JP2023543999A - セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 - Google Patents

セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 Download PDF

Info

Publication number
JP2023543999A
JP2023543999A JP2023519025A JP2023519025A JP2023543999A JP 2023543999 A JP2023543999 A JP 2023543999A JP 2023519025 A JP2023519025 A JP 2023519025A JP 2023519025 A JP2023519025 A JP 2023519025A JP 2023543999 A JP2023543999 A JP 2023543999A
Authority
JP
Japan
Prior art keywords
plmn
sepp
identifier
inter
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023519025A
Other languages
English (en)
Other versions
JPWO2022066228A5 (ja
Inventor
ラジプット,ジャイ
マハランク,シャシキラン・バラチャンドラ
チェラサミー,イヤッパン
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/095,420 external-priority patent/US11825310B2/en
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2023543999A publication Critical patent/JP2023543999A/ja
Publication of JPWO2022066228A5 publication Critical patent/JPWO2022066228A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

SERF PLMN間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法は、応答SERFが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子および/または第1のPLMN識別子を取得することを備える。方法はさらに、第1のSEPP識別子および/または第1のPLMN識別子を、ID相互検証データベースに格納することを備える。方法はさらに、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子および/または第2のPLMN識別子を取得することと、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、ID相互検証データベースにおいてルックアップを実行することと、ルックアップキーに対応するレコードがID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することとを備える。

Description

優先権の主張
本出願は、2020年12月21日出願の米国特許出願連続番号第17/129,441号、2020年11月11日出願の米国特許出願連続番号第17/095,420号、2020年11月2日出願のインド仮特許出願連続番号第202041047779号、および2020年9月25日出願のインド仮特許出願連続番号第202041041754号の優先権利益を主張し、それらの開示全体が引用により本明細書に援用される。
技術分野
本明細書に記載される主題は、5G通信ネットワークにおけるセキュリティの強化に関する。より詳細には、本明細書に記載される主題は、セキュリティエッジ保護プロキシ(security edge protection proxy:SEPP)パブリックランドモバイルネットワーク(public land mobile network:PLMN)間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
背景
5G通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサネットワーク機能(network function:NF)と呼ばれる。サービスを消費するネットワークノードは、コンシューマNFと呼ばれる。ネットワーク機能は、サービスを消費するか提供するかによって、プロデューサNFとコンシューマNFとの両方になることができる。
所与のプロデューサNFは、多くのサービスエンドポイントを有することがあり、サービスエンドポイントは、プロデューサNFがホストする1つまたは複数のNFインスタンス用の接点である。サービスエンドポイントは、インターネットプロトコル(internet protocol:IP)アドレスとポート番号との組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスとポート番号とに解決する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、2つ以上のNFインスタンスを含み得る。また、複数のNFインスタンスが同じサービスエンドポイントを共有できることに留意されたい。
プロデューサNFは、ネットワーク機能リポジトリ機能(network repository function:NRF)に登録する。NRFは、各NFインスタンスがサポートするサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するためにサブスクライブできる。
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するためにサブスクライブできる別のタイプのネットワークノードは、サービス通信プロキシ(service communications proxy:SCP)である。SCPは、NRFをサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性とサービスプロファイル情報とを取得する。コンシューマNFはサービス通信プロキシに接続し、サービス通信プロキシは、必要なサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを負荷分散するか、トラフィックを宛先のプロデューサNFインスタンスに直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノードのグループの他の例としては、セキュリティエッジ保護プロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュのノードが挙げられる。SEPPは、異なる5G パブリックランドモバイルネットワーク(PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPはすべてのアプリケーションプログラミングインターフェイス(application programming interface:API)メッセージに対して、メッセージフィルタリング、ポリシングおよびトポロジー隠蔽を実行する。
現在の5Gネットワークアーキテクチャに存在する脆弱性の1つは、SEPP間のインターフェイスであるN32インターフェイスで発生する。上述したように、SEPPはパブリックランドモバイルネットワーク(PLMN)のセキュリティ・スクリーニング・ノードとして機能する。N32制御すなわち32-cインターフェイスは、リモートSEPPとの制御メッセージの交換に使用される。N32-cインターフェイスでの通信の開始には、N32制御メッセージの交換用のトランスポート層セキュリティ(transport layer security:TLS)接続を確立するためのTLSハンドシェイク手順が含まれる。N32-cメッセージの交換後、N32転送またはN32-fインターフェイス用の2つ目のTLS接続を確立するために2つ目のTLSハンドシェイクが発生する。N32-fインターフェイスで行われる唯一の検証は、TLS証明書が有効であり、かつ信頼できる認証局によって発行されているかどうかである。その結果、ハッカーSEPPは本物のSEPPのIDを詐称し、SEPPによって保護されるPLMNと、転送インターフェイスで無許可のサービス通信を行うことができる。また、PLMN間転送インターフェイスを介して受信されたサービスメッセージには、PLMNの検証はない。
これらおよび他の困難に鑑みて、SEPP PLMN間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体が必要である。
概要
セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法は、応答SEPPが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することを備える。方法はさらに、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することを備える。方法はさらに、応答SEPPが、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することを備える。方法はさらに、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することを備える。方法はさらに、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することを備える。
本明細書に記載される主題の他の態様によると、PLMN間制御インターフェイスはN32-cインターフェイスcを含み、PLMN間転送インターフェイスはN32-fインターフェイスを含む。
本明細書に記載される主題の他の態様によると、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することは、N32-cインターフェイス用の第1のトランスポート層セキュリティ(TLS)接続を確立するためのTLSハンドシェイク中に、PLMN間制御インターフェイスを介して受信された第1のTLS証明書メッセージに含まれる第1の証明書から、第1のSEPP識別子を取得することを含む。
本明細書に記載される主題の他の態様によると、第1の証明書は、第1のX.509証明書を含む。
本明細書に記載される主題の他の態様によると、第1のSEPP識別子を取得することは、第1のX.509証明書のサブジェクト代替名拡張子から第1のSEPP識別子を抽出することを含む。
本明細書に記載される主題の他の態様によると、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することは、N32-fインターフェイス用の第2のTLS接続を確立するためのTLSハンドシェイク中に受信された第2のTLS証明書メッセージに含まれる第2の証明書から、第2のSEPP識別子を取得することを含む。
本明細書に記載される主題の他の態様によると、第2の証明書は、第2のX.509証明書を含む。
本明細書に記載される主題の他の態様によると、第2のSEPP識別子を取得することは、第2のX.509証明書のサブジェクト代替名拡張子から第2のSEPP識別子を抽出することを含む。
本明細書に記載される主題の他の態様によると、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから第1のSEPP識別子と第1のPLMN識別子とを取得することは、PLMN間制御インターフェイス用の第1のTLS接続を設定するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージから、第1のSEPP識別子を取得することと、第1のTLS接続を介して受信されたN32-cセキュリティ能力交換メッセージから、第1のPLMN識別子を取得することとを含み、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから第2のSEPP識別子と第2のPLMN識別子とを取得することは、PLMN間転送インターフェイス用の第2のTLS接続を設定するためのTLSハンドシェイク中に受信された第2のTLS認証メッセージから、第2のSEPP識別子を取得することと、第2のTLS接続を介して受信された5Gサービスメッセージから、第2のPLMN識別子を取得することとを含む。
本明細書に記載される主題の他の態様によると、ルックアップキーは、第2のSEPP識別子と第2のPLMN識別子とを含むタプルから構成される。
本明細書に記載される主題の他の態様によると、セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するためのシステムが提供される。システムは、少なくとも1つのプロセッサとメモリとを含むセキュリティエッジ保護プロキシ(SEPP)を備える。システムはさらに、メモリに存在するSEPP PLMN間転送インターフェイスID相互検証データベースを備える。システムはさらに、少なくとも1つのプロセッサによって実装されたPLMN間転送インターフェイスIDなりすまし緩和モジュールを備え、PLMN間転送インターフェイスIDなりすまし緩和モジュールは、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得し、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納し、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得し、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行し、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、SEPPによって保護されるPLMNに入ることを防止するように構成されている。
本明細書に記載される主題の他の態様によると、PLMN間転送インターフェイスIDなりすまし緩和モジュールは、第1のX.509証明書のサブジェクト代替名拡張子から第1のSEPP識別子を抽出するように構成されている。
本明細書に記載される主題の他の態様によると、第2の証明書は、第2のX.509証明書を含み、PLMN間転送インターフェイスIDなりすまし緩和モジュールは、X.509証明書のサブジェクト代替名拡張子から第2の識別子を抽出することによって、第2の識別子を取得するように構成されている。
本明細書に記載される主題の他の態様によると、コンピュータのプロセッサによって実行されるとステップを実行する実行可能な命令を格納した非一時的なコンピュータ読取可能媒体が提供される。ステップは、応答セキュリティエッジ保護プロキシ(SEPP)が、パブリックランドモバイルネットワーク間(PLMN間)制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することを含む。ステップはさらに、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することを含む。ステップはさらに、応答SEPPが、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することを含む。ステップはさらに、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することを含む。ステップはさらに、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することを含む。
本明細書で説明する主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実装することができる。そのため、本明細書で使用する「機能」、「ノード」または「モジュール」という用語は、説明する機能を実装するための、ソフトウェアコンポーネントおよび/またはファームウェアコンポーネントも含み得るハードウェアを指す。1つの例示的な実現例において、本明細書に記載される主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御するコンピュータ実行可能命令を格納したコンピュータ読取可能媒体を使用して実施され得る。本明細書に記載の主題を実施するのに適した例示的なコンピュータ読取可能媒体の例として、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路などの非一時的なコンピュータ読取可能媒体が挙げられる。さらに、本明細書に記載の主題を実施するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置してもよく、複数のデバイスまたはコンピューティングプラットフォーム間で分散されていてもよい。
次に、添付図面を参照しながら、本明細書に記載される主題について説明する。
例示的な5Gネットワークアーキテクチャを示すネットワーク図である。 2つのSEPPおよびこれらのSEPP間のインターフェイスを示すネットワーク図である。 TLSハンドシェイクにおいてクライアントとサーバとの間で交換される例示的なメッセージを示すメッセージフロー図である。 ハッカーがSEPPになりすました状態を示すネットワーク図である。 攻撃者SEPPがN32-fインターフェイス上で正規のSEPPになりすますことに成功した場合に、SEPP間で交換される例示的なメッセージを示すメッセージフロー図である。 N32-fインターフェイスで提示されたSEPPのIDのスクリーニングを示すメッセージフロー図である。 SEPP PLMN間転送インターフェイスにおけるなりすまし攻撃を緩和するためのSEPPの例示的なアーキテクチャを示すブロック図である。 SEPP PLMN間転送インターフェイスにおけるなりすまし攻撃を緩和するための例示的な方法を示すフローチャートである。
詳細な説明
本明細書に記載される主題は、SEPPのPLMN間転送インターフェイスにおける5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、NRF100およびSCP101を含み、これらは同じホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)に配置され得る。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが新しい/更新されたプロデューサNFサービスインスタンスの登録をサブスクライブし、これらが通知されることを許可し得る。また、SCP101は、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。さらに、本明細書に記載される方法論を使用して、SCP101は、優先NF位置ベースの選択およびルーティングを実行し得る。
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からNFもしくはサービスプロファイルまたはプロデューサNFインスタンスを取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標)(Third Generation Partnership Project)TS(Technical Specification)29.510で定義されたJSON(JavaScript(登録商標) Object notation)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(fully qualified domain name:FQDN)、インターネットプロトコル(Internet protocol:IP)バージョン4(IPv4)アドレスまたはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。図1では、(NRF100以外の)ノードのいずれかは、サービスを要求しているかまたは提供しているかに応じて、コンシューマNFまたはプロデューサNFのいずれかになり得る。図示された例では、ノードは、ネットワークにおいてポリシー関連の動作を実行するポリシー制御機能(policy control function:PCF)102と、ユーザデータを管理するユーザデータ管理(user data management:UDM)機能104と、アプリケーションサービスを提供するアプリケーション機能(application function:AF)106とを含む。図1に示すノードはさらに、アクセス・モビリティ管理機能(access and mobility management function:AMF)110とPCF102との間のセッションを管理するセッション管理機能(session management function:SMF)108を含む。AMF110は、4Gネットワークにおけるモビリティ管理エンティティ(mobility management entity:MME)によって実行されるものと同様のモビリティ管理動作を実行する。認証サーバ機能(authentication server function:AUSF)112は、ユーザ機器(user equipment:UE)114などの、ネットワークへのアクセスを求めるユーザ機器(UE)のための認証サービスを実行する。
ネットワークスライス選択機能(network slice selection function:NSSF)116は、ネットワークスライスに関連する特定のネットワーク機能および特性にアクセスしようとするデバイスのためのネットワークスライスサービスを提供する。ネットワーク公開機能(network exposure function:NEF)118は、ネットワークに接続されたIoT(Internet of things)デバイスおよび他のUEに関する情報を取得しようとするアプリケーション機能のためのアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力公開機能(service capability exposure function:SCEF)と同様の機能を実行する。
無線アクセスネットワーク(radio access network:RAN)120は、ユーザ機器(UE)114を無線リンクでネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1に示されていない)または他の無線アクセスポイントを使用してアクセスされ得る。ユーザプレーン機能(user plane function:UPF)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能をサポートすることができる。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(multipath transmission control protocol:MPTCP)プロキシ機能である。また、UPF122は、ネットワーク性能測定値を取得するためにUE114によって使用され得る性能測定機能をサポートし得る。また、図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(data network:DN)124が示されている。
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックに対してトポロジー隠蔽を実行する。SEPP126は、外部PLMNのためのセキュリティを管理する外部PLMNのSEPPと通信し得る。したがって、異なるPLMNのNF間のトラフィックは、2つのSEPP機能(一方はホームPLMN用、他方は外部PLMN用)を横断し得る。
上述したように、既存の5Gアーキテクチャの1つの問題は、SEPPのPLMN間転送インターフェイスに提示されるSEPPのIDまたはPLMNのIDの検証がないことである。PLMN間転送インターフェイスにおいてSEPPのIDまたはPLMNの検証がない場合、悪意のあるSEPPは、他のSEPPのIDまたはPLMNのIDを詐称し、転送インターフェイスを介して送信されるサービストラフィックを使用して、サービス拒否攻撃を含むセキュリティ攻撃を仕掛けようと試みることができる。応答SEPPは、PLMN間転送インターフェイスに提示されたSEPPのIDまたはPLMNのIDが、正当な開始SEPPおよび/またはPLMNからのものかどうかを検証しない。本明細書で使用される場合、「開始SEPP」という用語は、PLMN間制御インターフェイスおよびPLMN間転送インターフェイスでTLS接続を要求するSEPPを指す。「応答SEPP」という用語は、PLMN間制御インターフェイスおよびPLMN間転送インターフェイスでTLS接続の要求を受信するSEPPを指す。本明細書に記載の主題は、PLMN間転送インターフェイスで提示されたSEPPのIDをPLMN間制御インターフェイスで提示されたSEPPのIDと相互検証することによって、この難題および他の難題に対処する。
3GPPネットワークアーキテクチャでは、SEPPはPLMN間制御メッセージのプロキシである。3GPP TS 33.501によれば、SEPPは、メッセージ保護、相互認証、鍵管理、トポロジー隠蔽、アクセス制御、不正なN32シグナリングメッセージの破棄、レート制限、およびなりすまし防止を行う。本明細書に記載される主題は、N32-fインターフェイスでの通信についてのなりすまし防止の実装を含む。
図2は、SEPPおよびSEPP間のインターフェイスを示す図である。図2を参照すると、SEPP126AおよびSEPP126Bは、N32インターフェイスを介して通信する。N32インターフェイスは、N32-cインターフェイスとN32-fインターフェイスという2つの異なるインターフェイスを含む。N32-cインターフェイスは、初期ハンドシェイクを実行し、N32メッセージ転送中に適用するパラメータのネゴシエーションを行うためのSEPP間の制御プレーンインターフェイスである。N32-fインターフェイスは、アプリケーションレベルセキュリティ保護を適用した後にNFサービスコンシューマとNFサービスプロデューサとの間の通信を転送するために使用される、SEPP間の転送インターフェイスである。
図2には、N32インターフェイスに加えて、PRINSインターフェイスも示されている。PRINSインターフェイスは、1つまたは複数のIP交換(IPX)プロバイダ200および202を介してSEPP126Aと126Bとの間でメッセージを転送するために使用される。しかしながら、本明細書で説明する主題が対象とするのは、N32-c TLS接続およびN32-f TLS接続である。
安全な通信のために、N32-cインターフェイスとN32-fインターフェイスとで別々のTLS接続が確立される。図3は、TLS接続を確立するために使用されるTLSハンドシェイクにおけるクライアントとサーバとの間の例示的なメッセージ交換を示す図である。図3では、クライアントがサーバにClientHelloメッセージを送信する。サーバは次に、ServerHelloメッセージ、Certificateメッセージ、ServerKeyExchangeメッセージ、CertificateRequestメッセージおよびServerHelloDoneメッセージをクライアントに送信する。これらのメッセージに応答して、クライアントはサーバにCertificateメッセージ、ClientKeyExchangeメッセージ、CertificateVerifyメッセージおよびFinishedメッセージを送信する。本書で説明する応答SEPP(TLS接続確立の目的でサーバとして動作する)がX.509証明書を取得するために使用するのは、クライアントからサーバへの証明書メッセージである。開始SEPPのIDを確認するためのものである。一例では、N32-c通信用のTLS接続を確立するためのTLSハンドシェイクのX.509証明書から抽出された送信者のIDは、送信者のN32-f IDを相互検証するために使用され得る。上記のように、TLSハンドシェイクプロトコルは、IETF(Internet Engineering Task Force)RFC(Request for Comments)5246で定義されており、TLS接続の両端による証明書メッセージの交換を含む。証明書メッセージを含む、IETF RFC5246で定義されたTLSハンドシェイクメッセージの構造は、以下の通りである。
Figure 2023543999000002
TLSハンドシェイクメッセージ構造で示されるように、定義されたハンドシェイクメッセージタイプのうちの1つは証明書メッセージであり、送信者がクライアントとして機能しているかサーバとして機能しているかによって、クライアントまたはサーバの証明書を含む。N32-cインターフェイスを介して安全なTLS通信を確立する際に、TLS接続の両端が他方の端のX.509証明書の受信および検証を行う相互TLS、すなわちm-TLSが使用される。IETF RFC5246によると、証明書の種類は、明示的にネゴシエーションされない限り、X.509v3でなければならない。本明細書で説明する例では、X.509v3証明書を例として使用したが、本明細書で説明する主題は、X.509v3から抽出した送信者のIDを使用して送信者のN32-f IDを検証することだけに限られない。X.509v3証明書フォーマットは、IETF RFC3280で定義されている。IETF RFC3280によると、X.509v3証明書に含まれ得る1つの拡張子またはパラメータは、サブジェクト代替名拡張子である。サブジェクト代替名拡張子は、以下のように定義される。
サブジェクト代替名拡張子によって、証明書のサブジェクトに追加IDを結び付けることが可能になる。定義されたオプションには、インターネット電子メールアドレス、DNS名、IPアドレスおよびURI(uniform resource identifier)が含まれる。その他に、完全にローカルな定義を含むオプションも存在する。複数の名前形式、および各名前形式の複数のインスタンスを含めてもよい。このようなIDを証明書に結び付ける場合は、必ずサブジェクト代替名(または発行者代替名)エクステンションを使用しなければならないが、DNS名を、セクション4.1.2.4に記載されているように、domainComponent属性を使用してサブジェクトフィールドに表現してもよい
サブジェクト代替名は公開鍵に決定的に結び付けられているとみなされるため、サブジェクト代替名のすべての部分がCAによって検証されなければならない
上記のとおり、X.509v3証明書のサブジェクト代替名拡張子には、証明書のサブジェクトを識別するDNS名、IPアドレス、またはURIを含めることができ、これは認証局によって確認される。サブジェクト代替名は、認証局によって確認されるため、なりすましが困難である。しかしながら、送信者が有効なX.509証明書を持っていることを確認するだけでは、N32-fアプリケーションレベルで送信者のIDを検証することはできない。このような相互検証を行うために、応答SEPP126Bは、N32-c通信用のTLS接続を確立するために使用される証明書メッセージから送信者のIDを抽出し、N32-f通信用のTLS接続を確立するために使用される証明書メッセージから送信者のIDを抽出し、これらのIDを比較し得る。IDが一致する場合、応答SEPP126Bは、いずれかの証明書メッセージから抽出されたIDを、設定されたピアSEPPのIDのデータベースと比較するさらに別の検証ステップを実行し得る。いずれかの検証が失敗した場合、応答SEPPは、N32-f通信用のTLS接続に関連するPLMN間通信をブロックし得る。
図4は、N32-cインターフェイスおよびN32-fインターフェイスで使用されるIDの相互検証を行わない場合に発生し得る例示的な攻撃シナリオを示す。図4では、PLMN1に位置する開始SEPP126Aは、応答SEPP126BとN32-cインターフェイス上でTLS接続を確立し得る。PLMN3に位置するハッカーSEPP300は、SEPP126BとN32-f通信用のTLS接続を確立し得る。N32-f通信用のTLS接続で使用されるIDと、N32-c通信用のTLS接続で使用されるIDとの相互検証はないため、PLMN3に位置するハッカーSEPP300およびハッカーNF302は、PLMN2に位置する応答SEPP126BおよびプロデューサNF304に攻撃トラフィックを送信できる。一例では、そのような攻撃トラフィックは、PLMN1に位置するコンシューマNF306がプロデューサNF304からサービスを取得することを防止するサービス拒否攻撃を実施するために使用され得る。
図5は、N32-f通信への攻撃シナリオをより詳細に説明する図である。図5では、開始SEPP126Aと応答SEPP126Bとの間で、N32-c通信用のTLS接続が確立される。
N32-c通信用のTLS接続が確立された後、開始SEPP126Aと応答SEPP126Bとは、TLS接続を介してN32-cセキュリティ能力メッセージを交換する。
N32-c接続が確立されると、開始SEPP126Aおよび応答SEPP126Bは、N32-f通信用の第2のTLSハンドシェイクを実行する。第2のTLS接続が確立されると、開始SEPP126Aおよび応答SEPP126Bは、それぞれのPLMNにおけるコンシューマNFとプロデューサNFとの間で、5Gサービス要求メッセージおよび5Gサービス応答メッセージを交換し得る。
N32-f TLS IDとN32-c TLS IDとの相互検証はないため、ハッカーSEPP300は、応答SEPP126BとTLSハンドシェイクを開始することができる。応答SEPP126Bは、証明書が有効な認証局から発行されているかどうかを知るためにチェックを行う。しかしながら、他のインターフェイスで取得されたIDとの相互検証はない。その結果、ハッカーSEPP300は、N32-f通信用のTLS接続を確立し、SEPP126Aのふりをして応答SEPP126Bによって保護されるネットワーク内のプロデューサNFに5G要求メッセージを送信することができるため、応答SEPP126Bによって保護されるPLMNにおいてサービス拒否などの問題を引き起こす可能性がある。
この種類の攻撃から保護するために、応答SEPP126Bは、N32-cインターフェイスで受信された開始SEPPのIDを格納し、そのIDを用いて、N32-f通信用のTLS接続で開始SEPPのIDを相互検証し得る。図6は、応答SEPPによって実行され得る相互検証を示す図である。図6を参照すると、ライン1において、開始SEPP126Aおよび応答SEPP126Bは、N32-c通信用のTLS接続を確立するためにTLSメッセージを交換する。ライン2およびライン3において、開始SEPP126Aおよび応答SEPP126Bは、N32-c、セキュリティ能力交換メッセージを交換する。
ライン2以降、応答SEPP126Bは、第1のTLS接続用のX-509証明書から抽出された開始SEPP126AのIDと、ライン2からのN32-cセキュリティ能力交換メッセージからの開始SEPP128CのPLMNとを、SEPP PLMN間転送インターフェイスID相互検証データベース600に格納し得る。応答SEPP126Bは、SEPP PLMN間転送インターフェイスID相互検証データベース600に格納されたIDを使用して、開始SEPPによって提示されるN32-f IDを検証し得る。
SEPP126BはN32-cセキュリティ能力ネゴシエーショントランザクションのための応答SEPPであるので、応答SEPP126Bは、開始SEPP126AからのHTTP POSTメッセージのN32-c SecNegotiateReqData情報要素の送信者ID属性から、N32-c IDを抽出し得る。以下の表1および表2は、3GPP TS29.573の表6.1.5.2.2.1に対応し、N32-cセキュリティ能力ネゴシエーションの一部であるSecNegotiateReqData情報要素に含まれ得る属性を示す。
Figure 2023543999000003
表1から分かるように、送信者属性はSecNegotiateReqData情報要素の両方の必須パラメータであり、要求を送信するSEPPのFQDNを含む。SEPPのPLMNは、送信SEPPのFQDNから取得することができる。たとえば、送信SEPPのFQDNがsepp1.5gc.mnc123.mcc456.3gppnetwork.orgの場合、FQDNのPLMN部分は5gc.mnc123.mcc456.3gppnetwork.orgである。詳細は後述するが、送信者のPLMNは、N32-fインターフェイスで交換される5Gコア(5GC)メッセージまたはサービスメッセージに含まれ、N32-c通信およびN32-f通信に使用されるTLS IDが一致したとしても、後続の5GCメッセージの検証に使用することができる。この追加チェックは、最初のチェックで信頼できると識別されたSEPPが、転送インターフェイスで交換される後続のメッセージで偽のPLMNのIDを送信することを防止する。ライン4において、開始SEPP126Aは、N32-f通信のために応答SEPP126BとTLSハンドシェイクを開始する。応答SEPP126Bは、第2のTLSハンドシェイクに使用されるX.509証明書から開始SEPP126AのIDを抽出し得る。応答SEPP126Bは、SEPP PLMN間転送インターフェイスID相互検証データベース600においてルックアップを実行して、N32-c通信用の開始SEPP126AのIDがN32-fインターフェイスに提示されたIDと一致するかどうかを判定し得る。この例では、IDは一致する。その結果、ライン5およびライン6において、開始SEPP126Aは、応答SEPP126Bに5Gサービス要求メッセージを送信し、応答SEPP126Bは、開始SEPP126Aに5Gサービス応答メッセージを送信する。
ライン7では、ハッカーSEPP300は、応答SEPP126BとのN32-f通信用のTLS接続を開始するためのメッセージを、応答SEPP126Bに送信する。応答SEPP126Bは、TLS接続のためにハッカーSEPP300が提示したIDを、TLSハンドシェイク手順における証明書メッセージのX.509証明書から抽出する。応答SEPP126Bは、データベース600のルックアップを実行し、ハッカーSEPP300によって提示されたIDがデータベース600に存在すると見出さない。ハッカーSEPP300が提示したIDがデータベース600に存在しないので、相互検証は失敗し、応答SEPP300は、ライン8でハッカーPLMNからの5Gサービス要求メッセージをブロックする。別の例では、応答SEPP126Bは、ライン8において5Gサービス要求メッセージを受信し、5Gサービス要求メッセージからPLMNのIDを抽出し、N32-c TLS SEPPのIDとN32-c PLMNのIDとの両方を含むルックアップキーを使用して、データベース600においてルックアップを実行し得る。ルックアップキーに対応するレコードがデータベース600に存在しない場合、応答SEPP126Bは、N32-fインターフェイス用のTLS接続で受信されたPLMN間トラフィックが、PLMNに入ることを防止し得る。
図7は、応答SEPP126Bの例示的なアーキテクチャを示すブロック図である。SEPP126Bは、少なくとも1つのプロセッサ700とメモリ702とを含む。SEPP126Bはさらに、PLMN間転送インターフェイスなりすまし緩和モジュール704を含み、このモジュールは、N32-cインターフェイス上のSEPPが提示するTLS IDを、N32-fインターフェイス上の本物のSEPPまたはハッカーSEPPが提示するIDと相互検証するために、本明細書に記載されたステップを実行する。PLMN間転送インターフェイスなりすまし緩和モジュール704は、N32-cインターフェイス上のSEPPが提示するPLMNを、N32-fインターフェイス上のSEPPが提示するPLMNと相互検証し得る。SEPP126Bはさらに、PLMN間転送インターフェイスなりすまし緩和モジュール704によって、N32-cインターフェイス上で取得されたSEPPのIDおよび/またはPLMNで動的に入力されるSEPP PLMN間転送インターフェイスID相互検証データベース600を含む。SEPP126Bは、SEPP転送インターフェイスID相互検証データベース600に格納されたSEPPのIDおよび/またはPLMNのIDを使用して、N32-fインターフェイスで提示されたTLSレベルSEPPのIDおよび/またはサービスレベルPLMNのIDを相互検証し得る。
SEPP126Bは、PLMN間通信が許可されているピアSEPPのIDで構成されるピアSEPPデータベース706も含み得る。PLMN間転送インターフェイスなりすまし緩和モジュール704は、プロセッサ700によって実装されてもよく、データベース706に格納されたピアSEPPのIDに対する、リモートノードによって提示されるN32-f IDの相互チェックを行い得る。N32-fインターフェイス用のTLS接続確立中に交換された証明書に提示されたリモートノードのIDがデータベース706に存在しない場合、またはN32-c IDとN32-f IDとの相互検証が失敗した場合、PLMN間転送インターフェイスなりすまし緩和モジュール704は、リモートノードとのPLMN間通信をブロックし得る。両方のIDの相互検証が成功した場合、PLMN間転送インターフェイスなりすまし緩和モジュール704は、リモートノードとのPLMN間通信を許可し得る。
図8は、5Gスピーキング攻撃を緩和するための例示的な方法を示すフローチャートである。図8を参照すると、ステップ800において、SEPPは、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得する。たとえば、応答SEPP126Bは、応答SEPPとのN32-c通信を確立しようとする送信ノードから受信されたTLSメッセージのX.509証明書の代替IDフィールドから、送信ノードのIDを抽出し得る。TLSメッセージは、リモートノードとのTLS接続を確立するために使用されるTLSハンドシェイク手順の一部として、リモートノードと交換される証明書メッセージであってもよい。送信ノードは、他のPLMNに関連する開始SEPPであってもよい。
ステップ800において、応答SEPPはまた、(オプションとして)PLMN間制御インターフェイスを介して受信された第1の少なくとも1つのメッセージを取得し得る。たとえば、SEPP126Bは、第1のTLS接続を介したN32-cセキュリティ能力ネゴシエーション中に送信されたSecNegotiateReqData情報要素の送信者属性から第1のPLMN識別子を抽出し、このPLMN識別子をデータベースに格納し得る。
ステップ802において、応答SEPPは、第1のSEPP識別子と第1のPLMN識別子とうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納する。たとえば、SEPP126Aは、第1のSEPP識別子、第1のPLMN識別子、またはその両方を(ネットワークオペレータが要求するセキュリティスクリーニングのレベルに応じて)データベース600に格納し得る。以下に示す表2は、PLMN間制御インターフェイスを介して受信されたSEPP識別子およびPLMN識別子がポピュレートされた後のデータベースの状態を示す。
Figure 2023543999000004
表2では、第1の列はN32-c TLS証明書メッセージから抽出されるSEPPのIDを含み、第2の列はN32-cセキュリティ能力交換メッセージから抽出されるPLMNのIDを含む。表2において、N32-cセキュリティ能力交換メッセージから取得されたPLMNは、TLSメッセージからのX.509証明書から抽出されるPLMNと同じであることに注意されたい。したがって、この場合、N32-cセキュリティ能力交換メッセージから抽出されたPLMNの格納はオプションである。N32-cセキュリティ能力交換メッセージからのPLMNがN32-c TLS接続から取得されたPLMNと一致しない場合、N32-cメッセージの送信者からのPLMN間通信はブロックされることがある。
ステップ804において、応答SEPPは、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得する。たとえば、応答SEPPは、N32-fインターフェイス用のTLS接続を確立するためのTLSハンドシェイク中に受信されたTLS証明書メッセージから第2のSEPP識別子を、および/または転送インターフェイス用のTLS接続を介して受信された5GCサービスメッセージから第2のPLMN識別子を、取得し得る。
ステップ806において、応答SEPPは、第2のTLS識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを使用して、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行する。たとえば、応答SEPPは、第2のTLS識別子、第2のPLMN識別子、またはN32-f TLS SEPP識別子およびN32-f PLMN識別子を含むタプルから構成されるルックアップキーを使用して、データベース600においてルックアップを実行し得る。
ステップ808において、応答SEPPは、SEPP PLMN間転送インターフェイスID相互検証データベースに一致するレコードが存在するかどうかを判定する。一致するレコードが存在しない場合、これは攻撃を示すものであり、制御はステップ810に進み、応答SEPPは、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入ることを防止する。たとえば、応答SEPPは、SEPPおよび/またはPLMNのIDの相互検証が失敗した場合、検証が失敗した最初の1つまたは複数のメッセージと、N32-fインターフェイス用に確立されたTLS接続を介して受信された後続のメッセージとをブロックし得る。検証が、N32-f TLS SEPPのIDとN32-c TLS SEPPのIDとの相互検証のみに基づいて、N32-fインターフェイス用のTLS接続の確立を完了する前に実行される場合、N32-fインターフェイス用のTLS接続の確立も妨げられることがある。
ステップ808において、一致する識別子がSEPP PLMN間転送インターフェイスID相互検証データベースに存在すると判定された場合、制御はステップ812に進み、応答SEPPは、ピアSEPPデータベースにおいて第2のSEPP識別子のルックアップを実行する。ピアSEPPデータベースに、オペレータのネットワーク内の所与のSEPPが通信することを許可されているSEPPのIDが、ネットワークオペレータによってプロビジョニングされ得る。そのようなSEPPは、ピアネットワークオペレータのPLMNに関連付けられる可能性があるため、本明細書ではピアSEPPと呼ばれる。
ステップ814において、第2のSEPP識別子がピアSEPPデータベースに存在する場合、制御はステップ816に進み、SEPPは、PLMN間転送インターフェイスを介して受信されたメッセージが、SEPPによって保護されるPLMNに入ることを許可する。
PLMN間転送インターフェイスID相互検証は、その開示全体が引用により本明細書に援用される、共通して譲渡された、共同係属中の2020年9月25日に出願されたインド仮特許出願連続番号第202041041754号(以下、「’754出願」)に記載のID検証と併せて使用することができる。’754出願に記載されたID検証は、N32-c通信用のTLS接続を確立するために受信されたTLS証明書メッセージから、送信ノードのIDを抽出することを含む。これは、N32-f通信用のTLS接続から抽出されたIDとの相互検証のために使用される、本明細書に記載の同じIDである。’754年出願では、N32-c通信用のTLS IDは、N32-cセキュリティ能力交換メッセージから抽出されたIDを検証するために使用される。たとえば、応答SEPPは、リモートノードからのHTTP POSTメッセージのN32-c SecNegotiateReqData情報要素の送信者ID属性から、N32-c IDを抽出し得る。N32-c IDがN32-c通信用のTLS接続のTLS IDと一致する場合、この検証チェックは成功である。N32-c IDがN32-c通信用のTLS接続のTLS IDと一致しない場合、検証チェックは失敗である。
N32-c通信はN32-f通信用のTLS接続確立よりも前に行われなければならないため、’754出願で行われる検証チェックは、本明細書に記載の検証チェックよりも前に行われ得る。’754出願に記載された検証チェックが失敗した場合、N32-c SecNegotiateReqDataメッセージの送信者情報要素で提示されたIDを有するノードとのN32-c通信およびN32-f通信は、ブロックされなければならない。
’754年出願に記載された検証チェックが成功し、本願に記載された検証チェックが失敗した場合、(ハッカーからの)第2のTLS接続に関連するN32-f通信はブロックされるが、N32-c通信は(正当なSEPPからのものであると思われるので)許可される。
’754出願に記載された検証チェックと本明細書に記載された検証チェックとが失敗した場合、N32 SecNegotiateReqDataメッセージで提示された1つまたは複数のIDとのN32-c通信およびN32-f通信と、(N32-f通信用の)第2のTLS接続とはブロックされなければならない。
本明細書に記載の主題は、異なるインターフェイス上のSEPP間で交換されるSEPPのIDとPLMNのIDとの相互検証を行うことによって、SEPPとPLMNとの間のネットワークセキュリティを改善する。N32-cとN32-fとのSEPPおよび/またはPLMNのIDを比較することによって、本明細書に記載のSEPPは、PLMN間のサービストラフィックを伝送するインターフェイスであるN32-fインターフェイス上でなりすまし攻撃が成功する可能性を低減させる。PLMN間サービストラフィックに使用される転送インターフェイスに対するなりすまし攻撃の可能性を減らすことは、そのようなインターフェイスがPLMN間で交換されるトラフィックの大部分を運ぶので、有益である。さらに、SEPPのPLMN間転送トラフィックに対するなりすまし対策を実施することは、SEPPがPLMNへの侵入地点であるため、有利である。PLMNへの侵入地点で攻撃トラフィックを阻止することで、PLMNが提供するサービスに対する攻撃トラフィックの影響を最小限に抑えられる。
以下の各文献の開示は、その全体が引用により本明細書に援用される。
参考文献
1 IETF RFC 5246; The Transport Layer Security (TLS) Protocol, Version 1.2; August 2008
2. IETF RFC 3280; Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002.
3. 3GPP TS 29.573; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3 (Release 16), V16.3.0 (2020-07)
4. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for 5G System; (Release 16), V16.3.0 (2020-07).
5. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage3 (Release 16), V16.4.0 (2020-07).
現在開示されている主題の範囲から逸脱することなく、現在開示されている主題のさまざまな詳細を変更可能であることが理解されるであろう。さらに、前述の説明は、限定のためではなく、例示のためのもであるに過ぎない。

Claims (20)

  1. セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法であって、
    応答SEPPが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することと、
    前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することと、
    前記応答SEPPが、前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することと、
    前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、前記SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することと、
    前記ルックアップキーに対応するレコードが前記SEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、前記PLMN間転送インターフェイスを介して受信された前記少なくとも1つのメッセージが、前記応答SEPPによって保護されるPLMNに入るのを防止することとを備える、方法。
  2. 前記PLMN間制御インターフェイスはN32-cインターフェイスcを含み、前記PLMN間転送インターフェイスはN32-fインターフェイスを含む、請求項1に記載の方法。
  3. 前記PLMN間制御インターフェイスを介して受信された前記少なくとも1つのメッセージから、前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの少なくとも1つを取得することは、前記N32-cインターフェイス用のトランスポート層セキュリティ(TLS)接続を確立するためのTLSハンドシェイク中に、前記PLMN間制御インターフェイスを介して受信された第1のTLS証明書メッセージに含まれる第1の証明書から、前記第1のSEPP識別子を取得することを含む、請求項1または2に記載の方法。
  4. 前記第1の証明書は、第1のX.509証明書を含む、請求項3に記載の方法。
  5. 前記第1のSEPP識別子を取得することは、前記第1のX.509証明書のサブジェクト代替名拡張子から前記第1のSEPP識別子を抽出することを含む、請求項4に記載の方法。
  6. 前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを取得することは、前記N32-fインターフェイス用のTLS接続を確立するためのTLSハンドシェイク中に受信された第2のTLS証明書メッセージに含まれる第2の証明書から、前記第2のSEPP識別子を取得することを含む、先行する請求項のいずれか1項に記載の方法。
  7. 前記第2の証明書は、第2のX.509証明書を含む、請求項6に記載の方法。
  8. 前記第2のSEPP識別子を取得することは、前記第2のX.509証明書のサブジェクト代替名拡張子から前記第2のSEPP識別子を抽出することを含む、請求項7に記載の方法。
  9. 前記PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから前記第1のSEPP識別子と前記第1のPLMN識別子とを取得することは、前記PLMN間制御インターフェイス用のトランスポート層セキュリティ(TLS)接続を設定するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージから、前記第1のSEPP識別子を取得することと、前記PLMN間制御インターフェイス用の前記TLS接続を介して受信されたN32-cセキュリティ能力交換メッセージから、前記第1のPLMN識別子を取得することとを含み、
    前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とを取得することは、前記PLMN間転送インターフェイス用のTLS接続を設定するためのTLSハンドシェイク中に受信された第2のTLS認証メッセージから、前記第2のSEPP識別子を取得することと、前記PLMN間転送インターフェイス用の前記TLS接続を介して受信された5Gサービスメッセージから、前記第2のPLMN識別子を取得することとを含む、先行する請求項のいずれか1項に記載の方法。
  10. 前記ルックアップキーは、前記第2のSEPP識別子と前記第2のPLMN識別子とを含むタプルから構成される、先行する請求項のいずれか1項に記載の方法。
  11. セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するためのシステムであって、
    少なくとも1つのプロセッサとメモリとを含むSEPPと、
    前記メモリに存在するSEPP PLMN間転送インターフェイスID相互検証データベースと、
    前記少なくとも1つのプロセッサによって実装されたPLMN間転送インターフェイスIDなりすまし緩和モジュールとを備え、前記PLMN間転送インターフェイスIDなりすまし緩和モジュールは、
    PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得し、
    前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納し、
    前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得し、
    前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、前記SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行し、
    前記ルックアップキーに対応するレコードが前記SEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、前記PLMN間転送インターフェイスを介して受信された前記少なくとも1つのメッセージが、前記SEPPによって保護されるPLMNに入ることを防止するように構成されている、システム。
  12. 前記PLMN間制御インターフェイスはN32-cインターフェイスを含み、前記PLMN間転送インターフェイスはN32-fインターフェイスを含む、請求項11に記載のシステム。
  13. 前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを取得することは、前記N32-cインターフェイス用のトランスポート層セキュリティ(TLS)接続を確立するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージに含まれる第1の証明書から、前記第1のSEPP識別子を取得することを含む、請求項11または12に記載のシステム。
  14. 前記第1の証明書は、第1のX.509証明書を含む、請求項13に記載のシステム。
  15. 前記PLMN間転送インターフェイスIDなりすまし緩和モジュールは、前記第1のX.509証明書のサブジェクト代替名拡張子から前記第1のSEPP識別子を抽出するように構成されている、請求項14に記載のシステム。
  16. 前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを取得することは、前記N32-fインターフェイス用のTLS接続を確立するためのTLSハンドシェイク中に受信された第2のTLS証明書メッセージに含まれる第2のSEPP識別子を取得することを含む、請求項11~14のいずれか1項に記載のシステム。
  17. 前記第2の証明書は第2のX.509証明書を含み、前記PLMN間転送インターフェイスIDなりすまし緩和モジュールは、前記X.509証明書のサブジェクト代替名拡張子から前記第2の識別子を抽出することによって、前記第2の識別子を取得するように構成されている、請求項16に記載のシステム。
  18. 前記PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから前記第1のSEPP識別子と前記第1のPLMN識別子とを取得することは、前記PLMN間制御インターフェイス用のトランスポート層セキュリティ(TLS)接続を設定するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージから、前記第1のSEPP識別子を取得することと、前記PLMN間制御インターフェイス用の前記TLS接続を介して受信されたN32-cセキュリティ能力交換メッセージから、前記第1のPLMN識別子を取得することとを含み、
    前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とを取得することは、前記PLMN間転送インターフェイス用のTLS接続を設定するためのTLSハンドシェイク中に受信された第2のTLS認証メッセージから、前記第2のSEPP識別子を取得することと、前記PLMN間転送インターフェイス用の前記TLS接続を介して受信された5Gサービスメッセージから、前記第2のPLMN識別子を取得することとを含む、請求項11~17のいずれか1項に記載のシステム。
  19. 前記ルックアップキーは、前記第2のSEPP識別子と前記第2のPLMN識別子とを含むタプルから構成される、請求項11~18のいずれか1項に記載のシステム。
  20. コンピュータのプロセッサによって実行されるとステップを実行する実行可能な命令を格納した非一時的なコンピュータ読取可能媒体であって、前記ステップは、
    応答セキュリティエッジ保護プロキシ(SEPP)が、パブリックランドモバイルネットワーク間(PLMN間)制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することと、
    前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することと、
    前記応答SEPPが、前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することと、
    前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの前記少なくとも1つを含むルックアップキーを用いて、前記SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することと、
    前記ルックアップキーに対応するレコードが前記SEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、前記PLMN間転送インターフェイスを介して受信された前記少なくとも1つのメッセージが、前記応答SEPPによって保護されるPLMNに入るのを防止することとを含む、非一時的なコンピュータ読取可能媒体。
JP2023519025A 2020-09-25 2021-04-29 セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 Pending JP2023543999A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
IN202041041754 2020-09-25
IN202041041754 2020-09-25
IN202041047779 2020-11-02
IN202041047779 2020-11-02
US17/095,420 US11825310B2 (en) 2020-09-25 2020-11-11 Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US17/095,420 2020-11-11
US17/129,441 US11832172B2 (en) 2020-09-25 2020-12-21 Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US17/129,441 2020-12-21
PCT/US2021/029977 WO2022066228A1 (en) 2020-09-25 2021-04-29 Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (sepp) inter-public land mobile network (inter-plmn) forwarding interface

Publications (2)

Publication Number Publication Date
JP2023543999A true JP2023543999A (ja) 2023-10-19
JPWO2022066228A5 JPWO2022066228A5 (ja) 2024-05-09

Family

ID=80821937

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2023519026A Pending JP2023544000A (ja) 2020-09-25 2021-04-29 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体
JP2023519025A Pending JP2023543999A (ja) 2020-09-25 2021-04-29 セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2023519026A Pending JP2023544000A (ja) 2020-09-25 2021-04-29 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体

Country Status (4)

Country Link
US (1) US11832172B2 (ja)
EP (2) EP4218168A1 (ja)
JP (2) JP2023544000A (ja)
WO (2) WO2022066227A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11632361B2 (en) * 2020-10-02 2023-04-18 Citrix Systems, Inc. Combined authentication and connection establishment for a communication channel
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US20220248229A1 (en) * 2021-02-01 2022-08-04 Nokia Technologies Oy Termination of connections over a forwarding interface between networks
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US20220353263A1 (en) * 2021-04-28 2022-11-03 Verizon Patent And Licensing Inc. Systems and methods for securing network function subscribe notification process
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries
US11533358B1 (en) * 2021-09-17 2022-12-20 Nokia Technologies Oy Roaming hub for secure interconnect in roaming scenarios

Family Cites Families (268)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE508514C2 (sv) 1997-02-14 1998-10-12 Ericsson Telefon Ab L M Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem
US6151503A (en) 1997-12-17 2000-11-21 Lucent Technologies Inc. Subscriber activated wireless telephone call rerouting system
US6308075B1 (en) 1998-05-04 2001-10-23 Adc Telecommunications, Inc. Method and apparatus for routing short messages
JP3049056B1 (ja) 1998-07-02 2000-06-05 日本電気通信システム株式会社 移動体通信網の加入者デ―タ制御方法
US6343215B1 (en) 1998-11-10 2002-01-29 Lucent Technologies, Inc ANSI 41 dialed number validation
US6292666B1 (en) 1999-05-06 2001-09-18 Ericsson Inc. System and method for displaying country on mobile stations within satellite systems
EP1067492A3 (en) 1999-06-30 2001-01-17 Lucent Technologies Inc. Transaction notification system and method
ATE307464T1 (de) 1999-11-17 2005-11-15 Swisscom Mobile Ag Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz
FI110975B (fi) 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
ATE403339T1 (de) 2000-03-07 2008-08-15 Tekelec Us Filtern von mobile application part (map) nachrichten
TW589855B (en) 2000-05-15 2004-06-01 Ntt Docomo Inc Authentication system and method
EP1213931A3 (de) 2000-12-05 2003-03-19 Siemens Aktiengesellschaft Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz
US7333482B2 (en) 2000-12-22 2008-02-19 Interactive People Unplugged Ab Route optimization technique for mobile IP
AUPR441401A0 (en) 2001-04-12 2001-05-17 Gladwin, Paul Utility usage rate monitor
US20090168719A1 (en) 2001-10-11 2009-07-02 Greg Mercurio Method and apparatus for adding editable information to records associated with a transceiver device
EP1304897A1 (en) 2001-10-22 2003-04-23 Agilent Technologies, Inc. (a Delaware corporation) Methods and apparatus for providing data for enabling location of a mobile communications device
US7644436B2 (en) 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7068999B2 (en) 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US20100240361A1 (en) 2002-08-05 2010-09-23 Roamware Inc. Anti-inbound traffic redirection system
US7729686B2 (en) 2003-04-02 2010-06-01 Qualcomm Incorporated Security methods for use in a wireless communications system
US7043754B2 (en) 2003-06-12 2006-05-09 Michael Arnouse Method of secure personal identification, information processing, and precise point of contact location and timing
US8121594B2 (en) 2004-02-18 2012-02-21 Roamware, Inc. Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register
US7567661B1 (en) 2003-12-31 2009-07-28 Nortel-Networks Limited Telephony service information management system
GB0406119D0 (en) 2004-03-18 2004-04-21 Telsis Holdings Ltd Telecommunications services apparatus and method
US7403537B2 (en) 2004-04-14 2008-07-22 Tekelec Methods and systems for mobile application part (MAP) screening in transit networks
US7996024B2 (en) 2004-04-14 2011-08-09 Tekelec Method for preventing the delivery of short message service message spam
US7319857B2 (en) 2004-09-13 2008-01-15 Tekelec Methods, systems, and computer program products for delivering messaging service messages
IES20040693A2 (en) 2004-10-14 2006-04-19 Anam Mobile Ltd A messaging system and method
US7870201B2 (en) 2004-12-03 2011-01-11 Clairmail Inc. Apparatus for executing an application function using a mail link and methods therefor
US20060211406A1 (en) 2005-03-17 2006-09-21 Nokia Corporation Providing security for network subscribers
US8867575B2 (en) 2005-04-29 2014-10-21 Jasper Technologies, Inc. Method for enabling a wireless device for geographically preferential services
US8285639B2 (en) 2005-07-05 2012-10-09 mConfirm, Ltd. Location based authentication system
US20070174082A1 (en) 2005-12-12 2007-07-26 Sapphire Mobile Systems, Inc. Payment authorization using location data
US7881192B2 (en) 2006-01-13 2011-02-01 Futurewei Technologies, Inc. System for providing aggregate-rate communication services
US7817550B2 (en) 2006-01-13 2010-10-19 Futurewei Technologies, Inc. System for rate-control of aggregate-rate communication services
US20070168432A1 (en) 2006-01-17 2007-07-19 Cibernet Corporation Use of service identifiers to authenticate the originator of an electronic message
EP1835686B1 (en) 2006-03-13 2015-12-23 Vodafone Group PLC Method of providing access to an IP multimedia subsystem based on provided access network data.
US7539133B2 (en) 2006-03-23 2009-05-26 Alcatel-Lucent Usa Inc. Method and apparatus for preventing congestion in load-balancing networks
US20070248032A1 (en) 2006-04-21 2007-10-25 Subramanian Vasudevan Method of providing route update messages and paging access terminals
US8121624B2 (en) 2006-07-25 2012-02-21 Alcatel Lucent Message spoofing detection via validation of originating switch
WO2008016778A2 (en) 2006-07-31 2008-02-07 Agito Networks, Inc. System and method to facilitate handover
JP4174535B2 (ja) 2006-08-22 2008-11-05 Necインフロンティア株式会社 無線端末を認証する認証システム及び認証方法
US8145234B1 (en) 2006-09-13 2012-03-27 At&T Mobility Ii Llc Secure user plane location (SUPL) roaming
ATE532351T1 (de) 2006-09-27 2011-11-15 Nokia Siemens Networks Gmbh Verfahren zum verfolgen einer mobilstation, entsprechendes telekommunikationsnetz, netzknoten und vorhersagedatenbank
WO2008053808A1 (fr) 2006-11-02 2008-05-08 Panasonic Corporation Dispositif d'alimentation électrique de véhicule
US8929360B2 (en) 2006-12-07 2015-01-06 Cisco Technology, Inc. Systems, methods, media, and means for hiding network topology
US8045956B2 (en) 2007-01-05 2011-10-25 Macronix International Co., Ltd. System and method of managing contactless payment transactions using a mobile communication device as a stored value device
US20080207181A1 (en) 2007-02-28 2008-08-28 Roamware Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication
WO2011014837A1 (en) 2009-07-31 2011-02-03 Finsphere Corporation Mobile communications message verification of financial transactions
US8280348B2 (en) 2007-03-16 2012-10-02 Finsphere Corporation System and method for identity protection using mobile device signaling network derived location pattern recognition
EP1983787B1 (en) 2007-04-19 2012-11-28 Nokia Siemens Networks Oy Transmission and distribution of position- and/or network-related information from access networks
US7916718B2 (en) 2007-04-19 2011-03-29 Fulcrum Microsystems, Inc. Flow and congestion control in switch architectures for multi-hop, memory efficient fabrics
JP2010527549A (ja) 2007-05-16 2010-08-12 パナソニック株式会社 ネットワーク・ベースおよびホスト・ベース混合型のモビリティ管理における方法
US20090045251A1 (en) 2007-08-14 2009-02-19 Peeyush Jaiswal Restricting bank card access based upon use authorization data
HUE025946T2 (en) 2007-10-09 2016-05-30 ERICSSON TELEFON AB L M (publ) Technique to provide support for a multitude of mobility protocols
US8036660B2 (en) 2008-01-24 2011-10-11 Avaya Inc. Call-handling for an off-premises, telecommunications terminal with an installed subscriber identity module
US20110063126A1 (en) 2008-02-01 2011-03-17 Energyhub Communications hub for resource consumption management
US8255090B2 (en) 2008-02-01 2012-08-28 Energyhub System and method for home energy monitor and control
US8509074B1 (en) 2008-03-31 2013-08-13 Saisei Networks Pte Ltd System, method, and computer program product for controlling the rate of a network flow and groups of network flows
CN101471797B (zh) 2008-03-31 2012-05-30 华为技术有限公司 决策方法及系统和策略决策单元
US9240946B2 (en) 2008-05-01 2016-01-19 Alcatel Lucent Message restriction for diameter servers
CN101277541B (zh) 2008-05-22 2012-02-08 中兴通讯股份有限公司 一种Diameter路由实体转发消息的方法
US8255994B2 (en) 2008-08-20 2012-08-28 Sprint Communications Company L.P. Detection and suppression of short message service denial of service attacks
US9928379B1 (en) 2008-09-08 2018-03-27 Steven Miles Hoffer Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor
WO2010045646A2 (en) 2008-10-17 2010-04-22 Tekelec Methods, systems, and computer readable media for detection of an unautorized service message in a network
US9038171B2 (en) 2008-10-20 2015-05-19 International Business Machines Corporation Visual display of website trustworthiness to a user
US8494364B2 (en) 2008-10-21 2013-07-23 Broadcom Corporation Supporting multi-dwelling units in passive optical networks
CN101742445A (zh) 2008-11-06 2010-06-16 华为技术有限公司 消息识别方法、装置及系统
US9344438B2 (en) 2008-12-22 2016-05-17 Qualcomm Incorporated Secure node identifier assignment in a distributed hash table for peer-to-peer networks
WO2010105099A2 (en) 2009-03-11 2010-09-16 Tekelec Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions
EP2425644B1 (en) 2009-05-01 2017-11-22 Nokia Technologies Oy Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal
US8856869B1 (en) 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US8615217B2 (en) 2009-06-25 2013-12-24 Tekelec, Inc. Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices
US8965324B2 (en) 2009-07-08 2015-02-24 At&T Mobility Ii Llc E911 services using distributed nodes
JP5424314B2 (ja) 2009-07-21 2014-02-26 日本電気株式会社 フェムトセル用基地局、ゲートウェイシステム、mapgw装置、通信システム、方法および装置のプログラム
AU2010303947B2 (en) 2009-10-09 2014-10-02 Landis+Gyr Technology, Inc. Apparatus and method for controlling communications to and from utility service points
EP3264686B1 (en) 2009-10-16 2018-12-12 Tekelec, Inc. Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality
KR20110055888A (ko) 2009-11-20 2011-05-26 삼성전자주식회사 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템
US8331929B2 (en) 2009-11-24 2012-12-11 At&T Mobility Ii Llc Mobility-based reselection scan scheduling
CN102686361A (zh) 2009-12-30 2012-09-19 3M创新有限公司 填充有机颗粒的抛光垫及其制造和使用方法
US8787174B2 (en) 2009-12-31 2014-07-22 Tekelec, Inc. Methods, systems, and computer readable media for condition-triggered policies
US20110173122A1 (en) 2010-01-09 2011-07-14 Tara Chand Singhal Systems and methods of bank security in online commerce
US8505081B2 (en) 2010-01-29 2013-08-06 Qualcomm Incorporated Method and apparatus for identity reuse for communications devices
US9185510B2 (en) 2010-03-03 2015-11-10 Tekelec, Inc. Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers
US20110225091A1 (en) 2010-03-12 2011-09-15 Franco Plastina Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information
EP2372987B1 (en) 2010-04-02 2013-07-17 Research In Motion Limited Solving character display ambiguities
US20110307381A1 (en) 2010-06-10 2011-12-15 Paul Kim Methods and systems for third party authentication and fraud detection for a payment transaction
CN101917698B (zh) 2010-08-20 2013-03-27 北京瑞格特软件技术有限公司 与3gpp协议兼容的提供移动设备用户信息的方法及系统
US8620263B2 (en) 2010-10-20 2013-12-31 Tekelec, Inc. Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control
US8396485B2 (en) 2010-11-09 2013-03-12 Apple Inc. Beacon-based geofencing
US8942747B2 (en) 2011-02-04 2015-01-27 Tekelec, Inc. Methods, systems, and computer readable media for provisioning a diameter binding repository
US20120203663A1 (en) 2011-02-07 2012-08-09 Carpadium Consulting Pty. Ltd. Method and apparatus for authentication utilizing location
US8433321B2 (en) 2011-02-09 2013-04-30 Renesas Mobile Corporation Method and apparatus for intelligently reporting neighbor information to facilitate automatic neighbor relations
US8693423B2 (en) 2011-02-16 2014-04-08 Tekelec, Inc. Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery
US10168413B2 (en) 2011-03-25 2019-01-01 T-Mobile Usa, Inc. Service enhancements using near field communication
WO2012136246A1 (en) 2011-04-04 2012-10-11 Telefonaktiebolaget Lm Ericsson (Publ) A method of and a support node for requesting registration of stationary user equipment in a cellular telecommunication system
US8879431B2 (en) 2011-05-16 2014-11-04 F5 Networks, Inc. Method for load balancing of requests' processing of diameter servers
ES2698556T3 (es) 2011-07-06 2019-02-05 Mobileum Inc Redireccionamiento del tráfico de red (NTR) en Evolución a Largo Plazo (LTE)
JP5796396B2 (ja) 2011-08-04 2015-10-21 富士通株式会社 移動無線通信装置及びプログラム
US9106769B2 (en) 2011-08-10 2015-08-11 Tekelec, Inc. Methods, systems, and computer readable media for congestion management in a diameter signaling network
US9060263B1 (en) 2011-09-21 2015-06-16 Cellco Partnership Inbound LTE roaming footprint control
CN103179504B (zh) 2011-12-23 2015-10-21 中兴通讯股份有限公司 用户合法性判断方法及装置、用户接入信箱的方法和系统
US20130171988A1 (en) 2012-01-04 2013-07-04 Alcatel-Lucent Canada Inc. Imsi mcc-mnc best matching searching
CN103209402B (zh) 2012-01-17 2018-03-23 中兴通讯股份有限公司 终端组可及性确定方法及系统
US9009764B2 (en) 2012-04-12 2015-04-14 Qualcomm Incorporated Broadcast content via over the top delivery
GB201207816D0 (en) * 2012-05-04 2012-06-13 Vodafone Ip Licensing Ltd Telecommunication networks
EP2675203B1 (en) 2012-06-11 2019-11-27 BlackBerry Limited Enabling multiple authentication applications
US9882950B2 (en) 2012-06-13 2018-01-30 All Purpose Networks LLC Methods and systems of an all purpose broadband network
US9015808B1 (en) 2012-07-11 2015-04-21 Sprint Communications Company L.P. Restricting mobile device services between an occurrence of an account change and acquisition of a security code
EP2942920B1 (en) 2012-08-26 2018-04-25 Barkan, Elad, Pinhas Redirecting cellular telephone communications through a data network
CN103686756B (zh) 2012-09-17 2016-12-21 中国科学院沈阳自动化研究所 一种基于多接入点的tdma接入装置及其接入方法
US9106428B2 (en) 2012-10-04 2015-08-11 Broadcom Corporation Multicast switching for distributed devices
WO2014071564A1 (en) 2012-11-07 2014-05-15 Nokia Corporation Proxy connection method and apparatus
US20150304220A1 (en) 2012-11-22 2015-10-22 Nec Corporation Congestion control system, control device, congestion control method and program
US9258257B2 (en) 2013-01-10 2016-02-09 Qualcomm Incorporated Direct memory access rate limiting in a communication device
CN103929730B (zh) 2013-01-16 2017-12-29 华为终端有限公司 触发消息发送的方法、设备及系统
US9462515B2 (en) 2013-01-17 2016-10-04 Broadcom Corporation Wireless communication system utilizing enhanced air-interface
US20140259012A1 (en) 2013-03-06 2014-09-11 Telefonaktiebolaget L M Ericsson (Publ) Virtual machine mobility with evolved packet core
US9774552B2 (en) 2013-03-14 2017-09-26 Qualcomm Incorporated Methods, servers and systems for verifying reported locations of computing devices
US10292040B2 (en) 2013-03-29 2019-05-14 Roamware, Inc. Methods and apparatus for facilitating LTE roaming between home and visited operators
US20140370922A1 (en) 2013-06-13 2014-12-18 Christopher Richards Method and apparatus of paging
US10115135B2 (en) 2013-07-03 2018-10-30 Oracle International Corporation System and method to support diameter credit control session redirection using SCIM/service broker
US20150038140A1 (en) 2013-07-31 2015-02-05 Qualcomm Incorporated Predictive mobility in cellular networks
US20150081579A1 (en) 2013-08-26 2015-03-19 Prepared Response, Inc. System for conveying data to responders and routing, reviewing and approving supplemental pertinent data
US9191803B2 (en) 2013-09-04 2015-11-17 Cellco Partnership Connection state-based long term evolution steering of roaming
EP2854462B1 (en) 2013-09-27 2016-03-30 Telefonaktiebolaget LM Ericsson (publ) Handling of subscriber deregistration
US9485099B2 (en) 2013-10-25 2016-11-01 Cliqr Technologies, Inc. Apparatus, systems and methods for agile enablement of secure communications for cloud based applications
EP2887761B1 (en) 2013-12-19 2018-10-03 Vodafone Holding GmbH Verification method for the verification of a Connection Request from a Roaming Mobile Entity
US9686343B2 (en) 2013-12-31 2017-06-20 Amadeus S.A.S. Metasearch redirection system and method
CN104780593B (zh) 2014-01-13 2018-08-21 华为终端(东莞)有限公司 降低功耗的方法与装置
US10009730B2 (en) 2014-01-30 2018-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Preloading data
MX2016011578A (es) 2014-03-07 2017-04-13 Globalstar Inc Funcionalidad de torre celular con acceso a satelite para permitir itinerancia de un dispositivo celular sobre una red satelital.
WO2015174702A1 (ko) 2014-05-11 2015-11-19 엘지전자 주식회사 무선 통신 시스템에서 hss/mme의 신호 송수신 방법 및 장치
US9450947B2 (en) 2014-05-20 2016-09-20 Motorola Solutions, Inc. Apparatus and method for securing a debugging session
JP6168415B2 (ja) 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
WO2016049001A1 (en) 2014-09-22 2016-03-31 Globetouch, Inc. Trading exchange for local data services
US20160292687A1 (en) 2014-10-13 2016-10-06 Empire Technology Development Llc Verification location determination for entity presence confirmation of online purchases
US9693219B2 (en) 2014-10-24 2017-06-27 Ibasis, Inc. User profile conversion to support roaming
DE102014117713B4 (de) 2014-12-02 2016-12-01 GSMK Gesellschaft für sichere mobile Kommunikation mbH Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle
US20160183117A1 (en) 2014-12-17 2016-06-23 Mediatek Inc. Method and apparatus for throttling uplink data based on temperature state
US9445360B2 (en) 2014-12-17 2016-09-13 Verizon Patent And Licensing Inc. Method and system for providing global multiline roaming
US9515932B2 (en) 2015-02-06 2016-12-06 Oracle International Corporation Methods, systems, and computer readable media for conducting priority and compliance based message traffic shaping
RU2017127249A (ru) 2015-02-09 2019-03-12 Маркпорт Лимитед Способ маршрутизации короткого сообщения на устройство пользователя
US9992350B2 (en) 2015-03-10 2018-06-05 Affirmed Networks, Inc. Enhanced redirection handling from policy server
WO2016153423A1 (en) 2015-03-25 2016-09-29 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
US10827500B2 (en) 2015-04-01 2020-11-03 Lg Electronics Inc. Method and device for transmitting and receiving, by V2X terminal, signal in wireless communication system
US10284376B2 (en) 2015-06-10 2019-05-07 Arris Enterprises Llc Code signing system with machine to machine interaction
CN106332067B (zh) 2015-06-19 2020-02-21 华为技术有限公司 防止无线网络中直径信令攻击的方法、装置和系统
US10594673B1 (en) 2015-07-01 2020-03-17 Moovel North America, Llc Secure interprocess communications between mobile device applications using server-generated keys
US10567949B2 (en) 2015-07-16 2020-02-18 T-Mobile Usa, Inc. MMS termination on different networks
US9538335B1 (en) 2015-07-22 2017-01-03 International Business Machines Corporation Inferring device theft based on historical location data
US9912486B1 (en) 2015-08-27 2018-03-06 Amazon Technologies, Inc. Countersigned certificates
WO2017049427A1 (zh) 2015-09-21 2017-03-30 华为技术有限公司 发射功率控制方法及装置
ES2912279T3 (es) 2015-11-06 2022-05-25 Alcatel Lucent Soporte de entrega de mensajes cortos terminados en móvil para un equipo de usuario en DRX en modo inactivo
WO2017082532A1 (ko) 2015-11-09 2017-05-18 엘지전자 주식회사 방문 네트워크의 사업자 네트워크 식별번호 획득 방법
WO2017084006A1 (en) 2015-11-16 2017-05-26 Accenture Global Solutions Limited Telecommunication network signal analysis for matching a mobile device cellular identifier with a mobile device network identifier
US9930670B2 (en) 2015-11-25 2018-03-27 Network Performance Research Group Llc System, method, and apparatus for setting device geolocation via location proxies
US10009751B2 (en) 2015-12-28 2018-06-26 Cisco Technology, Inc. Virtual mobility anchor for network sharing
US9628994B1 (en) 2015-12-30 2017-04-18 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. Statistical system and method for catching a man-in-the-middle attack in 3G networks
WO2017123717A1 (en) 2016-01-12 2017-07-20 Ppc Broadband, Inc. Network interface device with dynamic noise conditioning
GB2547472A (en) 2016-02-19 2017-08-23 Intercede Ltd Method and system for authentication
US10382948B2 (en) 2016-02-22 2019-08-13 Cisco Technology, Inc. Consolidated control plane routing agent
US9788325B2 (en) 2016-03-01 2017-10-10 Wipro Limited Methods and systems for radio carriers management in a wireless broadband network
US10218625B2 (en) 2016-03-30 2019-02-26 New York University Methods and apparatus for alleviating congestion at a switch, such as a shallow buffered switch
US10893069B2 (en) 2016-04-06 2021-01-12 Nokia Technologies Oy Diameter edge agent attack detection
US9681360B1 (en) 2016-05-13 2017-06-13 Harris Corporation Managed access system that provides selective communications and registration of mobile wireless devices
US20170345006A1 (en) 2016-05-27 2017-11-30 Mastercard International Incorporated Systems and methods for location data verification
US11395092B2 (en) 2016-07-18 2022-07-19 Here Global B.V. Device location verification for updated map data
CN108307385B (zh) 2016-08-31 2021-06-29 华为技术有限公司 一种防止信令攻击方法及装置
CN107800664B (zh) 2016-08-31 2021-06-15 华为技术有限公司 一种防止信令攻击方法及装置
GB2553765A (en) 2016-09-07 2018-03-21 Evolved Intelligence Ltd Mobile device roaming
US10764376B2 (en) 2016-10-18 2020-09-01 Cisco Technology, Inc. System and method for node selection based on mid-session and end-session event information
US10470154B2 (en) 2016-12-12 2019-11-05 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber location information
GB2558205B (en) * 2016-12-15 2019-07-03 Arm Ip Ltd Enabling communications between devices
US10237721B2 (en) 2017-01-17 2019-03-19 Oracle International Corporation Methods, systems, and computer readable media for validating a redirect address in a diameter message
US10405184B2 (en) 2017-01-31 2019-09-03 Harris Corporation Mobile wireless device managed access system providing enhanced authentication features and related methods
US10341411B2 (en) 2017-03-29 2019-07-02 Oracle International Corporation Methods, systems, and computer readable media for providing message encode/decode as a service
US10868893B2 (en) 2017-03-31 2020-12-15 Xilinx, Inc. Network interface device
WO2018202284A1 (en) 2017-05-03 2018-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Authorizing access to user data
US10212538B2 (en) 2017-06-28 2019-02-19 Oracle International Corporation Methods, systems, and computer readable media for validating user equipment (UE) location
US10616200B2 (en) 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10021738B1 (en) 2017-09-05 2018-07-10 Syniverse Technologies, Llc Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks
US10123165B1 (en) 2017-09-19 2018-11-06 International Business Machines Corporation Eliminating false positives of neighboring zones
US10820359B2 (en) 2017-10-13 2020-10-27 Syniverse Technologies, Llc GPRS tunneling protocol (GTP) traffic hub and associated method of use
EP3972347A1 (en) 2017-12-08 2022-03-23 Comcast Cable Communications LLC User plane function selection for isolated network slice
CN110035433B (zh) 2018-01-11 2024-03-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
US10387487B1 (en) 2018-01-25 2019-08-20 Ikorongo Technology, LLC Determining images of interest based on a geographical location
US10701032B2 (en) 2018-02-13 2020-06-30 Palo Alto Networks, Inc. Application layer signaling security with next generation firewall
CN110167013B (zh) 2018-02-13 2020-10-27 华为技术有限公司 一种通信方法及装置
US10548004B2 (en) 2018-02-15 2020-01-28 Nokia Technologies Oy Security management in communication systems between security edge protection proxy elements
US10791118B2 (en) 2018-03-29 2020-09-29 Mcafee, Llc Authenticating network services provided by a network
EP3547757A1 (en) 2018-03-30 2019-10-02 InterDigital CE Patent Holdings Wireless access point and method for providing backup network connections
US10992580B2 (en) 2018-05-07 2021-04-27 Cisco Technology, Inc. Ingress rate limiting in order to reduce or prevent egress congestion
EP3791537A4 (en) 2018-05-09 2022-01-19 Nokia Technologies Oy SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM
US11792163B2 (en) 2018-05-12 2023-10-17 Nokia Technologies Oy Security management for network function messaging in a communication system
US20210203643A1 (en) 2018-05-21 2021-07-01 Telefonaktiebolaget Lm Ericsson (Publ) Message Transmission between Core Network Domains
US10484911B1 (en) 2018-05-23 2019-11-19 Verizon Patent And Licensing Inc. Adaptable radio access network
US11146577B2 (en) 2018-05-25 2021-10-12 Oracle International Corporation Methods, systems, and computer readable media for detecting and mitigating effects of abnormal behavior of a machine type communication (MTC) device
WO2019227350A1 (zh) 2018-05-30 2019-12-05 北京小米移动软件有限公司 小区切换的处理方法及装置
WO2019228832A1 (en) 2018-06-01 2019-12-05 Nokia Technologies Oy A method for message filtering in an edge node based on data analytics
US10931668B2 (en) 2018-06-29 2021-02-23 Oracle International Corporation Methods, systems, and computer readable media for network node validation
US10306459B1 (en) 2018-07-13 2019-05-28 Oracle International Corporation Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP)
JP7078850B2 (ja) 2018-07-23 2022-06-01 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法
US11050788B2 (en) 2018-07-30 2021-06-29 Cisco Technology, Inc. SEPP registration, discovery and inter-PLMN connectivity policies
WO2020027864A1 (en) 2018-07-31 2020-02-06 Didi Research America, Llc System and method for point-to-point traffic prediction
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
EP3834449A4 (en) 2018-08-10 2022-05-04 Nokia Technologies Oy NETWORK FUNCTION AUTHENTICATION BASED ON A PUBLIC KEY BINDING IN AN ACCESS TOKEN IN A COMMUNICATION SYSTEM
CN112567833A (zh) 2018-08-13 2021-03-26 苹果公司 使用用户设备(ue)标识符以在第五代(5g)系统中注册
US10511998B1 (en) 2018-08-29 2019-12-17 Syniverse Technologies, Llc System and method for identifying false short message service (SMS) delivery reports
US10834591B2 (en) 2018-08-30 2020-11-10 At&T Intellectual Property I, L.P. System and method for policy-based extensible authentication protocol authentication
US11483741B2 (en) 2018-09-06 2022-10-25 Nokia Technologies Oy Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment
CN110933711B (zh) 2018-09-19 2023-06-02 华为技术有限公司 策略控制方法、设备及系统
US10574670B1 (en) 2018-09-27 2020-02-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
US10728875B2 (en) 2018-10-02 2020-07-28 Google Llc Scanning frequency selection for a wireless device
WO2020094547A1 (en) 2018-11-05 2020-05-14 Telefonaktiebolaget Lm Ericsson (Publ) Fully qualified domain name handling for service interactions in 5g
CN111200845B (zh) 2018-11-19 2022-09-23 华为技术有限公司 一种资源信息发送方法、装置及系统
US10680964B1 (en) 2018-11-26 2020-06-09 Mellanox Technologies Tlv Ltd. Rate limiting in a multi-chassis environment by exchanging information between peer network elements
US11134430B2 (en) 2018-12-10 2021-09-28 At&T Intellectual Property I, L.P. System and method for detecting and acting upon a violation of terms of service
US20220124501A1 (en) 2019-01-18 2022-04-21 Nokia Solutions And Networks Oy Method and apparatus for protecting pdu sessions in 5g core networks
US20200259896A1 (en) 2019-02-13 2020-08-13 Telefonaktiebolaget Lm Ericsson (Publ) Industrial Automation with 5G and Beyond
WO2020164763A1 (en) 2019-02-13 2020-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatuses for alternative data over non-access stratum, donas, data delivery in a roaming scenario
CN114423026A (zh) 2019-02-18 2022-04-29 华为技术有限公司 通信方法、装置及系统
WO2020174121A1 (en) 2019-02-28 2020-09-03 Nokia Technologies Oy Inter-mobile network communication authorization
JP7259977B2 (ja) 2019-03-01 2023-04-18 日本電気株式会社 端末、方法、及びプログラム
CN111436081B (zh) 2019-03-06 2023-06-30 维沃移动通信有限公司 数据传送的保障方法及通信设备
US20220191763A1 (en) 2019-03-15 2022-06-16 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for switching upfs
CN111800777B (zh) 2019-04-08 2021-08-03 华为技术有限公司 一种漫游数据处理方法、装置及系统
WO2020208033A1 (en) 2019-04-08 2020-10-15 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for handling telescopic fqdns
US10952063B2 (en) 2019-04-09 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening
EP3963825A4 (en) 2019-04-27 2023-01-25 Nokia Technologies Oy SERVICE AUTHORIZATION FOR INDIRECT COMMUNICATION IN A COMMUNICATION SYSTEM
CN113796111A (zh) 2019-05-09 2021-12-14 三星电子株式会社 在无线通信系统中提供移动边缘计算服务的装置和方法
CN114097268A (zh) 2019-06-12 2022-02-25 苹果公司 与应用触发和nas上的sms有关的性能测量
US11140555B2 (en) 2019-06-18 2021-10-05 Cisco Technology, Inc. Location-based identification of potential security threat
US10834571B1 (en) 2019-08-02 2020-11-10 Syniverse Technologies, Llc Steering of roaming for 5G core roaming in an internet packet exchange network
US11102138B2 (en) 2019-10-14 2021-08-24 Oracle International Corporation Methods, systems, and computer readable media for providing guaranteed traffic bandwidth for services at intermediate proxy nodes
US11018971B2 (en) 2019-10-14 2021-05-25 Oracle International Corporation Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing
US20210142143A1 (en) 2019-11-11 2021-05-13 Kevin D. Howard Artificial intelligence systems and methods
US11444881B2 (en) 2019-11-19 2022-09-13 Oracle International Corporation System and method for supporting use of forward and backward congestion notifications in a private fabric in a high performance computing environment
US11368839B2 (en) 2019-12-13 2022-06-21 T-Mobile Usa, Inc. Secure privacy provisioning in 5G networks
US11503052B2 (en) 2019-12-19 2022-11-15 Radware, Ltd. Baselining techniques for detecting anomalous HTTPS traffic behavior
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
US11337108B2 (en) 2020-02-19 2022-05-17 Verizon Patent And Licensing Inc. Uplink congestion control based on SIP messaging
US11539628B2 (en) 2020-06-23 2022-12-27 Arista Networks, Inc. Automated configuration of policer parameters
DE102020116791A1 (de) 2020-06-25 2021-12-30 Technische Universität Dresden Vorrichtung und Verfahren zum computergestützten Verarbeiten von Daten
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11398956B2 (en) 2020-07-16 2022-07-26 Cisco Technology, Inc. Multi-Edge EtherChannel (MEEC) creation and management
US11368412B2 (en) 2020-07-31 2022-06-21 Avago Technologies International Sales Pte. Limited Power throttle for network switches
US11790113B2 (en) 2020-08-12 2023-10-17 Apple Inc. Secure storage and retrieval of sensitive information
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11956629B2 (en) 2020-10-06 2024-04-09 Lynk Global, Inc. Method and system for providing authentication of a wireless device and cell broadcast service between wireless mobile devices and a satellite network
US11616770B2 (en) 2020-10-16 2023-03-28 Verizon Patent And Licensing Inc. Systems and methods for authenticating user devices
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
JP2023548370A (ja) 2020-11-06 2023-11-16 オラクル・インターナショナル・コーポレイション 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体
US11272560B1 (en) 2020-11-11 2022-03-08 At&T Intellectual Property I, L.P. Methods, systems, and devices for enhanced cell activation in a network supporting dual connectivity
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US20220158847A1 (en) 2020-11-16 2022-05-19 Nokia Technologies Oy Security procedure
US11463915B2 (en) 2020-11-30 2022-10-04 Verizon Patent And Licensing Inc. Systems and methods for exposing custom per flow descriptor attributes
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11418479B2 (en) 2020-12-17 2022-08-16 Oracle International Corporation Methods, systems, and computer readable media for creating internet protocol (IP) address pools from dynamic host configuration protocol (DHCP) servers to asynchronously serve IP address allocation requests by session management functions (SMFs)
US20220256312A1 (en) 2021-02-10 2022-08-11 Samsung Electronics Co., Ltd. Method and device for identifying service area in wireless communication system
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries

Also Published As

Publication number Publication date
JP2023544000A (ja) 2023-10-19
WO2022066227A1 (en) 2022-03-31
WO2022066228A1 (en) 2022-03-31
US20220104112A1 (en) 2022-03-31
US11832172B2 (en) 2023-11-28
EP4218168A1 (en) 2023-08-02
EP4218169A1 (en) 2023-08-02

Similar Documents

Publication Publication Date Title
US11832172B2 (en) Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
JP7466053B2 (ja) セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11818570B2 (en) Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11528251B2 (en) Methods, systems, and computer readable media for ingress message rate limiting
EP4241419A1 (en) Methods, systems, and computer readable media for ingress message rate limiting
US11627467B2 (en) Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces
JP2024507577A (ja) アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11888894B2 (en) Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks
US11695563B2 (en) Methods, systems, and computer readable media for single-use authentication messages
JPWO2022066227A5 (ja)
US20240163271A1 (en) Methods, systems, and computer readable media for detecting stolen access tokens
CN116530053A (zh) 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质
US20230199497A1 (en) Methods, systems, and computer readable media for mitigating effects of access token misuse
CN117859312A (zh) 通过验证过载控制信息来降低成功DoS攻击的可能性

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240424

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240424