищаемых абонентов при входящих и исходящих звонках и смс-сообщениях. Программный модуль ядра контролирует связку публичного и внутренних телефонных номеров защищаемых абонентов и устанавливает периодически меняющуюся переадресацию на номера защищаемых абонентов, содержит алгоритмы подмены местоположения защищаемых абонентов, фильтрует и управляет телефонными звонками и смс-сообщениями защищаемых абонентов и содержит правила по их защите при локализации через пакетную передачу данных. 8 ил.

Description

Область техники, к которой относиться изобретение
Способ построения виртуальной закрытой сети относится к области мобильной связи, а именно способу защиты от определения местоположения защищаемых абонентов сети подвижной связи.
Уровень техники
Известен (RU, патент №2428808) способ и устройство для организации защиты информации о местоположении и управления доступом с использованием информации о местоположении, который состоит из блока беспроводной передачи/приема (WTRU) и включает в себя объект определения местоположения и модуль идентификации абонента (SIM). Объект определения местоположения формирует информацию о местоположении WTRU, и информация о местоположении сохраняется в защищенной области SIM. Модуль доверительной обработки в WTRU верифицирует целостность информации о местоположении. Модуль доверительной обработки может находиться на SIM. Информация о местоположении может быть информацией о физическом местоположении или имеющей отношение к вытекающему из контекста местоположению информацией. Модуль доверительной обработки сконфигурирован для криптографической защиты и привязывания информации о местоположении к WTRU, и верификации метрик доверия внешнего объекта перед предоставлением доступа к информации о местоположении или признанием информации от внешнего объекта. Модуль доверительной обработки может быть доверенным модулем платформы (ТРМ) или доверенным модулем мобильной связи (МТМ) группы доверительных вычислений (TCG). Информация о местоположении может использоваться с целью аутентификации или для управления доступом. Информация о местоположении может объединяться с информацией о времени.
В сетях подвижной связи, после процедуры регистрации абонента в центре коммутации сетей подвижной связи (MSC), возможно определение идентификаторов соты (LAC+CI), которые в настоящий момент обслуживают абонента и при наложении этой информации на карту радио покрытия оператора подвижной связи, можно определить точное местоположение абонента.
Недостатком известного способа следует признать сложность и то, что он не блокирует запросы, отправленные в коммутатор оператора на определение текущей соты (LAC+CI). В этой процедуре телефон не задействуется, а коммутатор возвращая информацию по текущей соте полностью демаскирует (выдает) местоположение абонента.
Раскрытие сущности изобретения
Техническим результатом является способ построения виртуальной закрытой сети, в которой абоненты защищены от попыток определения местоположения, перехвата голосового и смс-трафика в сети подвижной связи.
Технический результат достигается представленным способом построения виртуальной закрытой сети, состоящей из:
- Программного модуля ядра системы и модуля управления компонентами комплекса, осуществляющих управление всеми частями системы, содержащих информацию обо всех абонентах комплекса, об их услугах, правила управления сигнальным трафиком, алгоритмы блокировки или подмены местоположения, правила по работе с IP пакетами и алгоритмы по противодействию системам позиционирования других операторов.
- Программного модуля обработки ОКС7 трафика, обеспечивающего интеграцию комплекса с сетью ОКС7, с использованием IP в качестве транспорта. Используются протоколы SCTP, M3UA. Модуль обработки получает и генерирует сообщения протокола ОКС7, обеспечивая работу компонентов системы со всеми элементами опорной сети ОПС.
- Программного модуля обработки и коммутации речевых каналов связи, который интегрируется с коммутаторами ОПС по протоколам SIP или SIP-I (SIP-T) и предназначен для коммутации речевых каналов, проигрывания автоинформаторов, работы DTMF, записи голосовых каналов и организацию конференций. Модуль может как терминировать голосовые вызовы, так и инициировать их самостоятельно.
- Программного модуля анализа пакетного трафика (DPI), предназначенного для анализа, фильтрации и(или) блокировки трафика пакетной передачи данных абонентов. DPI позволяет выявлять и блокировать попытки локализации абонентов, сделанные через web-протоколы и предотвращает утечку конфиденциальной информации.
Для каждого из защищаемых абонентов при построении виртуальной закрытой сети создается два идентификатора (абонентских номера): 1 номер - «публичный», на который абонент принимает телефонные звонки и при исходящих звонках отображается на экране телефона у других абонентов; 2 номер - это «внутренний» номер абонента, который нужен для установки переадресаций и является тем номером, на который абонент имеет возможность принимать звонки и CMC сообщения (номер устройства беспроводной или проводной связи). Программный модуль ядра системы контролирует связку данных номеров, обеспечивая установку динамической (периодически меняющейся) переадресации и обезличиванием данных защищаемых абонентов с сохранением всех абонентских сервисов.
Краткое описание чертежей
Подробное описание способа построения виртуальной закрытой сети и сценарии работы представлены на фигурах ниже:
Фиг 1. Общая схема способа построения виртуальной закрытой сети и ее интеграция в сеть ОПС.
Фиг 2. Схема регистрации абонента в виртуальной закрытой сети.
Фиг 3. Схема обработки входящего вызова защищаемых абонентов.
Фиг 4. Схема обработки исходящего вызова защищаемых абонентов.
Фиг 5. Схема обработки входящего CMC сообщения защищаемых абонентов.
Фиг 6. Схема обработки исходящего CMC сообщения защищаемых абонентов.
Фиг 7. Схема маскировки защищаемых абонентов от определения их местоположения внешними запросами.
Фиг 8. Схема работы сервиса передачи данных защищаемых абонентов.
Осуществление изобретения
Иллюстрируется Фиг. 1. Общая схема построения виртуальной закрытой сети и интеграция в сеть ОПС.
Сценарии работы виртуальной закрытой сети.
Регистрация защищаемых абонентов в сети подвижной связи (Фиг. 2): после включения устройства беспроводной связи (мобильного телефона защищаемого абонента) в модуль ОКС7 контроллер поступает запрос на разрешение регистрации в центре коммутации сети подвижной связи, программный модуль ядра системы разрешает регистрацию и определяет необходимый набор информации, разрешенный для данного центра коммутации сети подвижной связи. Идентификаторы центра коммутации (GT) сохраняются и могут использоваться для работы сервисов защищаемых абонентов. Модуль ядра системы фиксирует факт регистрации и контролирует необходимость переадресации вызовов защищаемых абонентов.
Обслуживание входящего вызова для защищаемых абонентов (Фиг. 3): при поступлении входящего вызова на «публичный» номер защищаемого абонента из центра коммутации сети подвижной связи (MSC) или из сети общего пользования (ТфОП), MSC отправляет вызов в модуль обработки речевых каналов связи. Модуль ядра системы анализирует входящий номер абонента А, номер вызывающего абонента В и установленные настройки переадресации. Далее, по результатам анализа, вызов разрешается или запрещается.
Обслуживание исходящего вызова защищаемого абонента (Фиг. 4): из центра коммутации сети подвижной связи (MSC) или сети общего пользования (ТфОП) на модуль обработки трафика ОКС7 поступает запрос на разрешение исходящего вызова от защищаемого абонента. Модуль трафика ОКС7 дает разрешение на исходящий звонок. Исходящий вызов защищаемого абонента поступает в модуль обработки речевых каналов и делает запрос параметров изменения номера защищаемого абонента в модуль ядра системы. Модуль ядра системы отправляет модулю речевых каналов связи параметры изменения номера защищаемого абонента. Модуль обработки речевых каналов отправляет вызов защищаемого абонента с «публичным» номером в телефонную сеть общего пользования (ТфОП) или в направлении других операторов подвижной связи.
Обслуживание входящего CMC сообщения для защищаемых абонентов (Фиг. 5): из центра рассылки текстовых сообщений (SMSC) входящее CMC сообщение поступает на «публичный» номер защищаемого абонента и в модуль обработки трафика ОКС7. Модуль обработки трафика ОКС7 посылает запрос в модуль ядра системы на разрешение входящего CMC сообщение. Модуль ядра системы анализирует входящий номер защищаемого абонента, номер абонента-отправителя и настройки переадресации. В зависимости от настроек защищаемого абонента, модуль ядра системы дает разрешение (или не разрешает) на входящее CMC сообщение. CMC сообщение поступает (или нет) на «внутренний» номер защищаемого абонента, если беспроводной терминал абонента поддерживает функциональность приема CMC сообщений.
Обслуживание исходящего CMC сообщения защищаемых абонентов (Фиг. 6): исходящее CMC сообщение от защищаемого абонента с «внутренним» номером поступает в центр рассылки текстовых сообщений (SMSC). Центр рассылки текстовых сообщений (SMSC) делает запрос в модуль обработки ОКС7 на разрешение исходящего текстового сообщения. Модуль обработки ОКС7 делает запрос параметров изменения номера в модуль ядра системы. Модуль ядра системы отправляет модулю обработки ОКС7 параметры изменения номера с «внутреннего» на «публичный». Исходящее текстовое сообщение от защищаемого абонента с «публичным» номером отправляется получателю.
Работа системы позиционирования (LBS) (Фиг. 7) в сети подвижной связи: при поступлении входящего запроса от системы позиционирования (LBS), модуль обработки ОКС7 делает запрос в модуль ядра системы, анализирует отправителя запроса и выбирает одно из следующих решений:
a) Заблокировать определение местоположение абонента.
b) Возвратить измененное местоположение.
c) Возвратить настоящее местоположение.
Ответ на запрос, в зависимости от алгоритма скрытия местоположения каждого защищаемого абонента, возвращаются системе позиционирования (LBS).
Работа пакетной передачи данных (Фиг. 8): из центра поддержки пакетной радиопередачи (GGSN) поступают запросы, которые направляются в модуль анализа пакетного трафика (DPI), анализирующий трафик пакетной передачи данных защищаемых абонентов. Модуль анализа пакетного трафика (DPI) производит разборку и анализ содержимого IP пакетов, и на основании этого принимает решение о дальнейшем пропуске, изменении или блокировке передачи данных в модуль ядра системы. Если ядро системы дает разрешение на передачу данных для защищаемых абонентов, модуль анализа пакетного трафика (DPI) передает данные для абонента в сеть интернет или модуль ядра системы блокирует передачу данных для защищаемых абонентов. Сервисы, использующие защищенные каналы связи (ssh, https и пр.) предоставляются после анализа сервера получателя IP пакета и наличии разрешения в настройках модуля анализа пакетного трафика (DPI) для защищаемого номера абонента.

Claims (1)

  1. Способ построения виртуальной закрытой сети основывается на использовании динамически меняющейся связки телефонных номеров защищаемых абонентов, при котором программный модуль ядра формирует два абонентских номера: публичный телефонный номер, который постоянен, отображается на экране телефона у вызывающих абонентов, на который поступают входящие звонки и смс-сообщения, и внутренний телефонный номер, который периодически меняется и на который устанавливается переадресация с публичного номера защищаемых абонентов при входящих и исходящих звонках и смс-сообщениях, отличающийся тем, что программный модуль ядра контролирует связку публичного и внутренних телефонных номеров защищаемых абонентов и устанавливает периодически меняющуюся переадресацию на номера защищаемых абонентов, содержит алгоритмы подмены местоположения защищаемых абонентов, фильтрует и управляет телефонными звонками и смс-сообщениями защищаемых абонентов и содержит правила по их защите при локализации через пакетную передачу данных.
RU2016112143A 2016-03-31 2016-03-31 Виртуальная закрытая сеть RU2645287C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016112143A RU2645287C2 (ru) 2016-03-31 2016-03-31 Виртуальная закрытая сеть

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016112143A RU2645287C2 (ru) 2016-03-31 2016-03-31 Виртуальная закрытая сеть

Publications (2)

Publication Number Publication Date
RU2016112143A RU2016112143A (ru) 2017-10-06
RU2645287C2 true RU2645287C2 (ru) 2018-02-19

Family

ID=60047502

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016112143A RU2645287C2 (ru) 2016-03-31 2016-03-31 Виртуальная закрытая сеть

Country Status (1)

Country Link
RU (1) RU2645287C2 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2389143C2 (ru) * 2004-02-20 2010-05-10 Нокиа Корпорейшн Система, способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети
RU2428808C2 (ru) * 2007-01-26 2011-09-10 Интердиджитал Текнолоджи Корпорейшн Способ и устройство для организации защиты информации о местоположении и управления доступом с использованием информации о местоположении
US20120278611A1 (en) * 2011-04-26 2012-11-01 Sangfor Networks Company Limited Vpn-based method and system for mobile communication terminal to access data securely
EP2983337A1 (en) * 2014-08-08 2016-02-10 ADVA Optical Networking SE Method and system for facilitating the establishment of a virtual private network in a cellular communication network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2389143C2 (ru) * 2004-02-20 2010-05-10 Нокиа Корпорейшн Система, способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети
RU2428808C2 (ru) * 2007-01-26 2011-09-10 Интердиджитал Текнолоджи Корпорейшн Способ и устройство для организации защиты информации о местоположении и управления доступом с использованием информации о местоположении
US20120278611A1 (en) * 2011-04-26 2012-11-01 Sangfor Networks Company Limited Vpn-based method and system for mobile communication terminal to access data securely
EP2983337A1 (en) * 2014-08-08 2016-02-10 ADVA Optical Networking SE Method and system for facilitating the establishment of a virtual private network in a cellular communication network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ЗАЩИЩЕННАЯ СВЯЗЬ. НАЙДЕНО В ИНТЕРНЕТ 09.10.2017 г.: http://www.secure-gsm.red/#home. *

Also Published As

Publication number Publication date
RU2016112143A (ru) 2017-10-06

Similar Documents

Publication Publication Date Title
EP2932676B1 (en) Authenticating public land mobile networks to mobile stations
CN104822146B (zh) 管理网络中不期望的服务请求
CA3013899C (en) Methods, telecommunication switches and computer programs for processing call setup signalling
US20200053136A1 (en) Originating caller verification via insertion of an attestation parameter
US8175580B1 (en) End-to-end secure wireless communication for requesting a more secure channel
Mustafa et al. End-to-end detection of caller ID spoofing attacks
KR101739666B1 (ko) 디바이스-투-디바이스 통신의 인터셉팅
Guri et al. 9-1-1 DDoS: attacks, analysis and mitigation
US8804932B2 (en) Protection of services in mobile network against CLI spoofing
US9867047B2 (en) Method and appartus for notifying authenticity information of caller identity in wireless access system
Guri et al. 9-1-1 ddos: Threat, analysis and mitigation
Sheoran et al. NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation
US10028141B2 (en) Method and system for determining that a SIM and a SIP client are co-located in the same mobile equipment
Abodunrin et al. Some dangers from 2g networks legacy support and a possible mitigation
RU2645287C2 (ru) Виртуальная закрытая сеть
KR20150122558A (ko) 패턴 매칭을 이용한 불법 인터넷 국제 발신호 차단 장치 및 불법 인터넷 국제 발신호 차단 방법
Me et al. An overview of some techniques to exploit VoIP over WLAN
Magklaris Attacks on SS7
KR102440411B1 (ko) 비정상 로밍 요청 탐지 방법 및 장치
CN105813035B (zh) 一种识别保密语音业务的方法、***和网络设备
KR20140011751A (ko) 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법
KR101098472B1 (ko) Ip 기반 호 처리 방법 및 장치
de Carvalho Macedo et al. Attacks to mobile networks using SS7 vulnerabilities: a real traffic analysis
Hramcov et al. Threats to the security of the SS7 Protocol
Ham et al. Vulnerability analysis on Mobile VoIP supplementary services and MITM attack