JP2018521573A - Sdnセキュリティ - Google Patents
Sdnセキュリティ Download PDFInfo
- Publication number
- JP2018521573A JP2018521573A JP2017564420A JP2017564420A JP2018521573A JP 2018521573 A JP2018521573 A JP 2018521573A JP 2017564420 A JP2017564420 A JP 2017564420A JP 2017564420 A JP2017564420 A JP 2017564420A JP 2018521573 A JP2018521573 A JP 2018521573A
- Authority
- JP
- Japan
- Prior art keywords
- protocol
- message
- dhcp
- controller
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000011664 signaling Effects 0.000 claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 60
- 230000005540 biological transmission Effects 0.000 claims abstract description 25
- 238000004590 computer program Methods 0.000 claims abstract description 18
- 230000006870 function Effects 0.000 claims description 45
- 238000012545 processing Methods 0.000 claims description 20
- 238000013507 mapping Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 5
- 238000000926 separation method Methods 0.000 claims description 3
- OYYYPYWQLRODNN-UHFFFAOYSA-N [hydroxy(3-methylbut-3-enoxy)phosphoryl]methylphosphonic acid Chemical compound CC(=C)CCOP(O)(=O)CP(O)(O)=O OYYYPYWQLRODNN-UHFFFAOYSA-N 0.000 claims 4
- 238000004891 communication Methods 0.000 description 23
- 230000000875 corresponding effect Effects 0.000 description 16
- 230000004913 activation Effects 0.000 description 15
- 230000004044 response Effects 0.000 description 14
- 239000003795 chemical substances by application Substances 0.000 description 13
- 230000009471 action Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 9
- 238000012546 transfer Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000023402 cell communication Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- ZRHANBBTXQZFSP-UHFFFAOYSA-M potassium;4-amino-3,5,6-trichloropyridine-2-carboxylate Chemical compound [K+].NC1=C(Cl)C(Cl)=NC(C([O-])=O)=C1Cl ZRHANBBTXQZFSP-UHFFFAOYSA-M 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000009131 signaling function Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
- H04L47/323—Discarding or blocking control packets, e.g. ACK packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
−アドレス割り当て及び認証に使用されるサーバー(1つ又は複数);
−この/それらのサーバーと共に使用されるべきRADIUS、DHCP又はL2TPのようなプロトコル;
−この/それらのサーバーと対話する必要のある通信及びセキュリティ特徴、例えば、トンネル、IPSecセキュリティ関連性、ダイヤルアップ接続(考えられるPPPを使用する)。
−認証及びIPアドレス割り当てのためのRADIUS。AAAサーバーは、GGSNにおけるRADIUSクライアントに対するアクセス受け容れ又はアクセス拒絶のいずれかで応答する;
−認証のためのRADIUS及びホスト構成及びアドレス割り当てのためのDHCP。AAAサーバーは、GGSNにおけるRADIUSクライアントに対するアクセス受け容れ又はアクセス拒絶のいずれかで応答する。認証成功の後に、DHCPクライアントは、ISP/イントラネットにおけるDHCPサーバーを発見し、そしてホスト構成データを受け取る;
−PPPフレームをL2TPネットワークサーバーへ転送するためのL2TP。
ネットワーク機能バーチャル化は、クラウドコンピューティングについて開発されたもののような近代的なテクノロジーをレバレッジする。これらクラウドテクノロジーの中心には、バーチャル化メカニズム、即ちハイパーバイザー及び/又は(ドッカー)コンテナ又は同等のものによるハードウェアバーチャル化、並びにバーチャルマシンと物理的インターフェイスとの間にトラフィックを接続するためのバーチャルイーサネット(登録商標)スイッチ(例えば、vswitch)の使用がある。通信指向の機能については、広いI/O帯域巾を伴う高速マルチコアCPU(中央処理ユニット)、負荷分担及びTCPオフローディングのためのスマートイーサネットNICの使用、バーチャルマシンメモリへのパケットの直接的ルーティング、及びポールモードイーサネットドライバ(割り込み駆動ではない、例えば、リナックス(登録商標)NAPI(新アプリケーションプログラミングインターフェイス)及びインテルのDPDK(データプレーン開発キット))により高性能パケット処理を利用することができる。クラウドインフラストラクチャーは、ネットワークのバーチャルアプライアンスの自動インスタンス化、正しいCPUコア、メモリ及びインターフェイスへのバーチャルアプライアンスの指定によるリソースの管理、フェイルしたVM(バーチャルマシン)の再初期化、スナップショットVM状態、及びVMの移動に適用できるオーケストレーション及び管理メカニズムによりリソース利用性及び使用を改善する方法を提供する。最終的に、OpenFlow、OpenStack、OpenNaaS、又はOGFのNSIのような管理及びデータプレーン制御のためのオープンAPIの利用性は、ネットワーク機能バーチャル化及びクラウドインフラストラクチャーの付加的な集積度を与える。
工業規格大量サーバーの使用は、ネットワーク機能バーチャル化のための経済的ケースにおける重要な要素である。ネットワーク機能バーチャル化は、IT産業の規模の経済性をレバレッジする。工業規格大量サーバーとは、標準的なITコンポーネント(例えば、×86アーキテクチャー)を使用して構築されそして数百万台販売されているサーバーである。工業規格大量サーバーの共通の特徴は、サーバー内で交換可能なサブコンポーネントの競合供給があることである。
全GTP−Uトラフィックを完全に絞るのではなく、PGW−C/SDN−C(ソフトウェア定義ネットワーキングコントローラ)がDHCP/RADIUS絞りを要求することが示唆される3GPP TS29.274に定義されたように、セッション生成要求メッセージ又は「PDN接続」メッセージにおいてPCO(プロトコル構成オプション)内のDHCPv4を経てUEがIPv4アドレス割り当てを要求した場合は、通常のGTP−Uペイロード、及びユーザプレーンで搬送されるDHCPに別々にスキャンを適用することが示唆される。例えば、PCO追加パラメータリストが000BH(DHCPv4を経てのIPv4アドレス割り当て)を含む場合には、UEは、GTPトンネル確立の後にGTP−Uペイロードを経てそのIPv4アドレスそれ自体を割り当てようとし、そしてその場合、SDNコントローラ/PGW−Cは、UEが高い頻度で送られるDHCPv4メッセージで(例えば、OpenFlow又はForceを経て)SDNコントローラをおそらく氾濫させるセキュリティリスクにそれ自身を露出することがある。
−DHCP発見(BOOTREQUEST)、又は
−DHCPオファー(BOOTREPLY)、又は
−DHCP要求(BOOTREQUEST)、又は
−DHCP ack(BOOTREPLY)、又は
−DHCP情報(BOOTREQUEST)、又は
−DHCP解除(BOOTREQUEST)
が後で受け取られると、新たなアクションを評価する。
例えば、PGW−Uは、受け取ったメッセージを操作して、それが、DHCPサーバーへ送られる進行中のDHCP発見メッセージとして再書き込みされるようにするために、その領域内でのDHCP発見メッセージの一致に関連したアクションの要求に基づいてDHCP発見メッセージを保持する。
−XID(トランザクションIDを搬送する);
−giaddr(DHCPリレーエージェントのIPアドレスを搬送する);
−yiaddr(UEのIPアドレス(最近指定された)を搬送する);
−ciaddr(UEのIPアドレスクライアント(以前に指定/選択された)を搬送する)。
更に、PGW−Uは、指定されたIPアドレスをOFC及びPGW−Cに報告することが要求される。更に、割り当てられたIPアドレスのリース時間が経過するか又はIPアドレスの更新が拒絶されるか又はIPアドレスが除去されるときに、PGW−Uがそれをコントローラにも報告するように、OpenFlowコントローラ又はPGW−Cにより要求されることが通知で示唆される。
−a)DHCPリースが満了になった場合;
−b)DHCP更新がDHCPサーバーにより拒絶された場合;
−c)更新プロセス中にIPアドレスが変化した場合。通常は、リースが更新されるとき、IPアドレスは、不変のままである。しかしながら、何らかの理由で(例えば、DHCPサーバーの構成不良)、リース更新プロセス中に異なるIPアドレスが割り当てられる場合には、その関連ベアラを解除しなければならない。
IPアドレスが撤回されることを報告できるようにするために、PGW−CがBOOTREPLYメッセージ(即ち、サーバーからクライアントへ送られる)において“ciaddr”及び“yiaddr”の両フィールドのコンテンツをチェックするようにOpenFlowコントローラを経てPGW−Uに命令することが示唆される。“yiaddr”のコンテンツが“0”に等しく、次いで、“ciaddr”のコンテンツも“0”である場合には、IPアドレスがUEから撤回されている。この場合には、このイベントを、OpenFlowを経てPGW−Cに報告して、PGW−Cがセッション/ヘッダを終了すべきかどうか判断できるようにしなければならない。
あるUEクライアントは、DHCP仕様に従って振舞わないことがあり得るので、UEによるリソースの不正使用を拒絶するため付加的なセキュリティ及び課金監督手順が導入される。一般的に、IPアドレスは、特定のリース時間に対してのみUEに指定される。リース時間が満了となる前に、UEは、セッションを延長するようにDHCPサーバーに要求しなければならない。しかし、UEが長いリース時間を要求しなかった場合は、ネットワークがそれに気付いて、GTPベアラの使用を終了することができる。
a)DHCPサーバーがリース時間をOFCS(オフライン課金システム)及び/又はOCS(オンライン課金システム)に報告し、それらが考えられる悪用を監督するか、又は
b)PGW−Cが、UEのためのIPアドレスを指定したBOOTREPLYメッセージの「再結合(T2)時間値」オプション(RFC1533)においてシグナリングされるリース時間にマッチングさせ且つそれを抽出するようにOFCを経てPGW−Uに命令しなければならない。
コード 長さ T2間隔
+- - -+- - -+- - -+- - -+- - -+- - -+
|59 | 4 |t1 |t2 |t3 |t4 |
+- - -+- - -+- - -+- - -+- - -+- - -+
PCO追加パラメータリストがIP PDPタイプ又はIP PDNタイプに使用するために0000H PPPを含む場合には、UEは、GTPトンネル確立の後にGTP−Uペイロードを経てそのIPv4アドレスそれ自体を割り当てようとし、そしてその場合に、SDNコントローラPGW−Cは、それ自身を、例えば、次のような非常に頻繁に送信されるメッセージでUEがSDNコントローラを(例えば、OpenFlow又はForceを経て)氾濫させるセキュリティリスクに曝すことがある。
−C021H(LCP);
−C023H(PAP)パスワード認証プロトコル;
−C223H(CHAP)チャレンジハンドシェーク認証プロトコル;及び
−8021H(IPCP)IPコントロールプロトコル。
例えば、ここでは、IPCPの取り扱いだけを説明する。しかしながら、PPPを経てのLPC、PAPCHAPの使用も除外されない。いずれにせよ、どのプロトコルも、潜在的には、UEがSDNコントローラを氾濫させそしてネットワークに著しくダメージを及ぼすのを許す。本発明では、それらの脅威を改善するための手段が設けられる。
IPv6アドレスを得たUEは、ステートレスDHCPを使用して、例えば、000AH IPアドレス割り当てを経、CREATE Session Request(セッション生成要求)のPCO追加パラメータリストのNASシグナリングを経て、DNS(ドメインネームサービス)繰り返しネームサーバー又はSIP(セッションイニシエーションプロトコル)サーバーのリストのような他の構成情報を要求することができる。その場合に、SDNコントローラPGW−Cは、それ自身を、例えば、Information Request(情報要求)メッセージ及びReply(応答)のような非常に頻繁に送信されるDHCPv6メッセージでUEがSDNコントローラを(例えば、OpenFlow又はForceを経て)氾濫させるセキュリティリスクに曝すことがある。それに対して、プロトコルが、例えば、REPLY(応答)メッセージのIAアドレスオプションのような情報エレメントを情報要求メッセージにマッチングさせてIPv6アドレスを報告/サーチできるように、OpenFlowプロトコルが改善される。又、Router Advertisement(ルーター広告)メッセージは、除外されてもよい。
1)増強されたOpenFlowコントローラが、PGW−Uにおけるユーザプレーンレベルで新たなOpenFlowルールによりDHCPプロトコルコンテンツを操作することによりSDNベースのDHCPリレーエージェントへGTP DHCPユーザプレーンコンテンツを転送することを要求できるように、新たなOpenFlowプロトコルエレメントを特定しそして配置する。
2)増強されたOpenFlowコントローラが、割り当てられたIPアドレス及びそれに対応するリース時間に関する通知を要求でき、そして指定されたIPアドレスの変化について通知されるように、新たなOpenFlowプロトコルエレメントを特定しそして配置する。
3)どのみち、ステップ2)で指定されたIPアドレスは、PCRF(図5を参照)へ報告され、PGW−C/OFCは、新たに指定されたIPアドレスがそれに対応する確立されたGTPトンネルに接着されるようにルールをインストールしなければならない(このステップ3)のこのメカニズムは、DHCPリレー機能がなくてもPGW−Uに既にサポートされるので、最新型であると思われる)。
図3は、スレッシュホールドに達していない場合に「パケット・イン」メッセージを絞るためにOpenFlowコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCP応答の一例を示す図である。
図5は、スレッシュホールドに達しない場合にDHCPプロトコルを変更し且つ割り当てられたIPアドレスを、その後の使用のために(例えば、課金等のために)、PGW−Cに報告するように、オープンフローコントローラを経てPGW−Cにより命令されるPGW−UにおけるDHCPリレーを示す図である。
81:プロセッサ
82:I/Oユニット
83:メモリ
Claims (21)
- ユーザプレーンのネットワーク要素に使用するための方法において、
ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及び
メッセージが事前構成ルールに合致すると決定された場合には、
コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び
所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞る、
ことを含む方法。 - 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項1に記載の方法。
- 前記所定のスレッシュホールドに達しない場合には、前記特定シグナリングメッセージを前記コントローラへ送信し、及び
前記特定スレッシュホールドに達し且つ送信が絞られた場合には、前記コントローラから要求があったときに前記特定シグナリングメッセージの送信を再開する、
ことを含む、請求項2に記載の方法。 - 特定情報を搬送する特定シグナリングメッセージをサーチし、
前記特定シグナリングメッセージからその特定情報を抽出し、及び
その抽出された特定情報を前記コントローラへ送信する、
ことを含む、請求項1から3のいずれか1項に記載の方法。 - 前記特定シグナリングメッセージは、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、及びポイント対ポイントプロトコルPPPの1つによるシグナリングメッセージである、請求項1から4のいずれか1項に記載の方法。
- DHCPリレー又はLCP/認証/IPCPネゴシエーションを経てRADIUS/DHCP/L2TPマッピング機能へ特定情報を送信することを更に含み、その特定情報は、インターネットプロトコルアドレス、又はインターネットプロトコルアドレスのリース時間である、請求項5に記載の方法。
- 前記ユーザプレーンのメッセージは、そのメッセージが動的なホスト構成、RADIUS、L2TP、又はPPPプロトコルに合致するときに、前記事前構成ルールに合致し、及び/又は
前記コントローラは、OpenFlowプロトコル又は転送及び制御エレメント分離プロトコルの一方に合致する、請求項1から6のいずれか1項に記載の方法。 - ネットワーク要素に使用するための方法において、
アドレス割り当ての要求が所定の条件を満足するかどうか評価し、
前記要求が所定の条件を満足すると決定された場合には、
ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及び
ユーザプレーンのメッセージが事前構成ルールに合致する場合には、ユーザプレーンの別のネットワーク要素が、コントローラへの特定のシグナリングメッセージを絞るようにさせる、
ことを含む方法。 - 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項8に記載の方法。
- 前記所定の条件は、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つを経て前記アドレス割り当てが要求されたことを含み、
前記事前構成ルールは、ユーザプレーンのメッセージが、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つに合致するメッセージであることを含み、及び/又は
前記アドレス割り当ては、セッション生成要求メッセージにおいて汎用パケット無線サービストンネルプロトコルコントロールプレーンGTP−Cを経て要求され、又は
前記アドレス割り当ては、パケットデータプロトコルPDPコンテキスト生成要求メッセージにおいてゲートウェイ汎用パケット無線サービスサポートノードGGSNを経て要求され、及び/又は
前記方法は、更に、プロトコル構成オプションPCOにおいて、DHCP、リンクコントロールプロトコルLCP、パスワード認証プロトコルPAP、チャレンジハンドシェーク認証プロトコルCHAP、及びインターネットプロトコルコントロールプロトコルIPCPの1つを経てアドレス割り当てが要求されるかどうか評価することを含む、請求項8又は9に記載の方法。 - ユーザプレーンのネットワーク要素に使用するための装置において、
少なくとも1つのプロセッサ、及び
プロセッサにより実行されるべきインストラクションを記憶するための少なくとも1つのメモリ、
を備え、前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックし、及び
メッセージが事前構成ルールに合致すると決定された場合には、
コントローラに送られるアドレス割り当てに関連した特定シグナリングメッセージの数が所定のスレッシュホールドに達したかどうかチェックし、及び
所定のスレッシュホールドに達した場合には、コントローラへの特定シグナリングメッセージの送信を絞る、
ことを遂行するようにさせるよう構成された装置。 - 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項11に記載の装置。
- 前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
前記所定のスレッシュホールドに達しない場合には、前記特定シグナリングメッセージを前記コントローラへ送信し、及び
前記特定スレッシュホールドに達し且つ送信が絞られた場合には、前記コントローラから要求があったときに前記特定シグナリングメッセージの送信を再開する、
ことを遂行するようにさせるよう更に構成された、請求項12に記載の装置。 - 前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
特定情報を搬送する特定シグナリングメッセージをサーチし、
前記特定シグナリングメッセージからその特定情報を抽出し、及び
その抽出された特定情報を前記コントローラへ送信する、
ことを遂行するようにさせるよう更に構成された、請求項11から13のいずれか1項に記載の装置。 - 前記特定シグナリングメッセージは、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、及びポイント対ポイントプロトコルPPPの1つによるシグナリングメッセージである、請求項11から14のいずれか1項に記載の装置。
- 前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
DHCPリレー又はLCP/認証/IPCPネゴシエーションを経てRADIUS/DHCP/L2TPマッピング機能へ特定情報を送信する、
ことを遂行するようにさせるよう更に構成され、その特定情報は、インターネットプロトコルアドレス、又はインターネットプロトコルアドレスのリース時間である、請求項15に記載の装置。 - 前記ユーザプレーンのメッセージは、そのメッセージが動的なホスト構成、RADIUS、L2TP、又はPPPプロトコルに合致するときに、前記事前構成ルールに合致し、及び/又は
前記コントローラは、OpenFlowプロトコル又は転送及び制御エレメント分離プロトコルの一方に合致する、請求項11から16のいずれか1項に記載の装置。 - ネットワーク要素に使用するための装置において、
少なくとも1つのプロセッサ、及び
プロセッサにより実行されるべきインストラクションを記憶するための少なくとも1つのメモリ、
を備え、前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
アドレス割り当ての要求が所定の条件を満足するかどうか評価し、
その要求が所定の条件を満足すると決定された場合には、
ユーザプレーンの別のネットワーク要素が、ユーザプレーンのメッセージが事前構成ルールに合致するかどうかチェックするようにさせ、及び
ユーザプレーンのメッセージが事前構成ルールに合致する場合には、コントローラへの特定のシグナリングメッセージを絞ることをユーザプレーンの別のネットワーク要素に指示させる、
ように構成された装置。 - 前記絞ることは、前記特定シグナリングメッセージの送信を減少し、そして前記コントローラへの特定シグナリングメッセージの送信を完全に停止することを含む、請求項18に記載の装置。
- 前記所定の条件は、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つを経て前記アドレス割り当てが要求されたことを含み、
前記事前構成ルールは、ユーザプレーンのメッセージが、ダイナミックホスト構成プロトコルDHCP、リモート認証ダイヤルインユーザサービスRADIUS、レイヤ2トンネルプロトコルL2TP、又はポイント対ポイントプロトコルPPPの1つに合致するメッセージであることを含み、及び/又は
前記アドレス割り当ては、セッション生成要求メッセージにおいて汎用パケット無線サービストンネルプロトコルコントロールプレーンGTP−Cを経て要求され、又は
前記アドレス割り当ては、パケットデータプロトコルPDPコンテキスト生成要求メッセージにおいてゲートウェイ汎用パケット無線サービスサポートノードGGSNを経て要求され、及び/又は
前記少なくとも1つのメモリ及びインストラクションは、少なくとも1つのプロセッサとで、装置が、少なくとも、
プロトコル構成オプションPCOにおいて、DHCP、リンクコントロールプロトコルLCP、パスワード認証プロトコルPAP、チャレンジハンドシェーク認証プロトコルCHAP、及びインターネットプロトコルコントロールプロトコルIPCPの1つを経てアドレス割り当てが要求されるかどうか評価する、
ことを遂行するようにさせるよう更に構成された、請求項18又は19に記載の装置。 - 処理装置のためのプログラムを含み、そのプログラムが処理装置において実行されるときに請求項1から10のいずれか1項に記載の方法を遂行するためのソフトウェアコード部分を備えたコンピュータプログラム製品。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP15171343.5A EP3104563B1 (en) | 2015-06-10 | 2015-06-10 | Sdn security |
EP15171343.5 | 2015-06-10 | ||
PCT/EP2016/063274 WO2016198586A1 (en) | 2015-06-10 | 2016-06-10 | Sdn security |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018521573A true JP2018521573A (ja) | 2018-08-02 |
JP6532963B2 JP6532963B2 (ja) | 2019-06-19 |
Family
ID=53442509
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017564420A Active JP6532963B2 (ja) | 2015-06-10 | 2016-06-10 | Sdnセキュリティ |
Country Status (6)
Country | Link |
---|---|
US (2) | US10547639B2 (ja) |
EP (1) | EP3104563B1 (ja) |
JP (1) | JP6532963B2 (ja) |
KR (1) | KR102114603B1 (ja) |
CN (1) | CN107925626B (ja) |
WO (1) | WO2016198586A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105338125B (zh) * | 2014-06-25 | 2019-11-05 | 华为技术有限公司 | 报文处理方法及装置 |
US9715346B2 (en) | 2014-11-04 | 2017-07-25 | Rubrik, Inc. | Cluster-based network file server |
CN108476549B (zh) * | 2016-01-19 | 2021-03-30 | 华为技术有限公司 | 一种ip地址分配方法及设备 |
US11546266B2 (en) * | 2016-12-15 | 2023-01-03 | Arbor Networks, Inc. | Correlating discarded network traffic with network policy events through augmented flow |
CN107396350B (zh) * | 2017-07-12 | 2021-04-27 | 西安电子科技大学 | 基于sdn-5g网络架构的sdn组件间安全保护方法 |
US11221920B2 (en) | 2017-10-10 | 2022-01-11 | Rubrik, Inc. | Incremental file system backup with adaptive fingerprinting |
US11372729B2 (en) * | 2017-11-29 | 2022-06-28 | Rubrik, Inc. | In-place cloud instance restore |
WO2019228832A1 (en) * | 2018-06-01 | 2019-12-05 | Nokia Technologies Oy | A method for message filtering in an edge node based on data analytics |
CN111182657B (zh) * | 2018-11-09 | 2023-09-22 | 中兴通讯股份有限公司 | 一种隧道协商建立方法及装置 |
US10938632B2 (en) | 2018-12-28 | 2021-03-02 | Vmware, Inc. | Query failure diagnosis in software-defined networking (SDN) environments |
US11005745B2 (en) * | 2018-12-28 | 2021-05-11 | Vmware, Inc. | Network configuration failure diagnosis in software-defined networking (SDN) environments |
US11503471B2 (en) * | 2019-03-25 | 2022-11-15 | Fortinet, Inc. | Mitigation of DDoS attacks on mobile networks using DDoS detection engine deployed in relation to an evolve node B |
US11509686B2 (en) | 2019-05-14 | 2022-11-22 | Vmware, Inc. | DHCP-communications monitoring by a network controller in software defined network environments |
CN110769482B (zh) * | 2019-09-16 | 2022-03-01 | 浙江大华技术股份有限公司 | 无线设备进行网络连接的方法、装置和无线路由器设备 |
EP4052442A1 (en) * | 2019-10-30 | 2022-09-07 | Telefonaktiebolaget LM Ericsson (publ) | In-band protocol-based in-network computation offload framework |
CN113055191B (zh) * | 2019-12-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种转发方法、装置、宽带远程接入服务器的转发面 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014083449A1 (en) * | 2012-11-27 | 2014-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing |
WO2014127517A1 (zh) * | 2013-02-21 | 2014-08-28 | 华为技术有限公司 | 报文处理方法、转发器、报文处理设备、报文处理系统 |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4501310B2 (ja) * | 2001-05-28 | 2010-07-14 | 株式会社日立製作所 | パケット転送装置 |
US20020196743A1 (en) * | 2001-06-20 | 2002-12-26 | Sebastian Thalanany | Apparatus and method for enhancing performance in a packet data system |
US7032034B1 (en) * | 2002-01-31 | 2006-04-18 | Cisco Technology, Inc. | Method and apparatus for simulating large scalable networks |
US7024687B2 (en) * | 2003-05-21 | 2006-04-04 | Cisco Technology, Inc. | System and method for providing end to end authentication in a network environment |
DE602004009317T2 (de) * | 2003-08-15 | 2008-07-17 | Research In Motion Ltd., Waterloo | Bestimmung der Aktivierungszeit für eine Aufwärtsrichtungsverschlüsselung in einem UMTS Teilnehmergerät |
US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
US8230067B2 (en) * | 2003-10-31 | 2012-07-24 | Ericsson Ab | DHCP proxy in a subscriber environment |
KR100548134B1 (ko) * | 2003-10-31 | 2006-02-02 | 삼성전자주식회사 | 무선 네트워크 환경에서의 tcp의 데이터 전송효율을향상시킬 수 있는 통신시스템 및 그 방법 |
US20050122973A1 (en) * | 2003-12-09 | 2005-06-09 | Samsung Electronics Co., Ltd. | Network node capable of restricting a packet receiving activity during packet congestion and method thereof |
US20050128945A1 (en) * | 2003-12-11 | 2005-06-16 | Chen-Chi Kuo | Preventing a packet associated with a blocked port from being placed in a transmit buffer |
JP2005175866A (ja) * | 2003-12-11 | 2005-06-30 | Hitachi Communication Technologies Ltd | ネットワーク統計情報サービスシステムおよびインターネットアクセスサーバ |
US20050147095A1 (en) * | 2003-12-30 | 2005-07-07 | Intel Corporation | IP multicast packet burst absorption and multithreaded replication architecture |
JP4323355B2 (ja) * | 2004-03-22 | 2009-09-02 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
US7483996B2 (en) * | 2004-11-29 | 2009-01-27 | Cisco Technology, Inc. | Techniques for migrating a point to point protocol to a protocol for an access network |
WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
US20070140121A1 (en) * | 2005-12-21 | 2007-06-21 | Chris Bowman | Method of preventing denial of service attacks in a network |
US7684394B1 (en) * | 2006-05-01 | 2010-03-23 | Sun Microsystems, Inc. | System and method for increasing host visibility in network address translation environments |
JP4734223B2 (ja) * | 2006-11-29 | 2011-07-27 | アラクサラネットワークス株式会社 | トラヒック分析装置および分析方法 |
US8059532B2 (en) * | 2007-06-21 | 2011-11-15 | Packeteer, Inc. | Data and control plane architecture including server-side triggered flow policy mechanism |
US7911948B2 (en) * | 2007-10-17 | 2011-03-22 | Viasat, Inc. | Methods and systems for performing TCP throttle |
JP5094593B2 (ja) * | 2008-06-27 | 2012-12-12 | キヤノン株式会社 | 送信装置、受信装置、及び方法、プログラム |
US20120110665A1 (en) * | 2010-10-29 | 2012-05-03 | International Business Machines Corporation | Intrusion Detection Within a Distributed Processing System |
US9148776B1 (en) * | 2011-09-28 | 2015-09-29 | Pulse Secure, Llc | Network address preservation in mobile networks |
US9250941B2 (en) * | 2011-09-30 | 2016-02-02 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus and method for segregating tenant specific data when using MPLS in openflow-enabled cloud computing |
CN103384279A (zh) * | 2012-05-02 | 2013-11-06 | 中兴通讯股份有限公司 | 地址分配方法和装置 |
US9304801B2 (en) | 2012-06-12 | 2016-04-05 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic enforcement layer for cloud security using SDN |
US9203689B2 (en) * | 2012-10-26 | 2015-12-01 | International Business Machines Corporation | Differential dynamic host configuration protocol lease allocation |
US9071576B1 (en) * | 2013-03-12 | 2015-06-30 | Sprint Communications Comapny L.P. | Application rate limiting without overhead |
US20150089566A1 (en) | 2013-09-24 | 2015-03-26 | Radware, Ltd. | Escalation security method for use in software defined networks |
KR102118687B1 (ko) * | 2013-11-15 | 2020-06-03 | 삼성전자주식회사 | SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치 |
US9722926B2 (en) * | 2014-01-23 | 2017-08-01 | InMon Corp. | Method and system of large flow control in communication networks |
WO2015139726A1 (en) * | 2014-03-17 | 2015-09-24 | Telefonaktiebolaget L M Ericsson (Publ) | Congestion level configuration for radio access network congestion handling |
US10630642B2 (en) * | 2017-10-06 | 2020-04-21 | Stealthpath, Inc. | Methods for internet communication security |
-
2015
- 2015-06-10 EP EP15171343.5A patent/EP3104563B1/en active Active
-
2016
- 2016-06-10 JP JP2017564420A patent/JP6532963B2/ja active Active
- 2016-06-10 WO PCT/EP2016/063274 patent/WO2016198586A1/en active Application Filing
- 2016-06-10 US US15/580,327 patent/US10547639B2/en active Active
- 2016-06-10 CN CN201680046998.6A patent/CN107925626B/zh active Active
- 2016-06-10 KR KR1020187000760A patent/KR102114603B1/ko active IP Right Grant
-
2019
- 2019-10-02 US US16/590,485 patent/US11140080B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014083449A1 (en) * | 2012-11-27 | 2014-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing |
WO2014127517A1 (zh) * | 2013-02-21 | 2014-08-28 | 华为技术有限公司 | 报文处理方法、转发器、报文处理设备、报文处理系统 |
Also Published As
Publication number | Publication date |
---|---|
KR20180017120A (ko) | 2018-02-20 |
US20180302439A1 (en) | 2018-10-18 |
KR102114603B1 (ko) | 2020-05-25 |
EP3104563B1 (en) | 2019-10-16 |
US10547639B2 (en) | 2020-01-28 |
US11140080B2 (en) | 2021-10-05 |
JP6532963B2 (ja) | 2019-06-19 |
EP3104563A1 (en) | 2016-12-14 |
CN107925626A (zh) | 2018-04-17 |
WO2016198586A1 (en) | 2016-12-15 |
CN107925626B (zh) | 2020-11-20 |
US20200036753A1 (en) | 2020-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6532963B2 (ja) | Sdnセキュリティ | |
US10965615B2 (en) | Centralized IP address management for distributed gateways | |
US9433029B2 (en) | Network device in a communication network and method for providing communications traffic breakout | |
US9173117B2 (en) | Enhancing a mobile backup channel to address a node failure in a wireline network | |
US9241255B2 (en) | Local breakout with optimized interface | |
US11595830B2 (en) | Control apparatus for gateway in mobile communication system | |
US20170199751A1 (en) | Device and method for controlling an ip network core | |
EP3070891B1 (en) | Packet processing method and device | |
CN117378175A (zh) | 用于建立双层pdu会话的系统和方法 | |
Hahn et al. | Centralized GW control and IP address management for 3GPP networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181217 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181225 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190325 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190422 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190522 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6532963 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |