JP2017516326A - ワイヤレス通信システムにおける悪意ある攻撃に対処するための方法およびシステム - Google Patents
ワイヤレス通信システムにおける悪意ある攻撃に対処するための方法およびシステム Download PDFInfo
- Publication number
- JP2017516326A JP2017516326A JP2016549754A JP2016549754A JP2017516326A JP 2017516326 A JP2017516326 A JP 2017516326A JP 2016549754 A JP2016549754 A JP 2016549754A JP 2016549754 A JP2016549754 A JP 2016549754A JP 2017516326 A JP2017516326 A JP 2017516326A
- Authority
- JP
- Japan
- Prior art keywords
- wireless device
- pdn
- address
- malicious
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000004891 communication Methods 0.000 title claims description 76
- 238000012544 monitoring process Methods 0.000 claims abstract description 50
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000008859 change Effects 0.000 abstract description 6
- 238000012545 processing Methods 0.000 description 19
- 230000004044 response Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 9
- 230000015654 memory Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000005059 dormancy Effects 0.000 description 5
- 239000000969 carrier Substances 0.000 description 4
- 230000007704 transition Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000027311 M phase Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006266 hibernation Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000005022 packaging material Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000010363 phase shift Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/125—Protection against power exhaustion attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本開示のいくつかの態様は、悪意ある攻撃に対処するための方法および装置に関する。1つの態様では、この方法および装置は、ワイヤレスデバイスによって受信される、ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されるパケットを識別し、悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによってワイヤレスデバイスをPDNから選択的に切断し、第1のIPアドレスとは異なる第2のIPアドレスを使用してワイヤレスデバイスをPDNに再接続するように構成される。別の態様では、PDNが切断された後、IPマルチメディアサブシステム(IMS)PDNへの接続が維持される。
Description
優先権主張
本特許出願は、2014年2月10日に出願され、本譲受人に譲渡されて本明細書に参照により明白に組み込まれている、「METHODS AND SYSTEMS FOR HANDLING MALICIOUS ATTACKS IN A WIRELESS COMMUNICATION SYSTEM」という名称の非仮出願第14/176,784号に基づく優先権を主張する。
本特許出願は、2014年2月10日に出願され、本譲受人に譲渡されて本明細書に参照により明白に組み込まれている、「METHODS AND SYSTEMS FOR HANDLING MALICIOUS ATTACKS IN A WIRELESS COMMUNICATION SYSTEM」という名称の非仮出願第14/176,784号に基づく優先権を主張する。
無線信号を使用して、音声、データ、およびビデオなどの様々なタイプのコンテンツをモバイルデバイスに提供するために、ワイヤレス通信システムが広く展開されている。通常のワイヤレス通信システムは、利用可能なシステムリソース(たとえば、帯域幅、送信電力など)を共有することによって、複数のモバイルデバイスとの通信をサポートすることができる多元接続システムとすることができる。そのような多元接続システムの例は、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、直交周波数分割多元接続(OFDMA)システムなどを含むことができる。その上、それらのシステムは、第3世代パートナーシッププロジェクト(3GPP)、3GPPロングタームエボリューション(LTE)、ウルトラモバイルブロードバンド(UMB)、エボリューションデータオプティマイズド(EV-DO)などの仕様に準拠することができる。
一般に、ワイヤレス通信システムのネットワーク要素は、ワイヤレス通信システム内のモバイルデバイスに対する悪意ある活動または悪意ある攻撃のソースであることがある。そのような悪意あるソースは、求められていないパケットをモバイルデバイスに与えようと試みることがある(一般に「フラッディング」と呼ばれる)。これらのパケットは、アイドルまたは休止状態にあるモバイルデバイスにその無線リソースをアクティブ化し、したがって接続またはアクティブ状態に移行することを強制する。次いでモバイルデバイスは、接続状態にとどまった後、休止タイマーの時間ウィンドウ閾値内にさらなるパケットが受信されなくなると、その時点でモバイルデバイスは、その無線リソースを切断し、元の休止またはアイドル状態に移行する。悪意あるソースからパケットが受信された結果としてのモバイルデバイスによる接続状態間移行のこのプロセスは、頻繁に発生する可能性があり、したがってモバイルデバイスのバッテリーを消耗させ(たとえば、バッテリー寿命を減らし)、ならびにネットワーク輻輳を増加させる可能性がある。
ワイヤレス通信システムのネットワークエンティティからの悪意ある攻撃に対処する以前の試みは、恒久的な解決をもたらすことができていない。例として、CDMAシステムにおける1つの以前の試みは、モバイルデバイスが、悪意あるネットワークエンティティからパケットを受信した後、元の休止状態に移行する前の接続状態にとどまる時間を減らすために、短縮休止タイマー(shortened dormancy timer)を使用する。別の例として、WCDMAシステムにおける別の以前の試みは、CDMAシステムで使用される手法によって達成されるものと同種の結果を達成するために、強制休止機能(forced dormancy function)を同様に実装する。
これらの以前の試みは、モバイルデバイスが、悪意あるネットワークエンティティからパケットを受信した後、元の休止状態に移行する前の接続状態にとどまる時間を減らすことができるが、悪意あるネットワークエンティティは、求められていないパケットをモバイルデバイスに送り続け、したがってモバイルデバイスのバッテリーを消耗させ続け、ネットワーク輻輳を増加させる可能性がある。その上、LTEなどのいくつかのワイヤレス通信システムには、モバイルデバイスが起動する強制または短縮休止機能がなく、したがって、モバイルデバイスが悪意あるネットワークエンティティからパケットを受信した後に、元の休止状態に移行する前の接続状態にとどまる時間を減らす方法がない可能性がある。したがって、当技術分野には、悪意ある攻撃に対処するための単純で効果的な方法およびシステムの必要がある。
以下は、悪意ある攻撃に対処するための方法およびシステムの1つまたは複数の態様の平易な要約を示すものである。この要約は、本発明の検討されるすべての態様の包括的な概要ではなく、本発明の主要なまたは重要な要素を識別するものでも、そのいずれかの態様またはすべての態様の範囲を定めるものでもない。その唯一の目的は、後で提示されるより詳細な説明への前置きとして、1つまたは複数の態様のいくつかの概念を簡略化された形で提示することである。
1つの態様では、悪意ある攻撃に対処するための方法が開示される。方法は、ワイヤレスデバイスにおいて、ワイヤレスデバイスによって受信された、ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されたパケットを識別するステップを含む。方法は続いて、悪意あるソースから受信されたと識別されるパケットの数が、監視期間内の閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによってワイヤレスデバイスをPDNから選択的に切断する。方法はさらに続いて、第1のIPアドレスとは異なる第2のIPアドレスを使用して、ワイヤレスデバイスをPDNに再接続する。
別の態様では、非一時的コンピュータ可読媒体を含む、悪意ある攻撃に対処するためのコンピュータプログラム製品が開示される。コンピュータ可読媒体は、ワイヤレスデバイスによって受信された、ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されたパケットをワイヤレスデバイスに識別させるためのコードを含む。コンピュータ可読媒体は、悪意あるソースから受信されたとして識別されるパケットの数が監視期間内に閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって、ワイヤレスデバイスにワイヤレスデバイスをPDNから選択的に切断させるためのコードをさらに含む。コンピュータ可読媒体はまた、第1のIPアドレスとは異なる第2のIPアドレスを使用して、ワイヤレスデバイスにPDNに再接続させるためのコードを含む。
さらなる態様では、悪意ある攻撃に対処するための装置が開示される。装置は、ワイヤレスデバイスにおいて、ワイヤレスデバイスによって受信された、ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されたパケットを識別するための手段を含む。装置はさらに、悪意あるソースから受信されたとして識別されるパケットの数が監視期間内に閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって、ワイヤレスデバイスをPDNから選択的に切断するための手段を含む。装置はさらに、第1のIPアドレスとは異なる第2のIPアドレスを使用して、ワイヤレスデバイスをPDNに再接続するための手段を備える。
さらに、一態様では、少なくとも1つのプロセッサを含んだ、悪意ある攻撃に対処するためのワイヤレスデバイスが開示される。少なくとも1つのプロセッサは、ワイヤレスデバイスによって受信された、ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されたパケットを識別するように構成される。少なくとも1つのプロセッサはさらに、悪意あるソースから受信されたとして識別されるパケットの数が監視期間内に閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって、ワイヤレスデバイスをPDNから選択的に切断するようにさらに構成される。その上、少なくとも1つのプロセッサは、第1のIPアドレスとは異なる第2のIPアドレスを使用して、ワイヤレスデバイスをPDNに再接続するように構成される。
前述の目的および関連する目的を達成するために、1つまたは複数の態様は、以下に十分に説明し、特許請求の範囲の中で個々に指摘する特徴を備える。以下の説明および添付の図面は、1つまたは複数の態様のいくつかの例示的な特徴を詳細に記載する。しかしながらこれらの特徴は、様々な態様の原理が使用され得る様々な方法のほんの数例を示すものであり、この説明は、そのような態様およびその均等物すべてを含むものとする。
開示する態様は、開示する態様を限定するためではなく説明するために提供される、同様の記号表示が同様の要素を示す添付の図面と併せて以下に説明される。
様々な態様において、悪意ある攻撃に対処するための方法、システム、装置、およびコンピュータプログラム製品が開示される。これらの様々な態様は、一般に、ワイヤレスデバイスで、ワイヤレスデバイスによって受信された、ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されたパケットを識別することを含み得る。ワイヤレスデバイスは、悪意あるソースから受信されたとして識別されるパケットの数が監視期間内に閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって、ワイヤレスデバイスをPDNから選択的に切断することができる。ワイヤレスデバイスは、第1のIPアドレスとは異なる第2のIPアドレスを使用して、PDNに再接続することができる。
次に図面を参照して、悪意ある攻撃に対処するための様々な態様を説明する。次の説明では、1つまたは複数の態様を十分に理解できるように、説明の目的で数多くの特定の詳細を示す。しかし、そのような態様がこれらの具体的な詳細なしに実行されてもよいことは、明らかであろう。
マクロセルおよび小型セルは、モバイルデバイスと通信するために利用することができる。当技術分野で一般に知られているように、モバイルデバイスは、システム、デバイス、加入者ユニット、加入者局、移動局、モバイル、リモート局、モバイル端末、リモート端末、アクセス端末、ユーザ端末、端末、通信デバイス、ユーザエージェント、ユーザデバイス、またはユーザ機器(UE)と呼ばれることもある。モバイルデバイスは、セルラー電話、衛星電話、コードレス電話、セッション開始プロトコル(SIP)電話、ワイヤレスローカルループ(WLL)局、携帯情報端末(PDA)、ワイヤレス接続機能を有するハンドヘルドデバイス、タブレット、コンピューティングデバイス、あるいはモバイルデバイスにセルラーまたはワイヤレスネットワークアクセスを与える1つまたは複数のBSにワイヤレスモデムを介して接続された他の処理デバイスとすることができる。
本明細書に記載する技法は、CDMA、TDMA、FDMA、OFDMA、SC-FDMA、WiFiキャリア検知多重アクセス(CSMA:carrier sense multiple access)、およびその他のシステムなど、様々なワイヤレス通信システムに使用され得る。「システム」および「ネットワーク」という用語は、しばしば互換的に使用される。CDMAシステムは、ユニバーサル地上無線アクセス(UTRA:Universal Terrestrial Radio Access)、cdma2000などの無線技術を実装し得る。UTRAは、広帯域CDMA (W-CDMA(登録商標))、およびCDMAの他の変形態を含む。さらに、cdma2000は、IS-2000、IS-95およびIS-856規格を包む。TDMA システムは、モバイル通信用グローバルシステム(GSM(登録商標):Global System for Mobile Communications)などの無線技術を実装し得る。OFDMAシステムは、Evolved UTRA (E-UTRA)、ウルトラモバイルブロードバンド(UMB:Ultra Mobile Broadband)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM(登録商標)などの無線技術を実装し得る。UTRAおよびE-UTRAは、ユニバーサルモバイルテレコミュニケーションシステム(UMTS)の一部である。様々な態様は、TD-SCDMA、高速下りリンクパケットアクセス(HSDPA:High Speed Downlink Packet Access)、高速上りリンクパケットアクセス(HSUPA:High Speed Uplink Packet Access)、高速パケットアクセスプラス(HSPA+)、およびTD-CDMAなど、他のUMTSシステムに拡張されることも可能である。3GPP ロングタームエボリューション(LTE)は、E-UTRAを使用するUMTSのリリースであり、下りリンク上でOFDMAを、上りリンク上でSC-FDMAを使用する。様々な態様は、(FDDモード、TDDモード、または両モードの)LTE、(FDDモード、TDDモード、または両モードの)LTE-Advanced(LTE-A)を使用するシステムにも拡張され得る。UTRA、E-UTRA、UMTS、LTEおよびGSM(登録商標)については、「第三世代パートナーシッププロジェクト」(3GPP)という名称の団体からの文書に記載されている。その上、cdma2000およびUMBは、「第3世代パートナーシッププロジェクト2」(3GPP2)という名称の団体からの文書に記載されている。さらに、そのような無線通信システムはまた、多くの場合、非ペア免許不要スペクトル(unpaired unlicensed spectrums)、802.xxワイヤレスLAN、BLUETOOTH(登録商標)、および任意の他の短距離もしくは長距離のワイヤレス通信技法を使用する、ピアツーピアの(たとえば、モバイル対モバイルの)アドホックネットワークシステムを含み得る。
いくつかのデバイス、構成要素、モジュールなどを含み得るシステムに関して、様々な態様または特徴を提示する。様々なシステムは、追加のデバイス、構成要素、モジュール、などを含むことができ、および/または、図面に関連して議論したデバイス、構成要素、モジュール、などのすべてを含まなくてもよいことが理解され、認識されるべきである。これらの手法の組合せも使用され得る。
本態様は、一般的に、ワイヤレス通信システムにおいて悪意ある攻撃に対処することに関する。詳細には、ワイヤレスデバイスが、ワイヤレス通信システムにおいて1つまたは複数のネットワークエンティティと通信し得る。さらに、ネットワークエンティティの1つまたは複数が、ワイヤレスデバイスに対する悪意ある攻撃のソースであり得る。いくつかの非限定的な場合において、悪意ある攻撃が、ワイヤレスデバイスの状態を休止状態から接続状態に変える、ネットワークエンティティからワイヤレスデバイスへの求められていないパケットの送信と考えられ得る。そのような非限定的な場合において、ネットワークエンティティは、ワイヤレス通信システム中の悪意あるソースと考えられ得る。
ワイヤレス通信システムのネットワークエンティティからの悪意ある攻撃に対処する現在の取組みまたは試みは、恒久的な解決をもたらすことができていない。例として、CDMAシステムにおける悪意ある攻撃に対処する1つの以前の試みは、モバイルデバイスが、悪意あるネットワークエンティティからパケットを受信した後、元の休止状態に移行する前の接続状態にとどまる時間を減らすために、短縮休止タイマーを使用する。別の例として、WCDMAシステムにおける悪意ある攻撃に対処する別の以前の試みは、CDMAシステムで使用される手法によって達成されるものと同種の結果を達成するために、強制休止機能を同様に実装する。
これらの以前の試みは、モバイルデバイスが、悪意あるネットワークエンティティからパケットを受信した後、元の休止状態に移行する前の接続状態にとどまる時間を減らすことができるが、悪意あるネットワークエンティティは、求められていないパケットをモバイルデバイスに送り続け、したがってモバイルデバイスのバッテリーを消耗させ続け(たとえば、バッテリー寿命を減らし)、ネットワーク輻輳を増加させる可能性がある。その上、LTEなどのいくつかのいくつかのシステムには、モバイルデバイスが開始する強制または短縮休止機能がなく、したがって、モバイルデバイスが悪意あるネットワークエンティティからパケットを受信した後に、元の休止状態に移行する前の接続状態にとどまる時間を少なくする方法がないことがある。したがって、当技術分野には、悪意ある攻撃に対処するための単純で効果的な方法およびシステムの必要がある。
したがって、本方法およびシステムによれば、悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによってワイヤレスデバイスをPDNから選択的に切断すること、および第1のIPアドレスとは異なる第2のIPアドレスを使用してワイヤレスデバイスをPDNに再接続することによって、悪意ある攻撃が対処され得る。そのような手法は、悪意ある攻撃に対処するための、現在の解決法に比べて、より効果的な解決法を提供し得る。たとえば、バッテリー寿命に対する悪意ある攻撃の影響を制限するように休止タイマーを単に調節するのではなく、本明細書に概要を述べる手法は、ワイヤレスデバイスをPDNから切断し、異なるIPアドレスを使用して元のPDNに接続することによって、悪意あるソースからの攻撃を停止することが可能であり得る。さらに、これは、PDNが切断された後でもIPマルチメディアサブシステム(IMS)PDNへの接続を維持しながら達成され得る。
図1を参照すると、1つの態様では、ワイヤレス通信システム100が、少なくとも1つの悪意あるソース170と通信している少なくとも1つのワイヤレスデバイス110を含んでいる。ワイヤレスデバイス110は、たとえば、ネットワークエンティティ140(たとえば、基地局)およびコアネットワーク130を経由して、悪意ある送信元170と通信し得る。さらに、ワイヤレスデバイス110は、ネットワークエンティティ140およびコアネットワーク130を経由して信号150に含まれた、パケット160など、悪意あるソース170からの1つまたは複数のパケットを受信し得る。コアネットワーク130のさらなる態様は、図4に関して以下にさらに説明する。
いくつかの態様では、ワイヤレスデバイス110は、当業者によって、移動局、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、端末、ユーザエージェント、モバイルクライアント、クライアント、またはその他の適切な用語で呼ばれることもある。その上、ネットワークエンティティ140は、マクロセル、ピコセル、フェムトセル、リレー、ノードB、モバイルノードB、(たとえば、ピアツーピアまたはアドホックモードでワイヤレスデバイス110と通信している)UE、またはワイヤレスデバイス110においてワイヤレスネットワークアクセスを提供するためにワイヤレスデバイス110と通信することができる実質的にいかなるタイプの構成要素であってもよい。
本態様によれば、ワイヤレスデバイス110は、ワイヤレス通信システム100における1つまたは複数の悪意あるソースからの攻撃に対処するように構成され得る、悪意ある攻撃対処構成要素111を含み得る。
さらに本態様について、ワイヤレスデバイス110の悪意ある攻撃対処構成要素111は、ネットワークエンティティ140およびコアネットワーク130を経由して悪意あるソース170などのネットワークエンティティからの信号150に含まれた1つまたは複数のパケット160を受信するように構成され得る、パケット受信構成要素112を含み得る。
別の態様では、悪意ある攻撃対処構成要素111は、悪意あるソースから受信されるパケットを識別するように構成され得る、悪意あるソース識別構成要素113を含み得る。例として、悪意あるソースから受信されるパケットは、パケット160の1つまたは複数であり得、悪意あるソースは、悪意あるソース170であり得る。
さらなる態様では、悪意あるソース識別構成要素113は、受信パケット160のうちどのパケットが悪意あるソース170からのものであるかを識別するように構成され得る、ワイヤレスデバイス状態監視モジュール115を含み得る。受信されるどのパケットが悪意あるソース170からであるかを識別することは、ワイヤレスデバイス110によって受信されるどのパケットが、ワイヤレスデバイス110の状態を休止状態から接続状態に変えるかに少なくとも部分的に基づき得る。例として、ワイヤレスデバイス状態監視モジュール115が、ワイヤレスデバイス110の現在の状態を監視し得る。さらにこの例について、いくつかの非限定的場合では、ワイヤレスデバイス110の現在の状態は、「休止」または「アイドル」状態であり得、ワイヤレスデバイス110の無線リソースは、一般的にワイヤレス通信システム100に使用されていない。またさらにこの例について、ワイヤレスデバイス110は、「接続」または「アクティブ」状態であり得、ワイヤレスデバイス110の無線リソースは、確立した接続のためにワイヤレス通信システム100に使用されている。
さらに一態様では、悪意あるソース識別構成要素113は、悪意あるパケットの受信および識別が監視される監視期間を確立し、追跡するように構成され得る、監視期間モジュール116を含み得る。例として、監視期間モジュール116は、悪意あるソース識別構成要素113が、ワイヤレスデバイス110が悪意あるパケットを受信したと識別した結果として、監視期間を確立し得る。さらにこの例について、悪意あるパケットは、ワイヤレスデバイス110が休止状態から接続状態に変わる原因となり得る。さらにこの態様について、監視期間の継続時間は、ワイヤレスデバイス110、ワイヤレスデバイス110のユーザ、または別のネットワークエンティティによって設定され(configured)得る。
さらに別の態様では、悪意あるソース識別構成要素113は、ワイヤレスデバイス110によって受信される悪意あるパケットの数をカウントするように構成され得る、悪意あるパケットカウンタ117を含み得る。この態様では、悪意あるパケットカウンタ117は、悪意あるソース識別構成要素113が、ワイヤレスデバイス110が悪意あるパケットを受信したと識別したとき、および監視期間モジュール116が監視期間を確立したとき、ワイヤレスデバイス110によって受信される悪意あるパケットをカウントすることを開始するようにさらに構成され得る。
さらに別の態様では、悪意あるソース識別構成要素113は、悪意ある攻撃対処構成要素111が悪意あるソース170に対するアクションを実施する前に、監視期間モジュール116によって確立された監視期間中にワイヤレスデバイス110によって受信されることを求められる悪意あるパケットの数を確立するように構成され得る、閾値悪意あるパケット数モジュール(threshold malicious packet number module)118を含み得る。さらにこの態様について、必要とされる悪意あるパケットの数は、ワイヤレスデバイス110、ワイヤレスデバイス110のユーザ、または別のネットワークエンティティによって設定され得る。
選択的態様では、悪意あるソース識別構成要素113は、悪意あるソース170から受信される1つまたは複数の悪意あるパケットのタイプを識別するように構成され得る、パケットタイプ識別モジュール114を含み得る。例として、受信される1つまたは複数の悪意あるパケットのタイプは、伝送制御プロトコル同期(TCP SYN:Transmission Control Protocol Synchronize)パケット、ユーザデータグラムプロトコル(UDP:User Datagram Protocol)パケット、またはインターネット制御メッセージプロトコル(ICMP:Internet Control Message Protocol)パケットであり得るが、これらに限定されない。
その上、一態様では、悪意ある攻撃処理構成要素111は、ワイヤレス通信システム100におけるワイヤレスデバイス110と1つまたは複数のネットワークエンティティとの間の様々な接続を管理するように構成され得る、接続管理構成要素119を含み得る。この態様では、接続管理構成要素119は、ワイヤレス通信システム100におけるワイヤレスデバイス110とインターネットパケットデータネットワーク(PDN)との間の接続を、インターネットPDN接続モジュール121を使用して管理し得る。例として、インターネットPDN接続モジュール121は、ワイヤレスデバイス110をインターネットPDNに接続するために使用されるインターネットプロトコル(IP)アドレスを管理し得る。
さらにこの態様について、インターネットPDN接続モジュール121は、悪意あるソース170から受信されたと識別されるパケットの数が監視期間内に閾値数に達するとき、ワイヤレスデバイス110をインターネットPDNに接続するために使用されるインターネットプロトコル(IP)アドレスを解放することによってワイヤレスデバイス110をインターネットPDNから選択的に切断し得る。例として、パケット受信構成要素112によって受信されるパケットが、悪意あるソース識別構成要素113によって悪意あるパケットであると識別されるとき、監視期間モジュール116が、悪意あるパケットの受信を監視するための監視期間を確立し得る。さらにこの例について、悪意あるパケットカウンタ117が、受信される悪意あるパケットのカウントを確立することができ、監視期間モジュール116によって確立された監視期間中に悪意あるパケットが受信されるたびに、悪意あるパケットのカウントを1ずつインクリメントすることができる。悪意あるパケットカウンタ117によって監視される、受信される悪意あるパケットの数が、監視期間モジュール116によって確立された監視期間が終了する前に、閾値悪意あるパケット数モジュール118によって定義される閾値悪意あるパケット数に達する場合、インターネットPDN接続モジュール121がアクションを起こすことができる。
さらにこの態様について、インターネットPDN接続モジュール121が、ワイヤレスデバイス110をインターネットPDNに接続するために使用されるIPアドレスを解放することによってワイヤレスデバイス100をインターネットPDNから選択的に切断することを含み得る、任意の数のアクションのうちの1つまたは複数を起こすことができる。別の態様では、インターネットPDN接続モジュール121は、以前のIPアドレスとは異なる、すなわち悪意あるソース170が悪意あるパケットを送っていたIPアドレスとは異なる、第2のIPアドレスを使用してワイヤレスデバイスをインターネットPDNに接続し得る。
選択的態様では、接続管理構成要素119は、通信のためにワイヤレスデバイス110とインターネットPDNとの間の接続のIPアドレスを使用している、ワイヤレスデバイス110上のアプリケーションの数を決定するように構成され得るアプリケーション管理モジュール122を含み得る。この選択的態様では、アプリケーション管理モジュール122によって、ワイヤレスデバイス110上の単一アプリケーションのみが通信のためにインターネットPDN接続IPアドレスを使用しているという決定が行われるとき、インターネットPDN接続モジュール121が、ワイヤレスデバイス110をインターネットPDNから切断し得る。あるいは、この選択的態様では、アプリケーション管理モジュール122によって、ワイヤレスデバイス110上の2つ以上のアプリケーションが通信のためにインターネットPDN接続IPアドレスを使用しているという決定が行われるとき、インターネットPDN接続モジュール121は、ワイヤレスデバイス110とインターネットPDNとの間の接続を維持し得る。
代替的態様では、悪意あるパケットカウンタ117によって監視される、受信される悪意あるパケットの数が、監視期間モジュール116によって確立された監視期間が終了する前に、閾値悪意あるパケット数モジュール118によって定義される閾値悪意あるパケット数に達しない場合、インターネットPDN接続モジュール121は、ワイヤレスデバイス110とインターネットPDNとの間の接続を維持し得る。さらにこの代替的態様について、監視期間の終了時に、悪意あるパケットカウンタ117は、受信された悪意あるパケットのカウントをゼロにすることができる。
選択的態様では、接続管理構成要素119は、ワイヤレス通信システム100におけるワイヤレスデバイス110とIPマルチメディアサブシステム(IMS)PDNとの間の接続を、IMS PDN接続モジュール120を使用して管理し得る。この態様では、IMS PDN接続モジュール120は、インターネットPDN接続モジュール121がワイヤレス通信システム110においてワイヤレスデバイス110とインターネットPDNとの間の接続を切断した後、ワイヤレスデバイスとIMS PDNとの間の接続を維持し得る。さらにこの態様について、IMS PDN接続モジュール120は、ワイヤレス通信システム100においてワイヤレスデバイス110をIMS PDNに接続するために使用される第3のIPアドレスを管理し得る。
別の選択的態様では、悪意ある攻撃対処構成要素111が、悪意あるソース170の1つまたは複数の特性の情報を含んだレポートを生成するように構成され得る、レポート生成構成要素123を含み得る。この選択的態様では、生成されたレポートは、ワイヤレス通信システム100を通じてサーバ(図示せず)に提供され得る。さらにこの選択的態様について、悪意あるソース170の1つまたは複数の特性の情報は、悪意あるソース特性モジュール124によって収集され、維持され得る。例として、悪意あるソース特性モジュール124は、ワイヤレスデバイス110とインターネットPDNとの間の接続が選択的に切断される前に、ワイヤレスデバイス110をインターネットPDNに接続するために使用されるIPアドレス等の悪意あるソース170の1つまたは複数の特性の情報を収集し、維持し得る。別の例として、悪意あるソース特性モジュール124は、悪意あるソース170によって使用されるポート番号またはプロトコルタイプなど、悪意あるソース170の1つまたは複数の特性の情報を収集し、維持し得る。
図2は、本明細書に開示する原理に基づいて悪意ある攻撃に対処するための例示的な方法200を示す。方法200は、図1のワイヤレスデバイス110の悪意ある攻撃対処構成要素111によって実装され得る。説明を簡単にするために、方法を一連の動作として示して説明しているが、いくつかの動作は、1つまたは複数の実施形態により、本明細書に示して説明したものとは異なる順序で発生する、および/または他の動作と同時に発生する場合があるので、方法は、動作の順序に限定されないことを理解され、認識されたい。たとえば、方法は代替的には、状態図におけるものなどの、一連の相互に関係する状態またはイベントとして表され得ることを認識されたい。さらに、1つまたは複数の実施形態に従って方法を実施するために、示されるすべての動作が必要とされ得るわけではない。
図2を見ると、210において方法200は、悪意あるソースから受信されるパケットを識別するステップを含む。たとえば、1つの態様では、ワイヤレスデバイス110の悪意ある攻撃対処構成要素111が、パケット受信構成要素112によって、図1の悪意あるソース170などの悪意あるソースから受信されるパケットを識別するために、悪意あるソース識別構成要素113を実行し得る。この態様では、悪意あるソース識別構成要素113が、ワイヤレスデバイス状態監視モジュール115によって監視されるように、ワイヤレスデバイス110の状態を休止状態から接続状態に変える、パケット受信構成要素112によって受信されるパケットに少なくとも部分的に基づいて、悪意あるソース170から受信されるパケットを識別し得る。
方法200はその上、悪意あるソースから受信されたと識別されるパケットの数が、監視期間内の閾値数に達するとき、ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のIPアドレスを解放することによってワイヤレスデバイス110をPDNから選択的に切断することを含む。一態様では、PDNは、図4のインターネットPDN430であり得る。さらにこの態様について、悪意あるソース識別構成要素113は、ワイヤレスデバイス110によって受信される悪意あるパケットの数をカウントするために悪意あるパケットカウンタ117(図1)を実行し得る。さらにこの態様について、悪意あるソース識別構成要素113が、ワイヤレスデバイス110は悪意あるパケットを受信したこと、および受信した悪意あるパケットを監視するための期間を確立するために、監視期間モジュール116(図1)が実行されたことを識別したとき、悪意あるパケットのカウントを開始するために、悪意あるパケットカウンタ117が実行され得る。
別の態様では、ワイヤレスデバイス110の接続管理構成要素119(図1)が、インターネットPDN接続モジュール121(図1)を実行して、悪意あるパケットカウンタ117によって維持される、受信された悪意あるパケットのカウントが、監視期間モジュール116によって確立された監視期間が終了する前に、閾値悪意あるパケット数モジュール118(図1)によって確立された閾値悪意あるパケット数に達したかどうかを決定し得る。さらにこの態様について、インターネットPDN接続モジュール121が、悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達すると判断した場合、インターネットPDN接続モジュール121が、ワイヤレスデバイス110をPDNに接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって、ワイヤレスデバイス110をPDNから選択的に切断する。例として、第1のIPアドレスは、パブリックIPアドレスであり得る。別の例として、閾値悪意あるパケット数は、設定され得る。さらなる例として、監視期間は、設定可能であり得る。
選択的に、方法200は、230において、PDNがワイヤレスデバイス110から切断された後、ワイヤレスデバイス110と、図4のIMS PDN430などのIMS PDNとの間の接続を維持するステップを含み得る。選択的態様では、IMS PDN接続モジュール120(図1)は、インターネットPDN接続モジュール121がワイヤレスデバイス110とインターネットPDNとの間の接続を切断した後、ワイヤレスデバイス110とIMS PDNとの間の接続を維持するために、接続管理構成要素119によって実行され得る。さらに選択的態様について、第3のIPアドレスが、ワイヤレスデバイス110をIMS PDNに接続するために使用され得る。
240において、方法200は、第1のIPアドレスとは異なる第2のIPアドレスを使用して、ワイヤレスデバイス110をPDNに再接続するステップを含み得る。
選択的に、方法200は、250において、悪意あるソース170の1つまたは複数の特性の情報を含んだレポートを生成するステップを含み得、レポートは、サーバに提供される。選択的態様では、悪意あるソース170の1つまたは複数の特性の情報は、ワイヤレスデバイスをPDNに接続するために使用される第1のIPアドレスの情報を含み得る。別の選択的態様では、悪意あるソース170の1つまたは複数の特性の情報は、悪意あるソース170によって使用されるポート番号の情報を含み得る。さらに、選択的態様では、悪意あるソース170の1つまたは複数の特性の情報は、悪意あるソース170によって使用されるプロトコルタイプの情報を含み得る。
図3は、悪意ある攻撃に対処するための方法およびシステムによる、ワイヤレス通信システム300の一例を概念的に示すブロック図である。ワイヤレス通信システム300は、図1のネットワークエンティティ140などの基地局(または、セル)305と、図1のワイヤレスデバイス110などのユーザ機器(UE)315と、図1のコアネットワーク130などのコアネットワーク330とを含む。基地局305は、様々な実施形態ではコアネットワーク330または基地局305の一部であり得る、基地局コントローラ(図示せず)の制御下でUE315と通信し得る。基地局305は、第1のバックホールリンク332を通してコアネットワーク330と制御情報および/またはユーザデータを通信し得る。諸実施形態では、基地局305は、有線またはワイヤレスの通信リンクであることがある第2のバックホールリンク334を通じて互いと直接的または間接的に通信し得る。ワイヤレス通信システム300は、複数のキャリア(異なる周波数の波形信号)での動作をサポートし得る。マルチキャリア送信機は、変調信号を複数のキャリアで同時に送信することができる。たとえば、各通信リンク325が、上述の様々な無線技術により変調されたマルチキャリア信号であってよい。各変調信号は、異なるキャリアで送られ得、制御情報(たとえば、基準信号、制御チャネルなど)、オーバヘッド情報、データなどを搬送し得る。
基地局305は、1つまたは複数の基地局アンテナを介して、UE315とワイヤレス通信することができる。基地局の305サイトのそれぞれは、それぞれの地理的カバレッジエリア310に通信カバレッジを提供し得る。いくつかの実施形態では、基地局305は、ベーストランシーバステーション、無線基地局、アクセスポイント、無線トランシーバ、基本サービスセット(BSS)、拡張サービスセット(ESS)、NodeB、eNodeB、ホームNodeB、ホームeNodeB、またはその他の適切な用語で呼ばれることがある。基地局305の地理的カバレッジエリア310は、カバレッジエリアの単に一部を構成するセクタ(図示せず)に分割され得る。ワイヤレス通信システム300は、異なるタイプの基地局305(たとえば、マクロ基地局、ミクロ基地局、および/またはピコ基地局)を含み得る。異なる技術に対して重複カバレッジエリアが存在することがある。
諸実施形態では、ワイヤレス通信システム300は、LTE/LTE-Aネットワーク通信システムである。LTE/LTE-Aネットワーク通信システムでは、発展型ノードB(eNodeB)という用語は、一般的に、基地局305を説明するために使用され得る。ワイヤレス通信システム300は、異なるタイプのeNodeBが様々な地理的領域にカバレッジを提供する、異種LTE/LTE-Aネットワークであり得る。たとえば、各eNodeB305は、マクロセル、ピコセル、フェムトセル、および/または他のタイプのセルに通信カバレッジを提供し得る。マクロセルは、一般的に、比較的大きい地理的エリア(たとえば、半径数キロメートル)をカバーし、ネットワークプロバイダとのサービス契約を有するUE315による無制限のアクセスを許容し得る。ピコセルは、一般的に、比較的より小さい地理的エリア(たとえば、建物)をカバーし、ネットワークプロバイダとのサービス契約を有するUE315による無制限のアクセスを許容し得る。またフェムトセルは、一般的に、比較的小さい地理的エリア(たとえば、自宅)をカバーし、無制限のアクセスに加えて、フェムトセルとの関連を有するUE315(たとえば、限定加入者グループ(CSG)内のUE315、自宅内のユーザ用のUE315など)による制限されたアクセスも提供し得る。マクロセル用のeNodeB305は、マクロeNodeBと呼ばれることがある。ピコセル用のeNodeB305は、ピコeNodeBと呼ばれることがある。またフェムトセル用のeNodeB305は、フェムトeNodeBまたはホームeNodeBと呼ばれることがある。eNodeB305は、1つまたは複数(たとえば、2個、3個、4個など)のセルをサポートし得る。
コアネットワーク330は、第1のバックホールリンク332(たとえば、S1インターフェースなど)を介してeNodeB305または他の基地局305と通信し得る。またeNodeB305は、たとえば第2のバックホールリンク334(たとえば、X2インターフェースなど)を介しておよび/または第1のバックホールリンク332を介して(たとえば、コアネットワーク330を通じて)、直接的にまたは間接的に、互いと通信し得るワイヤレス通信システム300は同期動作または非同期動作をサポートすることができる。同期動作の場合、eNodeB305は同様のフレームタイミングを有し得、異なるeNodeB305からの送信は、時間的に概ね整合され得る。非同期動作の場合、eNodeB305は異なるフレームタイミングを有し得、異なるeNodeB305からの送信は、時間的に整合されないことがある。本明細書で説明する技法は、同期動作か、非同期動作のいずれかに使用され得る。
UE315は、ワイヤレス通信システム300全体にわたって分散され得、各UE315は固定または移動であり得る。UE315はまた、当業者によって、移動局、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、またはその他の適切な用語で呼ばれることがある。UE315は、携帯電話、携帯情報端末(PDA)、ワイヤレスモデム、ワイヤレス通信デバイス、ハンドヘルドデバイス、タブレットコンピュータ、ラップトップコンピュータ、コードレスフォン、ワイヤレスローカルループ(WLL)局などであり得る。UE315は、マクロeNodeB、ピコeNodeB、フェムトeNodeB、リレーなどと通信することが可能であり得る。
ワイヤレス通信システム300に示される通信リンク325は、UE315(たとえば、図1のワイヤレスデバイス110)からeNodeB305(たとえば、図1のネットワークエンティティ140)への上りリンク(UL)伝送、および/またはeNodeB305からUE315への下りリンク(DL)伝送を含み得る。下りリンク伝送は、フォワードリンク伝送と呼ばれることもあり、上りリンク伝送は、リバースリンク伝送と呼ばれることもある。
いくつかの例では、UE315が、複数のeNodeB305と同時に通信することが可能であり得る。複数のeNodeB305がUE315をサポートするとき、eNodeB305の1つが、そのUE315のためのアンカーeNodeB305として指定され得、1つまたは複数の他のeNodeB305が、そのUE315のためのアシストeNodeB305として指定され得る。たとえば、アシストeNodeB305が、パケットデータネットワーク(PDN)に通信可能に結合されたローカルゲートウェイと関連付けられ、コアネットワーク330を通じてトラフィックを送信するのではなく、アシストeNodeB305のローカルゲートウェイを通じてUE315とそのPDNとの間のネットワークトラフィックの一部をオフロードすることによって、コアネットワークリソースが保護され得る。たとえば、選択IPトラフィックオフロード(SIPTO:Selected IP Traffic Offload)PDN接続が、UE315のためにアシストeNodeB305においてセットアップされ得る。
現在のワイヤレス通信システムは、SIPTOサポートをアンカーeNodeB305に限定する可能性があり、アシストeNodeB305においてUE315に対してSIPTOを可能にする方法を提供していない。しかしながら次の図の説明で示すように、本開示は、少なくとも悪意ある接続に対処することに関して、アシストeNodeB305においてSIPTO PDN接続をセットアップし、解体するための方法および装置を提供する。
図4は、本明細書に記載する悪意ある攻撃に対処するための様々なシステムおよび方法と併せて使用することができる例示的なワイヤレスネットワーク環境の説明図である。一態様では、図示したワイヤレス通信システム400は、図1のワイヤレスデバイス110などのマルチモードUE450と、図1のネットワークエンティティ140などのeNodeB460と、図1のコアネットワーク130などの発展型パケットコア(EPC)470と、インターネットPDN430およびIMS PDN440などの1つまたは複数のPDNと、図1の悪意あるソース170などのピアエンティティとを含み得る。EPC470は、サービングゲートウェイ(SGW)410と、PDNゲートウェイ(PGW)420とを含み得る。UE450は、悪意ある攻撃対処構成要素111を含み得る。これらの要素は、前の図に関して上述したそれらの同等物の1つまたは複数の態様を表し得る。
さらなる態様ではeNodeB460は、1つもしくは複数のLTEコンポーネントキャリアまたは1つもしくは複数のWLANコンポーネントキャリアのアグリゲーションを使用して、UE450にインターネットPDN430およびIMS PDN440へのアクセスを提供することが可能であり得る。このアクセスインターネットPDN430を使用して、UE450は、悪意あるソース170と通信し得る。eNodeB460は、発展型パケットコア470を通じてインターネットPDN430へのアクセスを提供し得る。
LTEを通じて送信されるすべてのユーザIPパケットが、eNodeB460を通じてSGW410に転送され得、SGW410は、S5シグナリングインターフェースを通じてPDNゲートウェイ420に接続され得る。SGW410は、ユーザプレーンに存在し、eNodeB間ハンドオーバおよび異なるアクセス技術間のハンドオーバのためのモビリティアンカーとして機能し得る。PDNゲートウェイ420は、UEのIPアドレス割振りならびに他の機能を提供し得る。
PDNゲートウェイ420は、SGiシグナリングインターフェースを通じて、インターネットPDN430またはIMS PDN440など、1つまたは複数の外部パケットデータネットワークへの接続性を提供し得る。この例では、UE450とEPC470との間のユーザプレーンデータは、1つまたは複数のEPSベアラの同じセットをトラバースし得る。
図5は、本明細書に開示する原理に基づいて悪意ある攻撃に対処するための別の例示的な方法500を示す。方法500は、図1のワイヤレスデバイス110の悪意ある攻撃対処構成要素111によって実装され得る。説明を簡単にするために、方法を一連の動作として示して説明しているが、いくつかの動作は、1つまたは複数の実施形態により、本明細書に示して説明したものとは異なる順序で発生する、および/または他の動作と同時に発生する場合があるので、方法は、動作の順序に限定されないことを理解され、認識されたい。たとえば、方法は代替的には、状態図におけるものなどの、一連の相互に関係する状態またはイベントとして表され得ることを認識されたい。さらに、1つまたは複数の実施形態に従って方法を実施するために、示されるすべての動作が必要とされ得るとは限らない。その上、図2中の方法200の様々な態様は、方法500の様々な態様と組み合わせられ得る。
図5を見ると、510において方法500は、悪意あるソースから受信されるパケットを識別するステップを含む。たとえば、1つの態様では、ワイヤレスデバイス110の悪意ある攻撃対処構成要素111が、パケット受信構成要素112によって、図1の悪意あるソース170などの悪意あるソースから受信されるパケットを識別するために、悪意あるソース識別構成要素113を実行し得る。この態様では、悪意あるソース識別構成要素113が、ワイヤレスデバイス状態監視モジュール115によって監視されるように、ワイヤレスデバイス110の状態を休止状態から接続状態に変える、パケット受信構成要素112によって受信されるパケットに少なくとも部分的に基づいて、悪意あるソース170から受信されるパケットを識別し得る。
方法500は、悪意あるソースから受信されたと識別されるパケットの数が、監視期間520内に閾値数に達するかどうかを決定するステップをさらに含む。一態様では、悪意あるソース識別構成要素113は、ワイヤレスデバイス110によって受信される悪意あるパケットの数をカウントするために悪意あるパケットカウンタ117(図1)を実行し得る。さらにこの態様について、悪意あるソース識別構成要素113が、ワイヤレスデバイス110は悪意あるパケットを受信したこと、および受信した悪意あるパケットを監視するための期間を確立するために、監視期間モジュール116(図1)が実行されたことを識別したとき、悪意あるパケットのカウントを開始するために、悪意あるパケットカウンタ117が実行され得る。
別の態様では、ワイヤレスデバイス110の接続管理構成要素119(図1)が、インターネットPDN接続モジュール121(図1)を実行して、悪意あるパケットカウンタ117によって維持される、受信された悪意あるパケットのカウントが、監視期間モジュール116によって確立された監視期間が終了する前に、閾値悪意あるパケット数モジュール118(図1)によって確立された閾値悪意あるパケット数に達したかどうかを決定し得る。
さらに、方法500は、530において、通信のためにワイヤレスデバイス110とPDNとの間の接続の第1のIPアドレスを使用しているワイヤレスデバイス110上のアプリケーションの数を決定するステップを含む。アプリケーションは、エンドユーザがワイヤレスデバイスにおいて特定のタスクを実行することを可能にするいくつかの機能を行うおよび/またはいくつかの特徴を有するように構成されたプログラムまたはプログラム群を指すことができる。一態様では、接続管理構成要素119(図1)は、通信のためにワイヤレスデバイス110とPDNとの間の接続の第1のIPアドレスを使用している、ワイヤレスデバイス110上のアプリケーションの数を決定するために、アプリケーション管理モジュール122を実行し得る。
540において、方法500は、ワイヤレスデバイス100上の単一のアプリケーションのみが通信のために第1のIPアドレスを使用するという決定が行われるとき、ワイヤレスデバイス110をPDNから切断するステップを含む。一態様では、アプリケーション管理モジュール122が、ワイヤレスデバイス110上の単一のアプリケーションのみが通信のために第1のIPアドレスを使用していると決定するとき、インターネットPDN接続モジュール121は、ワイヤレスデバイス110をPDNから切断するように実行され得る。
あるいは、550において、方法500は、ワイヤレスデバイス110上の2つ以上のアプリケーションが通信のために第1のIPアドレスを使用するという決定が行われるとき、ワイヤレスデバイス110とPDNとの間の接続を維持するステップを含み得る。一態様では、アプリケーション管理モジュール122が、ワイヤレスデバイス110上の2つ以上のアプリケーションが通信のために第1のIPアドレスを使用していると決定するとき、インターネットPDN接続モジュール121は、ワイヤレスデバイス110とPDNとの間の接続を維持するように実行され得る。
図6は、本明細書に開示する原理に基づいて悪意ある攻撃に対処するためのシステム600を示す。たとえば、システム600は、図1のワイヤレスデバイス110に実装され得る。さらにこの例について、悪意ある攻撃対処構成要素111の構成要素の1つまたは複数が、システム600を実装するために使用され得る。システム600は、機能ブロックを含むものとして表され、機能ブロックは、プロセッサ、ソフトウェア、またはその組合せ(たとえば、ファームウェア)によって実装される機能を表す機能ブロックであり得ることを理解されたい。システム600は、連携して動作することができる電気的構成要素の論理グループ610を含む。たとえば、論理グループ610は、ワイヤレスデバイス110において悪意あるソースから受信されるパケットを識別するための電気構成要素611を含むことができる。さらに、論理グループ610は、ワイヤレスデバイス110を、図4のインターネットPDN430などのパケットデータネットワークから選択的に切断するための電気構成要素612を含むことができる。さらに、論理グループ600は、ワイヤレスデバイス110をインターネットPDN430に再接続するための電気構成要素613を含むことができる。
その上、システム600は、電気構成要素611〜613と関連する機能を実行するための命令を保管するメモリ620を含むことができる。メモリ620の外にあるように示しているが、電気構成要素611〜613の1つまたは複数は、メモリ620内にあり得ることを理解されたい。1つの例では、電気構成要素611〜613は、少なくとも1つのプロセッサを含むことができ、各電気構成要素611〜613は、少なくとも1つのプロセッサの対応するモジュールであり得る。さらに、追加的または代替的な例では、電気構成要素611〜613は、コンピュータ可読媒体を含むコンピュータプログラム製品であり得、各電気構成要素611〜613は対応するコードであり得る。
図7は、悪意ある攻撃に対処するための機構が実装され得る例示的なワイヤレス通信システム700を示す。ワイヤレス通信システム700は、図1のネットワークエンティティ140であり得る1つの基地局710と、悪意ある攻撃対処構成要素111を含み得る、図1のワイヤレスデバイス110などの、簡潔にするために1つのモバイルデバイス750とを示す。しかしながら、システム700は、2つ以上の基地局および/または2つ以上のモバイルデバイスを含むことができ、さらなる基地局および/またはモバイルデバイスは、以下に記載する例示的な基地局710およびモバイルデバイス750と実質的に同様である、または異なる可能性があることを理解されたい。その上、基地局710および/またはモバイルデバイス750は、その間のワイヤレス通信を容易にするために本明細書に記載するシステム(図1、図3、および図4)および/または方法(図2および図5)を使用することができることを理解されたい。たとえば、本明細書に記載するシステムおよび/または方法の構成要素または機能は、以下に記載するメモリ732および/もしくは772またはプロセッサ730および/もしくは770の一部であることが可能である、ならびに/あるいは開示する機能を行うためにプロセッサ730および/または770によって実行されることが可能である。他の態様では、悪意ある攻撃対処構成要素111の特徴および/または機能は、モバイルデバイス750の他の構成要素の1つまたは複数を使用して実施され得る。
基地局710において、いくつかのデータストリーム用のトラフィックデータが、データソース712から送信(TX)データプロセッサ714に提供される。一例によれば、各データストリームは、それぞれのアンテナを介して送信することができる。TXデータプロセッサ714は、そのデータストリームに選択された特定のコーディング方式に基づいてトラフィックデータストリームを、フォーマット、コーディング、およびインタリーブして、コーディングされたデータを提供する。
各データストリーム用のコーディングされたデータは、直交周波数分割多重(OFDM)技法を使用してパイロットデータと多重化され得る。追加または代替として、パイロットシンボルは、周波数分割多重化(FDM)、時分割多重化(TDM)、または符号分割多重化(CDM)することができる。パイロットデータは、通常、既知の方法で処理され、かつモバイルデバイス750で使用されて、チャネル応答を推定することができる既知のデータパターンである。各データストリーム用の多重化されたパイロットおよびコーディングされたデータは、変調シンボルを提供するためにそのデータストリームのために選択された特定の変調方式(たとえば二位相偏移変調(BPSK)、四位相偏移変調(QPSK)、M-位相偏移変調(M-PSK)、M-直交振幅変調(M-QAM)など)に基づいて変調され(たとえば、シンボルマップされ)得る。データストリームごとのデータレート、符号化、および変調は、プロセッサ730によって実行されるか、または与えられる命令によって決定することができる。
データストリーム用の変調シンボルは、TX MIMOプロセッサ720に提供されることが可能であり、TX MIMOプロセッサ720は変調シンボルを(たとえば、OFDM用に)さらに処理することができる。TX MIMOプロセッサ720は次いで、NT個の変調シンボルストリームをNT個の送信機(TMTR)722aから722tに提供する。様々な実施形態では、TX MIMOプロセッサ720は、データストリームのシンボルおよびそこからシンボルが送信されているアンテナに、ビームフォーミング重みを適用する。
各送信機722は、それぞれのシンボルストリームを受信し、処理して1つまたは複数のアナログ信号を提供し、さらにこのアナログ信号を調整(たとえば、増幅、フィルタリング、およびアップコンバート)し、MIMOチャネルで送信するのに適した変調信号を提供する。さらに、送信機722a〜722tからのNT個の変調信号が、それぞれNT個のアンテナ724a〜724tから送信される。
モバイルデバイス750において、送信された変調信号は、NR個のアンテナ752a〜752rによって受信され、各アンテナ752からの受信信号は、それぞれの受信機(RCVR)754a〜754rに提供される。各受信機754は、それぞれの信号を調整(たとえば、フィルタリング、増幅、およびダウンコンバート)し、調整した信号をデジタル化してサンプルを提供し、さらにこのサンプルを処理して対応する「受信」シンボルストリームを提供する。
RXデータプロセッサ760は、NR個の受信機754からNR個の受信シンボルストリームを受信し、特定の受信機処理技法に基づいて処理して、NT個の「検出」シンボルストリームを供給することができる。RXデータプロセッサ760は、各検出シンボルストリームを復調、デインタリーブ、および復号して、データストリーム用のトラフィックデータを回復することができる。RXデータプロセッサ760による処理は、基地局710においてTX MIMOプロセッサ720およびTXデータプロセッサ714によって実行された処理と相補関係にある。
リバースリンクメッセージは、通信リンクおよび/または受信データストリームに関する様々なタイプの情報を含むことができる。リバースリンクのメッセージは、データソース736からのいくつかのデータストリームのトラフィックデータも受信するTXデータプロセッサ738によって処理され、変調器780によって変調され、送信機754aから754rによって調整され、基地局710に返送され得る。
基地局710では、モバイルデバイス750からの変調信号がアンテナ724によって受信され、受信機722によって調整され、復調器740によって復調され、RXデータプロセッサ742によって処理されて、モバイルデバイス750によって送信されたリバースリンクのメッセージを抽出する。さらに、プロセッサ730は、抽出されたメッセージを処理して、ビームフォーミング重みを決定するためにどのプリコーディング行列を使用するかを判断することができる。
プロセッサ730および770は、それぞれ基地局710およびモバイルデバイス750での動作を指示(たとえば、制御、調整、管理など)することができる。それぞれのプロセッサ730および770は、プログラムコードおよびデータを記憶するメモリ732および772に関連付けることができる。プロセッサ730および770は、1つまたは複数の低電力ノード用のページングエリア識別子を選択することをサポートするための本明細書において説明される機能を実行することもできる。
図8は、処理システム814を用いる装置800のためのハードウェア実装形態の一例を示すブロック図である。この例では、処理システム814は、バス802によって概略的に表されるバスアーキテクチャを用いて実装され得る。バス802は、処理システム814の特定の適用例および全体的な設計制約に応じて、任意の数の相互接続バスおよびブリッジを含み得る。バス802は、(プロセッサ804によって概略的に表される)1つまたは複数のプロセッサと、(コンピュータ可読媒体806によって概略的に表される)コンピュータ可読媒体と、(悪意ある攻撃対処構成要素111によって概略的に表される)1つまたは複数の悪意ある攻撃対処構成要素とを含む様々な回路を結び付ける。悪意ある攻撃対処構成要素111の機能および特徴は、悪意ある攻撃対処構成要素111に実装されることに限定されず、プロセッサ804、コンピュータ可読媒体806、または両方に実装され得る。
バス802はまた、タイミングソース、周辺機器、電圧調整器、および電力管理回路など、様々な他の回路をつなぐこともできるが、これらは当技術分野においてよく知られており、したがって、これ以上説明しない。バスインターフェース808が、バス802と、トランシーバ810との間のインターフェースを提供する。トランシーバ810は、伝送媒体を通じて様々な他の装置と通信するための手段を提供する。装置の性質に応じて、ユーザインターフェース812(たとえば、キーパッド、ディスプレイ、スピーカー、マイクロフォン、ジョイスティックなど)も設けられ得る。
プロセッサ804は、バス802を管理すること、およびコンピュータ可読媒体806上に記憶されたソフトウェアの実行を含む全般的な処理を担う。ソフトウェアは、プロセッサ804によって実行されるとき、処理システム814に、任意の特定の装置について本明細書で説明した様々な機能を実行させる。たとえば、処理システム814は、1つまたは複数のチャネルメトリクスを決定するステップと、1つまたは複数のチャネルメトリクスに少なくとも部分的に基づいて到達可能性状態の変化を識別するステップと、処理システム814上で実行されているアプリケーションからサーバへの接続性信号の送信を調整するステップであって、調整は、モデムと通信しているインターフェースを介してアプリケーションに提供された到達可能性状態の変化の指示に少なくとも部分的に基づき得る、ステップとに関連する様々な機能を実行することができる。モデムは図示されていないが、モデムは処理システム814と通信中であり得る。さらに、モデムが、図8のトランシーバ810の一部として実装され得る。コンピュータ可読媒体806は、ソフトウェアを実行するときにプロセッサ804によって操作されるデータを記憶するためにも使用され得る。
LTE/LTE-Aシステムを参照して、電気通信システムのいくつかの態様を示してきた。当業者が容易に理解するように、本開示全体にわたって説明する様々な態様は、他の電気通信システム、ネットワークアーキテクチャおよび通信規格に拡張され得る。
本開示の様々な態様によれば、要素、または要素の任意の部分、または要素の任意の組合せが、1つまたは複数のプロセッサを含む「処理システム」を用いて実装され得る。プロセッサの例としては、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP)、フィールドプログラマブルゲートアレイ(FPGA)、プログラマブル論理デバイス(PLD)、状態機械、ゲート論理、個別ハードウェア回路、および本開示全体にわたって説明する様々な機能を実施するように構成された他の適切なハードウェアがある。処理システム内の1つまたは複数のプロセッサは、ソフトウェアを実行し得る。ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか呼ばれないかにかかわらず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、プロシージャ、関数などを意味するように広く解釈されたい。ソフトウェアはコンピュータ可読媒体に常駐し得る。コンピュータ可読媒体は、非一時的コンピュータ可読媒体であり得る。非一時的コンピュータ可読媒体は、例として、磁気記憶デバイス(たとえば、ハードディスク、フロッピー(登録商標)ディスク、磁気ストリップ)、光ディスク(たとえば、コンパクトディスク(CD)、デジタル多用途ディスク(DVD))、スマートカード、フラッシュメモリデバイス(たとえば、カード、スティック、キードライブ)、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、レジスタ、リムーバブルディスク、ならびにコンピュータによってアクセスされ、読み取られ得るソフトウェアおよび/または命令を記憶するための任意の他の適切な媒体を含み得る。コンピュータ可読媒体は、例として、搬送波、伝送回線、ならびにコンピュータによってアクセスされ、読み取られ得るソフトウェアおよび/または命令を送信するための任意の他の適切な媒体も含み得る。コンピュータ可読媒体は、処理システム中に存在するか、処理システムの外部に存在するか、または処理システムを含む複数のエンティティにわたって分散され得る。コンピュータ可読媒体は、コンピュータプログラム製品で具現化され得る。例として、コンピュータプログラム製品は、パッケージング材料内のコンピュータ可読媒体を含み得る。当業者には、具体的な用途およびシステム全体に課される全体的な設計制約に応じて、本開示全体にわたって示される説明する機能を最善の形で実装する方法が認識されよう。
開示した方法におけるステップの具体的な順序または階層は例示的なプロセスを示していることを理解されたい。設計の選好に基づいて、方法におけるステップの具体的な順序または階層は再構成可能であることを理解されたい。添付の方法クレームは、種々のステップの要素を例示的な順序で提示したものであり、クレーム内で具体的に記載されない限り、提示された具体的な順序または階層に限定されることを意図するものではない。
上記の説明は、本明細書で説明する様々な態様を当業者が実施できるようにするために与えられる。これらの態様への様々な変更は当業者には容易に明らかであり、本明細書で定義した一般的原理は他の態様に適用され得る。したがって、特許請求の範囲は本明細書において示される態様に限定されることを意図するものではなく、特許請求の範囲の文言と一致するすべての範囲を許容すべきであり、単数の要素への言及は、「唯一の」と明記されない限り、「唯一の」ではなく、「1つまたは複数の」を意味することを意図している。別段に明記されていない限り、「いくつかの」という用語は「1つまたは複数の」を指す。項目の列挙「のうちの少なくとも1つ」という語句は、単一の要素を含め、それらの項目の任意の組合せを指す。一例として、「a、b、またはcのうちの少なくとも1つ」は、a、b、c、aおよびb、aおよびc、bおよびc、ならびにa、bおよびcを含むことが意図される。当業者に知られているまたは後で当業者に知られることになる、本開示全体にわたって説明する様々な態様の要素の構造的および機能的なすべての均等物は、参照により本明細書に明確に組み込まれ、特許請求の範囲によって包含されることが意図される。さらに、本明細書に開示する内容は、そのような開示が特許請求の範囲に明記されているかどうかにかかわらず、公に供するよう意図されていない。請求項の要素は、「のための手段」という語句を使用して要素が明記されていない限り、または、方法クレームの場合は「のためのステップ」という語句を使用して要素が記載されていない限り、米国特許法第112条第6項の規定に基づいて解釈されてはならない。
100 ワイヤレス通信システム
110 ワイヤレスデバイス
111 悪意ある攻撃対処構成要素
112 パケット受信構成要素
113 悪意あるソース識別構成要素
114 パケットタイプ識別モジュール
115 ワイヤレスデバイス状態監視モジュール
116 監視期間モジュール
117 悪意あるパケットカウンタ
118 悪意あるパケット閾値数モジュール
119 接続管理構成要素
120 IMS PDN接続モジュール
121 インターネットPDN接続モジュール
122 アプリケーション管理モジュール
123 レポート生成構成要素
124 悪意あるソース特性モジュール
130 コアネットワーク
140 ネットワークエンティティ
150 信号
160 パケット
170 悪意あるソース
300 ワイヤレス通信システム
305 基地局、eNodeB
310 カバレッジエリア
315 ユーザ機器(UE)
325 通信リンク
330 コアネットワーク
332 バックホールリンク
400 ワイヤレス通信システム
410 サービングゲートウェイ(SGW)
420 PDNゲートウェイ(PGW)
430 インターネットPDN
440 IMS PDN
450 ユーザ機器(UE)
460 eNodeB
470 発展型パケットコア(EPC)
600 悪意ある攻撃に対処するためのシステム
610 論理グループ
611 電気構成要素
612 電気構成要素
613 電気構成要素
700 ワイヤレス通信システム
710 基地局
712 データソース
714 送信(TX)データプロセッサ
720 送信(TX)MIMOプロセッサ
722 送信機
724 アンテナ
730 プロセッサ
732 メモリ
736 データソース
738 送信(TX)データプロセッサ
740 復調器
742 受信(RX)データプロセッサ
750 モバイルデバイス
752 アンテナ
754 受信機
760 受信(RX)データプロセッサ
770 プロセッサ
772 メモリ
780 変調器
800 装置
802 バス
804 プロセッサ
806 コンピュータ可読媒体
808 バスインターフェース
810 トランシーバ
812 ユーザインターフェース
814 処理システム
110 ワイヤレスデバイス
111 悪意ある攻撃対処構成要素
112 パケット受信構成要素
113 悪意あるソース識別構成要素
114 パケットタイプ識別モジュール
115 ワイヤレスデバイス状態監視モジュール
116 監視期間モジュール
117 悪意あるパケットカウンタ
118 悪意あるパケット閾値数モジュール
119 接続管理構成要素
120 IMS PDN接続モジュール
121 インターネットPDN接続モジュール
122 アプリケーション管理モジュール
123 レポート生成構成要素
124 悪意あるソース特性モジュール
130 コアネットワーク
140 ネットワークエンティティ
150 信号
160 パケット
170 悪意あるソース
300 ワイヤレス通信システム
305 基地局、eNodeB
310 カバレッジエリア
315 ユーザ機器(UE)
325 通信リンク
330 コアネットワーク
332 バックホールリンク
400 ワイヤレス通信システム
410 サービングゲートウェイ(SGW)
420 PDNゲートウェイ(PGW)
430 インターネットPDN
440 IMS PDN
450 ユーザ機器(UE)
460 eNodeB
470 発展型パケットコア(EPC)
600 悪意ある攻撃に対処するためのシステム
610 論理グループ
611 電気構成要素
612 電気構成要素
613 電気構成要素
700 ワイヤレス通信システム
710 基地局
712 データソース
714 送信(TX)データプロセッサ
720 送信(TX)MIMOプロセッサ
722 送信機
724 アンテナ
730 プロセッサ
732 メモリ
736 データソース
738 送信(TX)データプロセッサ
740 復調器
742 受信(RX)データプロセッサ
750 モバイルデバイス
752 アンテナ
754 受信機
760 受信(RX)データプロセッサ
770 プロセッサ
772 メモリ
780 変調器
800 装置
802 バス
804 プロセッサ
806 コンピュータ可読媒体
808 バスインターフェース
810 トランシーバ
812 ユーザインターフェース
814 処理システム
Claims (30)
- 悪意ある攻撃に対処するための方法であって、
ワイヤレスデバイスにおいて、前記ワイヤレスデバイスによって受信される、前記ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されるパケットを識別するステップと、
前記悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達するとき、前記ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって前記ワイヤレスデバイスを前記PDNから選択的に切断するステップと、
前記第1のIPアドレスとは異なる第2のIPアドレスを使用して、前記ワイヤレスデバイスを前記PDNに再接続するステップと
を含む、方法。 - 前記第1のIPアドレスが、パブリックIPアドレスを含む、請求項1に記載の方法。
- 前記PDNが前記ワイヤレスデバイスから切断された後に、前記ワイヤレスデバイスとIPマルチメディアサブシステム(IMS)PDNとの間の接続を維持するステップをさらに含む、請求項1に記載の方法。
- 前記ワイヤレスデバイスを前記IMS PDNに接続するために、第3のIPアドレスが使用される、請求項3に記載の方法。
- 前記ワイヤレスデバイスを前記PDNから選択的に切断するステップが、
通信のために前記第1のIPアドレスを使用する、前記ワイヤレスデバイス上のアプリケーションの数を決定するステップと、
前記ワイヤレスデバイス上の単一のアプリケーションのみが通信のために前記第1のIPアドレスを使用するという決定が行われるとき、前記ワイヤレスデバイスを前記PDNから切断するステップと
を含む、請求項1に記載の方法。 - 前記ワイヤレスデバイス上の2つ以上のアプリケーションが通信のために前記第1のIPアドレスを使用するという決定が行われるとき、前記ワイヤレスデバイスと前記PDNとの間の接続を維持するステップをさらに含む、請求項5に記載の方法。
- 前記悪意あるソースから受信されたと識別される前記パケットの少なくとも1つが、伝送制御プロトコル同期(TCP SYN)パケット、ユーザデータグラムプロトコル(UDP)パケット、またはインターネット制御メッセージプロトコル(ICMP)パケットのうちの1つを含む、請求項1に記載の方法。
- 前記監視期間が終了するとき、前記悪意あるソースから受信されたと識別されるパケットの前記数に対応するカウンタをゼロに設定するステップをさらに含む、請求項1に記載の方法。
- 前記監視期間の継続時間が設定可能である、請求項1に記載の方法。
- 前記閾値数が設定可能である、請求項1に記載の方法。
- 前記悪意あるソースの1つまたは複数の特性の情報を含んだレポートを生成するステップをさらに含み、前記レポートが、サーバに提供される、請求項1に記載の方法。
- 前記悪意あるソースの1つまたは複数の特性の前記情報が、前記ワイヤレスデバイスを前記PDNに接続するために使用される前記第1のIPアドレスの情報を含む、請求項11に記載の方法。
- 前記悪意あるソースの1つまたは複数の特性の前記情報が、前記悪意あるソースによって使用されるポート番号の情報を含む、請求項11に記載の方法。
- 前記悪意あるソースの1つまたは複数の特性の前記情報が、前記悪意あるソースによって使用されるプロトコルタイプの情報を含む、請求項11に記載の方法。
- 悪意ある攻撃に対処するための非一時的コンピュータ可読記録媒体であって、
ワイヤレスデバイスに、前記ワイヤレスデバイスによって受信される、前記ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されるパケットを識別させるためのコードと、
前記悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達するとき、前記ワイヤレスデバイスに、前記ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって前記ワイヤレスデバイスを前記PDNから選択的に切断させるためのコードと、
前記ワイヤレスデバイスに、前記第1のIPアドレスとは異なる第2のIPアドレスを使用して前記PDNに再接続させるためのコードと
を含む、非一時的コンピュータ可読記録媒体。 - 悪意ある攻撃に対処するための装置であって、
ワイヤレスデバイスにおいて、前記ワイヤレスデバイスによって受信される、前記ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されるパケットを識別するための手段と、
前記悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達するとき、前記ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって前記ワイヤレスデバイスを前記PDNから選択的に切断するための手段と、
前記第1のIPアドレスとは異なる第2のIPアドレスを使用して、前記ワイヤレスデバイスを前記PDNに再接続するための手段と
を含む、装置。 - 悪意ある攻撃に対処するためのワイヤレスデバイスであって、
前記ワイヤレスデバイスによって受信される、前記ワイヤレスデバイスの状態を休止状態から接続状態に変えるパケットに少なくとも部分的に基づいて、悪意あるソースから受信されるパケットを識別し、
前記悪意あるソースから受信されたと識別されるパケットの数が、監視期間内に閾値数に達するとき、前記ワイヤレスデバイスをパケットデータネットワーク(PDN)に接続するために使用される第1のインターネットプロトコル(IP)アドレスを解放することによって前記ワイヤレスデバイスを前記PDNから選択的に切断し、
前記第1のIPアドレスとは異なる第2のIPアドレスを使用して、前記ワイヤレスデバイスを前記PDNに再接続する
ように構成された、少なくとも1つのプロセッサ
を含む、ワイヤレスデバイス。 - 前記第1のIPアドレスが、パブリックIPアドレスを含む、請求項17に記載のワイヤレスデバイス。
- 前記少なくとも1つのプロセッサが、前記PDNが前記ワイヤレスデバイスから切断された後に、前記ワイヤレスデバイスとIPマルチメディアサブシステム(IMS)PDNとの間の接続を維持するように構成される、請求項17に記載のワイヤレスデバイス。
- 前記ワイヤレスデバイスを前記IMS PDNに接続するために、第3のIPアドレスが使用される、請求項19に記載のワイヤレスデバイス。
- 前記ワイヤレスデバイスを前記PDNから選択的に切断するステップが、
通信のために前記第1のIPアドレスを使用する、前記ワイヤレスデバイス上のアプリケーションの数を決定するステップと、
前記ワイヤレスデバイス上の単一のアプリケーションのみが通信のために前記第1のIPアドレスを使用するという決定が行われるとき、前記ワイヤレスデバイスを前記PDNから切断するステップと
を含む、請求項17に記載のワイヤレスデバイス。 - 前記ワイヤレスデバイス上の2つ以上のアプリケーションが通信のために前記第1のIPアドレスを使用するという決定が行われるとき、前記少なくとも1つのプロセッサが、前記ワイヤレスデバイスと前記PDNとの間の接続を維持するように構成される、請求項21に記載のワイヤレスデバイス。
- 前記悪意あるソースから受信されたと識別される前記パケットの少なくとも1つが、伝送制御プロトコル同期(TCP SYN)パケット、ユーザデータグラムプロトコル(UDP)パケット、またはインターネット制御メッセージプロトコル(ICMP)パケットのうちの1つを含む、請求項17に記載のワイヤレスデバイス。
- 前記監視期間が終了するとき、前記悪意あるソースから受信されたと識別されるパケットの前記数に対応するカウンタをゼロに設定するステップをさらに含む、請求項17に記載のワイヤレスデバイス。
- 前記監視期間の継続時間が設定可能である、請求項17に記載のワイヤレスデバイス。
- 前記閾値数が設定可能である、請求項17に記載のワイヤレスデバイス。
- 前記少なくとも1つのプロセッサが、前記悪意あるソースの1つまたは複数の特性の情報を含んだレポートを生成するように構成され、前記レポートが、サーバに提供される、請求項17に記載のワイヤレスデバイス。
- 前記悪意あるソースの1つまたは複数の特性の前記情報が、前記ワイヤレスデバイスを前記PDNに接続するために使用される前記第1のIPアドレスの情報を含む、請求項27に記載のワイヤレスデバイス。
- 前記悪意あるソースの1つまたは複数の特性の前記情報が、前記悪意あるソースによって使用されるポート番号の情報を含む、請求項27に記載のワイヤレスデバイス。
- 前記悪意あるソースの1つまたは複数の特性の前記情報が、前記悪意あるソースによって使用されるプロトコルタイプの情報を含む、請求項27に記載のワイヤレスデバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/176,784 US9344894B2 (en) | 2014-02-10 | 2014-02-10 | Methods and systems for handling malicious attacks in a wireless communication system |
| US14/176,784 | 2014-02-10 | ||
| PCT/US2015/014445 WO2015120040A1 (en) | 2014-02-10 | 2015-02-04 | Methods and systems for handling malicious attacks in a wireless communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6109434B1 JP6109434B1 (ja) | 2017-04-05 |
| JP2017516326A true JP2017516326A (ja) | 2017-06-15 |
Family
ID=52484592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016549754A Expired - Fee Related JP6109434B1 (ja) | 2014-02-10 | 2015-02-04 | ワイヤレス通信システムにおける悪意ある攻撃に対処するための方法およびシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9344894B2 (ja) |
| EP (1) | EP3105952B1 (ja) |
| JP (1) | JP6109434B1 (ja) |
| KR (1) | KR101724250B1 (ja) |
| CN (1) | CN106031208B (ja) |
| WO (1) | WO2015120040A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9774566B2 (en) * | 2013-11-29 | 2017-09-26 | Acer Incorporated | Communication method and mobile electronic device using the same |
| US9811660B2 (en) * | 2014-06-16 | 2017-11-07 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Securing a shared serial bus |
| US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
| US10218733B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10237287B1 (en) * | 2016-02-11 | 2019-03-19 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| CN108307379B (zh) * | 2016-09-30 | 2021-03-23 | 中国移动通信有限公司研究院 | 一种公用数据网连接控制方法及终端 |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| US11533623B2 (en) * | 2019-11-14 | 2022-12-20 | Qualcomm Incorporated | Detection of false base stations based on signal times of arrival |
| CN111343178B (zh) * | 2020-02-25 | 2022-05-06 | 广州大学 | 多阶段的无线可充电传感器网络对恶意程序的攻防方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003298763A (ja) * | 2002-03-29 | 2003-10-17 | Kyocera Corp | 無線通信機 |
| US20060229022A1 (en) * | 2005-03-30 | 2006-10-12 | Tian Bu | Detection of power-drain denial-of-service attacks in wireless networks |
| US20080178294A1 (en) * | 2006-11-27 | 2008-07-24 | Guoning Hu | Wireless intrusion prevention system and method |
| US7676217B2 (en) * | 2005-01-31 | 2010-03-09 | Theta Networks, Inc. | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
| JP2010510736A (ja) * | 2006-11-24 | 2010-04-02 | パナソニック株式会社 | ホーム・エージェントに対するサービス妨害攻撃を緩和する方法 |
| US7854001B1 (en) * | 2007-06-29 | 2010-12-14 | Trend Micro Incorporated | Aggregation-based phishing site detection |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040054925A1 (en) | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20070143846A1 (en) | 2005-12-21 | 2007-06-21 | Lu Hongqian K | System and method for detecting network-based attacks on electronic devices |
| US8020207B2 (en) | 2007-01-23 | 2011-09-13 | Alcatel Lucent | Containment mechanism for potentially contaminated end systems |
| CN101483928B (zh) | 2008-01-11 | 2011-04-20 | 华为技术有限公司 | 移动网络的数据连接的建立方法、移动网络及策略控制实体 |
| US20090209291A1 (en) | 2008-02-19 | 2009-08-20 | Motorola Inc | Wireless communication device and method with expedited connection release |
| KR101661161B1 (ko) | 2010-04-07 | 2016-10-10 | 삼성전자주식회사 | 이동통신 단말기에서 인터넷프로토콜 패킷 필터링 장치 및 방법 |
| US9094462B2 (en) | 2011-07-13 | 2015-07-28 | Qualcomm Incorporated | Simultaneous packet data network (PDN) access |
-
2014
- 2014-02-10 US US14/176,784 patent/US9344894B2/en active Active
-
2015
- 2015-02-04 EP EP15705450.3A patent/EP3105952B1/en not_active Not-in-force
- 2015-02-04 KR KR1020167022539A patent/KR101724250B1/ko active IP Right Grant
- 2015-02-04 WO PCT/US2015/014445 patent/WO2015120040A1/en active Application Filing
- 2015-02-04 JP JP2016549754A patent/JP6109434B1/ja not_active Expired - Fee Related
- 2015-02-04 CN CN201580007639.5A patent/CN106031208B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003298763A (ja) * | 2002-03-29 | 2003-10-17 | Kyocera Corp | 無線通信機 |
| US7676217B2 (en) * | 2005-01-31 | 2010-03-09 | Theta Networks, Inc. | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
| US20060229022A1 (en) * | 2005-03-30 | 2006-10-12 | Tian Bu | Detection of power-drain denial-of-service attacks in wireless networks |
| JP2010510736A (ja) * | 2006-11-24 | 2010-04-02 | パナソニック株式会社 | ホーム・エージェントに対するサービス妨害攻撃を緩和する方法 |
| US20080178294A1 (en) * | 2006-11-27 | 2008-07-24 | Guoning Hu | Wireless intrusion prevention system and method |
| US7854001B1 (en) * | 2007-06-29 | 2010-12-14 | Trend Micro Incorporated | Aggregation-based phishing site detection |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015120040A1 (en) | 2015-08-13 |
| KR101724250B1 (ko) | 2017-04-06 |
| EP3105952B1 (en) | 2017-11-22 |
| US20150230091A1 (en) | 2015-08-13 |
| JP6109434B1 (ja) | 2017-04-05 |
| US9344894B2 (en) | 2016-05-17 |
| CN106031208A (zh) | 2016-10-12 |
| EP3105952A1 (en) | 2016-12-21 |
| CN106031208B (zh) | 2017-09-26 |
| KR20160103145A (ko) | 2016-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6109434B1 (ja) | ワイヤレス通信システムにおける悪意ある攻撃に対処するための方法およびシステム | |
| US9722731B2 (en) | Techniques for aggregating data from WWAN and WLAN | |
| JP5657023B2 (ja) | 複数の搬送波を使用するワイヤレス通信における測定の実施 | |
| EP3512250B1 (en) | Apparatus and method for a connected mode with reduced signaling | |
| US9241365B2 (en) | Method of handling device to device communication and related communication device | |
| EP3501153B1 (en) | Ue network mobilty during incoming ims call setup to preferred network | |
| US8774128B2 (en) | Method and apparatus for detachment from a wireless communication network | |
| AU2017249014B2 (en) | Migration of local gateway function in cellular networks | |
| CN105474738A (zh) | 用于管理连接至wwan和wlan的用户装备的无线电链路故障恢复的技术 | |
| JP6668364B2 (ja) | 免許不要のスペクトル基地局におけるロングタームエボリューション(lte)アドバンストの発見 | |
| JP2017519415A (ja) | 電力適応のためのハンドオーバ関連の測定およびイベント | |
| US20150011205A1 (en) | Communication system, mobility management entity, base station, and communication method | |
| KR102035896B1 (ko) | 무선 통신들에서 디바이스 통계의 리포팅 | |
| TWI591988B (zh) | 用於基地台收發器和用於行動收發器之裝置、方法和電腦程式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20170118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170206 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170307 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6109434 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |