JP2018521573A - Sdnセキュリティ - Google Patents

Sdnセキュリティ Download PDF

Info

Publication number
JP2018521573A
JP2018521573A JP2017564420A JP2017564420A JP2018521573A JP 2018521573 A JP2018521573 A JP 2018521573A JP 2017564420 A JP2017564420 A JP 2017564420A JP 2017564420 A JP2017564420 A JP 2017564420A JP 2018521573 A JP2018521573 A JP 2018521573A
Authority
JP
Japan
Prior art keywords
protocol
message
dhcp
controller
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017564420A
Other languages
English (en)
Other versions
JP6532963B2 (ja
Inventor
クラウス ホフマン
クラウス ホフマン
Original Assignee
ノキア ソリューションズ アンド ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト
ノキア ソリューションズ アンド ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ノキア ソリューションズ アンド ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト, ノキア ソリューションズ アンド ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト filed Critical ノキア ソリューションズ アンド ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト
Publication of JP2018521573A publication Critical patent/JP2018521573A/ja
Application granted granted Critical
Publication of JP6532963B2 publication Critical patent/JP6532963B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • H04L47/323Discarding or blocking control packets, e.g. ACK packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、SDNセキュリティに関する装置、方法、コンピュータプログラム、コンピュータプログラム製品及びコンピュータ読み取り可能な媒体を提供する。この方法は、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及びメッセージが事前構成ルールに合致すると決定された場合には、コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、そして所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞る、ことを含む。【選択図】 図6

Description

本発明は、SDN(ソフトウェア定義ネットワーキング, Software Defined Networking)セキュリティに関する装置、方法、システム、コンピュータプログラム、コンピュータプログラム製品、及びコンピュータ読み取り可能な媒体に関する。
本発明は、例えば、DHCP(ダイナミックホスト構成プロトコル)、RADIUS(リモート認証ダイヤルインユーザサービス)、L2TP(レイヤ2トンネルプロトコル)及びPPP(ポイント対ポイントプロトコル)、等の種々のプロトコルに適用することができる。
ダイナミックホスト構成プロトコル(DHCP)は、IP(インターネットプロトコル)アドレスを管理し、そしてそれをTCP/IP(送信コントロールプロトコル/インターネットプロトコル)ネットワークのステーションへ動的に指定するためのプロトコルである。DHCPは、クライアント・サーバーアーキテクチャーであり、そして図1に示すプロセスは、(GTP(GPRS(汎用パケット無線サービス)トンネルプロトコル)を考慮せずに)IPアドレスを指定するためにクライアントとサーバーとの間で遂行される。
図1に示すように、クライアントは、ステップS11において、ブロードキャストメッセージ“DHCP−Discovery”をサーバーへ送信し、次いで、サーバーは、ステップS12において、IPアドレス及び他の当該パラメータについての提案を含む“DHCP−Offer”でそれに応答する。次いで、クライアントは、ステップS13において、“DHCP−Offer”でオファーされたIPアドレスを確認/要求するために“DHCP−Request”メッセージをブロードキャストし、そしてサーバーは、ステップS14において、要求側クライアントのための構成パラメータを含む“DHCP−ACK”メッセージでそれに応答する。この点に関する詳細は、ドキュメントRFC(リクエスト・フォー・コメント)2131に記述されている。
図2は、DHCPクライアントとして働くターミナル装置(TE)と、DHCPサーバーとして働くイントラネット又はISP(インターネットサービスプロバイダー)との間にDHCPv4を使用するアドレス割り当ての別の例を示すシグナリング図(3GPP TS(技術的仕様書)29.061を参照)である。更に、図2は、移動ターミナル(MT)、SGSN(サービングGPRSサポートノード)、及びDHCPリレーエージェントとして働くGGSN(ゲートウェイGPRS(汎用パケット無線サービス)サポートノード)も示している。図2のステップ1)から12)の以下の説明は、TS29.061から取り出されたものである。この点に関する詳細については、そのドキュメントを参照されたい。
ステップS21において、TE(ターミナル装置)及びMT(移動ターミナル)は、多数のAT(例えば、3GPP TS27.007に述べられたAttention)コマンドを交換し、これらコマンドは、QoS(サービスクオリティ)を搬送すると共に、TEにより要求される他のパラメータであって、PDP(パケットデータプロトコル)タイプIPのPDPコンテキストのアクチベーションを要求する他のパラメータを搬送する。TEは、DHCPサービスを提供する構成されたイントラネット/ISPのAPN(アクセスポイント名)、及びユーザが加入したDHCPの予約サービスラベルより成るAPNを選択する。後者のケースでは、TEは、(APN選択ルールに基づいて)DHCPサービスを提供するPLMN(公衆地上移動ネットワーク)運営者構成サービスプロバイダーに接続される。
ステップS22において、MTは、空のPDPアドレスフィールドと共にPDPコンテキストアクチベート要求メッセージをSGSNへ送信する。
ステップS23において、SGSNは、MS(移動ステーション)により要求されるAPNに基づき、TE及びMTにより構成されたGGSNを選択し、そしてPDP(パケットデータプロトコル)コンテキスト生成要求メッセージをそのGGSNへ送信する。GGSNは、PDPコンテキスト生成応答メッセージで応答する。GGSNが、要求されたAPNに対しDHCPとの外部PDN(パケットデータネットワーク)アドレス割り当てを使用するように運営者により構成されていない場合には、原因が「サービス非サポート」にセットされねばならない。この点においてIPアドレスが指定されない場合には、GGSNにより返送されるPDPアドレスが0.0.0.0.にセットされ、これは、IPアドレスがまだ指定されておらず、PDPコンテキストアクチベーション手順の後にTEによりイントラネット/ISPとネゴシエーションされねばならないことを示す。
ステップS24において、PDPコンテキスト生成応答で受け取られた原因値に基づいて、SGSNは、PDPコンテキストアクチベート受け容れ又はPDPコンテキストアクチベート拒絶のいずれかをMTへ返送する。首尾良いアクチベーションの場合には、PDPアドレスが0.0.0.0.にセットされた状態でPDPコンテキストが確立される。
ステップS25において、PDPコンテキストアクチベート受け容れを受け取ると、MTは、PDPコンテキストアクチベーション手順の完了を確認するAT応答をTEへ送信する。
ステップS26において、TEは、IP行先アドレスを限定ブロードキャストアドレス(全て1)にセットしてDHCPDISCOVERメッセージを送信する。GGSNは、DHCPDISCOVERをDHCPリレーエージェントへ通過させ、これは、PDPコンテキストのAPNに対して構成されたDHCPサーバーへその要求を中継する。所与のAPNに対して2つ以上のDHCPサーバーが構成される場合には、要求がそれらの全部に送られる。DHCPリレーエージェントは、応答をMSへリレー返送できるようにするに充分な情報をDHCPDISCOVERメッセージに追加する。
ステップS27において、DHCPDISCOVER要求を受け取るDHCPサーバーは、オファーされるIPアドレスを含むDHCPOFFERメッセージを送信することにより応答する。DHCPリレーエージェントは、その応答を適切なMSへ転送する。
ステップS28において、TEは、おそらく多数のDHCPOFFERの1つを選択し、そしてその選択を確認すると共に付加的な構成情報を要求するDHCPREQUESTを送信する。リレーエージェントは、ステップS26で述べたようにDHCPOFFERを中継する。
ステップS29において、選択されたDHCPサーバーは、DHCPREQUESTを受け取り、そしてTEにより要求される構成情報を含むDHCPACKで応答する。DHCPリレーエージェントは、DHCPACKをTEへ中継する。
ステップS210において、DHCPリレーエージェントは、割り当てられたIPアドレスをGGSNへ通過し、GGSNは、それを、対応するPDPコンテキストに記憶する。次いで、GGSNは、割り当てられたIPアドレスにセットされたエンドユーザアドレス情報エレメントと共にPDPコンテキスト更新要求を適当なSGSNへ送ることによりPDPコンテキスト変更手順を開始する。
ステップS211において、SGSNは、PDPアドレス情報エレメントにおける割り当てられたIPアドレスと共にPDPコンテキスト変更要求をMTに送る。MTは、PDPコンテキスト変更受け容れをSGSNに送ることにより確認を行う。
ステップS212において、SGSNは、PDPコンテキスト更新応答をGGSNに送る。PDPコンテキストは、割り当てられたIPアドレスで首尾良く更新されている。
3GPPに関しては、UEがDHCPを経てIPアドレス割り当てを要求した場合に、GTP−U(GPRSトンネルプロトコルユーザプレーン)は、DHCPシグナリングトラフィックと、UEにより発生されるトラフィックのペイロードと、の両方を搬送する。
更に、今日のOpenFlow仕様によれば、一般的に、EPC GW(進化型パケットコアゲートウェイ)のGTP−Uで受け取られる全DHCPメッセージをSDN(ソフトウェア定義ネットワーキング)環境においてコントローラまで送信することができる。
従って、SDNでは、ユーザプレーンで受け取られる全DHCPメッセージがSDNコントローラへ送られる。しかしながら、これは、DoS(サービス妨害)攻撃によりSDNコントローラを氾濫させることができるので、セキュリティの問題を生じさせる。
従って、顧客のネットワーク及びもちろんネットワークそれ自体の他のユーザ/加入者がそれに対応する攻撃により影響を受けないようにネットワークのキャリアグレード振舞いを保証するようコントローラをセキュア化する解決策が要求される。
DHCPプロトコルはUE起源であるから、UEがPCO(プロトコル構成オプション;3GPP TS24.008を参照)を経て(S5/S8インターフェイスTS29.274GTPv2コントロールプレーン(4G)を経て又はGnインターフェイスTS29.060GTPv1コントロールプレーン(3G)を経て)DHCPを要求する場合には、UEがネットワークSDNコントローラに影響を及ぼす。
従って、以前は、SDNコントローラが存在しなかった。それ故、(特に、SDNコントローラがネットワーク内の指定のスイッチにおける流れを適切に制御できないために)運営者のネットワークが潜在的に攻撃及びダメージを受ける脅威がSDN解決策によって新たに生じる。現在まで、SDNが導入される以前は、脅威がないので心配する必要がなかった。
現在、全てのDHCPメッセージがコントローラへ送られるか否かであるが、PGW−C(パケットデータネットワークゲートウェイコントロールプレーン)は、UEに割り当てられ/指定されるIPアドレスを持つ必要がある。従って、SDN環境では、現在解決されない対立する要求がある。
しかしながら、DHCPは、単なる一例に過ぎないことに注意されたい。上述した問題及び本発明は、例えば、RADIUS(リモート認証ダイヤルインユーザサービス)、L2TP(レイヤ2トンネルプロトコル)、及びPPP(ポイント対ポイント)、等の他のプロトコルにも適用できる。
図9は、3GPP TS29.061に定義された首尾良いPDPコンテキストアクチベーションの一例を示すシグナリングである。
図9に示す例では、MS(移動ステーション)に、イントラネット/ISPアドレススペースに属するアドレスが与えられる。このアドレスは、加入時に与えられる(この場合は、スタティックアドレスである)か、又はPDPコンテキストアクチベーション時に与えられる(この場合は、ダイナミックアドレスである)。このアドレスは、GGSN内でのパケット転送、及びイントラネット/ISPにおけるパケット転送に使用される。これは、GGSNとアドレス割り当てサーバーとの間に、イントラネット/ISPに属するAAA(認証、許可及びアカウンティング)又はDHCPのようなリンクを要求する。
パケットドメインとイントラネット/ISPとの間の通信は、非セキュアなネットワーク、例えば、インターネットを経て遂行される。GGSNとイントラネット/ISPとの間の非セキュアな接続の場合には、それらの間に特定のセキュリティプロトコルがある。このセキュリティプロトコルは、PLMN(公衆地上移動ネットワーク)運営者とイントラネット/ISP管理者との間の相互合意により定義される。
ステップS91において、TEは、ATコマンドをMTに送信してパラメータを設定する。ステップS92において、MTは、PDPコンテキストアクチベート要求メッセージをSGSNへ送り、SGSNは、ステップS93において、PDPコンテキスト生成要求メッセージを選択されたGGSNへ送る。
GGSNは、APNから次のものを推論する。
−アドレス割り当て及び認証に使用されるサーバー(1つ又は複数);
−この/それらのサーバーと共に使用されるべきRADIUS、DHCP又はL2TPのようなプロトコル;
−この/それらのサーバーと対話する必要のある通信及びセキュリティ特徴、例えば、トンネル、IPSecセキュリティ関連性、ダイヤルアップ接続(考えられるPPPを使用する)。
一例として、GGSNは、次の選択肢の1つを使用する。
−認証及びIPアドレス割り当てのためのRADIUS。AAAサーバーは、GGSNにおけるRADIUSクライアントに対するアクセス受け容れ又はアクセス拒絶のいずれかで応答する;
−認証のためのRADIUS及びホスト構成及びアドレス割り当てのためのDHCP。AAAサーバーは、GGSNにおけるRADIUSクライアントに対するアクセス受け容れ又はアクセス拒絶のいずれかで応答する。認証成功の後に、DHCPクライアントは、ISP/イントラネットにおけるDHCPサーバーを発見し、そしてホスト構成データを受け取る;
−PPPフレームをL2TPネットワークサーバーへ転送するためのL2TP。
ステップS94において、GGSNは、PDPコンテキスト生成応答メッセージをSGSNへ返送する。PDPコンテキスト生成応答で受け取られる原因値に基づき、SGSNは、ステップS95において、PDPコンテキストアクチベート受け容れメッセージ又はPDPコンテキストアクチベート拒絶メッセージをMSに送る。
ステップS96において、MTは、コンテキストアクチベーションが成功であったか否かを示すAT応答で応答する。コンテキストアクチベーションが成功でない場合には、その応答が原因も示す。
コンテキストアクチベーションが成功の場合には、TEは、LLC(論理的リンクコントロール)リンクが確立された後にそのPPPプロトコルをスタートする。次いで、LCP(リンクコントロールプロトコル)、認証及びNCP(ネットワークコントロールプロトコル)ネゴシエーションがステップS97において実行され、そしてRADIUS/DHCP又はL2TPネゴシエーションがステップS98において実行される。
図10は、3GPP TS29.061に述べられたように、PPPがGGSNにおいて終了する場合に、GGSNと、認証、許可及びアカウンティング(AAA)サーバーとの間にRADIUSメッセージが流れる一例を示す。その詳細な説明は、ここでは、省略し、これについてはTS29.061を参照されたい。
Seungwon氏等の“AVANT-GUARD: Scalable and Vigilant Switch Flow Management in Dofitware-Defined Networks”という論文は、ソフトウェア定義ネットワークにおけるスイッチフロー管理について開示すると共に、ある起点及び/又は行先からの及び/又はそれに向かうあるトラフィックを一般的にブロックするメカニズム、並びにあるDoS攻撃を回避できるようにするパケット/バイトの数について開示している。
それ故、本発明の目的は、前記問題を解消すると共に、SDN(ソフトウェア定義ネットワーキング)セキュリティに関する装置、方法、システム、コンピュータプログラム、コンピュータプログラム製品、及びコンピュータ読み取り可能な媒体を提供することである。
本発明のある観点によれば、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及びメッセージが事前構成ルールに合致すると決定された場合は、コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、そして所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞ることを含む方法が提供される。
本発明の別の観点によれば、アドレス割り当ての要求が所定の条件を満足するかどうか評価し、その要求が所定の条件を満足すると決定された場合には、ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及びユーザプレーンのメッセージが事前構成ルールに合致する場合には、ユーザプレーンの別のネットワーク要素が、コントローラへの特定のシグナリングメッセージを絞るようにさせることを含む方法が提供される。
本発明の別の観点によれば、ユーザプレーンのネットワーク要素に使用するための装置において、少なくとも1つのプロセッサ、及びプロセッサにより実行されるべきインストラクションを記憶するための少なくとも1つのメモリを備え、この少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及びメッセージが事前構成ルールに合致すると決定された場合には、コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞る、ことを遂行するようにさせるよう構成された装置が提供される。
本発明の別の観点によれば、ネットワーク要素に使用するための装置において、少なくとも1つのプロセッサ、及びプロセッサにより実行されるべきインストラクションを記憶するための少なくとも1つのメモリを備え、この少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、アドレス割り当ての要求が所定の条件を満足するかどうか評価し、その要求が所定の条件を満足すると決定された場合には、ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及びユーザプレーンのメッセージが事前構成ルールに合致する場合には、コントローラへの特定のシグナリングメッセージを絞ることをユーザプレーンの別のネットワーク要素に指示させる、よう構成された装置が提供される。
本発明の別の観点によれば、コンピュータのメモリにロードされるときに前記いずれかの方法のステップを生成するためのコード手段を備えたコンピュータプログラム製品が提供される。
本発明の更に別の観点によれば、ソフトウェアコード部分が記憶されるコンピュータ読み取り可能な媒体を備えた前記コンピュータプログラム製品が提供される。
本発明の更に別の観点によれば、処理装置の内部メモリにプログラムを直接ロードできる前記コンピュータプログラム製品が提供される。
本発明の更に別の観点によれば、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするための手段、メッセージが事前構成ルールに合致すると決定された場合には、コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定スレッシュホールドに達したかどうかチェックするための手段、及び所定スレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞るための手段、を備えた装置が提供される。
本発明の更に別の観点によれば、アドレス割り当ての要求が所定の条件を満足するかどうか評価するための手段、その要求が所定の条件を満足すると決定された場合には、ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせる手段、及びユーザプレーンのメッセージが事前構成ルールに合致する場合には、ユーザプレーンの別のネットワーク要素が、コントローラへの特定のシグナリングメッセージを絞るようにさせる手段、を備えた装置が提供される。
これら及び他の目的、特徴、詳細、及び効果は、添付図面に関連してなされる本発明の観点/実施形態の以下の詳細な説明から完全に明らかとなろう。
クライアントとサーバーとの間にDHCPを使用するアドレス割り当ての基本的な例を示すシグナリング図である。 DHCPクライアントとして働くターミナル装置(TE)と、DHCPサーバーとして働くイントラネット又はISP(インターネットサービスプロバイダー)との間にDHCPv4を使用するアドレス割り当ての別の例を示すシグナリング図である。 スレッシュホールドに達しない場合に「パケット・イン」メッセージを絞るためにオープンフローコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCPリレーの一例を示す図である。 スレッシュホールドに達し且つ「パケット・イン」メッセージがない場合に「パケット・イン」メッセージを絞るためにオープンフローコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCPリレーの一例を示す図である。 スレッシュホールドに達しない場合にDHCPプロトコルを変更し且つ割り当てられたIPアドレスをPGW−Cに報告するためにオープンフローコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCPリレーを示す図である。 本発明のある規範的形態による方法の一例を示すフローチャートである。 本発明のある規範的形態による方法の別の例を示すフローチャートである。 本発明のある規範的形態による装置の一例を示すフローチャートである。 首尾良いPDPコンテキストアクチベーションの一例を示すシグナリング図である。 GGSNと、認証、許可及びアカウンティング(AAA)サーバーとの間のRADIUSメッセージフローの一例を示すシグナリング図である。 SDNをもたない最新形態のDHCP構成信号フローを示すシグナリング図である。
以下、本発明の開示の規範的形態及び実施形態を、図面を参照して説明する。本発明を例示するために、3GPPベースの通信システム、例えば、LTE/LTE−Aベースのシステムに基づくセルラー通信ネットワークに関連して実施例及び実施形態を説明する。しかしながら、本発明は、そのようなタイプの通信システム又は通信ネットワークを使用する用途に限定されず、例えば、5G通信ネットワーク又は固定ネットワーク、等の他のタイプの通信システム又は通信ネットワークにも適用できることに注意されたい。
以下の規範的形態及び実施形態は、例示に過ぎないことを理解されたい。明細書の多数の位置に「一(an)」、「1つの(one)」又は「幾つかの(some)」規範的形態又は実施形態が現れるが、これは、必ずしも、その各々が同じ規範的形態又は実施形態を指すか又は特徴が1つの規範的形態又は実施形態のみに適用されることを意味するものではない。異なる実施形態の1つの特徴を組み合わせて他の実施形態を形成してもよい。更に、「備える(comprising)」及び「含む(including)」という語は、ここに述べる実施形態を、ここに記載した特徴のみで構成することに限定するものではなく、又、そのような規範的形態及び実施形態は、ここに特別に記載されない特徴、構造、ユニット、モジュール、等を含んでもよいことを理解されたい。
本発明の規範的実施形態を適用できる通信ネットワークの基本的システムアーキテクチャーは、ワイヤード又はワイヤレスアクセスネットワークサブシステム及びコアネットワークを備えた1つ以上の通信システムの通常知られたアーキテクチャーを含む。そのようなアーキテクチャーは、1つ以上の通信ネットワーク制御要素、アクセスネットワーク要素、無線アクセスネットワーク要素、アクセスサービスネットワークゲートウェイ又はベーストランシーバステーション、例えば、ベースステーション(BS)、各カバレージエリア又はセルを制御するアクセスポイント又はeNB(進化型ノードB)を含み、それらと共に、UEの一部でもあり又はUE等に個別の要素として取り付けられる1つ以上の通信要素又はターミナル装置、例えば、UE(ユーザ装置)、又は同様の機能を有する別の装置、例えば、モデムチップセット、チップ、モジュール、等は、多数のタイプのデータを送信するために1つ以上のチャンネルを経て通信することができる。更に、コアネットワーク要素、例えば、ゲートウェイネットワーク要素、ポリシー及び課金制御ネットワーク要素、移動管理エンティティ、運転及び保守要素、等が含まれる。
実際のネットワーク形式にも依存するここに述べる要素の一般的機能及び相互接続は、当業者に良く知られ且つ対応規格にも記載されており、従って、詳細な説明は省略する。しかしながら、以下に詳細に述べるものの他に、UEのような通信要素又はターミナル装置、及び無線ネットワークコントローラのような通信ネットワーク制御要素への又はそこからの通信に対して多数の付加的なネットワーク要素及びシグナリングリンクを使用してもよいことに注意されたい。
又、通信ネットワークは、他のネットワーク、例えば、公衆交換電話ネットワーク又はインターネットと通信することもできる。又、通信ネットワークは、クラウドサービスの使用をサポートすることもできる。BS及び/又はeNB又はそれらの機能は、ノード、ホスト、サーバー、クラウド、データセンター又はアクセスノードを使用し、そしてそのような使用に適したノード等のエンティティをフォワーディングすることにより実施できることが明らかである。
更に、本発明は、クラウドコンピューティング、バーチャル化及び工業規格大量サーバーにも適用できる。
この点に関して、クラウドコンピューティング及び工業規格大量サーバーは、文献“Network Functions Virtualization - Introductory White Paper”、ESTI(ヨーロピアンテレコミュニケーションズスタンダードインスティテュート)に次のように定義されている。
クラウドコンピューティング
ネットワーク機能バーチャル化は、クラウドコンピューティングについて開発されたもののような近代的なテクノロジーをレバレッジする。これらクラウドテクノロジーの中心には、バーチャル化メカニズム、即ちハイパーバイザー及び/又は(ドッカー)コンテナ又は同等のものによるハードウェアバーチャル化、並びにバーチャルマシンと物理的インターフェイスとの間にトラフィックを接続するためのバーチャルイーサネット(登録商標)スイッチ(例えば、vswitch)の使用がある。通信指向の機能については、広いI/O帯域巾を伴う高速マルチコアCPU(中央処理ユニット)、負荷分担及びTCPオフローディングのためのスマートイーサネットNICの使用、バーチャルマシンメモリへのパケットの直接的ルーティング、及びポールモードイーサネットドライバ(割り込み駆動ではない、例えば、リナックス(登録商標)NAPI(新アプリケーションプログラミングインターフェイス)及びインテルのDPDK(データプレーン開発キット))により高性能パケット処理を利用することができる。クラウドインフラストラクチャーは、ネットワークのバーチャルアプライアンスの自動インスタンス化、正しいCPUコア、メモリ及びインターフェイスへのバーチャルアプライアンスの指定によるリソースの管理、フェイルしたVM(バーチャルマシン)の再初期化、スナップショットVM状態、及びVMの移動に適用できるオーケストレーション及び管理メカニズムによりリソース利用性及び使用を改善する方法を提供する。最終的に、OpenFlow、OpenStack、OpenNaaS、又はOGFのNSIのような管理及びデータプレーン制御のためのオープンAPIの利用性は、ネットワーク機能バーチャル化及びクラウドインフラストラクチャーの付加的な集積度を与える。
工業規格大量サーバー
工業規格大量サーバーの使用は、ネットワーク機能バーチャル化のための経済的ケースにおける重要な要素である。ネットワーク機能バーチャル化は、IT産業の規模の経済性をレバレッジする。工業規格大量サーバーとは、標準的なITコンポーネント(例えば、×86アーキテクチャー)を使用して構築されそして数百万台販売されているサーバーである。工業規格大量サーバーの共通の特徴は、サーバー内で交換可能なサブコンポーネントの競合供給があることである。
更に、ここに述べるネットワーク要素及び通信装置、例えば、ターミナル装置又はUEのようなユーザ装置、BS又はeNBのようなセルの通信ネットワーク制御要素、AP(アクセスポイント)のようなアクセスネットワーク要素、等、AAA(認証、許可及びアカウンティング)サーバーのようなネットワークアクセス制御要素、等、並びにここに述べる対応する機能は、ソフトウェアにより、例えば、コンピュータのためのコンピュータプログラム製品により、及び/又はハードウェアにより、実施される。いずれにせよ、各機能を実行するため、対応的に使用される装置、ノード又はネットワーク要素は、制御、処理、及び/又は通信/シグナリング機能のために要求される多数の手段、モジュール、ユニット、コンポーネント、等(図示せず)を含む。そのような機能、モジュール、ユニット及びコンポーネントは、例えば、インストラクション及び/又はプログラムを実行し及び/又はデータを処理するために1つ以上の処理部分を含む1つ以上のプロセッサ又はプロセッサユニット、プロセッサのワークエリア又は処理部分等として働くためにインストラクション、プログラム及び/又はデータを記憶するストレージ又はメモリユニット又は手段(例えば、ROM、RAM、EEPROM、等)、ソフトウェアによりデータ及びインストラクションを入力するための入力又はインターフェイス手段、監視及び操作の可能性をユーザに与えるためのユーザインターフェイス(例えば、スクリーン、キーボード、等)、プロセッサユニット又は部分の制御のもとでリンク及び/又は接続を確立するための他のインターフェイス又は手段(例えば、ワイヤード及びワイヤレスインターフェイス手段、例えば、アンテナユニット等を含む無線インターフェイス手段、無線通信部等を形成する手段)、等を含み、インターフェイスを形成する各手段、例えば、無線通信部分は、リモートサイト(例えば、無線ヘッド又は無線ステーション、等)に配置することもできる。本明細書において、処理部分は、1つ以上のプロセッサの物理的部分を表わすと考えるだけではなく、1つ以上のプロセッサによって遂行される関連処理タスクの論理的分割と考えてもよいことに注意されたい。
本発明の幾つかの規範的形態の目的は、(オンライン)課金及びトラフィック操向のような機能、例えば、サービスチェーン化/TDF(トラフィック検出機能)環境に対し、PGW−C及びSDNコントローラを氾濫から保護すると同時に、必要に応じてPGW−CにおいてIPアドレス付与をサポートすることである。
専用イベント/トリガー情報、例えば、コントロールプレーン情報に基づいて、ユーザプレーンは、OpenFlowメッセージ「パケット・イン(Packet IN)」を経てSDNコントローラまで送られるシグナリング(DHCP)メッセージを絞るように指令される。これにより、SDNコントローラは、氾濫に対して保護される一方、SDNコントローラの頂部に乗るPGW−Cアプリケーションに必要なIPアドレスについて通知される。
或いは又、OpenFlowプロトコルは、IPアドレス(或いはPGW−Cにとってどんな情報エレメント(又はどんなアプリケーション)に関心があるか)のみがSDNコントローラに報告されるように変更されてもよい。
現在OpenFlow仕様によれば、DHCPプロトコルは、OpenFlow「パケット・イン」メッセージを経てOFコントローラ及び/又はPGW−Cへ転送され、コントローラ又はPGW−Cは、受け取った情報の操作の後に、OpenFlow「パケット・アウト(Packet Out)」メッセージを経てDHCPメッセージを転送するようにユーザプレーンに命令することができる。DHCPメッセージをOpenFlowコントローラ(OFC)及びPGW−Cまで転送するこの能力は、現在のOpenFlowプロトコルがUDP(ユーザデータグラムプロトコル)ポート67及び68(DHCPを表わす)のマッチングを許すので、既に可能である。
しかしながら、全てのDHCPメッセージをSDNコントローラまで送ることは、セキュリティ上の問題を引き起こす。というのは、SDNコントローラは、上述したように、DoS攻撃により氾濫を受けるからである。
それ故、本発明の幾つかの規範的態様によれば、次の測定が示唆される。
DHCPv4
全GTP−Uトラフィックを完全に絞るのではなく、PGW−C/SDN−C(ソフトウェア定義ネットワーキングコントローラ)がDHCP/RADIUS絞りを要求することが示唆される3GPP TS29.274に定義されたように、セッション生成要求メッセージ又は「PDN接続」メッセージにおいてPCO(プロトコル構成オプション)内のDHCPv4を経てUEがIPv4アドレス割り当てを要求した場合は、通常のGTP−Uペイロード、及びユーザプレーンで搬送されるDHCPに別々にスキャンを適用することが示唆される。例えば、PCO追加パラメータリストが000BH(DHCPv4を経てのIPv4アドレス割り当て)を含む場合には、UEは、GTPトンネル確立の後にGTP−Uペイロードを経てそのIPv4アドレスそれ自体を割り当てようとし、そしてその場合、SDNコントローラ/PGW−Cは、UEが高い頻度で送られるDHCPv4メッセージで(例えば、OpenFlow又はForceを経て)SDNコントローラをおそらく氾濫させるセキュリティリスクにそれ自身を露出することがある。
従って、PCOが評価され、そしてUEがPCOのDHCPv4又はNAS(非アクセス層)のIPv6を経てIPアドレス割り当てを要求する場合にのみ、PGW−C SDNコントローラは、IPアドレス及びリース時間に関心があり、そしてPGW−C/SDNコントローラまで送信されるUEシグナリングで通知されることによりセキュリティリスクが生じる。
LTE/4Gに定義されたPGW−Cは、ここでも一例に過ぎず、3GのPGWに対応する機能は、GGSNであることに注意されたい。PGWは、S5/S8インターフェイスを経てアドレスされ(3GPP TS29.274 GTPv2コントロールプレーン(4G)を参照)、一方、GGSNは、Gnインターフェイスを経てアドレスされる(3GPP TS29.060 GTPv1コントロールプレーン(3G)を参照)。
更に、PGW及びGGSNのみがC及びUプレーン分割を有するのではなく、SGW(サービングゲートウェイ)もそうであることに注意されたい。これは、例えば、3GPPTS23.402、第4.7.1章、“Figure 4.7.1-1: IPv4 Address Allocation using DHCP with DHCP Server Collocated with the PDN GW and DHCP Relay in the Serving GW”、及び/又は第4.7.6章、“Figure 4.7.6-1: Prefix Delegation with DHCP Server Collocated with the PDN GW and DHCP Relay in the Serving GW when using PMIP-based S5/S8”に記載されている。
DHCPがPGW−Uにおいて各々IP及びGTPレベルにあるので、DHCPシグナリングメッセージは、送信されて、ペイロードレベルでのみ評価される。
そのため、OpenFlowプロトコル内の別のアクションが定義されてユーザプレーンへシグナリングされることが示唆される。
PGW−Cは、(例えば、PCOの評価を伴う)当該GTPトンネルのためのMOD−Flow又はADD−FLOWを、DHCP/BOOTOプロトコルのBOOTREQUEST/BOOTREPLYのための新たな追加アクションと共にOFCコントローラへ送信する。
OFコントローラは、これを、改善型対応OpenFlowスイッチ(PGW−U)へ転送する。改善型OpenFlowスイッチは、
−DHCP発見(BOOTREQUEST)、又は
−DHCPオファー(BOOTREPLY)、又は
−DHCP要求(BOOTREQUEST)、又は
−DHCP ack(BOOTREPLY)、又は
−DHCP情報(BOOTREQUEST)、又は
−DHCP解除(BOOTREQUEST)
が後で受け取られると、新たなアクションを評価する。
多数のDHCPサーバーへの異なる脚に対するGTP−Uの相関
例えば、PGW−Uは、受け取ったメッセージを操作して、それが、DHCPサーバーへ送られる進行中のDHCP発見メッセージとして再書き込みされるようにするために、その領域内でのDHCP発見メッセージの一致に関連したアクションの要求に基づいてDHCP発見メッセージを保持する。
例えば、PGW−Uは、DHCPリレーエージェントのIPアドレスをgiaddreフィールドに挿入し、そして自身の新たなトランザクションIDをDHCP発見メッセージの“XID”フィールドに戻すことが命令される。DHCPオファーメッセージを受け取ると(各DHCPサーバーから)、PGW−Uは、受け取ったXIDを、クライアントにより“XID”フィールドに送られたDHCP発見メッセージで受け取られた値に置き換える。
PGW−Uは、DHCP要求メッセージ及びDHCP確認メッセージを受け取ると、同じアクションを遂行することが命令される。
PGW−Uが多数のDHCPサーバーに接続される場合には、PGW−Uは、DHCP発見メッセージを多数のDHCPサーバーへ複写することが命令される。
OFコントローラがXID値ごとにDHCPサーバーに向かってトランザクションIDを動的に決定しそしてXIDごとにPGW−Uを非常に詳細に命令する権限を持つことは良いアイデアではないので、PGW−U DHCPリレーがUプレーンにおいてDHCPクライアントとDHCPサーバーとの間に相関を維持するのが極めて良好である。そのために、PGW−Uが、到来するXIDのハッシュ/マップテーブル、及び対応するDHCPサーバーのIPアドレス当りの出て行くXIDと相関されるクライアントのGTP TEIDを生成/維持することが示唆される。
これがPGW−Uにおいて適用されない場合には、PGW−Uが前記XIDをコントローラへ転送し、そしてコントローラがPGW−UにXID値に置き換えることを命令することが示唆される。しかしながら、上述したように、これは、時間が掛かると共に、OFコントローラに不必要な負担を負わせる。
DHCPメッセージがクライアントから(即ち、GTP側から)到来する場合には、DHCPリレーエージェントのIPアドレスを挿入しなければならない(即ち、“OP”フィールドは、指示BOOTREQUESTを搬送する)。
DHCPメッセージがサーバー(即ち、IP側)から到来する場合には、IPアドレスが変更されない(即ち、“OP”フィールドは、指示BOOTREPLYを搬送する)。
それ故、次のOpenFlowマッチングルールが示唆される。
−XID(トランザクションIDを搬送する);
−giaddr(DHCPリレーエージェントのIPアドレスを搬送する);
−yiaddr(UEのIPアドレス(最近指定された)を搬送する);
−ciaddr(UEのIPアドレスクライアント(以前に指定/選択された)を搬送する)。
それ故、DHCPメッセージを再書き込みできるようにするために、OpenFlowプロトコルに対して有効な次の新たなアクションが創案される。
OpenFlow内に特定される新たな独占的アクション:

Figure 2018521573
テーブル1:OpenFlow内に特定される新たなアクション
前記新たなOpenFlowアクションは、DHCPメッセージの受信に対するマッチングルールに関連している。
PGW−UにおいてGTP−UとDHCPとの間に生じるプロトコルスタックマッピングを以下に示す。

Figure 2018521573
テーブル2:S5/S8からSGiへのマッピング

Figure 2018521573
テーブル3:SGiからS5/S8へのマッピング
前記原子的アクションをマッチングルールにリストするのではなく、それらをコンパウンドリストにアグリゲートすることが更に示唆され、それについては、OFC(OpenFlowコントローラ)とPGW−U(OpenFlowスイッチ)との間のOpenFlowシグナリングチャンネル上のバイトをいっそうセーブするために、より短い参照で言及される。
IPアドレスの報告
更に、PGW−Uは、指定されたIPアドレスをOFC及びPGW−Cに報告することが要求される。更に、割り当てられたIPアドレスのリース時間が経過するか又はIPアドレスの更新が拒絶されるか又はIPアドレスが除去されるときに、PGW−Uがそれをコントローラにも報告するように、OpenFlowコントローラ又はPGW−Cにより要求されることが通知で示唆される。
3GPP TS29.061 V12.6.0(第13章を参照)によれば、次の条件によりベアラを解除することが要求される。
−a)DHCPリースが満了になった場合;
−b)DHCP更新がDHCPサーバーにより拒絶された場合;
−c)更新プロセス中にIPアドレスが変化した場合。通常は、リースが更新されるとき、IPアドレスは、不変のままである。しかしながら、何らかの理由で(例えば、DHCPサーバーの構成不良)、リース更新プロセス中に異なるIPアドレスが割り当てられる場合には、その関連ベアラを解除しなければならない。
注:更に、UEに又はUEから指定又は指定解除されるIPアドレスの割り当て及び割り当て解除は、PCRF(ポリシー・課金ルール機能)がそれに対応する変化をTDF(トラフィック検出機能)に通知できるように、PCRFによりPCEF(ポリシー・課金施行機能)/PGW(3GPP TS29.212、第4.5.3及び4b.5.8章)から要求される。
IPアドレスがUEに割り当てられることを報告できるようにするため、PGW−CがBOOTREPLYメッセージ(即ち、サーバーからクライアントへ送られる)において“ciaddr”及び“yiaddr”の両フィールドのコンテンツをチェックするようにOpenFlowコントローラを経てPGW−Uに命令することが示唆される。“ciaddr”のコンテンツが“0”に等しくない場合には、“yiaddr”のコンテンツがOpenFlowを経てPGW−Cに報告される。というのは、それがリースされたIPアドレスを含むからである。
更に別の最適化として、PGW−Uは、実際のIPアドレスを記憶し、次いで、IPアドレスを、OpenFlowを経てPGW−Cに設定された早期通知に比してそれが変化した場合だけ報告しなければならない。
DHCPサーバーにより撤回されるIPアドレスの報告
IPアドレスが撤回されることを報告できるようにするために、PGW−CがBOOTREPLYメッセージ(即ち、サーバーからクライアントへ送られる)において“ciaddr”及び“yiaddr”の両フィールドのコンテンツをチェックするようにOpenFlowコントローラを経てPGW−Uに命令することが示唆される。“yiaddr”のコンテンツが“0”に等しく、次いで、“ciaddr”のコンテンツも“0”である場合には、IPアドレスがUEから撤回されている。この場合には、このイベントを、OpenFlowを経てPGW−Cに報告して、PGW−Cがセッション/ヘッダを終了すべきかどうか判断できるようにしなければならない。
更に別の最適化として、PGW−Uは、それに対応する流れをフローテーブルから除去し、そしてOpenFlowを経てPGW−Cに適宜に通知してもよい。
リース時間の監督
あるUEクライアントは、DHCP仕様に従って振舞わないことがあり得るので、UEによるリソースの不正使用を拒絶するため付加的なセキュリティ及び課金監督手順が導入される。一般的に、IPアドレスは、特定のリース時間に対してのみUEに指定される。リース時間が満了となる前に、UEは、セッションを延長するようにDHCPサーバーに要求しなければならない。しかし、UEが長いリース時間を要求しなかった場合は、ネットワークがそれに気付いて、GTPベアラの使用を終了することができる。
この問題は、次のいずれかで解決する。
a)DHCPサーバーがリース時間をOFCS(オフライン課金システム)及び/又はOCS(オンライン課金システム)に報告し、それらが考えられる悪用を監督するか、又は
b)PGW−Cが、UEのためのIPアドレスを指定したBOOTREPLYメッセージの「再結合(T2)時間値」オプション(RFC1533)においてシグナリングされるリース時間にマッチングさせ且つそれを抽出するようにOFCを経てPGW−Uに命令しなければならない。
更に、PGW−Cは、セッションを終了させ且つ不正使用を回避するために満了がPGW−Cに通知されるところのアコーディングタイマー(an according timer)をスタートさせるようPGW−Uに要求する。
このオプションのコード(「再結合(T2)時間値」)は59であり、そしてその長さは4である(RFC1533を参照)。

コード 長さ T2間隔
+- - -+- - -+- - -+- - -+- - -+- - -+
|59 | 4 |t1 |t2 |t3 |t4 |
+- - -+- - -+- - -+- - -+- - -+- - -+
PGWは、一例に過ぎないことに注意されたい。というのは、GGSN、BRAS(ブロードバンドリモートアクセスサーバー)、BNG(ブロードバンドネットワークゲートウェイ)及びSGSNは、SDNの原理及びここに明らかにされる発明により分離できるからである。
PPP等のためのPCO
PCO追加パラメータリストがIP PDPタイプ又はIP PDNタイプに使用するために0000H PPPを含む場合には、UEは、GTPトンネル確立の後にGTP−Uペイロードを経てそのIPv4アドレスそれ自体を割り当てようとし、そしてその場合に、SDNコントローラPGW−Cは、それ自身を、例えば、次のような非常に頻繁に送信されるメッセージでUEがSDNコントローラを(例えば、OpenFlow又はForceを経て)氾濫させるセキュリティリスクに曝すことがある。
−C021H(LCP);
−C023H(PAP)パスワード認証プロトコル;
−C223H(CHAP)チャレンジハンドシェーク認証プロトコル;及び
−8021H(IPCP)IPコントロールプロトコル。
PPPを経て
例えば、ここでは、IPCPの取り扱いだけを説明する。しかしながら、PPPを経てのLPC、PAPCHAPの使用も除外されない。いずれにせよ、どのプロトコルも、潜在的には、UEがSDNコントローラを氾濫させそしてネットワークに著しくダメージを及ぼすのを許す。本発明では、それらの脅威を改善するための手段が設けられる。
IPv6CP構成オプションは、IPCPにおける望ましいIPv6パラメータのネゴシエーションを許す。IPCPがNCPプロトコルとして使用される場合には、UEは、「インターフェイス識別子」構成オプションを要求する。この構成オプションは、リンクのローカル端においてアドレス自動構成に使用されるべき独特の64ビットインターフェイス識別子をネゴシエーションする方法を与える。IPv6ユニキャストアドレスのインターフェイス識別子は、リンク上のインターフェイスを識別するのに使用される。それらは、サブネットプレフィックス内で独特であることが要求される。それ故、SDNコントローラPGW−Cは、識別子に関心がある。それ故、OpenFlow/ForCEインターフェイスは、SDNコントローラ/PGW−Cに「インターフェイス識別子」が通知される一方、プロトコル細部の他の観点がコントロールプレーンまで報告されないように「リンク識別子」構成オプションにおいてマッチングするために新たなアクション/メカニズムで増強される。
DHCPv6
IPv6アドレスを得たUEは、ステートレスDHCPを使用して、例えば、000AH IPアドレス割り当てを経、CREATE Session Request(セッション生成要求)のPCO追加パラメータリストのNASシグナリングを経て、DNS(ドメインネームサービス)繰り返しネームサーバー又はSIP(セッションイニシエーションプロトコル)サーバーのリストのような他の構成情報を要求することができる。その場合に、SDNコントローラPGW−Cは、それ自身を、例えば、Information Request(情報要求)メッセージ及びReply(応答)のような非常に頻繁に送信されるDHCPv6メッセージでUEがSDNコントローラを(例えば、OpenFlow又はForceを経て)氾濫させるセキュリティリスクに曝すことがある。それに対して、プロトコルが、例えば、REPLY(応答)メッセージのIAアドレスオプションのような情報エレメントを情報要求メッセージにマッチングさせてIPv6アドレスを報告/サーチできるように、OpenFlowプロトコルが改善される。又、Router Advertisement(ルーター広告)メッセージは、除外されてもよい。
図11は、SDNを伴わない最新の3GPP TS29.061に述べられたDHCP構成信号フローを示すシグナリング図である。
ステップS111において、O−flagセットを伴うRouter AdvertisementがGGSNからTEへ送信されて、他の構成情報を検索することをそれに指示する。
ステップS112において、TEは、IP行先アドレスセットを伴うINFORMATION−REQUESTメッセージを、DHCPv6 IETF RFC3315に定義されたall_DHCP_Relay_Agents_and_Serversへ送信する。ソースアドレスは、MSのリンクローカルアドレスでなければならない。GGSNのDHCPリレーエージェントは、メッセージを転送しなければならない。
ステップS113において、転送されたINFORMATION−REQUESTメッセージを受け取るDHCPサーバーは、RELAY−REPLY(リレー応答)メッセージを送信することにより、要求された構成パラメータと共にREPLYメッセージを含む“Relay Message(リレーメッセージ)”オプションで応答する。
更に、PMIP(プロキシーモバイルIP)に関連した3GPP TS23.402に述べられたように、SGWは、DHCPリレー機能も遂行する。
更に、図9において、LCP、認証及びIPCPネゴシエーションは、RADIUS/DHCP又はL2TPネゴシエーションへ及びそこからマップされる。それ故、ユーザプレーンに単純なDHCPリレーを与えるだけでなく、該当する場合には、SDNコントローラ/PGW−Cからの詳細なインストラクションに基づき、LCP又は認証又はIPCPネゴシエーションからRADIUS又はDHCP又はL2TPへのマッピング及びそれとは逆のマッピングを実施できることも示唆される。
氾濫を絞り且つ回避するために、コントローラからユーザプレーンへ送信されるOpenFlowのADDFlow/ModFlowにおいて、例えば、“Scan DHCPv4”又は“Scan DHCPv6”及び“DHCP絞り”のような新たな独占的情報エレメントをOpenFlowプロトコルに追加することが提案される。
例えば、“Scan DHCP”指示は、DHCPメッセージを、正しさに対して及び“DHCP絞り”指示に基づき評価するようにユーザプレーンに命令しなければならず、ユーザプレーンは、DHCPメッセージのあるスレッシュホールド(シグナリングされた)を越えた場合にはDHCPメッセージをコントローラまで送信(及び/又は減少)してはならない。又、もちろん、絞りを除去する指示も示唆される。
しかしながら、更に、悪意のあるDHCPシグナリングによりコントローラが全く影響を受けないようなメカニズムが実施されねばならず/実施されてもよい。その原理は、次の通りである。
1)増強されたOpenFlowコントローラが、PGW−Uにおけるユーザプレーンレベルで新たなOpenFlowルールによりDHCPプロトコルコンテンツを操作することによりSDNベースのDHCPリレーエージェントへGTP DHCPユーザプレーンコンテンツを転送することを要求できるように、新たなOpenFlowプロトコルエレメントを特定しそして配置する。
2)増強されたOpenFlowコントローラが、割り当てられたIPアドレス及びそれに対応するリース時間に関する通知を要求でき、そして指定されたIPアドレスの変化について通知されるように、新たなOpenFlowプロトコルエレメントを特定しそして配置する。
3)どのみち、ステップ2)で指定されたIPアドレスは、PCRF(図5を参照)へ報告され、PGW−C/OFCは、新たに指定されたIPアドレスがそれに対応する確立されたGTPトンネルに接着されるようにルールをインストールしなければならない(このステップ3)のこのメカニズムは、DHCPリレー機能がなくてもPGW−Uに既にサポートされるので、最新型であると思われる)。
このケースで、PGW−C/SDNコントローラが全てのDHCPメッセージ又はフィルタされたDHCPメッセージについて通知されない場合には、ユーザプレーンにおいて全てのDHCPメッセージをスキャンし、そしてそのメッセージをコントローラへ転送する前に絞りメカニズムを適用する強い必要性はない。即ち、そのケースでは、UEが非常に高いレートでDHCPメッセージを送信する場合にはUEがそれ自身のサービスにしか影響を及ぼさないので(悪意のあるDHCPシグナリングに対してそのGTPトンネルの帯域巾を消費するので)、SDNコントローラは、氾濫しない。しかしながら、ユーザプレーンは、そのケースでは、DHCPシグナリングに対して透過的であるので、コントローラは、頻繁なIPアドレス(及び/又はリース時間指示)通知から保護されねばならない。それ故、IPアドレス(リース時間)通知の数も絞る新たな情報エレメントを導入することが示唆される。
一般的に、OpenFlowは一例に過ぎないことに注意されたい。フォース(Force)は、別のプロトコルである。
PGWも一例に過ぎない。というのは、一般的に、GGSNがPGWと同じ機能を与えるからである。
前記説明は、PGWに焦点を当てたものであったが、もちろん、分解型SGW及び分解型eNBに解決策を適用することもできる。原理的に、eNB−C及びSGW−Cには同じメカニズムを適用できるが、最終的には、PGW−Cは、UEのIPアドレスを得ることも必要であり、従って、PGWでも同じ手順を遂行しなければならない。しかし、これは、手順が2回遂行されたときにリソースの浪費を意味する。それとは別に、eNB−C又はSGW−Cは、IPアドレスをPGW−Cへ送信する(好ましくは、GTP−Cプロトコルのセッション生成要求又は同様のものを経て)。
しかしながら、DHCPプロトコルからIPアドレスを抽出するための同じ手順が遂行される。
DHCP v4は、一例に過ぎず、そしてDHCP v6は、本発明を適用する別のプロトコルである。それとは別に、PPP及びRADIUS(リモート認証ダイヤルインユーザサービス)プロトコル、又はL2TP(レイヤ2トンネルプロトコル)も、別の例である。
例えば、LCP(リンクコントロールプロトコル)、認証及びIPCP(IPコントロールプロトコル)(IPv4のためのPPP NCP(ネットワークコントロールプロトコル))ネゴシエーションを受け取ると、対応するシグナリングをRADIUS/DHCP/L2TP(図9)へマップしなければならない(及び逆方向においてはそれと逆に)。平易なDHCPリレー機能の説明と同様に、SDNコントローラ/PGW−C/GGSN−Cは、攻撃に対して保護される必要がある。例えば、全部ではないがPPPシグナリングをSDNコントローラ/PGW−C/GGSN−Cへ転送しなければならない。しかしながら、UEに割り当てられるIPアドレス、リース時間、等は、前記情報を搬送する対応プロトコルを評価しそして関連情報を検出して上位レイヤ(SDN)コントローラ/GGSN−Cに報告することにより、SDNコントローラ/PGW−C/GGSN−Cにも入手できねばならない。
更に、IPアドレスそれ自体も一例に過ぎず、IPアドレスのリース時間は、抽出されて/コントローラへ送信されるべき別の例である。
或いは又、OpenFlowプロトコルの既知の「パケット・イン」メッセージを使用して、全DHCPメッセージをコントローラまで送信するのではなく、OpenFlowプロトコルは、IPアドレスのみを(又はPGW−Cにとって関心のあるどんな情報エレメントも)SDNコントローラへ報告するように変更されてもよい。しかしながら、「パケット・イン」メッセージが要求されるか、或いは、例えば、IPアドレス又は「リース時間」等の報告が要求されるかに関わらず、絞りメカニズムを適用しなければならない。
DHCPは、ここでも、一例に過ぎず、PGW−Cだけでなく、BRAS(ブロードバンドリモートアクセスサーバー)も、SDNコントローラに依存するアプリケーションの一例であり、そしてSDNコントローラは、敵意のあるUEシグナリング(PPPoE PPPオーバーイーサネット、RADIUS)からのセキュリティ保護を必要とする。
コントロールプレーンにおけるDHCPリレー
図3は、スレッシュホールドに達していない場合に「パケット・イン」メッセージを絞るためにOpenFlowコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCP応答の一例を示す図である。
図3に見られるように、例えば、「DHCPv4を経てのIPv4アドレス割り当て」に対してセットされたPCOと共に3GPP GTP−C(TS29.274)セッション生成要求を受信すると(ステップS31)、PGW−Cは、UEにより送られるDHCPメッセージの数を、例えば、OpenFlowのAddFlow又はModFlowにおける「1DHCPメッセージ/秒」にセットされた「DHCP絞る」指示と比較することを、SDNコントローラを経てPGW−Uに命令する(ステップS32)。
そのケースにおいて、PGW−Uは、過負荷を回避するために「パケット・イン」メッセージにおける全てのDHCPメッセージをコントローラまで送信しない。ステップS33(セッション生成応答)の後であって且つSGW及びeNBを経てUEに到達した後に(ステップS34)、UEは、そのIPアドレスを得るためにDHCP DISCOVER(発見)メッセージを発生する(ステップS35)。これは、第1のDHCPメッセージであるから、PGW−Uは、その発見メッセージを、「パケット・イン」メッセージにおいてDSNコントローラを経てPGW−Cへ(命令されたように)報告する(ステップS36)。DHCPメッセージがSDNコントローラで保持されること又は保持されないことが考えられる。PGW−C又はSDNコントローラは、PGW−Uに命令して(ステップS37)、OpenFlowのパケット・アウトメッセージにより発見メッセージを送信する(ステップS38)。それに続く及び/又はそれに応答するDHCPメッセージは、一般に、スレッシュホールドに違反しない限り、同様に取り扱われる。
図4は、スレッシュホールドに達し且つ「パケット・イン」メッセージがない場合に「パケット・イン」メッセージを絞るためにオープンフローコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCPリレーの一例を示す図である。
図4に示すように、多数のDISCOVERYメッセージ(又はREQUEST等のような他のDHCPメッセージ)がステップS35において送信され、従って、SDNコントローラによりPGW−Uに指示されるようにスレッシュホールドに違反する。その結果、それらのメッセージは、SDNコントローラに影響を及ぼしたり面倒をかけたりすることなく、PGW−Uプレーンにより破棄される。図4のステップS31からS35は、図3のステップS31からS35に対応し、その説明を繰り返すことは省略する。
更に、それに加えて、SDNコントローラは、不正形式のメッセージが無視されるようにDHCPメッセージを(例えば、「DHCPスキャン」で)スキャンすることをユーザプレーンに要求することによっても保護され、それ故、SDNコントローラに面倒がかからないか、又は既に述べたように、敵意のある情報エレメントは、コントローラへ送られる前に除去される。
ユーザプレーンにおけるDHCPリレー
図5は、スレッシュホールドに達しない場合にDHCPプロトコルを変更し且つ割り当てられたIPアドレスを、その後の使用のために(例えば、課金等のために)、PGW−Cに報告するように、オープンフローコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCPリレーを示す図である。
前記とは別に、ユーザプレーンは、全てのDHCPメッセージをコントローラへ送信し且つ全てのDHCPメッセージをコントローラから受信するのではなく、図5に示すように、DHCPオファーで検出されるリース時間又はIPアドレスを報告することだけが命令される。この点に関して、対応するメッセージをPGW−Uレベルに保持するために、GTPトンネルを考えられる多数の異なるDHCP行先サーバーと相関させることが必要である。これを達成するために、SDNコントローラは、一致が検出されてコントローラへ報告される前に相関を行うようにPGW−Uに命令する必要がある。
このケースでは、DHCPメッセージがユーザプレーンに完全に保持され、そしてこのケースでは、SDNコントローラは、「スレッシュホールド指示」により同様に保護される。というのは、このケースでも、SDNコントローラは、それが、例えば、IPアドレスについて頻繁に通知される場合には、悪意のある振舞いにより氾濫及び影響を受けるからである。
UEがセッション生成要求メッセージ又は「PDN接続」メッセージにおいてPCO(プロトコル構成オプション)内のDHCPv4を経てIPv4アドレス割り当てを要求する場合には、PGW−Cは、PGW−UにおいてOpenFlowコントローラを経てDHCPリレー機能の呼び出しを要求することが示唆される。更に、PGW−Cは、IPアドレスの割り当て及び割り当て解除を報告することを、OFCを経て、PGW−Uに要求しなければならない(詳細については、ステップS32を参照されたい)。
そのため、ユーザプレーンがDHCPメッセージのコンテンツに一致しそしてDHCPメッセージにおけるアクションを遂行することができるようにOpenFlowプロトコルにおいて新たなルールが示唆される。
UEのためのDHCPリレーエージェントは、例えば、GTPトンネルの割り当てと一緒に割り当てられねばならないので、IPアドレス(割り当て/割り当て解除)をOFC及びPGW−Cに報告する要求は、MOD−Flow又はADD−Flowのような通常のSDNメッセージと共に搬送されるのが好ましく、これは、GTPトンネル及び/又はIPトンネル等を設定するためにアプリケーションとコントローラとの間で交換される必要が既にある。
DHCPは、この場合も、1つの特定アプリケーションの一例に過ぎないことに注意されたい。というのは、本発明から利益を得ることのできる他のアプリケーションも考えられるからである。
DHCPリレー手順を完全にサポートするために、次のことが創案される。
DHCPシグナリングメッセージは、DHCPがPGW−Uにおいて各々IP及びGTPレベルにあるので、ペイロードレベルのみにおいて送信されて評価される。
図5から分かるように、PGW−Cは、ステップS32において強調されたユーザプレーン内でのDHCPリレー機能を遂行するようにSDNコントローラを経てPGW−Uに要求し、そして更に、あるスレッシュホールドを越える場合にはIPアドレス(及びリース時間)の通知を絞るようにユーザプレーンに命令する。更に、ステップS56において、PGW−UのDHCPリレー機能は、GTP−Uトンネルをユーザプレーン上の1つ以上の外部DHCPサーバーと相関させ、そしておそらく変更されたDHCPシグナリング(相関を許すための)を(コントローラに通知するのではなく)DHCPサーバーへ直接転送する。ステップS57においてDHCPサーバーからの応答を受け取ると、DHCPリレー機能は、スレッシュホールドを越えない場合には、ステップS58において、IPアドレス及びリース時間をコピーし、そしてそれをコントロータへ報告する。PCRFは、ステップS58aにおいて、IPアドレス、等が通知される。ステップS58と同時に、DHCPシグナリングがステップS59においてUEに向けて転送される。
図5のステップS31からS35は、図3のステップS31からS35に対応し、その説明を繰り返すことは省略する。
スレッシュホールドを越えた場合には、通知(ステップS58)が抑制され、そしてステップS59も抑制される。
IPアドレス及びリース時間は、コントローラに関心のある情報の一例に過ぎないことに注意されたい。
更に、それに加えて、SDNコントローラは、不正形式のメッセージを無視するようにDHCPメッセージをスキャンすることをユーザプレーンに要求することによっても保護され、それ故、SDNコントローラに面倒がかからないか、又は図3に示すように、敵意のある情報エレメントは、コントローラへ送られる前に除去される。
以上のことから、本発明のある規範的態様によれば、SDNコントローラがSDN環境において攻撃されることがないので、ネットワークのセキュリティが確保される。
以下、図6から8を参照して、本発明の規範的態様のより一般的な説明を行う。
図6は、本発明の規範的形態による方法の一例を示すフローチャートである。
本発明のある規範的形態によれば、この方法は、例えば、PGW−U、等のユーザプレーンにおけるネットワーク要素で実施されてもよいし、又はその一部分であってもよい。この方法は、ステップS61において、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックすることを含む。ステップS61において、メッセージが事前構成ルールに合致すると決定された場合には、この方法は、更に、ステップS62において、コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び所定のスレッシュホールドに達した場合には、ステップS63において、コントローラへの特定シグナリングメッセージの送信を絞る、ことを含む。
本発明のある規範的形態によれば、前記絞ることは、特定シグナリングメッセージの送信を減少し、そしてコントローラへの特定シグナリングメッセージの送信を完全に停止することを含む。
本発明のある規範的形態によれば、この方法は、更に、所定のスレッシュホールドに達しない場合には、特定シグナリングメッセージをコントローラへ送信し、そして特定スレッシュホールドに達し且つ送信が絞られた場合には、コントローラから要求があったときに特定シグナリングメッセージの送信を再開することを含む。
本発明のある規範的形態によれば、この方法は、更に、特定情報を搬送する特定シグナリングメッセージをサーチし、特定シグナリングメッセージからその特定情報を抽出し、及びその抽出された特定情報をコントローラへ送信することを含む。
本発明のある規範的形態によれば、特定シグナリングメッセージは、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、及びポイント対ポイントプロトコルPPPの1つによるシグナリングメッセージである。
本発明のある規範的形態によれば、この方法は、更に、DHCPリレー又はLCP/認証/IPCPネゴシエーションを経てRADIUS/DHCP/L2TPマッピング機能へ特定情報を送信することを含む。
本発明のある規範的形態によれば、その特定情報は、インターネットプロトコルアドレス、又はインターネットプロトコルアドレスのリース時間である。
本発明のある規範的形態によれば、ユーザプレーンのメッセージは、そのメッセージが動的なホスト構成、RADIUS、L2TP、又はPPPプロトコルに合致するときに、事前構成ルールに合致する。
本発明のある規範的形態によれば、コントローラは、OpenFlowプロトコル又は転送及び制御エレメント分離プロトコルの一方に合致する。
図7は、本発明の規範的形態による方法の別の例を示すフローチャートである。
本発明のある規範的形態によれば、この方法は、例えば、PGW−C又はSDNコントローラ、等のネットワーク要素で実施されてもよいし、又はその一部分であってもよい。この方法は、ステップS71において、アドレス割り当ての要求が所定の条件を満足するかどうか評価することを含む。ステップS71においてその要求が所定の条件を満足すると決定された場合には、この方法は、更に、ステップS72において、ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及びステップS73において、ユーザプレーンのメッセージが事前構成ルールに合致する場合には、ユーザプレーンの別のネットワーク要素が、コントローラへの特定のシグナリングメッセージを絞るようにさせることを含む。
本発明のある規範的形態によれば、前記絞ることは、特定シグナリングメッセージの送信を減少し、そしてコントローラへの特定シグナリングメッセージの送信を完全に停止することを含む。
本発明のある規範的形態によれば、前記所定の条件は、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つを経てアドレス割り当てが要求されたことを含む。
本発明のある規範的形態によれば、アドレス割り当ては、少なくとも、ユーザ装置又はサーバー、等のようなマシンタイプ通信を遂行する装置である要素によって要求される。更に、アドレス割り当てを要求する要素は、いずれかの種類のセンサ、スマートウェアラブル(衣服)、又はモバイルビデオ監視に関連したいずれかの種類の装置、自律的駆動、触覚インターネット、クラウドのサーバー、ローカル及び/又はリモート、集中型又は分散型データセンターにおそらく存在するロボット制御及びそれに対応するアプリケーション対応部である。
本発明のある規範的形態によれば、事前構成ルールは、ユーザプレーンのメッセージが、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つに合致するメッセージであることを含む。
本発明のある規範的形態によれば、アドレス割り当ては、セッション生成要求メッセージにおいて汎用パケット無線サービストンネルプロトコルコントロールプレーンGTP−Cを経て要求される。
本発明のある規範的形態によれば、アドレス割り当ては、パケットデータプロトコルPDPコンテキスト生成要求メッセージにおいてゲートウェイ汎用パケット無線サービスサポートノードGGSNを経て要求される。
本発明のある規範的形態によれば、この方法は、更に、プロトコル構成オプションPCOにおいて、DHCP、リンクコントロールプロトコルLCP、パスワード認証プロトコルPAP、チャレンジハンドシェーク認証プロトコルCHAP、及びインターネットプロトコルコントロールプロトコルの1つを経てアドレス割り当てが要求されるかどうか評価することを含む。
図8は、本発明のある規範的形態による装置の一例を示すブロック図である。
図8は、本発明の前記観点を実施するように構成された装置80の構成を示すブロック回路図である。図8に示す装置は、以下に述べるものの他に多数の更に別の要素又は機能を備えているが、それらは、本発明を理解する上で重要ではないので簡単化のために省略する。更に、装置は、装置の一部分であるか、装置に個別の要素として取り付けられる、等々の同様の機能を有する別の装置、例えば、チップセット、チップ、モジュール、等でもよい。
装置80は、プログラム等により与えられるインストラクションを実行するCPU等の処理機能又はプロセッサ81を備えている。プロセッサ81は、以下に述べる特定の処理専用の1つ以上の処理部分を含むか、又は単一のプロセッサで処理が実行されてもよい。又、そのような特定の処理を実行するための部分は、例えば、CPUのような1つの物理的プロセッサ又は多数の物理的エンティティにおいて、個別の要素として或いは1つ又は更に別のプロセッサ又は処理部分内に設けられてもよい。参照符号82は、プロセッサ81に接続されたトランシーバ又は入力/出力(I/O)ユニット(インターフェイス)を表わす。I/Oユニット82は、1つ以上の他のネットワーク要素、エンティティ、ターミナル、等と通信するのに使用される。I/Oユニット82は、多数のネットワーク要素に向かう通信装置を含む複合ユニットでもよいし、或いは異なるネットワーク要素のための複数の異なるインターフェイスを伴う分散型構造を含んでもよい。装置80は、更に、プロセッサ81により実行されるプログラム及びデータを記憶するのに使用でき及び/又はプロセッサ81のワーキングストレージとして使用できる少なくとも1つのメモリ83も備えている。
プロセッサ81は、前記観点に関連した処理を実行するように構成される。特に、装置80は、例えば、PGW−U等のユーザプレーンのネットワーク要素で実施されてもよいし又はその一部分でもよく、そして図6に関連して述べた方法を遂行するように構成される。従って、プロセッサ81は、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックを行い、そしてメッセージが事前構成ルールに合致すると決定された場合には、コントローラに送られるアドレス割り当てに関連した特定のシグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び所定のスレッシュホールドに達した場合には、コントローラへの特定のシグナリングメッセージの送信を絞るように構成される。
本発明のある規範的形態によれば、装置80は、例えば、PGW−C又はSDNコントローラ等のネットワーク要素で実施されてもよいし又はその一部分でもよく、そして図7を参照して述べる方法を遂行するように構成される。従って、プロセッサ81は、アドレス割り当ての要求が所定の条件を満足するかどうか評価し、その要求が所定の条件を満足すると決定された場合には、ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及びユーザプレーンのメッセージが事前構成ルールに合致する場合には、ユーザプレーンの別のネットワーク要素がコントローラへの特定のシグナリングメッセージを絞るようにさせることを遂行するように構成される。
装置80の機能に関する更なる詳細については、図6及び7に関連して述べた本発明のある規範的形態による方法の説明を参照されたい。
従って、ユーザプレーンのネットワーク要素に使用するための装置、及びネットワーク要素に使用するための装置は、一般的に、同じ構造上のコンポーネントを有し、それらのコンポーネントは、上述したように、各々、ネットワーク要素の各機能を実行するように構成されることに注意されたい。
装置の前記規範的説明において、本発明の原理を理解する上で関連性のあるユニット/手段だけを、機能的ブロックを使用して説明した。装置は、その各々の動作に必要な更に別のユニット/手段を備えている。しかしながら、それらのユニット/手段の説明は、本明細書では省略する。装置の機能的ブロックの構成は、本発明を限定するものではなく、それらの機能は、1つのブロックにより遂行されてもよいし、又はサブブロックへと更に分割されてもよい。
以上の説明において、装置(又は何らかの他の手段)がある機能を遂行するように構成されると述べられたときは、各装置のメモリに記憶されたコンピュータプログラムコードと潜在的に協働する(少なくとも1つの)プロセッサ又はそれに対応する回路が、少なくともそのように述べられた機能を装置に遂行させるよう構成されたと述べることと同等であると解釈されたい。又、そのような機能は、各機能を遂行するための特別に構成された回路又は手段により同等に実施可能であると解釈されたい(即ち、「・・するように構成されたユニット」という表現は、「・・のための手段」のような表現と同等であると解釈されたい。
上述した本発明の目的に対して、次のことに注意されたい。
−おそらくソフトウェアコード部分として実施され且つ(デバイス、装置及び/又はそのモジュールの例として或いは装置及び/又はそのモジュールを含むエンティティの例として)装置のプロセッサを使用して実行される方法ステップは、ソフトウェアコード独立であり、そしてそれら方法ステップにより定義される機能が保存される限り、既知の又は将来開発されるプログラミング言語を使用して特定することができる。
−一般的に、いずれの方法ステップも、その観点/実施形態の考え方を変化させたり、実施される機能に関して変更したりすることなく、ソフトウェアとして又はハードウェアにより実施するのに適している。
−前記で定義された装置又はそのモジュールにおいておそらくハードウェアコンポーネントとして実施される方法ステップ及び/又はデバイス、ユニット、又は手段(例えば、前記観点/実施形態により装置の機能を実行するデバイス)は、ハードウェア独立であり、そして既知の又は将来開発されるハードウェアテクノロジー或いはそれらの混成、例えば、MOS(金属酸化物半導体)、CMOS(相補的MOS)、BiMOS(バイポーラMOS)、BiCMOS(バイポーラCMOS)、ECL(エミッタ結合ロジック)、TTL(トランジスタ・トランジスタロジック)等を使用し、例えば、ASIC(特定用途向けIC(集積回路))コンポーネント、FPGA(フィールドプログラマブルゲートアレイ)コンポーネント、CPLD(コンプレックスプログラマブルロジックデバイス)コンポーネント、又はDSP(デジタル信号プロセッサ)コンポーネントを使用して、実施することができる。
−デバイス、ユニット又は手段(例えば、前記で定義された装置、又はそれらの各ユニット/手段の1つ)は、個々のデバイス、ユニット又は手段として実施できるが、これは、デバイス、ユニット又は手段の機能が保存される限り、それらがシステム全体にわたり分散形態で実施されることを除外するものではない。
−装置は、半導体チップ、チップセット、或いはそのようなチップ又はチップセットを含む(ハードウェア)モジュールによって表わされるが、これは、装置又はモジュールの機能が、ハードウェアで実施されるのではなく、プロセッサにおいて実行/ランするための実行可能なソフトウェアコード部分を含むコンピュータプログラム又はコンピュータプログラム製品のような(ソフトウェア)モジュールのソフトウェアとして実施される可能性を除外するものではない。
−デバイスは、1つの装置と考えてもよいし、或いは例えば、同じデバイスハウジング内で互いに機能的に協働するか又は互いに機能的に独立であるかに関わりなく、2つ以上の装置のアッセンブリと考えてもよい。
一般的に、前記観点による各機能的ブロック又は要素は、各部分の前記機能を遂行するようにのみ適応される場合には、各々、ハードウェア及び/又はソフトウェアのいずれかの既知の手段により実施できることに注意されたい。ここに述べる方法ステップは、個々の機能的ブロックにおいて又は個々のデバイスにより実現することができ、或いは方法ステップの1つ以上は、単一の機能的ブロックにおいて又は単一のデバイスにより実現することができる。
一般的に、いずれの方法ステップも、本発明の考え方を変更せずに、ソフトウェアとして又はハードウェアにより実施するのに適している。デバイス及び手段は、個々のデバイスとして実施できるが、これは、デバイスの機能が保存される限り、それらがシステム全体にわたって分散形態で実施されることを除外するものではない。そのような及びそれと同様の原理が当業者に知られていると考えるべきである。
ソフトウェアとは、ここでの説明の意味では、コード手段又は部分を含むソフトウェアコード、或いは各機能を遂行するためのコンピュータプログラム又はコンピュータプログラム製品、並びに各データ構造又はコード手段/部分が記憶されたコンピュータ読み取り可能な(ストレージ)媒体のような有形媒体において実施されるか或いは信号又はチップにおいて潜在的にその処理中に実施されるソフトウェア(或いはコンピュータプログラム又はコンピュータプログラム製品)を含む。
上述した観点/実施形態並びに一般的及び特定の例は、例示のために設けられたものに過ぎず、本発明をそれに限定するものではないことに注意されたい。むしろ、特許請求の範囲内に入る全ての変更及び修正も網羅されるものとする。
80:装置
81:プロセッサ
82:I/Oユニット
83:メモリ

Claims (21)

  1. ユーザプレーンのネットワーク要素に使用するための方法において、
    ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及び
    メッセージが事前構成ルールに合致すると決定された場合には、
    コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び
    所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞る、
    ことを含む方法。
  2. 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項1に記載の方法。
  3. 前記所定のスレッシュホールドに達しない場合には、前記特定シグナリングメッセージを前記コントローラへ送信し、及び
    前記特定スレッシュホールドに達し且つ送信が絞られた場合には、前記コントローラから要求があったときに前記特定シグナリングメッセージの送信を再開する、
    ことを含む、請求項2に記載の方法。
  4. 特定情報を搬送する特定シグナリングメッセージをサーチし、
    前記特定シグナリングメッセージからその特定情報を抽出し、及び
    その抽出された特定情報を前記コントローラへ送信する、
    ことを含む、請求項1から3のいずれか1項に記載の方法。
  5. 前記特定シグナリングメッセージは、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、及びポイント対ポイントプロトコルPPPの1つによるシグナリングメッセージである、請求項1から4のいずれか1項に記載の方法。
  6. DHCPリレー又はLCP/認証/IPCPネゴシエーションを経てRADIUS/DHCP/L2TPマッピング機能へ特定情報を送信することを更に含み、その特定情報は、インターネットプロトコルアドレス、又はインターネットプロトコルアドレスのリース時間である、請求項5に記載の方法。
  7. 前記ユーザプレーンのメッセージは、そのメッセージが動的なホスト構成、RADIUS、L2TP、又はPPPプロトコルに合致するときに、前記事前構成ルールに合致し、及び/又は
    前記コントローラは、OpenFlowプロトコル又は転送及び制御エレメント分離プロトコルの一方に合致する、請求項1から6のいずれか1項に記載の方法。
  8. ネットワーク要素に使用するための方法において、
    アドレス割り当ての要求が所定の条件を満足するかどうか評価し、
    前記要求が所定の条件を満足すると決定された場合には、
    ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及び
    ユーザプレーンのメッセージが事前構成ルールに合致する場合には、ユーザプレーンの別のネットワーク要素が、コントローラへの特定のシグナリングメッセージを絞るようにさせる、
    ことを含む方法。
  9. 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項8に記載の方法。
  10. 前記所定の条件は、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つを経て前記アドレス割り当てが要求されたことを含み、
    前記事前構成ルールは、ユーザプレーンのメッセージが、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つに合致するメッセージであることを含み、及び/又は
    前記アドレス割り当ては、セッション生成要求メッセージにおいて汎用パケット無線サービストンネルプロトコルコントロールプレーンGTP−Cを経て要求され、又は
    前記アドレス割り当ては、パケットデータプロトコルPDPコンテキスト生成要求メッセージにおいてゲートウェイ汎用パケット無線サービスサポートノードGGSNを経て要求され、及び/又は
    前記方法は、更に、プロトコル構成オプションPCOにおいて、DHCP、リンクコントロールプロトコルLCP、パスワード認証プロトコルPAP、チャレンジハンドシェーク認証プロトコルCHAP、及びインターネットプロトコルコントロールプロトコルIPCPの1つを経てアドレス割り当てが要求されるかどうか評価することを含む、請求項8又は9に記載の方法。
  11. ユーザプレーンのネットワーク要素に使用するための装置において、
    少なくとも1つのプロセッサ、及び
    プロセッサにより実行されるべきインストラクションを記憶するための少なくとも1つのメモリ、
    を備え、前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
    ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及び
    メッセージが事前構成ルールに合致すると決定された場合には、
    コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び
    所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞る、
    ことを遂行するようにさせるよう構成された装置。
  12. 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項11に記載の装置。
  13. 前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
    前記所定のスレッシュホールドに達しない場合には、前記特定シグナリングメッセージを前記コントローラへ送信し、及び
    前記特定スレッシュホールドに達し且つ送信が絞られた場合には、前記コントローラから要求があったときに前記特定シグナリングメッセージの送信を再開する、
    ことを遂行するようにさせるよう更に構成された、請求項12に記載の装置。
  14. 前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
    特定情報を搬送する特定シグナリングメッセージをサーチし、
    前記特定シグナリングメッセージからその特定情報を抽出し、及び
    その抽出された特定情報を前記コントローラへ送信する、
    ことを遂行するようにさせるよう更に構成された、請求項11から13のいずれか1項に記載の装置。
  15. 前記特定シグナリングメッセージは、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、及びポイント対ポイントプロトコルPPPの1つによるシグナリングメッセージである、請求項11から14のいずれか1項に記載の装置。
  16. 前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
    DHCPリレー又はLCP/認証/IPCPネゴシエーションを経てRADIUS/DHCP/L2TPマッピング機能へ特定情報を送信する、
    ことを遂行するようにさせるよう更に構成され、その特定情報は、インターネットプロトコルアドレス、又はインターネットプロトコルアドレスのリース時間である、請求項15に記載の装置。
  17. 前記ユーザプレーンのメッセージは、そのメッセージが動的なホスト構成、RADIUS、L2TP、又はPPPプロトコルに合致するときに、前記事前構成ルールに合致し、及び/又は
    前記コントローラは、OpenFlowプロトコル又は転送及び制御エレメント分離プロトコルの一方に合致する、請求項11から16のいずれか1項に記載の装置。
  18. ネットワーク要素に使用するための装置において、
    少なくとも1つのプロセッサ、及び
    プロセッサにより実行されるべきインストラクションを記憶するための少なくとも1つのメモリ、
    を備え、前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
    アドレス割り当ての要求が所定の条件を満足するかどうか評価し、
    その要求が所定の条件を満足すると決定された場合には、
    ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及び
    ユーザプレーンのメッセージが事前構成ルールに合致する場合には、コントローラへの特定のシグナリングメッセージを絞ることをユーザプレーンの別のネットワーク要素に指示させる、
    ように構成された装置。
  19. 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項18に記載の装置。
  20. 前記所定の条件は、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つを経て前記アドレス割り当てが要求されたことを含み、
    前記事前構成ルールは、ユーザプレーンのメッセージが、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つに合致するメッセージであることを含み、及び/又は
    前記アドレス割り当ては、セッション生成要求メッセージにおいて汎用パケット無線サービストンネルプロトコルコントロールプレーンGTP−Cを経て要求され、又は
    前記アドレス割り当ては、パケットデータプロトコルPDPコンテキスト生成要求メッセージにおいてゲートウェイ汎用パケット無線サービスサポートノードGGSNを経て要求され、及び/又は
    前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
    プロトコル構成オプションPCOにおいて、DHCP、リンクコントロールプロトコルLCP、パスワード認証プロトコルPAP、チャレンジハンドシェーク認証プロトコルCHAP、及びインターネットプロトコルコントロールプロトコルIPCPの1つを経てアドレス割り当てが要求されるかどうか評価する、
    ことを遂行するようにさせるよう更に構成された、請求項18又は19に記載の装置。
  21. 処理装置のためのプログラムを含み、そのプログラムが処理装置において実行されるときに請求項1から10のいずれか1項に記載の方法を遂行するためのソフトウェアコード部分を備えたコンピュータプログラム製品。
JP2017564420A 2015-06-10 2016-06-10 Sdnセキュリティ Active JP6532963B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15171343.5A EP3104563B1 (en) 2015-06-10 2015-06-10 Sdn security
EP15171343.5 2015-06-10
PCT/EP2016/063274 WO2016198586A1 (en) 2015-06-10 2016-06-10 Sdn security

Publications (2)

Publication Number Publication Date
JP2018521573A true JP2018521573A (ja) 2018-08-02
JP6532963B2 JP6532963B2 (ja) 2019-06-19

Family

ID=53442509

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017564420A Active JP6532963B2 (ja) 2015-06-10 2016-06-10 Sdnセキュリティ

Country Status (6)

Country Link
US (2) US10547639B2 (ja)
EP (1) EP3104563B1 (ja)
JP (1) JP6532963B2 (ja)
KR (1) KR102114603B1 (ja)
CN (1) CN107925626B (ja)
WO (1) WO2016198586A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105338125B (zh) * 2014-06-25 2019-11-05 华为技术有限公司 报文处理方法及装置
US9715346B2 (en) 2014-11-04 2017-07-25 Rubrik, Inc. Cluster-based network file server
CN108476549B (zh) * 2016-01-19 2021-03-30 华为技术有限公司 一种ip地址分配方法及设备
US11546266B2 (en) * 2016-12-15 2023-01-03 Arbor Networks, Inc. Correlating discarded network traffic with network policy events through augmented flow
CN107396350B (zh) * 2017-07-12 2021-04-27 西安电子科技大学 基于sdn-5g网络架构的sdn组件间安全保护方法
US11221920B2 (en) 2017-10-10 2022-01-11 Rubrik, Inc. Incremental file system backup with adaptive fingerprinting
US11372729B2 (en) * 2017-11-29 2022-06-28 Rubrik, Inc. In-place cloud instance restore
WO2019228832A1 (en) * 2018-06-01 2019-12-05 Nokia Technologies Oy A method for message filtering in an edge node based on data analytics
CN111182657B (zh) * 2018-11-09 2023-09-22 中兴通讯股份有限公司 一种隧道协商建立方法及装置
US10938632B2 (en) 2018-12-28 2021-03-02 Vmware, Inc. Query failure diagnosis in software-defined networking (SDN) environments
US11005745B2 (en) * 2018-12-28 2021-05-11 Vmware, Inc. Network configuration failure diagnosis in software-defined networking (SDN) environments
US11503471B2 (en) * 2019-03-25 2022-11-15 Fortinet, Inc. Mitigation of DDoS attacks on mobile networks using DDoS detection engine deployed in relation to an evolve node B
US11509686B2 (en) 2019-05-14 2022-11-22 Vmware, Inc. DHCP-communications monitoring by a network controller in software defined network environments
CN110769482B (zh) * 2019-09-16 2022-03-01 浙江大华技术股份有限公司 无线设备进行网络连接的方法、装置和无线路由器设备
EP4052442A1 (en) * 2019-10-30 2022-09-07 Telefonaktiebolaget LM Ericsson (publ) In-band protocol-based in-network computation offload framework
CN113055191B (zh) * 2019-12-27 2023-08-01 中兴通讯股份有限公司 一种转发方法、装置、宽带远程接入服务器的转发面

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014083449A1 (en) * 2012-11-27 2014-06-05 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing
WO2014127517A1 (zh) * 2013-02-21 2014-08-28 华为技术有限公司 报文处理方法、转发器、报文处理设备、报文处理系统

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4501310B2 (ja) * 2001-05-28 2010-07-14 株式会社日立製作所 パケット転送装置
US20020196743A1 (en) * 2001-06-20 2002-12-26 Sebastian Thalanany Apparatus and method for enhancing performance in a packet data system
US7032034B1 (en) * 2002-01-31 2006-04-18 Cisco Technology, Inc. Method and apparatus for simulating large scalable networks
US7024687B2 (en) * 2003-05-21 2006-04-04 Cisco Technology, Inc. System and method for providing end to end authentication in a network environment
DE602004009317T2 (de) * 2003-08-15 2008-07-17 Research In Motion Ltd., Waterloo Bestimmung der Aktivierungszeit für eine Aufwärtsrichtungsverschlüsselung in einem UMTS Teilnehmergerät
US7237267B2 (en) * 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
US8230067B2 (en) * 2003-10-31 2012-07-24 Ericsson Ab DHCP proxy in a subscriber environment
KR100548134B1 (ko) * 2003-10-31 2006-02-02 삼성전자주식회사 무선 네트워크 환경에서의 tcp의 데이터 전송효율을향상시킬 수 있는 통신시스템 및 그 방법
US20050122973A1 (en) * 2003-12-09 2005-06-09 Samsung Electronics Co., Ltd. Network node capable of restricting a packet receiving activity during packet congestion and method thereof
US20050128945A1 (en) * 2003-12-11 2005-06-16 Chen-Chi Kuo Preventing a packet associated with a blocked port from being placed in a transmit buffer
JP2005175866A (ja) * 2003-12-11 2005-06-30 Hitachi Communication Technologies Ltd ネットワーク統計情報サービスシステムおよびインターネットアクセスサーバ
US20050147095A1 (en) * 2003-12-30 2005-07-07 Intel Corporation IP multicast packet burst absorption and multithreaded replication architecture
JP4323355B2 (ja) * 2004-03-22 2009-09-02 株式会社日立コミュニケーションテクノロジー パケット転送装置
US7483996B2 (en) * 2004-11-29 2009-01-27 Cisco Technology, Inc. Techniques for migrating a point to point protocol to a protocol for an access network
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
US20070140121A1 (en) * 2005-12-21 2007-06-21 Chris Bowman Method of preventing denial of service attacks in a network
US7684394B1 (en) * 2006-05-01 2010-03-23 Sun Microsystems, Inc. System and method for increasing host visibility in network address translation environments
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
US8059532B2 (en) * 2007-06-21 2011-11-15 Packeteer, Inc. Data and control plane architecture including server-side triggered flow policy mechanism
US7911948B2 (en) * 2007-10-17 2011-03-22 Viasat, Inc. Methods and systems for performing TCP throttle
JP5094593B2 (ja) * 2008-06-27 2012-12-12 キヤノン株式会社 送信装置、受信装置、及び方法、プログラム
US20120110665A1 (en) * 2010-10-29 2012-05-03 International Business Machines Corporation Intrusion Detection Within a Distributed Processing System
US9148776B1 (en) * 2011-09-28 2015-09-29 Pulse Secure, Llc Network address preservation in mobile networks
US9250941B2 (en) * 2011-09-30 2016-02-02 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for segregating tenant specific data when using MPLS in openflow-enabled cloud computing
CN103384279A (zh) * 2012-05-02 2013-11-06 中兴通讯股份有限公司 地址分配方法和装置
US9304801B2 (en) 2012-06-12 2016-04-05 TELEFONAKTIEBOLAGET L M ERRICSSON (publ) Elastic enforcement layer for cloud security using SDN
US9203689B2 (en) * 2012-10-26 2015-12-01 International Business Machines Corporation Differential dynamic host configuration protocol lease allocation
US9071576B1 (en) * 2013-03-12 2015-06-30 Sprint Communications Comapny L.P. Application rate limiting without overhead
US20150089566A1 (en) 2013-09-24 2015-03-26 Radware, Ltd. Escalation security method for use in software defined networks
KR102118687B1 (ko) * 2013-11-15 2020-06-03 삼성전자주식회사 SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치
US9722926B2 (en) * 2014-01-23 2017-08-01 InMon Corp. Method and system of large flow control in communication networks
WO2015139726A1 (en) * 2014-03-17 2015-09-24 Telefonaktiebolaget L M Ericsson (Publ) Congestion level configuration for radio access network congestion handling
US10630642B2 (en) * 2017-10-06 2020-04-21 Stealthpath, Inc. Methods for internet communication security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014083449A1 (en) * 2012-11-27 2014-06-05 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing
WO2014127517A1 (zh) * 2013-02-21 2014-08-28 华为技术有限公司 报文处理方法、转发器、报文处理设备、报文处理系统

Also Published As

Publication number Publication date
KR20180017120A (ko) 2018-02-20
US20180302439A1 (en) 2018-10-18
KR102114603B1 (ko) 2020-05-25
EP3104563B1 (en) 2019-10-16
US10547639B2 (en) 2020-01-28
US11140080B2 (en) 2021-10-05
JP6532963B2 (ja) 2019-06-19
EP3104563A1 (en) 2016-12-14
CN107925626A (zh) 2018-04-17
WO2016198586A1 (en) 2016-12-15
CN107925626B (zh) 2020-11-20
US20200036753A1 (en) 2020-01-30

Similar Documents

Publication Publication Date Title
JP6532963B2 (ja) Sdnセキュリティ
US10965615B2 (en) Centralized IP address management for distributed gateways
US9433029B2 (en) Network device in a communication network and method for providing communications traffic breakout
US9173117B2 (en) Enhancing a mobile backup channel to address a node failure in a wireline network
US9241255B2 (en) Local breakout with optimized interface
US11595830B2 (en) Control apparatus for gateway in mobile communication system
US20170199751A1 (en) Device and method for controlling an ip network core
EP3070891B1 (en) Packet processing method and device
CN117378175A (zh) 用于建立双层pdu会话的系统和方法
Hahn et al. Centralized GW control and IP address management for 3GPP networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190422

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190522

R150 Certificate of patent or registration of utility model

Ref document number: 6532963

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250