CN115699840A - 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质 - Google Patents
用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN115699840A CN115699840A CN202180038043.7A CN202180038043A CN115699840A CN 115699840 A CN115699840 A CN 115699840A CN 202180038043 A CN202180038043 A CN 202180038043A CN 115699840 A CN115699840 A CN 115699840A
- Authority
- CN
- China
- Prior art keywords
- sepp
- pdu session
- request message
- roaming
- session setup
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 20
- 230000006870 function Effects 0.000 claims description 39
- 230000004044 response Effects 0.000 claims description 26
- 238000010586 diagram Methods 0.000 description 24
- 230000011664 signaling Effects 0.000 description 20
- 238000007726 management method Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000013475 authorization Methods 0.000 description 3
- 238000013523 data management Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- UFHFLCQGNIYNRP-UHFFFAOYSA-N Hydrogen Chemical compound [H][H] UFHFLCQGNIYNRP-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 229910052739 hydrogen Inorganic materials 0.000 description 1
- 239000001257 hydrogen Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/14—Mobility data transfer between corresponding nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种使用安全边缘保护代理(SEPP)来减轻5G漫游攻击的方法,包括在SEPP处接收用于出站漫游订户的用户设备(UE)注册消息。该方法还包括在SEPP安全数据库中创建从UE注册消息得出的UE漫游注册记录。该方法还包括在SEPP处接收分组数据单元(PDU)会话建立请求消息。该方法还包括使用从PDU会话建立请求消息中提取的至少一个参数值在SEPP安全数据库中执行对UE漫游注册记录的查找。该方法还包括由SEPP并基于查找的结果确定是允许还是拒绝PDU会话建立请求消息。
Description
优先申请
本申请要求于2020年7月14日提交的美国专利申请序列 No.16/929048的优先权,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及减轻5G漫游安全攻击。更具体地,本文描述的主题涉及用于使用SEPP来减轻5G漫游安全攻击的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF,取决于它是消费服务还是提供服务。
给定的生产者NF可能有许多服务端点,其中服务端点是托管生产者NF的网络节点上的互联网协议(IP)地址和端口号的组合。生产者NF向网络功能储存库功能(NRF)注册。NRF维护可用NF实例及其支持的服务的NF简档。消费者NF可以订阅以接收关于已向 NRF注册的生产者NF实例的信息。
除了消费者NF,另一种可以订阅以接收关于NF服务实例的信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理在提供所需服务的生产者NF服务实例之间使流量负载平衡,或直接将流量路由到目的地生产者NF。
除了SCP,在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务网格中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此, SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
服务网关是位于提供给定服务的一组生产者NF前面的节点。服务网关可以在以类似于SCP的方式提供服务的生产者NF之间对传入的服务请求进行负载平衡。
服务网格是支持生产者和消费者NF之间的通信的一组中间代理节点的名称。服务网格可能包括一个或多个SCP、SEPP和服务网关。
现有第三代合作伙伴计划(3GPP)服务架构的一个问题是,5G 网络中的模式在进行有关出站漫游订户的消息传送时,容易受到拒绝服务(DoS)攻击。出站漫游订户是在访问的网络中漫游的运营商网络的订户。合法出站漫游订户的正常消息传送涉及认证、用于验证订户的信令,以及随后的用于注册订户以在访问的网络中操作的注册信令。在订户尝试建立分组数据单元(PDU)会话时,PDU会话建立信令被路由到归属网络中的用户数据管理(UDM)功能以进行授权。
该架构的一个问题是,在将PDU会话建立请求转发给用户数据管理功能和归属网络之前,归属网络并不验证该请求。攻击者可以反复发送虚假的PDU会话建立请求,淹没归属网络中的UDM。
因此,鉴于上述困难,需要用于使用SEPP来减轻5G漫游安全攻击的方法、系统和计算机可读介质。
发明内容
一种使用安全边缘保护代理(SEPP)来减轻5G漫游攻击的方法,包括在SEPP处接收用于出站漫游订户的用户设备(UE)注册消息。该方法还包括在SEPP安全数据库中创建从UE注册消息得出的UE 漫游注册记录。该方法还包括在SEPP处接收分组数据单元(PDU) 会话建立请求消息。该方法还包括使用从PDU会话建立请求消息中提取的至少一个参数值在SEPP安全数据库中执行对UE漫游注册记录的查找。该方法还包括由SEPP以及基于查找的结果确定是允许还是拒绝PDU会话建立请求消息。
根据本文描述的主题的另一方面,接收用于出站漫游订户的UE 注册消息包括从服务于出站漫游订户的访问管理功能(AMF)和会话管理功能(SMF)接收Nudm_UECM_Registration消息。
根据本文描述的主题的另一方面,在SEPP安全数据库中创建记录包括创建多个记录,每个记录包括订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)、服务公共陆地移动网络(PLMN)ID和接入类型。
根据本文描述的主题的另一方面,接收PDU会话建立请求消息包括接收包括SUPI或SUCI、PLMN ID和接入类型的PDU会话建立请求消息。
根据本文描述的主题的又一方面,在SEPP安全数据库中执行查找包括使用来自PDU会话建立请求消息的SUPI或SUCI来执行查找。
根据本文所描述的主题的又一方面,减轻针对出站移动订户的 5G漫游安全攻击的方法包括未能在SEPP安全数据库中定位与来自 PDU会话建立请求消息的SUPI或SUCI对应的记录,其中确定是允许还是拒绝PDU会话建立请求消息包括确定拒绝PDU会话建立请求消息,并且还包括拒绝PDU会话建立请求消息。
根据本文所描述的主题的又一方面,减轻针对出站移动订户的 5G漫游安全攻击的方法包括在SEPP安全数据库中定位与来自PDU 会话建立请求消息中的SUPI或SUCI对应的记录,确定记录中的 PLMN ID或接入类型与PDU会话建立请求消息中的PLMN ID或接入类型不匹配,其中确定是允许还是拒绝PDU会话建立请求消息包括确定拒绝PDU会话建立请求消息,并且减轻5G漫游安全攻击的方法还包括拒绝PDU会话建立请求消息。
根据本文所描述的主题的又一方面,拒绝PDU会话建立请求消息包括丢弃PDU会话建立请求消息和发送PDU会话建立错误响应。
根据本文所描述的主题的又一方面,减轻针对出站移动订户的 5G漫游安全攻击的方法包括在SEPP安全数据库中定位与来自PDU 会话建立请求消息的SUPI或SUCI对应的记录,确定记录中的 PLMN ID和接入类型与PDU会话建立请求消息中的PLMN ID和接入类型匹配,其中确定是允许还是拒绝PDU会话建立请求消息包括确定允许PDU会话建立请求消息,并且减轻5G漫游安全攻击的方法还包括允许PDU会话建立请求消息。
根据本文所描述的主题的又一方面,减轻针对出站移动订户的 5G漫游安全攻击的方法包括通过将PDU会话建立请求消息从SEPP 转发到归属会话管理功能(hSMF)来允许PDU会话建立请求消息。
根据本文所描述的主题的又一方面,一种用于减轻5G漫游攻击的系统包括安全边缘保护代理(SEPP),SEPP包括至少一个处理器和存储器。该系统还包括在存储器中实现的SEPP安全数据库。该系统还包括由至少一个处理器实现的SEPP漫游安全控制器,用于接收用于出站漫游订户的用户设备(UE)注册消息,在SEPP安全数据库中创建从UE注册消息得出的UE漫游注册记录,接收分组数据单元(PDU)会话建立请求,使用从PDU会话建立请求消息中提取的至少一个参数值在SEPP安全数据库中执行对UE漫游注册记录的查找,并由SEPP以及基于查找的结果确定是允许还是拒绝PDU会话建立请求消息。
根据本文描述的主题的又一方面,SEPP漫游安全控制器被配置为从服务于出站漫游订户的访问管理功能(AMF)和会话管理功能 (SMF)接收Nudm_UECM_Registration消息。
根据本文所描述的主题的又一方面,SEPP漫游安全控制器被配置为在SEPP安全数据库中创建记录包括创建多个记录,其中每个记录包括订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)、服务公共陆地移动网络(PLMN)ID和接入类型。
根据本文所描述的主题的又一方面,PDU会话建立请求消息包括SUPI或SUCI、PLMNID和接入类型。
根据本文描述的主题的又一方面,SEPP漫游安全控制器被配置为使用来自PDU会话建立请求消息的SUPI或SUCI在SEPP安全数据库中执行查找。
根据本文所描述的主题的又一方面,SEPP漫游安全控制器被配置为响应于未能在SEPP安全数据库中定位与来自PDU会话建立请求消息的SUPI或SUCI对应的记录,拒绝PDU会话建立请求消息。
根据本文所描述的主题的又一方面,SEPP漫游安全控制器配置为响应于在SEPP安全数据库中定位与来自PDU会话建立请求消息中的SUPI或SUCI对应的记录,并且确定记录中的PLMN ID或接入类型与PDU会话建立请求消息中的PLMN ID或接入类型不匹配,拒绝PDU会话建立请求消息。
根据本文所描述的主题的又一方面,SEPP漫游安全控制器被配置为通过丢弃PDU会话建立请求消息并且发送PDU会话建立错误响应来拒绝PDU会话建立请求消息。
根据本文所描述的主题的又一方面,SEPP漫游安全控制器被配置为响应于在SEPP安全数据库中定位与来自PDU会话建立请求消息的SUPI或SUCI对应的记录,确定记录中的PLMN ID和接入类型与PDU会话建立请求消息中的PLMN ID和接入类型相匹配,允许 PDU会话建立请求消息,其中允许PDU会话建立请求消息包括将 PDU会话建立请求消息从SEPP转发给归属会话管理功能(SMF)。
根据本文所描述的主题的又一方面,描述了一种非暂态计算机可读介质,其上存储有可执行指令,指令在由计算机的处理器执行时控制计算机执行步骤。步骤包括在安全边缘保护代理(SEPP)处接收用于出站漫游订户的用户设备(UE)注册消息。步骤还包括在SEPP 安全数据库中创建从UE注册消息得出的UE漫游注册记录。步骤还包括在SEPP处接收分组数据单元(PDU)会话建立请求消息。步骤还包括使用从PDU会话建立请求中提取的至少一个参数值在SEPP 安全数据库中执行对UE漫游注册记录的查找。步骤还包括由SEPP 以及基于查找的结果确定是允许还是拒绝PDU会话建立请求消息。
本文描述的主题可以以硬件、软件、固件或其任何组合实现。由此,如本文中使用的术语“功能”、“节点”或“模块”是指用于实现所描述的特征的硬件,其还可以包括软件和/或固件组件。在一个示例性实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,所述指令在由计算机的处理器执行时,控制计算机执行步骤。适用于实现本文描述的主题的示例性计算机可读介质包括非暂态计算机可读介质,诸如磁盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,也可以分布在多个设备或计算平台上。
附图说明
现在将参考附图说明本文描述的主题:
图1是图示了示例性5G网络架构的网络图;
图2是图示了出站漫游订户的UDM注册的流程图;
图3是图示了出站漫游订户PDU会话建立的调用流程图;
图4是图示了黑客针对出站漫游订户发送的虚假的PDU会话建立请求的调用流程图;
图5是图示了UDM注册和使用SEPP阻塞虚假的PDU会话建立消息的调用流程图;
图6是图示了用于减轻5G漫游安全攻击的示例性SEPP的框图;以及
图7是图示了使用SEPP来减轻5G漫游安全攻击的示例性过程的流程图。
具体实施方式
本文描述的主题涉及使用SEPP来减轻5G漫游安全攻击的方法、系统和计算机可读介质。图1是图示了示例性5G系统网络体系架构的框图。图1中的体系架构包括NRF 100和SCP 101,它们可以位于同一归属公共陆地移动网络(HPLMN)中。如上所述,NRF 100可以维护可用的生产者NF服务实例及其支持的服务的简档,并且允许消费者NF或SCP订阅和被通知新的/更新的生产者NF服务实例的注册。SCP 101还可以支持服务发现和生产者NF的选择。此外,SCP 101还可以执行消费者和生产者NF之间的连接的负载平衡。
NRF 100是NF简档的储存库。为了与生产者NF通信,消费者 NF或SCP必须从NRF100获得NF简档。NF简档是在3GPP TS 29.510中定义的JavaScript对象表示法(JSON)数据结构。NF简档定义包括完全限定域名(FQDN)、互联网协议(IP)版本4(IPv4) 地址或IP版本6(IPv6)地址中的至少一者。
在图1中,节点(SCP 101和NRF 100除外)中的任何一个都可以或者是消费者NF或者是生产者NF,取决于它们是请求服务还是提供服务。在所示示例中,节点包括在网络中执行策略相关操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104和提供应用服务的应用功能(AF)106。图1中所示的节点还包括会话管理功能(SMF)108,其管理访问管理功能(AMF)110 和PCF 102之间的会话。AMF 110执行与4G网络中由移动性管理实体(MME)执行的移动性管理操作类似的移动性管理操作。认证服务器功能(AUSF)112为诸如UE 114之类的寻求接入网络的用户装备(UE)执行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的特定网络能力和特征的设备提供网络切片服务。网络开放功能(NEF) 118为寻求获得关于物联网(IoT)设备和附接到网络的其它UE的信息的应用功能提供应用编程接口(API)。NEF 118执行与4G网络中的服务能力开放功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将UE 114连接到网络。可以使用g-Node B(gNB)(图1中未示出)或其它无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用户平面服务的各种代理功能。这种代理功能的一个示例是多路径传输控制协议(MPTCP)代理功能。UPF 122还可以支持可以由UE 114 使用以获得网络性能测量的性能测量功能。图1中还图示了数据网络 (DN)124,UE通过该数据网络访问数据网络服务,诸如互联网服务。
SEPP 126过滤来自另一个PLMN的传入流量,并且对离开归属 PLMN的流量执行拓扑隐藏。SEPP 126可以与管理外部PLMN的安全的外部PLMN中的SEPP通信。因此,不同PLMN中的NF之间的流量可能会经过两个SEPP功能,一个用于本地PLMN,另一个用于外部PLMN。如在下文将要详细描述的,SEPP 126可以用于通过为出站漫游订户对传入的PDU会话建立请求执行授权查找并且在授权查找失败时禁止请求进入归属网络来减轻针对出站漫游订户的5G 漫游安全攻击。
SEPP 126与其他网络中的SEPP连接使用的接口是N32-f接口。攻击者可以利用N32-f接口发送虚假PDU会话建立请求。然而,在说明虚假PDU会话建立请求场景之前,现在将描述通过N32-f接口传输的注册和认证信令。图2是图示了出站漫游订户的UE注册信令的调用流程图,其中该UE注册信令通过N32-f接口在归属SEPP和访问SEPP之间交换。参考图2,归属SEPP 126A位于订户归属网络的边缘,并且为出站漫游订户接收来自访问网络的信令。归属网络还包括归属AUSF 112A、归属UDM 104A和归属PCF 102A。访问网络包括访问SEPP126B、访问PCF 102B和访问AMF 110。
参考图2中的信令消息流,在第1行,在UE移动到访问AMF 110所服务的区域时,访问AMF 110向漫游订户的归属网络中的归属 AUSF 112A发送Nausf_UE_Authentication_Authenticate_Request消息。Nausf_UE_Authentication_Authenticate_Request消息可以包含订阅隐藏标识符(SUCI)或订阅永久标识符(SUPI)。 Nausf_UE_Authentication_Authenticate_Request消息还包括服务网络名称或VPLMN ID。Nausf_UE_Authentication_Authenticate_Request 消息也可以识别接入类型,例如,接入是3GPP还是非3GPP。如在下文将要详细描述的,归属SEPP 126A可以使用SUPI、服务网络名称或VPLMN ID、和接入类型的组合来授权或不授权PDU会话建立请求。然而,在3GPP TS 33.501中,这种功能并没有被指定为定义 5G系统安全架构的SEPP功能的一部分。
访问SEPP 126B接收 Nausf_UE_Authentication_Authenticate_Request消息,并且通过N32- f接口将Nausf_UE_Authentication_Authenticate_Request消息转发给归属SEPP 126A。归属SEPP 126A将 Nausf_UE_Authentication_Authenticate_Request消息转发给归属 AUSF 112A。
在接收到Nausf_UE_Authentication_Authenticate_Request消息后,归属AUSF112A通过比较服务网络名称和预期的服务网络名称,确定服务网络中的进行请求的AMF或安全锚定功能(SAF)是否有权使用在Nausf_UE_Authentication_Authenticate_Request中命名的服务网络。归属AUSF 112A临时存储接收到的服务网络名称。如果服务网络未被授权使用由服务网络名称标识的服务网络,则归属AUSF 112A将在Nausf_UE Authentication_Authenticate_Response消息中以特定的“服务网络未授权”进行响应。
在所图示的示例中,假设 Nausf_UE_Authentication_Authenticate_Request中的服务网络名称与预期的服务网络名称匹配。相应地,归属AUSF 112A将 Nudm_UE_Authentication_Get_Request发送给归属UDM 104A。归属 Nudm_UE_Authentication_Get_Request信息包括SUCI或SUPI和服务网络名称。
在接收到Nudm_UE_Authentication_Get_Request消息后,如果其包含SUCI,则归属UDM 104A将调用订阅标识符取消隐蔽功能 (SIDF)。SIDF用于SUCI对SUPI的隐蔽。如果其包含SUPI,则归属UDM 104A将基于订阅数据选择认证方法。归属UDM 104A将在Nudm_UE_Athentication_Get_Response消息中以认证挑战信息进行响应,如消息流图的第5行所示。
在消息流图的第6行,归属AUSF 112A通过归属SEPP 126A发送带有认证挑战信息的 Nausf_UE_Authentication_Authenticate_Response消息。
在消息流图的第7行和第8行,认证响应消息被递送给访问AMF 110。访问AMF 110可以将认证挑战信息转发给UE,UE计算认证响应。在消息流图的第9行,访问AMF和归属AUSF在UE通过认证之前交换附加的认证消息。
一旦UE通过认证,访问AMF 110就可以注册为在归属UDM 104A中服务AMF的订户。注册过程从消息流图的第10行开始,访问AMF 110将UECM_Registration_Request发送给归属UDM 104A。在第11行,访问SEPP 126B将UECM_Registration_Request发送给归属SEPP126A。归属SEPP 126A可以确定 UECM_Registration_Request是否与来自访问网络的最近的认证相关联,如果不相关,则丢弃该消息。在本例中,假定 UECM_Registration_Request与最近的认证相关联。相应地,在第12 行,归属SEPP 126A将UECM_Registration_Request转发给UDM 104A。
归属UDM 104A接收UECM_Registration_Request,更新订户的订阅数据以包括访问AMF的标识,并且在消息流图第14行的 UECM_Registration_Response消息中返回订阅数据。在第13行到第 15行,UECM_Registration_Response消息被递送到访问AMF 110。
图3是图示了用于出站漫游订户的PDU会话建立的示例性消息交换的消息流图。参考图3的第1行,在UE通过向访问AMF 110B 发送包含PDU会话建立请求的非访问层(NAS)消息来发起新的 PDU会话建立时,访问AMF 110B选择访问SMF 108B,并且向访问 SMF 108B发送Nsmf_PDU_Session_Create_SM_Context_Request消息。
在消息流图的第2行,访问SMF 108B向访问AMF 110B以 Nsmf_PDU_Session_Create_SM_Context_Response消息来响应 Nsmf_PDU_Session_Create_SM_Context_Request。在消息流图的第3 行,访问SMF 108B与访问UPF 122B进行信令通信以用于N4会话建立。
在消息流图的第4行,访问SMF 108B向访问SEPP 126B发送 PDU会话建立请求。PDU会话建立请求包括SUPI和网络切片选择辅助信息(NSSAI)参数。在第5行,访问SEPP 126B通过N32-f接口将PDU会话建立请求发送给归属SEPP 126A。归属SEPP 126A不对 PDU会话建立请求执行认证,在第6行,将PDU会话建立请求转发给归属SMF 108A。在第7行,归属SMF 108A与归属UDM 104A进行信令通信以获取订阅数据和订户的注册信息。同样,在归属SMF 108A和归属UDM 104A之间没有安全检查。相应地,攻击者可以发送虚假的PDU会话建立请求并且淹没SMF 108A和UDM 104A处的资源。在消息流图的第8行,归属SMF 108A与归属UPF 122A进行信令通信以配置用户平面功能和N4会话。在第9行,归属SMF 108A向归属SEPP 126A发送PDU会话建立响应。在第10行,归属 SEPP 126A通过N32-f接口向访问SEPP 126B发送PDU会话建立响应。在第11行,访问SEPP 126B向访问SMF 108B发送PDU会话建立响应。在第12行,访问SMF与AMF 110B进行信号通信以完成 PDU会话的建立。
只要PDU会话建立合法,归属网络中的资源就不会因为处理 PDU会话建立请求而浪费。然而,存在一些场景,其中由于互连网络或远程PLMN网络中的漏洞,黑客可以通过欺骗PLMN间消息发起拒绝服务攻击。PLMN间的流量可以通过多个中间跳或IP交换 (IPX)提供者。一些移动网络运营商(MNO)甚至可能将SEPP功能外包给IPX提供商,留下可能导致攻击的安全漏洞。
如上所述,黑客可以朝归属网络SMF发起针对出站漫游订户的虚假的PDU会话建立请求的信令风暴。UDM不对存储在UDM中的订户UE注册状态(针对3GPP接入数据的AMF注册)执行任何交叉验证,即使这样的数据是通过来自AMF的早期UECM注册消息接收的。UDM总是针对SMF注册请求来响应归属SMF。因此,归属网络中的SMF和UDM二者都会因为虚假的PDU会话创建请求和由 SMF基于虚假的PDU会话创建请求朝UDM生成的SMF注册请求的信令风暴而过载,导致对合法订户的拒绝服务攻击。
图4是图示了黑客针对出站漫游订户发送的虚假的PDU会话建立请求的信令消息流图。参考图4,在第1行,攻击者伪装成SMF,用虚假的SMF 108C图示,向归属SEPP 126A发送PDU建立请求。 PDU会话建立请求包括SUPI或SUCI、服务PLMN ID和接入类型。这些参数可能是虚假的或欺骗的,因为虚假的SMF 108C不为真正的出站漫游订户服务。由于不存在3GPP为PDU会话建立请求定义的安全程序,所以归属SEPP 126A不会通过检查PDU会话建立请求中存在的一个或多个参数值来筛选PDU会话建立请求,以确定该请求是否是虚假的。
在第2行,归属SEPP 126A将虚假的PDU会话建立请求转发给归属SMF 108A。在第3行,归属SMF 108A与归属UDM 104A进行信令通信以获取SMF注册和订阅数据。在第4行,归属SMF 108A 生成并发送PDU会话建立响应给归属SEPP 126A。归属SMF 108A 和归属UDM 104A的资源由于处理假PDU会话建立请求而被消耗。在第5行,归属SEPP 126A向虚假的SMF 108C发送PDU会话建立响应。
虚假的SMF 108C可能会发送PDU会话建立请求的风暴,如图 4所图示的,并且将淹没归属SMF 108A和归属UDM 104A。不对 PDU会话建立请求执行基于先前注册数据的安全检查。为了避免这些类型的攻击,本文所描述的主题包括SEPP,该SEPP通过关联从用于出站漫游订户的UECM注册和PDU会话创建消息中提取的数据来实现状态性的安全对策。在UE注册过程中,在从访问AMF接收到Nudm_UECM_Registration_Request消息时,归属网络SEPP将记录存储在数据库中。在该记录中,归属SEPP可以包括SUPI、访问网络PLMN ID和接入类型。在收到PDU会话建立消息时,归属网络 SEPP可以基于SUPI或SUCI在数据库中执行查找。如果没有发现记录或者如果在PLMN ID或接入类型之间不存在匹配,则SEPP将把 PDU会话创建请求标记为攻击消息,并且将拒绝或丢弃该消息。
图5是图示了归属SEPP 126A使用先前UE注册数据来阻塞来自攻击者的虚假的PDU会话建立请求的消息流图。参考图5,在第1 行,在真实的订户向访问AMF 110B注册时,访问AMF 110B经由访问SEPP 126B向订户的归属网络发送 Nudm_UECM_Registration_Request消息。在第2行,访问SEPP 126B 经由归属SEPP 126A向归属网络发送 Nudm_UECM_Registration_Request消息。归属SEPP 126A在SEPP 安全数据库500中创建记录,该记录包括从 Nudm_UECM_Registration_Request消息中提取的SUPI、VPLMN ID 和接入类型。在第3行,归属SEPP 126A将 Nudm_UECM_Registration_Request消息转发给归属UDM 104A。在第4行到第6行,UDM 104A将Nudm_UECM_Registration_Response 消息发送给访问AMF 110B。
在消息流图的第7行,虚假的SMF 108C将虚假的PDU会话建立请求发送给归属网络。归属SEPP 126A接收虚假的PDU会话建立请求并且在SEPP安全数据库500中执行查找。如果没有找到SUPI 记录,或者如果找到记录并且VPLMN ID或接入类型与同一SUPI的现有记录的VPLMN ID和接入类型不匹配,则归属SEPP 126A将不允许PDU会话建立请求,屏蔽归属SMF 122A和归属UDM 104A免受该攻击引起的不必要处理。在第8行,归属SEPP 126A将PDU会话建立错误消息发送给虚假的SMF 108C。因此,使用注册检查,归属SEPP 126A可以通过在归属网络边缘阻塞虚假的PDU会话建立请求来减少来自虚假的SMF的信令风暴的影响,屏蔽归属SMF 122A 和归属UDM 104A免受攻击信令流量的影响。
图6是图示了为出站漫游订户执行安全检查的示例性归属网络 SEPP的框图。参考图6,归属SEPP 126A包括至少一个处理器600 和存储器602。归属SEPP 126A还包括SEPP漫游安全控制器604,该SEPP漫游安全控制器可以使用存储在存储器602中并可由处理器 600执行的计算机可执行指令来实现。归属SEPP 126A还包括SEPP 安全数据库500,其存储从用于出站漫游订户的注册消息得出并且用于阻塞可能是拒绝服务攻击的一部分的虚假的PDU会话建立请求的记录。SEPP漫游安全控制器604可以接收与出站漫游订户相关的注册消息,从该消息中提取注册信息,并且使用该注册信息在SEPP安全数据库500中创建出站漫游UE注册记录。这样的记录可以包括 SUCI和/或SUPI,VPLMN ID和接入类型。下面的表1说明了可以在数据库500中创建的UE注册记录的示例。
| SUPI或SUCI | VPLMN ID | 接入类型 |
| SUPI 1 | VPLMN ID xyz | 3GPP |
表1:出站订户漫游UE注册记录
在表1中,出站漫游订户注册记录包括可用于验证后续消息,诸如PDU会话建立消息,是否合法的参数。在示例中,这些参数包括 SUPI或SUCI、VPLMN ID和接入类型。将理解的是,可以在不脱离本文所描述的主题范围的情况下使用从 Nudm_UECM_Registration_Request消息得出的附加或替代参数。试图淹没归属网络的资源的攻击者无法访问合法的UE注册信息。因此,在归属SEPP 126A在数据库500中执行查找并且没有未定位到匹配的记录时,虚假的订户的PDU会话建立请求将会被归属SEPP 阻塞并且被防止进入归属网络。
图7是图示了使用SEPP来减轻5G漫游安全攻击的示例性过程的流程图。参考图7,在步骤700,该过程包括在归属SEPP处接收出站漫游订户的UE注册消息。例如,归属SEPP126A可以接收出站漫游订户的Nudm_UE_Registration_Request消息。 Nudm_UE_Registration_Request消息可以包括SUPI或SUCI、服务 PLMN ID和接入类型。Nudm_UE_Registration_Request消息可以源自位于订户漫游的网络中的AMF。
在步骤702,该过程包括在SEPP安全数据库500中使用从UE 注册消息得出的信息创建SEPP安全数据库中的UE漫游注册记录。例如,归属SEPP 126A可以创建UE漫游注册记录,诸如表1中所示的记录,其中包含从Nudm_UE_Registration_Request消息中获得的 SUPI或SUCI、VPLMN ID和接入类型。
在步骤704,该过程包括接收PDU会话建立请求。例如,归属 SEPP 126A可以从服务合法出站漫游订户的真实SMF或伪装成真实 SMF的攻击者接收PDU会话建立请求。
在步骤706,该过程包括使用来自PDU会话建立请求的一个或多个参数,在SEPP安全数据库中执行对匹配的UE漫游注册记录的查找。例如,SEPP漫游安全控制器604可以从PDU会话建立请求中提取SUPI或SUCI,并且使用SUPI或SUCI在SEPP安全数据库 500中执行查找。
在步骤708,该过程包括确定是否找到记录。例如,SEPP漫游安全控制器604可以确定在漫游安全数据库500中是否存在与SUPI 或SUCI对应的记录。
如果没有发现记录,则控制继续进行到步骤710,在该步骤, PDU会话建立请求由于虚假被拒绝。拒绝PDU会话建立请求可以发生在归属SEPP 126A上,并且可以防止虚假的PDU会话建立请求影响到归属网络中的诸如归属UDM 104A和归属SMF 122A之类的节点。拒绝虚假的PDU会话建立请求可以包括丢弃虚假的PDU会话建立请求并且向发送方发送错误消息。
返回到步骤708,如果在SEPP安全数据库500中找到与来自PDU会话建立请求中的SUPI或SUCI对应的记录,则控制继续进行到步骤712,在该步骤712,确定该记录是否包含匹配的UE注册信息。例如,归属SEPP 126A的漫游安全控制器604可以定位与PDU 会话建立请求中的SUPI或SUCI对应的记录。如果PDU会话建立请求中的其余参数与该记录中相应的参数匹配,则控制继续进行到步骤714,在该步骤,允许PDU会话建立请求进入归属网络。在这种情况下,归属SEPP 126A可以将PDU会话建立请求转发给归属 SMF 108A。归属SMF 108A可以从归属UDM 104A获得相应的注册信息。归属SMF 108A可以通过向归属SEPP 126A发送指示成功的 PDU会话建立的消息来响应PDU会话建立请求。归属SEPP 126A 可以将PDU会话建立响应转发到访问网络。在访问网络中,PDU会话建立响应被转发给订户当前注册的AMF。
在步骤712中,如果PDU会话建立请求中的参数与数据库500 中相应记录中的参数不匹配,则控制继续进行步骤710,在该步骤,PDU会话建立请求被拒绝。图7中的过程可以持续执行,以保护归属网络免受拒绝服务攻击,同时允许来自合法出站漫游订户的 PDU会话建立请求。
本文提出的解决方案使用SEPP减少了通过虚假的PDU会话建立请求发起的DoS安全攻击。该解决方案减少了使处理PDU会话建立和SMF注册消息的归属网络SMF和UDM过载的可能性。该解决方案避免了SMF和UDM处不必要的后续信令流量,以释放虚假的 PDU会话建立请求引起的资源。
本文提出的解决方案允许MNO减轻由于用于出站漫游订户的漫游PDU会话创建信令造成的DoS攻击,并且通过关联与出站漫游订户相关的UECM注册和PDU会话创建信令在SEPP处使用所提出的安全对策来保护5G核心NF(SMF和UDM)。
以下每个参考文献的公开内容通过引用整体并入本文。
参考文献:
3GPP TS 33.501,3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;Security architecture andprocedures for 5G system(Release 16)V16.2.0, (2020-03)。
3GPP TS 33.517,3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;5G Security AssuranceSpecification(SCAS)for the Security Edge Protection Proxy(SEPP)networkproduct class(Release 16)V16.1.0(2019-12)。
3GPP TS 23.502,Technical Specification Group Services and SystemAspects;Procedures for the 5G System(5Gs),Stage 2, (Release 16)V16.4.0(2020-03)。
将理解的是,本文公开的主题的各种细节可以在不脱离本公开主题的范围的情况下被改变。此外,以上描述仅出于说明目的,而并非限制目的。
Claims (20)
1.一种使用安全边缘保护代理(SEPP)来减轻5G漫游攻击的方法,该方法包括:
在SEPP处接收用于出站漫游订户的用户设备(UE)注册消息;
在SEPP安全数据库中创建从UE注册消息得出的UE漫游注册记录;
在所述SEPP处接收分组数据单元(PDU)会话建立请求消息;
使用从所述PDU会话建立请求消息中提取的至少一个参数值,在所述SEPP安全数据库中执行对UE漫游注册记录的查找;以及
由所述SEPP并基于所述查找的结果,决定是否允许或拒绝所述PDU会话建立请求消息。
2.如权利要求1所述的方法,其中接收所述出站漫游订户的所述UE注册消息包括从服务于所述出站漫游订户的访问管理消息(AMF)和会话管理功能(SMF)接收Nudm_UECM_Registration消息。
3.如权利要求1或权利要求2所述的方法,其中在所述SEPP安全数据库中创建记录包括创建多个记录,每个记录包括订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)、服务公共陆地移动网络(PLMN)ID和接入类型。
4.如权利要求3所述的方法,其中接收PDU会话建立请求消息包括接收包括SUPI或SUCI、PLMN ID和接入类型的PDU会话建立请求消息。
5.如权利要求4所述的方法,其中在所述SEPP安全数据库中执行所述查找包括使用来自所述PDU会话建立请求消息的所述SUPI或SUCI来执行所述查找。
6.如权利要求5所述的方法,包括未能在所述SEPP安全数据库中定位与来自所述PDU会话建立请求消息的所述SUPI或SUCI对应的记录,其中确定是允许还是拒绝所述PDU会话建立请求消息包括决定拒绝所述PDU会话建立请求消息,并且还包括拒绝所述PDU会话建立请求消息。
7.如权利要求5所述的方法,包括在所述SEPP安全数据库中定位与来自所述PDU会话建立请求消息中的所述SUPI或SUCI对应的记录,确定所述记录中的PLMNID或接入类型与所述PDU会话建立请求消息中的所述PLMN ID或所述接入类型不匹配,其中确定是允许还是拒绝所述PDU会话建立请求消息包括确定拒绝所述PDU会话建立请求,并且还包括拒绝所述PDU会话建立请求消息。
8.如权利要求7所述的方法,拒绝所述PDU会话建立请求消息包括丢弃所述PDU会话建立请求消息并且发送PDU会话建立错误响应。
9.如权利要求5所述的方法,包括在所述SEPP安全数据库中定位与来自所述PDU会话建立请求消息中的所述SUPI或SUCI对应的记录,确定所述记录中的PLMNID和接入类型与所述PDU会话建立请求消息中的所述PLMN ID和所述接入类型匹配,其中确定是允许还是拒绝所述PDU会话建立请求消息包括确定允许所述PDU会话建立请求消息,并且还包括允许所述PDU会话建立请求消息。
10.如权利要求9所述的方法,其中允许所述PDU会话建立请求消息包括将所述PDU会话建立请求消息从所述SEPP转发到归属会话管理功能(hSMF)。
11.一种用于减轻5G漫游攻击的系统,所述系统包括:
安全边缘保护代理(SEPP),包括至少一个处理器和存储器;
在所述存储器中实现的SEPP安全数据库;
由所述至少一个处理器实现的SEPP漫游安全控制器,用于接收用于出站漫游订户的用户设备(UE)注册消息,在所述SEPP安全数据库中创建从UE注册消息得出的UE漫游注册记录,接收分组数据单元(PDU)会话建立请求消息,使用从所述PDU会话建立请求消息提取的至少一个参数值在所述SEPP安全数据库中执行对UE漫游注册记录的查找,并由所述SEPP根据所述查找的结果决定是否允许或拒绝所述PDU会话建立请求消息。
12.如权利要求11所述的系统,其中所述SEPP漫游安全控制器被配置为从为所述出站漫游订户服务的访问管理功能(AMFs)和会话管理功能(SMF)接收Nudm_UECM_Registration消息。
13.如权利要求11或权利要求12所述的系统,其中所述SEPP漫游安全控制器被配置为在所述SEPP安全数据库中创建所述记录,其中每条记录包括订阅永久标识符(SUPI)或订阅隐藏标识符(SUCI)、服务公共陆地移动网络(PLMN)ID和接入类型。
14.如权利要求13所述的系统,其中所述PDU会话建立请求消息包括SUPI或SUCI、PLMNID和接入类型。
15.如权利要求14所述的系统,其中所述SEPP漫游安全控制器被配置为使用来自所述PDU会话建立请求消息的所述SUPI或SUCI在所述SEPP安全数据库中来执行所述查找。
16.如权利要求15所述的系统,其中所述SEPP漫游安全控制器被配置为,响应于未能在所述SEPP安全数据库中定位与来自所述PDU会话建立请求消息中的所述SUPI或SUCI对应的记录,拒绝所述PDU会话建立请求消息。
17.如权利要求15所述的系统,其中所述SEPP漫游安全控制器被配置为,响应于在所述SEPP安全数据库中定位与来自所述PDU会话建立请求消息中的所述SUPI或SUCI对应的记录,并且确定所述记录中的PLMNID或接入类型与所述PDU会话建立请求消息中的所述PLMNID或所述接入类型不匹配,拒绝所述PDU会话建立请求消息。
18.如权利要求17所述的系统,其中所述SEPP漫游安全控制器被配置为通过丢弃所述PDU会话建立请求消息并且发送PDU会话建立错误响应来拒绝所述PDU会话建立请求消息。
19.如权利要求15所述的系统,其中所述SEPP漫游安全控制器被配置为,响应于在所述SEPP安全数据库中定位与来自所述PDU会话建立请求消息中的所述SUPI或SUCI对应的记录,确定所述记录中的PLMNID和接入类型与所述PDU会话建立请求消息中的所述PLMNID和所述接入类型匹配,允许所述PDU会话建立请求消息,其中允许所述PDU会话建立请求消息包括将所述PDU会话建立请求消息从所述SEPP转发给归属会话管理功能(hSMF)。
20.一种非暂态计算机可读介质,其上存储有可执行指令,指令在由计算机的处理器执行时控制计算机执行以下步骤:
在安全边缘保护代理(SEPP)处接收出站漫游订户的用户设备(UE)注册消息;
在SEPP安全数据库中创建从UE注册消息得出的UE漫游注册记录;
在所述SEPP处接收分组数据单元(PDU)会话建立请求消息;
使用从所述PDU会话建立请求消息中提取的至少一个参数值,在所述SEPP安全数据库中执行对UE漫游注册记录的查找;以及
由所述SEPP并基于所述查找的结果,决定是否允许或拒绝所述PDU会话建立请求消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/929,048 US11553342B2 (en) | 2020-07-14 | 2020-07-14 | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
| US16/929,048 | 2020-07-14 | ||
| PCT/US2021/024002 WO2022015378A1 (en) | 2020-07-14 | 2021-03-24 | Methods, systems, and computer readable media for mitigating 5g roaming security attacks using security edge protection proxy (sepp) |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115699840A true CN115699840A (zh) | 2023-02-03 |
Family
ID=75478346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180038043.7A Pending CN115699840A (zh) | 2020-07-14 | 2021-03-24 | 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11553342B2 (zh) |
| EP (1) | EP4183154A1 (zh) |
| JP (1) | JP7466053B2 (zh) |
| CN (1) | CN115699840A (zh) |
| WO (1) | WO2022015378A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
| KR20220122555A (ko) * | 2021-02-26 | 2022-09-02 | 시니버스 테크놀로지스, 엘엘씨 | Ipx 네트워크에서 5g 코어 로밍 라우팅을 구현하는 방법 |
| US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| US11974134B2 (en) * | 2022-01-28 | 2024-04-30 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090168719A1 (en) * | 2001-10-11 | 2009-07-02 | Greg Mercurio | Method and apparatus for adding editable information to records associated with a transceiver device |
| US20190182875A1 (en) * | 2017-12-08 | 2019-06-13 | Comcast Cable Communications, Llc | User Plane Function Selection For Isolated Network Slice |
| CN110035433A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| CN110800267A (zh) * | 2017-08-01 | 2020-02-14 | 甲骨文国际公司 | 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 |
Family Cites Families (204)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE508514C2 (sv) | 1997-02-14 | 1998-10-12 | Ericsson Telefon Ab L M | Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem |
| US6151503A (en) | 1997-12-17 | 2000-11-21 | Lucent Technologies Inc. | Subscriber activated wireless telephone call rerouting system |
| US6308075B1 (en) | 1998-05-04 | 2001-10-23 | Adc Telecommunications, Inc. | Method and apparatus for routing short messages |
| JP3049056B1 (ja) | 1998-07-02 | 2000-06-05 | 日本電気通信システム株式会社 | 移動体通信網の加入者デ―タ制御方法 |
| US6343215B1 (en) | 1998-11-10 | 2002-01-29 | Lucent Technologies, Inc | ANSI 41 dialed number validation |
| US6292666B1 (en) | 1999-05-06 | 2001-09-18 | Ericsson Inc. | System and method for displaying country on mobile stations within satellite systems |
| CA2312012A1 (en) | 1999-06-30 | 2000-12-30 | Lucent Technologies Inc. | Transaction notification system and method |
| DE59912688D1 (de) | 1999-11-17 | 2005-11-24 | Swisscom Mobile Ag | Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz |
| FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
| US6990347B2 (en) | 2000-03-07 | 2006-01-24 | Tekelec | Methods and systems for mobile application part (MAP) screening |
| TW589855B (en) | 2000-05-15 | 2004-06-01 | Ntt Docomo Inc | Authentication system and method |
| EP1213931A3 (de) | 2000-12-05 | 2003-03-19 | Siemens Aktiengesellschaft | Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz |
| US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
| AUPR441401A0 (en) | 2001-04-12 | 2001-05-17 | Gladwin, Paul | Utility usage rate monitor |
| EP1304897A1 (en) | 2001-10-22 | 2003-04-23 | Agilent Technologies, Inc. (a Delaware corporation) | Methods and apparatus for providing data for enabling location of a mobile communications device |
| US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
| US7068999B2 (en) | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
| US20100240361A1 (en) | 2002-08-05 | 2010-09-23 | Roamware Inc. | Anti-inbound traffic redirection system |
| US7729686B2 (en) | 2003-04-02 | 2010-06-01 | Qualcomm Incorporated | Security methods for use in a wireless communications system |
| US7043754B2 (en) | 2003-06-12 | 2006-05-09 | Michael Arnouse | Method of secure personal identification, information processing, and precise point of contact location and timing |
| US8121594B2 (en) | 2004-02-18 | 2012-02-21 | Roamware, Inc. | Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register |
| US7567661B1 (en) | 2003-12-31 | 2009-07-28 | Nortel-Networks Limited | Telephony service information management system |
| GB0406119D0 (en) | 2004-03-18 | 2004-04-21 | Telsis Holdings Ltd | Telecommunications services apparatus and method |
| WO2005101872A1 (en) | 2004-04-14 | 2005-10-27 | Nooren Consulting B.V. | Method for preventing the delivery of short message service message spam |
| US7403537B2 (en) | 2004-04-14 | 2008-07-22 | Tekelec | Methods and systems for mobile application part (MAP) screening in transit networks |
| US7319857B2 (en) | 2004-09-13 | 2008-01-15 | Tekelec | Methods, systems, and computer program products for delivering messaging service messages |
| IES20040693A2 (en) | 2004-10-14 | 2006-04-19 | Anam Mobile Ltd | A messaging system and method |
| US7870201B2 (en) | 2004-12-03 | 2011-01-11 | Clairmail Inc. | Apparatus for executing an application function using a mail link and methods therefor |
| US20060211406A1 (en) | 2005-03-17 | 2006-09-21 | Nokia Corporation | Providing security for network subscribers |
| US8867575B2 (en) | 2005-04-29 | 2014-10-21 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
| WO2007004224A1 (en) | 2005-07-05 | 2007-01-11 | Mconfirm Ltd. | Improved location based authentication system |
| US20070174082A1 (en) | 2005-12-12 | 2007-07-26 | Sapphire Mobile Systems, Inc. | Payment authorization using location data |
| US7881192B2 (en) | 2006-01-13 | 2011-02-01 | Futurewei Technologies, Inc. | System for providing aggregate-rate communication services |
| US7817550B2 (en) | 2006-01-13 | 2010-10-19 | Futurewei Technologies, Inc. | System for rate-control of aggregate-rate communication services |
| US20070168432A1 (en) | 2006-01-17 | 2007-07-19 | Cibernet Corporation | Use of service identifiers to authenticate the originator of an electronic message |
| EP1835686B1 (en) | 2006-03-13 | 2015-12-23 | Vodafone Group PLC | Method of providing access to an IP multimedia subsystem based on provided access network data. |
| US7539133B2 (en) | 2006-03-23 | 2009-05-26 | Alcatel-Lucent Usa Inc. | Method and apparatus for preventing congestion in load-balancing networks |
| US20070248032A1 (en) | 2006-04-21 | 2007-10-25 | Subramanian Vasudevan | Method of providing route update messages and paging access terminals |
| US8121624B2 (en) | 2006-07-25 | 2012-02-21 | Alcatel Lucent | Message spoofing detection via validation of originating switch |
| JP4174535B2 (ja) | 2006-08-22 | 2008-11-05 | Necインフロンティア株式会社 | 無線端末を認証する認証システム及び認証方法 |
| US8145234B1 (en) | 2006-09-13 | 2012-03-27 | At&T Mobility Ii Llc | Secure user plane location (SUPL) roaming |
| WO2008037638A1 (en) | 2006-09-27 | 2008-04-03 | Nokia Siemens Networks Gmbh & Co. Kg | Intelligent location tracking based on predictive modelling |
| EP2080673B1 (en) | 2006-11-02 | 2014-03-12 | Panasonic Corporation | Vehicle power supply device |
| US8929360B2 (en) * | 2006-12-07 | 2015-01-06 | Cisco Technology, Inc. | Systems, methods, media, and means for hiding network topology |
| US8014755B2 (en) | 2007-01-05 | 2011-09-06 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
| US20080207181A1 (en) | 2007-02-28 | 2008-08-28 | Roamware | Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication |
| US7916718B2 (en) | 2007-04-19 | 2011-03-29 | Fulcrum Microsystems, Inc. | Flow and congestion control in switch architectures for multi-hop, memory efficient fabrics |
| EP1983787B1 (en) | 2007-04-19 | 2012-11-28 | Nokia Siemens Networks Oy | Transmission and distribution of position- and/or network-related information from access networks |
| WO2008138440A2 (en) | 2007-05-16 | 2008-11-20 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
| US20090045251A1 (en) | 2007-08-14 | 2009-02-19 | Peeyush Jaiswal | Restricting bank card access based upon use authorization data |
| CN101822080B (zh) | 2007-10-09 | 2013-01-16 | 艾利森电话股份有限公司 | 用于提供对多个移动性管理协议的支持的技术 |
| US8036660B2 (en) | 2008-01-24 | 2011-10-11 | Avaya Inc. | Call-handling for an off-premises, telecommunications terminal with an installed subscriber identity module |
| US8255090B2 (en) | 2008-02-01 | 2012-08-28 | Energyhub | System and method for home energy monitor and control |
| US20110063126A1 (en) | 2008-02-01 | 2011-03-17 | Energyhub | Communications hub for resource consumption management |
| US8509074B1 (en) | 2008-03-31 | 2013-08-13 | Saisei Networks Pte Ltd | System, method, and computer program product for controlling the rate of a network flow and groups of network flows |
| CN101471797B (zh) | 2008-03-31 | 2012-05-30 | 华为技术有限公司 | 决策方法及系统和策略决策单元 |
| WO2009134265A1 (en) | 2008-05-01 | 2009-11-05 | Lucent Technologies Inc | Message restriction for diameter servers |
| CN101277541B (zh) | 2008-05-22 | 2012-02-08 | 中兴通讯股份有限公司 | 一种Diameter路由实体转发消息的方法 |
| US8255994B2 (en) | 2008-08-20 | 2012-08-28 | Sprint Communications Company L.P. | Detection and suppression of short message service denial of service attacks |
| US9928379B1 (en) | 2008-09-08 | 2018-03-27 | Steven Miles Hoffer | Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor |
| US8326265B2 (en) | 2008-10-17 | 2012-12-04 | Tekelec Netherlands Group, B.V. | Methods, systems, and computer readable media for detection of an unauthorized service message in a network |
| US9038171B2 (en) | 2008-10-20 | 2015-05-19 | International Business Machines Corporation | Visual display of website trustworthiness to a user |
| US8494364B2 (en) | 2008-10-21 | 2013-07-23 | Broadcom Corporation | Supporting multi-dwelling units in passive optical networks |
| CN101742445A (zh) | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
| US9344438B2 (en) | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
| WO2010105099A2 (en) | 2009-03-11 | 2010-09-16 | Tekelec | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
| US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
| US8615217B2 (en) | 2009-06-25 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
| US8965324B2 (en) | 2009-07-08 | 2015-02-24 | At&T Mobility Ii Llc | E911 services using distributed nodes |
| US9818121B2 (en) | 2009-07-31 | 2017-11-14 | Visa International Space Association | Mobile communications message verification of financial transactions |
| CA2777154C (en) | 2009-10-09 | 2015-07-21 | Consert Inc. | Apparatus and method for controlling communications to and from utility service points |
| CN102656845B (zh) | 2009-10-16 | 2015-04-01 | 泰克莱克股份有限公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| KR20110055888A (ko) | 2009-11-20 | 2011-05-26 | 삼성전자주식회사 | 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템 |
| US8331929B2 (en) | 2009-11-24 | 2012-12-11 | At&T Mobility Ii Llc | Mobility-based reselection scan scheduling |
| US20130102231A1 (en) | 2009-12-30 | 2013-04-25 | 3M Innovative Properties Company | Organic particulate loaded polishing pads and method of making and using the same |
| US8787174B2 (en) | 2009-12-31 | 2014-07-22 | Tekelec, Inc. | Methods, systems, and computer readable media for condition-triggered policies |
| US20110173122A1 (en) | 2010-01-09 | 2011-07-14 | Tara Chand Singhal | Systems and methods of bank security in online commerce |
| US8505081B2 (en) | 2010-01-29 | 2013-08-06 | Qualcomm Incorporated | Method and apparatus for identity reuse for communications devices |
| US9185510B2 (en) | 2010-03-03 | 2015-11-10 | Tekelec, Inc. | Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers |
| US20110225091A1 (en) | 2010-03-12 | 2011-09-15 | Franco Plastina | Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information |
| US20110307381A1 (en) | 2010-06-10 | 2011-12-15 | Paul Kim | Methods and systems for third party authentication and fraud detection for a payment transaction |
| CN101917698B (zh) | 2010-08-20 | 2013-03-27 | 北京瑞格特软件技术有限公司 | 与3gpp协议兼容的提供移动设备用户信息的方法及系统 |
| US8620263B2 (en) | 2010-10-20 | 2013-12-31 | Tekelec, Inc. | Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control |
| US8396485B2 (en) | 2010-11-09 | 2013-03-12 | Apple Inc. | Beacon-based geofencing |
| US8942747B2 (en) | 2011-02-04 | 2015-01-27 | Tekelec, Inc. | Methods, systems, and computer readable media for provisioning a diameter binding repository |
| US20120203663A1 (en) | 2011-02-07 | 2012-08-09 | Carpadium Consulting Pty. Ltd. | Method and apparatus for authentication utilizing location |
| US8433321B2 (en) | 2011-02-09 | 2013-04-30 | Renesas Mobile Corporation | Method and apparatus for intelligently reporting neighbor information to facilitate automatic neighbor relations |
| US8693423B2 (en) | 2011-02-16 | 2014-04-08 | Tekelec, Inc. | Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery |
| EP2695351B1 (en) | 2011-04-04 | 2015-12-16 | Telefonaktiebolaget L M Ericsson (publ) | A method of and a support node for requesting registration of stationary user equipment in a cellular telecommunication system |
| WO2012158854A1 (en) | 2011-05-16 | 2012-11-22 | F5 Networks, Inc. | A method for load balancing of requests' processing of diameter servers |
| US9713053B2 (en) | 2011-07-06 | 2017-07-18 | Mobileum, Inc. | Network traffic redirection (NTR) in long term evolution (LTE) |
| JP5796396B2 (ja) | 2011-08-04 | 2015-10-21 | 富士通株式会社 | 移動無線通信装置及びプログラム |
| US9860390B2 (en) | 2011-08-10 | 2018-01-02 | Tekelec, Inc. | Methods, systems, and computer readable media for policy event record generation |
| US9060263B1 (en) | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
| CN103179504B (zh) | 2011-12-23 | 2015-10-21 | 中兴通讯股份有限公司 | 用户合法性判断方法及装置、用户接入信箱的方法和系统 |
| US20130171988A1 (en) | 2012-01-04 | 2013-07-04 | Alcatel-Lucent Canada Inc. | Imsi mcc-mnc best matching searching |
| CN103209402B (zh) | 2012-01-17 | 2018-03-23 | 中兴通讯股份有限公司 | 终端组可及性确定方法及系统 |
| EP2675203B1 (en) | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
| US9882950B2 (en) | 2012-06-13 | 2018-01-30 | All Purpose Networks LLC | Methods and systems of an all purpose broadband network |
| US9015808B1 (en) | 2012-07-11 | 2015-04-21 | Sprint Communications Company L.P. | Restricting mobile device services between an occurrence of an account change and acquisition of a security code |
| US9106428B2 (en) | 2012-10-04 | 2015-08-11 | Broadcom Corporation | Multicast switching for distributed devices |
| EP2918140B1 (en) * | 2012-11-07 | 2020-05-06 | Provenance Asset Group LLC | Proxy connection method and apparatus |
| US20150304220A1 (en) | 2012-11-22 | 2015-10-22 | Nec Corporation | Congestion control system, control device, congestion control method and program |
| US9258257B2 (en) | 2013-01-10 | 2016-02-09 | Qualcomm Incorporated | Direct memory access rate limiting in a communication device |
| US9462515B2 (en) | 2013-01-17 | 2016-10-04 | Broadcom Corporation | Wireless communication system utilizing enhanced air-interface |
| US20140259012A1 (en) | 2013-03-06 | 2014-09-11 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual machine mobility with evolved packet core |
| US9774552B2 (en) | 2013-03-14 | 2017-09-26 | Qualcomm Incorporated | Methods, servers and systems for verifying reported locations of computing devices |
| EP2979462B1 (en) | 2013-03-29 | 2019-05-22 | Mobileum Inc. | Method and system for facilitating lte roaming between home and visited operators |
| US10115135B2 (en) | 2013-07-03 | 2018-10-30 | Oracle International Corporation | System and method to support diameter credit control session redirection using SCIM/service broker |
| US20150038140A1 (en) | 2013-07-31 | 2015-02-05 | Qualcomm Incorporated | Predictive mobility in cellular networks |
| US9191803B2 (en) | 2013-09-04 | 2015-11-17 | Cellco Partnership | Connection state-based long term evolution steering of roaming |
| EP2854462B1 (en) | 2013-09-27 | 2016-03-30 | Telefonaktiebolaget LM Ericsson (publ) | Handling of subscriber deregistration |
| US9485099B2 (en) | 2013-10-25 | 2016-11-01 | Cliqr Technologies, Inc. | Apparatus, systems and methods for agile enablement of secure communications for cloud based applications |
| EP2887761B1 (en) | 2013-12-19 | 2018-10-03 | Vodafone Holding GmbH | Verification method for the verification of a Connection Request from a Roaming Mobile Entity |
| US9686343B2 (en) | 2013-12-31 | 2017-06-20 | Amadeus S.A.S. | Metasearch redirection system and method |
| EP3145228B1 (en) | 2014-05-11 | 2019-03-06 | LG Electronics Inc. | Method and apparatus for signal transmission and reception of hss/mme in wireless communication system |
| US9450947B2 (en) | 2014-05-20 | 2016-09-20 | Motorola Solutions, Inc. | Apparatus and method for securing a debugging session |
| JP6168415B2 (ja) | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
| US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
| GB2545869A (en) | 2014-09-22 | 2017-06-28 | Globetouch Inc | Trading exchange for local data services |
| WO2016060640A1 (en) | 2014-10-13 | 2016-04-21 | Empire Technology Development Llc | Verification location determination for entity presence confirmation of online purchases |
| US9693219B2 (en) | 2014-10-24 | 2017-06-27 | Ibasis, Inc. | User profile conversion to support roaming |
| DE102014117713B4 (de) | 2014-12-02 | 2016-12-01 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle |
| US9445360B2 (en) | 2014-12-17 | 2016-09-13 | Verizon Patent And Licensing Inc. | Method and system for providing global multiline roaming |
| KR20170122794A (ko) | 2015-03-10 | 2017-11-06 | 어펌드 네트웍스, 인크. | 정책 서버로부터의 향상된 리다이렉션 핸들링 |
| WO2016153423A1 (en) | 2015-03-25 | 2016-09-29 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
| WO2016201352A1 (en) | 2015-06-10 | 2016-12-15 | Arris Enterprises Llc | Code signing system with machine to machine interaction |
| CN106332067B (zh) | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| US9538335B1 (en) | 2015-07-22 | 2017-01-03 | International Business Machines Corporation | Inferring device theft based on historical location data |
| US9912486B1 (en) | 2015-08-27 | 2018-03-06 | Amazon Technologies, Inc. | Countersigned certificates |
| EP3166345B1 (en) | 2015-11-06 | 2022-03-30 | Alcatel Lucent | Support of mobile-terminated short message delivery for a user equipment in extended idle mode drx |
| US10292038B2 (en) | 2015-11-09 | 2019-05-14 | Lg Electronics Inc. | Method for acquiring business operator network identification number of visited network |
| US10009751B2 (en) | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
| US9628994B1 (en) | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
| US10085067B2 (en) | 2016-01-12 | 2018-09-25 | Ppc Broadband, Inc. | Network interface device with dynamic noise conditioning |
| GB2547472A (en) | 2016-02-19 | 2017-08-23 | Intercede Ltd | Method and system for authentication |
| US10382948B2 (en) | 2016-02-22 | 2019-08-13 | Cisco Technology, Inc. | Consolidated control plane routing agent |
| US9788325B2 (en) | 2016-03-01 | 2017-10-10 | Wipro Limited | Methods and systems for radio carriers management in a wireless broadband network |
| US10218625B2 (en) | 2016-03-30 | 2019-02-26 | New York University | Methods and apparatus for alleviating congestion at a switch, such as a shallow buffered switch |
| US10893069B2 (en) | 2016-04-06 | 2021-01-12 | Nokia Technologies Oy | Diameter edge agent attack detection |
| US9681360B1 (en) * | 2016-05-13 | 2017-06-13 | Harris Corporation | Managed access system that provides selective communications and registration of mobile wireless devices |
| US20170345006A1 (en) | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and methods for location data verification |
| US11395092B2 (en) | 2016-07-18 | 2022-07-19 | Here Global B.V. | Device location verification for updated map data |
| CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
| GB2553765A (en) | 2016-09-07 | 2018-03-21 | Evolved Intelligence Ltd | Mobile device roaming |
| US10764376B2 (en) | 2016-10-18 | 2020-09-01 | Cisco Technology, Inc. | System and method for node selection based on mid-session and end-session event information |
| US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
| US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
| US10405184B2 (en) * | 2017-01-31 | 2019-09-03 | Harris Corporation | Mobile wireless device managed access system providing enhanced authentication features and related methods |
| US10341411B2 (en) | 2017-03-29 | 2019-07-02 | Oracle International Corporation | Methods, systems, and computer readable media for providing message encode/decode as a service |
| US10868893B2 (en) | 2017-03-31 | 2020-12-15 | Xilinx, Inc. | Network interface device |
| WO2018202284A1 (en) | 2017-05-03 | 2018-11-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorizing access to user data |
| US10212538B2 (en) | 2017-06-28 | 2019-02-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating user equipment (UE) location |
| US10021738B1 (en) | 2017-09-05 | 2018-07-10 | Syniverse Technologies, Llc | Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks |
| CN109699031B (zh) | 2018-01-11 | 2020-03-20 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| US10548004B2 (en) | 2018-02-15 | 2020-01-28 | Nokia Technologies Oy | Security management in communication systems between security edge protection proxy elements |
| US10791118B2 (en) | 2018-03-29 | 2020-09-29 | Mcafee, Llc | Authenticating network services provided by a network |
| EP3547757A1 (en) | 2018-03-30 | 2019-10-02 | InterDigital CE Patent Holdings | Wireless access point and method for providing backup network connections |
| US10992580B2 (en) | 2018-05-07 | 2021-04-27 | Cisco Technology, Inc. | Ingress rate limiting in order to reduce or prevent egress congestion |
| EP3791537A4 (en) | 2018-05-09 | 2022-01-19 | Nokia Technologies Oy | SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM |
| US20210203643A1 (en) | 2018-05-21 | 2021-07-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Message Transmission between Core Network Domains |
| WO2019228832A1 (en) | 2018-06-01 | 2019-12-05 | Nokia Technologies Oy | A method for message filtering in an edge node based on data analytics |
| US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
| US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
| JP7078850B2 (ja) | 2018-07-23 | 2022-06-01 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
| US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
| US20210234706A1 (en) | 2018-08-10 | 2021-07-29 | Nokia Technologies Oy | Network function authentication based on public key binding in access token in a communication system |
| CN112567833A (zh) | 2018-08-13 | 2021-03-26 | 苹果公司 | 使用用户设备(ue)标识符以在第五代(5g)系统中注册 |
| US10511998B1 (en) | 2018-08-29 | 2019-12-17 | Syniverse Technologies, Llc | System and method for identifying false short message service (SMS) delivery reports |
| US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
| EP3847782A4 (en) | 2018-09-06 | 2022-05-04 | Nokia Technologies Oy | AUTOMATED ROAMING QoS OF SERVICE ARRANGEMENTS BETWEEN NETWORK OPERATORS VIA SECURITY EDGE PROTECTION PROXIES IN A COMMUNICATION SYSTEMS ENVIRONMENT |
| CN116801423A (zh) | 2018-09-19 | 2023-09-22 | 华为技术有限公司 | 策略控制方法、设备及系统 |
| US10574670B1 (en) * | 2018-09-27 | 2020-02-25 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
| US10728875B2 (en) | 2018-10-02 | 2020-07-28 | Google Llc | Scanning frequency selection for a wireless device |
| EP4060963A1 (en) | 2018-11-05 | 2022-09-21 | Telefonaktiebolaget LM Ericsson (publ) | Fully qualified domain name handling for service interactions in 5g |
| US10680964B1 (en) | 2018-11-26 | 2020-06-09 | Mellanox Technologies Tlv Ltd. | Rate limiting in a multi-chassis environment by exchanging information between peer network elements |
| US11134430B2 (en) | 2018-12-10 | 2021-09-28 | At&T Intellectual Property I, L.P. | System and method for detecting and acting upon a violation of terms of service |
| US20200259896A1 (en) | 2019-02-13 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Industrial Automation with 5G and Beyond |
| WO2020164763A1 (en) | 2019-02-13 | 2020-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for alternative data over non-access stratum, donas, data delivery in a roaming scenario |
| JP7259977B2 (ja) | 2019-03-01 | 2023-04-18 | 日本電気株式会社 | 端末、方法、及びプログラム |
| CN111436081B (zh) * | 2019-03-06 | 2023-06-30 | 维沃移动通信有限公司 | 数据传送的保障方法及通信设备 |
| CN111800777B (zh) * | 2019-04-08 | 2021-08-03 | 华为技术有限公司 | 一种漫游数据处理方法、装置及系统 |
| US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
| WO2020221956A1 (en) | 2019-04-27 | 2020-11-05 | Nokia Technologies Oy | Service authorization for indirect communication in a communication system |
| US11140555B2 (en) | 2019-06-18 | 2021-10-05 | Cisco Technology, Inc. | Location-based identification of potential security threat |
| US10834571B1 (en) * | 2019-08-02 | 2020-11-10 | Syniverse Technologies, Llc | Steering of roaming for 5G core roaming in an internet packet exchange network |
| US11018971B2 (en) | 2019-10-14 | 2021-05-25 | Oracle International Corporation | Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing |
| US11341082B2 (en) | 2019-11-19 | 2022-05-24 | Oracle International Corporation | System and method for supporting target groups for congestion control in a private fabric in a high performance computing environment |
| US11503052B2 (en) | 2019-12-19 | 2022-11-15 | Radware, Ltd. | Baselining techniques for detecting anomalous HTTPS traffic behavior |
| US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| US11539628B2 (en) | 2020-06-23 | 2022-12-27 | Arista Networks, Inc. | Automated configuration of policer parameters |
| DE102020116791A1 (de) | 2020-06-25 | 2021-12-30 | Technische Universität Dresden | Vorrichtung und Verfahren zum computergestützten Verarbeiten von Daten |
| US11398956B2 (en) * | 2020-07-16 | 2022-07-26 | Cisco Technology, Inc. | Multi-Edge EtherChannel (MEEC) creation and management |
| US11368412B2 (en) | 2020-07-31 | 2022-06-21 | Avago Technologies International Sales Pte. Limited | Power throttle for network switches |
| US11790113B2 (en) | 2020-08-12 | 2023-10-17 | Apple Inc. | Secure storage and retrieval of sensitive information |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| JP2023548372A (ja) | 2020-11-06 | 2023-11-16 | オラクル・インターナショナル・コーポレイション | ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
-
2020
- 2020-07-14 US US16/929,048 patent/US11553342B2/en active Active
-
2021
- 2021-03-24 CN CN202180038043.7A patent/CN115699840A/zh active Pending
- 2021-03-24 JP JP2023502774A patent/JP7466053B2/ja active Active
- 2021-03-24 EP EP21718461.3A patent/EP4183154A1/en active Pending
- 2021-03-24 WO PCT/US2021/024002 patent/WO2022015378A1/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090168719A1 (en) * | 2001-10-11 | 2009-07-02 | Greg Mercurio | Method and apparatus for adding editable information to records associated with a transceiver device |
| CN110800267A (zh) * | 2017-08-01 | 2020-02-14 | 甲骨文国际公司 | 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 |
| US20190182875A1 (en) * | 2017-12-08 | 2019-06-13 | Comcast Cable Communications, Llc | User Plane Function Selection For Isolated Network Slice |
| CN110035433A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| HUAWEI等: ""Prevent fraudulent Registration Request attack"", 3GPP TSG SA WG3 (SECURITY) MEETING #91 S3-181481 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4183154A1 (en) | 2023-05-24 |
| JP7466053B2 (ja) | 2024-04-11 |
| WO2022015378A1 (en) | 2022-01-20 |
| JP2023534467A (ja) | 2023-08-09 |
| US11553342B2 (en) | 2023-01-10 |
| US20220022040A1 (en) | 2022-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11553342B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) | |
| US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
| US11818570B2 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks | |
| US11832172B2 (en) | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface | |
| US11812271B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns | |
| JP2023548372A (ja) | ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 | |
| KR20230058457A (ko) | 이동성 패턴들을 사용하는 5g 사용자 장비(ue) 이력 이동성 추적 및 보안 스크리닝을 위한 방법들, 시스템들, 및 컴퓨터 판독가능 매체들 | |
| US11516671B2 (en) | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service | |
| CN116686313B (zh) | 用于防止订户标识符泄露的方法、系统和计算机可读介质 | |
| US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
| US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
| Kotte | Analysis and Experimental Verification of Diameter Attacks in Long Term Evolution Networks | |
| US20230199497A1 (en) | Methods, systems, and computer readable media for mitigating effects of access token misuse | |
| US11974134B2 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
| US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
| CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |