JP2008529380A - 無認可移動体アクセスネットワークにおけるセキュリティの提要 - Google Patents

無認可移動体アクセスネットワークにおけるセキュリティの提要 Download PDF

Info

Publication number
JP2008529380A
JP2008529380A JP2007552748A JP2007552748A JP2008529380A JP 2008529380 A JP2008529380 A JP 2008529380A JP 2007552748 A JP2007552748 A JP 2007552748A JP 2007552748 A JP2007552748 A JP 2007552748A JP 2008529380 A JP2008529380 A JP 2008529380A
Authority
JP
Japan
Prior art keywords
message
mobile
unc
ganc
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007552748A
Other languages
English (en)
Other versions
JP2008529380A5 (ja
JP4758442B2 (ja
Inventor
トーマス ニランダー,
ヤリ, タピオ ヴィクベルイ,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2008529380A publication Critical patent/JP2008529380A/ja
Publication of JP2008529380A5 publication Critical patent/JP2008529380A5/ja
Application granted granted Critical
Publication of JP4758442B2 publication Critical patent/JP4758442B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Nitrogen And Oxygen Or Sulfur-Condensed Heterocyclic Ring Systems (AREA)

Abstract

本発明は、移動局(MS)のモバイルアイデンティティを含むメッセージを受信し、受信したモバイルアイデンティティが、MSに関連付けて記憶されているモバイルアイデンティティとマッチしないときは、メッセージを破棄するあるいは拒否することによって、無認可移動体アクセスネットワークにおいてセキュリティを提供する方法、システム及び装置を提供する。受信したモバイルアイデンティティが、MSに関連付けて記憶されているモバイルアイデンティティとマッチするときは、このメッセージは処理される。この記憶されたモバイルアイデンティティは、セキュアゲートウェイによって提供される。このモバイルアイデンティティは、国際移動体加入者アイデンティティ(IMSI)、一時移動体加入者アイデンティティ(TMSI)、パケット一時移動体加入者アイデンティティ(P−TMSI)、プライベートインターネットプロトコル(IP)アドレスあるいはパブリックIPアドレスであり得る。このメッセージは、登録リクエスト、アップリングメッセージあるいはダウンリンクメッセージであり得る。このメッセージは、例えば、モビリティ管理メッセージ、汎用パケット無線サービスモビリティ管理メッセージ、あるいはUMAあるいは無認可無線リソースメッセージである。

Description

発明の分野
本発明は、一般的には、移動通信の分野に関するものであり、より詳しくは、無認可移動体アクセスネットワークあるいは汎用アクセスネットワークにおいてセキュリティを提供するための方法、システム及び装置に関するものである。
発明の背景
無認可移動体アクセス(UMA:unlicensed network controller)仕様は、移動局(MS:mobile station)がUNC−SGWに向けてのIPsecセキュア接続を確立する場合、また、MSがUNCで登録する場合には、無認可ネットワークコントローラ(UNC:unlicensed network controller)及び無認可ネットワークコントローラセキュアゲートウェイ(UNC−SGW:unlicensed network controller secure gateway)が、同一の国際移動体加入者アイデンティティ(IMSI:International Mobile Subscriber Identity)が使用されていることをチェックしなければならないことを勧告している。これらの場合の両方において、MSはIMSIをUNC−SGWとUNCそれぞれへ提供する。しかしながら、UMA仕様は、これらのチェックがどのように行われるべきであるかについては定義していない。また、これらの勧告の実装は、依然としてコアネットワークが攻撃を受けやすい状態にある。
このことは、汎用アクセスネットワーク(GAN:Generic Access Network)として知られる、「A及びGbインタフェースへの汎用アクセス」に対する第3世代パートナシッププロジェクト(3GPP)標準における場合にもあてはまる。3GPP技術仕様書43.318(ステージ2)及び44.318(ステージ3)を参照されたい。ここで、3GPP仕様書の汎用アクセスネットワークコントローラ(GANC:generic access network controller)は、UMA仕様のUNCと等価であることに注意されたい。同様に、3GPP仕様の汎用アクセスネットワークコントローラセキュアゲートウェイ(GANC−SEGW:generic access network controller secure gateway)は、UMA仕様のUNC−SGWと等価である。
例えば、MSは、複数の一時移動体加入者アイデンティティ(TMSI:Temporary Mobile Subscriber Identities)あるいは複数のパケット一時移動体加入者アイデンティティ(P−TMSI:Packet Temporary Mobile Subscriber Identities)を使用して、複数のMS群、例えば、SIMカードリーダ及びUMAクライアントを備えるパーソナルコンピュータ(PC)をエミュレートすることができる。また、敵対的なMSは、位置更新あるいはIMSI消去メッセージをコアネットワークに向けて送信することで、MSレベルでのサービス拒否(DoS:denial-of-service)攻撃の類を発生させることができる(呼の終了が失敗する等)。従って、移動局がコアネットワークと通信する場合に、それらによって使用されるモバイルアイデンティティ(IMSI、TMSI及びP−TMSIの少なくともいずれか)をチェックすることによって、コアネットワークを保護する方法及び装置が必要とされている。
発明の要約
本発明は、無認可ネットワークコントローラ(UNC)あるいは汎用アクセスネットワークコントローラ(GANC)と、無認可ネットワークコントローラ用セキュアゲートウェイ(UNC−SGW)あるいは汎用アクセスネットワークコントローラ用セキュアゲートウェイ(GANC−SEGW)によって、勧告されたセキュリティチェックを実行する方法、システム及び装置を提供する。本発明は、必要とされるO&Mアクティビティを最小にし、多くの様々なネットワーク状況をサポートし、かつ容易に標準化することができる、最適化ソリューションを提供する。ここで、本発明は、無認可移動体アクセスネットワーク(UMAN)及び汎用アクセスネットワーク(GAN)の両方に適用可能であることに注意されたい。
より詳しくは、UNC−SGW群とUNC群間あるいはGANC−SEGW群とGANC群間の接続の動的処理を含む信頼性のある送信に基づいて、UNCとUNC−SGWと間あるいはGANCとGANC−SEGW間に新規のプロトコルを導入する。本質的には、UNC−SGWあるいはGANC−SEGWは、IPsecトンネル確立時にいくつかのデータを記憶し、かつMS、UNC及びGANC間の通信をチェックする。TCP接続が、MSとUNC間あるいはMSとGANC間で確立される場合、UNC−SGWあるいはGANC−SEGWは、そのUNCあるいはGANCに向けての別のTCP接続を確立し、かつUNCあるいはGANCだけに必要な情報を送信することができる。UNCあるいはGANCは、IPsecトンネル確立(EAP−SIMあるいはEAP−AKA認証)時に使用される情報と、登録時に使用される情報とが同一であることをチェックすることができる。本発明は、また、MSに対するパブリックIPアドレスがUNCあるいはGANCに提供されるという更なる利点を提供する。
加えて、本発明は、移動局(MS)がコアネットワークと通信する場合に、それらによって使用されるモバイルアイデンティティ(国際移動体加入者アイデンティティ(IMSI)、一時移動体加入者アイデンティティ(TMSI)及びパケット一時移動体加入者アイデンティティ(P−TMSI)の少なくともいずれか)をチェックすることによって、コアネットワークを保護するために使用することができる。簡単に説明すると、(登録後の)MSに関連付けて記憶されている移動体識別子に対応しない移動体識別子を含むメッセージは破棄される。このようなメッセージが一旦破棄されると、様々な予防及び報告動作を行うことができる。それゆえ、MSは、1つのIMSI、1つのTMSI及び1つのP−TMSIを使用することだけが許可されている。その結果、本発明は、悪意のある、かつ不完全なMS実装からコアネットワークを保護する。
このように、本発明は、MSのモバイルアイデンティティを含むメッセージを受信し、受信したモバイルアイデンティティが、MSに関連付けて記憶されているモバイルアイデンティティとマッチしないときは、メッセージを破棄するあるいは拒否することによって、無認可移動体アクセスネットワークにおいてセキュリティを提供する方法を提供する。受信したモバイルアイデンティティが、MSに関連付けて記憶されているモバイルアイデンティティとマッチするときは、このメッセージは処理される。モバイルアイデンティティは、IMSI、TMSI、P−TMSI、プライベートインターネットプロトコル(IP)アドレスあるいはパブリックIPアドレスであり得る。このメッセージは、登録リクエスト、アップリングメッセージあるいはダウンリンクメッセージであり得る。このメッセージは、例えば、モビリティ管理(MM)メッセージ、汎用パケット無線サービス(GPRS)モビリティ管理(GMM)メッセージ、あるいはUMAあるいは無認可無線リソース(URR)メッセージである(MSとUNC間でのみ使用される)。本発明は、コンピュータ可読媒体上で実現されるコンピュータプログラムとして実現することができる。ここで、このコンピュータ可読媒体では、様々な方法ステップが1つ以上のコードセグメントによって実現される。
加えて、本発明は、プロセッサと通信可能に接続されているデータ記憶デバイスを含む装置を提供する。このデータ記憶デバイスは、MSとモバイルアイデンティティとの関係を記憶する。このプロセッサは、MSのモバイルアイデンティティを含むメッセージを受信し、かつその受信したモバイルアイデンティティがMSに関連付けて記憶されているモバイルアイデンティティとマッチしないときは、メッセージを破棄するあるいは拒否する。この装置は、典型的には、無認可移動体アクセスネットワーク(UMAN)内の無認可ネットワークコントローラ(UNC)、あるいはコアネットワークと通信する汎用アクセスネットワーク(GAN)内の汎用アクセスネットワークコントローラ(GANC)である。
本発明は、移動局、セキュアゲートウェイ、及び無認可ネットワークコントローラを含むシステムも提供する。このセキュアゲートウェイは、移動局と通信可能に接続されている。この無認可ネットワークコントローラは、移動局とセキュアゲートウェイと通信可能に接続されている。このセキュアゲートウェイは、移動局からモバイルアイデンティティ情報を受信し、かつモバイルアイデンティティ情報を無認可ネットワークコントローラへ送信する。無認可ネットワークコントローラは、受信したモバイルアイデンティティ情報を記憶し、かつ移動局から受信される登録リクエスト内のモバイルアイデンティティが記憶したモバイルアイデンティティ情報とマッチするときは、移動局を登録する。セキュアゲートウェイは、移動局を登録するために、無認可ネットワークコントローラによって使用される1つ以上の定義済送信制御プロトコル(TCP)ポートで構成され、無認可ネットワークコントローラは、1つ以上の定義済TCPポート上の到来TCP接続を監視する。一実施形態では、セキュアゲートウェイは、モバイルアイデンティティ情報の受信及び記憶の成功を示すメッセージが無認可ネットワークコントローラから受信されるまで、登録リクエストが無認可ネットワークコントローラによって受信されてないことを保証する。別の実施形態では、無認可ネットワークコントローラは、移動局へ1つ以上のサービスを提供するために、モバイルアイデンティティ情報を使用する。上述のように、無認可ネットワークコントローラは、汎用アクセスネットワークコントローラであり得る。
発明の詳細説明
本発明の様々な実施形態の実施及び使用については以下で詳細に説明するが、本発明は、様々な特殊な状況に広く実施することができる、多くの適用可能な発明の概念を提供することが理解されるべきである。本明細書で説明する特定の実施形態は、本発明を実施し、かつ使用するための特定の方法を単に例示しているに過ぎず、本発明の範囲を制限するものではない。
本発明の理解を容易にするために、いくつかの用語を以下に定義する。本明細書で定義される用語は、本発明に関連する分野の当業者によって一般に理解される意味を有している。例えば、英語の不定冠詞「a」、「an」及び定冠詞「the」は単一のエンティティのみを参照することを意図するものではなく、図示のために使用することができる特定例の一般的な分類を含むことを意味するものである。本明細書の用語は、本発明の特定の実施形態を説明するために使用されるが、請求項で説明されるもの以外は、その使用は本発明を制限するものではない。
本発明は、無認可ネットワークコントローラ(UNC)あるいは汎用アクセスネットワークコントローラ(GANC)と、無認可ネットワークコントローラ用セキュアゲートウェイ(UNC−SGW)あるいは汎用アクセスネットワークコントローラ用セキュアゲートウェイ(GANC−SEGW)とによって、勧告されたセキュリティチェックを実行する、方法、システム及び装置を提供する。本発明は、必要とされるO&Mアクティビティを最小にし、多くの様々なネットワーク状況をサポートし、かつ容易に標準化することができる、最適化ソリューションを提供する。ここで、本発明は、無認可移動体アクセスネットワーク(UMAN)及び汎用アクセスネットワーク(GAN)の両方に適用可能であることに注意されたい。
より詳しくは、本発明は、UNC−SGW群とUNC群間あるいはGANC−SEGW群とGANC群間の接続の動的処理を含む信頼性のある送信に基づいて、UNCとUNC−SGW間あるいはGANCとGANC−SEGW間に新規のプロトコルを導入する。本質的には、UNC−SGWあるいはGANC−SEGWは、IPsecトンネル確立時にいくつかのデータを記憶し、かつMS、UNC及びGANC間の通信をチェックする。TCP接続が、MSとUNC間あるいはMSとGANC間で確立される場合、UNC−SGWあるいはGANC−SEGWは、そのUNCあるいはGANCに向けての別のTCP接続を確立し、かつUNCあるいはGANCだけに必要な情報を送信することができる。UNCあるいはGANCは、IPsecトンネル確立時に使用される情報と、登録時に使用される情報とが同一であることをチェックすることができる。本発明は、また、MSに対するパブリックIPアドレスがUNCあるいはGANCに提供されるという更なる利点を提供する。
加えて、本発明は、移動局(MS)がコアネットワークと通信する場合に、それらによって使用されるモバイルアイデンティティ(国際移動体加入者アイデンティティ(IMSI)、一時移動体加入者アイデンティティ(TMSI)及びパケット一時移動体加入者アイデンティティ(P−TMSI)の少なくともいずれか)をチェックすることによって、コアネットワークを保護するために使用することができる。簡単に説明すると、(登録後の)MSに関連付けて記憶されている移動体識別子に対応しない移動体識別子を含むメッセージは破棄される。このようなメッセージが一旦破棄されると、様々な予防及び報告動作を行うことができる。それゆえ、MSは、1つのIMSI、1つのTMSI及び1つのP−TMSIを使用することだけが許可されている。その結果、本発明は、悪意のある、かつ不完全なMS実装からコアネットワークを保護する。
ここで、図1を参照すると、UMAネットワークあるいは汎用アクセスネットワーク(GAN)100と、コアネットワーク102間でのモバイルアイデンティティの使用を示す代表的なシグナリングシーケンスが示されている。MS104がUNC−SGWあるいはGANC−SEGW106に向けてIPsecセキュア接続108を確立する場合には、EAP−SIMあるいはEAP−AKAを使用して、無認可ネットワークコントローラのセキュアゲートウェイ(UNC−SGW)あるいは汎用アクセスネットワークコントローラのセキュアゲートウェイ(GANG−SEGW)106へ、MS104はIMSIを提供する。UNC−SGWあるいはGANG−SEGW106は、周知のシグナリング及び認証プロトコル(認証、認可及びアカウンティング(AAA)インフラストラクチャ114)を使用して、HLR110でこのIMSIを認証する110。また、MS104がUNCあるいはGANC116に登録する場合118、無認可ネットワークコントローラ(UNC)あるいは汎用アクセスネットワークコントローラ(GANC)116へも、MS104はIMSIを提供する。加えて、MS104がコアネットワーク102(例えば、MSC112)と通信する場合(120)、MS104は、IMSI、TMSIあるいはP−TMSIを使用して自身を識別する。
登録118を行う場合に、TMSIとP−TMSIはUNCあるいはGANC116には報告されないことに注意されたい。TMSIとP−TMSIは、位置エリア内にのみ意義を有している。位置エリア外では、TSMIとP−TMSIは、一義的なアイデンティティを提供するために、位置エリア識別子(LAI)と組み合わせられなければならない。通常は、TMSIあるいはP−TMSIの再割当は、少なくとも位置エリアの各変更地点で実行される。このような選択は、ネットワークオペレータに任せられている。
モバイルアイデンティティは、MS104とMSC/訪問先位置レジスタ(VLR)112間の以下のモビリティ管理(MM)メッセージで使用される。
MS104からMSC/VLR112へ(アップリンクメッセージ):
位置更新リクエスト(LOCATION UPDATING REQUEST)
アイデンティティ応答(IDENTITY RESPONSE)
CMサービスリクエスト(CM SERVICE REQUEST)
IMSI消去指示(IMSI DETACH INDICATION)
CM再確立リクエスト(CM RE-ESTABLISHMENT REQUEST)
MSC/VLR112からMS104へ(ダウンリンクメッセージ):
TMSI再割当コマンド(TMSI REALLOCATION COMMAND)
位置更新受領(LOCATION UPDATING ACCEPT)
モバイルアイデンティティは、MS104からMSC/VLR112へのページング応答(PAGING RESPONSE)メッセージでも使用される。UNCあるいはGANC116は、それゆえ、MS104とMSC/VLR112間で送信されるMMメッセージでチェックを実行する。
図2を参照すると、移動局104によって使用される様々なIPアドレスを示す図が示されている。上述のように、本発明は、MS104パブリックIPアドレスをUNCあるいはGANC116へ供給する際の問題を解決する。いくつかのオペレータは、管理下にあるIPネットワークを有することになり、また、それらのカスタマー(例えば、ケーブルTVモデム)に割り当てられているそのパブリックIPアドレスの制御を行うことで、オペレータは、それらのネットワークにおける音声トラフィックの優先順位を決定することができる。このパブリックIPアドレスは、ロケーション(位置)サービス及び課金(ホームゾーンのような)に対しても使用することができる。パブリック(即ち、外部)IPアドレス(群)200は、MS104と、UNC−SGWあるいはGANC−SEGW106との間でのみ使用され、UNCあるいはGANC116では可視状態ではない。MS104は、UNCあるいはGANC116との通信にはプライベート(即ち、内部)IPアドレス202を使用する。
UNCあるいはGANC116は、サービス品質(QoS)、ロケーションサービス、課金等を提供するために、MS104パブリックIPアドレス200を検出することが必要である。例えば、UNCあるいはGANC116は、ポリシーサーバ(例えば、COPSを使用して)に向けての受信した「ログ」情報(MS104パブリックIPアドレスと、UNC−SGWあるいはGANC−SEGW106パブリックIPアドレス)(後述する)を使用して、MS104と、UNC−SGWあるいはGANC−SEGW106間のネットワーク(群)におけるQoSを保証することができる。ロケーションサービス対しては、UNCあるいはGANC116は、パブリックIPアドレスに対するロケーション情報(緯度/経度)を返信することができる外部サーバとコンタクトを取ることができる。この情報は、ロケーションサービスに対するコアネットワーク102に対して使用することができる。課金に対しては、UNCあるいはGANC116は、MS104がホーム拠点(即ち、ホットスポットでない)に存在するかを検出するために、パブリックIPアドレスに対するロケーション情報を返信することができる外部サーバとコンタクトを取ることができる。この情報は、区別されている課金(別のCGIがコアネットワーク102に向けて指示されている)に対するコアネットワーク102に対して使用することができる。この新規のプロトコルは、UNC−SGW106とUNC116間、あるいはGANC−SEGWとGANC116間で使用することができ、また、様々な他の目的に対しても拡張することができる(例えば、MS104が、UNC−SGWあるいはGANC−SEGW106へリダイレクトすべきであるかを確認するための帯域幅管理)。
「UNCあるいはGANC接続」/新規プロトコルは、以下で説明するように、マッチしない場合にはIPsec接続が切断されるべきであることを、UNC−SGWあるいはGANC−SEGW106に指示するためにも使用することができる。UNCあるいはGANC116は、AAAサーバ114に、EAP−SIMあるいはEAP−AKAで使用される特定のIMSIが敵対行為に対して使用されていたので、そのIMSIをブラックリストに掲載することもあり得る(オペレータによって、そのように望まれる場合)ことを通知することもできる。加えて、「UNCあるいはGANC接続」/新規プロトコルは、IPsec接続が切断されていることをUNCあるいはGANC116へ指示するために、UNC−SGWあるいはGANC−SEGW106によっても使用することができる。これは、更に、アプリケーションレベルキープアライブメカニズムに代えて使用することができ、これは、その負担をアプリケーションレベルから取り除くものである(例えば、アプリケーションキープアライブ処理は、かなり短い間隔で使用することができる)。
ここで、図3A、図3B、図3C、図3D及び図3Eを参照すると、本発明を使用することができる、無認可ネットワークコントローラと無認可ネットワークコントローラ用セキュアゲートウェイ間の様々なネットワーク状況での関係を示すブロック図が示される。最も単純なネットワーク状況の場合(図3A)では、UNC−SGWとUNC間あるいはGANC−SEGWとGANC間の関係は1:1である。この場合、このソリューションに付随する問題を処理することはより簡単に行うことができる。即ち、UNC−SGWあるいはGANC−SEGWそれぞれは、どのUNCあるいはGANCが必要な情報を送信するかについて正確に知っている、あるいはUNCあるいはGANCそれぞれは、どのUNC−SGWあるいはGANC−SEGWがその情報について問い合わせしているかについて正確に知っている。この状況に対して必要とされるO&Mは単純である。UNC−SGWあるいはGANC−SEGWは、UNCあるいはGANCについての情報で構成される、あるいはその逆の関係で構成される。
別のネットワーク状況の場合(図3B)では、UNC−SGWとUNC間あるいはGANC−SEGWとGANC間の関係はn:1である(即ち、複数のUNC−SGWが1つのUNCへサービスを提供する、あるいは複数のGANC−SEGWが1つのGANCへサービスを提供する)。この場合、このソリューションに付随する問題を処理することは、依然として非常に簡単にである。即ち、UNC−SGWあるいはGANC−SEGWそれぞれは、どのUNCあるいはGANCが必要な情報を送信するかについて正確に知っている、あるいはUNCあるいはGANCそれぞれは、どのUNC−SGWあるいはGANC−SEGWがその情報について問い合わせしているかについて正確に知っている。この状況で必要とされるO&Mは、複雑である。UNC−SGWあるいはGANC−SEGWは、UNCあるいはGANCについての情報で構成される、あるいは、UNCあるいはGANCは、UNC−SGWあるいはGANC−SEGWのすべてについての情報で構成される。
更に別のネットワーク状況の場合(図3C)では、UNC−SGWとUNC間あるいはGANC−SEGWとGANC間の関係は1:nである(即ち、1つのUNC−SGWが複数のUNCへサービスを提供する、あるいは1つのGANC−SEGWが複数のGANCにサービスを提供する)。この場合、このソリューションに付随する問題を処理することは依然として非常に簡単である。即ち、UNC−SGWあるいはGANC−SEGWそれぞれは、どのUNCあるいはGANCが必要な情報を送信するかについて正確に知っている、あるいはUNCあるいはGANCそれぞれは、どのUNC−SGWあるいはGANC−SEGWがその情報について問い合わせしているかについて正確に知っている。この状況で必要とされるO&Mは、非常に複雑である。UNC−SGWあるいはGANC−SEGWは、UNCあるいはGANCのすべてについての情報で構成される、あるいは、UNCあるいはGANCは、UNC−SGWあるいはGANC−SEGWについての情報で構成される。
最も複雑なネットワーク状況の場合(図3D及び図3E)では、UNC−SGWとUNC間あるいはGANC−SEGWとGANC間の関係はx:yである(即ち、複数のUNC−SGWが複数のUNCへサービスを提供する、あるいは複数のGANC−SEGWが複数のGANCにサービスを提供する)。この場合、このソリューションに付随する問題を処理することは単純ではない。即ち、UNC−SGWあるいはGANC−SEGWそれぞれは、どのUNCあるいはGANCが必要な情報を送信するかについて正確に知っていなければならず、あるいはUNCあるいはGANCそれぞれは、その情報について問い合わせを行う、取り得るUNC−SGWあるいはGANC−SEGWのすべてを知っていなければならない。この状況で必要とされるO&Mは、非常に複雑である。UNC−SGWあるいはGANC−SEGWは、UNCあるいはGANCのすべてについての情報で構成される、あるいは、UNCあるいはGANCすべては、UNC−SGWあるいはGANC−SEGWのすべてについての情報で構成される。本発明は、これらの状況に向けられたものであり、かつ解決する。
ここで、図4を参照すると、本発明に従うコアネットワーク102を保護する方法400を示すフローチャートが示されている。ブロック402で、UNCあるいはGANC116は、MS104のモバイルアイデンティティを含むメッセージを受信する。次に、ブロック404で、UNCあるいはGANC116は、受信したモバイルアイデンティティと、MS104に関連付けて記憶されているモバイルアイデンティティとを比較することによって、その受信したモバイルアイデンティティが正常であるかを判定する。判定ブロック406の判定として、受信したモバイルアイデンティティが正常である場合、ブロック408で、その受信したメッセージは処理される(例えば、転送される等)。一方、判定ブロック406の判定として、受信したモバイルアイデンティティが正常でない場合、ブロック410で、その受信したメッセージは破棄される、あるいは拒否される。モバイルアイデンティティは、IMSI、TMSIあるいはP−TMSIであり得る。その受信したメッセージは登録リクエスト、アップリンクメッセージあるいはダウンリンクメッセージであり得り、これには、例えば、モビリティ管理(MM)メッセージ、汎用パケット無線サービス(GPRS)モビリティ管理(GMM)メッセージ、あるいはUMAあるいは無認可無線リソース(URR)メッセージ(MS104とUNC116間でのみ使用される)がある。
UNCあるいはGANC116は、レイヤ違反を実行することによって、即ち、MS104によってコアネットワーク104に向けて送信される上位レイヤメッセージを忍び込ませる(sneak)ことによって、MS104のモバイルアイデンティティが正常であるかを判定することで、UNCあるいはGANC116に登録するために使用されるIMSIと同一のIMSIをMS104が使用しているかを確認する。TMSI値はMSC/VLR112によって割り当てられ、かつP−TMSIはSGSNによって割り当てられるので、UNCあるいはGANC116は、MS104がMSC112によって割り当てられている値を使用していることをチェックすることができる。これは、コアネットワーク102によって送信される上位レイヤダウンリンクメッセージをチェックすることによって再度実行され、どのTMSI値あるいはP−TMSI値がMS104へ割り当てられているかを確認することができ、また、上位レイヤアップリンクメッセージをチェックすることによって、MS104が割り当てられているTMSI値あるいはP−TMSI値を実際に使用していることを確認することができる。
本発明は、UNCあるいはGANC116のような装置として実現することができ、この装置は、プロセッサに通信可能に接続されているデータ記憶デバイスを含んでいる。このデータ記憶デバイスは、モバイルアイデンティティとMS104との関係を記憶している。プロセッサは、MS104のモバイルアイデンティティを含むメッセージ204を受信し、その受信したモバイルアイデンティティが、MS104と関連付けて記憶されているモバイルアイデンティティとマッチしないときは、そのメッセージ410を破棄あるいは拒否する。プロセッサは、プレプロセッサ、フィルタあるいは装置内の他の処理デバイスであり得る。データ記憶デバイスは、メモリ、ディスクドライブ、ハードドライブ等であり得る。
ここで、図5を参照すると、本発明の一実施形態に対する初期構成を示す図が示される。ブロック502で示されるように、各UNCあるいはGANC116は、ウェルノウン(well-known)TCPポート上の到来TCP接続を監視している。ウェルノウンとは、UNCあるいはGANC116と、UNC−SGWあるいはGANC−SEGW106の両方で定義されるTCPポート番号であることを意味している。加えて、ブロック500で、各UNC−SGWあるいはGANC−SEGW106は、UNCあるいはGANC116に向けてのMS104登録に対して使用される、必要なTCPポート範囲(群)で構成される。UNC−SGWあるいはGANC−SEGW106とUNCあるいはGANC116との間でのバインディングは必要とされない。
ここで、図6を参照すると、本発明の一実施形態の使用を示すシグナリングシーケンスが示される。IPsecトンネルが、MS104と、UNC−SGWあるいはGANC−SEGW106との間で確立され、EAP−SIMあるいはEAP−AKAが、メッセージ交換600を介してMS104を認証するために使用される(MS IMSIが認証される)。ブロック602で、UNC−SGWあるいはGANC−SEGW106は、MS「パブリック」及び「プライベート」IPアドレス、UNC−SGWあるいはGANC−SEGWパブリックIPアドレス及びEAP−SIMあるいはEAP−AKA認証(即ち、MS IMSI)で使用される識別を「ログ」に記録する。この情報は、MS104コンテキストに記憶され、かつIPsecトンネルの存続期間中に維持される。UNCあるいはGANC登録ポート(例えば、TCPポート範囲14001−14010)の1つに向けてのTCP接続は、メッセージ交換604を介するIPsecトンネルを使用して正常に確立される(即ち、3ウェイTCPハンドシェイクが実行される)。
ブロック606で、UNC−SGWあるいはGANC−SEGW106は、UNCあるいはGANC IPアドレス(即ち、以下のUNC/GANC IP1)に向けてのTCP接続が正常に確立されていることを確認する。ブロック616で、UNCあるいはGANC116は、MSプライベートIPアドレスを確認し、使用するためにMSコンテキストにそれを記憶することができる。MSコンテキストは、このMS104に対して生成される。ブロック610で、UNC−SGWあるいはGANC−SEGW106は、TCP接続(即ち、UNC/GANC−IP1)に対して使用される宛先IPアドレスを取得し、「UNCあるいはGANC接続」が、「UNCあるいはGANC接続」のテーブル内にこのIPアドレスが存在していないかをチェックする。UNC−SGWあるいはGANC−SEGW106は、UNCあるいはGANC IPアドレスを有するテーブルを動的に構築し、TCP接続がIPsecトンネルで確立される場合、即ち、UNC−SGWあるいはGANC−SEGW106がUNCあるいはGANC IPインタフェースとのTCP接続を既に有している場合、「ログ」情報を送信するためにTCPが使用されることを調べる。UNC/GANC−IP1に向けてのTCP接続が存在しない場合、UNC−SGWあるいはGANC−SEGW106は、ウェルノウン「UNCあるいはGANCログ」ポート(例えば、TCPポート14500)上で、UNCあるいはGANC116とのTCP接続を確立し、メッセージ交換612で、UNCあるいはGANC接続の自信のテーブルを更新する。UNC/GANC−IP1に向けてのTCP接続が既に存在する場合は、これ以上の動作は必要とされない。
UNCあるいはGANC TCP接続が確立されている場合、UNC−SGWあるいはGANC−SEGW106は、メッセージ614で、UNCあるいはGANC116とのIPsecトンネルの確立についての「ログ」情報を送信する。この情報は、モバイルアイデンティティ情報としても参照され、以下のものを含んでいる。
MS IMSI
MSプライベートIPアドレス
MSパブリックIPアドレス
SGWあるいはGANCパブリックIPアドレス
ブロック616で、UNCあるいはGANC116は、MSプライベートIPアドレスを使用して、受信した「ログ」情報を、正しいMSコンテキストを検出するためのキーとして記憶する。MS104は、メッセージ618で、登録リクエストを、UNCあるいはGANC116へ送信する(例えば、他の情報とUNC116との間でIMSIを含むURR REGISTER REQUESTメッセージ)。
UNCあるいはGANC116は、このメッセージに含まれるIMSIが、メッセージ614でUNC−SGWあるいはGANC−SEGW106から受信されるもの(即ち、EAP−SIMあるいはEAP−AKA認証に対してメッセージ交換600で使用されるもの)であるかをチェックすることができる。IMSI値がマッチする場合、MS104は登録が許容され、一方、そうでない場合、MS登録は拒否され、かつMS104によって使用されるプライベートIPアドレスが、一定期間、ブラックリストに掲載され、とり得る攻撃についてオペレータへアラートを行うためのイベントを生成することができる。同一のUNCあるいはGANC IPインタフェースは、登録及び「ログ」機能に対して使用されるので、その接続を管理するための特別な注意は必要はないし、復元処理も必要とされない。例えば、UNCあるいはGANC内のIPインタフェース障害が発生すると、このインタフェースを使用するMS104は、別のIPインタフェース上で、あるいはそれが復旧する場合はそのIPインタフェース上で登録を行う必要があり、また、「ログ」機能は、接続がまだ存在していない場合には、新規のIPインタフェースへMS104を向けることになる。UNC−SGWあるいはGANC−SEGW106は、UNCあるいはGANC116に向けての検出されたTCP障害時に、「UNCあるいはGANC接続」テーブルのエントリを削除することになる。
ここで、MS104とUNC−SGW106間のIPsecトンネルが別のUNC116に向けて再使用される場合、ステップ604から620は複数回行われ得ることに注意されたい(即ち、ステップ600と602が一回実行されると、ステップ604から620は複数回実行される)。加えて、UNC−SGW106(ステップ614)がログに記録された情報をUNC116へ送信する前に、MS登録リクエスト(ステップ618)がUNC116で受信されるかについてのタイミングの問題が存在し得る。これは、UNC−SGW106上に高い負荷を与えることが生じ得る。
1つのソリューションでは、UNC116がデータを正常に受信し、かつ処理していることの指示を受信するまで(ステップ614)、UNC−SGW106は、MS104からの登録リクエストメッセージ(例えば、TCP接続上のすべてのメッセージ)をキューに入れることができる(ステップ618)。別のソリューションでは、UNCあるいはGANC116がデータを正常に受信し、かつ処理していることの指示を受信するまで(ステップ614)、UNC−SGWあるいはGANC−SEGW106は、TCP接続確立時のMS104に向けての最新のメッセージを遅延させることができる(ステップ604、TCP−ACK)。この処理は、MS104からの登録リクエストメッセージを効果的に遅延させることになる。
上述の例では、MSプライベートIPアドレスは、UNCあるいはGANC116内の正常なMSコンテキストを検出するために使用される。IMSI(あるいは、ステップ614においてログに記録された情報の任意の組み合わせ)は、これに対して使用することができる。IMSIが使用される場合、この動作は変更され、高レベルで行われるべきである。ステップ608で、MSコンテキストがUNCあるいはGANC116で生成される。ステップ616で、UNCあるいはGANC116は、ログに記録された情報を別のデータ構造に記憶する。即ち、MSコンテキストは、まだ存在していない。MS登録リクエストが受信される場合、ステップ620で、MSコンテキストが生成される。MSコンテキストが生成された後、UNCあるいはGANC116は、その別のデータ構造をチェックし、それが登録リクエストに含まれるIMSIに対する情報を含んでいて、かつ検出されかつマッチする場合、その登録が受諾される。一方、そうでない場合(即ち、検出されない、あるいはマッチしない)、ステップ620で定義されるように、MS登録は拒否される。
このように、本発明は、MS104、セキュアゲートウェイ(UNC−SGWあるいはGANC−SEGW106)及びUNCあるいはGANC116を含むシステムも提供する。UNC−SGWあるいはGANC−SEGW106は、MS104と通信可能に接続されている。UNCあるいはGANC116は、MS104、及びUNC−SGWあるいはGANC−SEGW106と通信可能に接続されている。UNC−SGWあるいはGANC−SEGW106は、MS104からモバイルアイデンティティ情報を受信し、そのモバイルアイデンティティ情報をUNCあるいはGANC116へ送信する。UNCあるいはGANC116は、その受信したモバイルアイデンティティ情報を記憶し、かつMS104から受信した登録リクエスト内のモバイルアイデンティティと記憶されているモバイルアイデンティティ情報がマッチすると、MS104を登録する。MS104を登録するために、UNCあるいはGANC116によって使用される1つ以上の定義済送信制御プロトコル(TCP)ポートを用いて、UNC−SGWあるいはGANC−SEGW106が構成され、また、UNCあるいはGANC116は、1つ以上の定義済TCPポート上の到来TCP接続を監視する。一実施形態では、モバイルアイデンティティ情報の受信及び記憶の成功を示すメッセージがUNCあるいはGANC116から受信されるまで、UNC−SGWあるいはGANC−SEGW106は、登録リクエストがUNCあるいはGANC116によって受信されないことを保証する。別の実施形態では、UNCあるいはGANC116は、モバイルアイデンティティ情報を使用して、1つ以上のサービスをMS104へ提供する。
ここで、図7A、図7B及び図7Cを参照すると、無認可ネットワークコントローラ(UNC)116用セキュアゲートウェイ(UNC−SGW)106で使用される、本発明の実施形態に従う方法を示すフローチャートが示される。上述のように、本発明は、汎用アクセスネットワークコントローラ(GANC)116用セキュアゲートウェイ(GANC−SEGW)106でも使用することができる。ブロック700で、MS104とのIPsecトンネルが確立され、かつMS104が認証される。ブロック702で、モバイルアイデンティティ情報(MS IMSI、MSプライベートIPアドレス、MSパブリックIPアドレス及びSGWパブリックIPアドレス)が記憶され、かつMS104と関連付けられる。ブロック704で、MS104に対する処理は、定義済ポート(群)とIPsecトンネルを使用して、UNC116とのTCP接続を確立するために待機する。ブロック706で、「UNC接続」が、MS104によって使用されるUNC IPアドレスに対する「UNC接続」のテーブルに存在するかを確認するためのチェックが実行される。判定ブロック708の判定として、「UNC接続」が存在する場合、ブロック710で、MS104に対するモバイルアイデンティティ情報がUNC116へ送信される。一方、判定ブロック708の判定として、「UNC接続」が存在しない場合、ブロック712で、定義済ポート(群)を使用してUNC116とのTCP接続が確立され、また、MS104によって使用されるUNC IPアドレスを含むように、「UNC接続」のテーブルが更新される。ブロック710で、MS104に対するモバイルアイデンティティ情報がUNC116へ送信される。
上述のように、本発明は、モバイルアイデンティティ情報の受信及び記憶の成功を示すメッセージがUNC116から受信されるまで、MS104登録リクエストがUNC116によって受信されないことを保証するための、様々なメカニズムを提供することができる。例えば、ブロック720で、MS104からUNC116への登録リクエストあるいは他のメッセージがUNC−SGW106によって検出され、判定ブロック722の判定として、MS104に対するモバイルアイデンティティ情報が正常に受信されかつ処理されることを示すメッセージがUNC116から受信されると、ブロック724で、その受信した登録リクエストあるいは他のメッセージがUNC116へ転送される。一方、判定ブロック722の判定として、「成功」メッセージが受信されない場合、UNC−SGW106が「成功」メッセージを受信する時まで、ブロック726で、UNC−SGW106は、その登録リクエストあるいは他のメッセージをキューに入れる。選択的には、ブロック730で、UNC−SGW106は、MS104へのTCP接続応答確認メッセージを遅延させることができる。判定ブロック732の判定として、MS104に対するモバイルアイデンティティ情報が正常に受信されかつ処理されたことを示すメッセージがUNC116から受信される場合、ブロック734で、その受信した登録リクエストあるいは他のメッセージがUNC116へ転送される。一方、ブロック732の判定として、「成功」メッセージが受信されない場合、UNC−SGW106が「成功」メッセージを受信する時まで、ブロック736で、UNC−SGW106は、その登録リクエストあるいは他のメッセージをキューに入れる。
ここで、図8を参照すると、UNCあるいはGANC116で使用される、本発明の一実施形態に従う方法を示すフローチャートが示される。ブロック800で、UNCあるいはGANC116は、UNC群あるいはGANC群116と、UNC−SGW群あるいはGANC−SEGW群106の両方で定義されるTCPポート(群)上の到来TCP接続を監視する。ブロック802で、定義済ポート(群)とIPsecトンネルを使用して、MS104とのTCP接続が確立される。ブロック804で、UNCあるいはGANC116は、MS104に対するプライベートIPアドレスを記憶し、それをMS104と関連付け、更に、ブロック806で、MS104に対するモバイルアイデンティティ情報が、UNC−SGWあるいはGANC−SEGW106から受信される。ブロック808で、受信したMSモバイルアイデンティティ情報が記憶され、そして、以前に記憶したMSプライベートIPアドレスと関連付けられる。ブロック810で、MS104に対するIMSIを含む登録リクエストが、MS104から受信される。判定ブロック812の判定として、受信したIMSIが記憶したIMSIとマッチする場合、ブロック814で、MS104が登録される。一方、判定ブロック812の判定として、受信したIMSIが記憶したIMSIとマッチしない場合(あるいは検出されない場合)、ブロック816で、登録リクエストが拒否される。
ここで、本発明に向けられるいくつかの問題に対し、他のソリューションが存在することに注意されたい。例えば、「ログ接続」は、UNCあるいはGANC116によって確立することができる。このソリューションに付随する問題は、UNCあるいはGANC116が、どのUNC−SGWあるいはGANC−SEGW106が特定のMS104によって使用されているかが不明であることである。UNCあるいはGANC116は、MS104のプライベートIPアドレスを確認するだけである。各UNCあるいはGANC106は、プライベートIPアドレスサブネットワーク群と、UNC−SGW群あるいはGANC−SEGW群106間の関係を用いて構成することができる。いくつかの状況では、複数のUNC−SGWあるいはGANC−SEGW106が同一のDHCPサーバを使用している場合、このことは、かなり面倒になる。別のソリューションは、各UNCあるいはGANC116におけるUNC−SGW群あるいはGANC−SEGW群106のすべてを定義することであり、UNCあるいはGANC116が登録リクエストを受信する場合、必要な情報について、UNC−SGW群あるいはGANC−SEGW群106のすべてに問い合わせを行うことができる。このことは、UNC群あるいはGANC群116のすべてにおいてUNC−SGWあるいはGANC−SEGW106の情報の構成が大量にあることを意味し、また、UNC−SGWあるいはGANC−SEGW106が各MS104の登録時にリクエストされる毎にUMAシステムの負荷が増加することになることを意味している。
更に別の可用性は、SGW群あるいはSEGW群106の既存の「ログ機能」を使用することである。これは、必要な情報がSGWあるいはGANCの「ログ機能」に追加されることを意味する。このソリューションに付随する問題は、通常、この「ログ機能」が信頼性のないUDPプロトコルを使用することである。また、SGWあるいはSEGWの「ログ機能」は、通常は、いくつかのネットワークホストに送信され、また、それは、更に、異なるUNC群あるいはGANC群116へ送信される必要がある。
本発明は、MS104と、UNCあるいはGANC116間のアプリケーションレベルメッセージのすべてをチェックするために拡張することもできる。UNC−SGWあるいはGANC−SEGW106はレイヤ違反を実行し、MS104によって送信される登録リクエストメッセージに忍び込ませて、IMSI値を読み出し、それを、EAP−SIMあるいはEAP−AKA認証時に使用されるIMSIと比較することができる。IMSI値がマッチする場合、UNC−SGWあるいはGANC−SEGW106は、そのメッセージをUNCあるいはGANC116に向けて転送することができる。マッチしない場合、UNC−SGWあるいはGANC−SEGW106は、MS104に向けてのIPsec接続を解放し、IMSIあるいはMSパブリックIPアドレスをブラックリストに掲載することができ、また、UNC−SGWあるいはGANC−SEGW106は、敵対的なMS IMSIについてAAAサーバ114へ通知することができる。このソリューションは極めて単純であるが、MSパブリックIPアドレスをUNCあるいはGANC116へ提供してしまうという問題は解決していない。また、このことは、UNC−SGWあるいはGANC−SEGW106が、MS104によって送信されるアプリケーションレベルメッセージのすべてをチェックし、かつ望まないアプリケーションレベルプロトコルについての知識を持たなければならないことを意味する。このことは、また、UNC−SGWあるいはGANC−SEGW106に負荷を与えることになる。
ここで、図9を参照すると、アップリンクメッセージ902及び906に関して、本発明の実施形態に従うシグナリングシーケンス900を示すフローチャートが示されている。UNCあるいはGANC116はモバイルアイデンティティを含むアップリンクメッセージ902を受信すると、UNCあるいはGANC116はMSアイデンティティを記憶する904。このアップリンクメッセージは902は、モバイルアイデンティティ情報(例えば、MS IMSI、MSプライベートIPアドレス、MSパブリックIPアドレス及びSGWあるいはSEGWパブリックIPアドレス)を含む上述のメッセージである。UNCあるいはGANC116はモバイルアイデンティティを含むアップリンクメッセージ906を受信すると、UNCあるいはGANC116はモバイルアイデンティティをチェックする908。アップリンクメッセージ906が登録リクエスト(即ち、新規MS104)であり、かつチェック908が失敗する場合−その受信したモバイルアイデンティティが、MS104に関連付けて記憶されているモバイルアイデンティティとマッチしないあるいは検出されない場合、その登録リクエストが拒否される906。一方、チェック908が成功する場合−その受信したモバイルアイデンティティが、MS104に関連付けて記憶されているモバイルアイデンティティとマッチする場合、UNCあるいはGANC116は、そのメッセージ906を処理する(例えば、MS104に登録する)。このメッセージ906が別のタイプのメッセージであり、かつチェック908が失敗する、−その受信したモバイルアイデンティティが、MS104に関連付けて記憶されているモバイルアイデンティティとマッチしない場合、そのメッセージが破棄される302。一方、チェック908が成功する場合−その受信したモバイルアイデンティティが、MS104に関連付けて記憶されているモバイルアイデンティティとマッチする場合−あるいはモバイルアイデンティティが検出不能である場合、UNCあるいはGANC116は、そのメッセージ906を処理する(例えば、メッセージを転送する910)。モバイルアイデンティティは、MS104とSGSN間のいくつかのGMMメッセージ、GPRSモビリティ管理(GMM)メッセージで検出不能となる可能性がある。これは、それらが、LLCレイヤ上で暗号化されて送信される場合があり、かつUNCあるいはGANC116が容易にそのメッセージを忍び込ませることができないからである。例えば、ルーティングエリア更新リクエスト(ROUTING AREA UPDATE REQUEST)メッセージは、通常暗号化されずに送信され、かつUNCあるいはGANC116はそのメッセージをチェックすることができる。
より詳しくは、アップリンクメッセージ906がIMSIを含んでいる場合、UNCあるいはGANC116はそのIMSIが、登録中にMS104によって提供されるものと同一であることをチェックする。同一である場合、そのメッセージはコアネットワークへ転送される910。異なる場合、そのメッセージは破棄される。UNCあるいはGANC116は、MS104を抹消し、MS104によって使用されているIPアドレスを一時的にブラックリストに掲載することができる。その他の動作として、オペレータへアラームを通知すること、及びイベントのログを記録することが含んでいても良い。
アップリンクメッセージ906がTMSIあるいはP−TMSIを含んでいて、かつUNCあるいはGANC116が、MS104に対するTMSIあるいはP−TMSIを記憶していない場合、TMSIあるいはP−TMSIがMS104コンテキストに記憶される。一方、UNCあるいはGANC116がこのMS104に対するTMSIあるいはP−TMSIを既に記憶している場合、UNCあるいはGANC116はこれらのTMSIあるいはP−TMSI値が同一であることをチェックする。これらが同一である場合、メッセージはコアネットワークへ転送される910。それらが異なる場合、そのメッセージは破棄される。また、UNCあるいはGANC116は、MS104を抹消し、MS104によって使用されているIPアドレスを一時的にブラックリストに掲載することができる。その他の動作として、オペレータへアラームを通知すること、及びイベントのログを記録することが含んでいても良い。
ここで、図10を参照すると、ダウンリンクメッセージ1002に関して、本発明の実施形態を使用するシグナリングシーケンス1000が示されている。UNCあるいはGANC116はモバイルアイデンティティを含むダウンリンクメッセージ1002を受信すると、UNCあるいはGANC116はモバイルアイデンティティをチェックする1004。ダウンリンクメッセージ1002がMS104に対する新規の(新規に割り当てられているあるいは変更されている)モバイルアイデンティティを含んでいると、UNCあるいはGANC116はその受信したモバイルアイデンティティを記憶し、それをMS104と関連付け、そして、その受信したメッセージを処理する(即ち、そのメッセージ1006をMS104へ転送する)。チェック1004が、モバイルアイデンティティがMS104に対して既に記憶されている(既に存在している)と判定する場合、その受信したメッセージは処理される(即ち、そのメッセージ1006がMS104へ転送される)。選択的には、ダウンリンクメッセージ1002の受領、応答確認あるいは完了するアップリンクメッセージが受信されるまで、モバイルアイデンティティを記憶せずに保持することができる。
例えば、ダウンリンクメッセージ1002がTMSI再割当コマンド(TMSI REALLOCATION COMMAND)である場合、UNCあるいはGANC116は割り当てられたTMSI値をMS104コンテキストに記憶する。ダウンリンクメッセージは、MS104コンテキストに関連付けられているシグナリング接続において受信される。TMSI再割当完了(TMSI REALLOCATION COMPLETE)メッセージがMS104から受信されるまで、TMSIのMS104への記憶は遅延させることもできる。同様に、ダウンリンクメッセージ1002が位置更新受領(LOCATION UPDATING ACCEPT)であり、かつ新規のTMSIがMS104へ割り当てられている場合、UNCあるいはGANC116はその割り当てられているTMSI値をMS104コンテキストに記憶する。TMSI再割当完了(TMSI REALLOCATION COMPLETE)メッセージがMS104から受信されるまで、TMSIのMS104コンテキストへの記憶は遅延させることもできる。P−TMSI再割当コマンド(P-TMSI REALLOCATION COMMAND)に対する処理は、同様に処理される。
図11を参照すると、アップリンクメッセージに関して、本発明の実施形態に従う方法1100を示すフローチャートが示されている。ブロック1102で、アップリンクメッセージが受信される。判定ブロック1104の判定として、その受信したメッセージがMSのモバイルアイデンティティを含んでいない(あるいは検出不能である)場合、ブロック1106で、アップリンクメッセージが処理される(例えば、転送される、実行される等)。一方、判定ブロック1104の判定として、アップリンクメッセージがMSのモバイルアイデンティティを含んでいて、判定ブロック1108の判定として、そのメッセージソースがUNC−SGWあるいはGANC−SEGW106である場合、ブロック1110で、モバイルアイデンティティ情報が記憶され、MS104と関連付けられる。一方、判定ブロック1108の判定として、メッセージソースがMS104であり、判定ブロック1112の判定として、モバイルアイデンティティがIMSIであり、判定ブロック1114の判定として、受信したIMSIがMS104に関連付けて記憶されているIMSIとマッチする場合、ブロック1106で、そのメッセージが通常に処理される。一方、判定ブロック1114の判定として、受信したIMSIがMS104に関連付けて記憶されているIMSIとマッチせず、判定ブロック1116の判定として、アップリンクメッセージが登録リクエストである場合、ブロック1118で、その登録リクエストは拒否される。UNCあるいはGANC116は次の動作のいずれかあるいはすべてを実行しても良い。:ブロック1120で、所定期間、MS104に関連付けているIPアドレスをブラックリストに掲載する。ブロック1122で、破棄されたメッセージと移動局の抹消をシステムオペレータに通知する。ブロック1124で、破棄されたメッセージ及び移動局の抹消についての情報をログに記録する。一方、判定ブロック1116の判定として、アップリンクメッセージが登録リクエストでない場合、ブロック1126で、そのメッセージは破棄される。UNCあるいはGANC116は次の動作のいずれかあるいはすべてを実行しても良い。:ブロック1128で、MSを抹消する。ブロック1120で、所定期間、MSに関連付けているIPアドレスをブラックリストに掲載する。ブロック1122で、破棄されたメッセージと移動局の抹消をシステムオペレータに通知する。ブロック1124で、破棄されたメッセージ及び移動局の抹消についての情報をログに記録する。
一方、判定ブロック1112の判定として、モバイルアイデンティティがTMSIあるいはP−TMSIであり、判定ブロック1130の判定として、TMSIあるいはP−TMSIがMS104に対してまだ記憶されていない場合、ブロック1132で、TMSIあるいはP−TMSIが記憶され、MS104と関連付けられ、ブロック1106で、メッセージが通常に処理される。一方、判定ブロック1130の判定として、TMSIあるいはP−TMSIがMSに対して既に記憶されていて、判定ブロック1134の判定として、受信したTMSIあるいはP−TMSIがMS104に関連付けて記憶されているTMSIあるいはP−TMSIとマッチする場合、ブロック1106で、メッセージが通常に処理される。一方、判定ブロック1134の判定として、受信したTMSIあるいはP−TMSIがMS104に関連付けて記憶されているTMSIあるいはP−TMSIとマッチしない場合、ブロック1126で、メッセージが破棄される。UNCあるいはGANC116は次の動作のいずれかあるいはすべてを実行しても良い。:ブロック1128で、MSを抹消する。ブロック1120で、所定期間、MS104に関連付けているIPアドレスをブラックリストに掲載する。ブロック1122で、破棄されたメッセージと移動局の抹消をシステムオペレータに通知する。ブロック1124で、破棄されたメッセージ及び移動局の抹消についての情報をログに記録する。
ここで、図12を参照すると、ダウンリンクメッセージに関して、本発明の実施形態に従う方法1200を示すフローチャートが示されている。ブロック1202で、ダウンリンクメッセージが受信される。判定ブロック1204の判定として、そのダウンリンクメッセージがMS104に対するTMSIあるいはP−TMSIを含んでいない(あるいは検出不可能である)場合、ブロック1206で、そのダウンリンクメッセージが処理される(例えば、転送される、実行される等)。一方、判定ブロック1204の判定として、ダウンリンクメッセージがMS104に対するTMSIあるいはP−TMSIを含んでいて、判定ブロック1208の判定として、TMSIあるいはP−TMSIが新規でない場合(即ち、UNCあるいはGANC116が既にTMSIあるいはP−TMSIを記憶していて、それがMS104と関連付けている)、ブロック1206で、ダウンリンクメッセージが通常に処理される。一方、判定ブロック1208の判定として、TMSIあるいはP−TMSIが新規である場合、ブロック1210で、TMSIあるいはP−TMSIが記憶され、MS104と関連付けられ、ブロック1206で、そのメッセージが通常に処理される。
ここで、図13を参照すると、ダウンリンクメッセージに関して、本発明の別の実施形態に従う方法1300を示すフローチャートが示されている。ブロック1302で、ダウンリンクメッセージが受信される。判定ブロック1304の判定として、そのダウンリンクメッセージがMS104に対するTMSIあるいはP−TMSIを含んでいない(あるいは検出不可能である)場合、ブロック1306で、そのダウンリンクメッセージが処理される(例えば、転送される、実行される等)。一方、判定ブロック1304の判定として、ダウンリンクメッセージがMS104に対するTMSIあるいはP−TMSIを含んでいて、判定ブロック1308の判定として、TMSIあるいはP−TMSIが新規でない場合(即ち、UNCあるいはGANC116が既にTMSIあるいはP−TMSIを記憶していて、それをMSと関連付けている)、ブロック1306で、ダウンリンクメッセージが通常に処理される。一方、判定ブロック1308の判定として、TMSIあるいはP−TMSIが新規である場合、ブロック1310で、TMSIあるいはP−TMSIが保持され、ブロック1312で、そのメッセージが通常に処理される。ブロック1314で、保持されているTMSIあるいはP−TMSIを含む受信したダウンリンクメッセージの受領、応答確認あるいは完了するアップリンクメッセージが受信されるまで、TMSIあるいはP−TMSIが保持される。その後、ブロック1316で、保持されているTMSIあるいはP−TMSIが記憶され、かつMS104と関連付けられ、ブロック1318で、アップリンクメッセージが通常に処理される。
上述の任意の方法は、コンピュータ可読媒体上で実現されるコンピュータプログラムとして実現することができる。ここで、このコンピュータ可読媒体では、様々な方法ステップが1つ以上のコードセグメントによって実現される。
情報及び信号は、様々な異なる科学技術及び技術の任意のものを使用して表現されても良い(例えば、データ、命令、コマンド、情報、信号、ビット、シンボル及びチップ(chip)は、電圧、電流、電磁波、磁場あるいは粒子、光場あるいは粒子、あるいはそれらの任意の組み合わせによって表現されても良い)ことが当業者には理解されるであろう。同様に、本明細書に記載される、様々な図示の論理ブロック、モジュール、回路及びアルゴリズムステップは、用途及び機能に応じて、電子ハードウェア、コンピュータソフトウェア、あるいはその両方の組み合わせとして実現されても良い。また、本明細書に記載される、様々な論理ブロック、モジュール、及び回路は、汎用プロセッサ(例えば、マイクロプロセッサ、従来型プロセッサ、コントローラ、マイクロコントローラ、ステートマシーンあるいはコンピュータデバイスの組み合わせ)、デジタル信号プロセッサ(「DSP」)、特定用途向け集積回路(「ASIC」)、フィールドプログラマブルゲートアレー(「FPGA」)、あるいは他のプログラマブル論理デバイス、離散ゲートあるいはトランジスタロジック、離散ハードウェアコンポーネント、あるいは本明細書に記載される機能を実行するために設計される、それらの任意の組み合わせを用いて、実現あるいは実行される。同様に、本明細書に記載される方法あるいは処理のステップ群は、ハードウェアで直接実施されても良いし、プロセッサによって実行されるソフトウェアモジュールで実施されても良いし、それらの2つの組み合わせで実施されても良い。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバルディスク、CD−ROM、あるいは従来より知られている他の形式の記憶媒体に存在していても良い。本発明の実施形態が詳細に説明されているが、添付の請求項によって説明される本発明の精神及び範囲から逸脱しないで、様々な変形を行うことが当業者には理解されるべきである。
UMAネットワークとコアネットワーク間のモバイルアイデンティティの使用を示すシグナリングシーケンスを示す図である。 移動局によって使用される様々なIPアドレスを示す図である。 本発明を使用することができる、無認可ネットワークコントローラと、無認可ネットワークコントローラ用セキュアゲートウェイ間での様々なネットワーク状況での関係を示すブロック図である。 本発明を使用することができる、無認可ネットワークコントローラと、無認可ネットワークコントローラ用セキュアゲートウェイ間での様々なネットワーク状況での関係を示すブロック図である。 本発明を使用することができる、無認可ネットワークコントローラと、無認可ネットワークコントローラ用セキュアゲートウェイ間での様々なネットワーク状況での関係を示すブロック図である。 本発明を使用することができる、無認可ネットワークコントローラと、無認可ネットワークコントローラ用セキュアゲートウェイ間での様々なネットワーク状況での関係を示すブロック図である。 本発明を使用することができる、無認可ネットワークコントローラと、無認可ネットワークコントローラ用セキュアゲートウェイ間での様々なネットワーク状況での関係を示すブロック図である。 本発明に従うコアネットワークを保護する方法を示すフローチャートである。 本発明の一実施形態に対する初期構成を示す図である。 本発明の一実施形態を使用するシグナリングシーケンスを示す図である。 無認可ネットワークコントローラ用セキュアゲートウェイで使用される、本発明に従う方法を示すフローチャートである。 無認可ネットワークコントローラ用セキュアゲートウェイで使用される、本発明に従う方法を示すフローチャートである。 無認可ネットワークコントローラ用セキュアゲートウェイで使用される、本発明に従う方法を示すフローチャートである。 無認可ネットワークコントローラで使用される、本発明の一実施形態に従う方法を示すフローチャートである。 アップリンクメッセージに関して、本発明の一実施形態を使用するシグナリングシーケンスを示す図である。 ダウンリンクメッセージに関して、本発明の一実施形態を使用するシグナリングシーケンスを示す図である。 アップリンクメッセージに関して、本発明の一実施形態に従う方法を示すフローチャートである。 ダウンリンクメッセージに関して、本発明の一実施形態に従う方法を示すフローチャートである。 ダウンリンクメッセージに関して、本発明の他の実施形態に従う方法を示すフローチャートである。

Claims (20)

  1. 無認可移動体アクセスネットワークにおいてセキュリティを提供するための方法であって、
    移動局のモバイルアイデンティティを含むメッセージを受信するステップと、
    前記受信したモバイルアイデンティティが、前記移動局に関連付けて記憶されているモバイルアイデンティティとマッチしないときは、前記メッセージを破棄するあるいは拒否するステップと
    を備えることを特徴とする方法。
  2. 前記受信したモバイルアイデンティティが、前記移動局に関連付けて記憶されているモバイルアイデンティティとマッチするときは、前記メッセージを処理するステップを更に備える
    ことを特徴とする請求項1に記載の方法。
  3. 前記モバイルアイデンティティは、国際移動体加入者アイデンティティ(IMSI)、一時移動体加入者アイデンティティ(TMSI)、パケット一時移動体加入者アイデンティティ(P−TMSI)、プライベートインターネットプロトコル(IP)アドレスあるいはパブリックIPアドレスである
    ことを特徴とする請求項1に記載の方法。
  4. 前記メッセージは、登録リクエスト、アップリングメッセージあるいはダウンリンクメッセージである
    ことを特徴とする請求項1に記載の方法。
  5. 前記アップリンクメッセージは、移動交換局(MSC)、あるいは汎用パケット無線サービス(GPRS)サポートノード(SGSN)から受信される
    ことを特徴とする請求項4に記載の方法。
  6. 前記受信したメッセージがセキュアゲートウェイからのものであるときは、前記受信したモバイルアイデンティティを記憶するステップを更に備える
    ことを特徴とする請求項1に記載の方法。
  7. 前記受信したメッセージがダウンリンクメッセージであり、かつ前記受信したモバイルアイデンティティが前記移動局の前記モバイルアイデンティティを割り当てるあるいは変更すると、該受信したモバイルアイデンティティを記憶し、かつ該受信したメッセージを処理するステップを更に備える
    ことを特徴とする請求項1に記載の方法。
  8. 前記ダウンリンクメッセージの受領、応答確認あるいは完了するアップリンクメッセージが受信されるまで、前記受信したモバイルアイデンティティは記憶されない
    ことを特徴とする請求項7に記載の方法。
  9. 前記受信したメッセージを破棄するステップは、更に、
    前記移動局を抹消するステップと、
    所定期間、前記移動局に関連付けられているインターネットプロトコル(IP)アドレスをブラックリストに掲載するステップと、
    前記破棄されたメッセージと、前記移動局の抹消をシステムオペレータに通知するステップと、
    前記破棄されたメッセージと、前記移動局の抹消についての情報をログに記録するステップと
    を備えることを特徴とする請求項1に記載の方法。
  10. 前記受信したメッセージは、モビリティ管理(MM)メッセージ、汎用パケット無線サービス(GPRS)モビリティ管理(GMM)メッセージ、あるいはUMAあるいは無認可無線リソース(URR)メッセージである
    ことを特徴とする請求項1に記載の方法。
  11. 前記メッセージは、無認可移動体アクセスネットワーク(UMAN)内の無認可ネットワークコントローラ(UNC)で、あるいは汎用アクセスネットワーク(GAN)内の汎用アクセスネットワークコントローラ(GANC)で受信される
    ことを特徴とする請求項1に記載の方法。
  12. 前記移動局へ1つ以上のサービスを提供するために、前記記憶されたモバイルアイデンティティを使用するステップを更に備える
    ことを特徴とする請求項1に記載の方法。
  13. コアネットワークを保護するためのコンピュータ可読媒体上で実現されるコンピュータプログラムであって、
    移動局のモバイルアイデンティティを含むメッセージを受信するためのコードセグメントと、
    前記受信したモバイルアイデンティティが前記移動局に関連付けて記憶されているモバイルアイデンティティとマッチしないときは、前記メッセージを破棄するためのコードセグメントと
    を備えることを特徴とするコンピュータプログラム。
  14. 装置であって、
    移動局とモバイルアイデンティティとの関係を記憶するデータ記憶デバイスと、
    移動局のモバイルアイデンティティを含むメッセージを受信する前記データ記憶デバイスと通信可能に接続されているプロセッサであって、前記受信したモバイルアイデンティティが前記移動局に関連付けて記憶されているモバイルアイデンティティとマッチしないときは、前記メッセージを破棄するあるいは拒否するプロセッサと
    を備えることを特徴とする装置。
  15. システムであって、
    移動局と、
    移動局と通信可能に接続されているセキュアゲートウェイであって、前記移動局からモバイルアイデンティティ情報を受信し、かつ前記モバイルアイデンティティ情報を無認可ネットワークコントローラへ送信するセキュアゲートウェイと、
    前記移動局と前記セキュアゲートウェイに通信可能に接続されているネットワークコントローラとを備え、
    前記ネットワークコントローラは、前記受信したモバイルアイデンティティ情報を記憶し、かつ前記移動局から受信される登録リクエスト内のモバイルアイデンティティが前記記憶したモバイルアイデンティティ情報とマッチするときは、前記移動局を登録する
    ことを特徴とするシステム。
  16. 前記モバイルアイデンティティ情報は、国際移動体加入者アイデンティティ(IMSI)、プライベートインターネットプロトコル(IP)アドレスあるいはパブリックIPアドレスである
    ことを特徴とする請求項15に記載のシステム。
  17. 前記セキュアゲートウェイは、前記移動局を登録するために、前記ネットワークコントローラによって使用される1つ以上の定義済送信制御プロトコル(TCP)ポートで構成され、
    前記ネットワークコントローラは、前記1つ以上の定義済TCPポート上の到来TCP接続を監視する
    ことを特徴とする請求項15に記載のシステム。
  18. 前記セキュアゲートウェイは、前記モバイルアイデンティティ情報の受信及び記憶の成功を示すメッセージが前記ネットワークコントローラから受信されるまで、前記登録リクエストが前記ネットワークコントローラによって受信されてないことを保証する
    ことを特徴とする請求項15に記載のシステム。
  19. 前記メッセージが、前記記憶されたモバイルアイデンティティ情報とマッチしないモバイルアイデンティティを含んでいるときは、前記ネットワークコントローラは、前記移動局から受信されるメッセージを破棄する
    ことを特徴とする請求項15に記載のシステム。
  20. 前記ネットワークコントローラは、前記移動局へ1つ以上のサービスを提供するために、前記モバイルアイデンティティ情報を使用する
    ことを特徴とする請求項15に記載のシステム。
JP2007552748A 2005-02-01 2006-01-30 無認可移動体アクセスネットワークにおけるセキュリティの提供 Active JP4758442B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/047,880 US7280826B2 (en) 2005-02-01 2005-02-01 Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network
US11/047,880 2005-02-01
PCT/IB2006/000165 WO2006082489A1 (en) 2005-02-01 2006-01-30 Providing security in an unlicensed mobile access network

Publications (3)

Publication Number Publication Date
JP2008529380A true JP2008529380A (ja) 2008-07-31
JP2008529380A5 JP2008529380A5 (ja) 2009-03-05
JP4758442B2 JP4758442B2 (ja) 2011-08-31

Family

ID=36121549

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007552748A Active JP4758442B2 (ja) 2005-02-01 2006-01-30 無認可移動体アクセスネットワークにおけるセキュリティの提供

Country Status (14)

Country Link
US (1) US7280826B2 (ja)
EP (1) EP1844613B1 (ja)
JP (1) JP4758442B2 (ja)
KR (1) KR101262405B1 (ja)
CN (1) CN101283597B (ja)
AT (1) ATE427628T1 (ja)
AU (1) AU2006211011B2 (ja)
BR (1) BRPI0607120B1 (ja)
DE (1) DE602006006027D1 (ja)
HK (1) HK1125524A1 (ja)
MX (1) MX2007008998A (ja)
MY (1) MY140735A (ja)
PL (1) PL1844613T3 (ja)
WO (1) WO2006082489A1 (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6922559B2 (en) 2001-02-26 2005-07-26 Kineto Wireless, Inc. Unlicensed wireless communications base station to facilitate unlicensed and licensed wireless communications with a subscriber device, and method of operation
US7283822B2 (en) * 2003-10-17 2007-10-16 Kineto Wireless, Inc. Service access control interface for an unlicensed wireless communication system
US7272397B2 (en) * 2003-10-17 2007-09-18 Kineto Wireless, Inc. Service access control interface for an unlicensed wireless communication system
WO2006012909A1 (en) * 2004-08-02 2006-02-09 Telefonaktiebolaget L.M. Ericsson (Publ) Handover in a mobile communications network
WO2006103536A1 (en) * 2005-03-31 2006-10-05 Nokia Corporation Authentication mechanism for unlicensed mobile access
CA2607665A1 (en) * 2005-05-10 2006-11-10 Network Equipment Technologies, Inc. Lan-based uma network controller with proxy connection
US7769379B2 (en) * 2005-06-17 2010-08-03 Nokia Corporation Unlicensed mobile access support in mobile networks of the third generation
US8364746B2 (en) 2005-10-21 2013-01-29 T-Mobile Usa, Inc. System and method for determining device location in an IP-based wireless telecommunications network
US7950052B2 (en) * 2006-01-25 2011-05-24 Audiocodes, Inc. System, method, and interface for segregation of a session controller and a security gateway
WO2007098678A1 (fr) * 2006-02-28 2007-09-07 Huawei Technologies Co., Ltd. Serveur d'agents, procédé permettant de créer un agent par l'intermédiaire du serveur d'agents et système et procédé pour système de communication sécurisé
CA2619648C (en) 2006-04-13 2013-12-31 T-Mobile Usa, Inc. Mobile computing device geographic location determination
US8356171B2 (en) * 2006-04-26 2013-01-15 Cisco Technology, Inc. System and method for implementing fast reauthentication
US8817696B2 (en) 2006-05-22 2014-08-26 Cisco Technology, Inc. Enhanced unlicensed mobile access network architecture
US20080031214A1 (en) * 2006-08-07 2008-02-07 Mark Grayson GSM access point realization using a UMA proxy
US7668544B2 (en) * 2006-08-25 2010-02-23 Research In Motion Limited Method and system for handling a faulty registration for a mobile communications device
US7941140B2 (en) * 2006-10-04 2011-05-10 Cisco Technology, Inc. UMA/GAN integration within a legacy location based system
US8953567B2 (en) 2006-10-20 2015-02-10 T—Mobile USA, Inc. System and method for utilizing IP-based wireless telecommunications client location data
CA2620409A1 (en) 2006-10-20 2008-04-20 T-Mobile Usa, Inc. System and method for determining a subscriber's zone information
CA2620249C (en) * 2006-10-20 2016-04-19 T-Mobile Usa, Inc. Two stage mobile device geographic location determination
JP5166453B2 (ja) * 2007-03-08 2013-03-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 無線システム内のユーザ装置のサービスエリア識別子を選択するための方法および装置
US8064882B2 (en) * 2007-03-09 2011-11-22 Cisco Technology, Inc. Blacklisting of unlicensed mobile access (UMA) users via AAA policy database
US20080268842A1 (en) * 2007-04-30 2008-10-30 Christian Herrero-Veron System and method for utilizing a temporary user identity in a telecommunications system
US8510455B2 (en) * 2007-04-30 2013-08-13 Futurewei Technologies, Inc. Method and apparatus for IP mobility management selection
WO2008148214A1 (en) * 2007-06-08 2008-12-11 Research In Motion Limited Methods and apparatus for use in controlling the selection of communication networks while connected in a generic access network
US8649799B2 (en) * 2007-07-09 2014-02-11 Telefonaktiebolaget L M Ericsson (Publ) Unlicensed mobile access (UMA) terminal location in a communications network
US8611880B2 (en) * 2007-07-13 2013-12-17 Telefonaktiebolaget Lm Ericsson (Publ) Routing call to UMA-capable terminals using a geographic number
US8189549B2 (en) * 2007-10-22 2012-05-29 T-Mobile Usa, Inc. System and method for indicating a subscriber's zone within converged telecommunications networks
US20090131017A1 (en) * 2007-11-15 2009-05-21 Airwalk Communications, Inc. System, method, and computer-readable medium for access restriction of user equipment devices in an ip-femtocell system
US8413226B2 (en) * 2008-05-13 2013-04-02 Telefonaktiebolaget Lm Ericsson (Publ) User-type handling in a wireless access network
US8520589B2 (en) * 2008-05-19 2013-08-27 Motorola Mobility Llc Mobile device and method for intelligently communicating data generated thereby over short-range, unlicensed wireless networks and wide area wireless networks
US8326268B2 (en) * 2008-06-10 2012-12-04 Samsung Electronics Co., Ltd. Method and system for protection against the unauthorized use of a terminal
US8290474B2 (en) * 2008-10-09 2012-10-16 Nokia Corporation Method, apparatus and computer program product for providing smart card security
WO2010102242A2 (en) * 2009-03-06 2010-09-10 T-Mobile Usa, Inc. System and method for indicating a subscriber's zone within converged telecommunications networks
US8311557B2 (en) * 2009-05-15 2012-11-13 T-Mobile Usa, Inc. Facility for selecting a mobile device location determination technique
US8718592B2 (en) 2009-05-15 2014-05-06 T-Mobile Usa, Inc. Mobile device location determination using micronetworks
US9201973B2 (en) 2009-07-10 2015-12-01 Geodex Llc Computerized system and method for tracking the geographic relevance of website listings and providing graphics and data regarding the same
US8135735B2 (en) 2009-07-10 2012-03-13 Geodex, Llc Computerized system and method for tracking the geographic relevance of website listings and providing graphics and data regarding the same
CN102025848A (zh) * 2009-09-18 2011-04-20 鸿富锦精密工业(深圳)有限公司 网关及其处理封包的方法
US8472974B2 (en) 2010-04-28 2013-06-25 T-Mobile Usa, Inc. Location continuity service for locating mobile devices using multiple access networks including wireless telecommunication networks
US9094927B2 (en) 2010-04-28 2015-07-28 T-Mobile Usa, Inc. Location continuity service for locating mobile devices using multiple access networks including wireless telecommunication networks
US8695095B2 (en) * 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US9781658B1 (en) * 2011-04-20 2017-10-03 Sprint Communications Company L.P. Wireless communication device detection with a pseudo-pilot signal
US10237840B2 (en) 2016-05-17 2019-03-19 T-Mobile Usa, Inc. Providing a public internet protocol address during Wi-Fi calling registration
WO2018089442A2 (en) * 2016-11-09 2018-05-17 Intel IP Corporation Ue and devices for detach handling
US10785708B2 (en) 2018-09-12 2020-09-22 Trespass Tracker Ltd. System and method of tracking a mobile device
CA3154209A1 (en) * 2019-09-12 2021-03-18 Trespass Tracker Ltd. System and method of tracking a mobile device
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
WO2021060858A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001218267A (ja) * 2000-02-02 2001-08-10 Futoshi Uenishi 携帯電話による個人認証システム
JP2003110551A (ja) * 2001-09-28 2003-04-11 Brother Ind Ltd 認証システム、認証装置およびサービス提供装置
JP2008529330A (ja) * 2005-01-24 2008-07-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コアネットワークの方法及び装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5850444A (en) * 1996-09-09 1998-12-15 Telefonaktienbolaget L/M Ericsson (Publ) Method and apparatus for encrypting radio traffic in a telecommunications network
ATE281047T1 (de) * 2000-11-17 2004-11-15 Ericsson Telefon Ab L M Mobiles kommunikationsnetz
GB2371711B (en) * 2000-11-27 2004-07-07 Nokia Mobile Phones Ltd A Server
US6922559B2 (en) * 2001-02-26 2005-07-26 Kineto Wireless, Inc. Unlicensed wireless communications base station to facilitate unlicensed and licensed wireless communications with a subscriber device, and method of operation
EP1261170A1 (en) * 2001-05-24 2002-11-27 BRITISH TELECOMMUNICATIONS public limited company Method for providing network access to a mobile terminal and corresponding network
EP1372309B9 (en) * 2002-06-12 2009-03-18 Telefonaktiebolaget LM Ericsson (publ) Method, system and apparatus for handling terminal capabilities
US7280505B2 (en) * 2002-11-13 2007-10-09 Nokia Corporation Method and apparatus for performing inter-technology handoff from WLAN to cellular network
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
US7657270B2 (en) * 2003-06-06 2010-02-02 At&T Intellectual Property I, L.P. System and method for providing a single telephone number for use with a plurality of telephone handsets
US7266106B2 (en) * 2004-08-31 2007-09-04 Telefonaktiebolaget Lm Ericsson (Publ) Frame size adaptation in real-time transport protocol

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001218267A (ja) * 2000-02-02 2001-08-10 Futoshi Uenishi 携帯電話による個人認証システム
JP2003110551A (ja) * 2001-09-28 2003-04-11 Brother Ind Ltd 認証システム、認証装置およびサービス提供装置
JP2008529330A (ja) * 2005-01-24 2008-07-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コアネットワークの方法及び装置

Also Published As

Publication number Publication date
BRPI0607120A2 (pt) 2009-08-11
KR101262405B1 (ko) 2013-05-08
CN101283597A (zh) 2008-10-08
AU2006211011A1 (en) 2006-08-10
ATE427628T1 (de) 2009-04-15
WO2006082489A1 (en) 2006-08-10
AU2006211011B2 (en) 2010-04-01
EP1844613B1 (en) 2009-04-01
DE602006006027D1 (de) 2009-05-14
MX2007008998A (es) 2007-09-14
EP1844613A1 (en) 2007-10-17
CN101283597B (zh) 2011-11-16
US20060172732A1 (en) 2006-08-03
US7280826B2 (en) 2007-10-09
KR20070102698A (ko) 2007-10-19
MY140735A (en) 2010-01-15
PL1844613T3 (pl) 2009-08-31
JP4758442B2 (ja) 2011-08-31
BRPI0607120B1 (pt) 2019-04-16
HK1125524A1 (en) 2009-08-07

Similar Documents

Publication Publication Date Title
JP4758442B2 (ja) 無認可移動体アクセスネットワークにおけるセキュリティの提供
EP3662630B1 (en) Methods, systems, and computer readable media for mobility management entity (mme) authentication for outbound roaming subscribers using diameter edge agent (dea)
EP1240744B1 (en) Prevention of spoofing in telecommunications systems
JP4966432B2 (ja) 非3gppアクセスネットワーク経由のアクセス
WO2016201990A1 (zh) 防止无线网络中直径信令攻击的方法、装置和系统
US20220060350A1 (en) Connecting to a Home Area Network Via a Mobile Communication Network
US20030081607A1 (en) General packet radio service tunneling protocol (GTP) packet filter
WO2018040565A1 (zh) 一种防止信令攻击方法及装置
US9113331B2 (en) Validating user identity by cooperation between core network and access controller
JP2008529380A5 (ja)
KR20070104633A (ko) 코어 네트워크를 보호하는 방법 및 장치
WO2007087608A2 (en) System, method, and interface for segregation of a session controller and a security gateway
WO2013185709A1 (zh) 一种呼叫认证方法、设备和系统
TW201725931A (zh) 通訊系統中閘道器節點之選擇
JP4690423B2 (ja) コアネットワークの方法及び装置
US10785195B2 (en) Mobile communications over secure enterprise networks
CN110754101B (zh) 用于保护与用户设备相关联的订户信息的方法、系统和计算机可读存储介质
US20240147238A1 (en) Diameter spoofing detection and post-spoofing attack prevention

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110602

R150 Certificate of patent or registration of utility model

Ref document number: 4758442

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140610

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250