Спосіб (варіанти) та пристрій (варіанти) для захисту бездротових вузлів ретрансляції

Реферат: Для зменшення імовірності загрози безпеці, що представляється вставкою вузла ретрансляції в мережу зв'язку як аутентифікація пристрою, так і аутентифікація абонента виконуються у вузлі ретрансляції. Аутентифікація пристрою та абонента можуть бути зв'язані таким чином, щоб вузлу ретрансляції був наданий доступ для роботи в мережі, тільки якщо аутентифікація і пристрою, і абонента є успішними. Додатково, мережа зв'язку (або вузол аутентифікації) може додатково перевіряти, що ідентифікатор абонента (прийнятий як частина аутентифікації абонента) асоційований з відповідним типом пристрою (ідентифікований ідентифікатором пристрою на відповідному пристрої аутентифікації) як частина процесу аутентифікації абонента. UA 106515 C2 (12) UA 106515 C2 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 Вимагання пріоритету згідно з § 119 розділу 35 зводу законів США Дана заявка на патент заявляє пріоритет наступної попередньої заявки США №61/297649, названої "Method and apparatus for securing wireless Relays", поданої 22 січня 2010, переданої її правонаступнику і тим самим явно включеної тут за посиланням. ГАЛУЗЬ ТЕХНІКИ, ДО ЯКОЇ НАЛЕЖИТЬ ВИНАХІД Одна або більше ознак стосуються забезпечення безпеки пристроїв зв'язку і, більш конкретно, для захисту вузлів ретрансляції, які служать, щоб бездротовим чином з'єднувати користувацьке обладнання з мережею зв'язку. ПОПЕРЕДНІЙ РІВЕНЬ ТЕХНІКИ Проект партнерства третього покоління 3GPP є об'єднанням між групами телекомунікаційних асоціацій, які об'єдналися для визначення глобально застосовних специфікацій мобільної телефонної системи третього покоління (3G) (наприклад, в описі проекту Міжнародних Мобільних Телекомунікацій - 2000 Міжнародного Телекомунікаційного Союзу (ITU)) на основі специфікації розвиненої глобальної системи мобільного зв'язку (GSM) і охоплюючу радіо-, базову мережу та архітектуру обслуговування. Серед декількох інших стандартів у 3GPP, проект довгострокового розвитку (LTE) є стандартом на арені технології мобільної мережі. В еволюції мереж, сумісних з LTE, вузли ретрансляції розгортаються, щоб допомогти в розширенні охоплення мережі для користувацького обладнання і поліпшити смугу пропускання межі комірки. На відміну від інших пристроїв мережі, таких як вдосконалені вузли В (eNB), об'єкт керування мобільністю (ММЕ) тощо, які працюють під керуванням оператора, що керує фізичними місцеположеннями, вузли ретрансляції мають тенденцію розміщуватися ближче до користувацького обладнання, в фізично більш доступних або вразливих місцеположеннях, і працювати більш незалежно. У результаті вузли ретрансляції зазнають деяких нових загроз безпеки та атак (наприклад, атак "незаконний посередник", атак імітації вузла ретрансляції тощо), які не присутні в інших пристроях мережі, таких як eNB або ММЕ. СУТЬ ВИНАХОДУ Надається спосіб, що працює у вузлі ретрансляції. Вузол ретрансляції може бути сконфігурований для роботи між першим вузлом доступу і першим мобільним вузлом за допомогою передачі трафіку між першим вузлом доступу і першим мобільним вузлом. Перший інтерфейс зв'язку вузла ретрансляції може бути адаптований для зв'язку з першим вузлом доступу, причому вузол ретрансляції проявляється як другий мобільний вузол для першого вузла доступу. Другий інтерфейс зв'язку вузла ретрансляції може бути адаптований для зв'язку з першим мобільним вузлом, причому вузол ретрансляції проявляється як другий вузол доступу для першого мобільного вузла. Вузол ретрансляції може надсилати повідомлення аутентифікації пристрою для дозволу аутентифікації пристрою вузла ретрансляції. Точно так само, вузол ретрансляції може надсилати повідомлення аутентифікації абонента для дозволу аутентифікації абонента вузла ретрансляції, де аутентифікація пристрою зв'язана з аутентифікацію абонента при визначенні, чи може вузол ретрансляції одержати послугу зв'язку через мережу зв'язку. Вузол ретрансляції може одержати доступ до мережі зв'язку після успішної аутентифікації абонента та аутентифікації пристрою. Наприклад, вузол ретрансляції може прийняти повідомлення надання обслуговування, що надає доступ до мережі зв'язку, після успішної аутентифікації абонента та аутентифікації пристрою. Альтернативно, вузол ретрансляції може прийняти повідомлення відхилення обслуговування, що відхиляє доступ до мережі зв'язку, після невдалої аутентифікації абонента або аутентифікації пристрою. Повідомлення аутентифікації пристрою і повідомлення аутентифікації абонента можуть бути надіслані одночасно як єдине повідомлення аутентифікації. Перший інтерфейс зв'язку може реалізувати протокол зв'язку через повітря, відмінний від другого інтерфейсу зв'язку. Аутентифікація пристрою може бути виконана за допомогою використання щонайменше одного з: ідентифікатора пристрою або ключа пристрою, унікального для вузла ретрансляції і збереженого на безпечному, незмінному пристрої зберігання у вузлі ретрансляції. Ідентифікатор пристрою може бути щонайменше одним з: міжнародної ідентифікації мобільного обладнання (IMEI) для вузла ретрансляції, модуля вузла доступу у вузлі ретрансляції або модуля мобільного вузла у вузлі ретрансляції. Перший інтерфейс зв'язку може бути частиною модуля мобільного доступу, адаптованого для роботи як розширений Вузол В для мережі, сумісної з проектом довгострокового розвитку. Перший інтерфейс зв'язку може бути частиною модуля мобільного вузла для вузла ретрансляції, і другий інтерфейс зв'язку є частиною модуля вузла доступу вузла ретрансляції. Аутентифікація абонента може послідовно повторюватися частіше, ніж аутентифікація пристрою. Ідентифікатор абонента або ключ, що використовується в аутентифікації абонента, можуть бути попередньо асоційовані з типом пристрою, і 1 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 аутентифікація абонента є успішною, тільки якщо аутентифікація пристрою ідентифікує однаковий тип пристрою. Додатково, вузол ретрансляції може бути сконфігурований для перетворення трафіку першого типу пакета, прийнятого по першому інтерфейсу зв'язку, у другий тип пакета для передачі по другому інтерфейсу зв'язку. Точно так само, вузол ретрансляції може бути сконфігурований для перетворення трафіку другого типу пакета, прийнятого по другому інтерфейсу зв'язку, в перший тип пакета для передачі по першому інтерфейсу зв'язку. Таким чином, вузол ретрансляції може бути сконфігурований для перетворення передачі трафіку даних між першим інтерфейсом зв'язку і другим інтерфейсом зв'язку від першого типу сигналу до другого типу сигналу. Також надається спосіб, що працює на об'єкті аутентифікації мережі. Повідомлення аутентифікації пристрою може бути прийняте об'єктом аутентифікації, причому повідомлення аутентифікації пристрою вийде з вузла ретрансляції, який працює між першим мобільним вузлом і першим вузлом доступу. Об'єкт аутентифікації може потім виконувати аутентифікацію пристрою на основі одного або більше ідентифікаторів пристрою або ключів, асоційованих з вузлом ретрансляції, модулем вузла доступу вузлом ретрансляції або модулем мобільного вузла для вузла ретрансляції. Повідомлення аутентифікації абонента може також бути прийняте на об'єкті аутентифікації, причому повідомлення аутентифікації абонента вийде з вузла ретрансляції. Об'єкт аутентифікації може потім виконувати аутентифікацію абонента на основі одного або більше ідентифікаторів абонента або ключів, асоційованих з вузлом ретрансляції. Повідомлення, що надає доступ вузлу ретрансляції до мережі зв'язку, може потім бути надіслане після успішної аутентифікації абонента та аутентифікації пристрою. Альтернативно, повідомлення, що відхиляє доступ вузла ретрансляції до мережі зв'язку, може бути надіслане після невдалої аутентифікації абонента або аутентифікації пристрою. Ідентифікатор абонента або ключ, що використовується в аутентифікації абонента, може бути попередньо асоційований з типом пристрою, і аутентифікація абонента є успішною, тільки коли аутентифікація пристрою ідентифікує один і той самий тип пристрою. Повідомлення аутентифікації пристрою і повідомлення аутентифікації пристрою абонента можуть бути прийняті одночасно як єдине повідомлення аутентифікації. Об'єкт аутентифікації може надіслати перше повідомлення на вузол ретрансляції для ініціації аутентифікації пристрою; і/або може надіслати друге повідомлення на вузол ретрансляції для ініціації аутентифікації абонента. Аутентифікація пристрою може бути виконана вузлом аутентифікації пристрою, в той час як аутентифікація абонента виконується вузлом аутентифікації абонента. КОРОТКИЙ ОПИС КРЕСЛЕНЬ ФІГ. 1 є блок-схемою зразкової мережі зв'язку з вузлом ретрансляції. ФІГ. 2 ілюструє імітацію вузла ретрансляції для атаки на користувацьке UE, приєднане до вузла ретрансляції. ФІГ. 3 ілюструє атаку вузла ретрансляції "незаконний посередник" (MitM). ФІГ. 4 ілюструє приклад того, як вузол ретрансляції може бути захищений від тих, хто атакує, за допомогою реалізації аутентифікації пристрою. ФІГ. 5 є блок-схемою, що ілюструє зразковий вузол ретрансляції. ФІГ. 6 ілюструє спосіб, що працює у вузлі ретрансляції для зменшення імовірності атаки за допомогою виконання аутентифікації пристрою. ФІГ. 7 є блок-схемою, що ілюструє вибрані компоненти вузла аутентифікації відповідно до щонайменше однієї реалізації. ФІГ. 8 ілюструє спосіб, що працює у вузлі аутентифікації для зменшення імовірності атаки на вузол ретрансляції за допомогою виконання аутентифікації пристрою. ДОКЛАДНИЙ ОПИС У описі, що йде нижче, конкретні описи надаються для забезпечення повного розуміння описаних реалізацій. Однак фахівцеві в даній галузі техніки буде зрозуміло, що ці реалізації можуть бути здійснені без цих конкретних описів. Наприклад, схеми можуть бути показані в блок-схемах для того, щоб не ускладнювати розуміння реалізацій в непотрібних подробицях. В інших випадках відомі схеми, структури та способи можуть бути показані детально для того, щоб не ускладнювати розуміння реалізацій. Слово "зразковий" використовується в даному описі, щоб служити як приклад, окремий випадок або ілюстрація. Будь-який аспект або варіант здійснення, описаний в даному описі як "зразковий", не обов'язково повинен бути розглянутий як переважний або вигідний по відношенню до інших варіантів здійснення. Аналогічно, термін "варіанти здійснення" не вимагає, щоб всі варіанти здійснення включали в себе розглянуту ознаку, перевагу або режим роботи. 2 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 Терміни "вузол ретрансляції" та "користувацьке обладнання", які використовуються в даному описі, призначаються для широкої інтерпретації. Наприклад, "вузол ретрансляції" може відноситися до пристрою, який полегшує бездротове з'єднання (для одного або більше користувацьких обладнань) для зв'язку або мережі передачі даних. Крім того, терміни "користувацьке обладнання" і/або "мобільний вузол", і/або "клієнтський термінал" можуть включати в себе мобільні телефони, пейджери, бездротові модеми, персональні цифрові асистенти, персональні інформаційні менеджери (PIM), кишенькові комп'ютери, ноутбуки, цифрові планшети і/або інші пристрої мобільного зв'язку/обчислювальні пристрої, які зв'язуються, щонайменше частково, за допомогою бездротової або стільникової мережі. Термін "вузол доступу" може відноситися до пристрою, приєднаного до мережі зв'язку, і надає бездротове з'єднання між одним або більше мобільними вузлами з мережею зв'язку. КОРОТКИЙ ОГЛЯД Для зменшення загрози безпеці, що представляється вставкою вузла ретрансляції в мережі зв'язку, як аутентифікація пристрою, так і аутентифікація абонента виконуються у вузлі ретрансляції. Аутентифікація пристрою та аутентифікація абонента можуть бути зв'язані таким чином, щоб вузлу ретрансляції був дозволений доступ для роботи в мережі, тільки якщо як аутентифікація пристрою, так і аутентифікація абонента пройшли успішно. Додатково, мережа зв'язку (або вузол аутентифікації) може додатково верифікувати, що ідентифікатор абонента (прийнятий як частина аутентифікації абонента) асоційований з відповідним типом пристрою (ідентифікований ідентифікатором пристрою у відповідному пристрої аутентифікації) як частина процесу аутентифікації абонента. ЗРАЗКОВА МЕРЕЖА ЗВ'ЯЗКУ З ВУЗЛОМ РЕТРАНСЛЯЦІЇ ФІГ. 1 є блок-схемою зразкової мережі зв'язку з вузлом ретрансляції. Мережа 100 зв'язку може містити мережу 102 IP зв'язку (наприклад, мережу, сумісну з проектом довгострокового розвитку (LTE)), шлюз, що обслуговує користувацьке-UE, (SGW)/PDN шлюз (PGW) 126, донорський eNB 128 (який також називається вузлом доступу), вузол 120 ретрансляції і користувацьке обладнання 104 (користувацьке-UE) (яке також називається мобільним вузлом). Вузол 120 ретрансляції приєднується до мережі 102 зв'язку за допомогою донорського eNB 128 і шлюзу, що обслуговує користувацьке-UE (SGW)/PDN шлюз (PGW) 126. Для мережі 102 зв'язку і донорського eNB 128 вузол 120 ретрансляції може фігурувати як користувацьке обладнання (наприклад, UE). Для користувацького обладнання 104 (користувацького-UE) вузол 120 ретрансляції може фігурувати як розширений Вузол В (eNB). Для цієї мети, вузол 120 ретрансляції може включати в себе модуль 122 eNB (для фігурування як мережний шлюз до UE 104) і модуль 124 UE (для фігурування як UE в мережі 102). З точки зору мережі 102 зв'язку, вузол 120 ретрансляції фігурує як користувацьке обладнання. Передача даних на/від вузла 120 ретрансляції і мережі 102 зв'язку виконується за допомогою модуля 124 UE (наприклад, за допомогою використання протоколу/інтерфейсу сигналу Un Системи Вдосконаленого Універсально Наземного Доступу (E-UTRA)). Точно так само з точки зору користувацького-UE 104, вузол 120 ретрансляції фігурує як мережа eNB. Передача даних на/від вузла 120 ретрансляції і користувацького-UE 104 виконується за допомогою модуля 122 eNB (наприклад, за допомогою використання протоколу/інтерфейсу сигналу Un Вдосконаленого Універсального Наземного Доступу (EUTRA)). У той час як вузли eNB звичайно приєднуються до мережі 102 зв'язку дротовим з'єднанням (наприклад, волоконно-оптичним з'єднанням тощо), вузол ретрансляції може використовувати сигналізацію через повітря (наприклад, сумісну з протоколом LTE) для зв'язку з eNB. В одному прикладі донорський eNB 128 може включати в себе функціональні можливості eNB 116, SGW/PGW 114 UE ретрансляції і/або шлюзу 112 ретрансляції. Зв'язок між шлюзом 112 ретрансляції і SGW/PGW 126 користувацького-UE може використовувати протокол/інтерфейс сигналу S1-U (UE). Точно так само зв'язок між eNB 116 та SGW/PGW 114 UE ретрансляції може використовувати протокол/інтерфейс сигналу S1-U (Ретрансляція). Uu та Un в E-UTRA стосуються звичайних протоколів/інтерфейсів сигналізації між користувацьким-UE 104 і вузлом 120 ретрансляції, і вузлом 120 ретрансляції і донорським-eNB 128, відповідно. Uu та Un інтерфейси в E-UTRA можуть бути інтерфейсами мережі LTE для надання послуг пакетних даних по радіо на/від користувацького-UE 104. Серії технічних специфікацій Технічної Специфікації (TS) 36.41 × 3GGP також визначають інтерфейс S1 для взаємозв'язку компонента Вдосконаленого NodeB (eNB) Вдосконаленої універсальної наземної Мережі радіо доступу (E-UTRAN) з Основною Мережею Розширеної Архітектури Системи (SAE)/Вдосконаленою основною пакетною системою (EPC). Таким чином, 3 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 зв'язок між eNB 116 та SGW/PGW 114 UE-ретрансляції може використовувати протокол/інтерфейс S1 сигналізації. В одному прикладі обслуговуючі шлюзи (тобто, SGW 114 UE-ретрансляції і/або SGW 126 користувацького-UE) маршрутизують і спрямовують користувацькі пакети даних, також діючи як прив'язка мобільності для користувацької площини під час передач обслуговування між eNB і як прив'язка для мобільності між LTE та іншими технологіями 3GPP (завершення (закінчення) інтерфейсу S4 і передачі трафіку між системами 2G/3G та PGW). Точно так само Шлюзи PDN (PGW) (наприклад, PGW 114 UE ретрансляції і PGW 126 користувацького-UE) можуть надавати можливість з'єднання (зв'язаність) від UE до зовнішніх мереж пакетних даних, будучи точкою виходу і входу трафіку для UE. UE може мати одночасну можливість з'єднання з більше ніж одним PGW для одержання доступу до множинних вузлів PDN. PGW може виконувати здійснення політики, фільтрацію пакетів для кожного користувача, підтримку завантаження, законне Перехоплення і відображення пакетів. Інша роль PGW повинна діяти як прив'язка для мобільності між технологіями 3GPP і не 3GPP, такими як WiMAX та 3GPP2 (CDMA 1X та EvDO). У прикладі на ФІГ. 1, мережа 102 зв'язку може бути адаптована для розпізнавання, що користувацьке-UE 104 приєднане за допомогою донорського eNB 128. Таким чином, SGW/PGW 126 користувацького-UE з'єднується за допомогою Об'єкта Керування Мобільністю (ММЕ) 108 користувацького-UE для направлення зв'язку для користувацького-UE 104 через ретрансляційний GW 112 донорського eNB 128. Оскільки користувацьке-UE 104 фактично приєднується через вузол ретрансляції 120, SGW/PGW 114 UE ретрансляції сконфігурований за допомогою об'єкта 118 керування мобільністю (ММЕ) UE ретрансляції для маршрутизації зв'язку для користувацького-UE 104 до вузла 120 ретрансляції. Повинне бути зазначено, що оскільки вузол 120 ретрансляції фігурує як інше UE (тобто, модуль UE 124), протоколи донорського eNB 116 і/або операції не повинні бути модифіковані. Це дозволяє повторно використовувати існуючі протоколи/інтерфейси у вузлі ретрансляції і eNB. Повинне бути зазначено, що з метою ілюстрації на ФІГ. 1 показані два окремих ММЕ (тобто, ММЕ 108 користувацького-UE та ММЕ 118 UE ретрансляції). Однак, в деяких реалізаціях функції, що виконуються за допомогою ММЕ 108 користувацького-UE і ММЕ 118 UE ретрансляції, можуть бути об'єднані в єдиний пристрій ММЕ. Множина систем зв'язку покладаються на аутентифікацію абонента/користувача перед наданням доступу до мережі. Це може бути зроблене за допомогою змінного модуля абонента або смарт карти (наприклад, також відомої як універсальна карта з інтегральною схемою (UICC) в мережах, сумісних з LTE), яка приєднується до UE або модулю UE і містить один або більше ключів, що використовуються для аутентифікації абонента/користувача (наприклад, для реалізації аутентифікації та узгодження ключів (АКА)). В одному прикладі модуль 124 UE у вузлі 120 ретрансляції може включати в себе щонайменше одну таку змінну смарт карту. Однак, оскільки така процедура аутентифікації абонента/користувача розроблена для дозволу користувачам/абонентам змінювати/модернізувати обладнання UE (тобто, смарт карти можуть бути переміщені на різні обладнання UE), змінні смарт карти не служать для аутентифікації модуля 124 UE або вузла 120 ретрансляції. У той час як представлення вузла 120 ретрансляції між користувацьким-UE 104 і донорським eNB 128 полегшує розширення ділянки охоплення мережі, воно також надає точку атаки, яка може бути використана для одержання неавторизованого доступу до передач даних. Декілька з цих атак включають в себе атаки імітації та "незаконного посередника". Різні ознаки безпеки можуть бути реалізовані відносно вузла 120 ретрансляції таким чином, щоб передачі через вузол 120 ретрансляції були так само безпечні, як і передачі через звичайний eNB. Таким чином, безпека системи зв'язку/мережі не повинна бути зменшена або поставлена під загрозу через вставку вузла ретрансляції в систему зв'язку. ЗРАЗКОВІ ЗАГРОЗИ ДЛЯ ВУЗЛІВ РЕТРАНСЛЯЦІЇ В МЕРЕЖАХ ЗВ'ЯЗКУ Загроза 1: Імітація Вузла Ретрансляції для атаки на Користувацьке-UE, приєднане до Вузла Ретрансляції ФІГ. 2 ілюструє імітацію вузла ретрансляції (маскування під вузол ретрансляції) для атаки на користувацьке-UE, приєднане до вузла ретрансляції. В атаці імітації той, що атакує, може видалити універсальну карту інтегральної схеми (UICC) 223 зі справжнього вузла 120 ретрансляції і вставити її у вузол 220 ретрансляції шахрая. UICC 223 служить для аутентифікації підписки на послугу на домашньому сервері абонента (HSS) 219. Однак аутентифікації вузла ретрансляції як пристрою немає, тільки підписка в UICC, яке вставляється у вузол ретрансляції. Отже, мережа зв'язку не може виявити вузол 220 ретрансляції шахрая, і, таким чином, ключі, що стосуються користувацького-UE 104, передаються на вузол 220 ретрансляції шахрая. Це дозволяє користувацькому-UE 104 бути приєднаним до вузла 220 4 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 ретрансляції шахрая, і, таким чином безпека передач даних на/від користувацького-UE 104 може ставитися під загрозу. Загроза 2: Атака на вузол ретрансляції "незаконний посередник" в інтерфейсі Un ФІГ. 3 ілюструє атаку "незаконний посередник" (MitM) на вузол ретрансляції. У цьому випадку реальна UICC на справжньому вузлі 120 ретрансляції може бути замінена підробленою UICC 324. Реальна UICC 323 потім вставляється у вузол 320 ретрансляції MitM. У цій атаці вузол 320 ретрансляції MitM вставляється між справжнім вузлом 120 ретрансляції і донорським eNB 128. Оскільки той, що атакує, знає ключ доступу для підробленої UICC 324, вузол 320 ретрансляції MitM може перехоплювати і декодувати повідомлення на/від справжнього вузла 120 ретрансляції. Вузол 320 ретрансляції MitM може прозоро передавати, приймати, переглядати і/або модифікувати трафік між справжнім вузлом 120 ретрансляції і донорським eNB 128, або без справжнього вузла 120 ретрансляції або без донорського eNB 128, який попереджений про це. Отже, безпека будь-якої передачі даних від користувацького-UE 104, приєднаного до реального вузла 324 ретрансляції, може зазнавати ризику. Повинне бути зазначено, що вузол 320 ретрансляції MitM може переглядати, модифікувати і/або вводити користувацький трафік, навіть якщо ключі, що стосуються користувача, захищаються відповідно до безпечного протоколу (такого, як IPsec) між об'єктами ММЕ 108 та 118, що обслуговують користувацьке-UE 104 і вузол 120 ретрансляції. Точка безпеки, ілюстрована цією атакою, полягає в тому, що повинна бути не тільки аутентифікація пристрою вузла 120 ретрансляції, але і щоб всі тунелі безпеки від справжнього вузла 120 ретрансляції завершувалися в реальній мережі (тобто, донорському eNB 128) замість вузла 320 ретрансляції MitM. Загроза 3: Перехоплення/вставка трафіку між інтерфейсом вузла ретрансляції і донорським eNB Знов посилаючись на ФІГ. 1, інтерфейс між вузлом 120 ретрансляції і донорським eNB 128 основується на стандартному повітряному інтерфейсі E-UTRAN. Це означає, що весь трафік сигналізації керування не радіо ресурсами (RRC) між вузлом 120 ретрансляції і донорським eNB 128 повністю не захищений. У той час, як це є прийнятним для користувацького трафіку від користувацького-UE 104, це не прийнятне для трафіку сигналізації (або S1-AP або X2-AP) від вузла 120 ретрансляції до мережі зв'язку (наприклад, донорського eNB 128). Це означає, що інтерфейс (тобто, названий як інтерфейс Un) між користувацьким-UE 104 і донорським eNB 128 потребує захисту. Тому і інтерфейс Un не може бути інтерфейсом UE-eNB стандарту E-UTRAN, і повинен бути використаний деякий інший спосіб захисту сигналізації S1-AP та X2-AP за допомогою інтерфейсу Un, . Загроза 4: Імітація вузла ретрансляції для атаки мережі Знов посилаючись на ФІГ. 2, вузол 220 ретрансляції шахрая може вставляти, по суті, три типи трафіку в мережу зв'язку. По-перше, він може вставити сигналізацію не рівня доступу (NAS) у напрямку до ММЕ 118 UE ретрансляції. Однак та сама атака може бути зроблена за допомогою користувацького-UE шахрая, таким чином, розгляд цієї атаки не є істотним для аналізу безпеки вузла ретрансляції. По-друге, вузол 220 ретрансляції шахрая може вставити сигналізацію S1-AP або X2-AP. По-третє, вузол 220 ретрансляції шахрая може також вставити трафік користувацької площини для спроби одержання IP з'єднання або даних вставки від імені іншого користувача. Зразкова процедура безпеки для вузлів ретрансляції Для зменшення або протистояння загрозам безпеки вузлам ретрансляції і/або основній мережі/системі зв'язку, в якій працює вузол ретрансляції, різні заходи з безпеки можуть бути реалізовані у вузлі ретрансляції. Отже, способи, протоколи і/або способи описані в даному описі для збільшення безпеки вузлів ретрансляції і/або мереж/систем зв'язку для різних типів загроз безпеки таким чином, щоб в ідеалі вузол ретрансляції був так само безпечний, як і eNB. Один аспект для надання такої безпеки включає в себе виконання аутентифікації пристрою вузла ретрансляції до того, як буде дозволений зв'язок через мережу зв'язку. Наприклад, як аутентифікація пристрою, так і аутентифікація абонента (наприклад, аутентифікація E-UTRAN) можуть бути виконані для вузла ретрансляції. Результати аутентифікації пристрою та абонента можуть бути зв'язані таким чином, щоб, якщо будь-який з них не проходить аутентифікацію, вузол ретрансляції був нездатний працювати в мережі зв'язку. Такий зв'язок аутентифікації пристрою та аутентифікації абонента може бути виконаний за допомогою використання будьяких засобів шифрування, змішування ключів, що генеруються як частина процесу аутентифікації, або процедурних засобів, наприклад, мережа (або модуль, довірений в мережі, такий як UICC) перевіряє, щоб процедури як аутентифікація пристрою, так і аутентифікація абонента виходили від одного і того самого об'єкта). Повинне бути зазначено, що за допомогою такого зв'язку використання підробленої UICC Загрози 2 (тобто, атаки "незаконний посередник" 5 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 ФІГ. 3) перешкоджає тому, щоб вузол ретрансляції одержував доступ до мережі зв'язку, оскільки не проходить аутентифікація пристрою. В одній реалізації такий зв'язок може бути наданий за допомогою забезпечення ключів АКА (і реалізувати зв'язані функції "f" АКА), безпосередньо на безпечному пристрої зберігання або середовищі для вузла ретрансляції замість того, щоб зберігати їх на змінній карті UICC. За допомогою вміщення АКА ключів (що звичайно використовуються для аутентифікації абонента) в безпечний, незмінний пристрій зберігання вузла ретрансляції, ключі АКА ефективно також діють як ключі пристрою. Таким чином, в цьому випадку аутентифікація абонента також діє як "аутентифікація пристрою". У другій реалізації, процедури безпеки E-UTRAN можуть бути поліпшені, щоб також надати аутентифікацію пристрою на основі мандата, збереженого у вузлі ретрансляції. Це ефективно зв'язує процедури безпеки E-UTRAN (наприклад, аутентифікацію абонента) з аутентифікацію пристрою на основі ідентифікаційної інформації пристрою вузла ретрансляції, такою як IMEI модуля UE або ідентифікаційної інформації модуля eNB вузла ретрансляції). Такі зв'язки зменшують загрози, оскільки вони забезпечують мережу зв'язку і вузол ретрансляції з гарантією, що інший є справжнім. Запобігаються деякі з атак в Загрозах 2 та 4. Ще однією особливістю зв'язування аутентифікації пристрою та аутентифікації абонента є здатність мережі зв'язку додатково верифікувати відношення між абонентом і пристроєм. Наприклад, конкретний абонент або план обслуговування можуть бути асоційовані з пристроями вузла ретрансляції. Тому, як частина аутентифікації, мережа зв'язку (наприклад, вузол аутентифікації) може встановити, чи відповідає ідентифікатор абонента, який вона приймає (наприклад, під час аутентифікації абонента), пристрою, ідентифікованому за допомогою прийнятого ідентифікатора пристрою. Наприклад, якщо мережа зв'язку приймає ідентифікатор абонента, відомий, що він асоційований з типом пристрою вузла ретрансляції, але приймає відповідний ідентифікатор пристрою для мобільного пристрою (не ретрансляційного пристрою), то мережа зв'язку може відхилити обслуговування, що запитується пристроєм. Інші аспекти безпеки можуть додатково використовувати протокол безпеки, такий як IPsec, між вузлом ретрансляції і мережею зв'язку з метою надання безпеки сигналізації площини керування. Наприклад, Технічна Специфікація 33.401 v9.6.0 3GPP (включена в даний опис за допомогою посилання), пункт 11 визначає використання IPsec для захисту S1 і площини керування X2 для вдосконаленої пакетної системи (EPS) і сумісних мереж E-UTRAN. Цей захід з безпеки забороняє або запобігає Загрозам 1, 3, та 4, зазначеним вище. Службові витрати, викликані за допомогою використання IPsec по площині сигналізації керування є незначними, оскільки є невелика сигналізація керування в порівнянні з користувацьким трафіком площини. У ще одному прикладі IPsec по користувацькій площині (для трафіку) може бути реалізований в інтерфейсах S1-U та X2-U, як описано в пункті 12 Технічної Специфікації 33.401 3GPP. У той час, як це може бути не підходящим для всіх розгортань через службові витрати використання IPsec на маленьких пакетах користувацької площини, це може бути розумним рішенням для розгортання, коли трафік медіа інформації, такий як RTP, не буде переноситися по LTE. Це також має перевагу, яка не вимагає ніяких розширень протоколу в макро-мережі. Використання IPsec як для площини керування, так і для користувацької площини усуває Загрозу 2 в тому значенні, що доки все ще може бути вузол MitM, захищається весь справжній трафік, що стосується UE, доступний у вузлі ретрансляції MitM. Додатково, атаки вставки трафіку в Загрозах 3 та 4 також зменшуються відповідно до цього рішення, одержуючи P-GW, обслуговуючого вузол ретрансляції для маршрутизації його трафіку через шлюзи безпеки в мережі оператора. Це гарантує, що будь-який вставлений трафік скидається, оскільки він не захищається за допомогою IPsec. ФІГ. 4 ілюструє приклад того, як вузол ретрансляції може бути захищений від тих, що атакують, за допомогою реалізації аутентифікації пристрою. У даному описі вузол 404 ретрансляції може бездротовим чином передавати трафік між мобільним вузлом 402 і вузлом 406 доступу. Вузол 406 доступу може передавати трафік між основною мережею 408 зв'язку і вузлом 404 ретрансляції. Повинне бути зазначено, що основна мережа 408 зв'язку може бути домашньою мережею, гостьовою мережею і/або компонентами, або вузлами в одному або в обох з домашній і гостьовій мережах. В одному прикладі вузол 404 ретрансляції може включати в себе перший інтерфейс зв'язку (наприклад, модуль мобільного вузла або модуль UE) для зв'язку з вузлом 406 доступу і другий інтерфейс зв'язку (наприклад, модуль вузла доступу або модуль eNB) для зв'язку з мобільним вузлом 402. Таким чином, вузол 404 ретрансляції може проявлятися як мобільний вузол до вузла 406 доступу, і він може проявлятися як вузол доступу до мережі до мобільного вузла 402. 6 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 Наприклад, перший інтерфейс зв'язку може реалізувати протокол зв'язку через повітря, відмінний від другого інтерфейсу зв'язку. Таким чином, вузол ретрансляції може виконувати трансляцію сигналів, повідомлень і/або пакетів між першим інтерфейсом зв'язку і другим інтерфейсом зв'язку. Перед тим, як бути здатним надати послугу ретрансляції, вузол 404 ретрансляції може виконувати процедури аутентифікації з основною мережею 408 зв'язку. Наприклад, основна мережа 408 зв'язку може включати в себе об'єкти в домашній мережі і/або гостьовій мережі, які відповідальні за і/або сконфігуровані для аутентифікації абонента і/або пристрою. Наприклад, деякі ці об'єкти, які можуть бути залучені прямо або опосередковано в процедуру аутентифікації в мережі, сумісній з LTE, включають в себе вдосконалені вузли В (eNB), Об'єкт Керування Мобільністю (ММЕ) і/або домашній сервер абонента. Перед тим, як бути здатним надати послуги ретрансляції, вузол 404 ретрансляції може брати участь в процедурі 410 аутентифікації пристрою в основній мережі 408 зв'язку. Процедура 410 аутентифікації пристрою може намагатися аутентифікувати вузол 404 ретрансляції в основній мережі 408 зв'язку. Така процедура 410 аутентифікації пристрою може використовувати один або більше ідентифікаторів пристрою і/або ключів (наприклад, що зберігаються в безпечному пристрої зберігання вузла ретрансляції), які є специфічними для вузла ретрансляції (або компонента вузла ретрансляції) для аутентифікації вузла 404 ретрансляції в основній мережі 408 зв'язку. Один або більше ідентифікаторів пристрою і/або ключів можуть бути збережені, наприклад, на незмінному і/або на не доступному користувачеві пристрої зберігання у вузлі 404 ретрансляції. Це захищає від того, хто атакує, хто намагається одержати доступ до ідентифікаторів пристрою і/або ключа(ів) у вузлі ретрансляції. У деяких прикладах унікальні ідентифікатори пристрою для вузла ретрансляції можуть бути міжнародною ідентифікаційною інформацією мобільного обладнання (IMEI) для модуля мобільного вузла і/або ідентифікаційною інформацією для модуля вузла доступу, і можуть бути надійно зв'язані з ключами пристрою. У деяких прикладах підписані ідентифікатори можуть бути міжнародною ідентифікаційною інформацією мобільного абонента (IMSI) (наприклад, ідентифікаційною інформацією постійної підписки) і/або глобальною унікальною ідентифікацією часу UE (GUTI) (наприклад, ідентифікаційною інформацією часу підписки, що використовується в LTE). У деяких реалізаціях вузол 408 ретрансляції може одностороннім чином або незалежно надсилати повідомлення аутентифікації пристрою в основну мережу 408 зв'язку для ініціації процесу 410 аутентифікації пристрою. В інших реалізаціях основна мережа 408 зв'язку може ініціювати процедуру аутентифікації пристрою за допомогою запиту, щоб вузол 408 ретрансляції надсилав повідомлення аутентифікації пристрою. Наприклад, основна мережа 408 зв'язку може надсилати повідомлення виклику на вузол 404 ретрансляції. Вузол 404 ретрансляції потім використовує цю інформацію (наприклад, дані, значення, функції тощо) з виклику і свого одного/або більше ідентифікатора(ів) пристрою/ключа(ів) для генерування повідомлення аутентифікації пристрою, яке надсилається в основну мережу 408 зв'язку. Наприклад, вузол 404 ретрансляції просто криптографічно підписує свій ідентифікатор пристрою (і, можливо, іншу інформацію, прийняту в повідомленні виклику) своїм ключем пристрою і надсилає повідомлення аутентифікації, яке включає в себе ключ пристрою і підписаний ключ пристрою, в основну мережу 408 зв'язку. Основна мережа 408 зв'язку потім аутентифікує вузол 404 ретрансляції за допомогою використання ключа пристрою, відомого основній мережі 408 зв'язку і асоційованого з вузлом 404 ретрансляції, для перевірки підписаного ідентифікатора пристрою. Можуть бути використані інші способи шифрування і/або алгоритми, де ключ абонента може бути симетричним ключем (наприклад, секретним ключем) або асиметричним ключем (наприклад, парою публічного/приватного ключів). Додатково, вузол 404 ретрансляції може також брати участь в процедурі 412 аутентифікації абонента. Процедура 412 аутентифікації абонента може запитувати аутентифікацію користувача/абонента (наприклад, модуль мобільного вузла або модуль UE вузла ретрансляції) для вузла 404 ретрансляції в основній мережі 408 зв'язку. Таке повідомлення 412 аутентифікації абонента може використовувати один або більше ідентифікаторів і/або ключів (наприклад, збережених в модулі мобільного вузла або модулі UE вузла ретрансляції), які є специфічними для абонента (асоційовані з вузлом ретрансляції або модулем мобільного вузла) для аутентифікації себе в основній мережі 408 зв'язку. Один або більше ідентифікаторів і/або ключів для аутентифікації абонента можуть бути збережені, наприклад, на змінній смарт карті. У деяких реалізаціях вузол 408 ретрансляції може одностороннім чином або незалежно надсилати повідомлення аутентифікації абонента в основну мережу 408 зв'язку для ініціації процесу 412 аутентифікації абонента. В інших реалізаціях основна мережа 408 зв'язку може ініціювати процедуру 412 аутентифікації абонента за допомогою запиту, щоб вузол 408 7 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 ретрансляції надсилав повідомлення аутентифікації абонента. Наприклад, основна мережа 408 зв'язку може надсилати повідомлення виклику на вузол 404 ретрансляції. Вузол 404 ретрансляції потім використовує інформацію (наприклад, дані, значення, функції тощо) з виклику і свого одного/або більше ідентифікатора(ів) абонента/ключа(ів) для генерування повідомлення аутентифікації абонента, яке надсилається в основну мережу 408 зв'язку. Наприклад, вузол 404 ретрансляції просто криптографічно підписує свій ідентифікатор абонента (і, можливо, іншу інформацію, прийняту в повідомленні виклику) своїм ключем абонента і надсилає повідомлення аутентифікації, яке включає в себе ключ абонента і підписаний ключ абонента, в основну мережу 408 зв'язку. Основна мережа 408 зв'язку потім аутентифікує вузол 404 ретрансляції за допомогою використання ключа абонента, відомого основній мережі 408 зв'язку і асоційованого з вузлом 404 ретрансляції, для верифікації підписаного ідентифікатора абонента. Можуть бути використані інші способи шифрування і/або алгоритми, де ключ абонента може бути симетричним ключем (наприклад, секретним ключем) або асиметричним ключем (наприклад, парою публічного/приватного ключів). Після одержання повідомлення аутентифікації абонента та повідомлення аутентифікації пристрою один або більше компонентів основної мережі 408 зв'язку (наприклад, один або більше вузлів аутентифікації) можуть виконувати аутентифікацію як абонента, так і пристрою 414. Наприклад, основна мережа 408 зв'язку (або один або більше її компонентів) може мати переважний доступ до інформації (наприклад, ключів і/або інформації ідентифікації) для перевірки аутентифікації вузла 404 ретрансляції і/або її інформації абонента. Повідомлення 416 надання/відхилення аутентифікації потім може бути надіслане основною мережею 408 зв'язку на інші компоненти мережі (наприклад, вузол доступу мережі або eNB) і/або вузол 404 ретрансляції. Якщо аутентифікація пройшла успішно, вузол 404 ретрансляції може працювати для посилання передач 418a та 418b трафіку між мобільним вузлом 402 і вузлом 406 доступу в основну мережу 408 зв'язку. У деяких реалізаціях вузол 404 ретрансляції може виконувати трансляцію 419 трафіку між своїм першим інтерфейсом зв'язку і своїм другим інтерфейсом зв'язку для перетворення між відмінними передачами трафіку. Якщо аутентифікація пройшла невдало, то вузлу 404 ретрансляції відмовляється в доступі для передачі трафіку в основну мережу 408 зв'язку. У цьому способі аутентифікація пристрою зв'язана з аутентифікацією абонента основною мережею 408 зв'язку. Якщо будь-яка аутентифікація проходить невдало, то вузлу ретрансляції відмовляється в доступі для передачі трафіку через вузол 406 доступу. У деяких реалізаціях аутентифікація 410 пристрою виконується перед аутентифікацією 412 абонента. За допомогою виконання аутентифікації пристрою, спочатку основна мережа може встановити характеристики типу пристрою, запитуючи аутентифікацію. Це може бути дозволене для мережі зв'язку при подальшому встановленні, чи використовується відповідний ідентифікатор абонента (наприклад, прийнятий як частина процедури аутентифікації абонента) з правильним типом пристрою чи ні. Наприклад, якщо ідентифікатор абонента призначається для пристроїв вузла ретрансляції, але використовується з ідентифікатором пристрою для мобільного вузла, то аутентифікація пристрою/абонента відхиляється. В інших реалізаціях аутентифікація абонента може бути виконана перед аутентифікацією пристрою. В іншій альтернативній реалізації як аутентифікація пристрою, так і аутентифікація абонента можуть бути об'єднані в єдину процедуру/повідомлення аутентифікації таким чином, щоб вони відбувалися одночасно. Криптографічні ключі, що використовуються для аутентифікації пристрою вузла ретрансляції, можуть бути симетричним ключем (наприклад, секретним ключем) або асиметричним ключем (наприклад, парою публічного/приватного ключів). Процедура 420 оновлення аутентифікації абонента може бути пізніше повторена (наприклад, кожний день або два) для тривалої верифікації. Точно так само процедура 422 аутентифікації пристрою також може бути повторена (наприклад, кожний тиждень або кожний місяць), але менш часто, ніж аутентифікація 420 абонента. ЗРАЗКОВИЙ ВУЗОЛ РЕТРАНСЛЯЦІЇ ТА РОБОТА В НЬОМУ ФІГ. 5 є блок-схемою, що ілюструє зразковий вузол ретрансляції. Вузол 500 ретрансляції може включати в себе схему 502 обробки, приєднану до модуля 506 мобільного вузла, модуля 508 вузла доступу і/або внутрішнього безпечного пристрою 504 зберігання. Модуль 506 мобільного вузла може включати в себе перший інтерфейс 507 зв'язку, що включає в себе передавач і приймач для передачі даних на/від вузла доступу за допомогою першої антени 510. Модуль 506 мобільного вузла може також включати в себе схему 503 обробки мобільного вузла (МN), яка може керувати передачами даних на/від інтерфейсу зв'язку серед інших функцій/операцій модуля 506 мобільного вузла. Модуль 506 мобільного вузла може також включати в себе пристрій 518 зберігання, де він може підтримувати один або більше ідентифікаторів пристрою мобільного вузла, які унікально ідентифікують модуль 506 мобільного 8 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 вузла. Додатково, модуль 506 мобільного вузла може бути з'єднаний або знаходитися в з'єднанні зі змінною картою 514 UICC, в якій може зберігатися інформація аутентифікації абонента/користувача (наприклад, ключі та ідентифікатор(и) підписки). Точно так само, модуль 508 вузла доступу може включати в себе другий інтерфейс 509 зв'язку, що включає в себе передавач і приймач для передачі даних на/від мобільного вузла за допомогою другої антени 512. Модуль 508 вузла доступу може також включати в себе схему 505 обробки вузладоступу, яка може керувати передачами даних на другий інтерфейс зв'язку серед інших функцій/операцій модуля 508 вузла доступу. Модуль 508 вузла доступу може також включати в себе пристрій 520 зберігання, де він може підтримувати один або більше ідентифікаторів пристрою вузла доступу, які унікально ідентифікують модуль 506 вузла доступу. Вузол 500 ретрансляції може також включати в себе схему 502 обробки, приєднану до модуля 506 мобільного вузла, модуля 508 вузла доступу і/або пристрою 504 зберігання. Схема 502 обробки може бути адаптована для передачі даних між модулем 508 вузла доступу і модулем 506 мобільного вузла, можливо, за допомогою використання пристрою 504 зберігання як буфера або черги. Додатково, схема 502 обробки може включати в себе схему 520 трансляції (перетворення) трафіку, яка транслює формати/протоколи трафіку між модулем 508 вузла доступу і модулем 506 мобільного вузла. Наприклад, схема 520 трансляції трафіку може транслювати передачі трафіку даних між першим інтерфейсом 507 зв'язку і другим інтерфейсом 509 зв'язку з першого типу сигналу у другий тип сигналу. Повинне бути зазначено, що в той час, як модуль 506 мобільного вузла, схема 502 обробки і модуль 508 вузла доступу ілюстровані як окремі компоненти або схеми на ФІГ. 5, їх функції і/або операції можуть бути об'єднані в єдину схему (наприклад, інтегральну схему). Пристрій 504 зберігання може також включати в себе один або більше ідентифікаторів 516 пристрою, які унікально ідентифікують вузол 500 ретрансляції, модуль 508 вузла доступу і/або модуль 506 мобільного вузла. Ці один або більше ідентифікаторів 516 пристрою, один або більше ідентифікаторів 518 пристрою мобільного вузла і/або один або більше ідентифікаторів 520 пристрою вузла доступу можуть бути використані вузлом ретрансляції при виконанні аутентифікації пристрою. Тому ці ідентифікатори і ключі, асоційовані з ідентифікаторами пристрою, зберігаються внутрішньо і надійно (тобто, ключі не доступні для того, хто атакує), вони не знаходяться в розпорядженні того, хто атакує. Ключі, асоційовані з ідентифікаторами пристрою, можуть бути як асиметричними, так і симетричними ключами. Один або більше цих ідентифікаторів можуть бути використані для аутентифікації пристрою вузла 500 ретрансляції, в той час як інформація абонента/користувача (на карті UICC 514) може служити для аутентифікації абонента/користувача. ФІГ. 6 ілюструє спосіб, що виконується у вузлі ретрансляції для зменшення імовірності атаки за допомогою виконання аутентифікації пристрою. Вузол ретрансляції може працювати між вузлом доступу мережі і мобільним вузлом. Вузол ретрансляції може включати в себе модуль вузла доступу і модуль мобільного вузла. Модуль мобільного вузла вузла ретрансляції може включати в себе перший інтерфейс зв'язку, адаптований для зв'язку з вузлом доступу. Модуль мобільного вузла спонукає вузол ретрансляції проявлятися як мобільний вузол до вузла доступу. Модуль вузла доступу вузла ретрансляції може також включати в себе другий інтерфейс зв'язку для зв'язку з мобільним вузлом, вузлом ретрансляції, що проявляється як вузол доступу мережі до мобільного вузла. Вузол ретрансляції і/або модуль мобільного вузла можуть бути забезпечені ідентифікатором абонента і/або ключем(ами) 602. Наприклад, такий ідентифікатор абонента і/або ключ(і) можуть бути збережені на змінній карті, яка приєднується до модуля мобільного вузла. Вузол ретрансляції, модуль вузла доступу і/або модуль мобільного вузла можуть також бути забезпечені одним або більше ідентифікаторами пристрою і/або асоційованим ключем(ами) 604. Наприклад, такий ідентифікатор(и) пристрою/ключ(і) можуть бути збережені в одному або більше безпечних місцеположеннях у вузлі ретрансляції, модулі мобільного вузла і/або модулі вузла доступу. Ключі, асоційовані з ідентифікаторами пристрою, можуть бути як асиметричними, так і симетричними ключами. Вузол ретрансляції може бути сконфігурований для передачі, трансляції (перетворення), ретрансляції і/або маршрутизації трафіку між вузлом доступу мережі і мобільним вузлом 606. Наприклад, вузол ретрансляції і/або модуль мобільного вузла в ньому можуть включати в себе перший інтерфейс зв'язку, адаптований для зв'язку з вузлом доступу, вузлом ретрансляції, що проявляється як мобільний вузол до вузла доступу. Точно так само вузол ретрансляції і/або модуль вузла доступу в ньому можуть включати в себе другий інтерфейс зв'язку для зв'язку з мобільним вузлом, вузлом ретрансляції, що проявляється як вузол доступу мережі до мобільного вузла. 9 UA 106515 C2 5 10 15 20 25 3035 40 45 50 55 60 Перед дозволом зв'язуватися через мережу, вузол ретрансляції може надіслати одне або більше повідомлень для аутентифікації абонента і/або пристрою. Наприклад, вузол ретрансляції може надсилати повідомлення аутентифікації пристрою для дозволу аутентифікації пристрою вузла 608 ретрансляції. Наприклад, повідомлення аутентифікації пристрою може бути надіслане на перший ММЕ в мережі зв'язку через вузол доступу. Точно так само вузол ретрансляції може надсилати повідомлення аутентифікації абонента для дозволу аутентифікації абонента вузла ретрансляції (або щонайменше модуля мобільного вузла в ньому), в якому аутентифікація пристрою зв'язана з аутентифікацію абонента при визначенні, чи може вузол ретрансляції одержувати послугу зв'язку через мережі 610 зв'язку. Вузол ретрансляції може потім одержувати доступ до мережі зв'язку після успішної аутентифікації абонента та аутентифікації 612 пристрою. Наприклад, вузол ретрансляції може приймати повідомлення надання обслуговування, що надає доступ до мережі зв'язку після успішної аутентифікації абонента та аутентифікації пристрою. Альтернативно, вузол ретрансляції може приймати повідомлення відхилення обслуговування, що відхиляє доступ до мережі зв'язку, після невдалої аутентифікації абонента або аутентифікації пристрою. В одному прикладі повідомлення аутентифікації пристрою і повідомлення аутентифікації абонента може бути надіслане одночасно як єдине повідомлення аутентифікації. Перший інтерфейс зв'язку може реалізовувати протокол зв'язку через повітря, відмінний від другого інтерфейсу зв'язку. Аутентифікація пристрою може бути виконана за допомогою використання щонайменше одного з: ідентифікатора пристрою або ключа пристрою, унікального для вузла ретрансляції і збереженого на безпечному, незмінному пристрої зберігання у вузлі ретрансляції. Ідентифікатор пристрою може бути щонайменше одним з: міжнародної ідентифікації мобільного обладнання (IMEI) для вузла ретрансляції, модулем вузла доступу у вузлі ретрансляції або модулем мобільного вузла у вузлі ретрансляції. Перший інтерфейс зв'язку може бути частиною модуля мобільного доступу, адаптованого для роботи як розширений Вузол В для мережі, сумісної з проектом довгострокового розвитку. Перший інтерфейс зв'язку може бути частиною модуля мобільного вузла вузла ретрансляції, і другий інтерфейс зв'язку є частиною модуля вузла доступу вузла ретрансляції. Аутентифікація абонента може пізніше повторюватися частіше, ніж аутентифікація пристрою. Додатково, вузол ретрансляції може бути сконфігурований для трансляції трафіку першого типу пакета, прийнятого по першому інтерфейсу зв'язку, на другий тип пакета для передачі по другому інтерфейсу зв'язку. Точно так само вузол ретрансляції може бути сконфігурований для трансляції трафіку другого типу пакета, прийнятого по другому інтерфейсу зв'язку, в перший тип пакета для передачі по першому інтерфейсу зв'язку. ЗРАЗКОВИЙ ПРИСТРІЙ(ОЇ) АУТЕНТИФІКАЦІЇ ОСНОВНОЇ МЕРЕЖІ ТА ОПЕРАЦІЇ В НЬОМУ ФІГ. 7 є блок-схемою, що ілюструє вибрані компоненти вузла 700 аутентифікації відповідно до щонайменше однієї реалізації. Вузол аутентифікації може бути реалізований як один або більше пристроїв, які виконують однакові функції вузла 700 аутентифікації. Вузол 700 аутентифікації може включати в себе схему 702 обробки, приєднану до інтерфейсу 708 зв'язку і до пристрою 704 зберігання. В одному прикладі схема 702 обробки може бути реалізована як один або більше процесорів, контролерів, множина процесорів і/або інша структура, сконфігурована для виконання команд, що виконуються, які включають в себе, наприклад, програмне забезпечення і/або команди програмно-апаратного забезпечення, і/або схему апаратного забезпечення. Варіанти здійснення схеми 702 обробки можуть включати в себе процесор загального призначення, цифровий сигнальний процесор (DSP), спеціалізовану інтегральну схему (ASIC), програмовану користувачем вентильну матрицю (FPGA) або інший програмований логічний компонент, логіку на дискретних елементах або транзисторах, дискретні компоненти апаратного забезпечення або будь-яку їх комбінацію, розроблену для виконання функцій, описаних в даному описі. Процесор загального призначення може бути мікропроцесором, але в альтернативі, процесор може бути будь-яким звичайним процесором, контролером, мікроконтролером або кінцевим автоматом. Процесор може також бути реалізований як комбінація обчислювальних пристроїв, наприклад, комбінація DSP і мікропроцесора, множина мікропроцесорів, одного або більше мікропроцесорів у зв'язку з ядром DSP або будь-яка інша підходяща конфігурація. Ці приклади схеми 702 обробки призначаються для ілюстрації, і також розглядаються інші підходящі конфігурації в рамках даного опису. Схема 702 обробки може бути адаптована для прийому і/або передачі повідомлення від мережі зв'язку за допомогою інтерфейсу 708 зв'язку мережі. З цією метою, інтерфейс 708 мережі зв'язку може включати в себе передавач і приймач. Схема 702 обробки може містити схему, сконфігуровану для реалізації бажаних програм, наданих відповідною аудіовізуальною 10 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 інформацією щонайменше в одному варіанті здійснення. Наприклад, схема обробки може включати в себе і/або реалізовувати модуль 710 аутентифікації абонента і/або модуль 712 аутентифікації пристрою. Після прийому повідомлення аутентифікації абонента, сформованого вузлом ретрансляції, модуль 710 аутентифікації абонента може одержувати ідентифікатор(и) абонента/ключ(і), асоційовані з вузлом ретрансляції, який потім використовується для аутентифікації вузла ретрансляції. Така аутентифікація абонента може включати верифікацію того, що деяка інформація в повідомленні аутентифікації абонента насправді мала місце від дійсного абонента. Наприклад, ця аутентифікації абонента може включати використання ключа абонента для відновлення і/або верифікації інформації в повідомленні аутентифікації абонента. Після прийому повідомлення аутентифікації пристрою, сформованого вузлом ретрансляції, модуль 712 аутентифікації пристрою може одержувати один або більше ідентифікатор(ів)/ключ(ів) 714 вузла ретрансляції (RN) пристрою, ідентифікатор(и) 716 компонента вузла доступу і/або ідентифікатор(и)/ключ(і) 718 мобільного компонента вузла, асоційованого з вузлом ретрансляції. Ці один або більше ідентифікаторів/ключів пристрою потім використовуються для аутентифікації вузла ретрансляції. Наприклад, ця аутентифікація пристрою може включати використання ідентифікатора(ів)/ключа(ів) пристрою для відновлення і/або верифікації інформації в повідомленні аутентифікації пристрою. Повинне бути зазначено, що в інших реалізаціях аутентифікація абонента і/або аутентифікація пристрою можуть включати набір повідомлень між вузлом 710 аутентифікації і вузлом ретрансляції. Якщо і аутентифікація абонента, і аутентифікація пристрою є успішними, то вузол 700 аутентифікації може надсилати повідомлення, що надає доступ вузлу ретрансляції до мережі зв'язку. ФІГ. 8 ілюструє спосіб, що працює у вузлі аутентифікації для зменшення імовірності атаки на вузол ретрансляції за допомогою виконання аутентифікації пристрою. Вузол ретрансляції може працювати між вузлом доступу мережі і мобільним вузлом. Вузол ретрансляції може включати в себе модуль вузла доступу і модуль мобільного вузла. Вузол аутентифікації може одержувати один або більше ідентифікатор(ів)/ключ(ів) абонента для одного або більше компонентів мобільного вузла вузлів 802 ретрансляції. Додатково, вузол аутентифікації може також одержувати один або більше ідентифікатор(ів)/ключ(ів) пристрою для одного або більше компонентів мобільного вузла, компонентів вузла доступу і/або вузлів 804 ретрансляції. Потім вузол аутентифікації може приймати повідомлення аутентифікації абонента, сформоване вузлом 806 ретрансляції. Вузол аутентифікації може потім виконувати аутентифікацію абонента за допомогою використання одного або більше ідентифікатора(ів)/ключа(ів) 808 абонента. Додатково, вузол аутентифікації може приймати повідомлення аутентифікації пристрою, сформоване вузлом 810 ретрансляції. Вузол аутентифікації може потім виконувати аутентифікацію пристрою за допомогою використання одного або більше ідентифікатора(ів)/ключа(ів) 812 пристрою. Після успішної аутентифікації абонента та аутентифікації пристрою, вузол аутентифікації може надсилати повідомлення, що надає доступ вузла ретрансляції до мережі 814 зв'язку. Один або більше компонентів, етапів, ознак і/або функцій, ілюстрованих на ФІГ. 1, 2, 3, 4, 5, 6, 7 і/або 8, можуть бути перекомпоновані і/або об'єднані в єдиний компонент, етап, ознаку або функцію, або втілені в декількох компонентах, етапах або функціях. Додаткові елементи, компоненти, етапи і/або функції можуть також бути додані, не відступаючи від винаходу. Пристрій, пристрої і/або компоненти, ілюстровані на ФІГ. 1, 5 і/або 5, можуть бути сконфігуровані для виконання одного або більше способів, ознак або етапів, описаних на ФІГ. 4, 6 і/або 8. Нові алгоритми, описані в даному описі, можуть також бути ефективно реалізовані в програмному забезпеченні і/або здійснені в апаратному забезпеченні. Крім того, повинне бути зазначено, що щонайменше деякі реалізації були описані як процес, який зображений як послідовність операцій, блок-схема, структурна діаграма або блок-діаграма. Хоча послідовність операцій може описувати операції як послідовний процес, багато з операцій можуть бути виконані паралельно або одночасно. Крім того, порядок операцій може бути переставлений. Процес завершується, коли завершуються його операції. Процес може відповідати способу, функції, процедурі, підпрограмі, підпрограмі тощо. Коли процес відповідає функції, її завершення відповідає поверненню функції до запитуючої функції або головної функції. Крім того, варіанти здійснення можуть бути реалізовані апаратним забезпеченням, програмним забезпеченням, програмно-апаратним забезпеченням, проміжним програмним 11 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 забезпеченням, мікрокодом або будь-якою їх комбінацією. При реалізації в програмному забезпеченні, програмно-апаратному забезпеченні, проміжному програмному забезпеченні або мікрокоді програмний код або сегменти при виконанні необхідних задач можуть бути збережені в зчитуваному машиною носії, такому як носій даних або інше сховище(а). Процесор може виконувати необхідні задачі. Сегмент коду може представляти процедуру, функцію, підпрограму, програму, операцію, підоперацію, модуль, пакет програм, клас або будь-яку комбінацію команд, структур даних або заявлених програм. Сегмент коду може бути приєднаний до іншого сегмента коду або схемі апаратного забезпечення за допомогою передачі і/або прийому інформації, даних, аргументів, параметрів або вмісту пам'яті. Інформація, аргументи, параметри, дані тощо можуть бути передані, спрямовані або передані за допомогою будь-якого підходящого засобу, що включає в себе спільне використання пам'яті, передачу повідомлення, передачу символів, передачу мережі тощо. Терміни носій "зчитуваний машиною носій", "зчитуваний комп'ютером носій" і/або "зчитуваний процесором носій" можуть включати в себе, але не обмежуватися, портативні або статичні пристрої зберігання, оптичні пристрої зберігання і різні інші не тимчасові носії, здатні зберігати, містити або переносити команду(и) і/або даних. Таким чином, різні способи, описані в даному описі, можуть бути частково або повністю реалізовані командами і/або даними, які можуть зберігатися на "зчитуваному машиною носії", "зчитуваному комп'ютером носії" і/або "зчитуваному процесором носії" і виконуватися одним або більше процесорами, машинами і/або пристроями. Способи або алгоритми, описані спільно з прикладами, описаними в даному описі, можуть здійснюватися безпосередньо в апаратному забезпеченні, в програмному модулі, що виконується процесором, або в їх комбінації, в формі блоку обробки, програмованих інструкцій або інших команд, і можуть міститися в одному пристрої або розподілятися по множинних пристроях. Програмний модуль може постійно знаходитися в пам'яті RAM, флеш-пам'яті, пам'яті ROM, пам'яті EPROM, пам'яті EEPROM, регістрах, на жорсткому диску, змінному диску, CDROM або будь-якій іншій формі носія даних, відомого в даній галузі техніки. Носій даних може бути приєднаний до процесора таким чином, щоб процесор міг зчитувати інформацію і записувати інформацію на носій даних. В альтернативі, носій даних може бути вбудований в процесор. Фахівці в даній галузі техніки з готовністю оцінять, що різні ілюстративні логічні блоки, модулі, схеми та етапи алгоритму, описані разом з варіантами здійснення, розкритими в даному описі, можуть бути реалізовані як електронне апаратне забезпечення, програмне забезпечення або їх комбінація. Для зрозумілої ілюстрації цієї взаємозамінності апаратного забезпечення і програмного забезпечення, різні ілюстративні компоненти, блоки, модулі, схеми та етапи були описані вище загалом відносно їх функціональних можливостей. Чи реалізовані такі функціональні можливості як апаратне забезпечення або програмне забезпечення залежить від конкретного додатку та обмежень структури, накладених на повну систему. Різні ознаки даного винаходу, описаного в даному описі, можуть бути реалізовані в різних системах, не відступаючи від винаходу. Повинне бути зазначено, що попередніми варіантами здійснення є прості приклади, і вони не повинні бути розглянуті як такі, що обмежують винахід. Опис варіантів здійснення призначається для ілюстрації, а не обмеження обсягу і суті формули винаходу. Таким чином, існуючі способи можуть бути з готовністю застосовані до інших типів пристроїв і багатьох альтернатив, модифікацій і змін, які будуть очевидні для фахівців в даній галузі техніки. Посилальні позиції 100 мережа зв'язку 102 мережа IP зв'язку 104 користувацьке обладнання 104 (користувацьке-UE) 112 ретрансляційний GW 114 SGW/PGW UE ретрансляції 116 eNB 118 об'єкт керування мобільністю (ММЕ) 120, 220 вузол ретрансляції 122 модуль eNB 124 модуль UE 126 (SGW)/PDN шлюз (PGW) 128 донорський eNB 219 домашній сервер абонента (HSS) 223 універсальна карта інтегральної схеми (UICC) 12 UA 106515 C2 5 10 15 20 25 30 35 40 45 320 вузол ретрансляції MitM 323 реальна UICC 324 підроблена UICC 402 мобільний вузол 404 вузол ретрансляції 406 вузол доступу 408 мережа зв'язку 410, 422 процедура аутентифікації пристрою 412 процедура аутентифікації абонента 414 пристрій 416 повідомлення надання/відхилення аутентифікації 418a, 418b передачі трафіку 419 трансляція трафіку 420 процедура оновлення аутентифікації абонента 500 вузол ретрансляції 502 схема обробки 503 схема обробки мобільного вузла 504 внутрішній безпечний пристрій зберігання 505 схема обробки вузла доступу 506 модуль мобільного вузла 507 перший інтерфейс зв'язку 508 модуль вузла доступу 509 другий інтерфейс зв'язку 510 перша антена 512 друга антена 514 карта UICC 516 ідентифікатор пристрою 520 пристрій зберігання 602 ідентифікатор абонента і/або ключ(і) 604 ідентифікатори пристрою і/або асоційований ключ(і) 606 мобільний вузол 608 вузол ретрансляції 610 мережа зв'язку 700 вузол аутентифікації 702 схема обробки 704 пристрій зберігання 708 інтерфейс зв'язку 710 модуль аутентифікації абонента 712 модуль аутентифікації пристрою 714 ідентифікатор(ів)/ключ(ів) вузла ретрансляції 716 ідентифікатор(и) компонента вузла доступу 718 ідентифікатор(и)/ключ(і) мобільного компонента вузла 802, 804, 806, 810 вузол ретрансляції 808 ідентифікатор/ключ абонента 812 ідентифікатор/ключ пристрою 814 мережа зв'язку 50 ФОРМУЛА ВИНАХОДУ 55 60 1. Спосіб, що працює у вузлі ретрансляції, який містить: конфігурування вузла ретрансляції для роботи між першим вузлом доступу і першим мобільним вузлом за допомогою ретрансляції трафіку між першим вузлом доступу і першим мобільним вузлом, причому перший вузол доступу виконаний з можливістю забезпечувати доступ до мережі зв'язку, де 13 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 перший інтерфейс зв'язку вузла ретрансляції адаптований для зв'язку з першим вузлом доступу, використовуючи перший протокол сигналізації, причому вузол ретрансляції проявляється як другий мобільний вузол до першого вузла доступу, і другий інтерфейс зв'язку, адаптований для зв'язку з першим мобільним вузлом, використовуючи другий протокол сигналізації, причому вузол ретрансляції проявляється як другий вузол доступу до першого мобільного вузла; посилання повідомлення аутентифікації пристрою від вузла ретрансляції на перший вузол доступу для дозволу аутентифікації пристрою вузла ретрансляції; і посилання повідомлення аутентифікації абонента від вузла ретрансляції на перший вузол доступу для дозволу аутентифікації абонента вузла ретрансляції, причому аутентифікація пристрою зв'язана з аутентифікацією абонента при визначенні, чи може вузол ретрансляції одержувати обслуговування зв'язку через згадану мережу зв'язку, що доступна через перший вузол доступу, і при цьому вузлу ретрансляції надають доступ для зв'язку зі згаданою мережею зв'язку після обох успішної аутентифікації абонента і успішної аутентифікації пристрою. 2. Спосіб за п. 1, який додатково містить: одержання доступу до мережі зв'язку після прийому сигналів від вузла доступу, які вказують, що успішна аутентифікація абонента та аутентифікація пристрою була надана. 3. Спосіб за п. 1, який додатково містить: прийом від вузла доступу повідомлення надання обслуговування, що надає доступ до мережі зв'язку, після успішної аутентифікації абонента та аутентифікації пристрою; і прийом від вузла доступу повідомлення відхилення обслуговування, що відхиляє доступ до мережі зв'язку, після невдалої аутентифікації абонента або аутентифікації пристрою. 4. Спосіб за п. 1, в якому повідомлення аутентифікації пристрою і повідомлення аутентифікації абонента надсилаються одночасно від вузла ретрансляції до вузла доступу як єдине повідомлення аутентифікації. 5. Спосіб за п. 1, в якому перший інтерфейс зв'язку використовує сигналізацію через повітря для здійснення зв'язку з першим вузлом доступу. 6. Спосіб за п. 1, в якому аутентифікація пристрою виконується за допомогою використання щонайменше одного з: ідентифікатора пристрою або ключа пристрою, унікального для вузла ретрансляції і збереженого на безпечному, незмінному пристрої зберігання у вузлі ретрансляції. 7. Спосіб за п. 6, в якому ідентифікатор пристрою є щонайменше одним з: міжнародної ідентифікаційної інформації мобільного обладнання (ІМЕІ) для вузла ретрансляції, модуля вузла доступу у вузлі ретрансляції або модуля мобільного вузла у вузлі ретрансляції. 8. Спосіб за п. 1, в якому перший інтерфейс зв'язку є частиною модуля мобільного доступу, адаптованого для роботи як розширений вузол В для мережі, сумісної з проектом довгострокового розвитку. 9. Спосіб за п. 1, в якому перший інтерфейс зв'язку є частиною модуля мобільного вузла згаданого вузла ретрансляції, і другий інтерфейс зв'язку є частиною модуля вузла доступу згаданого вузла ретрансляції. 10. Спосіб за п. 1, в якому аутентифікація абонента потім повторюється частіше, ніж аутентифікація пристрою. 11. Спосіб за п. 1, який додатково містить: конфігурування вузла ретрансляції для трансляції трафіку першого типу пакета, прийнятого по першому інтерфейсу зв'язку, у другий тип пакета для передачі по другому інтерфейсу зв'язку до мобільного вузла; і конфігурування вузла ретрансляції для трансляції трафіку другого типу пакета, прийнятого по другому інтерфейсу зв'язку, в перший тип пакета для передачі по першому інтерфейсу зв'язку до вузла доступу. 12. Спосіб за п. 1, який додатково містить: конфігурування вузла ретрансляції для трансляції передач трафіку даних між першим інтерфейсом зв'язку і другим інтерфейсом зв'язку з першого типу сигналу, асоційованого з першим протоколом сигналізації, у другий тип сигналу, асоційований з другим протоколом сигналізації. 13. Спосіб за п. 1, в якому один або більше з ідентифікатора абонента або ключа, що використовується в аутентифікації абонента, попередньо асоційований з типом пристрою, і аутентифікація абонента є успішною, якщо аутентифікація пристрою ідентифікує однаковий тип пристрою. 14. Спосіб за п. 1, в якому перший і другий протоколи сигналізації є однаковими. 15. Спосіб за п. 1, в якому перший і другий протоколи сигналізації є протоколами Вдосконаленого Універсально Наземного Доступу (E-UTRA). 14 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 60 16. Спосіб за п. 1, в якому перший і другий протоколи сигналізації є різними протоколами зв'язку через повітря. 17. Спосіб за п. 1, в якому вузол ретрансляції проявляється як користувацьке обладнання (UE) для першого вузла доступу. 18. Спосіб за п. 1, в якому вузол ретрансляції проявляється як вдосконалений вузол В для першого мобільного вузла. 19. Вузол ретрансляції, який містить: перший інтерфейс зв'язку, адаптований для зв'язку з першим вузлом доступу, використовуючи перший протокол сигналізації, причому вузол ретрансляції проявляється як другий мобільний вузол до першого вузла доступу, причому перший вузол доступу виконаний з можливістю забезпечувати доступ до мережі зв'язку; другий інтерфейс зв'язку, адаптований для зв'язку з першим мобільним вузлом, використовуючи другий протокол сигналізації, причому вузол ретрансляції проявляється як другий вузол доступу до першого мобільного вузла; і схему обробки, приєднану до першого інтерфейсу зв'язку і другого інтерфейсу зв'язку, причому схема обробки адаптована для: ретрансляції трафіку між першим вузлом доступу і першим мобільним вузлом, посилання повідомлення аутентифікації пристрою від вузла ретрансляції на перший вузол доступу через перший інтерфейс зв'язку для дозволу аутентифікації пристрою згаданого вузла ретрансляції, і посилання повідомлення аутентифікації абонента від вузла ретрансляції на перший вузол доступу через перший інтерфейс зв'язку для дозволу аутентифікації абонента вузла ретрансляції, де аутентифікація пристрою зв'язана з аутентифікацією абонента при визначенні, чи може вузол ретрансляції одержувати обслуговування зв'язку через згадану мережу зв'язку, що доступна через перший вузол доступу, і при цьому вузлу ретрансляції надають доступ для зв'язку зі згаданою мережею зв'язку після обох успішної аутентифікації абонента і успішної аутентифікації пристрою. 20. Вузол ретрансляції за п. 19, в якому схема обробки додатково адаптована для: одержання доступу до мережі зв'язку після прийому сигналів від вузла доступу, які вказують, що успішна аутентифікація абонента та аутентифікація пристрою була надана. 21. Вузол ретрансляції за п. 19, в якому схема обробки додатково адаптована для: прийому від вузла доступу повідомлення надання обслуговування, що надає доступ до мережі зв'язку після успішної аутентифікації абонента та аутентифікації пристрою; і прийому від вузла доступу повідомлення відхилення обслуговування, що відхиляє доступ до мережі зв'язку після невдалої аутентифікації абонента або аутентифікації пристрою. 22. Вузол ретрансляції за п. 19, який додатково містить: незмінний безпечний пристрій зберігання, приєднаний до схеми обробки, причому незмінний безпечний пристрій зберігання зберігає щонайменше одне з: ідентифікатора пристрою або ключа, що є унікальним для вузла ретрансляції і використовується для аутентифікації пристрою. 23. Вузол ретрансляції за п. 22, в якому ідентифікатор пристрою є щонайменше одним з: міжнародної ідентифікаційної інформації мобільного обладнання (ІМЕІ) для вузла ретрансляції, модуля вузла доступу у вузлі ретрансляції або модуля мобільного вузла у вузлі ретрансляції. 24. Вузол ретрансляції за п. 19, в якому перший інтерфейс зв'язку використовує сигналізацію через повітря для здійснення зв'язку з першим вузлом доступу. 25. Вузол ретрансляції за п. 19, який додатково містить: модуль мобільного вузла, що включає в себе перший інтерфейс зв'язку і незмінний пристрій зберігання для зберігання одного або більше мобільних ідентифікаторів вузла і ключів, що використовують для аутентифікації пристрою. 26. Вузол ретрансляції за п. 19, який додатково містить: модуль вузла доступу, що включає в себе другий інтерфейс зв'язку і незмінний пристрій зберігання для зберігання одного або більше ідентифікаторів вузла доступу і ключів, що використовують для аутентифікації пристрою. 27. Вузол ретрансляції за п. 19, в якому схема обробки додатково адаптована для: трансляції передач трафіку даних між першим інтерфейсом зв'язку і другим інтерфейсом зв'язку з першого типу сигналу, асоційованого з першим протоколом сигналізації, у другий тип сигналу, асоційований з першим протоколом сигналізації. 28. Вузол ретрансляції, який містить: засіб для зв'язку з першим вузлом доступу, використовуючи перший протокол сигналізації, причому вузол ретрансляції проявляється як другий мобільний вузол до першого 15 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 вузла доступу, причому перший вузол доступу виконаний з можливістю забезпечувати доступ до мережі зв'язку; засіб для зв'язку з першим мобільним вузлом, використовуючи другий протокол сигналізації, причому вузол ретрансляції проявляється як другий вузол доступу до першого мобільного вузла; засіб для ретрансляції трафіку між першим вузлом доступу і першим мобільним вузлом; засіб для посилання повідомлення аутентифікації пристрою від вузла ретрансляції на перший вузол доступу для дозволу аутентифікації пристрою вузла ретрансляції, і засіб для посилання повідомлення аутентифікації абонента від вузла ретрансляції на перший вузол доступу для дозволу аутентифікації абонента вузла ретрансляції, при цьому аутентифікація пристрою зв'язана з аутентифікацію абонента у визначенні, чи може вузол ретрансляції одержувати обслуговування зв'язку через згадану мережу зв'язку, що доступна через перший вузол доступу, і при цьому вузлу ретрансляції надають доступ для зв'язку зі згаданою мережею зв'язку після обох успішної аутентифікації абонента і успішної аутентифікації пристрою. 29. Вузол ретрансляції за п. 28, який додатково містить: засіб для одержання доступу до мережі зв'язку після прийому сигналів від вузла доступу, які вказують, що успішна аутентифікація абонента та аутентифікація пристрою була надана. 30. Вузол ретрансляції за п. 28, який додатково містить: засіб для безпечного і незмінного зберігання щонайменше одного з: ідентифікатора пристрою або ключа. 31. Вузол ретрансляції за п. 28, який додатково містить: засіб для трансляції передач трафіку даних між першим інтерфейсом зв'язку і другим інтерфейсом зв'язку згаданого вузла ретрансляції з першого типу сигналу, асоційованого з першим протоколом сигналізації, у другий тип сигналу, що асоційований з другим протоколом сигналізації. 32. Зчитуваний процесором носій, який містить одну або більше команд, що працюють на вузлі ретрансляції, адаптованого для роботи між першим мобільним вузлом і першим вузлом доступу, які при виконанні схемою обробки, змушують схему обробки: зв'язуватися з першим вузлом доступу за допомогою першого інтерфейсу зв'язку, використовуючи перший протокол сигналізації, причому вузол ретрансляції проявляється як другий мобільний вузол до першого вузла доступу, причому перший вузол доступу виконаний з можливістю забезпечувати доступ до мережі зв'язку; зв'язуватися з першим мобільним вузлом за допомогою другого інтерфейсу зв'язку, використовуючи другий протокол сигналізації, причому вузол ретрансляції проявляється як другий вузол доступу до першого мобільного вузла; ретранслювати трафік між першим вузлом доступу і першим мобільним вузлом; надсилати повідомлення аутентифікації пристрою від вузла ретрансляції на перший вузол доступу через перший інтерфейс зв'язку для дозволу аутентифікації пристрою вузла ретрансляції, і надсилати повідомлення аутентифікації абонента від вузла ретрансляції на перший вузол доступу через перший інтерфейс зв'язку для дозволу аутентифікації абонента вузла ретрансляції, де аутентифікація пристрою зв'язана з аутентифікацією абонента при визначенні, чи може вузол ретрансляції одержувати обслуговування зв'язку через згадану мережу зв'язку, що доступна через перший вузол доступу, і при цьому вузлу ретрансляції надають доступ для зв'язку зі згаданою мережею зв'язку після обох успішної аутентифікації абонента і успішної аутентифікації пристрою. 33. Зчитуваний процесором носій за п. 32, який містить одну або більше команд, які при виконанні схемою обробки, змушують схему обробки: одержувати доступ до мережі зв'язку після прийому сигналів від вузла доступу, які вказують, що успішна аутентифікація абонента та аутентифікація пристрою була надана. 34. Спосіб, що працює на об'єкті аутентифікації мережі у мережі зв'язку, який містить: прийом повідомлення аутентифікації пристрою, надісланого вузлом ретрансляції, який функціонує між першим мобільним вузлом і першим вузлом доступу, причому вузол ретрансляції виконаний з можливістю здійснювати зв'язок між першим мобільним вузлом і першим вузлом доступу, використовуючи перший і другий протоколи сигналізації, відповідно, і причому вузол доступу виконаний з можливістю забезпечувати доступ до згаданої мережі зв'язку; 16 UA 106515 C2 5 10 15 20 25 30 35 40 45 50 55 виконання аутентифікації пристрою на основі одного або більше ідентифікаторів пристрою або ключів, асоційованих з вузлом ретрансляції, модулем вузла доступу вузла ретрансляції або модулем мобільного вузла згаданого вузла ретрансляції; прийом повідомлення аутентифікації абонента, надісланого вузлом ретрансляції; виконання аутентифікації абонента згаданого вузла ретрансляції на основі одного або більше ідентифікаторів абонента або ключів, асоційованих з вузлом ретрансляції; і посилання повідомлення, що надає доступ вузлу ретрансляції до мережі зв'язку після обох успішних аутентифікації абонента та аутентифікації пристрою, причому аутентифікація пристрою зв'язана з аутентифікацією абонента у визначенні, чи може вузол ретрансляції отримувати обслуговування зв'язку через згадану мережу зв'язку. 35. Спосіб за п. 34, який додатково містить: посилання вузлу ретрансляції повідомлення відхилення доступу вузла ретрансляції до мережі зв'язку після однієї або більше з невдалих аутентифікації абонента або аутентифікації пристрою. 36. Спосіб за п. 34, який додатково містить: посилання першого повідомлення на вузол ретрансляції для ініціації аутентифікації пристрою; і посилання другого повідомлення на вузол ретрансляції для ініціації аутентифікації абонента. 37. Спосіб за п. 34, в якому одне або більше з ідентифікатора абонента або ключа, що використовується в аутентифікації абонента, попередньо асоційоване з типом пристрою, і аутентифікація абонента проходить успішно, якщо аутентифікація пристрою ідентифікує однаковий тип пристрою. 38. Спосіб за п. 34, в якому аутентифікація пристрою виконується вузлом аутентифікації пристрою, в той час як аутентифікація абонента виконується вузлом аутентифікації абонента. 39. Спосіб за п. 34, в якому повідомлення аутентифікації пристрою і повідомлення аутентифікації абонента приймаються одночасно як єдине повідомлення аутентифікації. 40. Об'єкт аутентифікації, який містить: інтерфейс зв'язку, адаптований для зв'язку з вузлом ретрансляції через мережу зв'язку; схему обробки, приєднану до інтерфейсу зв'язку, причому схема обробки адаптована для: прийому повідомлення аутентифікації пристрою, переданого вузлом ретрансляції, який функціонує між першим мобільним вузлом і першим вузлом доступу, причому вузол ретрансляції виконаний з можливістю зв'язуватися з першим мобільним вузлом і першим вузлом доступу, використовуючи перший і другий протоколи сигналізації, відповідно, і причому вузол доступу виконаний з можливістю забезпечувати доступ до згаданої мережі зв'язку від вузла ретрансляції; виконання аутентифікації пристрою вузла ретрансляції на основі одного або більше ідентифікаторів пристрою або ключів, асоційованих з вузлом ретрансляції, компонентом вузла доступу вузла ретрансляції або мобільним компонентом вузла згаданого вузла ретрансляції; прийому повідомлення аутентифікації абонента, переданого вузлом ретрансляції; виконання аутентифікації абонента на основі одного або більше ідентифікаторів абонента або ключів, асоційованих з вузлом ретрансляції, причому аутентифікація пристрою зв'язана з аутентифікацією абонента у визначенні, чи може вузол ретрансляції отримувати обслуговування зв'язку через згадану мережу зв'язку; і посилання повідомлення, що надає доступ вузла ретрансляції до мережі зв'язку, після обох успішних аутентифікації абонента та аутентифікації пристрою. 41. Об'єкт аутентифікації за п. 40, в якому схема обробки додатково адаптована для: посилання повідомлення, що відхиляє доступ вузла ретрансляції до мережі зв'язку, після невдалої однієї або більше аутентифікації абонента або аутентифікації пристрою. 42. Об'єкт аутентифікації за п. 41, який додатково містить: вузол аутентифікації пристрою для виконання аутентифікації пристрою; і вузол аутентифікації абонента для виконання аутентифікації абонента. 43. Об'єкт аутентифікації, який містить: засіб для прийому повідомлення аутентифікації пристрою, переданого вузлом ретрансляції, який функціонує між першим мобільним вузлом і першим вузлом доступу, причому вузол ретрансляції виконаний з можливістю зв'язуватися з першим мобільним вузлом, використовуючи перший протокол сигналізації, і першим вузлом доступу, використовуючи другий протокол сигналізації; 17 UA 106515 C2 5 10 15 20 25 засіб для виконання аутентифікації пристрою на основі одного або більше ідентифікаторів пристрою або ключів, асоційованих з вузлом ретрансляції, компонентом вузла доступу вузла ретрансляції або мобільним компонентом вузла згаданого вузла ретрансляції; засіб для прийому повідомлення аутентифікації абонента, переданого вузлом ретрансляції; засіб для виконання аутентифікації абонента на основі одного або більше ідентифікаторів абонента або ключів, асоційованих з вузлом ретрансляції, причому аутентифікація пристрою зв'язана з аутентифікацією абонента у визначенні, чи може вузол ретрансляції отримати обслуговування зв'язку через згадану мережу зв'язку; і засіб для посилання повідомлення, що надає доступ вузла ретрансляції до мережі зв'язку, після обох успішних аутентифікації абонента та аутентифікації пристрою. 44. Зчитуваний процесором носій, який містить одну або більше команд, які виконуються на об'єкті аутентифікації, що працює в базовій мережі зв'язку, який при виконанні схемою обробки, змушує схему обробки: приймати повідомлення аутентифікації пристрою, передане вузлом ретрансляції, який працює між першим мобільним вузлом і першим вузлом доступу, причому вузол ретрансляції виконаний з можливістю зв'язуватися з першим мобільним вузлом, використовуючи перший протокол сигналізації, і першим вузлом доступу, використовуючи другий протокол сигналізації; виконувати аутентифікацію пристрою на основі одного або більше ідентифікаторів пристрою або ключів, асоційованих з вузлом ретрансляції, компонентом вузла доступу вузла ретрансляції або мобільним компонентом вузла згаданого вузла ретрансляції; приймати повідомлення аутентифікації абонента, передане вузлом ретрансляції; виконувати аутентифікацію абонента на основі одного або більше ідентифікаторів абонента або ключів, асоційованих з вузлом ретрансляції, причому аутентифікація пристрою зв'язана з аутентифікацією абонента у визначенні, чи може вузол ретрансляції отримати обслуговування зв'язку через згадану мережу зв'язку; і надсилати повідомлення, яке надає доступ вузла ретрансляції до мережі зв'язку, після обох успішних аутентифікації абонента та аутентифікації пристрою. 30 18 UA 106515 C2 19 UA 106515 C2 20 UA 106515 C2 21 UA 106515 C2 22 UA 106515 C2 Комп’ютерна верстка І. Скворцова Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601 23