Gestión de solicitudes de servicio no deseadas en una red.

Método para gestionar al menos una solicitud de servicio enviada desde al menos un terminal a una red

, comprendiendo la red un nodo de red para almacenar información de servicios de confianza, que comprende las siguientes etapas:

- la red recibe una solicitud de servicio procedente de un terminal, comprendiendo la solicitud información de solicitud de servicio;

- se envia una solicitud de verificación de usuario para solicitar a un usuario que verifique el servicio solicitado por el terminal si al menos parte de la información de solicitud de servicio no está presente en la información de servicios de confianza;

- se recibe una respuesta de verificación de usuario, comprendiendo la respuesta información de verificación proporcionada por el usuario, indicando la información de verificación si el usuario acepta o rechaza la solicitud de servicio;

- se añade al menos parte de la información de solicitud de servicio a la información de servicios de confianza si la información de verificación proporciona una indicación de que se permite el servicio solicitado.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2010/055416.

Solicitante: KONINKLIJKE KPN N.V..

Nacionalidad solicitante: Países Bajos.

Dirección: MAANPLEIN 55 2516 CK THE HAGUE PAISES BAJOS.

Inventor/es: MULLER, FRANK, LAARAKKERS,JEROEN, HARTOG,TIM.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > REDES DE COMUNICACION INALAMBRICAS > Disposiciones de seguridad, p. ej. seguridad de acceso... > H04W12/12 (Detección de fraude)

PDF original: ES-2484141_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

E10717601

DESCRIPCIÓN

Gestión de solicitudes de servicio no deseadas en una red

Campo de la invención

La invención se refiere a la gestión de solicitudes de servicio no deseadas en una red y, en particular, aunque no exclusivamente, a un método y un sistema para gestionar solicitudes de servicio no deseadas en una red, a una función de verificación de usuario, a un terminal que se usará en un sistema de este tipo y a un producto de programa informático para ejecutar el método.

Antecedentes de la invención

Los dispositivos móviles de nueva generación, tales como los teléfonos inteligentes, proporcionan funcionalidades computacionales mejoradas mediante conexiones de red abiertas. Tales dispositivos móviles pueden, por ejemplo, recibir correo electrónico, compartir software entre sí a través de conexiones de corto alcance, descargar y ejecutar software desde Internet, hacer llamadas automáticas y funcionar mediante control remoto. Por tanto, de manera similar a un ordenador personal, los dispositivos móviles, y en particular los componentes de software involucrados en el establecimiento de una conexión entre el dispositivo móvil y la red, son vulnerables a ataques por parte de código malicioso (malware) . Normalmente, el malware intenta conseguir un uso indebido de un dispositivo móvil o simplemente interferir en el uso legítimo de un dispositivo móvil. Una tarjeta de chip que posiblemente esté presente en el dispositivo móvil, por ejemplo un (U) SIM, no ofrece protección contra esta vulnerabilidad.

Un tipo de malware se denomina marcador. Los marcadores son elementos de código malicioso que pueden establecer llamadas de manera ilegal en el dispositivo móvil infectado. Tales marcadores usan habitualmente información de autenticación del (U) SIM del dispositivo móvil para obtener acceso a la red como si la conexión fuera establecida legítimamente por el usuario móvil. Tras el procedimiento de autenticación, el marcador empieza a realizar llamadas a, por ejemplo, números de tarificación especial caros (normalmente no detectados por el usuario del dispositivo móvil infectado) , dando lugar a importantes riesgos financieros tanto para el usuario móvil como para el operador móvil.

Se han tomado medidas para eliminar o al menos reducir los efectos no deseados de este tipo de malware. Una medida conocida es la introducción de un filtro en la red. Tales filtros se describen en los documentos WO 2007/041157 y US 2005/0060399. Un filtro que reside en una estación base supervisa las llamadas transmitidas desde un dispositivo móvil y bloquea llamadas que están presentes en una lista negra. El operador de red y/o el usuario móvil pueden añadir solicitudes de servicio a la lista negra, las cuales deberían ser excluidas explícitamente por el filtro.

Un problema relacionado con el uso de este tipo de filtro es la gestión de la lista de solicitudes de servicio excluidas. En el lado del operador hay tres problemas. El primero es que para bloquear todas las solicitudes de servicio no deseadas, el tamaño de la lista negra necesaria puede llegar a ser muy grande y prácticamente inmanejable. El segundo problema es que se requiere una búsqueda constante de servicios maliciosos para mantener la lista negra actualizada. El tercer problema es que la identificación de solicitudes sospechosas requiere analizar las solicitudes de servicio de cada usuario individual de dispositivo móvil. Por tanto, tales análisis requieren una gran cantidad de 45 recursos en la red. En el lado del usuario móvil, un problema reside en el hecho de que las solicitudes de servicio no deseadas del dispositivo móvil pasan normalmente desapercibidas por el usuario y solo se detectan tras la facturación, es decir, después de que el daño ya esté hecho. Otro problema para el usuario puede ser que el operador incluya en la lista negra servicios que el usuario desee usar.

El documento US 2008/0196099 da a conocer un método de filtrado de URL (localizadores uniformes de recursos) en aplicaciones IM (mensajería instantánea) . En caso de que un mensaje IM contenga un URL, este URL se comprueba con una lista negra de URL conocidos maliciosos. Si el URL no está en la lista negra se presenta al emisor un desafío para confirmar que el emisor es un usuario real y no un programa (malware) . Este método protege a los destinatarios contra la recepción de mensajes IM con URL maliciosos. Además, el sistema puede configurarse 55 para mantener una â??lista de permitidosâ?? o â??lista blancaâ?? de URL conocidos no maliciosos. De esta manera, un mensaje IM que contiene un URL de la â??lista blancaâ?? puede reenviarse al destinatario sin presentar un desafío al emisor.

Este método no es deseable ni desde el punto de vista de la seguridad ni desde el punto de vista de los usuarios cuando se aplica en el contexto de un teléfono móvil. Desde la perspectiva de la seguridad, el método del documento US 2008/0196099 no ofrece ninguna solución al problema en cuestión ya que no es el contenido de la comunicación lo que supone una amenaza, sino el destino de la comunicación, por ejemplo números de tarifa especial para llamadas o mensajes de texto (SMS) . Por lo tanto, el método descrito trata de proteger al destinatario pero no al emisor. Además, este método supone una molestia para el emisor, ya que el emisor recibirá desafíos por 65 cada mensaje IM que contenga un URL que no esté en la lista negra (o lista blanca) . Cuando el emisor responde (con éxito) al desafío, el mensaje IM que incluye el URL se reenviará, pero la lista blanca no se actualiza conforme a E10717601

la acción del emisor. Esto significa que el emisor recibirá un desafío para el mismo URL una y otra vez.

Los problemas de la técnica anterior pueden resumirse de la siguiente forma:

â?¢ el tamaño de la lista negra puede llegar a ser inmanejable, ya que todos los servicios sospechosos deben introducirse en la lista negra;

â?¢ las listas blancas no se generan automáticamente;

â?¢ la detección de malware no incluye una prueba en el servicio particular;

â?¢ no se rechazan solicitudes de servicio relacionadas con nuevos destinos maliciosos, por lo que se requiere un esfuerzo constante por parte del operador de red o del usuario para mantener actualizada la lista negra;

â?¢ se importuna múltiples veces al usuario cuando lleva a cabo solicitudes de servicio idénticas;

â?¢ existe la posibilidad de que un operador de red incluya en la lista negra servicios que un usuario desea usar.

Por tanto, existe la necesidad en la técnica de un método sencillo que gestione de manera eficaz solicitudes de 20 servicio no deseadas y que evite el uso indebido.

Sumario de la invención

La invención está definida por las reivindicaciones independientes.

Un objeto de la invención es reducir o eliminar al menos uno de los inconvenientes conocidos de la técnica anterior y proporcionar en un primer aspecto de la invención un método y un sistema para gestionar solicitudes de servicio no deseadas enviadas desde al menos un terminal (dispositivo de comunicaciones móviles) a una red, donde la red puede comprender un nodo de red para almacenar información de servicios de confianza. El método puede comprender al menos una de las siguientes etapas: recibir, a través de la red, una solicitud de servicio procedente de un terminal, comprendiendo la solicitud información de solicitud de servicio; y/o enviar, preferentemente a través de un canal de comunicación seguro, una solicitud de verificación de usuario para solicitar al usuario que verifique el servicio solicitado por el terminal si al menos parte de la información de solicitud de servicio no está presente en... [Seguir leyendo]

 


Reivindicaciones:

E10717601

1. Método para gestionar al menos una solicitud de servicio enviada desde al menos un terminal a una red, comprendiendo la red un nodo de red para almacenar información de servicios de confianza, que comprende las 5 siguientes etapas:

- la red recibe una solicitud de servicio procedente de un terminal, comprendiendo la solicitud información de solicitud de servicio;

- se envia una solicitud de verificación de usuario para solicitar a un usuario que verifique el servicio solicitado por el terminal si al menos parte de la información de solicitud de servicio no está presente en la información de servicios de confianza;

- se recibe una respuesta de verificación de usuario, comprendiendo la respuesta información de verificación proporcionada por el usuario, indicando la información de verificación si el usuario acepta o rechaza la solicitud de servicio;

- se añade al menos parte de la información de solicitud de servicio a la información de servicios de confianza si la información de verificación proporciona una indicación de que se permite el servicio solicitado.

2. Método según la reivindicación 1, comprendiendo además el método al menos una de las siguientes etapas:

enviar la solicitud de verificación de usuario a través de un canal de comunicación seguro; y recibir la respuesta de verificación de usuario a través de un canal seguro.

3. Método según la reivindicación 2, en el que una solicitud de verificación de usuario se envía a través de un canal seguro y una respuesta de verificación de usuario se recibe a través del mismo canal seguro.

4. Método según la reivindicación 1, comprendiendo además el método la etapa de:

añadir al menos parte de la información de solicitud de servicio a la información de servicios de confianza si la información de verificación proporciona una indicación de que no se permite el servicio solicitado.

5. Método según la reivindicación 1, comprendiendo además el método las etapas de:

- establecer un canal de comunicación cifrado entre dicho terminal y dicha red;

- enviar la solicitud de verificación de usuario a través de dicho canal de comunicación cifrado al terminal;

- recibir a través del canal de comunicación cifrado una respuesta de verificación de usuario, comprendiendo la respuesta información de verificación proporcionada por el usuario que indica si el usuario acepta o rechaza la solicitud de servicio.

6. Método según la reivindicación 5, en el que el terminal comprende un módulo de identidad, una o más interfaces de entrada/salida y al menos un componente de hardware de confianza, estando configurado dicho componente de hardware de confianza para establecer una o más trayectorias de comunicación de confianza entre dicho componente de hardware de confianza y el módulo de identidad y/o la una o más interfaces de entrada/salida.

7. Método según la reivindicación 5, comprendiendo el método además las etapas de:

- establecer un canal de comunicación adicional que es diferente del canal de comunicación a través del cual la red recibe la solicitud de servicio;

-enviar al terminal la solicitud de verificación de usuario a través del canal seguro; y, -recibir a través del canal de comunicación adicional una respuesta de verificación de usuario, comprendiendo la respuesta información de verificación que indica si el abonado permite o rechaza la solicitud de servicio.

8. Método según la reivindicación 6, en el que el canal de comunicación seguro es proporcionado por un servicio de mensajería, preferentemente un servicio de mensajes cortos o un servicio USSD.

9. Método según cualquiera de las reivindicaciones 1 a 8, en el que la solicitud de verificación comprende una prueba configurada para determinar si el usuario es una persona o no, preferentemente una prueba de Turing

inversa, más preferentemente un Captcha, y en el que la respuesta de verificación comprende información que indica si la prueba ha tenido éxito o no.

E10717601

10. Método según cualquiera de las reivindicaciones 1 a 9, en el que dicha red comprende un nodo de red de provisión de servicios, comprendiendo dicho nodo de red de provisión de servicios un registro de posiciones de visitantes (VLR) que comprende información de servicios de confianza, comprendiendo además dicho nodo de red una función de verificación de usuario para enviar al terminal, en respuesta a una solicitud de servicio procedente de un terminal, una solicitud de verificación de usuario si al menos parte de la información de solicitud de servicio no está presente en la información de servicios de confianza.

11. Método según la reivindicación 10, en el que la red comprende además un registro de posiciones base (HLR) , comprendiendo dicho registro de posiciones base información de servicios de confianza de dicho terminal, comprendiendo además dicho método la etapa de:

transmitir información de servicios de confianza desde dicho registro de posiciones base a dicho registro de posiciones de visitantes.

1.

12. Un sistema para gestionar al menos una solicitud de servicio enviada desde al menos un terminal a una red, comprendiendo el sistema:

- uno o más terminales para establecer un canal de comunicación con la red, -un nodo de red de provisión de servicios configurado para recibir una solicitud de servicio, que comprende información de solicitud de servicio, procedente de al menos uno de dichos terminales, -una base de datos de servicios de confianza conectada a dicho nodo de red de provisión de servicios;

en el que dicho nodo de red de provisión de servicios está configurado para:

- enviar una solicitud de verificación de usuario para solicitar a un usuario que verifique el servicio solicitado por el terminal si al menos parte de la información de solicitud de servicio no está presente en la información de servicios de confianza, -recibir una respuesta de verificación de usuario, comprendiendo la respuesta información de verificación proporcionada por el usuario, indicando la información de verificación si el usuario acepta o rechaza la solicitud de servicio, -añadir al menos parte de la información de solicitud de servicio a la información de servicios de confianza si la información de verificación proporciona una indicación de que se permite el servicio solicitado.

13. Una función de verificación de usuario para su uso en un sistema según la reivindicación 12, comprendiendo la función de verificación de usuario:

- medios para recibir una solicitud de servicio procedente de un terminal, comprendiendo dicha solicitud de servicio información de solicitud de servicio;

-medios para comprobar si al menos parte de dicha información de solicitud de servicio está comprendida en una base de datos de servicios de confianza;

- medios para establecer un diálogo seguro entre el usuario del terminal o entre otro usuario, relacionado con el terminal, y la red si al menos parte de la información de solicitud de servicio no está presente en la información de servicios de confianza; y -medios para añadir al menos parte de la información de solicitud de servicio a la información de servicios de confianza si el diálogo seguro proporciona una indicación de que se permite el servicio solicitado.

14. Un producto de programa informático que comprende fragmentos de código de software configurados para, cuando se ejecutan en la memoria de un ordenador, ejecutar una función de verificación de servicio con respecto a una solicitud de servicio que comprende información de solicitud de servicio, enviada desde al menos un terminal a una red, estando configurados los fragmentos de código de software para:

- enviar una solicitud de verificación de usuario para solicitar a un usuario que verifique el servicio solicitado por el terminal si al menos parte de la información de solicitud de servicio no está presente como información de servicios de confianza;

- recibir una respuesta de verificación de usuario, comprendiendo la respuesta información de verificación 65 proporcionada por el usuario, indicando la información de verificación si el usuario acepta o rechaza la solicitud de servicio;

E10717601

- añadir al menos parte de la información de solicitud de servicio a la información de servicios de confianza si la información de verificación proporciona una indicación de que se permite el servicio solicitado.

15. Un producto de programa informático según la reivindicación 14, en el que la función de verificación de servicio está implementada en forma de un componente de hardware funcional o como un producto de programa informático ejecutado en el MSC u otro elemento de red diferente conectado al MSC, o es una función distribuida que implica dos o más elementos de red que comprenden uno o más productos de programa de software.