JP2023534467A - セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 - Google Patents

セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 Download PDF

Info

Publication number
JP2023534467A
JP2023534467A JP2023502774A JP2023502774A JP2023534467A JP 2023534467 A JP2023534467 A JP 2023534467A JP 2023502774 A JP2023502774 A JP 2023502774A JP 2023502774 A JP2023502774 A JP 2023502774A JP 2023534467 A JP2023534467 A JP 2023534467A
Authority
JP
Japan
Prior art keywords
sepp
session establishment
pdu session
establishment request
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2023502774A
Other languages
English (en)
Other versions
JP7466053B2 (ja
Inventor
マハランク,シャシキラン・バラチャンドラ
ラジプット,ジャイ
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2023534467A publication Critical patent/JP2023534467A/ja
Application granted granted Critical
Publication of JP7466053B2 publication Critical patent/JP7466053B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/14Mobility data transfer between corresponding nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Figure 2023534467000001
セキュリティエッジ保護プロキシ(SEPP)を使用して5Gローミング攻撃を緩和するための方法は、SEPPにおいて、アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信することを含む。この方法は、SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成することをさらに含む。この方法は、SEPPにおいて、パケットデータユニット(PDU)セッション確立要求メッセージを受信することをさらに含む。この方法は、PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、SEPPセキュリティデータベースにおいてルックアップを実行することをさらに含む。この方法は、SEPPが、ルックアップの結果に基づいて、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断することをさらに含む。

Description

優先権主張
本願は、その開示の全体を本明細書に引用により援用する、2020年7月14日に出願された米国特許出願第16/929,048号に基づく優先権の利益を主張する。
技術分野
本明細書に記載されている主題は、5Gローミングセキュリティ攻撃を緩和することに関する。より具体的には、本明細書に記載されている主題は、SEPPを使用して5Gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
背景
5G電気通信ネットワークにおいて、サービスを提供するネットワークノードは、プロデューサネットワーク機能(NF:network function)と呼ばれる。サービスを消費するネットワークノードは、コンシューマNFと呼ばれる。ネットワーク機能は、それがサービスを消費しているか提供しているかに応じて、プロデューサNFおよびコンシューマNFのいずれにもなり得る。
所与のプロデューサNFは、多数のサービスエンドポイントを有し得るものであり、サービスエンドポイントは、プロデューサNFをホストするネットワークノードのインターネットプロトコル(IP:Internet protocol)アドレスとポート番号との組み合わせである。プロデューサNFは、ネットワーク機能リポジトリ機能(NRF:network function repository function)に登録する。NRFは、利用可能なNFインスタンスおよびそれらのサポートされるサービスのNFプロファイルを維持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報の受信をサブスクライブすることができる。
コンシューマNFに加えて、NFサービスインスタンスに関する情報の受信をサブスクライブすることができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP:service communications proxy)である。SCPは、NRFにサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、要求されたサービスを提供するプロデューサNFサービスインスタンス間で負荷分散する、または、トラフィックを宛先プロデューサNFに直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノードのグループの他の例は、セキュリティエッジ保護プロキシ(SEPP:security edge protection proxy)、サービスゲートウェイ、および5Gサービスメッシュにおけるノードを含む。SEPPは、異なる5Gパブリックランドモバイルネットワーク(PLMN:public land mobile network)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPは、すべてのアプリケーションプログラミングインターフェイス(API:application programming interface)メッセージに対し、メッセージフィルタリング、ポリシング、およびトポロジ隠蔽を行う。
サービスゲートウェイは、所与のサービスを提供するプロデューサNFのグループの前に位置するノードである。サービスゲートウェイは、SCPと同様のやり方でサービスを提供するプロデューサNF間で着信サービス要求を負荷分散することができる。
サービスメッシュは、プロデューサNFとコンシューマNFとの間の通信を可能にする中間プロキシノードのグループの名称である。サービスメッシュは、1つ以上のSCP、SEPP、およびサービスゲートウェイを含み得る。
既存の第3世代パートナーシッププロジェクト(3GPP(登録商標):Third Generation Partnership Project)サービスアーキテクチャの1つの問題は、5Gネットワークにおけるモードが、アウトバウンドローミング加入者に関するメッセージングに対するサービス拒否(DoS:denial of service)攻撃に晒されることである。アウトバウンドローミング加入者は、訪問先ネットワークにおいてローミングしているオペレータのネットワークの加入者である。正当なアウトバウンドローミング加入者のための通常のメッセージングは、認証、加入者を認証するためのシグナリング、続いて、訪問先ネットワークにおいて動作するように加入者を登録するための登録シグナリングを伴う。加入者がパケットデータユニット(PDU:packet data unit)セッションを確立しようと試みる場合、PDUセッション確立シグナリングは、認可のためにホームネットワーク内のユーザデータ管理(UDM:user data management)機能にルーティングされる。
このアーキテクチャの1つの問題は、ホームネットワークが、PDUセッション確立要求を、ユーザデータ管理機能およびホームネットワークに要求を転送する前に、認証しないことである。攻撃者は、偽のPDUセッション確立要求を繰り返し送信してホームネットワーク内のUDMを圧倒する可能性がある。
したがって、これらの課題に照らすと、SEPPを使用して5Gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体が必要である。
概要
セキュリティエッジ保護プロキシ(SEPP)を使用して5Gローミング攻撃を緩和するための方法は、SEPPにおいて、アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信するステップを含む。この方法はさらに、SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成するステップを含む。この方法はさらに、SEPPにおいて、パケットデータユニット(PDU)セッション確立要求メッセージを受信するステップを含む。この方法はさらに、PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、SEPPセキュリティデータベースにおいてルックアップを実行するステップを含む。この方法はさらに、SEPPが、ルックアップの結果に基づいて、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップを含む。
本明細書に記載されている主題の別の態様に従うと、アウトバウンドローミング加入者に対するUE登録メッセージを受信するステップは、アウトバウンドローミング加入者にサービスを提供するアクセス管理メッセージ(AMF)およびセッション管理機能(SMF)からNudm_UECM_Registrationメッセージを受信することを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPセキュリティデータベース内にレコードを作成するステップは、サブスクリプション永久識別子(SUPI)またはサブスクリプション隠蔽識別子(SUCI)と、サービングパブリックランドモバイルネットワーク(PLMN)IDと、アクセスタイプとを各々が含むレコードを作成することを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、PDUセッション確立要求メッセージを受信するステップは、SUPIまたはSUCIと、PLMN IDと、アクセスタイプとを含むPDUセッション確立要求メッセージを受信することを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPセキュリティデータベースにおいてルックアップを実行するステップは、PDUセッション確立要求メッセージからのSUPIまたはSUCIを使用してルックアップを実行することを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、アウトバウンドモバイル加入者に対する5Gローミングセキュリティ攻撃を緩和するための方法は、SEPPセキュリティデータベースにおいてPDUセッション確立要求メッセージからのSUPIまたはSUCIに対応するレコードの場所の特定に失敗するステップを含み、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップは、PDUセッション確立要求メッセージを拒否すると判断することを含み、この方法は、PDUセッション確立要求メッセージを拒否するステップをさらに含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、アウトバウンドモバイル加入者に対する5Gローミング攻撃を緩和するための方法は、SEPPセキュリティデータベースにおいてPDUセッション確立要求メッセージからのSUPIまたはSUCIに対応するレコードの場所を特定するステップと、レコード内のPLMN IDまたはアクセスタイプがPDUセッション確立要求メッセージ内のPLMN IDまたはアクセスタイプと一致しないと判断するステップとを含み、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップは、PDUセッション確立要求メッセージを拒否すると判断することを含み、5Gローミングセキュリティ攻撃を緩和するための方法は、PDUセッション確立要求メッセージを拒否するステップをさらに含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、PDUセッション確立要求メッセージを拒否するステップは、PDUセッション確立要求メッセージを破棄することと、PDUセッション確立エラー応答を送信することとを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、アウトバウンドモバイル加入者に対する5Gローミングセキュリティ攻撃を緩和するための方法は、SEPPセキュリティデータベースにおいてPDUセッション確立要求メッセージからのSUPIまたはSUCIに対応するレコードの場所を特定するステップと、レコード内のPLMN IDおよびアクセスタイプがPDUセッション確立要求メッセージ内のPLMN IDおよびアクセスタイプと一致すると判断するステップとを含み、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップは、PDUセッション確立要求メッセージを受け入れると判断することを含み、5Gローミングセキュリティ攻撃を緩和するための方法は、PDUセッション確立要求メッセージを受け入れるステップをさらに含む。
本明細書に記載されている主題のさらに他の態様に従うと、アウトバウンドモバイル加入者に対する5Gローミングセキュリティ攻撃を緩和するための方法は、PDUセッション確立要求メッセージをSEPPからホームセッション管理機能(hSMF)に転送することによってPDUセッション確立要求メッセージを許可することを含む。
本明細書に記載されている主題の別の態様に従うと、5Gローミング攻撃を緩和するためのシステムは、少なくとも1つのプロセッサとメモリとを含むセキュリティエッジ保護プロキシ(SEPP)を備える。このシステムはさらに、メモリに実装されたSEPPセキュリティデータベースを備える。このシステムはさらに、少なくとも1つのプロセッサによって実装されたSEPPローミングセキュリティコントローラを備え、SEPPローミングセキュリティコントローラは、アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信し、SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成し、パケットデータユニット(PDU)セッション確立要求メッセージを受信し、PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、SEPPセキュリティデータベースにおいてルックアップを実行し、SEPPにより、ルックアップの結果に基づいて、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断する。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、アウトバウンドローミング加入者にサービスを提供するアクセス管理機能(AMF)およびセッション管理機能(SMF)からNudm_UECM_Registrationメッセージを受信するように構成される。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、SEPPセキュリティデータベース内にレコードを作成するように構成され、各レコードは、サブスクリプション永久識別子(SUPI)またはサブスクリプション隠蔽識別子(SUCI)と、サービングパブリックランドモバイルネットワーク(PLMN)IDと、アクセスタイプとを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、PDUセッション確立要求メッセージは、SUPIまたはSUCIと、PLMN IDと、アクセスタイプとを含む。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、PDUセッション確立要求メッセージからのSUPIまたはSUCIを使用して、SEPPセキュリティデータベースにおいてルックアップを実行するように構成される。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、SEPPセキュリティデータベースにおいてPDUセッション確立要求メッセージからのSUPIまたはSUCIに対応するレコードの場所の特定に失敗したことに応じて、PDUセッション確立要求メッセージを拒否するように構成される。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、SEPPセキュリティデータベースにおいて、PDUセッション確立要求メッセージからのSUPIまたはSUCIに対応するレコードの場所を特定し、レコード内のPLMN IDまたはアクセスタイプがPDUセッション確立要求メッセージ内のPLMN IDまたはアクセスタイプと一致しないと判断したことに応じて、PDUセッション確立要求メッセージを拒否するように構成される。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、PDUセッション確立要求メッセージを破棄しPDUセッション確立エラー応答を送信することにより、PDUセッション確立要求メッセージを拒否するように構成される。
本明細書に記載されている主題のさらにもう1つの態様に従うと、SEPPローミングセキュリティコントローラは、SEPPセキュリティデータベースにおいてPDUセッション確立要求メッセージからのSUPIまたはSUCIに対応するレコードの場所を特定したことに応じて、レコード内のPLMN IDおよびアクセスタイプがPDUセッション確立要求メッセージ内のPLMN IDおよびアクセスタイプと一致すると判断し、PDUセッション確立要求メッセージを受け入れるように構成され、PDUセッション確立要求メッセージを受け入れることは、PDUセッション確立要求メッセージをSEPPからホームセッション管理機能(SMF)に転送することを含む
本明細書に記載されている主題のさらにもう1つの態様に従うと、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する実行可能命令が格納された非一時的なコンピュータ読取可能媒体が記載される。ステップは、セキュリティエッジ保護プロキシ(SEPP)において、アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信するステップを含む。ステップはさらに、SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成するステップを含む。ステップはさらに、SEPPにおいて、パケットデータユニット(PDU)セッション確立要求メッセージを受信するステップを含む。ステップはさらに、PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、SEPPセキュリティデータベースにおいてルックアップを実行するステップを含む。ステップはさらに、SEPPが、ルックアップの結果に基づいて、PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップを含む。
本明細書に記載されている主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実現されてもよい。そのため、本明細書で使用される「機能」、「ノード」、または「モジュール」という用語は、記載されている特徴を実現するための、ソフトウェアコンポーネントおよび/またはファームウェアコンポーネントも含み得るハードウェアを意味する。例示される一実装形態において、本明細書に記載されている主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する、コンピュータによる実行が可能な命令が格納されたコンピュータ読取可能媒体を使用して実現されてもよい。本明細書に記載されている主題を実現するのに適した例示されるコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路等の、非一時的なコンピュータ読取可能媒体を含む。加えて、本明細書に記載されている主題を実現するコンピュータ読取可能媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置していてもよく、または、複数のデバイスもしくはコンピューティングプラットフォーム間で分散されていてもよい。
次に、本明細書に記載されている主題を添付の図面を参照しながら説明する。
例示される5Gネットワークアーキテクチャを示すネットワーク図である。 アウトバウンドローミング加入者のUDM登録を示すフロー図である。 アウトバウンドローミング加入者のPDFセッション確立を示すコールフロー図である。 アウトバウンドローミング加入者に対してハッカーが送信する偽のPDUセッション確立要求を示すコールフロー図である。 SEPPを使用した、UDM登録および偽のPDUセッション確立メッセージのブロックを示すコールフロー図である。 5Gローミングセキュリティ攻撃を緩和するための例示されるSEPPを示すブロック図である。 SEPPを使用して5Gローミングセキュリティ攻撃を緩和するための例示されるプロセスを示すフローチャートの図である。
詳細な説明
本明細書に記載されている主題は、SEPPを使用して5Gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。図1は、例示される5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホームパブリックランドモバイルネットワーク(HPLMN:home public land mobile network)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新規の/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にすることができる。SCP101は、プロデューサNFのサービスディスカバリおよび選択をサポートすることもできる。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を行うことができる。
NRF100は、NFプロファイルのためのリポジトリである。プロデューサNFと通信するために、コンシューマNFまたはSCPは、NRF100からNFプロファイルを取得しなければならない。NFプロファイルは、3GPP TS29.510において定義されているJavaScript(登録商標)オブジェクト表記法(JSON:JavaScript object notation)データ構造である。NFプロファイルの定義は、完全修飾ドメイン名(FQDN:fully qualified domain name)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
図1において、(SCP101およびNRF100以外の)ノードはいずれも、それらがサービスを要求しているか提供しているかに応じて、コンシューマNFかプロデューサNFのいずれかになり得る。示されている例において、ノードは、ネットワークにおいてポリシー関連動作を行うポリシー制御機能(PCF:policy control function)102と、ユーザデータを管理するユーザデータ管理(UDM:user data management)機能104と、アプリケーションサービスを提供するアプリケーション機能(AF:application function)106とを含む。図1に示されるノードはさらに、アクセス管理機能(AMF:access management function)110とPCF102との間のセッションを管理するセッション管理機能(SMF:session management function)108を含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(MME:mobility management entity)が実行するものと同様のモビリティ管理動作を実行する。認証サーバ機能(AUSF:authentication server function)112は、ネットワークへのアクセスを求めるUE114等のユーザ機器(UE)のための認証サービスを実行する。
ネットワークスライス選択機能(NSSF:network slice selection function)116は、ネットワークスライスに関連付けられた特定のネットワーク能力および特性にアクセスしようとするデバイスのためのネットワークスライシングサービスを提供する。ネットワーク公開機能(NEF:network exposure function)118は、ネットワークに接続されたインターネット・オブ・シングス(IoT:Internet of Things)デバイスおよび他のUEに関する情報を取得しようとするアプリケーション機能のためのアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力公開機能(SCEF:service capability exposure function)と同様の機能を実行する。
無線アクセスネットワーク(RAN:radio access network)120は、ワイヤレスリンクを介してUE114をネットワークに接続する。無線アクセスネットワーク120には、gノードB(gNB)(図1には示されていない)または他のワイヤレスアクセスポイントを使用してアクセスすることができる。ユーザプレーン機能(UPF:user plane function)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能をサポートすることができる。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP:multipath transmission control protocol)プロキシ機能である。UPF122は性能測定機能性もサポートすることができ、これを、ネットワーク性能測定値を取得するためにUE114が使用してもよい。図1にはデータネットワーク(DN:data network)124も示されており、それを通してUEはインターネットサービス等のデータネットワークサービスにアクセスする。
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNから出るトラフィックに対してトポロジ隠蔽を行う。SEPP126は、外部PLMNのためのセキュリティを管理する、この外部PLMNにおけるSEPPと通信することができる。このため、異なるPLMNにおけるNF間のトラフィックは、ホームPLMNのためのSEPP機能と外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。以下で詳細に説明するように、SEPP126を使用して、アウトバウンドローミング加入者に対する着信PDUセッション確立要求について認可ルックアップを実行し認可ルックアップが失敗した場合は要求がホームネットワークに入ることを許可しないことにより、アウトバウンドローミング加入者に対する5Gローミングセキュリティ攻撃を緩和することができる。
SEPP126が他のネットワーク内のSEPPと接続するために使用するインターフェイスは、N32-fインターフェイスである。N32-fインターフェイスは、攻撃者が偽のPDUセッション確立要求を送信するために利用することができる。しかしながら、偽のPDUセッション確立要求のシナリオを示す前に、N32-fインターフェイスを介して送信される登録および認証シグナリングについて説明する。図2は、N32-fインターフェイスを介してホームSEPPと訪問先SEPPとの間でやり取りされるアウトバウンドローミング加入者に対するUE登録シグナリングを示すコールフロー図である。図2を参照すると、ホームSEPP126Aは、加入者のホームネットワークのエッジに位置し、アウトバウンドローミング加入者に対する訪問先ネットワークからのシグナリングを受信する。ホームネットワークはまた、ホームAUSF112A、ホームUDM104A、およびホームPCF102Aを含む。訪問先ネットワークは、訪問先SEPP126B、訪問先PCF102B、および訪問先AMF110を含む。
図2のシグナリングメッセージフローを参照すると、ライン1において、UEが訪問先AMF110によってサービスされるエリア内に移動すると、訪問先AMF110は、Nausf_UE_Authentication_Authenticate要求メッセージをローミング加入者のホームネットワーク内のホームAUSF112Aに送信する。Nausf_UE_Authentication_Authenticate_Requestメッセージは、サブスクリプション隠蔽識別子(SUCI)またはサブスクリプション永久識別子(SUPI)のいずれかを含み得る。Nausf_UE_Authentication_Authenticate_Requestメッセージはまた、サービングネットワーク名またはVPLMN IDを含む。Nausf_UE_Authentication_Authenticate_Requestメッセージはまた、アクセスタイプを、すなわちアクセスが3GPPであるか非3GPPであるかを、識別し得る。以下でさらに詳細に説明するように、ホームSEPP126Aは、SUPIと、サービングネットワーク名またはVPLMN IDと、アクセスタイプとの組み合わせを使用して、PDUセッション確立要求を許可するまたは許可しないことが可能である。しかしながら、そのような機能は、5Gシステムのセキュリティアーキテクチャを定義する3GPP TS33.501におけるSEPP機能の一部として指定されていない。
訪問先SEPP126Bは、Nausf_UE_Authentication_Authenticate_Requestメッセージを受信し、このメッセージをN32-fインターフェイスを介してホームSEPP126Aに転送する。ホームSEPP126Aは、このメッセージをホームAUSF112Aに転送する。
ausf_UE_Authentication_Authenticate_Requestメッセージを受信すると、ホームAUSF112Aは、サービングネットワーク内の要求しているAMFまたはセキュリティアンカー機能(SAF:security anchor function)が、Nausf_UE_Authentication_Authenticate_Requestにおいて名付けられたサービングネットワークを使用する権利を有するか否かを、サービングネットワーク名を予想されるサービングネットワーク名と比較することにより、判断する。ホームAUSF112Aは、受信したサービングネットワーク名を一時的に記憶する。サービングネットワークが、サービングネットワーク名によって識別されるサービングネットワークを使用することを許可されない場合、ホームAUSF112Aは、Nausf_UE Authentication_Authenticate_Responseメッセージにおいて、決まった「サービングネットワーク不許可」で応答することになる。
示されている例において、Nausf_UE_Authentication_Authenticate_Requestにおけるサービングネットワーク名は、予想されるサービングネットワーク名と一致すると仮定される。したがって、ホームAUSF112Aは、Nudm_UE_Authentication_Get_RequestをホームUDM104Aに送信する。ホームNudm_UE_Authentication_Get_Requestメッセージは、SUCIまたはSUPIおよびサービングネットワーク名を含む。
udm_UE_Authentication_Get_Requestメッセージを受信すると、ホームUDM104Aは、SUCIが含まれる場合、サブスクリプション識別子隠蔽解除機能(SIDF:subscription identifier deconcealing function)を呼び出す。SIDFは、SUPIをSUCIから隠蔽解除するために使用される。SUPIが含まれる場合、ホームUDM104Aは、サブスクリプションデータに基づいて認証方法を選択する。ホームUDM104Aは、メッセージフロー図のライン5によって示される、Nudm_UE_Athentication_Get_Responseメッセージ内の認証チャレンジ情報で応答する。
メッセージフロー図のライン6において、ホームAUSF112Aは、認証チャレンジ情報とともに、Nausf_UE_Authentication_Authenticate_Responseメッセージを、ホームSEPP126Aを介して送信する。
メッセージフロー図のライン7および8において、認証応答メッセージは、訪問先AMF110に送られる。訪問先AMF110は、認証チャレンジ情報をUEに転送することができ、UEは認証応答を計算する。メッセージフロー図のライン9において、訪問先AMFおよびホームAUSFは、UEが認証される前に、追加の認証メッセージを交換する。
UEが認証されると、訪問先AMF110は、ホームUDM104Aに加入者サービングAMFとして登録することができる。登録手順は、訪問先AMF110がUECM_Registration_RequestをホームUDM104Aに送信するメッセージフロー図のライン10で始まる。ライン11において、訪問先SEPP126Bは、UECM_Registration_RequestをホームSEPP126Aに送信する。ホームSEPP126Aは、UECM_Registration_Requestが訪問先ネットワークからの最近の認証に関連付けられているか否かを判断し、関連付けられていない場合、メッセージを破棄することができる。この例において、UECM_Registration_Requestは最近の認証に関連付けられていると仮定する。したがって、ライン12において、ホームSEPP126Aは、UECM_Registration_RequestをUDM104Aに転送する。
ホームUDM104Aは、UECM_Registration_Requestを受信し、訪問先AMFのIDを含むように加入者のサブスクリプションデータを更新し、メッセージフロー図のライン14においてUECM_Registration_Responseメッセージでサブスクリプションデータを返す。ライン13~ライン15において、UECM_Registration_Responseメッセージは訪問先AMF110に送られる。
図3は、アウトバウンドローミング加入者に対するPDUセッション確立のための例示されるメッセージ交換を示すメッセージフロー図である。図3のライン1を参照すると、UEが、PDUセッション確立要求を含む非アクセス層(NAS:non-access stratum)メッセージを訪問先AMF110Bに送信することによって新規PDUセッションの確立を開始すると、訪問先AMF110Bは、訪問先SMF108Bを選択し、Nsmf_PDU_Session_Create_SM_Context_Requestメッセージを訪問先SMF108Bに送信する。
メッセージフロー図のライン2において、訪問先SMF108Bは、訪問先AMF110Bに対し、Nsmf_PDU_Session_Create_SM_Context_Responseメッセージで、Nsmf_PDU_Session_Create_SM_Context_Requestに応答する。メッセージフロー図のライン3において、訪問先SMF108Bは、N4セッション確立のために訪問先UPF122Bとシグナリングする。
メッセージフロー図のライン4において、訪問先SMF108Bは、PDUセッション確立要求を訪問先SEPP126Bに送信する。PDUセッション確立要求は、SUPIおよびネットワークスライス選択支援情報(NSSAI:network slice selection assistance information)パラメータを含む。ライン5において、訪問先SEPP126Bは、N32-fインターフェイスを介してPDUセッション確立要求をホームSEPP126Aに送信する。ホームSEPP126Aは、PDUセッション確立要求に対する認証を実行せず、ライン6において、PDUセッション確立要求をホームSMF108Aに転送する。ライン7において、ホームSMF108Aは、サブスクリプションデータおよび加入者の登録情報を取得するためにホームUDM104Aとシグナリングする。ここでも、ホームSMF108AとホームUDM104Aとの間にセキュリティチェックはない。したがって、攻撃者は、偽のPDUセッション確立要求を送信しホームSMF108AおよびホームUDM104Aにおけるリソースを圧倒する可能性がある。メッセージフロー図のライン8において、ホームSMF108Aは、ホームUPF122Aとシグナリングしてユーザプレーン機能およびN4セッションを構成する。ライン9において、ホームSMF108Aは、PDUセッション確立応答をホームSEPP126Aに送信する。ライン10において、ホームSEPP126Aは、N32-fインターフェイスを介してPDUセッション確立応答を訪問先SEPP126Bに送信する。ライン11において、訪問先SEPP126Bは、PDUセッション確立応答を訪問先SMF108Bに送信する。ライン12において、訪問先SMFおよび訪問先AMF110Bは、PDUセッションの確立を終了させるためにシグナリングする。
PDUセッション確立が正当である限り、ホームネットワーク内のリソースは、PDUセッション確立要求の処理によって浪費されることはない。しかしながら、相互接続ネットワークまたはリモートPLMNネットワークにおける妥協に起因して、PLMN間メッセージのなりすましによってハッカーがサービス拒否攻撃を開始することができるシナリオがある。PLMN間トラフィックは、複数の中間ホップまたはIP交換(IPX)プロバイダを通過することができる。一部のモバイルネットワークオペレータ(MNO)は、SEPP機能をIPXプロバイダにアウトソースすることさえ可能であり、これがセキュリティギャップを残すことになり、結果として攻撃をもたらし得る。
先に述べたように、ハッカーが、ホームネットワークSMFに向けてアウトバウンドローミング加入者に対する偽のPDUセッション確立要求のシグナリングストームを開始する可能性がある。UDMは、UDMに記憶された加入者UE登録ステータス(3GPPアクセスデータのAMF登録)のいかなる相互検証も、たとえそのようなデータがAMFからの以前のUECM登録メッセージを通じて受信されるとしても、実行しない。UDMは常に、SMF登録要求に対してホームSMFに応答する。結果として、ホームネットワーク内のSMFおよびUDMの双方が、偽のPDUセッション作成要求と、偽のPDUセッション作成要求に基づいてUDMに向けてSMFが生成したSMF登録要求のシグナリングストームとが原因で、過負荷になる可能性があり、これは、正当な加入者に対するサービス拒否攻撃につながる。
図4は、アウトバウンドローミング加入者に対してハッカーが送信する偽のPDUセッション確立要求を示す、シグナリングメッセージフロー図である。図4を参照すると、ライン1において、偽のSMF108Cによって示される、SMFを装った攻撃者が、PDU確立要求を、ホームSEPP126Aに送信する。PDUセッション確立要求は、SUPIまたはSUCIと、サービングPLMN IDと、アクセスタイプとを含む。これらのパラメータは、偽のSMF108Cが実際のアウトバウンドローミング加入者にサービスしていないので、偽またはなりすましである可能性がある。PDUセッション確立要求について3GPP定義セキュリティ手順がないので、ホームSEPP126Aは、PDUセッション確立要求に存在するパラメータ値のうちの1つ以上を調べることによって要求が偽であるか否かを判断するためのPDUセッション確立要求のスクリーニングを行わない。
ライン2において、ホームSEPP126Aは、偽のPDUセッション確立要求をホームSMF108Aに転送する。ライン3において、ホームSMF108Aは、ホームUDM104Aとの間でシグナリングすることにより、SMF登録およびサブスクリプションデータを取得する。ライン4において、ホームSMF108Aは、PDUセッション確立応答を生成しホームSEPP126Aに送信する。ホームSMF108AおよびホームUDM104Aのリソースは、偽のPDUセッション確立要求の処理によって消費される。ライン5において、ホームSEPP126Aは、PDUセッション確立応答を偽のSMF108Cに送信する。
偽のSMF108Cは、図4に示されるもののようなPDUセッション確立要求のストームを送信することができ、ホームSMF108AおよびホームUDM104Aを圧倒することになるであろう。事前の登録データに基づいた、PDUセッション確立要求に対するセキュリティチェックは、実行されない。これらのタイプの攻撃を回避するために、本明細書に記載されている主題は、UECM登録から抽出されたデータと、アウトバウンドローミング加入者に対するPDUセッション作成メッセージとを相関させることにより、ステートフルなセキュリティ対策を実装するSEPPを含む。ホームネットワークSEPPは、UE登録プロセス中に訪問先ネットワークAMFからNudm_UECM_Registration_Requestメッセージを受信すると、データベースにレコードを格納する。このレコードにおいて、ホームSEPPは、SUPI、訪問先ネットワークPLMN ID、およびアクセスタイプを含み得る。PDUセッション確立メッセージが受信されると、ホームネットワークSEPPは、SUPIまたはSUCIに基づいてデータベース内でルックアップを実行することができる。レコードが見つからない場合またはPLMN IDまたはアクセスタイプの間に不整合がある場合、SEPPは、PDUセッション作成要求を攻撃メッセージとしてマークし、メッセージを拒否または破棄する。
図5は、ホームSEPP126Aが、事前のUE登録データを使用して攻撃者からの偽のPDUセッション確立要求をブロックすることを示す、メッセージフロー図である。図5を参照すると、ライン1において、実際の加入者が訪問先AMF110Bに登録するとき、訪問先AMF110Bは、Nudm_UECM_Registration_Requestメッセージを、訪問先SEPP126Bを介して加入者のホームネットワークに送信する。ライン2において、訪問先SEPP126Bは、Nudm_UECM_Registration_RequestメッセージをホームSEPP126Aを介してホームネットワークに送信する。ホームSEPP126Aは、Nudm_UECM_Registration_Requestメッセージから抽出されたSUPI、VPLMN ID、およびアクセスタイプを含むレコードを、SEPPセキュリティデータベース500内に作成する。ライン3において、ホームSEPP126Aは、Nudm_UECM_Registration_RequestメッセージをホームUDM104Aに転送する。ライン4~ライン6において、UDM104Aは、Nudm_UECM_Registration_Responseメッセージを訪問先AMF110Bに送信する。
メッセージフロー図のライン7において、偽のSMF108Cは、偽のPDUセッション確立要求をホームネットワークに送信する。ホームSEPP126Aは、偽のPDUセッション確立要求を受信し、SEPPセキュリティデータベース500においてルックアップを実行する。SUPIレコードが見つからない場合、またはレコードが見つかり、VPLMN IDまたはアクセスタイプが、同じSUPIの既存のレコードのVPLMN IDおよびアクセスタイプと一致しない場合、ホームSEPP126Aは、PDUセッション確立要求を認めず、ホームSMF122AおよびホームUDM104Aを、攻撃によって引き起こされる不要な処理から保護する。ライン8において、ホームSEPP126Aは、PDUセッション確立エラーメッセージを偽のSMF108Cに送信する。したがって、ホームSEPP126Aは、登録チェックを使用して、ホームネットワークのエッジにおける偽のPDUセッション確立要求をブロックし、ホームSMF122AおよびホームUDM104Aを攻撃シグナリングトラフィックから保護することにより、偽のSMFからのシグナリングストームの影響を減じることができる。
図6は、アウトバウンドローミング加入者のセキュリティチェックを実行するための、例示されるホームネットワークSEPPを示すブロック図である。図6を参照すると、ホームSEPP126Aは、少なくとも1つのプロセッサ600およびメモリ602を含む。ホームSEPP126Aはさらに、メモリ602に格納されプロセッサ600によって実行可能なコンピュータ実行可能命令を使用して実装されてもよい、SEPPローミングセキュリティコントローラ604を含む。ホームSEPP126Aはまた、アウトバウンドローミング加入者に対する登録メッセージから導出されサービス拒否攻撃の一部の可能性がある偽のPDUセッション確立要求をブロックするために使用されるレコードを記憶する、SEPPセキュリティデータベース500を含む。SEPPローミングセキュリティコントローラ604は、アウトバウンドローミング加入者に関する登録メッセージを受信し、メッセージから登録情報を抽出し、SEPPセキュリティデータベース500内にアウトバウンドローミングUE登録レコードを作成するために登録情報を使用することができる。そのようなレコードは、SUCIおよび/またはSUPIと、VPLMN IDと、アクセスタイプとを含み得る。以下に示される表1は、データベース500内に作成することができるUE登録レコードの一例を示す。
Figure 2023534467000002
表1において、アウトバウンドローミング加入者登録レコードは、PDUセッション確立メッセージ等の後続のメッセージが正当であるか否かを検証するために使用可能なパラメータを含む。示されている例において、これらのパラメータは、SUPIまたはSUCIと、VPLMN IDと、アクセスタイプとを含む。Nudm_UECM_Registration_Requestメッセージから導出される追加のまたは代替のパラメータを、本明細書に記載されている主題の範囲から逸脱することなく使用できることが、理解される。ホームネットワークのリソースを圧倒しようとする攻撃者は、正当なUE登録情報にアクセスできない可能性がある。その結果、ホームSEPP126Aが、データベース500のルックアップを実行し、一致するレコードの場所を特定できない場合、偽の加入者に対するPDUセッション確立要求は、ホームSEPPによってブロックされ、ホームネットワークに入ることが阻止される。
図7は、SEPPを使用して5Gローミングセキュリティ攻撃を緩和するための、例示されるプロセスを示すフローチャートである。図7を参照すると、ステップ700において、このプロセスは、ホームSEPPにおいて、アウトバウンドローミング加入者に対するUE登録メッセージを受信することを含む。たとえば、ホームSEPP126Aは、アウトバウンドローミング加入者に対するNudm_UE_Registration_Requestメッセージを受信することができる。Nudm_UE_Registration_Requestメッセージは、SUPIまたはSUCIと、サービングPLMN IDと、アクセスタイプとを含み得る。Nudm_UE_Registration_Requestメッセージは、加入者がローミングしているネットワーク内に位置するAMFから生じるものであってもよい。
ステップ702において、このプロセスは、SEPPセキュリティデータベース内のUE登録メッセージから導出された情報を使用して、SEPPセキュリティデータベース500内にUEローミング登録レコードを作成することを含む。たとえば、ホームSEPP126Aは、Nudm_UE_Registration_Requestメッセージから取得した、SUPIまたはSUCIと、VPLMN IDと、アクセスタイプとを含む、上記表1に示されたレコードのようなUEローミング登録レコードを作成することができる。
ステップ704において、このプロセスは、PDUセッション確立要求を受信することを含む。たとえば、ホームSEPP126Aは、正当なアウトバウンドローミング加入者にサービスする本物のSMFから、または本物のSMFを装った攻撃者から、PDUセッション確立要求を受信し得る。
ステップ706において、このプロセスは、PDUセッション確立要求からの1つ以上のパラメータを使用して、一致するUEローミング登録レコードに対し、SEPPセキュリティデータベースにおいてルックアップを実行することを含む。たとえば、SEPPローミングセキュリティコントローラ604は、PDUセッション確立要求からSUPIまたはSUCIを抽出し、SUPIまたはSUCIを使用してSEPPセキュリティデータベース500においてルックアップを実行することができる。
ステップ708において、このプロセスは、レコードが発見されたか否かを判断することを含む。たとえば、SEPPローミングセキュリティコントローラ604は、SUPIまたはSUCIに対応するレコードがローミングセキュリティデータベース500から出るか否かを判断することができる。
レコードが見つからない場合、制御はステップ710に進み、PDUセッション確立要求は偽者として拒否される。PDUセッション確立要求の拒否は、ホームSEPP126Aで発生し得るものであり、ホームネットワーク内のホームUDM104AおよびホームSMF122A等のノードに、偽のPDUセッション確立要求が影響を及ぼすことを防止することができる。偽のPDUセッション確立要求を拒否することは、偽のPDUセッション確立要求を破棄することと、送信者にエラーメッセージを送信することとを含み得る。
ステップ708に戻り、PDUセッション確立要求からのSUPIまたはSUCIに対応するレコードがSEPPセキュリティデータベース500内において見つかった場合、制御はステップ712に進み、一致するUE登録情報をレコードが含むか否かが判断される。たとえば、ホームSEPP126Aのローミングセキュリティコントローラ604は、PDUセッション確立要求内のSUPIまたはSUCIに対応するレコードの場所を特定することができる。PDUセッション確立要求内の残りのパラメータがレコード内の対応するパラメータと一致する場合、制御はステップ714に進み、PDUセッション確立要求がホームネットワークに入ることを許可される。そのような場合、ホームSEPP126Aは、PDUセッション確立要求をホームSMF108Aに転送することができる。ホームSMF108Aは、ホームUDM104Aから対応する登録情報を取得することができる。ホームSMF108Aは、PDUセッション確立の成功を示すメッセージをホームSEPP126Aに送信することにより、PDUセッション確立要求に応答することができる。ホームSEPP126Aは、PDUセッション確立応答を訪問先ネットワークに転送することができる。訪問先ネットワークにおいて、PDUセッション確立応答は、加入者が現在登録されているAMFに転送される。
ステップ712において、PDUセッション確立要求内のパラメータが、データベース500内の対応するレコード内のパラメータと一致しない場合、制御はステップ710に進み、要求されたPDUセッション確立は拒否される。図7のプロセスは、正当なアウトバウンドローミング加入者からのPDUセッション確立要求を受け入れつつ、サービス拒否攻撃からホームネットワークを保護するために継続的に実行されてもよい。
提案されている解決策は、SEPPを使用する偽のPDUセッション確立要求を通じて開始されるDoSセキュリティ攻撃を緩和する。この解決策は、PDUセッション確立およびSMF登録メッセージを扱うホームネットワークSMFおよびUDMが過負荷になる可能性を減じる。この解決策は、偽のPDUセッション確立要求によって引き起こされるSMFおよびUDMにおける不必要な後続のシグナリングトラフィックを回避してリソースを解放する。
提案されている解決策は、SEPPにおいて提案されたセキュリティ対策を使用して、アウトバウンドローミング加入者に関連するUECM登録およびPDUセッション作成シグナリングを相関させることにより、MNOが、アウトバウンドローミング加入者に対するローミングPDUセッション作成シグナリングに起因するDoS攻撃を緩和し、5GコアNF(SMFおよびUDM)を保護することを、可能にする。
以下の参考文献の各々の開示の全体を、本明細書に引用により援用する。
参考文献
3GPP TS 33.501, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 16) V16.2.0, (2020-03)
3GPP TS 33.517, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 5G Security Assurance Specification (SCAS) for the Security Edge Protection Proxy (SEPP) network product class (Release 16) V16.1.0 (2019-12)
3GPP TS 23.502, Technical Specification Group Services and System Aspects; Procedures for the 5G System (5Gs), Stage 2, (Release 16) V16.4.0 (2020-03)
ここに開示されている主題のさまざまな詳細はここに開示されている主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、これまでの記述は、限定のためではなく、説明のみを目的としている。

Claims (20)

  1. セキュリティエッジ保護プロキシ(SEPP)を使用して5Gローミング攻撃を緩和するための方法であって、前記方法は、
    SEPPにおいて、アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信するステップと、
    SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成するステップと、
    前記SEPPにおいて、パケットデータユニット(PDU)セッション確立要求メッセージを受信するステップと、
    前記PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、前記SEPPセキュリティデータベースにおいてルックアップを実行するステップと、
    前記SEPPが、前記ルックアップの結果に基づいて、前記PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップとを含む、方法。
  2. 前記アウトバウンドローミング加入者に対する前記UE登録メッセージを受信するステップは、前記アウトバウンドローミング加入者にサービスを提供するアクセス管理メッセージ(AMF)およびセッション管理機能(SMF)からNudm_UECM_Registrationメッセージを受信することを含む、請求項1に記載の方法。
  3. 前記SEPPセキュリティデータベース内にレコードを作成するステップは、サブスクリプション永久識別子(SUPI)またはサブスクリプション隠蔽識別子(SUCI)と、サービングパブリックランドモバイルネットワーク(PLMN)IDと、アクセスタイプとを各々が含むレコードを作成することを含む、請求項1または2に記載の方法。
  4. PDUセッション確立要求メッセージを受信するステップは、SUPIまたはSUCIと、PLMN IDと、アクセスタイプとを含むPDUセッション確立要求メッセージを受信することを含む、請求項3に記載の方法。
  5. 前記SEPPセキュリティデータベースにおいてルックアップを実行するステップは、前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIを使用して前記ルックアップを実行することを含む、請求項4に記載の方法。
  6. 前記方法は、前記SEPPセキュリティデータベースにおいて前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIに対応するレコードの場所の特定に失敗するステップを含み、前記PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップは、前記PDUセッション確立要求メッセージを拒否すると判断することを含み、前記方法は、前記PDUセッション確立要求メッセージを拒否するステップをさらに含む、請求項5に記載の方法。
  7. 前記方法は、前記SEPPセキュリティデータベースにおいて前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIに対応するレコードの場所を特定するステップと、前記レコード内のPLMN IDまたはアクセスタイプが前記PDUセッション確立要求メッセージ内の前記PLMN IDまたは前記アクセスタイプと一致しないと判断するステップとを含み、前記PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップは、前記PDUセッション確立要求メッセージを拒否すると判断することを含み、前記方法は、前記PDUセッション確立要求メッセージを拒否するステップをさらに含む、請求項5に記載の方法。
  8. 前記PDUセッション確立要求メッセージを拒否するステップは、前記PDUセッション確立要求メッセージを破棄することと、PDUセッション確立エラー応答を送信することとを含む、請求項7に記載の方法。
  9. 前記方法は、前記SEPPセキュリティデータベースにおいて前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIに対応するレコードの場所を特定するステップと、前記レコード内のPLMN IDおよびアクセスタイプが前記PDUセッション確立要求メッセージ内の前記PLMN IDおよび前記アクセスタイプと一致すると判断するステップとを含み、前記PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップは、前記PDUセッション確立要求メッセージを受け入れると判断することを含み、前記方法は、前記PDUセッション確立要求メッセージを受け入れるステップをさらに含む、請求項5に記載の方法。
  10. 前記PDUセッション確立要求メッセージを受け入れるステップは、前記PDUセッション確立要求メッセージを前記SEPPからホームセッション管理機能(hSMF)に転送することを含む、請求項9に記載の方法。
  11. 5Gローミング攻撃を緩和するためのシステムであって、前記システムは、
    少なくとも1つのプロセッサとメモリとを含むセキュリティエッジ保護プロキシ(SEPP)と、
    前記メモリに実装されたSEPPセキュリティデータベースと、
    前記少なくとも1つのプロセッサによって実装されたSEPPローミングセキュリティコントローラとを備え、前記SEPPローミングセキュリティコントローラは、
    アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信し、
    前記SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成し、
    パケットデータユニット(PDU)セッション確立要求メッセージを受信し、
    前記PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、前記SEPPセキュリティデータベースにおいてルックアップを実行し、
    前記SEPPにより、前記ルックアップの結果に基づいて、前記PDUセッション確立要求メッセージを受け入れるか拒否するかを判断する、システム。
  12. 前記SEPPローミングセキュリティコントローラは、前記アウトバウンドローミング加入者にサービスを提供するアクセス管理機能(AMF)およびセッション管理機能(SMF)からNudm_UECM_Registrationメッセージを受信するように構成される、請求項11に記載のシステム。
  13. 前記SEPPローミングセキュリティコントローラは、前記SEPPセキュリティデータベース内にレコードを作成するように構成され、各レコードは、サブスクリプション永久識別子(SUPI)またはサブスクリプション隠蔽識別子(SUCI)と、サービングパブリックランドモバイルネットワーク(PLMN)IDと、アクセスタイプとを含む、請求項11または12に記載のシステム。
  14. 前記PDUセッション確立要求メッセージは、SUPIまたはSUCIと、PLMN IDと、アクセスタイプとを含む、請求項13に記載のシステム。
  15. 前記SEPPローミングセキュリティコントローラは、前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIを使用して、前記SEPPセキュリティデータベースにおいてルックアップを実行するように構成される、請求項14に記載のシステム。
  16. 前記SEPPローミングセキュリティコントローラは、前記SEPPセキュリティデータベースにおいて前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIに対応するレコードの場所の特定に失敗したことに応じて、前記PDUセッション確立要求メッセージを拒否するように構成される、請求項15に記載のシステム。
  17. 前記SEPPローミングセキュリティコントローラは、前記SEPPセキュリティデータベースにおいて、前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIに対応するレコードの場所を特定し、前記レコード内のPLMN IDまたはアクセスタイプが前記PDUセッション確立要求メッセージ内の前記PLMN IDまたは前記アクセスタイプと一致しないと判断したことに応じて、前記PDUセッション確立要求メッセージを拒否するように構成される、請求項15に記載のシステム。
  18. 前記SEPPローミングセキュリティコントローラは、前記PDUセッション確立要求メッセージを破棄しPDUセッション確立エラー応答を送信することにより、前記PDUセッション確立要求メッセージを拒否するように構成される、請求項17に記載のシステム。
  19. 前記SEPPローミングセキュリティコントローラは、前記SEPPセキュリティデータベースにおいて前記PDUセッション確立要求メッセージからの前記SUPIまたはSUCIに対応するレコードの場所を特定したことに応じて、前記レコード内のPLMN IDおよびアクセスタイプが前記PDUセッション確立要求メッセージ内の前記PLMN IDおよび前記アクセスタイプと一致すると判断し、前記PDUセッション確立要求メッセージを受け入れるように構成され、前記PDUセッション確立要求メッセージを受け入れることは、前記PDUセッション確立要求メッセージを前記SEPPからホームセッション管理機能(hSMF)に転送することを含む、請求項15に記載のシステム。
  20. コンピュータのプロセッサによって実行されるとステップを実行するように前記コンピュータを制御する実行可能命令が格納された非一時的なコンピュータ読取可能媒体であって、前記ステップは、
    セキュリティエッジ保護プロキシ(SEPP)において、アウトバウンドローミング加入者に対するユーザ機器(UE)登録メッセージを受信するステップと、
    SEPPセキュリティデータベース内に、UE登録メッセージから導出されるUEローミング登録レコードを作成するステップと、
    前記SEPPにおいて、パケットデータユニット(PDU)セッション確立要求メッセージを受信するステップと、
    前記PDUセッション確立要求メッセージから抽出された少なくとも1つのパラメータ値を使用して、UEローミング登録レコードに対し、前記SEPPセキュリティデータベースにおいてルックアップを実行するステップと、
    前記SEPPが、前記ルックアップの結果に基づいて、前記PDUセッション確立要求メッセージを受け入れるか拒否するかを判断するステップとを含む、非一時的なコンピュータ読取可能媒体。
JP2023502774A 2020-07-14 2021-03-24 セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 Active JP7466053B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/929,048 US11553342B2 (en) 2020-07-14 2020-07-14 Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US16/929,048 2020-07-14
PCT/US2021/024002 WO2022015378A1 (en) 2020-07-14 2021-03-24 Methods, systems, and computer readable media for mitigating 5g roaming security attacks using security edge protection proxy (sepp)

Publications (2)

Publication Number Publication Date
JP2023534467A true JP2023534467A (ja) 2023-08-09
JP7466053B2 JP7466053B2 (ja) 2024-04-11

Family

ID=75478346

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023502774A Active JP7466053B2 (ja) 2020-07-14 2021-03-24 セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体

Country Status (5)

Country Link
US (1) US11553342B2 (ja)
EP (1) EP4183154A1 (ja)
JP (1) JP7466053B2 (ja)
CN (1) CN115699840A (ja)
WO (1) WO2022015378A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
KR20220122555A (ko) * 2021-02-26 2022-09-02 시니버스 테크놀로지스, 엘엘씨 Ipx 네트워크에서 5g 코어 로밍 라우팅을 구현하는 방법
US20220353263A1 (en) * 2021-04-28 2022-11-03 Verizon Patent And Licensing Inc. Systems and methods for securing network function subscribe notification process
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries
US11974134B2 (en) * 2022-01-28 2024-04-30 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network

Family Cites Families (208)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE508514C2 (sv) 1997-02-14 1998-10-12 Ericsson Telefon Ab L M Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem
US6151503A (en) 1997-12-17 2000-11-21 Lucent Technologies Inc. Subscriber activated wireless telephone call rerouting system
US6308075B1 (en) 1998-05-04 2001-10-23 Adc Telecommunications, Inc. Method and apparatus for routing short messages
JP3049056B1 (ja) 1998-07-02 2000-06-05 日本電気通信システム株式会社 移動体通信網の加入者デ―タ制御方法
US6343215B1 (en) 1998-11-10 2002-01-29 Lucent Technologies, Inc ANSI 41 dialed number validation
US6292666B1 (en) 1999-05-06 2001-09-18 Ericsson Inc. System and method for displaying country on mobile stations within satellite systems
CA2312012A1 (en) 1999-06-30 2000-12-30 Lucent Technologies Inc. Transaction notification system and method
DE59912688D1 (de) 1999-11-17 2005-11-24 Swisscom Mobile Ag Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz
FI110975B (fi) 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US6990347B2 (en) 2000-03-07 2006-01-24 Tekelec Methods and systems for mobile application part (MAP) screening
TW589855B (en) 2000-05-15 2004-06-01 Ntt Docomo Inc Authentication system and method
EP1213931A3 (de) 2000-12-05 2003-03-19 Siemens Aktiengesellschaft Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz
US7333482B2 (en) 2000-12-22 2008-02-19 Interactive People Unplugged Ab Route optimization technique for mobile IP
AUPR441401A0 (en) 2001-04-12 2001-05-17 Gladwin, Paul Utility usage rate monitor
US20090168719A1 (en) * 2001-10-11 2009-07-02 Greg Mercurio Method and apparatus for adding editable information to records associated with a transceiver device
EP1304897A1 (en) 2001-10-22 2003-04-23 Agilent Technologies, Inc. (a Delaware corporation) Methods and apparatus for providing data for enabling location of a mobile communications device
US7644436B2 (en) 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7068999B2 (en) 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US20100240361A1 (en) 2002-08-05 2010-09-23 Roamware Inc. Anti-inbound traffic redirection system
US7729686B2 (en) 2003-04-02 2010-06-01 Qualcomm Incorporated Security methods for use in a wireless communications system
US7043754B2 (en) 2003-06-12 2006-05-09 Michael Arnouse Method of secure personal identification, information processing, and precise point of contact location and timing
US8121594B2 (en) 2004-02-18 2012-02-21 Roamware, Inc. Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register
US7567661B1 (en) 2003-12-31 2009-07-28 Nortel-Networks Limited Telephony service information management system
GB0406119D0 (en) 2004-03-18 2004-04-21 Telsis Holdings Ltd Telecommunications services apparatus and method
WO2005101872A1 (en) 2004-04-14 2005-10-27 Nooren Consulting B.V. Method for preventing the delivery of short message service message spam
US7403537B2 (en) 2004-04-14 2008-07-22 Tekelec Methods and systems for mobile application part (MAP) screening in transit networks
US7319857B2 (en) 2004-09-13 2008-01-15 Tekelec Methods, systems, and computer program products for delivering messaging service messages
IES20040693A2 (en) 2004-10-14 2006-04-19 Anam Mobile Ltd A messaging system and method
US7870201B2 (en) 2004-12-03 2011-01-11 Clairmail Inc. Apparatus for executing an application function using a mail link and methods therefor
US20060211406A1 (en) 2005-03-17 2006-09-21 Nokia Corporation Providing security for network subscribers
US8867575B2 (en) 2005-04-29 2014-10-21 Jasper Technologies, Inc. Method for enabling a wireless device for geographically preferential services
WO2007004224A1 (en) 2005-07-05 2007-01-11 Mconfirm Ltd. Improved location based authentication system
US20070174082A1 (en) 2005-12-12 2007-07-26 Sapphire Mobile Systems, Inc. Payment authorization using location data
US7881192B2 (en) 2006-01-13 2011-02-01 Futurewei Technologies, Inc. System for providing aggregate-rate communication services
US7817550B2 (en) 2006-01-13 2010-10-19 Futurewei Technologies, Inc. System for rate-control of aggregate-rate communication services
US20070168432A1 (en) 2006-01-17 2007-07-19 Cibernet Corporation Use of service identifiers to authenticate the originator of an electronic message
EP1835686B1 (en) 2006-03-13 2015-12-23 Vodafone Group PLC Method of providing access to an IP multimedia subsystem based on provided access network data.
US7539133B2 (en) 2006-03-23 2009-05-26 Alcatel-Lucent Usa Inc. Method and apparatus for preventing congestion in load-balancing networks
US20070248032A1 (en) 2006-04-21 2007-10-25 Subramanian Vasudevan Method of providing route update messages and paging access terminals
US8121624B2 (en) 2006-07-25 2012-02-21 Alcatel Lucent Message spoofing detection via validation of originating switch
JP4174535B2 (ja) 2006-08-22 2008-11-05 Necインフロンティア株式会社 無線端末を認証する認証システム及び認証方法
US8145234B1 (en) 2006-09-13 2012-03-27 At&T Mobility Ii Llc Secure user plane location (SUPL) roaming
WO2008037638A1 (en) 2006-09-27 2008-04-03 Nokia Siemens Networks Gmbh & Co. Kg Intelligent location tracking based on predictive modelling
EP2080673B1 (en) 2006-11-02 2014-03-12 Panasonic Corporation Vehicle power supply device
US8929360B2 (en) * 2006-12-07 2015-01-06 Cisco Technology, Inc. Systems, methods, media, and means for hiding network topology
US8014755B2 (en) 2007-01-05 2011-09-06 Macronix International Co., Ltd. System and method of managing contactless payment transactions using a mobile communication device as a stored value device
US20080207181A1 (en) 2007-02-28 2008-08-28 Roamware Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication
US7916718B2 (en) 2007-04-19 2011-03-29 Fulcrum Microsystems, Inc. Flow and congestion control in switch architectures for multi-hop, memory efficient fabrics
EP1983787B1 (en) 2007-04-19 2012-11-28 Nokia Siemens Networks Oy Transmission and distribution of position- and/or network-related information from access networks
WO2008138440A2 (en) 2007-05-16 2008-11-20 Panasonic Corporation Methods in mixed network and host-based mobility management
US20090045251A1 (en) 2007-08-14 2009-02-19 Peeyush Jaiswal Restricting bank card access based upon use authorization data
CN101822080B (zh) 2007-10-09 2013-01-16 艾利森电话股份有限公司 用于提供对多个移动性管理协议的支持的技术
US8036660B2 (en) 2008-01-24 2011-10-11 Avaya Inc. Call-handling for an off-premises, telecommunications terminal with an installed subscriber identity module
US8255090B2 (en) 2008-02-01 2012-08-28 Energyhub System and method for home energy monitor and control
US20110063126A1 (en) 2008-02-01 2011-03-17 Energyhub Communications hub for resource consumption management
US8509074B1 (en) 2008-03-31 2013-08-13 Saisei Networks Pte Ltd System, method, and computer program product for controlling the rate of a network flow and groups of network flows
CN101471797B (zh) 2008-03-31 2012-05-30 华为技术有限公司 决策方法及系统和策略决策单元
WO2009134265A1 (en) 2008-05-01 2009-11-05 Lucent Technologies Inc Message restriction for diameter servers
CN101277541B (zh) 2008-05-22 2012-02-08 中兴通讯股份有限公司 一种Diameter路由实体转发消息的方法
US8255994B2 (en) 2008-08-20 2012-08-28 Sprint Communications Company L.P. Detection and suppression of short message service denial of service attacks
US9928379B1 (en) 2008-09-08 2018-03-27 Steven Miles Hoffer Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor
US8326265B2 (en) 2008-10-17 2012-12-04 Tekelec Netherlands Group, B.V. Methods, systems, and computer readable media for detection of an unauthorized service message in a network
US9038171B2 (en) 2008-10-20 2015-05-19 International Business Machines Corporation Visual display of website trustworthiness to a user
US8494364B2 (en) 2008-10-21 2013-07-23 Broadcom Corporation Supporting multi-dwelling units in passive optical networks
CN101742445A (zh) 2008-11-06 2010-06-16 华为技术有限公司 消息识别方法、装置及系统
US9344438B2 (en) 2008-12-22 2016-05-17 Qualcomm Incorporated Secure node identifier assignment in a distributed hash table for peer-to-peer networks
WO2010105099A2 (en) 2009-03-11 2010-09-16 Tekelec Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions
US8856869B1 (en) 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US8615217B2 (en) 2009-06-25 2013-12-24 Tekelec, Inc. Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices
US8965324B2 (en) 2009-07-08 2015-02-24 At&T Mobility Ii Llc E911 services using distributed nodes
US9818121B2 (en) 2009-07-31 2017-11-14 Visa International Space Association Mobile communications message verification of financial transactions
CA2777154C (en) 2009-10-09 2015-07-21 Consert Inc. Apparatus and method for controlling communications to and from utility service points
CN102656845B (zh) 2009-10-16 2015-04-01 泰克莱克股份有限公司 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质
KR20110055888A (ko) 2009-11-20 2011-05-26 삼성전자주식회사 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템
US8331929B2 (en) 2009-11-24 2012-12-11 At&T Mobility Ii Llc Mobility-based reselection scan scheduling
US20130102231A1 (en) 2009-12-30 2013-04-25 3M Innovative Properties Company Organic particulate loaded polishing pads and method of making and using the same
US8787174B2 (en) 2009-12-31 2014-07-22 Tekelec, Inc. Methods, systems, and computer readable media for condition-triggered policies
US20110173122A1 (en) 2010-01-09 2011-07-14 Tara Chand Singhal Systems and methods of bank security in online commerce
US8505081B2 (en) 2010-01-29 2013-08-06 Qualcomm Incorporated Method and apparatus for identity reuse for communications devices
US9185510B2 (en) 2010-03-03 2015-11-10 Tekelec, Inc. Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers
US20110225091A1 (en) 2010-03-12 2011-09-15 Franco Plastina Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information
US20110307381A1 (en) 2010-06-10 2011-12-15 Paul Kim Methods and systems for third party authentication and fraud detection for a payment transaction
CN101917698B (zh) 2010-08-20 2013-03-27 北京瑞格特软件技术有限公司 与3gpp协议兼容的提供移动设备用户信息的方法及系统
US8620263B2 (en) 2010-10-20 2013-12-31 Tekelec, Inc. Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control
US8396485B2 (en) 2010-11-09 2013-03-12 Apple Inc. Beacon-based geofencing
US8942747B2 (en) 2011-02-04 2015-01-27 Tekelec, Inc. Methods, systems, and computer readable media for provisioning a diameter binding repository
US20120203663A1 (en) 2011-02-07 2012-08-09 Carpadium Consulting Pty. Ltd. Method and apparatus for authentication utilizing location
US8433321B2 (en) 2011-02-09 2013-04-30 Renesas Mobile Corporation Method and apparatus for intelligently reporting neighbor information to facilitate automatic neighbor relations
US8693423B2 (en) 2011-02-16 2014-04-08 Tekelec, Inc. Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery
EP2695351B1 (en) 2011-04-04 2015-12-16 Telefonaktiebolaget L M Ericsson (publ) A method of and a support node for requesting registration of stationary user equipment in a cellular telecommunication system
WO2012158854A1 (en) 2011-05-16 2012-11-22 F5 Networks, Inc. A method for load balancing of requests' processing of diameter servers
US9713053B2 (en) 2011-07-06 2017-07-18 Mobileum, Inc. Network traffic redirection (NTR) in long term evolution (LTE)
JP5796396B2 (ja) 2011-08-04 2015-10-21 富士通株式会社 移動無線通信装置及びプログラム
US9860390B2 (en) 2011-08-10 2018-01-02 Tekelec, Inc. Methods, systems, and computer readable media for policy event record generation
US9060263B1 (en) 2011-09-21 2015-06-16 Cellco Partnership Inbound LTE roaming footprint control
CN103179504B (zh) 2011-12-23 2015-10-21 中兴通讯股份有限公司 用户合法性判断方法及装置、用户接入信箱的方法和系统
US20130171988A1 (en) 2012-01-04 2013-07-04 Alcatel-Lucent Canada Inc. Imsi mcc-mnc best matching searching
CN103209402B (zh) 2012-01-17 2018-03-23 中兴通讯股份有限公司 终端组可及性确定方法及系统
EP2675203B1 (en) 2012-06-11 2019-11-27 BlackBerry Limited Enabling multiple authentication applications
US9882950B2 (en) 2012-06-13 2018-01-30 All Purpose Networks LLC Methods and systems of an all purpose broadband network
US9015808B1 (en) 2012-07-11 2015-04-21 Sprint Communications Company L.P. Restricting mobile device services between an occurrence of an account change and acquisition of a security code
US9106428B2 (en) 2012-10-04 2015-08-11 Broadcom Corporation Multicast switching for distributed devices
EP2918140B1 (en) * 2012-11-07 2020-05-06 Provenance Asset Group LLC Proxy connection method and apparatus
US20150304220A1 (en) 2012-11-22 2015-10-22 Nec Corporation Congestion control system, control device, congestion control method and program
US9258257B2 (en) 2013-01-10 2016-02-09 Qualcomm Incorporated Direct memory access rate limiting in a communication device
US9462515B2 (en) 2013-01-17 2016-10-04 Broadcom Corporation Wireless communication system utilizing enhanced air-interface
US20140259012A1 (en) 2013-03-06 2014-09-11 Telefonaktiebolaget L M Ericsson (Publ) Virtual machine mobility with evolved packet core
US9774552B2 (en) 2013-03-14 2017-09-26 Qualcomm Incorporated Methods, servers and systems for verifying reported locations of computing devices
EP2979462B1 (en) 2013-03-29 2019-05-22 Mobileum Inc. Method and system for facilitating lte roaming between home and visited operators
US10115135B2 (en) 2013-07-03 2018-10-30 Oracle International Corporation System and method to support diameter credit control session redirection using SCIM/service broker
US20150038140A1 (en) 2013-07-31 2015-02-05 Qualcomm Incorporated Predictive mobility in cellular networks
US9191803B2 (en) 2013-09-04 2015-11-17 Cellco Partnership Connection state-based long term evolution steering of roaming
EP2854462B1 (en) 2013-09-27 2016-03-30 Telefonaktiebolaget LM Ericsson (publ) Handling of subscriber deregistration
US9485099B2 (en) 2013-10-25 2016-11-01 Cliqr Technologies, Inc. Apparatus, systems and methods for agile enablement of secure communications for cloud based applications
EP2887761B1 (en) 2013-12-19 2018-10-03 Vodafone Holding GmbH Verification method for the verification of a Connection Request from a Roaming Mobile Entity
US9686343B2 (en) 2013-12-31 2017-06-20 Amadeus S.A.S. Metasearch redirection system and method
EP3145228B1 (en) 2014-05-11 2019-03-06 LG Electronics Inc. Method and apparatus for signal transmission and reception of hss/mme in wireless communication system
US9450947B2 (en) 2014-05-20 2016-09-20 Motorola Solutions, Inc. Apparatus and method for securing a debugging session
JP6168415B2 (ja) 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
GB2545869A (en) 2014-09-22 2017-06-28 Globetouch Inc Trading exchange for local data services
WO2016060640A1 (en) 2014-10-13 2016-04-21 Empire Technology Development Llc Verification location determination for entity presence confirmation of online purchases
US9693219B2 (en) 2014-10-24 2017-06-27 Ibasis, Inc. User profile conversion to support roaming
DE102014117713B4 (de) 2014-12-02 2016-12-01 GSMK Gesellschaft für sichere mobile Kommunikation mbH Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle
US9445360B2 (en) 2014-12-17 2016-09-13 Verizon Patent And Licensing Inc. Method and system for providing global multiline roaming
KR20170122794A (ko) 2015-03-10 2017-11-06 어펌드 네트웍스, 인크. 정책 서버로부터의 향상된 리다이렉션 핸들링
WO2016153423A1 (en) 2015-03-25 2016-09-29 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
WO2016201352A1 (en) 2015-06-10 2016-12-15 Arris Enterprises Llc Code signing system with machine to machine interaction
CN106332067B (zh) 2015-06-19 2020-02-21 华为技术有限公司 防止无线网络中直径信令攻击的方法、装置和系统
US9538335B1 (en) 2015-07-22 2017-01-03 International Business Machines Corporation Inferring device theft based on historical location data
US9912486B1 (en) 2015-08-27 2018-03-06 Amazon Technologies, Inc. Countersigned certificates
EP3166345B1 (en) 2015-11-06 2022-03-30 Alcatel Lucent Support of mobile-terminated short message delivery for a user equipment in extended idle mode drx
US10292038B2 (en) 2015-11-09 2019-05-14 Lg Electronics Inc. Method for acquiring business operator network identification number of visited network
US10009751B2 (en) 2015-12-28 2018-06-26 Cisco Technology, Inc. Virtual mobility anchor for network sharing
US9628994B1 (en) 2015-12-30 2017-04-18 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. Statistical system and method for catching a man-in-the-middle attack in 3G networks
US10085067B2 (en) 2016-01-12 2018-09-25 Ppc Broadband, Inc. Network interface device with dynamic noise conditioning
GB2547472A (en) 2016-02-19 2017-08-23 Intercede Ltd Method and system for authentication
US10382948B2 (en) 2016-02-22 2019-08-13 Cisco Technology, Inc. Consolidated control plane routing agent
US9788325B2 (en) 2016-03-01 2017-10-10 Wipro Limited Methods and systems for radio carriers management in a wireless broadband network
US10218625B2 (en) 2016-03-30 2019-02-26 New York University Methods and apparatus for alleviating congestion at a switch, such as a shallow buffered switch
US10893069B2 (en) 2016-04-06 2021-01-12 Nokia Technologies Oy Diameter edge agent attack detection
US9681360B1 (en) * 2016-05-13 2017-06-13 Harris Corporation Managed access system that provides selective communications and registration of mobile wireless devices
US20170345006A1 (en) 2016-05-27 2017-11-30 Mastercard International Incorporated Systems and methods for location data verification
US11395092B2 (en) 2016-07-18 2022-07-19 Here Global B.V. Device location verification for updated map data
CN107800664B (zh) 2016-08-31 2021-06-15 华为技术有限公司 一种防止信令攻击方法及装置
GB2553765A (en) 2016-09-07 2018-03-21 Evolved Intelligence Ltd Mobile device roaming
US10764376B2 (en) 2016-10-18 2020-09-01 Cisco Technology, Inc. System and method for node selection based on mid-session and end-session event information
US10470154B2 (en) 2016-12-12 2019-11-05 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber location information
US10237721B2 (en) 2017-01-17 2019-03-19 Oracle International Corporation Methods, systems, and computer readable media for validating a redirect address in a diameter message
US10405184B2 (en) * 2017-01-31 2019-09-03 Harris Corporation Mobile wireless device managed access system providing enhanced authentication features and related methods
US10341411B2 (en) 2017-03-29 2019-07-02 Oracle International Corporation Methods, systems, and computer readable media for providing message encode/decode as a service
US10868893B2 (en) 2017-03-31 2020-12-15 Xilinx, Inc. Network interface device
WO2018202284A1 (en) 2017-05-03 2018-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Authorizing access to user data
US10212538B2 (en) 2017-06-28 2019-02-19 Oracle International Corporation Methods, systems, and computer readable media for validating user equipment (UE) location
US10616200B2 (en) * 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10021738B1 (en) 2017-09-05 2018-07-10 Syniverse Technologies, Llc Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks
CA3026841A1 (en) * 2017-12-08 2019-06-08 Comcast Cable Communications, Llc User plane function selection for isolated network slice
CN109699031B (zh) 2018-01-11 2020-03-20 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
CN110035433B (zh) * 2018-01-11 2024-03-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
US10548004B2 (en) 2018-02-15 2020-01-28 Nokia Technologies Oy Security management in communication systems between security edge protection proxy elements
US10791118B2 (en) 2018-03-29 2020-09-29 Mcafee, Llc Authenticating network services provided by a network
EP3547757A1 (en) 2018-03-30 2019-10-02 InterDigital CE Patent Holdings Wireless access point and method for providing backup network connections
US10992580B2 (en) 2018-05-07 2021-04-27 Cisco Technology, Inc. Ingress rate limiting in order to reduce or prevent egress congestion
EP3791537A4 (en) 2018-05-09 2022-01-19 Nokia Technologies Oy SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM
US20210203643A1 (en) 2018-05-21 2021-07-01 Telefonaktiebolaget Lm Ericsson (Publ) Message Transmission between Core Network Domains
WO2019228832A1 (en) 2018-06-01 2019-12-05 Nokia Technologies Oy A method for message filtering in an edge node based on data analytics
US10931668B2 (en) 2018-06-29 2021-02-23 Oracle International Corporation Methods, systems, and computer readable media for network node validation
US10306459B1 (en) 2018-07-13 2019-05-28 Oracle International Corporation Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP)
JP7078850B2 (ja) 2018-07-23 2022-06-01 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
US20210234706A1 (en) 2018-08-10 2021-07-29 Nokia Technologies Oy Network function authentication based on public key binding in access token in a communication system
CN112567833A (zh) 2018-08-13 2021-03-26 苹果公司 使用用户设备(ue)标识符以在第五代(5g)系统中注册
US10511998B1 (en) 2018-08-29 2019-12-17 Syniverse Technologies, Llc System and method for identifying false short message service (SMS) delivery reports
US10834591B2 (en) 2018-08-30 2020-11-10 At&T Intellectual Property I, L.P. System and method for policy-based extensible authentication protocol authentication
EP3847782A4 (en) 2018-09-06 2022-05-04 Nokia Technologies Oy AUTOMATED ROAMING QoS OF SERVICE ARRANGEMENTS BETWEEN NETWORK OPERATORS VIA SECURITY EDGE PROTECTION PROXIES IN A COMMUNICATION SYSTEMS ENVIRONMENT
CN116801423A (zh) 2018-09-19 2023-09-22 华为技术有限公司 策略控制方法、设备及系统
US10574670B1 (en) * 2018-09-27 2020-02-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
US10728875B2 (en) 2018-10-02 2020-07-28 Google Llc Scanning frequency selection for a wireless device
EP4060963A1 (en) 2018-11-05 2022-09-21 Telefonaktiebolaget LM Ericsson (publ) Fully qualified domain name handling for service interactions in 5g
US10680964B1 (en) 2018-11-26 2020-06-09 Mellanox Technologies Tlv Ltd. Rate limiting in a multi-chassis environment by exchanging information between peer network elements
US11134430B2 (en) 2018-12-10 2021-09-28 At&T Intellectual Property I, L.P. System and method for detecting and acting upon a violation of terms of service
US20200259896A1 (en) 2019-02-13 2020-08-13 Telefonaktiebolaget Lm Ericsson (Publ) Industrial Automation with 5G and Beyond
WO2020164763A1 (en) 2019-02-13 2020-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatuses for alternative data over non-access stratum, donas, data delivery in a roaming scenario
JP7259977B2 (ja) 2019-03-01 2023-04-18 日本電気株式会社 端末、方法、及びプログラム
CN111436081B (zh) * 2019-03-06 2023-06-30 维沃移动通信有限公司 数据传送的保障方法及通信设备
CN111800777B (zh) * 2019-04-08 2021-08-03 华为技术有限公司 一种漫游数据处理方法、装置及系统
US10952063B2 (en) 2019-04-09 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening
WO2020221956A1 (en) 2019-04-27 2020-11-05 Nokia Technologies Oy Service authorization for indirect communication in a communication system
US11140555B2 (en) 2019-06-18 2021-10-05 Cisco Technology, Inc. Location-based identification of potential security threat
US10834571B1 (en) * 2019-08-02 2020-11-10 Syniverse Technologies, Llc Steering of roaming for 5G core roaming in an internet packet exchange network
US11018971B2 (en) 2019-10-14 2021-05-25 Oracle International Corporation Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing
US11341082B2 (en) 2019-11-19 2022-05-24 Oracle International Corporation System and method for supporting target groups for congestion control in a private fabric in a high performance computing environment
US11503052B2 (en) 2019-12-19 2022-11-15 Radware, Ltd. Baselining techniques for detecting anomalous HTTPS traffic behavior
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
US11539628B2 (en) 2020-06-23 2022-12-27 Arista Networks, Inc. Automated configuration of policer parameters
DE102020116791A1 (de) 2020-06-25 2021-12-30 Technische Universität Dresden Vorrichtung und Verfahren zum computergestützten Verarbeiten von Daten
US11398956B2 (en) * 2020-07-16 2022-07-26 Cisco Technology, Inc. Multi-Edge EtherChannel (MEEC) creation and management
US11368412B2 (en) 2020-07-31 2022-06-21 Avago Technologies International Sales Pte. Limited Power throttle for network switches
US11790113B2 (en) 2020-08-12 2023-10-17 Apple Inc. Secure storage and retrieval of sensitive information
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
JP2023548372A (ja) 2020-11-06 2023-11-16 オラクル・インターナショナル・コーポレイション ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns

Also Published As

Publication number Publication date
EP4183154A1 (en) 2023-05-24
JP7466053B2 (ja) 2024-04-11
WO2022015378A1 (en) 2022-01-20
US11553342B2 (en) 2023-01-10
US20220022040A1 (en) 2022-01-20
CN115699840A (zh) 2023-02-03

Similar Documents

Publication Publication Date Title
JP7466053B2 (ja) セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11825310B2 (en) Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11832172B2 (en) Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11818570B2 (en) Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11751056B2 (en) Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
JP2024505791A (ja) 予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11528251B2 (en) Methods, systems, and computer readable media for ingress message rate limiting
US11516671B2 (en) Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
JP2023548372A (ja) ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体
CN116686313B (zh) 用于防止订户标识符泄露的方法、系统和计算机可读介质
WO2022235374A1 (en) Methods, systems, and computer readable media for single-use authentication messages
CN117859312A (zh) 通过验证过载控制信息来降低成功DoS攻击的可能性
US20220247779A1 (en) METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR MITIGATING DENIAL OF SERVICE (DoS) ATTACKS AT NETWORK FUNCTIONS (NFs)
US20230199497A1 (en) Methods, systems, and computer readable media for mitigating effects of access token misuse
US20240007858A1 (en) Methods, systems, and computer readable media for managing network function request messages at a security edge protection proxy
CN116458121A (zh) 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230511

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240401

R150 Certificate of patent or registration of utility model

Ref document number: 7466053

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150