JP2023543999A - セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 - Google Patents
セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 Download PDFInfo
- Publication number
- JP2023543999A JP2023543999A JP2023519025A JP2023519025A JP2023543999A JP 2023543999 A JP2023543999 A JP 2023543999A JP 2023519025 A JP2023519025 A JP 2023519025A JP 2023519025 A JP2023519025 A JP 2023519025A JP 2023543999 A JP2023543999 A JP 2023543999A
- Authority
- JP
- Japan
- Prior art keywords
- plmn
- sepp
- identifier
- inter
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 26
- 230000004224 protection Effects 0.000 title claims description 13
- 238000012546 transfer Methods 0.000 claims abstract description 55
- 238000002790 cross-validation Methods 0.000 claims abstract description 35
- 230000004044 response Effects 0.000 claims abstract description 26
- 238000012795 verification Methods 0.000 claims description 11
- 229940119265 sepp Drugs 0.000 abstract description 5
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 abstract 4
- 102100023843 Selenoprotein P Human genes 0.000 abstract 4
- 238000004891 communication Methods 0.000 description 45
- 230000006870 function Effects 0.000 description 24
- 230000000977 initiatory effect Effects 0.000 description 22
- 238000010200 validation analysis Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 13
- 239000000284 extract Substances 0.000 description 8
- 238000007726 management method Methods 0.000 description 5
- 238000012216 screening Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
SERF PLMN間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法は、応答SERFが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子および/または第1のPLMN識別子を取得することを備える。方法はさらに、第1のSEPP識別子および/または第1のPLMN識別子を、ID相互検証データベースに格納することを備える。方法はさらに、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子および/または第2のPLMN識別子を取得することと、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、ID相互検証データベースにおいてルックアップを実行することと、ルックアップキーに対応するレコードがID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することとを備える。
Description
優先権の主張
本出願は、2020年12月21日出願の米国特許出願連続番号第17/129,441号、2020年11月11日出願の米国特許出願連続番号第17/095,420号、2020年11月2日出願のインド仮特許出願連続番号第202041047779号、および2020年9月25日出願のインド仮特許出願連続番号第202041041754号の優先権利益を主張し、それらの開示全体が引用により本明細書に援用される。
本出願は、2020年12月21日出願の米国特許出願連続番号第17/129,441号、2020年11月11日出願の米国特許出願連続番号第17/095,420号、2020年11月2日出願のインド仮特許出願連続番号第202041047779号、および2020年9月25日出願のインド仮特許出願連続番号第202041041754号の優先権利益を主張し、それらの開示全体が引用により本明細書に援用される。
技術分野
本明細書に記載される主題は、5G通信ネットワークにおけるセキュリティの強化に関する。より詳細には、本明細書に記載される主題は、セキュリティエッジ保護プロキシ(security edge protection proxy:SEPP)パブリックランドモバイルネットワーク(public land mobile network:PLMN)間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
本明細書に記載される主題は、5G通信ネットワークにおけるセキュリティの強化に関する。より詳細には、本明細書に記載される主題は、セキュリティエッジ保護プロキシ(security edge protection proxy:SEPP)パブリックランドモバイルネットワーク(public land mobile network:PLMN)間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
背景
5G通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサネットワーク機能(network function:NF)と呼ばれる。サービスを消費するネットワークノードは、コンシューマNFと呼ばれる。ネットワーク機能は、サービスを消費するか提供するかによって、プロデューサNFとコンシューマNFとの両方になることができる。
5G通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサネットワーク機能(network function:NF)と呼ばれる。サービスを消費するネットワークノードは、コンシューマNFと呼ばれる。ネットワーク機能は、サービスを消費するか提供するかによって、プロデューサNFとコンシューマNFとの両方になることができる。
所与のプロデューサNFは、多くのサービスエンドポイントを有することがあり、サービスエンドポイントは、プロデューサNFがホストする1つまたは複数のNFインスタンス用の接点である。サービスエンドポイントは、インターネットプロトコル(internet protocol:IP)アドレスとポート番号との組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスとポート番号とに解決する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、2つ以上のNFインスタンスを含み得る。また、複数のNFインスタンスが同じサービスエンドポイントを共有できることに留意されたい。
プロデューサNFは、ネットワーク機能リポジトリ機能(network repository function:NRF)に登録する。NRFは、各NFインスタンスがサポートするサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するためにサブスクライブできる。
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するためにサブスクライブできる別のタイプのネットワークノードは、サービス通信プロキシ(service communications proxy:SCP)である。SCPは、NRFをサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性とサービスプロファイル情報とを取得する。コンシューマNFはサービス通信プロキシに接続し、サービス通信プロキシは、必要なサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを負荷分散するか、トラフィックを宛先のプロデューサNFインスタンスに直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノードのグループの他の例としては、セキュリティエッジ保護プロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュのノードが挙げられる。SEPPは、異なる5G パブリックランドモバイルネットワーク(PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPはすべてのアプリケーションプログラミングインターフェイス(application programming interface:API)メッセージに対して、メッセージフィルタリング、ポリシングおよびトポロジー隠蔽を実行する。
現在の5Gネットワークアーキテクチャに存在する脆弱性の1つは、SEPP間のインターフェイスであるN32インターフェイスで発生する。上述したように、SEPPはパブリックランドモバイルネットワーク(PLMN)のセキュリティ・スクリーニング・ノードとして機能する。N32制御すなわち32-cインターフェイスは、リモートSEPPとの制御メッセージの交換に使用される。N32-cインターフェイスでの通信の開始には、N32制御メッセージの交換用のトランスポート層セキュリティ(transport layer security:TLS)接続を確立するためのTLSハンドシェイク手順が含まれる。N32-cメッセージの交換後、N32転送またはN32-fインターフェイス用の2つ目のTLS接続を確立するために2つ目のTLSハンドシェイクが発生する。N32-fインターフェイスで行われる唯一の検証は、TLS証明書が有効であり、かつ信頼できる認証局によって発行されているかどうかである。その結果、ハッカーSEPPは本物のSEPPのIDを詐称し、SEPPによって保護されるPLMNと、転送インターフェイスで無許可のサービス通信を行うことができる。また、PLMN間転送インターフェイスを介して受信されたサービスメッセージには、PLMNの検証はない。
これらおよび他の困難に鑑みて、SEPP PLMN間転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体が必要である。
概要
セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法は、応答SEPPが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することを備える。方法はさらに、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することを備える。方法はさらに、応答SEPPが、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することを備える。方法はさらに、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することを備える。方法はさらに、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することを備える。
セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法は、応答SEPPが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することを備える。方法はさらに、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することを備える。方法はさらに、応答SEPPが、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することを備える。方法はさらに、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することを備える。方法はさらに、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することを備える。
本明細書に記載される主題の他の態様によると、PLMN間制御インターフェイスはN32-cインターフェイスcを含み、PLMN間転送インターフェイスはN32-fインターフェイスを含む。
本明細書に記載される主題の他の態様によると、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することは、N32-cインターフェイス用の第1のトランスポート層セキュリティ(TLS)接続を確立するためのTLSハンドシェイク中に、PLMN間制御インターフェイスを介して受信された第1のTLS証明書メッセージに含まれる第1の証明書から、第1のSEPP識別子を取得することを含む。
本明細書に記載される主題の他の態様によると、第1の証明書は、第1のX.509証明書を含む。
本明細書に記載される主題の他の態様によると、第1のSEPP識別子を取得することは、第1のX.509証明書のサブジェクト代替名拡張子から第1のSEPP識別子を抽出することを含む。
本明細書に記載される主題の他の態様によると、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することは、N32-fインターフェイス用の第2のTLS接続を確立するためのTLSハンドシェイク中に受信された第2のTLS証明書メッセージに含まれる第2の証明書から、第2のSEPP識別子を取得することを含む。
本明細書に記載される主題の他の態様によると、第2の証明書は、第2のX.509証明書を含む。
本明細書に記載される主題の他の態様によると、第2のSEPP識別子を取得することは、第2のX.509証明書のサブジェクト代替名拡張子から第2のSEPP識別子を抽出することを含む。
本明細書に記載される主題の他の態様によると、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから第1のSEPP識別子と第1のPLMN識別子とを取得することは、PLMN間制御インターフェイス用の第1のTLS接続を設定するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージから、第1のSEPP識別子を取得することと、第1のTLS接続を介して受信されたN32-cセキュリティ能力交換メッセージから、第1のPLMN識別子を取得することとを含み、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから第2のSEPP識別子と第2のPLMN識別子とを取得することは、PLMN間転送インターフェイス用の第2のTLS接続を設定するためのTLSハンドシェイク中に受信された第2のTLS認証メッセージから、第2のSEPP識別子を取得することと、第2のTLS接続を介して受信された5Gサービスメッセージから、第2のPLMN識別子を取得することとを含む。
本明細書に記載される主題の他の態様によると、ルックアップキーは、第2のSEPP識別子と第2のPLMN識別子とを含むタプルから構成される。
本明細書に記載される主題の他の態様によると、セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するためのシステムが提供される。システムは、少なくとも1つのプロセッサとメモリとを含むセキュリティエッジ保護プロキシ(SEPP)を備える。システムはさらに、メモリに存在するSEPP PLMN間転送インターフェイスID相互検証データベースを備える。システムはさらに、少なくとも1つのプロセッサによって実装されたPLMN間転送インターフェイスIDなりすまし緩和モジュールを備え、PLMN間転送インターフェイスIDなりすまし緩和モジュールは、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得し、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納し、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得し、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行し、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、SEPPによって保護されるPLMNに入ることを防止するように構成されている。
本明細書に記載される主題の他の態様によると、PLMN間転送インターフェイスIDなりすまし緩和モジュールは、第1のX.509証明書のサブジェクト代替名拡張子から第1のSEPP識別子を抽出するように構成されている。
本明細書に記載される主題の他の態様によると、第2の証明書は、第2のX.509証明書を含み、PLMN間転送インターフェイスIDなりすまし緩和モジュールは、X.509証明書のサブジェクト代替名拡張子から第2の識別子を抽出することによって、第2の識別子を取得するように構成されている。
本明細書に記載される主題の他の態様によると、コンピュータのプロセッサによって実行されるとステップを実行する実行可能な命令を格納した非一時的なコンピュータ読取可能媒体が提供される。ステップは、応答セキュリティエッジ保護プロキシ(SEPP)が、パブリックランドモバイルネットワーク間(PLMN間)制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することを含む。ステップはさらに、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することを含む。ステップはさらに、応答SEPPが、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することを含む。ステップはさらに、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することを含む。ステップはさらに、ルックアップキーに対応するレコードがSEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入るのを防止することを含む。
本明細書で説明する主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実装することができる。そのため、本明細書で使用する「機能」、「ノード」または「モジュール」という用語は、説明する機能を実装するための、ソフトウェアコンポーネントおよび/またはファームウェアコンポーネントも含み得るハードウェアを指す。1つの例示的な実現例において、本明細書に記載される主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御するコンピュータ実行可能命令を格納したコンピュータ読取可能媒体を使用して実施され得る。本明細書に記載の主題を実施するのに適した例示的なコンピュータ読取可能媒体の例として、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路などの非一時的なコンピュータ読取可能媒体が挙げられる。さらに、本明細書に記載の主題を実施するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置してもよく、複数のデバイスまたはコンピューティングプラットフォーム間で分散されていてもよい。
次に、添付図面を参照しながら、本明細書に記載される主題について説明する。
詳細な説明
本明細書に記載される主題は、SEPPのPLMN間転送インターフェイスにおける5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、NRF100およびSCP101を含み、これらは同じホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)に配置され得る。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが新しい/更新されたプロデューサNFサービスインスタンスの登録をサブスクライブし、これらが通知されることを許可し得る。また、SCP101は、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。さらに、本明細書に記載される方法論を使用して、SCP101は、優先NF位置ベースの選択およびルーティングを実行し得る。
本明細書に記載される主題は、SEPPのPLMN間転送インターフェイスにおける5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、NRF100およびSCP101を含み、これらは同じホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)に配置され得る。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが新しい/更新されたプロデューサNFサービスインスタンスの登録をサブスクライブし、これらが通知されることを許可し得る。また、SCP101は、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。さらに、本明細書に記載される方法論を使用して、SCP101は、優先NF位置ベースの選択およびルーティングを実行し得る。
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からNFもしくはサービスプロファイルまたはプロデューサNFインスタンスを取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標)(Third Generation Partnership Project)TS(Technical Specification)29.510で定義されたJSON(JavaScript(登録商標) Object notation)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(fully qualified domain name:FQDN)、インターネットプロトコル(Internet protocol:IP)バージョン4(IPv4)アドレスまたはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。図1では、(NRF100以外の)ノードのいずれかは、サービスを要求しているかまたは提供しているかに応じて、コンシューマNFまたはプロデューサNFのいずれかになり得る。図示された例では、ノードは、ネットワークにおいてポリシー関連の動作を実行するポリシー制御機能(policy control function:PCF)102と、ユーザデータを管理するユーザデータ管理(user data management:UDM)機能104と、アプリケーションサービスを提供するアプリケーション機能(application function:AF)106とを含む。図1に示すノードはさらに、アクセス・モビリティ管理機能(access and mobility management function:AMF)110とPCF102との間のセッションを管理するセッション管理機能(session management function:SMF)108を含む。AMF110は、4Gネットワークにおけるモビリティ管理エンティティ(mobility management entity:MME)によって実行されるものと同様のモビリティ管理動作を実行する。認証サーバ機能(authentication server function:AUSF)112は、ユーザ機器(user equipment:UE)114などの、ネットワークへのアクセスを求めるユーザ機器(UE)のための認証サービスを実行する。
ネットワークスライス選択機能(network slice selection function:NSSF)116は、ネットワークスライスに関連する特定のネットワーク機能および特性にアクセスしようとするデバイスのためのネットワークスライスサービスを提供する。ネットワーク公開機能(network exposure function:NEF)118は、ネットワークに接続されたIoT(Internet of things)デバイスおよび他のUEに関する情報を取得しようとするアプリケーション機能のためのアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力公開機能(service capability exposure function:SCEF)と同様の機能を実行する。
無線アクセスネットワーク(radio access network:RAN)120は、ユーザ機器(UE)114を無線リンクでネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1に示されていない)または他の無線アクセスポイントを使用してアクセスされ得る。ユーザプレーン機能(user plane function:UPF)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能をサポートすることができる。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(multipath transmission control protocol:MPTCP)プロキシ機能である。また、UPF122は、ネットワーク性能測定値を取得するためにUE114によって使用され得る性能測定機能をサポートし得る。また、図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(data network:DN)124が示されている。
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックに対してトポロジー隠蔽を実行する。SEPP126は、外部PLMNのためのセキュリティを管理する外部PLMNのSEPPと通信し得る。したがって、異なるPLMNのNF間のトラフィックは、2つのSEPP機能(一方はホームPLMN用、他方は外部PLMN用)を横断し得る。
上述したように、既存の5Gアーキテクチャの1つの問題は、SEPPのPLMN間転送インターフェイスに提示されるSEPPのIDまたはPLMNのIDの検証がないことである。PLMN間転送インターフェイスにおいてSEPPのIDまたはPLMNの検証がない場合、悪意のあるSEPPは、他のSEPPのIDまたはPLMNのIDを詐称し、転送インターフェイスを介して送信されるサービストラフィックを使用して、サービス拒否攻撃を含むセキュリティ攻撃を仕掛けようと試みることができる。応答SEPPは、PLMN間転送インターフェイスに提示されたSEPPのIDまたはPLMNのIDが、正当な開始SEPPおよび/またはPLMNからのものかどうかを検証しない。本明細書で使用される場合、「開始SEPP」という用語は、PLMN間制御インターフェイスおよびPLMN間転送インターフェイスでTLS接続を要求するSEPPを指す。「応答SEPP」という用語は、PLMN間制御インターフェイスおよびPLMN間転送インターフェイスでTLS接続の要求を受信するSEPPを指す。本明細書に記載の主題は、PLMN間転送インターフェイスで提示されたSEPPのIDをPLMN間制御インターフェイスで提示されたSEPPのIDと相互検証することによって、この難題および他の難題に対処する。
3GPPネットワークアーキテクチャでは、SEPPはPLMN間制御メッセージのプロキシである。3GPP TS 33.501によれば、SEPPは、メッセージ保護、相互認証、鍵管理、トポロジー隠蔽、アクセス制御、不正なN32シグナリングメッセージの破棄、レート制限、およびなりすまし防止を行う。本明細書に記載される主題は、N32-fインターフェイスでの通信についてのなりすまし防止の実装を含む。
図2は、SEPPおよびSEPP間のインターフェイスを示す図である。図2を参照すると、SEPP126AおよびSEPP126Bは、N32インターフェイスを介して通信する。N32インターフェイスは、N32-cインターフェイスとN32-fインターフェイスという2つの異なるインターフェイスを含む。N32-cインターフェイスは、初期ハンドシェイクを実行し、N32メッセージ転送中に適用するパラメータのネゴシエーションを行うためのSEPP間の制御プレーンインターフェイスである。N32-fインターフェイスは、アプリケーションレベルセキュリティ保護を適用した後にNFサービスコンシューマとNFサービスプロデューサとの間の通信を転送するために使用される、SEPP間の転送インターフェイスである。
図2には、N32インターフェイスに加えて、PRINSインターフェイスも示されている。PRINSインターフェイスは、1つまたは複数のIP交換(IPX)プロバイダ200および202を介してSEPP126Aと126Bとの間でメッセージを転送するために使用される。しかしながら、本明細書で説明する主題が対象とするのは、N32-c TLS接続およびN32-f TLS接続である。
安全な通信のために、N32-cインターフェイスとN32-fインターフェイスとで別々のTLS接続が確立される。図3は、TLS接続を確立するために使用されるTLSハンドシェイクにおけるクライアントとサーバとの間の例示的なメッセージ交換を示す図である。図3では、クライアントがサーバにClientHelloメッセージを送信する。サーバは次に、ServerHelloメッセージ、Certificateメッセージ、ServerKeyExchangeメッセージ、CertificateRequestメッセージおよびServerHelloDoneメッセージをクライアントに送信する。これらのメッセージに応答して、クライアントはサーバにCertificateメッセージ、ClientKeyExchangeメッセージ、CertificateVerifyメッセージおよびFinishedメッセージを送信する。本書で説明する応答SEPP(TLS接続確立の目的でサーバとして動作する)がX.509証明書を取得するために使用するのは、クライアントからサーバへの証明書メッセージである。開始SEPPのIDを確認するためのものである。一例では、N32-c通信用のTLS接続を確立するためのTLSハンドシェイクのX.509証明書から抽出された送信者のIDは、送信者のN32-f IDを相互検証するために使用され得る。上記のように、TLSハンドシェイクプロトコルは、IETF(Internet Engineering Task Force)RFC(Request for Comments)5246で定義されており、TLS接続の両端による証明書メッセージの交換を含む。証明書メッセージを含む、IETF RFC5246で定義されたTLSハンドシェイクメッセージの構造は、以下の通りである。
TLSハンドシェイクメッセージ構造で示されるように、定義されたハンドシェイクメッセージタイプのうちの1つは証明書メッセージであり、送信者がクライアントとして機能しているかサーバとして機能しているかによって、クライアントまたはサーバの証明書を含む。N32-cインターフェイスを介して安全なTLS通信を確立する際に、TLS接続の両端が他方の端のX.509証明書の受信および検証を行う相互TLS、すなわちm-TLSが使用される。IETF RFC5246によると、証明書の種類は、明示的にネゴシエーションされない限り、X.509v3でなければならない。本明細書で説明する例では、X.509v3証明書を例として使用したが、本明細書で説明する主題は、X.509v3から抽出した送信者のIDを使用して送信者のN32-f IDを検証することだけに限られない。X.509v3証明書フォーマットは、IETF RFC3280で定義されている。IETF RFC3280によると、X.509v3証明書に含まれ得る1つの拡張子またはパラメータは、サブジェクト代替名拡張子である。サブジェクト代替名拡張子は、以下のように定義される。
サブジェクト代替名拡張子によって、証明書のサブジェクトに追加IDを結び付けることが可能になる。定義されたオプションには、インターネット電子メールアドレス、DNS名、IPアドレスおよびURI(uniform resource identifier)が含まれる。その他に、完全にローカルな定義を含むオプションも存在する。複数の名前形式、および各名前形式の複数のインスタンスを含めてもよい。このようなIDを証明書に結び付ける場合は、必ずサブジェクト代替名(または発行者代替名)エクステンションを使用しなければならないが、DNS名を、セクション4.1.2.4に記載されているように、domainComponent属性を使用してサブジェクトフィールドに表現してもよい。
サブジェクト代替名は公開鍵に決定的に結び付けられているとみなされるため、サブジェクト代替名のすべての部分がCAによって検証されなければならない。
上記のとおり、X.509v3証明書のサブジェクト代替名拡張子には、証明書のサブジェクトを識別するDNS名、IPアドレス、またはURIを含めることができ、これは認証局によって確認される。サブジェクト代替名は、認証局によって確認されるため、なりすましが困難である。しかしながら、送信者が有効なX.509証明書を持っていることを確認するだけでは、N32-fアプリケーションレベルで送信者のIDを検証することはできない。このような相互検証を行うために、応答SEPP126Bは、N32-c通信用のTLS接続を確立するために使用される証明書メッセージから送信者のIDを抽出し、N32-f通信用のTLS接続を確立するために使用される証明書メッセージから送信者のIDを抽出し、これらのIDを比較し得る。IDが一致する場合、応答SEPP126Bは、いずれかの証明書メッセージから抽出されたIDを、設定されたピアSEPPのIDのデータベースと比較するさらに別の検証ステップを実行し得る。いずれかの検証が失敗した場合、応答SEPPは、N32-f通信用のTLS接続に関連するPLMN間通信をブロックし得る。
図4は、N32-cインターフェイスおよびN32-fインターフェイスで使用されるIDの相互検証を行わない場合に発生し得る例示的な攻撃シナリオを示す。図4では、PLMN1に位置する開始SEPP126Aは、応答SEPP126BとN32-cインターフェイス上でTLS接続を確立し得る。PLMN3に位置するハッカーSEPP300は、SEPP126BとN32-f通信用のTLS接続を確立し得る。N32-f通信用のTLS接続で使用されるIDと、N32-c通信用のTLS接続で使用されるIDとの相互検証はないため、PLMN3に位置するハッカーSEPP300およびハッカーNF302は、PLMN2に位置する応答SEPP126BおよびプロデューサNF304に攻撃トラフィックを送信できる。一例では、そのような攻撃トラフィックは、PLMN1に位置するコンシューマNF306がプロデューサNF304からサービスを取得することを防止するサービス拒否攻撃を実施するために使用され得る。
図5は、N32-f通信への攻撃シナリオをより詳細に説明する図である。図5では、開始SEPP126Aと応答SEPP126Bとの間で、N32-c通信用のTLS接続が確立される。
N32-c通信用のTLS接続が確立された後、開始SEPP126Aと応答SEPP126Bとは、TLS接続を介してN32-cセキュリティ能力メッセージを交換する。
N32-c接続が確立されると、開始SEPP126Aおよび応答SEPP126Bは、N32-f通信用の第2のTLSハンドシェイクを実行する。第2のTLS接続が確立されると、開始SEPP126Aおよび応答SEPP126Bは、それぞれのPLMNにおけるコンシューマNFとプロデューサNFとの間で、5Gサービス要求メッセージおよび5Gサービス応答メッセージを交換し得る。
N32-f TLS IDとN32-c TLS IDとの相互検証はないため、ハッカーSEPP300は、応答SEPP126BとTLSハンドシェイクを開始することができる。応答SEPP126Bは、証明書が有効な認証局から発行されているかどうかを知るためにチェックを行う。しかしながら、他のインターフェイスで取得されたIDとの相互検証はない。その結果、ハッカーSEPP300は、N32-f通信用のTLS接続を確立し、SEPP126Aのふりをして応答SEPP126Bによって保護されるネットワーク内のプロデューサNFに5G要求メッセージを送信することができるため、応答SEPP126Bによって保護されるPLMNにおいてサービス拒否などの問題を引き起こす可能性がある。
この種類の攻撃から保護するために、応答SEPP126Bは、N32-cインターフェイスで受信された開始SEPPのIDを格納し、そのIDを用いて、N32-f通信用のTLS接続で開始SEPPのIDを相互検証し得る。図6は、応答SEPPによって実行され得る相互検証を示す図である。図6を参照すると、ライン1において、開始SEPP126Aおよび応答SEPP126Bは、N32-c通信用のTLS接続を確立するためにTLSメッセージを交換する。ライン2およびライン3において、開始SEPP126Aおよび応答SEPP126Bは、N32-c、セキュリティ能力交換メッセージを交換する。
ライン2以降、応答SEPP126Bは、第1のTLS接続用のX-509証明書から抽出された開始SEPP126AのIDと、ライン2からのN32-cセキュリティ能力交換メッセージからの開始SEPP128CのPLMNとを、SEPP PLMN間転送インターフェイスID相互検証データベース600に格納し得る。応答SEPP126Bは、SEPP PLMN間転送インターフェイスID相互検証データベース600に格納されたIDを使用して、開始SEPPによって提示されるN32-f IDを検証し得る。
SEPP126BはN32-cセキュリティ能力ネゴシエーショントランザクションのための応答SEPPであるので、応答SEPP126Bは、開始SEPP126AからのHTTP POSTメッセージのN32-c SecNegotiateReqData情報要素の送信者ID属性から、N32-c IDを抽出し得る。以下の表1および表2は、3GPP TS29.573の表6.1.5.2.2.1に対応し、N32-cセキュリティ能力ネゴシエーションの一部であるSecNegotiateReqData情報要素に含まれ得る属性を示す。
表1から分かるように、送信者属性はSecNegotiateReqData情報要素の両方の必須パラメータであり、要求を送信するSEPPのFQDNを含む。SEPPのPLMNは、送信SEPPのFQDNから取得することができる。たとえば、送信SEPPのFQDNがsepp1.5gc.mnc123.mcc456.3gppnetwork.orgの場合、FQDNのPLMN部分は5gc.mnc123.mcc456.3gppnetwork.orgである。詳細は後述するが、送信者のPLMNは、N32-fインターフェイスで交換される5Gコア(5GC)メッセージまたはサービスメッセージに含まれ、N32-c通信およびN32-f通信に使用されるTLS IDが一致したとしても、後続の5GCメッセージの検証に使用することができる。この追加チェックは、最初のチェックで信頼できると識別されたSEPPが、転送インターフェイスで交換される後続のメッセージで偽のPLMNのIDを送信することを防止する。ライン4において、開始SEPP126Aは、N32-f通信のために応答SEPP126BとTLSハンドシェイクを開始する。応答SEPP126Bは、第2のTLSハンドシェイクに使用されるX.509証明書から開始SEPP126AのIDを抽出し得る。応答SEPP126Bは、SEPP PLMN間転送インターフェイスID相互検証データベース600においてルックアップを実行して、N32-c通信用の開始SEPP126AのIDがN32-fインターフェイスに提示されたIDと一致するかどうかを判定し得る。この例では、IDは一致する。その結果、ライン5およびライン6において、開始SEPP126Aは、応答SEPP126Bに5Gサービス要求メッセージを送信し、応答SEPP126Bは、開始SEPP126Aに5Gサービス応答メッセージを送信する。
ライン7では、ハッカーSEPP300は、応答SEPP126BとのN32-f通信用のTLS接続を開始するためのメッセージを、応答SEPP126Bに送信する。応答SEPP126Bは、TLS接続のためにハッカーSEPP300が提示したIDを、TLSハンドシェイク手順における証明書メッセージのX.509証明書から抽出する。応答SEPP126Bは、データベース600のルックアップを実行し、ハッカーSEPP300によって提示されたIDがデータベース600に存在すると見出さない。ハッカーSEPP300が提示したIDがデータベース600に存在しないので、相互検証は失敗し、応答SEPP300は、ライン8でハッカーPLMNからの5Gサービス要求メッセージをブロックする。別の例では、応答SEPP126Bは、ライン8において5Gサービス要求メッセージを受信し、5Gサービス要求メッセージからPLMNのIDを抽出し、N32-c TLS SEPPのIDとN32-c PLMNのIDとの両方を含むルックアップキーを使用して、データベース600においてルックアップを実行し得る。ルックアップキーに対応するレコードがデータベース600に存在しない場合、応答SEPP126Bは、N32-fインターフェイス用のTLS接続で受信されたPLMN間トラフィックが、PLMNに入ることを防止し得る。
図7は、応答SEPP126Bの例示的なアーキテクチャを示すブロック図である。SEPP126Bは、少なくとも1つのプロセッサ700とメモリ702とを含む。SEPP126Bはさらに、PLMN間転送インターフェイスなりすまし緩和モジュール704を含み、このモジュールは、N32-cインターフェイス上のSEPPが提示するTLS IDを、N32-fインターフェイス上の本物のSEPPまたはハッカーSEPPが提示するIDと相互検証するために、本明細書に記載されたステップを実行する。PLMN間転送インターフェイスなりすまし緩和モジュール704は、N32-cインターフェイス上のSEPPが提示するPLMNを、N32-fインターフェイス上のSEPPが提示するPLMNと相互検証し得る。SEPP126Bはさらに、PLMN間転送インターフェイスなりすまし緩和モジュール704によって、N32-cインターフェイス上で取得されたSEPPのIDおよび/またはPLMNで動的に入力されるSEPP PLMN間転送インターフェイスID相互検証データベース600を含む。SEPP126Bは、SEPP転送インターフェイスID相互検証データベース600に格納されたSEPPのIDおよび/またはPLMNのIDを使用して、N32-fインターフェイスで提示されたTLSレベルSEPPのIDおよび/またはサービスレベルPLMNのIDを相互検証し得る。
SEPP126Bは、PLMN間通信が許可されているピアSEPPのIDで構成されるピアSEPPデータベース706も含み得る。PLMN間転送インターフェイスなりすまし緩和モジュール704は、プロセッサ700によって実装されてもよく、データベース706に格納されたピアSEPPのIDに対する、リモートノードによって提示されるN32-f IDの相互チェックを行い得る。N32-fインターフェイス用のTLS接続確立中に交換された証明書に提示されたリモートノードのIDがデータベース706に存在しない場合、またはN32-c IDとN32-f IDとの相互検証が失敗した場合、PLMN間転送インターフェイスなりすまし緩和モジュール704は、リモートノードとのPLMN間通信をブロックし得る。両方のIDの相互検証が成功した場合、PLMN間転送インターフェイスなりすまし緩和モジュール704は、リモートノードとのPLMN間通信を許可し得る。
図8は、5Gスピーキング攻撃を緩和するための例示的な方法を示すフローチャートである。図8を参照すると、ステップ800において、SEPPは、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得する。たとえば、応答SEPP126Bは、応答SEPPとのN32-c通信を確立しようとする送信ノードから受信されたTLSメッセージのX.509証明書の代替IDフィールドから、送信ノードのIDを抽出し得る。TLSメッセージは、リモートノードとのTLS接続を確立するために使用されるTLSハンドシェイク手順の一部として、リモートノードと交換される証明書メッセージであってもよい。送信ノードは、他のPLMNに関連する開始SEPPであってもよい。
ステップ800において、応答SEPPはまた、(オプションとして)PLMN間制御インターフェイスを介して受信された第1の少なくとも1つのメッセージを取得し得る。たとえば、SEPP126Bは、第1のTLS接続を介したN32-cセキュリティ能力ネゴシエーション中に送信されたSecNegotiateReqData情報要素の送信者属性から第1のPLMN識別子を抽出し、このPLMN識別子をデータベースに格納し得る。
ステップ802において、応答SEPPは、第1のSEPP識別子と第1のPLMN識別子とうちの少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納する。たとえば、SEPP126Aは、第1のSEPP識別子、第1のPLMN識別子、またはその両方を(ネットワークオペレータが要求するセキュリティスクリーニングのレベルに応じて)データベース600に格納し得る。以下に示す表2は、PLMN間制御インターフェイスを介して受信されたSEPP識別子およびPLMN識別子がポピュレートされた後のデータベースの状態を示す。
表2では、第1の列はN32-c TLS証明書メッセージから抽出されるSEPPのIDを含み、第2の列はN32-cセキュリティ能力交換メッセージから抽出されるPLMNのIDを含む。表2において、N32-cセキュリティ能力交換メッセージから取得されたPLMNは、TLSメッセージからのX.509証明書から抽出されるPLMNと同じであることに注意されたい。したがって、この場合、N32-cセキュリティ能力交換メッセージから抽出されたPLMNの格納はオプションである。N32-cセキュリティ能力交換メッセージからのPLMNがN32-c TLS接続から取得されたPLMNと一致しない場合、N32-cメッセージの送信者からのPLMN間通信はブロックされることがある。
ステップ804において、応答SEPPは、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得する。たとえば、応答SEPPは、N32-fインターフェイス用のTLS接続を確立するためのTLSハンドシェイク中に受信されたTLS証明書メッセージから第2のSEPP識別子を、および/または転送インターフェイス用のTLS接続を介して受信された5GCサービスメッセージから第2のPLMN識別子を、取得し得る。
ステップ806において、応答SEPPは、第2のTLS識別子と第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを使用して、SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行する。たとえば、応答SEPPは、第2のTLS識別子、第2のPLMN識別子、またはN32-f TLS SEPP識別子およびN32-f PLMN識別子を含むタプルから構成されるルックアップキーを使用して、データベース600においてルックアップを実行し得る。
ステップ808において、応答SEPPは、SEPP PLMN間転送インターフェイスID相互検証データベースに一致するレコードが存在するかどうかを判定する。一致するレコードが存在しない場合、これは攻撃を示すものであり、制御はステップ810に進み、応答SEPPは、PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージが、応答SEPPによって保護されるPLMNに入ることを防止する。たとえば、応答SEPPは、SEPPおよび/またはPLMNのIDの相互検証が失敗した場合、検証が失敗した最初の1つまたは複数のメッセージと、N32-fインターフェイス用に確立されたTLS接続を介して受信された後続のメッセージとをブロックし得る。検証が、N32-f TLS SEPPのIDとN32-c TLS SEPPのIDとの相互検証のみに基づいて、N32-fインターフェイス用のTLS接続の確立を完了する前に実行される場合、N32-fインターフェイス用のTLS接続の確立も妨げられることがある。
ステップ808において、一致する識別子がSEPP PLMN間転送インターフェイスID相互検証データベースに存在すると判定された場合、制御はステップ812に進み、応答SEPPは、ピアSEPPデータベースにおいて第2のSEPP識別子のルックアップを実行する。ピアSEPPデータベースに、オペレータのネットワーク内の所与のSEPPが通信することを許可されているSEPPのIDが、ネットワークオペレータによってプロビジョニングされ得る。そのようなSEPPは、ピアネットワークオペレータのPLMNに関連付けられる可能性があるため、本明細書ではピアSEPPと呼ばれる。
ステップ814において、第2のSEPP識別子がピアSEPPデータベースに存在する場合、制御はステップ816に進み、SEPPは、PLMN間転送インターフェイスを介して受信されたメッセージが、SEPPによって保護されるPLMNに入ることを許可する。
PLMN間転送インターフェイスID相互検証は、その開示全体が引用により本明細書に援用される、共通して譲渡された、共同係属中の2020年9月25日に出願されたインド仮特許出願連続番号第202041041754号(以下、「’754出願」)に記載のID検証と併せて使用することができる。’754出願に記載されたID検証は、N32-c通信用のTLS接続を確立するために受信されたTLS証明書メッセージから、送信ノードのIDを抽出することを含む。これは、N32-f通信用のTLS接続から抽出されたIDとの相互検証のために使用される、本明細書に記載の同じIDである。’754年出願では、N32-c通信用のTLS IDは、N32-cセキュリティ能力交換メッセージから抽出されたIDを検証するために使用される。たとえば、応答SEPPは、リモートノードからのHTTP POSTメッセージのN32-c SecNegotiateReqData情報要素の送信者ID属性から、N32-c IDを抽出し得る。N32-c IDがN32-c通信用のTLS接続のTLS IDと一致する場合、この検証チェックは成功である。N32-c IDがN32-c通信用のTLS接続のTLS IDと一致しない場合、検証チェックは失敗である。
N32-c通信はN32-f通信用のTLS接続確立よりも前に行われなければならないため、’754出願で行われる検証チェックは、本明細書に記載の検証チェックよりも前に行われ得る。’754出願に記載された検証チェックが失敗した場合、N32-c SecNegotiateReqDataメッセージの送信者情報要素で提示されたIDを有するノードとのN32-c通信およびN32-f通信は、ブロックされなければならない。
’754年出願に記載された検証チェックが成功し、本願に記載された検証チェックが失敗した場合、(ハッカーからの)第2のTLS接続に関連するN32-f通信はブロックされるが、N32-c通信は(正当なSEPPからのものであると思われるので)許可される。
’754出願に記載された検証チェックと本明細書に記載された検証チェックとが失敗した場合、N32 SecNegotiateReqDataメッセージで提示された1つまたは複数のIDとのN32-c通信およびN32-f通信と、(N32-f通信用の)第2のTLS接続とはブロックされなければならない。
本明細書に記載の主題は、異なるインターフェイス上のSEPP間で交換されるSEPPのIDとPLMNのIDとの相互検証を行うことによって、SEPPとPLMNとの間のネットワークセキュリティを改善する。N32-cとN32-fとのSEPPおよび/またはPLMNのIDを比較することによって、本明細書に記載のSEPPは、PLMN間のサービストラフィックを伝送するインターフェイスであるN32-fインターフェイス上でなりすまし攻撃が成功する可能性を低減させる。PLMN間サービストラフィックに使用される転送インターフェイスに対するなりすまし攻撃の可能性を減らすことは、そのようなインターフェイスがPLMN間で交換されるトラフィックの大部分を運ぶので、有益である。さらに、SEPPのPLMN間転送トラフィックに対するなりすまし対策を実施することは、SEPPがPLMNへの侵入地点であるため、有利である。PLMNへの侵入地点で攻撃トラフィックを阻止することで、PLMNが提供するサービスに対する攻撃トラフィックの影響を最小限に抑えられる。
以下の各文献の開示は、その全体が引用により本明細書に援用される。
参考文献
1 IETF RFC 5246; The Transport Layer Security (TLS) Protocol, Version 1.2; August 2008
2. IETF RFC 3280; Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002.
3. 3GPP TS 29.573; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3 (Release 16), V16.3.0 (2020-07)
4. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for 5G System; (Release 16), V16.3.0 (2020-07).
5. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage3 (Release 16), V16.4.0 (2020-07).
現在開示されている主題の範囲から逸脱することなく、現在開示されている主題のさまざまな詳細を変更可能であることが理解されるであろう。さらに、前述の説明は、限定のためではなく、例示のためのもであるに過ぎない。
参考文献
1 IETF RFC 5246; The Transport Layer Security (TLS) Protocol, Version 1.2; August 2008
2. IETF RFC 3280; Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002.
3. 3GPP TS 29.573; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3 (Release 16), V16.3.0 (2020-07)
4. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for 5G System; (Release 16), V16.3.0 (2020-07).
5. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage3 (Release 16), V16.4.0 (2020-07).
現在開示されている主題の範囲から逸脱することなく、現在開示されている主題のさまざまな詳細を変更可能であることが理解されるであろう。さらに、前述の説明は、限定のためではなく、例示のためのもであるに過ぎない。
Claims (20)
- セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法であって、
応答SEPPが、PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することと、
前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することと、
前記応答SEPPが、前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することと、
前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、前記SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することと、
前記ルックアップキーに対応するレコードが前記SEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、前記PLMN間転送インターフェイスを介して受信された前記少なくとも1つのメッセージが、前記応答SEPPによって保護されるPLMNに入るのを防止することとを備える、方法。 - 前記PLMN間制御インターフェイスはN32-cインターフェイスcを含み、前記PLMN間転送インターフェイスはN32-fインターフェイスを含む、請求項1に記載の方法。
- 前記PLMN間制御インターフェイスを介して受信された前記少なくとも1つのメッセージから、前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの少なくとも1つを取得することは、前記N32-cインターフェイス用のトランスポート層セキュリティ(TLS)接続を確立するためのTLSハンドシェイク中に、前記PLMN間制御インターフェイスを介して受信された第1のTLS証明書メッセージに含まれる第1の証明書から、前記第1のSEPP識別子を取得することを含む、請求項1または2に記載の方法。
- 前記第1の証明書は、第1のX.509証明書を含む、請求項3に記載の方法。
- 前記第1のSEPP識別子を取得することは、前記第1のX.509証明書のサブジェクト代替名拡張子から前記第1のSEPP識別子を抽出することを含む、請求項4に記載の方法。
- 前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを取得することは、前記N32-fインターフェイス用のTLS接続を確立するためのTLSハンドシェイク中に受信された第2のTLS証明書メッセージに含まれる第2の証明書から、前記第2のSEPP識別子を取得することを含む、先行する請求項のいずれか1項に記載の方法。
- 前記第2の証明書は、第2のX.509証明書を含む、請求項6に記載の方法。
- 前記第2のSEPP識別子を取得することは、前記第2のX.509証明書のサブジェクト代替名拡張子から前記第2のSEPP識別子を抽出することを含む、請求項7に記載の方法。
- 前記PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから前記第1のSEPP識別子と前記第1のPLMN識別子とを取得することは、前記PLMN間制御インターフェイス用のトランスポート層セキュリティ(TLS)接続を設定するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージから、前記第1のSEPP識別子を取得することと、前記PLMN間制御インターフェイス用の前記TLS接続を介して受信されたN32-cセキュリティ能力交換メッセージから、前記第1のPLMN識別子を取得することとを含み、
前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とを取得することは、前記PLMN間転送インターフェイス用のTLS接続を設定するためのTLSハンドシェイク中に受信された第2のTLS認証メッセージから、前記第2のSEPP識別子を取得することと、前記PLMN間転送インターフェイス用の前記TLS接続を介して受信された5Gサービスメッセージから、前記第2のPLMN識別子を取得することとを含む、先行する請求項のいずれか1項に記載の方法。 - 前記ルックアップキーは、前記第2のSEPP識別子と前記第2のPLMN識別子とを含むタプルから構成される、先行する請求項のいずれか1項に記載の方法。
- セキュリティエッジ保護プロキシ(SEPP)パブリックランドモバイルネットワーク間(PLMN間)転送インターフェイスにおけるなりすまし攻撃を緩和するためのシステムであって、
少なくとも1つのプロセッサとメモリとを含むSEPPと、
前記メモリに存在するSEPP PLMN間転送インターフェイスID相互検証データベースと、
前記少なくとも1つのプロセッサによって実装されたPLMN間転送インターフェイスIDなりすまし緩和モジュールとを備え、前記PLMN間転送インターフェイスIDなりすまし緩和モジュールは、
PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得し、
前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納し、
前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得し、
前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを含むルックアップキーを用いて、前記SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行し、
前記ルックアップキーに対応するレコードが前記SEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、前記PLMN間転送インターフェイスを介して受信された前記少なくとも1つのメッセージが、前記SEPPによって保護されるPLMNに入ることを防止するように構成されている、システム。 - 前記PLMN間制御インターフェイスはN32-cインターフェイスを含み、前記PLMN間転送インターフェイスはN32-fインターフェイスを含む、請求項11に記載のシステム。
- 前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを取得することは、前記N32-cインターフェイス用のトランスポート層セキュリティ(TLS)接続を確立するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージに含まれる第1の証明書から、前記第1のSEPP識別子を取得することを含む、請求項11または12に記載のシステム。
- 前記第1の証明書は、第1のX.509証明書を含む、請求項13に記載のシステム。
- 前記PLMN間転送インターフェイスIDなりすまし緩和モジュールは、前記第1のX.509証明書のサブジェクト代替名拡張子から前記第1のSEPP識別子を抽出するように構成されている、請求項14に記載のシステム。
- 前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの少なくとも1つを取得することは、前記N32-fインターフェイス用のTLS接続を確立するためのTLSハンドシェイク中に受信された第2のTLS証明書メッセージに含まれる第2のSEPP識別子を取得することを含む、請求項11~14のいずれか1項に記載のシステム。
- 前記第2の証明書は第2のX.509証明書を含み、前記PLMN間転送インターフェイスIDなりすまし緩和モジュールは、前記X.509証明書のサブジェクト代替名拡張子から前記第2の識別子を抽出することによって、前記第2の識別子を取得するように構成されている、請求項16に記載のシステム。
- 前記PLMN間制御インターフェイスを介して受信された少なくとも1つのメッセージから前記第1のSEPP識別子と前記第1のPLMN識別子とを取得することは、前記PLMN間制御インターフェイス用のトランスポート層セキュリティ(TLS)接続を設定するためのTLSハンドシェイク中に受信された第1のTLS証明書メッセージから、前記第1のSEPP識別子を取得することと、前記PLMN間制御インターフェイス用の前記TLS接続を介して受信されたN32-cセキュリティ能力交換メッセージから、前記第1のPLMN識別子を取得することとを含み、
前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから前記第2のSEPP識別子と前記第2のPLMN識別子とを取得することは、前記PLMN間転送インターフェイス用のTLS接続を設定するためのTLSハンドシェイク中に受信された第2のTLS認証メッセージから、前記第2のSEPP識別子を取得することと、前記PLMN間転送インターフェイス用の前記TLS接続を介して受信された5Gサービスメッセージから、前記第2のPLMN識別子を取得することとを含む、請求項11~17のいずれか1項に記載のシステム。 - 前記ルックアップキーは、前記第2のSEPP識別子と前記第2のPLMN識別子とを含むタプルから構成される、請求項11~18のいずれか1項に記載のシステム。
- コンピュータのプロセッサによって実行されるとステップを実行する実行可能な命令を格納した非一時的なコンピュータ読取可能媒体であって、前記ステップは、
応答セキュリティエッジ保護プロキシ(SEPP)が、パブリックランドモバイルネットワーク間(PLMN間)制御インターフェイスを介して受信された少なくとも1つのメッセージから、第1のSEPP識別子と第1のPLMN識別子とのうちの少なくとも1つを取得することと、
前記第1のSEPP識別子と前記第1のPLMN識別子とのうちの前記少なくとも1つを、SEPP PLMN間転送インターフェイスID相互検証データベースに格納することと、
前記応答SEPPが、前記PLMN間転送インターフェイスを介して受信された少なくとも1つのメッセージから、第2のSEPP識別子と第2のPLMN識別子とのうちの少なくとも1つを取得することと、
前記第2のSEPP識別子と前記第2のPLMN識別子とのうちの前記少なくとも1つを含むルックアップキーを用いて、前記SEPP PLMN間転送インターフェイスID相互検証データベースにおいてルックアップを実行することと、
前記ルックアップキーに対応するレコードが前記SEPP PLMN間転送インターフェイスID相互検証データベースに存在しないと判定し、これに応答して、前記PLMN間転送インターフェイスを介して受信された前記少なくとも1つのメッセージが、前記応答SEPPによって保護されるPLMNに入るのを防止することとを含む、非一時的なコンピュータ読取可能媒体。
Applications Claiming Priority (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN202041041754 | 2020-09-25 | ||
IN202041041754 | 2020-09-25 | ||
IN202041047779 | 2020-11-02 | ||
IN202041047779 | 2020-11-02 | ||
US17/095,420 US11825310B2 (en) | 2020-09-25 | 2020-11-11 | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US17/095,420 | 2020-11-11 | ||
US17/129,441 US11832172B2 (en) | 2020-09-25 | 2020-12-21 | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US17/129,441 | 2020-12-21 | ||
PCT/US2021/029977 WO2022066228A1 (en) | 2020-09-25 | 2021-04-29 | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (sepp) inter-public land mobile network (inter-plmn) forwarding interface |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023543999A true JP2023543999A (ja) | 2023-10-19 |
JPWO2022066228A5 JPWO2022066228A5 (ja) | 2024-05-09 |
Family
ID=80821937
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023519026A Pending JP2023544000A (ja) | 2020-09-25 | 2021-04-29 | 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体 |
JP2023519025A Pending JP2023543999A (ja) | 2020-09-25 | 2021-04-29 | セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023519026A Pending JP2023544000A (ja) | 2020-09-25 | 2021-04-29 | 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11832172B2 (ja) |
EP (2) | EP4218168A1 (ja) |
JP (2) | JP2023544000A (ja) |
WO (2) | WO2022066227A1 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11632361B2 (en) * | 2020-10-02 | 2023-04-18 | Citrix Systems, Inc. | Combined authentication and connection establishment for a communication channel |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US20220248229A1 (en) * | 2021-02-01 | 2022-08-04 | Nokia Technologies Oy | Termination of connections over a forwarding interface between networks |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
US11533358B1 (en) * | 2021-09-17 | 2022-12-20 | Nokia Technologies Oy | Roaming hub for secure interconnect in roaming scenarios |
Family Cites Families (268)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE508514C2 (sv) | 1997-02-14 | 1998-10-12 | Ericsson Telefon Ab L M | Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem |
US6151503A (en) | 1997-12-17 | 2000-11-21 | Lucent Technologies Inc. | Subscriber activated wireless telephone call rerouting system |
US6308075B1 (en) | 1998-05-04 | 2001-10-23 | Adc Telecommunications, Inc. | Method and apparatus for routing short messages |
JP3049056B1 (ja) | 1998-07-02 | 2000-06-05 | 日本電気通信システム株式会社 | 移動体通信網の加入者デ―タ制御方法 |
US6343215B1 (en) | 1998-11-10 | 2002-01-29 | Lucent Technologies, Inc | ANSI 41 dialed number validation |
US6292666B1 (en) | 1999-05-06 | 2001-09-18 | Ericsson Inc. | System and method for displaying country on mobile stations within satellite systems |
EP1067492A3 (en) | 1999-06-30 | 2001-01-17 | Lucent Technologies Inc. | Transaction notification system and method |
ATE307464T1 (de) | 1999-11-17 | 2005-11-15 | Swisscom Mobile Ag | Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz |
FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
ATE403339T1 (de) | 2000-03-07 | 2008-08-15 | Tekelec Us | Filtern von mobile application part (map) nachrichten |
TW589855B (en) | 2000-05-15 | 2004-06-01 | Ntt Docomo Inc | Authentication system and method |
EP1213931A3 (de) | 2000-12-05 | 2003-03-19 | Siemens Aktiengesellschaft | Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz |
US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
AUPR441401A0 (en) | 2001-04-12 | 2001-05-17 | Gladwin, Paul | Utility usage rate monitor |
US20090168719A1 (en) | 2001-10-11 | 2009-07-02 | Greg Mercurio | Method and apparatus for adding editable information to records associated with a transceiver device |
EP1304897A1 (en) | 2001-10-22 | 2003-04-23 | Agilent Technologies, Inc. (a Delaware corporation) | Methods and apparatus for providing data for enabling location of a mobile communications device |
US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
US7068999B2 (en) | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
US20100240361A1 (en) | 2002-08-05 | 2010-09-23 | Roamware Inc. | Anti-inbound traffic redirection system |
US7729686B2 (en) | 2003-04-02 | 2010-06-01 | Qualcomm Incorporated | Security methods for use in a wireless communications system |
US7043754B2 (en) | 2003-06-12 | 2006-05-09 | Michael Arnouse | Method of secure personal identification, information processing, and precise point of contact location and timing |
US8121594B2 (en) | 2004-02-18 | 2012-02-21 | Roamware, Inc. | Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register |
US7567661B1 (en) | 2003-12-31 | 2009-07-28 | Nortel-Networks Limited | Telephony service information management system |
GB0406119D0 (en) | 2004-03-18 | 2004-04-21 | Telsis Holdings Ltd | Telecommunications services apparatus and method |
US7403537B2 (en) | 2004-04-14 | 2008-07-22 | Tekelec | Methods and systems for mobile application part (MAP) screening in transit networks |
US7996024B2 (en) | 2004-04-14 | 2011-08-09 | Tekelec | Method for preventing the delivery of short message service message spam |
US7319857B2 (en) | 2004-09-13 | 2008-01-15 | Tekelec | Methods, systems, and computer program products for delivering messaging service messages |
IES20040693A2 (en) | 2004-10-14 | 2006-04-19 | Anam Mobile Ltd | A messaging system and method |
US7870201B2 (en) | 2004-12-03 | 2011-01-11 | Clairmail Inc. | Apparatus for executing an application function using a mail link and methods therefor |
US20060211406A1 (en) | 2005-03-17 | 2006-09-21 | Nokia Corporation | Providing security for network subscribers |
US8867575B2 (en) | 2005-04-29 | 2014-10-21 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
US8285639B2 (en) | 2005-07-05 | 2012-10-09 | mConfirm, Ltd. | Location based authentication system |
US20070174082A1 (en) | 2005-12-12 | 2007-07-26 | Sapphire Mobile Systems, Inc. | Payment authorization using location data |
US7881192B2 (en) | 2006-01-13 | 2011-02-01 | Futurewei Technologies, Inc. | System for providing aggregate-rate communication services |
US7817550B2 (en) | 2006-01-13 | 2010-10-19 | Futurewei Technologies, Inc. | System for rate-control of aggregate-rate communication services |
US20070168432A1 (en) | 2006-01-17 | 2007-07-19 | Cibernet Corporation | Use of service identifiers to authenticate the originator of an electronic message |
EP1835686B1 (en) | 2006-03-13 | 2015-12-23 | Vodafone Group PLC | Method of providing access to an IP multimedia subsystem based on provided access network data. |
US7539133B2 (en) | 2006-03-23 | 2009-05-26 | Alcatel-Lucent Usa Inc. | Method and apparatus for preventing congestion in load-balancing networks |
US20070248032A1 (en) | 2006-04-21 | 2007-10-25 | Subramanian Vasudevan | Method of providing route update messages and paging access terminals |
US8121624B2 (en) | 2006-07-25 | 2012-02-21 | Alcatel Lucent | Message spoofing detection via validation of originating switch |
WO2008016778A2 (en) | 2006-07-31 | 2008-02-07 | Agito Networks, Inc. | System and method to facilitate handover |
JP4174535B2 (ja) | 2006-08-22 | 2008-11-05 | Necインフロンティア株式会社 | 無線端末を認証する認証システム及び認証方法 |
US8145234B1 (en) | 2006-09-13 | 2012-03-27 | At&T Mobility Ii Llc | Secure user plane location (SUPL) roaming |
ATE532351T1 (de) | 2006-09-27 | 2011-11-15 | Nokia Siemens Networks Gmbh | Verfahren zum verfolgen einer mobilstation, entsprechendes telekommunikationsnetz, netzknoten und vorhersagedatenbank |
WO2008053808A1 (fr) | 2006-11-02 | 2008-05-08 | Panasonic Corporation | Dispositif d'alimentation électrique de véhicule |
US8929360B2 (en) | 2006-12-07 | 2015-01-06 | Cisco Technology, Inc. | Systems, methods, media, and means for hiding network topology |
US8045956B2 (en) | 2007-01-05 | 2011-10-25 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
US20080207181A1 (en) | 2007-02-28 | 2008-08-28 | Roamware | Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication |
WO2011014837A1 (en) | 2009-07-31 | 2011-02-03 | Finsphere Corporation | Mobile communications message verification of financial transactions |
US8280348B2 (en) | 2007-03-16 | 2012-10-02 | Finsphere Corporation | System and method for identity protection using mobile device signaling network derived location pattern recognition |
EP1983787B1 (en) | 2007-04-19 | 2012-11-28 | Nokia Siemens Networks Oy | Transmission and distribution of position- and/or network-related information from access networks |
US7916718B2 (en) | 2007-04-19 | 2011-03-29 | Fulcrum Microsystems, Inc. | Flow and congestion control in switch architectures for multi-hop, memory efficient fabrics |
JP2010527549A (ja) | 2007-05-16 | 2010-08-12 | パナソニック株式会社 | ネットワーク・ベースおよびホスト・ベース混合型のモビリティ管理における方法 |
US20090045251A1 (en) | 2007-08-14 | 2009-02-19 | Peeyush Jaiswal | Restricting bank card access based upon use authorization data |
HUE025946T2 (en) | 2007-10-09 | 2016-05-30 | ERICSSON TELEFON AB L M (publ) | Technique to provide support for a multitude of mobility protocols |
US8036660B2 (en) | 2008-01-24 | 2011-10-11 | Avaya Inc. | Call-handling for an off-premises, telecommunications terminal with an installed subscriber identity module |
US20110063126A1 (en) | 2008-02-01 | 2011-03-17 | Energyhub | Communications hub for resource consumption management |
US8255090B2 (en) | 2008-02-01 | 2012-08-28 | Energyhub | System and method for home energy monitor and control |
US8509074B1 (en) | 2008-03-31 | 2013-08-13 | Saisei Networks Pte Ltd | System, method, and computer program product for controlling the rate of a network flow and groups of network flows |
CN101471797B (zh) | 2008-03-31 | 2012-05-30 | 华为技术有限公司 | 决策方法及系统和策略决策单元 |
US9240946B2 (en) | 2008-05-01 | 2016-01-19 | Alcatel Lucent | Message restriction for diameter servers |
CN101277541B (zh) | 2008-05-22 | 2012-02-08 | 中兴通讯股份有限公司 | 一种Diameter路由实体转发消息的方法 |
US8255994B2 (en) | 2008-08-20 | 2012-08-28 | Sprint Communications Company L.P. | Detection and suppression of short message service denial of service attacks |
US9928379B1 (en) | 2008-09-08 | 2018-03-27 | Steven Miles Hoffer | Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor |
WO2010045646A2 (en) | 2008-10-17 | 2010-04-22 | Tekelec | Methods, systems, and computer readable media for detection of an unautorized service message in a network |
US9038171B2 (en) | 2008-10-20 | 2015-05-19 | International Business Machines Corporation | Visual display of website trustworthiness to a user |
US8494364B2 (en) | 2008-10-21 | 2013-07-23 | Broadcom Corporation | Supporting multi-dwelling units in passive optical networks |
CN101742445A (zh) | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
US9344438B2 (en) | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
WO2010105099A2 (en) | 2009-03-11 | 2010-09-16 | Tekelec | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
EP2425644B1 (en) | 2009-05-01 | 2017-11-22 | Nokia Technologies Oy | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
US8615217B2 (en) | 2009-06-25 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
US8965324B2 (en) | 2009-07-08 | 2015-02-24 | At&T Mobility Ii Llc | E911 services using distributed nodes |
JP5424314B2 (ja) | 2009-07-21 | 2014-02-26 | 日本電気株式会社 | フェムトセル用基地局、ゲートウェイシステム、mapgw装置、通信システム、方法および装置のプログラム |
AU2010303947B2 (en) | 2009-10-09 | 2014-10-02 | Landis+Gyr Technology, Inc. | Apparatus and method for controlling communications to and from utility service points |
EP3264686B1 (en) | 2009-10-16 | 2018-12-12 | Tekelec, Inc. | Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality |
KR20110055888A (ko) | 2009-11-20 | 2011-05-26 | 삼성전자주식회사 | 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템 |
US8331929B2 (en) | 2009-11-24 | 2012-12-11 | At&T Mobility Ii Llc | Mobility-based reselection scan scheduling |
CN102686361A (zh) | 2009-12-30 | 2012-09-19 | 3M创新有限公司 | 填充有机颗粒的抛光垫及其制造和使用方法 |
US8787174B2 (en) | 2009-12-31 | 2014-07-22 | Tekelec, Inc. | Methods, systems, and computer readable media for condition-triggered policies |
US20110173122A1 (en) | 2010-01-09 | 2011-07-14 | Tara Chand Singhal | Systems and methods of bank security in online commerce |
US8505081B2 (en) | 2010-01-29 | 2013-08-06 | Qualcomm Incorporated | Method and apparatus for identity reuse for communications devices |
US9185510B2 (en) | 2010-03-03 | 2015-11-10 | Tekelec, Inc. | Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers |
US20110225091A1 (en) | 2010-03-12 | 2011-09-15 | Franco Plastina | Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information |
EP2372987B1 (en) | 2010-04-02 | 2013-07-17 | Research In Motion Limited | Solving character display ambiguities |
US20110307381A1 (en) | 2010-06-10 | 2011-12-15 | Paul Kim | Methods and systems for third party authentication and fraud detection for a payment transaction |
CN101917698B (zh) | 2010-08-20 | 2013-03-27 | 北京瑞格特软件技术有限公司 | 与3gpp协议兼容的提供移动设备用户信息的方法及系统 |
US8620263B2 (en) | 2010-10-20 | 2013-12-31 | Tekelec, Inc. | Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control |
US8396485B2 (en) | 2010-11-09 | 2013-03-12 | Apple Inc. | Beacon-based geofencing |
US8942747B2 (en) | 2011-02-04 | 2015-01-27 | Tekelec, Inc. | Methods, systems, and computer readable media for provisioning a diameter binding repository |
US20120203663A1 (en) | 2011-02-07 | 2012-08-09 | Carpadium Consulting Pty. Ltd. | Method and apparatus for authentication utilizing location |
US8433321B2 (en) | 2011-02-09 | 2013-04-30 | Renesas Mobile Corporation | Method and apparatus for intelligently reporting neighbor information to facilitate automatic neighbor relations |
US8693423B2 (en) | 2011-02-16 | 2014-04-08 | Tekelec, Inc. | Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery |
US10168413B2 (en) | 2011-03-25 | 2019-01-01 | T-Mobile Usa, Inc. | Service enhancements using near field communication |
WO2012136246A1 (en) | 2011-04-04 | 2012-10-11 | Telefonaktiebolaget Lm Ericsson (Publ) | A method of and a support node for requesting registration of stationary user equipment in a cellular telecommunication system |
US8879431B2 (en) | 2011-05-16 | 2014-11-04 | F5 Networks, Inc. | Method for load balancing of requests' processing of diameter servers |
ES2698556T3 (es) | 2011-07-06 | 2019-02-05 | Mobileum Inc | Redireccionamiento del tráfico de red (NTR) en Evolución a Largo Plazo (LTE) |
JP5796396B2 (ja) | 2011-08-04 | 2015-10-21 | 富士通株式会社 | 移動無線通信装置及びプログラム |
US9106769B2 (en) | 2011-08-10 | 2015-08-11 | Tekelec, Inc. | Methods, systems, and computer readable media for congestion management in a diameter signaling network |
US9060263B1 (en) | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
CN103179504B (zh) | 2011-12-23 | 2015-10-21 | 中兴通讯股份有限公司 | 用户合法性判断方法及装置、用户接入信箱的方法和系统 |
US20130171988A1 (en) | 2012-01-04 | 2013-07-04 | Alcatel-Lucent Canada Inc. | Imsi mcc-mnc best matching searching |
CN103209402B (zh) | 2012-01-17 | 2018-03-23 | 中兴通讯股份有限公司 | 终端组可及性确定方法及系统 |
US9009764B2 (en) | 2012-04-12 | 2015-04-14 | Qualcomm Incorporated | Broadcast content via over the top delivery |
GB201207816D0 (en) * | 2012-05-04 | 2012-06-13 | Vodafone Ip Licensing Ltd | Telecommunication networks |
EP2675203B1 (en) | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
US9882950B2 (en) | 2012-06-13 | 2018-01-30 | All Purpose Networks LLC | Methods and systems of an all purpose broadband network |
US9015808B1 (en) | 2012-07-11 | 2015-04-21 | Sprint Communications Company L.P. | Restricting mobile device services between an occurrence of an account change and acquisition of a security code |
EP2942920B1 (en) | 2012-08-26 | 2018-04-25 | Barkan, Elad, Pinhas | Redirecting cellular telephone communications through a data network |
CN103686756B (zh) | 2012-09-17 | 2016-12-21 | 中国科学院沈阳自动化研究所 | 一种基于多接入点的tdma接入装置及其接入方法 |
US9106428B2 (en) | 2012-10-04 | 2015-08-11 | Broadcom Corporation | Multicast switching for distributed devices |
WO2014071564A1 (en) | 2012-11-07 | 2014-05-15 | Nokia Corporation | Proxy connection method and apparatus |
US20150304220A1 (en) | 2012-11-22 | 2015-10-22 | Nec Corporation | Congestion control system, control device, congestion control method and program |
US9258257B2 (en) | 2013-01-10 | 2016-02-09 | Qualcomm Incorporated | Direct memory access rate limiting in a communication device |
CN103929730B (zh) | 2013-01-16 | 2017-12-29 | 华为终端有限公司 | 触发消息发送的方法、设备及系统 |
US9462515B2 (en) | 2013-01-17 | 2016-10-04 | Broadcom Corporation | Wireless communication system utilizing enhanced air-interface |
US20140259012A1 (en) | 2013-03-06 | 2014-09-11 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual machine mobility with evolved packet core |
US9774552B2 (en) | 2013-03-14 | 2017-09-26 | Qualcomm Incorporated | Methods, servers and systems for verifying reported locations of computing devices |
US10292040B2 (en) | 2013-03-29 | 2019-05-14 | Roamware, Inc. | Methods and apparatus for facilitating LTE roaming between home and visited operators |
US20140370922A1 (en) | 2013-06-13 | 2014-12-18 | Christopher Richards | Method and apparatus of paging |
US10115135B2 (en) | 2013-07-03 | 2018-10-30 | Oracle International Corporation | System and method to support diameter credit control session redirection using SCIM/service broker |
US20150038140A1 (en) | 2013-07-31 | 2015-02-05 | Qualcomm Incorporated | Predictive mobility in cellular networks |
US20150081579A1 (en) | 2013-08-26 | 2015-03-19 | Prepared Response, Inc. | System for conveying data to responders and routing, reviewing and approving supplemental pertinent data |
US9191803B2 (en) | 2013-09-04 | 2015-11-17 | Cellco Partnership | Connection state-based long term evolution steering of roaming |
EP2854462B1 (en) | 2013-09-27 | 2016-03-30 | Telefonaktiebolaget LM Ericsson (publ) | Handling of subscriber deregistration |
US9485099B2 (en) | 2013-10-25 | 2016-11-01 | Cliqr Technologies, Inc. | Apparatus, systems and methods for agile enablement of secure communications for cloud based applications |
EP2887761B1 (en) | 2013-12-19 | 2018-10-03 | Vodafone Holding GmbH | Verification method for the verification of a Connection Request from a Roaming Mobile Entity |
US9686343B2 (en) | 2013-12-31 | 2017-06-20 | Amadeus S.A.S. | Metasearch redirection system and method |
CN104780593B (zh) | 2014-01-13 | 2018-08-21 | 华为终端(东莞)有限公司 | 降低功耗的方法与装置 |
US10009730B2 (en) | 2014-01-30 | 2018-06-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Preloading data |
MX2016011578A (es) | 2014-03-07 | 2017-04-13 | Globalstar Inc | Funcionalidad de torre celular con acceso a satelite para permitir itinerancia de un dispositivo celular sobre una red satelital. |
WO2015174702A1 (ko) | 2014-05-11 | 2015-11-19 | 엘지전자 주식회사 | 무선 통신 시스템에서 hss/mme의 신호 송수신 방법 및 장치 |
US9450947B2 (en) | 2014-05-20 | 2016-09-20 | Motorola Solutions, Inc. | Apparatus and method for securing a debugging session |
JP6168415B2 (ja) | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
WO2016049001A1 (en) | 2014-09-22 | 2016-03-31 | Globetouch, Inc. | Trading exchange for local data services |
US20160292687A1 (en) | 2014-10-13 | 2016-10-06 | Empire Technology Development Llc | Verification location determination for entity presence confirmation of online purchases |
US9693219B2 (en) | 2014-10-24 | 2017-06-27 | Ibasis, Inc. | User profile conversion to support roaming |
DE102014117713B4 (de) | 2014-12-02 | 2016-12-01 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle |
US20160183117A1 (en) | 2014-12-17 | 2016-06-23 | Mediatek Inc. | Method and apparatus for throttling uplink data based on temperature state |
US9445360B2 (en) | 2014-12-17 | 2016-09-13 | Verizon Patent And Licensing Inc. | Method and system for providing global multiline roaming |
US9515932B2 (en) | 2015-02-06 | 2016-12-06 | Oracle International Corporation | Methods, systems, and computer readable media for conducting priority and compliance based message traffic shaping |
RU2017127249A (ru) | 2015-02-09 | 2019-03-12 | Маркпорт Лимитед | Способ маршрутизации короткого сообщения на устройство пользователя |
US9992350B2 (en) | 2015-03-10 | 2018-06-05 | Affirmed Networks, Inc. | Enhanced redirection handling from policy server |
WO2016153423A1 (en) | 2015-03-25 | 2016-09-29 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
US10827500B2 (en) | 2015-04-01 | 2020-11-03 | Lg Electronics Inc. | Method and device for transmitting and receiving, by V2X terminal, signal in wireless communication system |
US10284376B2 (en) | 2015-06-10 | 2019-05-07 | Arris Enterprises Llc | Code signing system with machine to machine interaction |
CN106332067B (zh) | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
US10594673B1 (en) | 2015-07-01 | 2020-03-17 | Moovel North America, Llc | Secure interprocess communications between mobile device applications using server-generated keys |
US10567949B2 (en) | 2015-07-16 | 2020-02-18 | T-Mobile Usa, Inc. | MMS termination on different networks |
US9538335B1 (en) | 2015-07-22 | 2017-01-03 | International Business Machines Corporation | Inferring device theft based on historical location data |
US9912486B1 (en) | 2015-08-27 | 2018-03-06 | Amazon Technologies, Inc. | Countersigned certificates |
WO2017049427A1 (zh) | 2015-09-21 | 2017-03-30 | 华为技术有限公司 | 发射功率控制方法及装置 |
ES2912279T3 (es) | 2015-11-06 | 2022-05-25 | Alcatel Lucent | Soporte de entrega de mensajes cortos terminados en móvil para un equipo de usuario en DRX en modo inactivo |
WO2017082532A1 (ko) | 2015-11-09 | 2017-05-18 | 엘지전자 주식회사 | 방문 네트워크의 사업자 네트워크 식별번호 획득 방법 |
WO2017084006A1 (en) | 2015-11-16 | 2017-05-26 | Accenture Global Solutions Limited | Telecommunication network signal analysis for matching a mobile device cellular identifier with a mobile device network identifier |
US9930670B2 (en) | 2015-11-25 | 2018-03-27 | Network Performance Research Group Llc | System, method, and apparatus for setting device geolocation via location proxies |
US10009751B2 (en) | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
US9628994B1 (en) | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
WO2017123717A1 (en) | 2016-01-12 | 2017-07-20 | Ppc Broadband, Inc. | Network interface device with dynamic noise conditioning |
GB2547472A (en) | 2016-02-19 | 2017-08-23 | Intercede Ltd | Method and system for authentication |
US10382948B2 (en) | 2016-02-22 | 2019-08-13 | Cisco Technology, Inc. | Consolidated control plane routing agent |
US9788325B2 (en) | 2016-03-01 | 2017-10-10 | Wipro Limited | Methods and systems for radio carriers management in a wireless broadband network |
US10218625B2 (en) | 2016-03-30 | 2019-02-26 | New York University | Methods and apparatus for alleviating congestion at a switch, such as a shallow buffered switch |
US10893069B2 (en) | 2016-04-06 | 2021-01-12 | Nokia Technologies Oy | Diameter edge agent attack detection |
US9681360B1 (en) | 2016-05-13 | 2017-06-13 | Harris Corporation | Managed access system that provides selective communications and registration of mobile wireless devices |
US20170345006A1 (en) | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and methods for location data verification |
US11395092B2 (en) | 2016-07-18 | 2022-07-19 | Here Global B.V. | Device location verification for updated map data |
CN108307385B (zh) | 2016-08-31 | 2021-06-29 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
GB2553765A (en) | 2016-09-07 | 2018-03-21 | Evolved Intelligence Ltd | Mobile device roaming |
US10764376B2 (en) | 2016-10-18 | 2020-09-01 | Cisco Technology, Inc. | System and method for node selection based on mid-session and end-session event information |
US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
GB2558205B (en) * | 2016-12-15 | 2019-07-03 | Arm Ip Ltd | Enabling communications between devices |
US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
US10405184B2 (en) | 2017-01-31 | 2019-09-03 | Harris Corporation | Mobile wireless device managed access system providing enhanced authentication features and related methods |
US10341411B2 (en) | 2017-03-29 | 2019-07-02 | Oracle International Corporation | Methods, systems, and computer readable media for providing message encode/decode as a service |
US10868893B2 (en) | 2017-03-31 | 2020-12-15 | Xilinx, Inc. | Network interface device |
WO2018202284A1 (en) | 2017-05-03 | 2018-11-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorizing access to user data |
US10212538B2 (en) | 2017-06-28 | 2019-02-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating user equipment (UE) location |
US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
US10021738B1 (en) | 2017-09-05 | 2018-07-10 | Syniverse Technologies, Llc | Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks |
US10123165B1 (en) | 2017-09-19 | 2018-11-06 | International Business Machines Corporation | Eliminating false positives of neighboring zones |
US10820359B2 (en) | 2017-10-13 | 2020-10-27 | Syniverse Technologies, Llc | GPRS tunneling protocol (GTP) traffic hub and associated method of use |
EP3972347A1 (en) | 2017-12-08 | 2022-03-23 | Comcast Cable Communications LLC | User plane function selection for isolated network slice |
CN110035433B (zh) | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
US10387487B1 (en) | 2018-01-25 | 2019-08-20 | Ikorongo Technology, LLC | Determining images of interest based on a geographical location |
US10701032B2 (en) | 2018-02-13 | 2020-06-30 | Palo Alto Networks, Inc. | Application layer signaling security with next generation firewall |
CN110167013B (zh) | 2018-02-13 | 2020-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
US10548004B2 (en) | 2018-02-15 | 2020-01-28 | Nokia Technologies Oy | Security management in communication systems between security edge protection proxy elements |
US10791118B2 (en) | 2018-03-29 | 2020-09-29 | Mcafee, Llc | Authenticating network services provided by a network |
EP3547757A1 (en) | 2018-03-30 | 2019-10-02 | InterDigital CE Patent Holdings | Wireless access point and method for providing backup network connections |
US10992580B2 (en) | 2018-05-07 | 2021-04-27 | Cisco Technology, Inc. | Ingress rate limiting in order to reduce or prevent egress congestion |
EP3791537A4 (en) | 2018-05-09 | 2022-01-19 | Nokia Technologies Oy | SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM |
US11792163B2 (en) | 2018-05-12 | 2023-10-17 | Nokia Technologies Oy | Security management for network function messaging in a communication system |
US20210203643A1 (en) | 2018-05-21 | 2021-07-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Message Transmission between Core Network Domains |
US10484911B1 (en) | 2018-05-23 | 2019-11-19 | Verizon Patent And Licensing Inc. | Adaptable radio access network |
US11146577B2 (en) | 2018-05-25 | 2021-10-12 | Oracle International Corporation | Methods, systems, and computer readable media for detecting and mitigating effects of abnormal behavior of a machine type communication (MTC) device |
WO2019227350A1 (zh) | 2018-05-30 | 2019-12-05 | 北京小米移动软件有限公司 | 小区切换的处理方法及装置 |
WO2019228832A1 (en) | 2018-06-01 | 2019-12-05 | Nokia Technologies Oy | A method for message filtering in an edge node based on data analytics |
US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
JP7078850B2 (ja) | 2018-07-23 | 2022-06-01 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
US11050788B2 (en) | 2018-07-30 | 2021-06-29 | Cisco Technology, Inc. | SEPP registration, discovery and inter-PLMN connectivity policies |
WO2020027864A1 (en) | 2018-07-31 | 2020-02-06 | Didi Research America, Llc | System and method for point-to-point traffic prediction |
US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
EP3834449A4 (en) | 2018-08-10 | 2022-05-04 | Nokia Technologies Oy | NETWORK FUNCTION AUTHENTICATION BASED ON A PUBLIC KEY BINDING IN AN ACCESS TOKEN IN A COMMUNICATION SYSTEM |
CN112567833A (zh) | 2018-08-13 | 2021-03-26 | 苹果公司 | 使用用户设备(ue)标识符以在第五代(5g)系统中注册 |
US10511998B1 (en) | 2018-08-29 | 2019-12-17 | Syniverse Technologies, Llc | System and method for identifying false short message service (SMS) delivery reports |
US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
US11483741B2 (en) | 2018-09-06 | 2022-10-25 | Nokia Technologies Oy | Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment |
CN110933711B (zh) | 2018-09-19 | 2023-06-02 | 华为技术有限公司 | 策略控制方法、设备及系统 |
US10574670B1 (en) | 2018-09-27 | 2020-02-25 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
US10728875B2 (en) | 2018-10-02 | 2020-07-28 | Google Llc | Scanning frequency selection for a wireless device |
WO2020094547A1 (en) | 2018-11-05 | 2020-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Fully qualified domain name handling for service interactions in 5g |
CN111200845B (zh) | 2018-11-19 | 2022-09-23 | 华为技术有限公司 | 一种资源信息发送方法、装置及系统 |
US10680964B1 (en) | 2018-11-26 | 2020-06-09 | Mellanox Technologies Tlv Ltd. | Rate limiting in a multi-chassis environment by exchanging information between peer network elements |
US11134430B2 (en) | 2018-12-10 | 2021-09-28 | At&T Intellectual Property I, L.P. | System and method for detecting and acting upon a violation of terms of service |
US20220124501A1 (en) | 2019-01-18 | 2022-04-21 | Nokia Solutions And Networks Oy | Method and apparatus for protecting pdu sessions in 5g core networks |
US20200259896A1 (en) | 2019-02-13 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Industrial Automation with 5G and Beyond |
WO2020164763A1 (en) | 2019-02-13 | 2020-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for alternative data over non-access stratum, donas, data delivery in a roaming scenario |
CN114423026A (zh) | 2019-02-18 | 2022-04-29 | 华为技术有限公司 | 通信方法、装置及系统 |
WO2020174121A1 (en) | 2019-02-28 | 2020-09-03 | Nokia Technologies Oy | Inter-mobile network communication authorization |
JP7259977B2 (ja) | 2019-03-01 | 2023-04-18 | 日本電気株式会社 | 端末、方法、及びプログラム |
CN111436081B (zh) | 2019-03-06 | 2023-06-30 | 维沃移动通信有限公司 | 数据传送的保障方法及通信设备 |
US20220191763A1 (en) | 2019-03-15 | 2022-06-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for switching upfs |
CN111800777B (zh) | 2019-04-08 | 2021-08-03 | 华为技术有限公司 | 一种漫游数据处理方法、装置及系统 |
WO2020208033A1 (en) | 2019-04-08 | 2020-10-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for handling telescopic fqdns |
US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
EP3963825A4 (en) | 2019-04-27 | 2023-01-25 | Nokia Technologies Oy | SERVICE AUTHORIZATION FOR INDIRECT COMMUNICATION IN A COMMUNICATION SYSTEM |
CN113796111A (zh) | 2019-05-09 | 2021-12-14 | 三星电子株式会社 | 在无线通信系统中提供移动边缘计算服务的装置和方法 |
CN114097268A (zh) | 2019-06-12 | 2022-02-25 | 苹果公司 | 与应用触发和nas上的sms有关的性能测量 |
US11140555B2 (en) | 2019-06-18 | 2021-10-05 | Cisco Technology, Inc. | Location-based identification of potential security threat |
US10834571B1 (en) | 2019-08-02 | 2020-11-10 | Syniverse Technologies, Llc | Steering of roaming for 5G core roaming in an internet packet exchange network |
US11102138B2 (en) | 2019-10-14 | 2021-08-24 | Oracle International Corporation | Methods, systems, and computer readable media for providing guaranteed traffic bandwidth for services at intermediate proxy nodes |
US11018971B2 (en) | 2019-10-14 | 2021-05-25 | Oracle International Corporation | Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing |
US20210142143A1 (en) | 2019-11-11 | 2021-05-13 | Kevin D. Howard | Artificial intelligence systems and methods |
US11444881B2 (en) | 2019-11-19 | 2022-09-13 | Oracle International Corporation | System and method for supporting use of forward and backward congestion notifications in a private fabric in a high performance computing environment |
US11368839B2 (en) | 2019-12-13 | 2022-06-21 | T-Mobile Usa, Inc. | Secure privacy provisioning in 5G networks |
US11503052B2 (en) | 2019-12-19 | 2022-11-15 | Radware, Ltd. | Baselining techniques for detecting anomalous HTTPS traffic behavior |
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
US11337108B2 (en) | 2020-02-19 | 2022-05-17 | Verizon Patent And Licensing Inc. | Uplink congestion control based on SIP messaging |
US11539628B2 (en) | 2020-06-23 | 2022-12-27 | Arista Networks, Inc. | Automated configuration of policer parameters |
DE102020116791A1 (de) | 2020-06-25 | 2021-12-30 | Technische Universität Dresden | Vorrichtung und Verfahren zum computergestützten Verarbeiten von Daten |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11398956B2 (en) | 2020-07-16 | 2022-07-26 | Cisco Technology, Inc. | Multi-Edge EtherChannel (MEEC) creation and management |
US11368412B2 (en) | 2020-07-31 | 2022-06-21 | Avago Technologies International Sales Pte. Limited | Power throttle for network switches |
US11790113B2 (en) | 2020-08-12 | 2023-10-17 | Apple Inc. | Secure storage and retrieval of sensitive information |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11956629B2 (en) | 2020-10-06 | 2024-04-09 | Lynk Global, Inc. | Method and system for providing authentication of a wireless device and cell broadcast service between wireless mobile devices and a satellite network |
US11616770B2 (en) | 2020-10-16 | 2023-03-28 | Verizon Patent And Licensing Inc. | Systems and methods for authenticating user devices |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
JP2023548370A (ja) | 2020-11-06 | 2023-11-16 | オラクル・インターナショナル・コーポレイション | 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 |
US11272560B1 (en) | 2020-11-11 | 2022-03-08 | At&T Intellectual Property I, L.P. | Methods, systems, and devices for enhanced cell activation in a network supporting dual connectivity |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US20220158847A1 (en) | 2020-11-16 | 2022-05-19 | Nokia Technologies Oy | Security procedure |
US11463915B2 (en) | 2020-11-30 | 2022-10-04 | Verizon Patent And Licensing Inc. | Systems and methods for exposing custom per flow descriptor attributes |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US11418479B2 (en) | 2020-12-17 | 2022-08-16 | Oracle International Corporation | Methods, systems, and computer readable media for creating internet protocol (IP) address pools from dynamic host configuration protocol (DHCP) servers to asynchronously serve IP address allocation requests by session management functions (SMFs) |
US20220256312A1 (en) | 2021-02-10 | 2022-08-11 | Samsung Electronics Co., Ltd. | Method and device for identifying service area in wireless communication system |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
-
2020
- 2020-12-21 US US17/129,441 patent/US11832172B2/en active Active
-
2021
- 2021-04-29 WO PCT/US2021/029973 patent/WO2022066227A1/en active Application Filing
- 2021-04-29 WO PCT/US2021/029977 patent/WO2022066228A1/en active Application Filing
- 2021-04-29 EP EP21727651.8A patent/EP4218168A1/en active Pending
- 2021-04-29 EP EP21729084.0A patent/EP4218169A1/en active Pending
- 2021-04-29 JP JP2023519026A patent/JP2023544000A/ja active Pending
- 2021-04-29 JP JP2023519025A patent/JP2023543999A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2023544000A (ja) | 2023-10-19 |
WO2022066227A1 (en) | 2022-03-31 |
WO2022066228A1 (en) | 2022-03-31 |
US20220104112A1 (en) | 2022-03-31 |
US11832172B2 (en) | 2023-11-28 |
EP4218168A1 (en) | 2023-08-02 |
EP4218169A1 (en) | 2023-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11832172B2 (en) | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface | |
US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
JP7466053B2 (ja) | セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
US11818570B2 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks | |
US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
EP4241419A1 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
JP2024507577A (ja) | アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
US11888894B2 (en) | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
JPWO2022066227A5 (ja) | ||
US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
CN116530053A (zh) | 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 | |
US20230199497A1 (en) | Methods, systems, and computer readable media for mitigating effects of access token misuse | |
CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240424 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240424 |