ネットワークにおける望ましくないサービス要求の管理
少なくとも1つの端末からネットワークに送信された望ましくないサービス要求を管理する方法およびシステムが記載され、ネットワークは信頼されるサービス情報を記憶するためのネットワークノードを有する。方法は以下のステップを含む。ネットワークが端末からサービス要求を受信するステップであって、該要求がサービス要求情報を含む、ステップ。および、前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合、前記端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して、送信するステップ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにおける望ましくないサービス要求の管理に関し、特に、ネットワークにおける望ましくないサービス要求を管理する方法およびシステム、そのようなシステムにおいて使用するためのユーザ認証機能および端末、および、該方法を実行するためのコンピュータプログラム製品に関するが、それらには限られない。
【背景技術】
【0002】
新世代のモバイル装置、例えばスマートフォンは、オープンなネットワーク接続によって、拡張されたコンピュータ機能を提供する。そのようなモバイル装置は、例えば、eメールを受信すること、短距離接続を介して互いにソフトウェアを共有すること、インターネットからソフトウェアをダウンロードして実行すること、自動化された呼を生成すること、および遠隔操作の下で動作することが可能である。したがって、パーソナルコンピュータと同様に、モバイル装置および、モバイル装置とネットワークの間の接続の設定に関わる特にソフトウェア構成要素は、悪意のあるコード(マルウェア)の攻撃を受けやすい。典型的にはマルウェアはモバイル装置を悪用しようとするか、単にモバイル装置の正当な使用を妨害する。場合によってはモバイル装置に存在するチップカード、例えば(U)SIMは、この脆弱性に対する保護を提供しない。
【0003】
マルウェアの1つのタイプはダイヤラ(dialer)と呼ばれる。ダイヤラは感染したモバイル装置上で不正に呼をセットアップすることが可能な悪意のある一連のコードである。そのようなダイヤラはモバイル装置の(U)SIMからの認証情報をしばしば使用して、あたかも接続がモバイルのユーザによって正当にセットアップされたかのように、ネットワークへのアクセスを達成する。認証過程の後で、ダイヤラは例えば高価なプレミアム番号−感染したモバイル装置のユーザにはそれとわからないことがしばしばある−への呼のセットアップを開始し、それはモバイルのユーザおよびモバイルのオペレータの両方にとって、実質的に金銭的な危険につながる。
【0004】
そのようなマルウェアの望ましくない影響を除去するか少なくとも低減させるための手段をとることができる。1つの知られている手段はネットワーク内にフィルタを導入することである。そのようなフィルタは特許文献1および特許文献2に記載される。基地局にあるフィルタはモバイル装置から送信された呼を監視し、ブラックリストに挙げられた呼を阻止する。ネットワークオペレータおよび/またはモバイルのユーザはブラックリストに、フィルタによって明確に排除されるべきサービス要求を追加することができる。
【0005】
そのようなフィルタの使用に関連する1つの問題は、排除されたサービス要求のリストの管理である。オペレータ側には3つの問題がある。第1に、すべての望ましくないサービス要求を阻止するためには、必要なブラックリストの大きさが非常に大きくなり、ほとんど管理不可能になりうることである。第2の問題は、ブラックリストを最新のものに保つために、悪意のあるサービスの絶え間ない探索が必要なことである。第3の問題は、疑わしい要求の識別には、モバイル装置の個別のユーザそれぞれのサービス要求の分析を必要とすることである。そのような分析は、したがって、ネットワークのかなりのリソースを必要とする。モバイルのユーザ側では、モバイル装置の望ましくないサービス要求は通常はユーザに気づかれず、課金の後、すなわち、被害がすでに現実のものとなった後にのみ気が付く、ということに1つの問題がある。ユーザにとっての他の問題は、オペレータが、ユーザが本当に使用を望むサービスをブラックリストに加えることから発生しうる。
【0006】
特許文献3は、IM(インスタントメッセージ)アプリケーション内部のURL(ユニフォームリソースロケータ)をフィルタリングする方法を開示する。IMメッセージがURLを含む場合には、このURLが、知られている悪意のあるURLのブラックリストと突き合わせられる。URLがブラックリストにない場合は、送信元には、送信元が実際のユーザでありプログラム(マルウェア)ではないことを確認するために課題が提示される。この方法は、悪意のあるURLを含むIMメッセージを受信することから受取先を保護する。さらに、システムは、知られている悪意のないURLの「受け入れリスト」または「ホワイトリスト」を維持するように構成されることができる。この方法では、「ホワイトリスト」にあるURLを含むIMメッセージが、送信元に課題を出すことなく受取先に転送されうる。
【0007】
この方法は、携帯電話の分野に応用される場合には、セキュリティの観点と顧客の観点の両方から望ましくない。通信の内容ではなく、通信の宛先、例えば呼またはテキストメッセージ(SMS)のプレミアム番号が危険を形成するため、セキュリティの観点からは、特許文献3の方法は、目前の問題に何の解決法も提示しない。したがって、上記の方法は受取先を保護しようとするが送信元を保護しようとはしない。この方法はまた、ブラックリスト(あるいはホワイトリスト)にないURLを含むIMメッセージごとに送信者に課題が出されるため、送信者にとっては迷惑となる。送信者が(首尾よく)課題に答えた場合、URLを含むIMメッセージは転送されるが、送信者の動作に基づいてホワイトリストが更新されることはない。このことは、送信者が同じURLに対して何度も課題を提示されることを意味する。
【0008】
従来技術の問題点を要約する。
・すべての疑わしいサービスをブラックリストに入れなければならないため、ブラックリストのサイズが管理できなくなりうる。
・自動的にホワイトリストを構築することがない。
・マルウェア検出が特定のサービス上でのテストを含まない。
・新しい悪意のある送信先へのサービス要求の拒絶がない。したがって、ブラックリストを最新の状態に保つためにはネットワークオペレータまたはユーザの継続的な努力が必要である。
・ユーザは、同一のサービス要求を実行する際に何度も面倒な思いをする。
・ユーザが本当に使用を望むサービスを、ネットワークオペレータがブラックリストに入れる可能性がある。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】国際公開第2007/041157号
【特許文献2】米国特許出願公開第2005/0060399号明細書
【特許文献3】米国特許出願公開第2008/0196099号明細書
【発明の概要】
【発明が解決しようとする課題】
【0010】
したがって、当該技術においては、望ましくないサービス要求を効率的に管理して誤用を防ぐ簡単な方法が必要である。
【課題を解決するための手段】
【0011】
従来技術において知られている欠点の少なくとも1つを低減または除去して、本発明の第1の特徴における、少なくとも1つの端末(モバイル通信装置)からネットワークに送信された望ましくないサービス要求を管理する方法およびシステムを提供することが、本発明の目的である。ネットワークは信頼されるサービス情報を記憶するネットワークノードを有してもよい。方法は以下のステップの少なくとも1つを含むことができる。前記ネットワークが端末からのサービス要求を受信するステップであって、要求はサービス要求情報を含む、ステップ。および/または、サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するステップ。信頼されるサービス情報は、サービス(SMS、MMS、呼、インスタントメッセージ、動画など)のタイプの少なくとも1つと、要求されるサービスの送信先(例えばアドレス、電話番号)と、に関する情報を含み、該タイプおよび送信先の両方が受け入れられるか、または受け入れられないものがあるかである。本発明の実施形態では、リストに入れられた信頼されるサービス情報が、それに続く要求によって満たされ、可能であれば、信頼されるサービス情報を独立して満たすことによって補完される。本発明の別の実施形態では、信頼されるサービス情報を有するリストは、信頼されるサービス情報を独立して満たすことによって満たされる。ユーザは端末を効率的に用いるユーザであってもよく、端末に頼っているユーザであってもよく、サービス要求の認証を実行する権利を有するか、実行するよう指定されたユーザであってもよい。
【0012】
本方法およびシステムは、提示されたサービス要求が正当な要求であるかどうかユーザへの認証を行うことによって、マルウェアによって生ずる被害を効率的に阻止する。この効果は、ネットワークにおいて受け入れられるサービスの信頼されるサービス情報(例えば、ホワイトリストの形式)を動的に維持し、サービスを受け入れる前に、サービスが信頼されるサービス情報に含まれていることについて、サービス要求ごとに認証を行うことによって達成される。サービスが含まれていない場合、ネットワークは安全な方法でユーザに、要求が確立されるべきものであるかどうかを認証するよう動的に要求するものとする。この方法によって、マルウェアに由来する要求がユーザによって認識されることができ、ユーザはそのようなサービスのセットアップを拒絶することができる。
【0013】
一実施形態では、本方法はさらに、以下のステップの少なくとも1つを含む。好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップ。および/または、認証情報が、要求されたサービスが受け入れられる旨を提示する場合、信頼されるサービス情報に前記サービス要求情報の少なくとも一部を加えるステップ。したがって、ネットワークはサービス認証のためにユーザとのダイアログを自動的にセットアップする。サービスがユーザに受け入れられる場合は、信頼されるサービス情報が動的に更新される。
【0014】
他の実施形態では、本方法はさらに、以下のステップの少なくとも1つを含んでもよい。好ましくは端末の識別モジュールに記憶された安全な鍵を用いて暗号化された通信チャネルを、前記端末と前記ネットワークの間で確立するステップ。前記暗号化された通信チャネルを介してユーザ認証要求を端末に送信するステップ。および/または、暗号化された通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は、ユーザによって提供された、ユーザがサービス要求を受け入れるか拒絶するかを示す認証情報を含むステップ。端末の識別モジュールに記憶されたプライベートキーを用いて暗号化された通信チャネルを用いて、ユーザダイアログが確立されてもよい。
【0015】
さらなる実施形態では、端末は以下の要素の少なくとも1つを含んでもよい。識別モジュール、1つ以上の入力/出力インターフェイス、および/または、少なくとも1つの信頼されるハードウェア構成要素。前記信頼されるハードウェア構成要素は、前記信頼されるハードウェア構成要素と前記識別モジュールおよび/または前記1つ以上の入力/出力インターフェイスとの間に1つ以上の信頼される通信経路を確立するように構成されてもよい。端末内で1つ以上の信頼されるハードウェア構成要素を用いて、端末内の1つ以上の信頼される通信経路を得て、それによって、マルウェアが、ユーザとネットワークの間のユーザ認証ダイアログを妨害することを阻止してもよい。
【0016】
一実施形態では、方法は以下のステップの少なくとも1つをさらに含んでもよい。前記ネットワークによってサービス要求が受信される通信チャネルとは異なる、さらなる通信チャネルを確立するステップ。安全なチャネルを介して端末に前記ユーザ認証要求を送信するステップ。および/または、前記さらなる通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は加入者がサービス要求を受け入れるか拒絶するかのいずれかを示す認証情報を含む、ステップ。さらに別の変形例では、前記さらなる通信チャネルはメッセージングサービス、好ましくはショートメッセージサービスまたはUSSDサービスによって提供されてもよい。
【0017】
さらなる変形例では、認証要求は、ユーザが人間であるかそうでないかを判定するように構成されたテスト、好ましくは逆チューリングテスト(reverse Turing test)、より好ましくはCaptchaを含んでもよい。認証応答はテストが成功したかそうでないかに関する情報を有する。
【0018】
さらなる変形例では、ネットワークは少なくとも1つのサービス提供ネットワークノードを含んでもよい。前記サービス提供ネットワークノードは信頼されるサービス情報を含むビジティングロケーションレジスタ(VLR)を有してもよい。前記ネットワークノードは、サービス要求情報の少なくとも一部が信頼されるサービス情報内のリストにない場合、端末からのサービス要求に応じて、端末へのユーザ認証要求を送信するためのユーザ認証機能を更に有してもよい。一変形例では、ネットワークはホームロケーションレジスタ(HLR)を有してもよく、前記ホームロケーションレジスタは前記端末の信頼されるサービス情報を有する。方法は、前記ホームロケーションレジスタから前記ビジティングロケーションレジスタへ信頼されるサービス情報を送信するステップをさらに含んでもよい。ネットワークへの端末の登録の際、端末の役目を果たすサービス提供ネットワークノードのVLRは、端末のホームネットワークのホームロケーションレジスタHLRから信頼されるサービス情報を読み出してもよい。同様に、信頼されるサービス情報は、HLRにおいて、ユーザによって認証された信頼されるサービスを送信することによって更新され、VLRにおける信頼されるサービス情報に追加されてHLRに戻されてもよい。
【0019】
別の態様では、本発明は少なくとも1つの端末からネットワークに送信される望ましくないサービス要求を管理するためのシステムに関してもよい。システムは以下の特徴のうち少なくとも1つを含んでもよい。ネットワークと共に通信チャネルを確立する1つ以上の端末。前記端末の少なくとも1つからサービス要求情報を含むサービス要求を受信するように構成されたサービス提供ネットワークノード、および/または前記サービス提供ネットワークノードに接続された信頼されるサービスデータベース。前記サービス提供ネットワークノードは、サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合には、端末によって要求されたサービスを認証するようにユーザに要求するためのユーザ認証要求を、好ましくは安全な通信チャネルを介して、送信するように構成される。
【0020】
さらなる態様において、本発明は上記のようなシステムにおいて使用するためのユーザ認証機能に関してもよい。ユーザ認証機能は、以下の特徴の少なくとも1つを有してもよい。端末からサービス要求を受信する手段であって、前記サービス要求はサービス要求情報を含む、手段。前記サービス要求情報の少なくとも一部が、信頼されるサービスデータベースに含まれるかどうかを確かめる手段。および/または、サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合には、端末のユーザとネットワークの間の安全なダイアログを確立する手段。
【0021】
さらなる態様において、本発明は上記のようなシステムにおいて使用するための端末に関してもよい。端末は以下の特徴の少なくとも1つを有してもよい。サービス提供ネットワークノードからのユーザ認証要求に応じて、端末のユーザとネットワークの間に安全なダイアログを確立するユーザ認証クライアント。前記ダイアログのために安全な通信チャネルを確立するプライベート鍵を提供する識別モジュール。前記ユーザからダイアログ情報を受けるための入力要素。前記ユーザへダイアログ情報を送るための出力要素。および/または、好ましくは信頼される計算基準を用いて、前記ユーザ認証クライアント、識別モジュール、入力要素、および/または出力要素の間に1つ以上の信頼される通信経路を確立する、信頼されるハードウェア構成要素。
【0022】
本発明はまた、好ましくは1つ以上のネットワークノード内に位置する、コンピュータのメモリ内で実行される場合、上記のような方法発明のいずれかに基づく方法のステップを実施するように構成される、ソフトウェアコード部分を有するコンピュータプログラム製品に関してもよい。
【0023】
本発明はさらに、本発明による実施形態を概略的に示す添付の図面を参照して記載される。本発明はこれらの特定の実施形態にいかなる意味でも制約されるものではないことが理解されるであろう。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態による通信システムを概略的に示す図である。
【図2】本発明の一実施形態による方法のフロー図である。
【図3】本発明の一実施形態による方法を含む使用のための端末の図である。
【発明を実施するための形態】
【0025】
図1は本発明の一実施形態による通信システム100の概略的な表示を示す図である。システムは通信ネットワーク104に接続された端末102を含んでもよい。一実施形態では、ネットワークは、アクセスノードとして作動するベーストランシーバ基地局(BTS)106を含む2Gタイプ(例えばGSM)のモバイルネットワークであってもよい。BTSは、例えばビジティングネットワーク(VN)のモバイル切り換えセンタ(MSC)110に、基地局コントローラ(BSC)108を介して接続されてもよい。さらに、MSCは、ビジティングロケーションレジスタ(VLR)112にリンクされてもよく、該レジスタは、ユーザに関するデータを記憶してセキュリティ機能を実行するデータベースである。MSCは、認証センタ(AuC)116を含むホームロケーションレジスタ(HRL)114にさらにリンクされてもよい。HLR/AUCは、端末102のユーザがネットワークオペレータの会員となっているホームネットワーク(HN)内に位置してもよい。HLRはユーザ関連のデータ、例えば会員関連のデータを記憶し、端末の位置をたどるようにMSC/VLR110と協働する。認証センタ(AuC)は認証過程において用いられる認証パラメータの計算のためのアルゴリズムを(特に)有する。各加入者に対して、AuCは、端末内に位置する、例えば(U)SIMカードなどの、関連する識別モジュール内にも記憶される秘密認証鍵Kを記憶する。
【0026】
信頼されるサービス(TS)データベース118は信頼されるサービス情報を含む。例えば、それは、HLRに接続されるかHLRの一部であってもよい加入者に関する、受け入れられるサービス識別子および/または受け入れられないサービス識別子(例えば、電話番号)に関する1つ以上の信頼されるリストである。TSデータベース内のリストは、加入者のHLRおよび/またはサービス認証機能120によって更新されてもよい。サービス認証機能はTSデータベースにアクセスするように構成され、端末からのサービス要求に応じて、ユーザ端末に安全な通信チャネルをセットアップするように構成される。
【0027】
サービス認証機能は機能的ハードウェア構成要素の形態で実施されてもよく、MSC上で実行されるコンピュータプログラム製品またはMSCに接続された他の個別のネットワーク要素として実施されてもよい。代替として、該機能は、実行されたときに呼の認証機能を提供する1つ以上のソフトウェアプログラム製品を備える2つ以上のネットワーク要素を含む分散された機能であってもよい。呼の認証機能のより詳細な説明は、図2に関連して以下に記載される。
【0028】
図1に記載されたGSMネットワーク以外のネットワークが使用されてもよい。例えば、一実施形態では、ネットワークは3Gネットワーク要素を含む3Gタイプ(UMTS)のモバイルネットワークであってもよい。この場合には、ネットワークは無線ネットワークコントローラ(RNC)108を介してサービングGPRSサポートノード(SGSN)110に接続される無線基地局(RBS)106を有してもよい。SGSNはさらに、上記のような2Gタイプのネットワークと同じようにして、VLR112およびAuC/HLR114、116に接続される。さらなる実施形態では、通信ネットワーク104は、例えばプロキシCSCF(P−CSCF)、問い合わせ(interrogating)CSCF(I−CSCF)、サービングCSCF(S−CSCF)などの呼/セッション制御機能(CSCF)、およびホーム加入者サーバ(HSS)のセットの形態のIMSベースのネットワーク要素を含んでもよい。さらなる変形例は3GPP LTEまたは3GPP SAEネットワーク要素を含む。
【0029】
端末102はパーソナルコンピュータ、またはスマートフォン、パーソナルデジタルアシスタント(PDA)、ラップトップ、または1つ以上のモバイルネットワーク(2G、2.5G、3G、4G、NG、WiMaxなど)においてサービスを提供することができる任意の他のモバイル通信装置などの、モバイル装置であってもよい。端末は無線モジュール122、オペレーティングシステム(OS)124、および識別モジュール120を含む。
【0030】
無線モジュール122はワイヤレスネットワークサービスへの接続ポイントとして機能し、この目的のために1つ以上のアンテナと接続されるRF受信器を含む少なくとも1つのエアインターフェイスを有する。図1は、無線カード122が基地局106との無線接続を提供する例示的な実施形態を示す。無線モジュールのRFインターフェイスは様々な無線テクノロジ(例えばGSMサービスのためのTDMA、UMTSサービスのためのW−CDMA、WiFiサービスのためのIEEE 802.11、ブルートゥース、DECTなど)に従ってRF信号を受信および/または送信することが可能である。
【0031】
端末のオペレーティングシステム(OS)124は、モバイル装置のリソース、例えば中央処理装置(CPU)、プログラム命令130およびデータを記憶するメモリ、および、無線モジュール122、ディスプレイ134およびキーパッド132などの入力/出力(I/O)デバイスなどを管理するカーネルを含んでもよい。さらに、OSは典型的には、アプリケーションプログラム128がOSによって提供されるサービスにアクセス可能となる1つ以上のアプリケーションプログラムインターフェイス(API)、例えばモバイルネットワークとの無線接続をセットアップするための無線ネットワークAPIを備える。
【0032】
典型的には取り外し可能な識別モジュール126は、2Gタイプのネットワークサービス(GSM)または3Gタイプのネットワークサービス(UMTS)に適したモバイル装置において使用するUICC(Universal Integrated Circuit Card)であってもよい。この目的のために、UICCはSIMアプリケーションを含む加入者識別モジュール(SIM)および/またはUSIMアプリケーションを含むUMTS加入者識別モジュール(USIM)を含んでもよい。識別モジュールがSIMおよび/またはUSIMアプリケーションに限られないことは理解されるべきである。さらなる実施形態では、識別モジュールは、所定のIMSベースのAKAに基づいてIMSベースのサービスを認証する、またはIMSベースのサービスにアクセスするIPマルチメディアサブシステムSIM(ISIM)であってもよい。所定のIMSベースのAKAは、例えばRFC4187に記載の所定のEAPベースのAKAによるネットワークに認証されてアクセスするための、例えば、ETSI技術仕様TS 33.203または拡張可能認証プロトコル(EAP)ベースのSIMに記載されている。
【0033】
識別モジュールはプロセッサ、例えばROM、RAM、および/またはEEPROMなどの1つ以上のメモリ構成要素、およびI/O回路を含んでよい。認証目的のために、UICCは秘密のサービス加入者認証鍵Kと、ランダムな課題(チャレンジ)を受け取った際に1つ以上の認証パラメータを含む応答を計算するための1つ以上のアルゴリズムと、を含む。
【0034】
ネットワークにアクセスするために、端末はまず、ネットワークによって用いられる通信標準の認証および鍵一致(AKA)の一方によって定義される認証過程を実行する。GSM AKAは端末においてランダム数RANDをSIMに送信することを含む、課題応答タイプの認証過程である。SIMはネットワークに送り返される応答RESを生成し、該応答をネットワークによって計算される期待される応答と比較する。GSM AKAの一部として、モバイル端末と、GSMエアインターフェイスを介して、データを暗号化するために作動しているネットワークとの間で対称暗号鍵CKが確立される。GSM AKAはETSI標準GSM 02.09およびGSM 03.20に詳細に記載され、それは参照によって本明細書に組み込まれる。
【0035】
標準UMTS認証過程において、GSM AKAにおける場合と同様のステップが実行される。しかしながら、セキュリティを向上させるために、ネットワークは自分自身の認証をも端末に対して行う。UMTSスキームではAuC/HLRはランダム数RANDを生成し、認証ベクトル(AV){AUTN、RAND、XRES、CK、IK}を決定する。その後、SGSN/VLRはRANDおよびAUTNを端末に転送する。端末内のUSIMはRANDおよびAUTNに基づいて応答RESを決定し、その後、応答RESはネットワークに送信されて、ネットワークによって決定された期待される応答と比較される。GSM AKAと同様に、暗号鍵CKおよびインテグリティ鍵IKが、モバイル端末と作動しているネットワークとの間でエアインターフェイスを介して送信されるデータを暗号化してインテグリティ保護を行うために用いられるUMTS AKAの最中に、確立される。UMTS AKAはETSI技術仕様TS 33.102に詳細に記載され、それは参照によって本明細書に組み込まれる。
【0036】
図2は本発明の一実施形態によるGSMネットワークにおいて発生した呼のセットアップのフロー図を示す。上記の認証過程の最中、加入者識別子(IMSI)、認証データ、加入者の電話番号、受け入れ可能なサービスのリスト、加入者のHLRアドレス、および特にホワイトリストおよび/またはブラックリストを含む信頼されるサービス情報、を含む加入者登録データが、HLRからMSC/VLRに転送されてもよい(ステップ202)。認証が成功した後、端末はサービス要求を送信することによって、すなわち、BSSを介してMSC/VLRにモバイル加入者総合デジタル通信網番号(MSISDN)を含む呼をセットアップする要求を送信することによって、ネットワークサービスにアクセスしてもよい(ステップ204)。
【0037】
応答として、MSCはVLRと共に、端末が要求されたサービスにアクセスすることを許可されているかどうか確かめる。さらに、MSC内のサービス認可機能は、サービス要求内の情報が、特にMSISDNが、信頼されるサービス情報(例えば、信頼される電話番号のリストの形態で)のリストにあるかどうかを確かめる。リストはMSCに接続されたVLRにアクセスすることによって確かめられてもよい(ステップ206および208)。合致するものが見つかった場合、MSCはBSSに呼のリソースの割り当ておよびGMSCを介した呼の経路指定を要求する。ここでGMSCは、固定されたPSTNネットワークによってモバイルネットワークを受信先(図示せず)に接続するゲートウェイである。
【0038】
番号が受け入れ可能な番号のリストに見つからない場合は、MSCサービス認証機能は、呼が受け入れ可能かそうでないかを認証するように端末のユーザに要求するために、生成端末によってダイアログを開始させてもよい。この目的のために、マルウェアによって侵されることが困難な、安全な通信チャネルが端末とネットワークの間で確立されてもよい。そのような安全な通信チャネルの例は、以下により詳細に記載される。
【0039】
安全な通信チャネルを用いて、MSC/VLRのサービス認証機能はユーザ端末にユーザ認証要求を送信してもよい。ユーザ認証要求は、端末のユーザにダイアログをトリガしてもよく、そこでは、ユーザが、要求されたサービスを確立すべきかそうでないかを認証することを求められている(ステップ210)。ユーザ認証要求に応答して、ユーザ応答メッセージがMSCのサービス認証機能に送り返される(ステップ212)。ユーザ応答が、呼がユーザによって受け入れられる旨の情報を提供する場合、信頼されるサービスリストはTSデータベース内の信頼されるサービス情報にその番号を加えることによって更新される(ステップ214および216)。ユーザへの呼認証ダイアログの後、MSCは要求されたサービス、例えば呼のためにリソースを割り当てて、GMSCおよび1つ以上の通信ネットワーク、例えばダイヤルされた端末への公衆交換電話網(PSTN)を介してサービス要求を経路指定する(ステップ218)。応答メッセージが、ユーザが呼を受け入れない旨を示す場合、呼はMSCによって拒絶される(図示せず)。
【0040】
したがって、生成した呼の従来のセットアップとは逆に、本発明は、サービス要求内の情報がホワイトリストにあるかどうかを確認することによって、端末によってネットワークに送信されたサービスに対する厳格な制御を可能にする。ホワイトリストを用いることで、サービス要求に由来して生成されたマルウェアを効率的に阻止することができる。さらに、本発明は、ホワイトリストを、対話的かつ動的な方法で構成することを可能にする。ひとたびリストがあるサイズになると、呼認証要素によって生成されるホワイトリストを使用することで、登録された呼が実際に疑いのない呼であることが、より確実にネットワークオペレータにもたらされる。
【0041】
端末とネットワークの間の通信チャネルは、マルウェアに妨害をさせないという意味で、安全であるべきである。一実施形態では、安全な通信チャネルは、GSMまたはUMTS AKAに基づく認証過程の最中にモバイル端末と作動しているネットワークとの間に確立された暗号鍵CKを用いる、暗号化された無線チャネルであってもよい。このスキームでは、MSC/VLRは暗号化されたユーザ認証要求210を、変更してもよい端末に送信し、マルウェアがユーザとネットワークの間のダイアログを干渉することを阻止する。そのような端末300の1つの例示的な実施形態が図3により詳細に記載される。この実施形態では、端末は、端末のOS304内で実行されるユーザ認証アプリケーション302(クライアント)を有する。端末は、ユーザ認証クライアント302、識別モジュール318(例えば(U)SIM)、メモリ320、および/または、入力要素322(キーパッド、マイクロフォンなど)および出力要素324(ディスプレイ、スピーカなど)などの1つ以上のI/Oインターフェイスの間に1つ以上の信頼される通信経路308−316を確立する、1つ以上の信頼されるハードウェア構成要素306(THC)をさらに含む。
【0042】
ユーザ認証要求はユーザ認証クライアントの実行をトリガしてもよく、ユーザ認証クライアントは、データを暗号化および復号する(U)SIM、ユーザとの対話のための端末のキーパッドおよびディスプレイインターフェイス322、324と安全に通信するように構成される。
【0043】
THCは、ローカルおよび/またはリモートの認証、安全なデータ記憶および安全なI/O機能を含む、複数のセキュリティ機能を実施するように構成された改ざん耐性のある装置であってもよい。これらの機能は端末内に信頼される通信経路を確立するように用いられてもよい。THCは所定の信頼される計算プラットフォーム標準、例えば信頼されるコンピュータグループ(TCG)によって発行された、信頼されるモバイルモジュール(MTM)仕様バージョン1.0、一訂版、2007年6月12日において定められたような、信頼される計算プラットフォーム(TCP)、またはインテルの信頼される実行技術(TXT)ハードウェアプラットフォームによって実施されてもよい。
【0044】
THCは、ローカルおよび/またはリモートの認証機能を用いて、ユーザ認証クライアントの完全性を認証してもよい。完全性が承認された後、THCは図3に記載のように端末内に1つ以上の信頼される通信経路をセットアップしてもよい。これらの信頼される経路を用いて、ユーザ認証アプリケーションは、ユーザがサービス要求を受け入れるか拒絶するかを可能にする、ユーザとの安全なダイアログをセットアップする。ユーザ応答(すなわちキーパッド入力)は無線インターフェイス326および暗号化された無線チャネルを介して、MSC/VLRのサービス認証機能に送り返される。
【0045】
他の実施形態では、通信チャネルは、ネットワークに登録された追加のSIMカードを用いて確立されてもよい。そのようなデュアルSIM端末は、サービス要求が、第1のSIMに応じてセットアップされたチャネルを用いてネットワークに送信されることを可能にし、サービス要求の受け入れまたは拒絶のためのダイアログボックスへのユーザの反応が、第2のSIMを用いて暗号化された通信チャネルを介して送信されることを可能にする。この実施形態は、マルウェアが第2のSIMカードを知っておらず、したがって、暗号化された通信チャネルをTHCと組み合わせて使用することと比較すると提供される安全性が小さいということに基づく。
【0046】
他の実施形態では、安全なチャネルは同一の基盤(infrastructure)上に個別の通信チャネルを確立してもよい。例えば、端末からのサービス要求の受信に応答して、ネットワークは、例えばSMS、EMS、MMSまたはUSSDメッセージの形態のメッセージを端末のユーザに送信し、ユーザは同一の個別の通信チャネルを使用して応答をネットワークに送り返す。
【0047】
さらなる変形例では、端末とネットワークの間のサービス認証ダイアログは、好ましくはテキスト、画像および/または音からなるテストを送信するステップを有してもよく、それはユーザが人間であるかそうでないかの判定を可能にする。テストへの応答はネットワークに送信され、正しい応答は端末ユーザによるサービス要求を受容することに対応する。好ましくは、テストは逆チューリングテスト(例えばCaptchaなど)であってもよい。逆チューリングテストは、ダイアログが、規則的で場合によっては安全でない基盤を用いて生成されることを可能にしてもよい。しかしながら、向上したセキュリティのため、逆チューリングテストを用いたダイアログは、上記のような暗号化されたおよび/または個別の通信チャネルと容易に組み合わされることができる。
【0048】
信頼されるサービス(TS)データベースの機能は、望ましくない番号のリスト(すなわちブラックリスト)をさらに含むことにより拡張される。サービス要求がネットワーク、例えばMSCによって受信された場合、ネットワークは要求においてダイヤルされた番号がブラックリストまたはホワイトリストにあるかどうかを確かめる。それがブラックリストにある場合、端末にさらなるダイアログは一切出ずに、呼は自動的に拒絶される。ブラックリストは、信頼されるサービスのリスト(ホワイトリスト)と関連して、上記と同様の方法で更新されてもよい。
【0049】
一実施形態では、サービス要求のユーザによる拒絶の後、番号がブラックリストに加えられてもよい。これは、ユーザによる拒絶に応答して自動的に行われてもよく、代替として、呼認証ダイアログの最中にユーザへの選択肢としてダイアログボックス内に示されてもよい。ブラックリスト選択肢を選ぶことは、拒絶された番号を加えてTSデータベースにおけるブラックリストを更新することにつながる。そのようなブラックリストおよび/またはホワイトリストの更新は、MSC/VLRとHLRの間の通信が行われた場合に行われてもよい。例えば、加入者が所定の時間の間操作を行わなかった後に、加入者がVLRによってカバーされた領域にいる旨の通知を、HLRがMSC/VLRによって受けた瞬間に行われてもよい。その後、端末は、作動しているMSC/VLRから登録を取り消される。さらに、そのような更新はリアルタイム、すなわち、ユーザ認証ダイアログの直後、または加入者記録がVLRから消去された瞬間に行われてもよい。
【0050】
さらに、ネットワークオペレータは、ユーザがリストに変更を行うことを可能にするために、TSデータベース内のリストへのユーザの(間接的な)アクセス、例えば、安全なインターネット接続を介したアクセスを提供してもよい。
【0051】
いかなる実施形態に関連して記載されたいかなる特徴も、単独で使用されてもよく、他の記載された特徴と組み合わされて使用されてもよく、いかなる他の実施形態の1つ以上の特徴と組み合わせて使用されてもよく、いかなる他の実施形態のいかなる組み合わせと使用されてもよいことを理解すべきである。さらに、上記されていない等価例や変形例が、添付の特許請求の範囲に定義されている、本発明の範囲から離れることなく使用されてもよい。
【技術分野】
【0001】
本発明は、ネットワークにおける望ましくないサービス要求の管理に関し、特に、ネットワークにおける望ましくないサービス要求を管理する方法およびシステム、そのようなシステムにおいて使用するためのユーザ認証機能および端末、および、該方法を実行するためのコンピュータプログラム製品に関するが、それらには限られない。
【背景技術】
【0002】
新世代のモバイル装置、例えばスマートフォンは、オープンなネットワーク接続によって、拡張されたコンピュータ機能を提供する。そのようなモバイル装置は、例えば、eメールを受信すること、短距離接続を介して互いにソフトウェアを共有すること、インターネットからソフトウェアをダウンロードして実行すること、自動化された呼を生成すること、および遠隔操作の下で動作することが可能である。したがって、パーソナルコンピュータと同様に、モバイル装置および、モバイル装置とネットワークの間の接続の設定に関わる特にソフトウェア構成要素は、悪意のあるコード(マルウェア)の攻撃を受けやすい。典型的にはマルウェアはモバイル装置を悪用しようとするか、単にモバイル装置の正当な使用を妨害する。場合によってはモバイル装置に存在するチップカード、例えば(U)SIMは、この脆弱性に対する保護を提供しない。
【0003】
マルウェアの1つのタイプはダイヤラ(dialer)と呼ばれる。ダイヤラは感染したモバイル装置上で不正に呼をセットアップすることが可能な悪意のある一連のコードである。そのようなダイヤラはモバイル装置の(U)SIMからの認証情報をしばしば使用して、あたかも接続がモバイルのユーザによって正当にセットアップされたかのように、ネットワークへのアクセスを達成する。認証過程の後で、ダイヤラは例えば高価なプレミアム番号−感染したモバイル装置のユーザにはそれとわからないことがしばしばある−への呼のセットアップを開始し、それはモバイルのユーザおよびモバイルのオペレータの両方にとって、実質的に金銭的な危険につながる。
【0004】
そのようなマルウェアの望ましくない影響を除去するか少なくとも低減させるための手段をとることができる。1つの知られている手段はネットワーク内にフィルタを導入することである。そのようなフィルタは特許文献1および特許文献2に記載される。基地局にあるフィルタはモバイル装置から送信された呼を監視し、ブラックリストに挙げられた呼を阻止する。ネットワークオペレータおよび/またはモバイルのユーザはブラックリストに、フィルタによって明確に排除されるべきサービス要求を追加することができる。
【0005】
そのようなフィルタの使用に関連する1つの問題は、排除されたサービス要求のリストの管理である。オペレータ側には3つの問題がある。第1に、すべての望ましくないサービス要求を阻止するためには、必要なブラックリストの大きさが非常に大きくなり、ほとんど管理不可能になりうることである。第2の問題は、ブラックリストを最新のものに保つために、悪意のあるサービスの絶え間ない探索が必要なことである。第3の問題は、疑わしい要求の識別には、モバイル装置の個別のユーザそれぞれのサービス要求の分析を必要とすることである。そのような分析は、したがって、ネットワークのかなりのリソースを必要とする。モバイルのユーザ側では、モバイル装置の望ましくないサービス要求は通常はユーザに気づかれず、課金の後、すなわち、被害がすでに現実のものとなった後にのみ気が付く、ということに1つの問題がある。ユーザにとっての他の問題は、オペレータが、ユーザが本当に使用を望むサービスをブラックリストに加えることから発生しうる。
【0006】
特許文献3は、IM(インスタントメッセージ)アプリケーション内部のURL(ユニフォームリソースロケータ)をフィルタリングする方法を開示する。IMメッセージがURLを含む場合には、このURLが、知られている悪意のあるURLのブラックリストと突き合わせられる。URLがブラックリストにない場合は、送信元には、送信元が実際のユーザでありプログラム(マルウェア)ではないことを確認するために課題が提示される。この方法は、悪意のあるURLを含むIMメッセージを受信することから受取先を保護する。さらに、システムは、知られている悪意のないURLの「受け入れリスト」または「ホワイトリスト」を維持するように構成されることができる。この方法では、「ホワイトリスト」にあるURLを含むIMメッセージが、送信元に課題を出すことなく受取先に転送されうる。
【0007】
この方法は、携帯電話の分野に応用される場合には、セキュリティの観点と顧客の観点の両方から望ましくない。通信の内容ではなく、通信の宛先、例えば呼またはテキストメッセージ(SMS)のプレミアム番号が危険を形成するため、セキュリティの観点からは、特許文献3の方法は、目前の問題に何の解決法も提示しない。したがって、上記の方法は受取先を保護しようとするが送信元を保護しようとはしない。この方法はまた、ブラックリスト(あるいはホワイトリスト)にないURLを含むIMメッセージごとに送信者に課題が出されるため、送信者にとっては迷惑となる。送信者が(首尾よく)課題に答えた場合、URLを含むIMメッセージは転送されるが、送信者の動作に基づいてホワイトリストが更新されることはない。このことは、送信者が同じURLに対して何度も課題を提示されることを意味する。
【0008】
従来技術の問題点を要約する。
・すべての疑わしいサービスをブラックリストに入れなければならないため、ブラックリストのサイズが管理できなくなりうる。
・自動的にホワイトリストを構築することがない。
・マルウェア検出が特定のサービス上でのテストを含まない。
・新しい悪意のある送信先へのサービス要求の拒絶がない。したがって、ブラックリストを最新の状態に保つためにはネットワークオペレータまたはユーザの継続的な努力が必要である。
・ユーザは、同一のサービス要求を実行する際に何度も面倒な思いをする。
・ユーザが本当に使用を望むサービスを、ネットワークオペレータがブラックリストに入れる可能性がある。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】国際公開第2007/041157号
【特許文献2】米国特許出願公開第2005/0060399号明細書
【特許文献3】米国特許出願公開第2008/0196099号明細書
【発明の概要】
【発明が解決しようとする課題】
【0010】
したがって、当該技術においては、望ましくないサービス要求を効率的に管理して誤用を防ぐ簡単な方法が必要である。
【課題を解決するための手段】
【0011】
従来技術において知られている欠点の少なくとも1つを低減または除去して、本発明の第1の特徴における、少なくとも1つの端末(モバイル通信装置)からネットワークに送信された望ましくないサービス要求を管理する方法およびシステムを提供することが、本発明の目的である。ネットワークは信頼されるサービス情報を記憶するネットワークノードを有してもよい。方法は以下のステップの少なくとも1つを含むことができる。前記ネットワークが端末からのサービス要求を受信するステップであって、要求はサービス要求情報を含む、ステップ。および/または、サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するステップ。信頼されるサービス情報は、サービス(SMS、MMS、呼、インスタントメッセージ、動画など)のタイプの少なくとも1つと、要求されるサービスの送信先(例えばアドレス、電話番号)と、に関する情報を含み、該タイプおよび送信先の両方が受け入れられるか、または受け入れられないものがあるかである。本発明の実施形態では、リストに入れられた信頼されるサービス情報が、それに続く要求によって満たされ、可能であれば、信頼されるサービス情報を独立して満たすことによって補完される。本発明の別の実施形態では、信頼されるサービス情報を有するリストは、信頼されるサービス情報を独立して満たすことによって満たされる。ユーザは端末を効率的に用いるユーザであってもよく、端末に頼っているユーザであってもよく、サービス要求の認証を実行する権利を有するか、実行するよう指定されたユーザであってもよい。
【0012】
本方法およびシステムは、提示されたサービス要求が正当な要求であるかどうかユーザへの認証を行うことによって、マルウェアによって生ずる被害を効率的に阻止する。この効果は、ネットワークにおいて受け入れられるサービスの信頼されるサービス情報(例えば、ホワイトリストの形式)を動的に維持し、サービスを受け入れる前に、サービスが信頼されるサービス情報に含まれていることについて、サービス要求ごとに認証を行うことによって達成される。サービスが含まれていない場合、ネットワークは安全な方法でユーザに、要求が確立されるべきものであるかどうかを認証するよう動的に要求するものとする。この方法によって、マルウェアに由来する要求がユーザによって認識されることができ、ユーザはそのようなサービスのセットアップを拒絶することができる。
【0013】
一実施形態では、本方法はさらに、以下のステップの少なくとも1つを含む。好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップ。および/または、認証情報が、要求されたサービスが受け入れられる旨を提示する場合、信頼されるサービス情報に前記サービス要求情報の少なくとも一部を加えるステップ。したがって、ネットワークはサービス認証のためにユーザとのダイアログを自動的にセットアップする。サービスがユーザに受け入れられる場合は、信頼されるサービス情報が動的に更新される。
【0014】
他の実施形態では、本方法はさらに、以下のステップの少なくとも1つを含んでもよい。好ましくは端末の識別モジュールに記憶された安全な鍵を用いて暗号化された通信チャネルを、前記端末と前記ネットワークの間で確立するステップ。前記暗号化された通信チャネルを介してユーザ認証要求を端末に送信するステップ。および/または、暗号化された通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は、ユーザによって提供された、ユーザがサービス要求を受け入れるか拒絶するかを示す認証情報を含むステップ。端末の識別モジュールに記憶されたプライベートキーを用いて暗号化された通信チャネルを用いて、ユーザダイアログが確立されてもよい。
【0015】
さらなる実施形態では、端末は以下の要素の少なくとも1つを含んでもよい。識別モジュール、1つ以上の入力/出力インターフェイス、および/または、少なくとも1つの信頼されるハードウェア構成要素。前記信頼されるハードウェア構成要素は、前記信頼されるハードウェア構成要素と前記識別モジュールおよび/または前記1つ以上の入力/出力インターフェイスとの間に1つ以上の信頼される通信経路を確立するように構成されてもよい。端末内で1つ以上の信頼されるハードウェア構成要素を用いて、端末内の1つ以上の信頼される通信経路を得て、それによって、マルウェアが、ユーザとネットワークの間のユーザ認証ダイアログを妨害することを阻止してもよい。
【0016】
一実施形態では、方法は以下のステップの少なくとも1つをさらに含んでもよい。前記ネットワークによってサービス要求が受信される通信チャネルとは異なる、さらなる通信チャネルを確立するステップ。安全なチャネルを介して端末に前記ユーザ認証要求を送信するステップ。および/または、前記さらなる通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は加入者がサービス要求を受け入れるか拒絶するかのいずれかを示す認証情報を含む、ステップ。さらに別の変形例では、前記さらなる通信チャネルはメッセージングサービス、好ましくはショートメッセージサービスまたはUSSDサービスによって提供されてもよい。
【0017】
さらなる変形例では、認証要求は、ユーザが人間であるかそうでないかを判定するように構成されたテスト、好ましくは逆チューリングテスト(reverse Turing test)、より好ましくはCaptchaを含んでもよい。認証応答はテストが成功したかそうでないかに関する情報を有する。
【0018】
さらなる変形例では、ネットワークは少なくとも1つのサービス提供ネットワークノードを含んでもよい。前記サービス提供ネットワークノードは信頼されるサービス情報を含むビジティングロケーションレジスタ(VLR)を有してもよい。前記ネットワークノードは、サービス要求情報の少なくとも一部が信頼されるサービス情報内のリストにない場合、端末からのサービス要求に応じて、端末へのユーザ認証要求を送信するためのユーザ認証機能を更に有してもよい。一変形例では、ネットワークはホームロケーションレジスタ(HLR)を有してもよく、前記ホームロケーションレジスタは前記端末の信頼されるサービス情報を有する。方法は、前記ホームロケーションレジスタから前記ビジティングロケーションレジスタへ信頼されるサービス情報を送信するステップをさらに含んでもよい。ネットワークへの端末の登録の際、端末の役目を果たすサービス提供ネットワークノードのVLRは、端末のホームネットワークのホームロケーションレジスタHLRから信頼されるサービス情報を読み出してもよい。同様に、信頼されるサービス情報は、HLRにおいて、ユーザによって認証された信頼されるサービスを送信することによって更新され、VLRにおける信頼されるサービス情報に追加されてHLRに戻されてもよい。
【0019】
別の態様では、本発明は少なくとも1つの端末からネットワークに送信される望ましくないサービス要求を管理するためのシステムに関してもよい。システムは以下の特徴のうち少なくとも1つを含んでもよい。ネットワークと共に通信チャネルを確立する1つ以上の端末。前記端末の少なくとも1つからサービス要求情報を含むサービス要求を受信するように構成されたサービス提供ネットワークノード、および/または前記サービス提供ネットワークノードに接続された信頼されるサービスデータベース。前記サービス提供ネットワークノードは、サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合には、端末によって要求されたサービスを認証するようにユーザに要求するためのユーザ認証要求を、好ましくは安全な通信チャネルを介して、送信するように構成される。
【0020】
さらなる態様において、本発明は上記のようなシステムにおいて使用するためのユーザ認証機能に関してもよい。ユーザ認証機能は、以下の特徴の少なくとも1つを有してもよい。端末からサービス要求を受信する手段であって、前記サービス要求はサービス要求情報を含む、手段。前記サービス要求情報の少なくとも一部が、信頼されるサービスデータベースに含まれるかどうかを確かめる手段。および/または、サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合には、端末のユーザとネットワークの間の安全なダイアログを確立する手段。
【0021】
さらなる態様において、本発明は上記のようなシステムにおいて使用するための端末に関してもよい。端末は以下の特徴の少なくとも1つを有してもよい。サービス提供ネットワークノードからのユーザ認証要求に応じて、端末のユーザとネットワークの間に安全なダイアログを確立するユーザ認証クライアント。前記ダイアログのために安全な通信チャネルを確立するプライベート鍵を提供する識別モジュール。前記ユーザからダイアログ情報を受けるための入力要素。前記ユーザへダイアログ情報を送るための出力要素。および/または、好ましくは信頼される計算基準を用いて、前記ユーザ認証クライアント、識別モジュール、入力要素、および/または出力要素の間に1つ以上の信頼される通信経路を確立する、信頼されるハードウェア構成要素。
【0022】
本発明はまた、好ましくは1つ以上のネットワークノード内に位置する、コンピュータのメモリ内で実行される場合、上記のような方法発明のいずれかに基づく方法のステップを実施するように構成される、ソフトウェアコード部分を有するコンピュータプログラム製品に関してもよい。
【0023】
本発明はさらに、本発明による実施形態を概略的に示す添付の図面を参照して記載される。本発明はこれらの特定の実施形態にいかなる意味でも制約されるものではないことが理解されるであろう。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態による通信システムを概略的に示す図である。
【図2】本発明の一実施形態による方法のフロー図である。
【図3】本発明の一実施形態による方法を含む使用のための端末の図である。
【発明を実施するための形態】
【0025】
図1は本発明の一実施形態による通信システム100の概略的な表示を示す図である。システムは通信ネットワーク104に接続された端末102を含んでもよい。一実施形態では、ネットワークは、アクセスノードとして作動するベーストランシーバ基地局(BTS)106を含む2Gタイプ(例えばGSM)のモバイルネットワークであってもよい。BTSは、例えばビジティングネットワーク(VN)のモバイル切り換えセンタ(MSC)110に、基地局コントローラ(BSC)108を介して接続されてもよい。さらに、MSCは、ビジティングロケーションレジスタ(VLR)112にリンクされてもよく、該レジスタは、ユーザに関するデータを記憶してセキュリティ機能を実行するデータベースである。MSCは、認証センタ(AuC)116を含むホームロケーションレジスタ(HRL)114にさらにリンクされてもよい。HLR/AUCは、端末102のユーザがネットワークオペレータの会員となっているホームネットワーク(HN)内に位置してもよい。HLRはユーザ関連のデータ、例えば会員関連のデータを記憶し、端末の位置をたどるようにMSC/VLR110と協働する。認証センタ(AuC)は認証過程において用いられる認証パラメータの計算のためのアルゴリズムを(特に)有する。各加入者に対して、AuCは、端末内に位置する、例えば(U)SIMカードなどの、関連する識別モジュール内にも記憶される秘密認証鍵Kを記憶する。
【0026】
信頼されるサービス(TS)データベース118は信頼されるサービス情報を含む。例えば、それは、HLRに接続されるかHLRの一部であってもよい加入者に関する、受け入れられるサービス識別子および/または受け入れられないサービス識別子(例えば、電話番号)に関する1つ以上の信頼されるリストである。TSデータベース内のリストは、加入者のHLRおよび/またはサービス認証機能120によって更新されてもよい。サービス認証機能はTSデータベースにアクセスするように構成され、端末からのサービス要求に応じて、ユーザ端末に安全な通信チャネルをセットアップするように構成される。
【0027】
サービス認証機能は機能的ハードウェア構成要素の形態で実施されてもよく、MSC上で実行されるコンピュータプログラム製品またはMSCに接続された他の個別のネットワーク要素として実施されてもよい。代替として、該機能は、実行されたときに呼の認証機能を提供する1つ以上のソフトウェアプログラム製品を備える2つ以上のネットワーク要素を含む分散された機能であってもよい。呼の認証機能のより詳細な説明は、図2に関連して以下に記載される。
【0028】
図1に記載されたGSMネットワーク以外のネットワークが使用されてもよい。例えば、一実施形態では、ネットワークは3Gネットワーク要素を含む3Gタイプ(UMTS)のモバイルネットワークであってもよい。この場合には、ネットワークは無線ネットワークコントローラ(RNC)108を介してサービングGPRSサポートノード(SGSN)110に接続される無線基地局(RBS)106を有してもよい。SGSNはさらに、上記のような2Gタイプのネットワークと同じようにして、VLR112およびAuC/HLR114、116に接続される。さらなる実施形態では、通信ネットワーク104は、例えばプロキシCSCF(P−CSCF)、問い合わせ(interrogating)CSCF(I−CSCF)、サービングCSCF(S−CSCF)などの呼/セッション制御機能(CSCF)、およびホーム加入者サーバ(HSS)のセットの形態のIMSベースのネットワーク要素を含んでもよい。さらなる変形例は3GPP LTEまたは3GPP SAEネットワーク要素を含む。
【0029】
端末102はパーソナルコンピュータ、またはスマートフォン、パーソナルデジタルアシスタント(PDA)、ラップトップ、または1つ以上のモバイルネットワーク(2G、2.5G、3G、4G、NG、WiMaxなど)においてサービスを提供することができる任意の他のモバイル通信装置などの、モバイル装置であってもよい。端末は無線モジュール122、オペレーティングシステム(OS)124、および識別モジュール120を含む。
【0030】
無線モジュール122はワイヤレスネットワークサービスへの接続ポイントとして機能し、この目的のために1つ以上のアンテナと接続されるRF受信器を含む少なくとも1つのエアインターフェイスを有する。図1は、無線カード122が基地局106との無線接続を提供する例示的な実施形態を示す。無線モジュールのRFインターフェイスは様々な無線テクノロジ(例えばGSMサービスのためのTDMA、UMTSサービスのためのW−CDMA、WiFiサービスのためのIEEE 802.11、ブルートゥース、DECTなど)に従ってRF信号を受信および/または送信することが可能である。
【0031】
端末のオペレーティングシステム(OS)124は、モバイル装置のリソース、例えば中央処理装置(CPU)、プログラム命令130およびデータを記憶するメモリ、および、無線モジュール122、ディスプレイ134およびキーパッド132などの入力/出力(I/O)デバイスなどを管理するカーネルを含んでもよい。さらに、OSは典型的には、アプリケーションプログラム128がOSによって提供されるサービスにアクセス可能となる1つ以上のアプリケーションプログラムインターフェイス(API)、例えばモバイルネットワークとの無線接続をセットアップするための無線ネットワークAPIを備える。
【0032】
典型的には取り外し可能な識別モジュール126は、2Gタイプのネットワークサービス(GSM)または3Gタイプのネットワークサービス(UMTS)に適したモバイル装置において使用するUICC(Universal Integrated Circuit Card)であってもよい。この目的のために、UICCはSIMアプリケーションを含む加入者識別モジュール(SIM)および/またはUSIMアプリケーションを含むUMTS加入者識別モジュール(USIM)を含んでもよい。識別モジュールがSIMおよび/またはUSIMアプリケーションに限られないことは理解されるべきである。さらなる実施形態では、識別モジュールは、所定のIMSベースのAKAに基づいてIMSベースのサービスを認証する、またはIMSベースのサービスにアクセスするIPマルチメディアサブシステムSIM(ISIM)であってもよい。所定のIMSベースのAKAは、例えばRFC4187に記載の所定のEAPベースのAKAによるネットワークに認証されてアクセスするための、例えば、ETSI技術仕様TS 33.203または拡張可能認証プロトコル(EAP)ベースのSIMに記載されている。
【0033】
識別モジュールはプロセッサ、例えばROM、RAM、および/またはEEPROMなどの1つ以上のメモリ構成要素、およびI/O回路を含んでよい。認証目的のために、UICCは秘密のサービス加入者認証鍵Kと、ランダムな課題(チャレンジ)を受け取った際に1つ以上の認証パラメータを含む応答を計算するための1つ以上のアルゴリズムと、を含む。
【0034】
ネットワークにアクセスするために、端末はまず、ネットワークによって用いられる通信標準の認証および鍵一致(AKA)の一方によって定義される認証過程を実行する。GSM AKAは端末においてランダム数RANDをSIMに送信することを含む、課題応答タイプの認証過程である。SIMはネットワークに送り返される応答RESを生成し、該応答をネットワークによって計算される期待される応答と比較する。GSM AKAの一部として、モバイル端末と、GSMエアインターフェイスを介して、データを暗号化するために作動しているネットワークとの間で対称暗号鍵CKが確立される。GSM AKAはETSI標準GSM 02.09およびGSM 03.20に詳細に記載され、それは参照によって本明細書に組み込まれる。
【0035】
標準UMTS認証過程において、GSM AKAにおける場合と同様のステップが実行される。しかしながら、セキュリティを向上させるために、ネットワークは自分自身の認証をも端末に対して行う。UMTSスキームではAuC/HLRはランダム数RANDを生成し、認証ベクトル(AV){AUTN、RAND、XRES、CK、IK}を決定する。その後、SGSN/VLRはRANDおよびAUTNを端末に転送する。端末内のUSIMはRANDおよびAUTNに基づいて応答RESを決定し、その後、応答RESはネットワークに送信されて、ネットワークによって決定された期待される応答と比較される。GSM AKAと同様に、暗号鍵CKおよびインテグリティ鍵IKが、モバイル端末と作動しているネットワークとの間でエアインターフェイスを介して送信されるデータを暗号化してインテグリティ保護を行うために用いられるUMTS AKAの最中に、確立される。UMTS AKAはETSI技術仕様TS 33.102に詳細に記載され、それは参照によって本明細書に組み込まれる。
【0036】
図2は本発明の一実施形態によるGSMネットワークにおいて発生した呼のセットアップのフロー図を示す。上記の認証過程の最中、加入者識別子(IMSI)、認証データ、加入者の電話番号、受け入れ可能なサービスのリスト、加入者のHLRアドレス、および特にホワイトリストおよび/またはブラックリストを含む信頼されるサービス情報、を含む加入者登録データが、HLRからMSC/VLRに転送されてもよい(ステップ202)。認証が成功した後、端末はサービス要求を送信することによって、すなわち、BSSを介してMSC/VLRにモバイル加入者総合デジタル通信網番号(MSISDN)を含む呼をセットアップする要求を送信することによって、ネットワークサービスにアクセスしてもよい(ステップ204)。
【0037】
応答として、MSCはVLRと共に、端末が要求されたサービスにアクセスすることを許可されているかどうか確かめる。さらに、MSC内のサービス認可機能は、サービス要求内の情報が、特にMSISDNが、信頼されるサービス情報(例えば、信頼される電話番号のリストの形態で)のリストにあるかどうかを確かめる。リストはMSCに接続されたVLRにアクセスすることによって確かめられてもよい(ステップ206および208)。合致するものが見つかった場合、MSCはBSSに呼のリソースの割り当ておよびGMSCを介した呼の経路指定を要求する。ここでGMSCは、固定されたPSTNネットワークによってモバイルネットワークを受信先(図示せず)に接続するゲートウェイである。
【0038】
番号が受け入れ可能な番号のリストに見つからない場合は、MSCサービス認証機能は、呼が受け入れ可能かそうでないかを認証するように端末のユーザに要求するために、生成端末によってダイアログを開始させてもよい。この目的のために、マルウェアによって侵されることが困難な、安全な通信チャネルが端末とネットワークの間で確立されてもよい。そのような安全な通信チャネルの例は、以下により詳細に記載される。
【0039】
安全な通信チャネルを用いて、MSC/VLRのサービス認証機能はユーザ端末にユーザ認証要求を送信してもよい。ユーザ認証要求は、端末のユーザにダイアログをトリガしてもよく、そこでは、ユーザが、要求されたサービスを確立すべきかそうでないかを認証することを求められている(ステップ210)。ユーザ認証要求に応答して、ユーザ応答メッセージがMSCのサービス認証機能に送り返される(ステップ212)。ユーザ応答が、呼がユーザによって受け入れられる旨の情報を提供する場合、信頼されるサービスリストはTSデータベース内の信頼されるサービス情報にその番号を加えることによって更新される(ステップ214および216)。ユーザへの呼認証ダイアログの後、MSCは要求されたサービス、例えば呼のためにリソースを割り当てて、GMSCおよび1つ以上の通信ネットワーク、例えばダイヤルされた端末への公衆交換電話網(PSTN)を介してサービス要求を経路指定する(ステップ218)。応答メッセージが、ユーザが呼を受け入れない旨を示す場合、呼はMSCによって拒絶される(図示せず)。
【0040】
したがって、生成した呼の従来のセットアップとは逆に、本発明は、サービス要求内の情報がホワイトリストにあるかどうかを確認することによって、端末によってネットワークに送信されたサービスに対する厳格な制御を可能にする。ホワイトリストを用いることで、サービス要求に由来して生成されたマルウェアを効率的に阻止することができる。さらに、本発明は、ホワイトリストを、対話的かつ動的な方法で構成することを可能にする。ひとたびリストがあるサイズになると、呼認証要素によって生成されるホワイトリストを使用することで、登録された呼が実際に疑いのない呼であることが、より確実にネットワークオペレータにもたらされる。
【0041】
端末とネットワークの間の通信チャネルは、マルウェアに妨害をさせないという意味で、安全であるべきである。一実施形態では、安全な通信チャネルは、GSMまたはUMTS AKAに基づく認証過程の最中にモバイル端末と作動しているネットワークとの間に確立された暗号鍵CKを用いる、暗号化された無線チャネルであってもよい。このスキームでは、MSC/VLRは暗号化されたユーザ認証要求210を、変更してもよい端末に送信し、マルウェアがユーザとネットワークの間のダイアログを干渉することを阻止する。そのような端末300の1つの例示的な実施形態が図3により詳細に記載される。この実施形態では、端末は、端末のOS304内で実行されるユーザ認証アプリケーション302(クライアント)を有する。端末は、ユーザ認証クライアント302、識別モジュール318(例えば(U)SIM)、メモリ320、および/または、入力要素322(キーパッド、マイクロフォンなど)および出力要素324(ディスプレイ、スピーカなど)などの1つ以上のI/Oインターフェイスの間に1つ以上の信頼される通信経路308−316を確立する、1つ以上の信頼されるハードウェア構成要素306(THC)をさらに含む。
【0042】
ユーザ認証要求はユーザ認証クライアントの実行をトリガしてもよく、ユーザ認証クライアントは、データを暗号化および復号する(U)SIM、ユーザとの対話のための端末のキーパッドおよびディスプレイインターフェイス322、324と安全に通信するように構成される。
【0043】
THCは、ローカルおよび/またはリモートの認証、安全なデータ記憶および安全なI/O機能を含む、複数のセキュリティ機能を実施するように構成された改ざん耐性のある装置であってもよい。これらの機能は端末内に信頼される通信経路を確立するように用いられてもよい。THCは所定の信頼される計算プラットフォーム標準、例えば信頼されるコンピュータグループ(TCG)によって発行された、信頼されるモバイルモジュール(MTM)仕様バージョン1.0、一訂版、2007年6月12日において定められたような、信頼される計算プラットフォーム(TCP)、またはインテルの信頼される実行技術(TXT)ハードウェアプラットフォームによって実施されてもよい。
【0044】
THCは、ローカルおよび/またはリモートの認証機能を用いて、ユーザ認証クライアントの完全性を認証してもよい。完全性が承認された後、THCは図3に記載のように端末内に1つ以上の信頼される通信経路をセットアップしてもよい。これらの信頼される経路を用いて、ユーザ認証アプリケーションは、ユーザがサービス要求を受け入れるか拒絶するかを可能にする、ユーザとの安全なダイアログをセットアップする。ユーザ応答(すなわちキーパッド入力)は無線インターフェイス326および暗号化された無線チャネルを介して、MSC/VLRのサービス認証機能に送り返される。
【0045】
他の実施形態では、通信チャネルは、ネットワークに登録された追加のSIMカードを用いて確立されてもよい。そのようなデュアルSIM端末は、サービス要求が、第1のSIMに応じてセットアップされたチャネルを用いてネットワークに送信されることを可能にし、サービス要求の受け入れまたは拒絶のためのダイアログボックスへのユーザの反応が、第2のSIMを用いて暗号化された通信チャネルを介して送信されることを可能にする。この実施形態は、マルウェアが第2のSIMカードを知っておらず、したがって、暗号化された通信チャネルをTHCと組み合わせて使用することと比較すると提供される安全性が小さいということに基づく。
【0046】
他の実施形態では、安全なチャネルは同一の基盤(infrastructure)上に個別の通信チャネルを確立してもよい。例えば、端末からのサービス要求の受信に応答して、ネットワークは、例えばSMS、EMS、MMSまたはUSSDメッセージの形態のメッセージを端末のユーザに送信し、ユーザは同一の個別の通信チャネルを使用して応答をネットワークに送り返す。
【0047】
さらなる変形例では、端末とネットワークの間のサービス認証ダイアログは、好ましくはテキスト、画像および/または音からなるテストを送信するステップを有してもよく、それはユーザが人間であるかそうでないかの判定を可能にする。テストへの応答はネットワークに送信され、正しい応答は端末ユーザによるサービス要求を受容することに対応する。好ましくは、テストは逆チューリングテスト(例えばCaptchaなど)であってもよい。逆チューリングテストは、ダイアログが、規則的で場合によっては安全でない基盤を用いて生成されることを可能にしてもよい。しかしながら、向上したセキュリティのため、逆チューリングテストを用いたダイアログは、上記のような暗号化されたおよび/または個別の通信チャネルと容易に組み合わされることができる。
【0048】
信頼されるサービス(TS)データベースの機能は、望ましくない番号のリスト(すなわちブラックリスト)をさらに含むことにより拡張される。サービス要求がネットワーク、例えばMSCによって受信された場合、ネットワークは要求においてダイヤルされた番号がブラックリストまたはホワイトリストにあるかどうかを確かめる。それがブラックリストにある場合、端末にさらなるダイアログは一切出ずに、呼は自動的に拒絶される。ブラックリストは、信頼されるサービスのリスト(ホワイトリスト)と関連して、上記と同様の方法で更新されてもよい。
【0049】
一実施形態では、サービス要求のユーザによる拒絶の後、番号がブラックリストに加えられてもよい。これは、ユーザによる拒絶に応答して自動的に行われてもよく、代替として、呼認証ダイアログの最中にユーザへの選択肢としてダイアログボックス内に示されてもよい。ブラックリスト選択肢を選ぶことは、拒絶された番号を加えてTSデータベースにおけるブラックリストを更新することにつながる。そのようなブラックリストおよび/またはホワイトリストの更新は、MSC/VLRとHLRの間の通信が行われた場合に行われてもよい。例えば、加入者が所定の時間の間操作を行わなかった後に、加入者がVLRによってカバーされた領域にいる旨の通知を、HLRがMSC/VLRによって受けた瞬間に行われてもよい。その後、端末は、作動しているMSC/VLRから登録を取り消される。さらに、そのような更新はリアルタイム、すなわち、ユーザ認証ダイアログの直後、または加入者記録がVLRから消去された瞬間に行われてもよい。
【0050】
さらに、ネットワークオペレータは、ユーザがリストに変更を行うことを可能にするために、TSデータベース内のリストへのユーザの(間接的な)アクセス、例えば、安全なインターネット接続を介したアクセスを提供してもよい。
【0051】
いかなる実施形態に関連して記載されたいかなる特徴も、単独で使用されてもよく、他の記載された特徴と組み合わされて使用されてもよく、いかなる他の実施形態の1つ以上の特徴と組み合わせて使用されてもよく、いかなる他の実施形態のいかなる組み合わせと使用されてもよいことを理解すべきである。さらに、上記されていない等価例や変形例が、添付の特許請求の範囲に定義されている、本発明の範囲から離れることなく使用されてもよい。
【特許請求の範囲】
【請求項1】
少なくとも1つの端末からネットワークに送信された少なくとも1つのサービス要求を管理する方法であって、前記ネットワークは信頼されるサービス情報を記憶するネットワークノードを含み、
−前記ネットワークが端末からのサービス要求を受信するステップであって、前記要求がサービス要求情報を含む、ステップと、
−前記サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するステップと、を含む方法。
【請求項2】
−好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップと、
−前記認証情報が、要求されるサービスが受け入れられる旨を提示する場合、前記信頼されるサービス情報に前記サービス要求情報の少なくとも一部を加えるステップと、をさらに含む、請求項1に記載の方法。
【請求項3】
−好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップと、
−前記認証情報が、要求されるサービスが受け入れられない旨を提示する場合、前記信頼されるサービス情報にサービス要求情報の少なくとも一部を加えるステップと、をさらに含む、請求項1に記載の方法。
【請求項4】
−好ましくは前記端末の識別モジュールに記憶されたプライベート鍵を用いて、前記端末と前記ネットワークの間に暗号化された通信チャネルを確立するステップと、
−前記暗号化された通信チャネルを介して前記端末に前記ユーザ認証要求を送信するステップと、
−前記暗号化された通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は、ユーザによって提供される、ユーザが前記サービス要求を受け入れるか拒絶するかを示す認証情報を含む、ステップと、をさらに含む、請求項1または2に記載の方法。
【請求項5】
前記端末が識別モジュール、1つ以上の入力/出力インターフェイス、および少なくとも1つの信頼されるハードウェア構成要素を含み、前記信頼されるハードウェア構成要素は、前記信頼されるハードウェア構成要素と前記識別モジュールおよび/または前記1つ以上の入力/出力インターフェイスとの間に1つ以上の信頼される通信経路を確立するように構成される、請求項4に記載の方法。
【請求項6】
−前記ネットワークによってサービス要求が受信される通信チャネルとは異なる、さらなる通信チャネルを確立するステップと、
−安全なチャネルを介して端末に前記ユーザ認証要求を送信するステップと、
−前記さらなる通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答が、加入者がサービス要求を受け入れるか拒絶するかの認証情報を含む、ステップと、をさらに含む、請求項1から4のいずれか一項に記載の方法。
【請求項7】
前記安全な通信チャネルがメッセージングサービス、好ましくはショートメッセージサービスまたはUSSDサービスによって提供される、請求項5に記載の方法。
【請求項8】
前記認証要求が、ユーザが人間であるかそうでないかを判定するように構成されたテスト、好ましくは逆チューリングテスト、より好ましくはCaptchaを含み、前記認証応答が、テストが成功したかそうでないかに関する情報を含む、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記ネットワークが、サービス提供ネットワークノードを含み、前記サービス提供ネットワークノードは、信頼されるサービス情報を有するビジティングロケーションレジスタ(VLR)を含み、前記ネットワークノードは、前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合、端末からのサービス要求に応じて端末にユーザ認証要求を送信するためのユーザ認証機能をさらに含む、請求項1から8のいずれか一項に記載の方法。
【請求項10】
前記ネットワークがホームロケーションレジスタ(HLR)をさらに含み、前記ホームロケーションレジスタは前記端末の信頼されるサービス情報を含み、前記方法は、
−前記ホームロケーションレジスタから前記ビジティングロケーションレジスタへ信頼されるサービス情報を送信するステップをさらに含む、請求項9に記載の方法。
【請求項11】
少なくとも1つの端末からネットワークに送信された少なくとも1つのサービス要求を管理するシステムであって、
−ネットワークと共に通信チャネルを確立する1つ以上の端末と、
−前記端末の少なくとも1つからサービス要求情報を含むサービス要求を受信するように構成された、サービス提供ネットワークノードと、
−前記サービス提供ネットワークノードに接続された信頼されるサービスデータベースと、を有し、
前記サービス提供ネットワークノードは、前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証することをユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するように構成される、システム。
【請求項12】
請求項11に記載のシステムにおいて使用するユーザ認証機能であって、
−端末からサービス要求を受信する手段であって、前記サービス要求がサービス要求情報を含む、手段と、
−前記サービス要求情報の少なくとも一部が信頼されるサービスデータベースに含まれるか確かめる手段と、
−前記サービス要求情報の少なくとも一部が前記信頼されるサービス情報のリストにない場合、前記端末のユーザまたは前記端末に関連する他のユーザとネットワークの間で安全なダイアログを確立する手段と、を備える、ユーザ認証機能。
【請求項13】
請求項10に記載のシステムにおいて使用する端末であって、
−サービス提供ネットワークノードからのユーザ認証要求に応じて、端末のユーザとネットワークの間に安全なダイアログを確立するユーザ認証クライアントと、
−前記ダイアログのために安全な通信チャネルを確立する暗号化鍵を提供する識別モジュールと、
−前記ユーザからダイアログ情報を受信する入力要素と、
−前記ユーザにダイアログ情報を送信する出力要素と、
−好ましくは信頼される計算基準を用いて、前記ユーザ認証クライアント、識別モジュール、入力要素、および/または出力要素の間に1つ以上の信頼される通信経路を確立する、信頼されるハードウェア構成要素と、を含む、端末。
【請求項14】
好ましくは1つ以上のネットワークノード内に位置する、コンピュータのメモリ内で実行される場合、請求項1から10のいずれか一項に記載の方法のステップを実行するように構成されたソフトウェアコード部分を含む、コンピュータプログラム製品。
【請求項1】
少なくとも1つの端末からネットワークに送信された少なくとも1つのサービス要求を管理する方法であって、前記ネットワークは信頼されるサービス情報を記憶するネットワークノードを含み、
−前記ネットワークが端末からのサービス要求を受信するステップであって、前記要求がサービス要求情報を含む、ステップと、
−前記サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するステップと、を含む方法。
【請求項2】
−好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップと、
−前記認証情報が、要求されるサービスが受け入れられる旨を提示する場合、前記信頼されるサービス情報に前記サービス要求情報の少なくとも一部を加えるステップと、をさらに含む、請求項1に記載の方法。
【請求項3】
−好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップと、
−前記認証情報が、要求されるサービスが受け入れられない旨を提示する場合、前記信頼されるサービス情報にサービス要求情報の少なくとも一部を加えるステップと、をさらに含む、請求項1に記載の方法。
【請求項4】
−好ましくは前記端末の識別モジュールに記憶されたプライベート鍵を用いて、前記端末と前記ネットワークの間に暗号化された通信チャネルを確立するステップと、
−前記暗号化された通信チャネルを介して前記端末に前記ユーザ認証要求を送信するステップと、
−前記暗号化された通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は、ユーザによって提供される、ユーザが前記サービス要求を受け入れるか拒絶するかを示す認証情報を含む、ステップと、をさらに含む、請求項1または2に記載の方法。
【請求項5】
前記端末が識別モジュール、1つ以上の入力/出力インターフェイス、および少なくとも1つの信頼されるハードウェア構成要素を含み、前記信頼されるハードウェア構成要素は、前記信頼されるハードウェア構成要素と前記識別モジュールおよび/または前記1つ以上の入力/出力インターフェイスとの間に1つ以上の信頼される通信経路を確立するように構成される、請求項4に記載の方法。
【請求項6】
−前記ネットワークによってサービス要求が受信される通信チャネルとは異なる、さらなる通信チャネルを確立するステップと、
−安全なチャネルを介して端末に前記ユーザ認証要求を送信するステップと、
−前記さらなる通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答が、加入者がサービス要求を受け入れるか拒絶するかの認証情報を含む、ステップと、をさらに含む、請求項1から4のいずれか一項に記載の方法。
【請求項7】
前記安全な通信チャネルがメッセージングサービス、好ましくはショートメッセージサービスまたはUSSDサービスによって提供される、請求項5に記載の方法。
【請求項8】
前記認証要求が、ユーザが人間であるかそうでないかを判定するように構成されたテスト、好ましくは逆チューリングテスト、より好ましくはCaptchaを含み、前記認証応答が、テストが成功したかそうでないかに関する情報を含む、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記ネットワークが、サービス提供ネットワークノードを含み、前記サービス提供ネットワークノードは、信頼されるサービス情報を有するビジティングロケーションレジスタ(VLR)を含み、前記ネットワークノードは、前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合、端末からのサービス要求に応じて端末にユーザ認証要求を送信するためのユーザ認証機能をさらに含む、請求項1から8のいずれか一項に記載の方法。
【請求項10】
前記ネットワークがホームロケーションレジスタ(HLR)をさらに含み、前記ホームロケーションレジスタは前記端末の信頼されるサービス情報を含み、前記方法は、
−前記ホームロケーションレジスタから前記ビジティングロケーションレジスタへ信頼されるサービス情報を送信するステップをさらに含む、請求項9に記載の方法。
【請求項11】
少なくとも1つの端末からネットワークに送信された少なくとも1つのサービス要求を管理するシステムであって、
−ネットワークと共に通信チャネルを確立する1つ以上の端末と、
−前記端末の少なくとも1つからサービス要求情報を含むサービス要求を受信するように構成された、サービス提供ネットワークノードと、
−前記サービス提供ネットワークノードに接続された信頼されるサービスデータベースと、を有し、
前記サービス提供ネットワークノードは、前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証することをユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するように構成される、システム。
【請求項12】
請求項11に記載のシステムにおいて使用するユーザ認証機能であって、
−端末からサービス要求を受信する手段であって、前記サービス要求がサービス要求情報を含む、手段と、
−前記サービス要求情報の少なくとも一部が信頼されるサービスデータベースに含まれるか確かめる手段と、
−前記サービス要求情報の少なくとも一部が前記信頼されるサービス情報のリストにない場合、前記端末のユーザまたは前記端末に関連する他のユーザとネットワークの間で安全なダイアログを確立する手段と、を備える、ユーザ認証機能。
【請求項13】
請求項10に記載のシステムにおいて使用する端末であって、
−サービス提供ネットワークノードからのユーザ認証要求に応じて、端末のユーザとネットワークの間に安全なダイアログを確立するユーザ認証クライアントと、
−前記ダイアログのために安全な通信チャネルを確立する暗号化鍵を提供する識別モジュールと、
−前記ユーザからダイアログ情報を受信する入力要素と、
−前記ユーザにダイアログ情報を送信する出力要素と、
−好ましくは信頼される計算基準を用いて、前記ユーザ認証クライアント、識別モジュール、入力要素、および/または出力要素の間に1つ以上の信頼される通信経路を確立する、信頼されるハードウェア構成要素と、を含む、端末。
【請求項14】
好ましくは1つ以上のネットワークノード内に位置する、コンピュータのメモリ内で実行される場合、請求項1から10のいずれか一項に記載の方法のステップを実行するように構成されたソフトウェアコード部分を含む、コンピュータプログラム製品。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2012−525751(P2012−525751A)
【公表日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願番号】特願2012−507691(P2012−507691)
【出願日】平成22年4月23日(2010.4.23)
【国際出願番号】PCT/EP2010/055416
【国際公開番号】WO2010/124996
【国際公開日】平成22年11月4日(2010.11.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(500098057)コニンクリジケ ケーピーエヌ エヌブィー (9)
【出願人】(595115802)
【氏名又は名称原語表記】Nederlandse Organisatie voor toegepast−natuurwetenschappelijk onderzoek TNO
【Fターム(参考)】
【公表日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願日】平成22年4月23日(2010.4.23)
【国際出願番号】PCT/EP2010/055416
【国際公開番号】WO2010/124996
【国際公開日】平成22年11月4日(2010.11.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(500098057)コニンクリジケ ケーピーエヌ エヌブィー (9)
【出願人】(595115802)
【氏名又は名称原語表記】Nederlandse Organisatie voor toegepast−natuurwetenschappelijk onderzoek TNO
【Fターム(参考)】
[ Back to top ]