BR112017014232B1 - Método, equipamento de usuário, nó de rede, e, mídia de armazenamento legível por computador - Google Patents

Método, equipamento de usuário, nó de rede, e, mídia de armazenamento legível por computador Download PDF

Info

Publication number
BR112017014232B1
BR112017014232B1 BR112017014232-5A BR112017014232A BR112017014232B1 BR 112017014232 B1 BR112017014232 B1 BR 112017014232B1 BR 112017014232 A BR112017014232 A BR 112017014232A BR 112017014232 B1 BR112017014232 B1 BR 112017014232B1
Authority
BR
Brazil
Prior art keywords
network node
ran
mitigation action
internet
attack
Prior art date
Application number
BR112017014232-5A
Other languages
English (en)
Other versions
BR112017014232A2 (pt
Inventor
Tomas Thyni
Mats Forsman
Mats Ullerstig
Original Assignee
Telefonaktiebolaget Lm Ericsson (Publ)
Filing date
Publication date
Application filed by Telefonaktiebolaget Lm Ericsson (Publ) filed Critical Telefonaktiebolaget Lm Ericsson (Publ)
Priority claimed from PCT/SE2015/050144 external-priority patent/WO2016130052A1/en
Publication of BR112017014232A2 publication Critical patent/BR112017014232A2/pt
Publication of BR112017014232B1 publication Critical patent/BR112017014232B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Abstract

MÉTODO, EQUIPAMENTO DE USUÁRIO, NÓ DE REDE, E, MÍDIA DE ARMAZENAMENTO LEGÍVEL POR COMPUTADOR. A presente descrição refere-se a métodos e dispositivos para mitigação do impacto de ataques da Internet em uma Rede de Acesso por Rádio, RAN (10), usando transporte da Internet. Este objetivo é obtido por um método realizado em um Equipamento de Usuário, UE (13), associado com a RAN (10) usando transporte da Internet. O método compreende receber a partir de pelo menos um nó de rede (11, 12, 21, 22, 23) na RAN (10), informação associada com um ataque da Internet. O método compreende obter, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN. O método compreende adicionalmente realizar a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.

Description

CAMPO TÉCNICO
[001] A presente descrição refere-se a métodos, dispositivos e programas de computador de mitigação do impacto de ataques da Internet em uma RAN usando transporte da Internet.
FUNDAMENTOS
[002] Evolução de Longo Prazo, LTE, 3GPP é o padrão de tecnologias de comunicação móvel de quarta geração desenvolvido no Projeto de Parceria de 3a Geração, 3GPP, para melhorar o padrão do Sistema de Telecomunicação Móvel Universal, UMTS, para lidar com futuras exigências em termos de melhores serviços, tal como taxas de dados mais altas, melhor eficiência e custos mais baixos. A Rede de Acesso por Rádio Terrestre Universal, UTRAN, é a rede de acesso por rádio de um UMTS e UTRAN Evoluída, E-UTRAN, é a rede de acesso por rádio de um sistema LTE. Em uma UTRAN e uma E-UTRAN, um Equipamento de Usuário, EU, ou dispositivo sem fio, é conectado sem fio em uma Estação Base de Rádio, RBS, comumente referida como um NodeB, NB, em UMTS, e como um NodeB evoluído, eNodeB ou eNB, em LTE. Uma RBS é um termo geral para um nó de rede de rádio capaz de transmitir sinais de rádio para um UE e receber sinais transmitidos por um UE.
[003] Tradicionais serviços de transporte, por exemplo, linhas concedidas ou Redes Privadas Virtuais, VPNs, são usados para transporte na Rede de Acesso por Rádio, RAN. Estes serviços de transporte são muito onerosos em particular para serviços de dados de alta largura de banda. Os serviços de transporte da Internet são muito mais baratos do que tradicionais serviços de transporte. Usar Internet para serviços de transporte na RAN irá diminuir o custo de transporte dramaticamente. Um custo de serviço de transporte da Internet pode ser uma fração do custo de um tradicional serviço de linhas concedidas e VPN. Há uma clara tendência em rede empresarial usar serviços de transporte da Internet para transporte e Operadores de Rede Móvel estão começando a apresentar esta exigência também para a RAN.
[004] Usar a Internet como transporte irá expor o equipamento conectado na RAN a várias ameaças de ataque, por exemplo, hackers, vírus, bot-nets, trojans etc. Hackers irão buscar dispositivos conectados na RAN pela vulnerabilidade. Um ataque pode iniciar com um escaneamento de porta de um endereço IP no equipamento na RAN para descobrir portas abertas e, então, tentar conectar no equipamento a fim de invadir o equipamento na RAN.
[005] Uma contramedida usada em redes de transporte hoje em dia compreende Sistema de Detecção de Intrusão, IDS, e Sistema de Prevenção de Intrusão, IPS.
[006] Um IDS é um dispositivo ou aplicação de software que monitora atividades da rede ou do sistema por atividades maliciosas ou violações de política e produz relatos para uma estação de gerenciamento. Há diferentes tipos de IDS, mas eles são todos desenhados para detectar tráfego suspeito de diferentes maneiras. Um IDS é primariamente focalizado em identificar possíveis incidentes, registrar informação sobre os mesmos e reportar tentativas.
[007] Um IPS pode responder a uma ameaça detectada pela tentativa de impedir a mesma de ter sucesso. IPS usa diversas técnicas para reagir ao ataque, por exemplo, soltando pacotes do agressor, mudando o ambiente de segurança (por exemplo, reconfigurando um firewall) ou fazendo mudanças nos cabeçalhos de pacote do agressor.
[008] A funcionalidade de IPS tenta interromper ou limitar o impacto de um ataque em rede pelo trabalho em linha com o real tráfego da rede, para poder tomar ações para ativamente impedir ou bloquear intrusões ou recusa de ataques a serviços que são detectados. Estas ações são na forma de ativação de filtros para soltar/bloquear pacotes IP, reconfigurar a conexão, remontar pacote IP fragmentado, etc.
[009] Um problema quando uma rede de acesso por rádio e rede central forem conectadas em uma rede insegura, como a Internet, é que o IPS não tem conhecimento do impacto que um ataque da Internet terá na RAN e dos serviços distribuídos para os usuários finais conectados na RAN.
[0010] O IPS pode tomar uma ação para soltar tráfego de um agressor da Internet, mas, ao mesmo tempo, a capacidade usável, por exemplo, para uma RBS na RAN será limitada. Isto irá resultar em que a RBS na RAN ainda irá tentar servir quantidade igual de UEs como se a RBS tivesse esperado capacidade completa nos serviços de transporte da Internet. Isto irá resultar em desempenho e Qualidade de Experiência, QoE, do usuário final muito limitados. É apenas quando a RBS tiver capacidade muito baixa/limitada que a sinalização de rádio não possa atravessar que a RBS irá entender que a RBS deve ser retirado de serviço. A RBS não pode detectar que o tráfego de usuário final entre uma S/PGW na CN e a RBS é solto devido a um ataque da Internet, mesmo se uma parte significativa dos pacotes for solta. O impacto será visto apenas pelo UE como uma conexão/serviço muito limitados.
[0011] Há, portanto, uma necessidade de uma melhor solução para tratamento de ataques da Internet em uma RAN usando transporte da Internet, solução esta que resolve ou pelo menos mitiga pelo menos um dos supramencionados problemas.
SUMÁRIO
[0012] Um objetivo da presente descrição é prover um método, dispositivo e programa de computador para mitigação do impacto de ataques da Internet em uma Rede de Acesso por Rádio, RAN, usando transporte da Internet, que busca para mitigar, aliviar ou eliminar uma ou mais das supraidentificadas deficiências e desvantagens na tecnologia individualmente ou em qualquer combinação.
[0013] De acordo com aspectos, a descrição apresenta um método, realizado em um Equipamento de Usuário, UE, associado com uma Rede de Acesso por Rádio, RAN, usando transporte da Internet, de mitigação do impacto de ataques da Internet. O método compreende receber a partir de pelo menos um nó de rede na RAN, informação associada com um ataque da Internet. Em uma próxima etapa, o UE obtém, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN. Adicionalmente, o UE realiza a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
[0014] De acordo com aspectos adicionais, a descrição refere-se a um programa de computador que compreende código de programa de computador que, quando executado no UE, faz com que o UE execute o método de acordo com o exposto.
[0015] De acordo com um aspecto ainda adicional, a descrição apresenta um método, realizado em um nó de rede em uma Rede de Acesso por Rádio, RAN, usando transporte da Internet, de mitigação do impacto de ataques da Internet. O método compreende obter informação de detecção de intrusão que informa o nó de rede que a RAN está sob ataque, selecionando, com base na informação de detecção de intrusão, uma ação de mitigação. A ação de mitigação compreende enviar uma mensagem que compreende informação associada com o ataque da Internet para o UE conectado na RAN. Adicionalmente, o método compreende realizar a ação de mitigação selecionada para mitigar o impacto no nível de serviço da RAN.
[0016] De acordo com um aspecto adicional, a descrição refere-se ao UE, associado com uma RAN usando transporte da Internet, de mitigação do impacto de ataques da Internet. O UE compreende um processador e uma memória. A memória contém instruções executáveis pelo processador de acordo com as quais o UE é operativo para receber a partir de um nó de rede na RAN informação associada com um ataque da Internet, obter, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN, e realizar a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
[0017] De acordo com aspectos adicionais, a descrição refere-se a um nó de rede na RAN, usando transporte da Internet, de mitigação do impacto de ataques da Internet. O nó de rede compreende um processador e uma memória. A memória contém instruções executáveis pelo processador de acordo com as quais o nó de rede é operativo para obter informação de detecção de intrusão que informa o nó de rede que a RAN está sob ataque. O nó de rede é adicionalmente operativo para selecionar, com base na informação de detecção de intrusão, uma ação de mitigação, a ação de mitigação compreendendo enviar uma mensagem que compreende informação associada com o ataque da Internet para o UE conectado na RAN, e realizar a ação de mitigação selecionada para mitigar o impacto no nível de serviço da RAN.
BREVE DESCRIÇÃO DOS DESENHOS
[0018] Objetivos, recursos e vantagens adicionais da presente descrição irão aparecer a partir da seguinte descrição detalhada, em que alguns aspectos da descrição serão descritos com mais detalhes em relação aos desenhos anexos, nos quais:
[0019] A figura 1 ilustra esquematicamente uma rede de comunicação celular na qual modalidades exemplares da presente descrição podem ser implementadas.
[0020] A figura 2 é um fluxograma que ilustra os métodos propostos realizados no UE.
[0021] A figura 3 é um fluxograma que ilustra os métodos propostos realizados em um nó de rede na RAN.
[0022] A figura 4 é um diagrama esquemático que ilustra um UE de acordo com uma modalidade exemplar da presente descrição.
[0023] A figura 5 é um diagrama esquemático que ilustra um nó de rede na RAN de acordo com uma modalidade exemplar da presente descrição. DESCRIÇÃO DETALHADA
[0024] Aspectos da presente descrição serão descritos mais completamente a seguir em relação aos desenhos anexos. O dispositivo, o método e o programa de computador aqui descritos podem, entretanto, ser realizados em muitas formas diferentes e não devem ser interpretados como sendo limitados aos aspectos aqui apresentados. Números iguais nos desenhos se referem a elementos iguais por toda parte.
[0025] A terminologia aqui usada é com o propósito de descrever aspectos em particular da descrição somente, e não pretende-se que limite a descrição. Da forma aqui usada, pretende-se que as formas singulares "um", "uma", "o" e "a" também incluam as formas plurais, a menos que o contexto claramente indique o contrário.
[0026] A figura 1 ilustra esquematicamente um exemplo de uma rede de comunicação celular 1 em que aspectos da presente descrição podem ser implementados. A rede de comunicação celular 1 compreende uma rede de acesso por rádio, RAN, 10 e uma Rede Central, CN, 30. Dois nós de rede 31, 32 são ilustrados na CN 30, mas a CN 30 compreende diversos mais nós de rede. A RAN 10 compreende uma rede de transporte de acesso por rádio 20. A rede de transporte de acesso por rádio 20 trata tráfego de dados entre, por exemplo, estações bases de rádio 11, 12 e entre estações bases de rádio 11, 12 e a CN 30. Neste exemplo da rede de comunicação celular 1, serviços de transporte da Internet são usados na rede de transporte de acesso por rádio 20. Neste exemplo, a rede de transporte de acesso por rádio 20 compreende diversos nós de rede 21, 22, 23. Os UEs 13 comunicam com a RAN 10.
[0027] É um objetivo da presente descrição prover modalidades que resolvem o problema de ataques da Internet na RAN 10 usando transporte da Internet. De acordo com um aspecto da presente descrição, o UE 13 recebe a partir de um nó de rede 11, 12, 21, 22, 23 na RAN 10, informação associada com um ataque da Internet. O UE 13, então, obtém uma ação de mitigação, com base na informação, em que a ação de mitigação mitiga o impacto do ataque no serviço da RAN. Assim, o impacto no nível de serviço da RAN pode ser mitigado pela mitigação realizada pelo UE 13.
[0028] Um exemplo de uma rede de acesso por rádio 10 é UTRAN, Rede de Acesso por Rádio Terrestre Universal. A UTRAN é a rede de acesso por rádio 10 em UMTS, Sistema de Telecomunicação Móvel Universal. Uma outra rede de acesso por rádio 10 é E-UTRAN. A E-UTRAN é a rede de acesso por rádio 10 em um sistema LTE. Os métodos propostos podem ser realizados em qualquer nó na RAN 10 ou fora da RAN 10, por exemplo, uma implementação em nuvem.
[0029] A figura 2 ilustra as etapas em um método, realizado no UE 13 associado com a RAN 10 usando transporte da Internet, de mitigação do impacto de ataques da Internet. Em uma primeira etapa S1, o UE 13 recebe, a partir de pelo menos um nó de rede 11, 12, 21, 22, 23 na RAN 10, informação associada com um ataque da Internet.
[0030] Em uma próxima etapa S2, o UE 13 obtém, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN. O método compreende adicionalmente, em uma próxima etapa S3, que o UE 13 realize a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
[0031] Declarado diferentemente, na etapa S2, o UE obtém, com base na informação, a ação de mitigação que pode mitigar o impacto do ataque no nível de serviço da RAN. De acordo com um aspecto da presente descrição, o UE 13 obtém a ação de mitigação que pode melhor mitigar o impacto no ataque no nível de serviço da RAN. Assim, irá o impacto no nível de serviço da RAN devido ao ataque da Internet ser reduzido ou eliminado quando a ação de mitigação for realizada na etapa S3.
[0032] O nó de rede 11, 12, 21, 22, 23 na RAN pode ser afetado por um ataque da Internet de diferentes maneiras. O ataque da Internet pode, por exemplo, resultar em limitadas capacidades de transporte da Internet para o nó de rede 11, 12, 21, 22, 23, e capacidade de processamento no nó de rede 11, 12, 21, 22, 23. O ataque da Internet também pode afetar a memória e os armazenamentos temporários no nó de rede 11, 12, 21, 22, 23, de forma que o nó de rede 11, 12, 21, 22, 23 não possa realizar outras tarefas com as mesmas capacidades como quando não está sob um ataque da Internet.
[0033] Da forma supramencionada, há diversas ações de mitigações que o UE 13 pode obter, na etapa S2, com base na informação recebida na etapa S1. Algumas das ações de mitigações serão descritas a seguir.
[0034] Uma ação de mitigação que o UE 13 pode obter de acordo com um aspecto da presente descrição é mover o UE 13 para um outro nó de rede 11, 12, 21, 22, 23.
[0035] De acordo com um aspecto da presente descrição, a informação é recebida a partir de um primeiro nó de rede 11, 12, 21, 22, 23 na RAN 10, e o método, então, compreende adicionalmente informar um segundo nó de rede 11, 12, 21, 22, 23 na RAN 10 sobre o ataque.
[0036] A figura 3 ilustra as etapas em um método, realizado em um nó de rede 11, 12, 21, 22 e 23 em uma Rede de Acesso por Rádio, RAN, 10 usando transporte da Internet, de mitigação do impacto de ataques da Internet. Em uma primeira etapa S10, o nó de rede 11, 12, 21, 22 e 23 obtém informação de detecção de intrusão que informa o nó de rede 11, 12, 21, 22 e 23 que a RAN 10 está sob ataque. Em uma próxima etapa S20, o nó de rede 11, 12, 21, 22 e 23 seleciona, com base na informação de detecção de intrusão, uma ação de mitigação, em que a ação de mitigação compreende enviar uma mensagem que compreende informação associada com o ataque da Internet para um Equipamento de Usuário, UE, 13 conectado na RAN 10. O método compreende adicionalmente, em uma próxima etapa S30, que o nó de rede 11, 12, 21, 22 e 23 realize S30 a ação de mitigação selecionada para mitigar o impacto no nível de serviço da RAN.
[0037] Em outras palavras, na primeira etapa S10, o nó de rede 11, 12, 21, 22 e 23 pode receber a informação de detecção de intrusão a partir de um outro nó de rede 11, 12, 21, 22 e 23 ou obter a informação de detecção de intrusão a partir do no nó de rede 11, 12, 21, 22 e 23.
[0038] Declarado diferentemente, na etapa S20, o nó de rede 11, 12, 21, 22 e 23 seleciona, com base na informação de detecção de intrusão, a ação de mitigação que pode informar o UE 13 do ataque da Internet. Assim, o impacto no nível de serviço da RAN devido ao ataque da Internet poderá ser reduzido ou eliminado quando o UE 13 receber a informação associada com o ataque da Internet e realizar uma ação de mitigação, da forma descrita anteriormente.
[0039] De acordo com um aspecto da presente descrição, a ação de mitigação compreende instruir o UE 13, que é conectado no nó de rede 11, 12, 21, 22, 23 na RAN 10 para se mover para um outro nó de rede 11, 12, 21, 22, 23.
[0040] De acordo com ainda um outro aspecto da presente descrição, as instruções compreendem adicionalmente valor de temporizador que define o tempo de validade para a ação de mitigação.
[0041] Em uma outra modalidade exemplar da presente descrição, a ação de mitigação compreende adicionalmente rejeitar uma tentativa de conexão a partir do UE 13.
[0042] Adicionalmente, de acordo com um outro aspecto da presente descrição, a ação de mitigação compreende propor um novo nó de rede 11, 12, 21, 22, 23 com base em um relato do UE 13 de disponibilidade de Célula.
[0043] De acordo com um aspecto da presente descrição, o nó de rede 11, 12 é uma Estação Base de Rádio, RBS. E, em uma outra modalidade exemplar da presente descrição, o nó de rede 21, 22, 23 é um Controlador da Estação Base, BSC. De acordo com um aspecto ainda adicional da presente descrição, o nó de rede 21, 22, 23 é um Controlador da Rede de Rádio, RNC.
[0044] Em uma modalidade exemplar da presente descrição, a obtenção compreende receber a informação de detecção de intrusão a partir de um IDS. Em ainda uma outra modalidade exemplar da presente descrição, a obtenção compreende recuperar a informação de detecção de intrusão a partir do nó, já que o IDS fica localizado no nó de rede 11, 12, 21, 22, 23.
[0045] Voltando agora para a figura 4, é descrito um diagrama esquemático que ilustra uma modalidade exemplar do UE 13, associado com a RAN 10 usando transporte da Internet, de mitigação do impacto de ataques da Internet. O UE 13 compreende um processador 110 e uma memória 120, a memória 212 contendo instruções executáveis pelo processador 110. O processador 110 é uma Unidade de Processamento Central, CPU, microcontrolador, Processador de Sinal digital, DSP, ou qualquer outro tipo adequado de processador capaz de executar código de programa de computador. A memória 212 é uma Memória de Acesso Aleatório, RAM, uma Memória Exclusiva de Leitura, ROM, ou um armazenamento persistente, por exemplo, uma única ou combinação de memória magnética, memória ótica, ou memória em estado sólido ou mesmo memória remotamente montada. De acordo com um aspecto, a descrição refere-se adicionalmente ao supramencionado programa de computador, que compreende código legível por computador que, quando executado no UE 13, faz com que o UE 13 realize qualquer um dos aspectos do método supradescrito.
[0046] Quando o supramencionado código de programa de computador for executado no processador 110 do UE 13, ele faz com que o UE 13 receba a partir de um nó de rede 11, 12, 21, 22, 23 na RAN 10 informação associada com um ataque da Internet. Os códigos de programa de computador adicionalmente fazem com que o UE 13 obtenha, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN. Adicionalmente, o código de programa de computador faz com que o nó de rede 11, 12, 21, 22, 23 realize a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
[0047] De acordo com um aspecto, a descrição refere-se adicionalmente o supramencionado programa de computador, que compreende código legível por computador que, quando executado no UE 13, faz com que o UE 13 realize qualquer um dos aspectos do método supradescrito.
[0048] De acordo com um aspecto da descrição, o processador 110 compreende um ou diversos de: - um receptor 1101 adaptado para receber, a partir de um nó de rede 11, 12, 21, 22, 23 na RAN 10, informação associada com um ataque da Internet; - módulo de obtenção 1102 adaptado para obter, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN; e - um módulo de realização 1103 adaptado para realizar a ação de mitigação selecionada para mitigar o impacto no nível de serviço da RAN.
[0049] De acordo com um aspecto adicional, a ação de mitigação compreende mover o UE 13 para um outro nó de rede 11, 12, 21, 22, 23 na RAN 10. De acordo com um aspecto, o UE 13 compreende um módulo de realização 1103 configurado para este propósito.
[0050] Em um outro aspecto da presente descrição, a informação é recebida a partir de um primeiro nó de rede 11, 12, 21, 22, 23 e o UE 13 é adicionalmente configurado para informar um segundo nó de rede 11, 12 sobre o ataque da Internet. De acordo com um aspecto, o UE 13 compreende um módulo de realização 1103 configurado para este propósito.
[0051] O módulo receptor 1101, o módulo de obtenção 1102 e o módulo de realização 1103 são implementados em hardware ou em software ou em uma combinação dos mesmos. Os módulos 1101, 1102 e 1103 são de acordo com um aspecto implementado como um programa de computador armazenado na memória 120 que executa no sistema de circuitos de processamento 110. O UE 13 é adicionalmente configurado para implementar todos os aspectos da descrição, da forma descrita em relação aos métodos expostos.
[0052] Voltando, agora, para a figura 5, é descrito um diagrama esquemático que ilustra uma modalidade exemplar do nó de rede 11, 12, 21, 22 e 23 na RAN 10, usando transporte da Internet, de mitigação do impacto de ataques da Internet. O nó de rede 11, 12, 21, 22 e 23 compreende um processador 210 e uma memória 220, a memória 210 contendo instruções executáveis pelo processador 210. O processador 210 é uma Unidade de Processamento Central, CPU, microcontrolador, Processador de Sinal Digital, DSP, ou qualquer outro tipo adequado de processador capaz de executar código de programa de computador. A memória 210 é uma Memória de Acesso Aleatório, RAM, uma Memória Exclusiva de Leitura, ROM, ou um armazenamento persistente, por exemplo, uma única ou combinação de memória magnética, memória ótica ou memória em estado sólido, ou até mesmo memória remotamente montada.
[0053] De acordo com um aspecto, a descrição refere-se adicionalmente ao supramencionado programa de computador, que compreende código legível por computador que, quando executado no nó de rede 11, 12, 21, 22 e 23, faz com que o nó de rede 11, 12, 21, 22 e 23 realize qualquer um dos aspectos do método supradescrito.
[0054] Quando o supramencionado código de programa de computador for executado no processador 210 do nó de rede 11, 12, 21, 22 e 23, ele faz com que o nó de rede 11, 12, 21, 22 e 23 obtenha informação de detecção de intrusão que informa o nó de rede 11, 12, 21, 22 e 23 que a RAN 10 está sob ataque. Os códigos de programa de computador adicionalmente fazem com que o nó de rede 11, 12, 21, 22 e 23 selecione uma ação de mitigação, em que a ação de mitigação compreende enviar uma mensagem que compreende informação associada com o ataque da Internet para o UE 13 conectado na RAN 10. Adicionalmente, o código de programa de computador faz com que o nó de rede 11, 12, 21, 22 e 23 realize a ação de mitigação selecionada.
[0055] De acordo com um aspecto, a descrição refere-se adicionalmente ao supramencionado programa de computador, que compreende código legível por computador que, quando executado nó de rede 11, 12, 21, 22 e 23, faz com que o nó de rede 11, 12, 21, 22 e 23 realize qualquer um dos aspectos do método supradescrito.
[0056] De acordo com um aspecto da descrição, o processador 110 compreende um ou diversos de: - um módulo de recepção 2101 adaptado para receber a partir do nó de rede 11, 12, 21, 22, 23 na RAN 10 informação associada com um ataque da Internet, - um módulo de obtenção 2102 adaptado para obter, com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN; e - um módulo de realização 2103 adaptado para realizar a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
[0057] De acordo com um aspecto da presente descrição, a ação de mitigação compreende instruir o UE 13, que é conectado no nó de rede 11, 12, 21, 22, 23, para se mover para um outro nó de rede 11, 12, 21, 22, 23. De acordo com um aspecto, o nó de rede 11, 12, 21, 22 e 23 compreende um módulo de realização 2103 configurado para este propósito.
[0058] Em um outro aspecto da presente descrição, as instruções compreendem adicionalmente um valor de temporizador que define o tempo de validade para a ação de mitigação. De acordo com um aspecto, o nó de rede 11, 12, 21, 22 e 23 compreende um módulo de obtenção 2102 configurado para este propósito.
[0059] De acordo com um aspecto da presente descrição, a ação de mitigação obtida compreende rejeitar uma tentativa de conexão a partir do UE 13. De acordo com um aspecto, o nó de rede 11, 12, 21, 22 e 23 compreende um módulo de obtenção 2102 configurado para este propósito.
[0060] Em uma outra modalidade exemplar da presente descrição, a ação de mitigação compreende adicionalmente propor um novo nó de rede 11, 12, 21, 22, 23 com base no relato do UE 13 de disponibilidade de Célula. De acordo com um aspecto, o nó de rede 11, 12, 21, 22 e 23 compreende um módulo de obtenção 2102 configurado para este propósito.
[0061] De acordo com um aspecto da presente descrição, o nó de rede 11, 12 é uma Estação Base de Rádio, RBS. De acordo com ainda um outro aspecto da presente descrição, o nó de rede 21, 22, 23 é um Controlador da Estação Base, BSC. Em um outro aspecto de acordo com a presente descrição, o nó de rede 21, 22, 23 é um Controlador da Rede de Rádio, RNC.
[0062] De acordo com um aspecto da presente descrição, a obtenção compreende receber a informação de detecção de intrusão a partir de um IDS. De acordo com um aspecto, o nó de rede 11, 12, 21, 22 e 23 compreende um módulo de obtenção 2102 configurado para este propósito.
[0063] De acordo com ainda um outro um aspecto da presente descrição, a obtenção compreende receber a informação de detecção de intrusão a partir de no nó de rede 11, 12, 21, 22, 23, já que o IDS fica localizado no nó de rede 11, 12, 21, 22, 23. De acordo com um aspecto, o nó de rede 11, 12, 21, 22 e 23 compreende um módulo de obtenção 2102 configurado para este propósito.
[0064] A presente descrição não é limitada apenas aos ataques da rede de transporte da Internet na RAN 10. De acordo com aspectos da presente descrição, transporte da Internet não é usado na RAN 10. Nestas e em modalidades em que o transporte da Internet é usado, ataque também pode ocorrer a partir de outras fontes na RAN 10, CN 30 ou UE 13. Estes ataques também podem ser mitigados com os métodos, dispositivos e programas de computador supradescritos.
[0065] Os aspectos da descrição são descritos em relação aos desenhos, por exemplo, diagramas de blocos e/ou fluxogramas. Entende-se que diversas entidades nos desenhos, por exemplo, blocos dos diagramas de blocos e, também, combinações de entidades nos desenhos, podem ser implementados por instruções de programa de computador, instruções estas que podem ser armazenadas em uma memória legível por computador, e também carregadas sobre um computador ou outro aparelho de processamento de dados programável. Tais instruções de programa de computador podem ser providas para um processador de um computador de uso geral, um computador de uso especial e/ou outro aparelho de processamento de dados programável para produzir uma máquina, de maneira tal que as instruções, que executam por meio do processador do computador e/ou outro aparelho de processamento de dados programável, criem meios para implementar as funções/atos especificados nos diagramas de blocos e/ou bloco ou blocos do fluxograma.
[0066] Em algumas implementações e de acordo com alguns aspectos da descrição, as funções ou as etapas notadas nos blocos podem ocorrer fora da ordem notada nas ilustrações operacionais. Por exemplo, dois blocos mostrados em sucessão podem, de fato, ser executados de forma substancialmente concorrente ou os blocos podem, algumas vezes, ser executados na ordem inversa, dependendo das funcionalidades/atos envolvidos. Também, as funções ou as etapas notadas nos blocos podem, de acordo com alguns aspectos da descrição, ser executadas continuamente em um laço.
[0067] Nos desenhos e na especificação, foram descritos aspectos exemplares da descrição. Entretanto, muitas variações e modificações podem ser feitas nestes aspectos sem fugir substancialmente dos princípios da presente descrição. Assim, a descrição deve ser considerada como ilustrativa em vez de restritiva, e não como limitada aos aspectos em particular discutidos anteriormente. Desta maneira, embora termos específicos sejam empregados, eles são usados em um sentido genérico e descritivo somente e não com propósitos de limitação.

Claims (32)

1. Método, realizado em um Equipamento de Usuário, UE (13), associado com uma Rede de Acesso por Rádio, RAN (10), usando transporte da Internet, de mitigação do impacto de ataques da Internet, caracterizado pelo fato de que o método compreende: - receber (S1) a partir de pelo menos um nó de rede (11, 12, 21, 22, 23) na RAN (10), informação associada com um ataque da Internet e usar transporte de Internet para prover serviços para os Equipamentos de Usuário servidos pela RAN, - obter (S2), com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN; e - realizar (S3) a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
2. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a informação compreende adicionalmente pelo menos uma ação de mitigação sugerida.
3. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a ação de mitigação compreende mover o UE (13) para um outro nó de rede (11, 12, 21, 22, 23).
4. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a informação é recebida a partir de um primeiro nó de rede (11, 12) na RAN (10), e em que o método compreende adicionalmente (S4) informar um segundo nó de rede (11, 12, 21, 22, 23) na RAN (10) sobre o ataque.
5. Método realizado em um nó de rede (11, 12, 21, 22, 23) em uma Rede de Acesso por Rádio, RAN (10), usando transporte da Internet para prover serviços para equipamentos de usuário, UEs, servidos pela RAN, de mitigação do impacto de ataques da Internet, caracterizado pelo fato de que o método compreende: - obter (S10) informação de detecção de intrusão que informa o nó de rede (11, 12, 21, 22, 23) que a RAN (10) está sob um ataque da Internet por meio de uma conexão de internet para o nó de rede; - selecionar (S20), com base na informação de detecção de intrusão, uma ação de mitigação, em que a ação de mitigação compreende enviar uma mensagem que compreende informação associada com o ataque da Internet para um Equipamento de Usuário, UE (13), conectado na RAN (10); e - realizar (S3) a ação de mitigação selecionada para mitigar o impacto no nível de serviço da RAN.
6. Método de acordo com a reivindicação 5, caracterizado pelo fato de que a mensagem compreende adicionalmente pelo menos uma ação de mitigação sugerida.
7. Método de acordo com a reivindicação 5, caracterizado pelo fato de que a ação de mitigação compreende instruir o UE (13), que é conectado no nó de rede (11, 12, 21, 22, 23) na RAN (10) para se mover para um outro nó de rede (11, 12, 21, 22, 23).
8. Método de acordo com a reivindicação 7, caracterizado pelo fato de que as instruções compreendem adicionalmente prover um valor de temporizador que define o tempo de validade para a ação de mitigação.
9. Método de acordo com a reivindicação 5, caracterizado pelo fato de que a ação de mitigação compreende adicionalmente rejeitar uma tentativa de conexão a partir do UE (13).
10. Método de acordo com a reivindicação 9, caracterizado pelo fato de que compreende adicionalmente propor um novo nó de rede (11, 12, 21, 22, 23) com base em um relato de UE (13) sobre a disponibilidade de Célula.
11. Método de acordo com a reivindicação 5, caracterizado pelo fato de que o nó de rede (11, 12) é uma Estação Base de Rádio, RBS.
12. Método de acordo com a reivindicação 5, caracterizado pelo fato de que o nó de rede (21, 22, 23) é um Controlador da Estação Base, BSC.
13. Método de acordo com a reivindicação 5, caracterizado pelo fato de que o nó de rede (21, 22, 23) é um Controlador da Rede de Rádio, RNC.
14. Método de acordo com a reivindicação 5, caracterizado pelo fato de que a obtenção compreende receber a informação de detecção de intrusão a partir de um Sistema de Detecção de Intrusão, IDS.
15. Método de acordo com a reivindicação 14, caracterizado pelo fato de que o IDS fica localizado no nó de rede (11, 12, 21, 22, 23).
16. Equipamento de Usuário, UE, (13) associado com uma Rede de Acesso por Rádio, RAN, (10) usando transporte da Internet, caracterizado pelo fato de que compreende um processador e uma memória, a memória contendo instruções executáveis pelo processador de acordo com as quais o UE (13) é configurado para: - receber (S1) a partir de um nó de rede (11, 12, 21, 22, 23) na RAN (10) informação associada com um ataque da Internet em um nó de rede na RAN e usando transporte de Internet para prover serviços para Equipamentos de Usuário servidos pela RAN; - obter (S2), com base na informação, uma ação de mitigação, a ação de mitigação mitigando o impacto do ataque no serviço da RAN; e - realizar (S3) a ação de mitigação obtida para mitigar o impacto no nível de serviço da RAN.
17. Equipamento de Usuário (13) de acordo com a reivindicação 16, caracterizado pelo fato de que a informação compreende adicionalmente pelo menos uma ação de mitigação sugerida.
18. Equipamento de Usuário (13) de acordo com a reivindicação 16, caracterizado pelo fato de que a ação de mitigação compreende mover o UE (13) para um outro nó de rede (11, 12, 21, 22, 23) na RAN (10).
19. Equipamento de Usuário (13) de acordo com a reivindicação 16, caracterizado pelo fato de que a informação é recebida a partir de um primeiro nó de rede (11, 12, 21, 22, 23) e em que o UE (13) é adicionalmente configurado para (S4) informar um segundo nó de rede (11, 12, 21, 22, 23) sobre o ataque.
20. Nó de rede (11, 12, 21, 22, 23) configurado para uso em uma Rede de Acesso por Rádio, RAN (10), e para uso de transporte da Internet para prover serviços para Equipamentos de Usuários, UEs, servidos pela RAN, caracterizado pelo fato de que compreende um processador e uma memória, a memória contendo instruções executáveis pelo processador de acordo com as quais o nó de rede é operativo para: - obter (S1) informação de detecção de intrusão que informa o nó de rede (11, 12, 21, 22, 23) que a RAN está sob um ataque da Internet por meio de uma conexão da Internet para o nó de rede; - selecionar (S2), com base na informação de detecção de intrusão, uma ação de mitigação, em que a ação de mitigação compreende enviar uma mensagem que compreende informação associada com o ataque da Internet para um Equipamento de Usuário, UE (13), conectado na RAN (10); e - realizar (S3) a ação de mitigação selecionada para mitigar o impacto no nível de serviço da RAN.
21. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que a mensagem compreende adicionalmente pelo menos uma ação de mitigação sugerida.
22. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que a ação de mitigação compreende instruir o UE (13), que é conectado no nó de rede (11, 12, 21, 22, 23) para se mover para um outro nó de rede (11, 12, 21, 22, 23).
23. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que as instruções compreendem adicionalmente prover um valor de temporizador que define o tempo de validade para a ação de mitigação.
24. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que a ação de mitigação compreende rejeitar uma tentativa de conexão a partir do UE (13).
25. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 22, caracterizado pelo fato de que compreende adicionalmente propor um novo nó de rede (11, 12, 21, 22, 23) com base no relato do UE (13) sobre a disponibilidade de Célula.
26. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que o nó de rede (11, 12) é uma Estação Base de Rádio, RBS.
27. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que o nó de rede (21, 22, 23) é um Controlador da Estação Base, BSC.
28. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que o nó de rede (21, 22, 23) é um Controlador da Rede de Rádio, RNC.
29. Nó de rede (11, 12, 21, 22, 23) de acordo com a reivindicação 20, caracterizado pelo fato de que a obtenção compreende receber a informação de detecção de intrusão a partir de um Sistema de Detecção de Intrusão, IDS.
30. Nó de rede de acordo com qualquer a reivindicação 29, caracterizado pelo fato de que o IDS fica localizado no nó de rede (11, 12, 21, 22, 23).
31. Mídia de armazenamento legível por computador, caracterizada pelo fato de que tem, armazenado em si, instruções legíveis por computador que, quando executadas em um procesador, fazem com que o computaor o método como definido em qualquer uma das reivindicações 5 a15.
32. Mídia de armazenamento legível por computador, caracterizada pelo fato de que tem, armazenado em si, instruções legíveis por que, quando executadas por um processador, fazem com que o computador realize o método como definido em qualquer uma das reivindicações 1 a 4.
BR112017014232-5A 2015-02-09 Método, equipamento de usuário, nó de rede, e, mídia de armazenamento legível por computador BR112017014232B1 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2015/050144 WO2016130052A1 (en) 2015-02-09 2015-02-09 Mitigating the impact from internet attacks in a ran using internet transport

Publications (2)

Publication Number Publication Date
BR112017014232A2 BR112017014232A2 (pt) 2018-03-06
BR112017014232B1 true BR112017014232B1 (pt) 2023-05-30

Family

ID=

Similar Documents

Publication Publication Date Title
US10050992B2 (en) Mitigating the impact from Internet attacks in a RAN using Internet transport
US11303727B2 (en) Method and system for routing user data traffic from an edge device to a network entity
US11722532B2 (en) Security for cellular internet of things in mobile networks based on subscriber identity and application identifier
JP7540523B2 (ja) モバイルネットワークにおけるマルチアクセス分散型エッジセキュリティ
US10397268B2 (en) Method and apparatus for providing notification of detected error conditions in a network
EP2656651B1 (en) DENIAL OF SERVICE (DoS) ATTACK PREVENTION THROUGH RANDOM ACCESS CHANNEL RESOURCE REALLOCATION
EP3863317B1 (en) Method and device for determining category information
US11765200B2 (en) Methods, nodes and operator network for enabling management of an attack towards an application
WO2018040565A1 (zh) 一种防止信令攻击方法及装置
EP3866506B1 (en) Method and device for controlling terminal and network connection
US11991165B2 (en) Authentication method for next generation systems
Henrydoss et al. Critical security review and study of DDoS attacks on LTE mobile network
US9705900B2 (en) Mitigating the impact from internet attacks in a RAN using internet transport
WO2018013386A1 (en) Mobile traffic redirection system
US20210168614A1 (en) Data Transmission Method and Device
BR112017014232B1 (pt) Método, equipamento de usuário, nó de rede, e, mídia de armazenamento legível por computador
EP3257285B1 (en) Mitigating the impact from internet attacks in a ran using internet transport
WO2022174729A1 (zh) 保护身份标识隐私的方法与通信装置
Vardhan Research on Cybersecurity Threats and Solutions in RATs and C-RAN 5G Network