JP2023544000A - 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体 - Google Patents
5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体 Download PDFInfo
- Publication number
- JP2023544000A JP2023544000A JP2023519026A JP2023519026A JP2023544000A JP 2023544000 A JP2023544000 A JP 2023544000A JP 2023519026 A JP2023519026 A JP 2023519026A JP 2023519026 A JP2023519026 A JP 2023519026A JP 2023544000 A JP2023544000 A JP 2023544000A
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- node
- sepp
- message
- obtaining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000000116 mitigating effect Effects 0.000 title claims description 33
- 238000004891 communication Methods 0.000 claims abstract description 35
- 230000000977 initiatory effect Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 22
- 239000003999 initiator Substances 0.000 claims description 11
- 230000000903 blocking effect Effects 0.000 claims description 7
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 abstract 3
- 102100023843 Selenoprotein P Human genes 0.000 abstract 3
- 229940119265 sepp Drugs 0.000 abstract 3
- 230000006870 function Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 12
- 238000012795 verification Methods 0.000 description 8
- 238000002790 cross-validation Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Abstract
ローミングなりすまし攻撃は、5GネットワークにおけるPLMN間通信のために用いられるN32-cハンドシェイク手順の間に仕掛けられ得る。本明細書に記載の1つの例示的な解決法は、SEPPを利用し、N32-cハンドシェイクセキュリティ機能交換メッセージにある送信者属性を、TLSハンドシェイクの間に共有されるX.509v3証明書にあるエンドポイントのアイデンティティ、およびSEPPのローカルデータベースにおいて構成されたリモートSEPPのアイデンティティに照らして交差検証することによって、N32-cローミングなりすまし攻撃を緩和する。
Description
優先権の主張
本願は、2020年12月21日に出願された米国特許出願第17/129,441号、2020年11月11日に出願された米国特許出願第17/095,420号、2020年11月2日に出願されたインド仮出願第202041047779号、および2020年9月25日に出願されたインド仮出願第202041041754号の優先権の利益を主張するものであり、これらのすべての開示内容を引用により本明細書に援用する。
本願は、2020年12月21日に出願された米国特許出願第17/129,441号、2020年11月11日に出願された米国特許出願第17/095,420号、2020年11月2日に出願されたインド仮出願第202041047779号、および2020年9月25日に出願されたインド仮出願第202041041754号の優先権の利益を主張するものであり、これらのすべての開示内容を引用により本明細書に援用する。
技術分野
本明細書に記載の主題は、5G通信ネットワークにおけるセキュリティを向上させることに関する。特に、本明細書に記載の主題は、5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体に関する。
本明細書に記載の主題は、5G通信ネットワークにおけるセキュリティを向上させることに関する。特に、本明細書に記載の主題は、5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体に関する。
背景
5G電気通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサーNF(ネットワーク機能)と称される。サービスを利用するネットワークノードは、コンシューマーNFと称される。ネットワーク機能は、サービスを利用しているかサービスを提供しているかに応じて、プロデューサーNFにもコンシューマーNFにもなり得る。
5G電気通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサーNF(ネットワーク機能)と称される。サービスを利用するネットワークノードは、コンシューマーNFと称される。ネットワーク機能は、サービスを利用しているかサービスを提供しているかに応じて、プロデューサーNFにもコンシューマーNFにもなり得る。
所与のプロデューサーNFは、多くのサービスエンドポイントを有し得る。ここで、サービスエンドポイントとは、プロデューサーNFがホストする1つ以上のNFインスタンスの接続ポイントである。サービスエンドポイントは、IP(インターネットプロトコル)アドレスとポート番号との組合せ、またはプロデューサーNFをホストするネットワークノード上のIPアドレスおよびポート番号に変換される完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサーNFのインスタンスである。所与のプロデューサーNFは、2つ以上のNFインスタンスを含み得る。なお、複数のNFインスタンスが同じサービスエンドポイントを共有できる。
プロデューサーNFは、NRF(Network Function Repository Function)に登録される。NRFは、各NFインスタンスがサポートするサービスを識別する利用可能なNFインスタンスのサービスプロファイルを保持する。コンシューマーNFは、NRFに登録されているプロデューサーNFインスタンスについての情報を受信するようにサブスクライブできる。
コンシューマーNFに加えて、NFサービスインスタンスについての情報を受信するようにサブスクライブできる別の種類のネットワークノードは、SCP(Service Communications Proxy)である。SCPは、NRFを介してサブスクライブし、プロデューサーNFサービスインスタンスに関するリーチャビリティとサービスプロファイル情報とを取得する。コンシューマーNFは、Service Communications Proxyに接続し、Service Communications Proxyは、要求されたサービスを提供するプロデューサーNFサービスインスタンス間でトラフィックの負荷を分散する、または、宛先であるプロデューサーNFインスタンスにトラフィックを直接ルーティングする。
SCPに加えて、プロデューサーNFとコンシューマーNFとの間でトラフィックをルーティング中間プロキシノードまたはネットワークノード群のその他の例として、SEPP(セキュリティエッジ保護プロキシ)、サービスゲートウェイ、および5Gサービスメッシュにあるノードなどが挙げられる。SEPPは、異なる5G PLMN(公衆陸上移動体通信網)間で交換されるコントロールプレーントラフィックを保護するために用いられるネットワークノードである。このように、SEPPは、すべてのAPI(Application Programming Interfaceメッセージについてメッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
現在の5Gネットワークアーキテクチャでは、SEPP間のインタフェースであるN32インタフェース上で1つの脆弱性が存在する。上記の通り、SEPPは、PLMN(公衆陸上移動体通信網)のセキュリティスクリーニングノードとして機能する。N32コントロールまたはN32-cインタフェースは、リモートSEPPと制御メッセージを交換するために用いられる。N32-cインタフェース上での通信の開始は、TLS(トランスポートレイヤーセキュリティ)ハンドシェイク手順を含み、TLS接続を確立する。また、通信の開始は、N32-cセキュリティ機能ネゴシエーション手順も含む。N32-cセキュリティ機能ネゴシエーション手順は、N32-cメッセージの交換を含む。N32-cセキュリティ機能ネゴシエーション手順の間、リモートエンドポイントのアイデンティティの検証は行われない。また、リモートエンドポイントも、開始側SEPPのアイデンティティを検証しない。N32-cインタフェース上で検証が行われないので、開始側SEPPおよび応答側SEPPは、サードパーティがN32-c通信の一方のエンドになりすましてPLMNに不正アクセスする、なりすまし攻撃に対して脆弱である。
これらのおよびその他の問題点に鑑みて、5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体が必要とされている。
概要
5Gローミングなりすまし攻撃を緩和するための方法は、SEPP(セキュリティエッジ保護プロキシ)が、第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第1ノードの第1識別子を取得することを含む。この方法は、SEPPが、第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第1ノードの第2識別子を取得することをさらに含む。方法は、第1ノードの第1識別子と第2識別子を比較することをさらに含む。方法は、第1識別子と第2識別子とは一致しないと判断し、これに応答して、第1ノードの第2識別子が無効であると判断することをさらに含む。方法は、第1ノードの第2識別子が無効であると判断したことに応答して、第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックすることをさらに含む。
5Gローミングなりすまし攻撃を緩和するための方法は、SEPP(セキュリティエッジ保護プロキシ)が、第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第1ノードの第1識別子を取得することを含む。この方法は、SEPPが、第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第1ノードの第2識別子を取得することをさらに含む。方法は、第1ノードの第1識別子と第2識別子を比較することをさらに含む。方法は、第1識別子と第2識別子とは一致しないと判断し、これに応答して、第1ノードの第2識別子が無効であると判断することをさらに含む。方法は、第1ノードの第2識別子が無効であると判断したことに応答して、第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックすることをさらに含む。
本明細書に記載の主題の別の態様によると、TLSメッセージから第1ノードの第1識別子を取得することは、第1識別子をTLS証明書メッセージに含まれる証明書から取得することを含む。
本明細書に記載の主題の別の態様によると、証明書は、X.509証明書を含む。
本明細書に記載の主題の別の態様によると、第1ノードの第1識別子を取得することは、X.509証明書のサブジェクトの別名フィールドから第1ノードのFQDN(完全修飾ドメイン名)を抽出することを含む。
本明細書に記載の主題の別の態様によると、第1ノードの第1識別子を取得することは、X.509証明書のサブジェクトの別名フィールドから第1ノードのFQDN(完全修飾ドメイン名)を抽出することを含む。
本明細書に記載の主題の別の態様によると、SEPPは、N32-cセキュリティ機能ネゴシエーション手順における応答側SEPPであり、第1ノードの第2識別子を取得することは、N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateReqData情報要素の送信者属性から、第1ノードの第2識別子を抽出することを含む。
本明細書に記載の主題の別の態様によると、SEPPは、N32-cセキュリティ機能ネゴシエーション手順における開始側SEPPであり、第1ノードの第2識別子を取得することは、N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiationRspData情報要素の送信者属性から第1ノードの第2識別子抽出することを含む。
本明細書に記載の主題の別の態様によると、5Gローミングセキュリティ攻撃を緩和するための方法は、SEPPが、第2ノードからのTLSハンドシェイクメッセージから、第2ノードの第1識別子を取得することと、第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第2ノードの第2識別子を取得することと、第2ノードの第1識別子と第2識別子を比較することと、第1識別子と第2識別子が一致すると判断することと、第2ノードの第1識別子および第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、ピアSEPPデータベースにおいて一致する識別子を探し出すことと、第2ノードの第1識別子と第2識別子が一致し、ピアSEPPデータベースに一致する識別子が存在すると判断したことに応答して、第2ノードとのPLMN間通信を許可することとを含む。
本明細書に記載の主題の別の態様によると、5Gローミングセキュリティ攻撃を緩和するための方法は、SEPPが、第2ノードからのTLSハンドシェイクメッセージから、第2ノードの第1識別子を取得することと、SEPPが、第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第2ノードの第2識別子を取得することと、第2ノードの第1識別子と第2識別子を比較することと、第1識別子と第2識別子が一致すると判断することと、第2ノードの第1識別子および第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、ピアSEPPデータベースにおいて一致する識別子を探し出せないことと、第2ノードの第1識別子と第2識別子が一致し、ピアSEPPデータベースに一致する識別子が存在しないと判断したことに応答して、第2ノードからのPLMN間通信をブロックすることとを含む。
本明細書に記載の主題の別の態様によると、5Gローミングなりすまし攻撃を緩和するためのシステムは、少なくとも1つのプロセッサと、メモリとを含むSEPP(セキュリティエッジ保護プロキシ)を備える。このシステムは、少なくとも1つのプロセッサによって実装された5Gローミングなりすまし攻撃緩和モジュールをさらに備える。5Gローミングなりすまし攻撃緩和モジュールは、第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第1ノードの第1識別子を取得し、第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第1ノードの第2識別子を取得し、第1ノードの第1識別子と第2識別子を比較し、第1識別子と第2識別子とは一致しないと判断し、これに応答して、第1ノードの第2識別子が無効であると判断し、第1ノードの第2識別子が無効であると判断したことに応答して、第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックするように構成される。
本明細書に記載の主題の別の態様によると、5Gローミングなりすまし攻撃緩和モジュールは、第1ノードの第1識別子を、TLS証明書メッセージに含まれる証明書から取得するように構成される。
本明細書に記載の主題の別の態様によると、5Gローミングなりすまし攻撃緩和モジュールは、証明書のサブジェクトの別名フィールドから第1ノードのFQDN(完全修飾ドメイン名)を抽出することによって、第1ノードの第1識別子を取得するように構成される。
本明細書に記載の主題の別の態様によると、SEPPは、N32-cセキュリティ機能ネゴシエーション手順における応答側SEPPであり、5Gローミングなりすまし攻撃緩和モジュールは、N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateReqData情報要素の送信者属性から第1ノードの第2識別子を抽出することによって、第1ノードの第2識別子を取得するように構成される。
本明細書に記載の主題の別の態様によると、SEPPは、N32-cセキュリティ機能ネゴシエーション手順における開始側SEPPであり、5Gローミングなりすまし攻撃緩和モジュールは、N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateRspData情報要素の送信者情報要素属性から第1ノードの第2識別子を抽出することによって、第1ノードの第2識別子を取得するように構成される。
本明細書に記載の主題の別の態様によると、5Gローミングなりすまし攻撃緩和モジュールは、第2ノードからのTLSハンドシェイクメッセージから、第2ノードの第1識別子を取得し、第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第2ノードの第2識別子を取得し、第2ノードの第1識別子と第2識別子を比較し、第1識別子と第2識別子が一致すると判断し、第2ノードの第1識別子および第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、ピアSEPPデータベースにおいて一致する識別子を探し出し、第2ノードの第1識別子と第2識別子が一致し、ピアSEPPデータベースに一致する識別子が存在すると判断したことに応答して、第2ノードとのPLMN間通信を許可するように構成される。
本明細書に記載の主題の別の態様によると、5Gローミングなりすまし攻撃緩和モジュールは、第2ノードからのTLSハンドシェイクメッセージから、第2ノードの第1識別子を取得し、第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第2ノードの第2識別子を取得し、第2ノードの第1識別子と第2識別子を比較し、第1識別子と第2識別子が一致すると判断し、第2ノードの第1識別子および第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、ピアSEPPデータベースにおいて一致する識別子を探し出せず、第2ノードの第1識別子と第2識別子が一致し、ピアSEPPデータベースに一致する識別子が存在しないと判断したことに応答して、第2ノードからのPLMN間通信をブロックするように構成される。
本明細書に記載の主題の別の態様によると、実行可能な命令を格納した、非一時的なコンピュータ読み取り可能な媒体を提供する。実行可能な命令は、コンピュータのプロセッサによって実行されると、ステップを実行するようにコンピュータを制御する。当該ステップは、SEPP(セキュリティエッジ保護プロキシ)が、第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第1ノードの第1識別子を取得するステップを含む。ステップは、SEPPが、第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第1ノードの第2識別子を取得するステップをさらに含む。ステップは、第1ノードの第1識別子と第2識別子を比較するステップと、第1識別子と第2識別子とは一致しないと判断し、これに応答して、第1ノードの第2識別子が無効であると判断するステップとをさらに含む。ステップは、第1ノードの第2識別子が無効であると判断したことに応答して、第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックするステップをさらに含む。
本明細書において説明する主題は、ハードウェア、ソフトウェア、ファームウェア、または、それらの任意の組合せで実現されてもよい。このように、「機能」、「ノード」、または「モジュール」という用語は、本明細書において用いられる場合、記載の特徴を実現するためのハードウェア(ソフトウェアおよび/またはファームウェアコンポーネントも含んでもよい)を指す。一例示的な実施態様では、本明細書において説明する主題は、コンピュータにより実行可能な命令を格納したコンピュータ読み取り可能な媒体を用いて実現されてもよい。当該命令は、コンピュータのプロセッサによって実行されると、ステップを実行させるようにコンピュータを制御する。本明細書において説明する主題を実現するのに適した例示的なコンピュータ読み取り可能な媒体として、ディスク記憶装置、チップ記憶装置、プログラム可能な論理回路、および特定用途向け集積回路など、非一時的なコンピュータ読み取り可能な媒体などが挙げられる。これに加えて、本明細書において説明する主題を実現するコンピュータ読み取り可能な媒体は、1つのデバイスまたは1つのコンピューティングプラットフォーム上に位置してもよいし、複数のデバイスまたは複数のコンピューティングプラットフォーム間で分散されてもよい。
ここで、添付の図面を参照して本明細書に記載の主題を説明する。
詳細な説明
本明細書に記載の主題は、5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体に関する。図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じHPLMN(ホーム側公衆陸上移動体通信網)に位置し得るNRF100とSCP101とを備える。上述したように、NRF100は、利用可能なプロデューサーNFサービスインスタンスのプロファイルおよびこれらがサポートするサービスを保持し、コンシューマーNFまたはSCPが新しい/更新されたプロデューサーNFサービスインスタンスをサブスクライブすることまたは新しい/更新されたプロデューサーNFサービスインスタンスの登録について通知されることを可能にする。また、SCP101は、サービス検出およびプロデューサーNFインスタンスの選択をサポートし得る。SCP101は、コンシューマーNFとプロデューサーNFとの接続の負荷分散を行い得る。これに加えて、本明細書に記載の技法を用いて、SCP101は、NFの位置に基づいた、好ましい選択およびルーティングを行い得る。
本明細書に記載の主題は、5Gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体に関する。図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じHPLMN(ホーム側公衆陸上移動体通信網)に位置し得るNRF100とSCP101とを備える。上述したように、NRF100は、利用可能なプロデューサーNFサービスインスタンスのプロファイルおよびこれらがサポートするサービスを保持し、コンシューマーNFまたはSCPが新しい/更新されたプロデューサーNFサービスインスタンスをサブスクライブすることまたは新しい/更新されたプロデューサーNFサービスインスタンスの登録について通知されることを可能にする。また、SCP101は、サービス検出およびプロデューサーNFインスタンスの選択をサポートし得る。SCP101は、コンシューマーNFとプロデューサーNFとの接続の負荷分散を行い得る。これに加えて、本明細書に記載の技法を用いて、SCP101は、NFの位置に基づいた、好ましい選択およびルーティングを行い得る。
NRF100は、NFまたはプロデューサーNFインスタンスのサービスプロファイルのリポジトリである。プロデューサーNFインスタンスと通信を行うために、コンシューマーNFまたはSCPは、NFもしくはサービスプロファイル、またはプロデューサーNFインスタンスをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標)(Third Generation Partnership Project)TS(技術仕様書)29.510で規定されたJSON(JavaScript(登録商標) Object Notation)データ構造である。NFまたはサービスプロファイルの規定は、FQDN(完全修飾ドメイン名)、IPv4(IP(インターネットプロトコル)バージョン4)アドレスまたはIPv6(IPバージョン6)アドレスのうち、少なくとも1つを含む。図1では、すべてのノード(NRF100以外)は、要求側サービスであるか提供側サービスであるかに応じて、コンシューマーNFまたはプロデューサーNFのいずれかであり得る。図示した例では、これらのノードは、ネットワークにおけるポリシー関連の操作を実行するPCF(Policy Control Function)102と、ユーザデータを管理するUDM(User Data Management)機能104、アプリケーションサービスを提供するAF(Application Function)106とを含む。図1に示すノードは、AMF(Access And Mobility Management Function)110とPCF102との間のセッションを管理するSMF(Session Management Function)108をさらに含む。AMF110は、4GネットワークにおいてMME(Mobility Management Entity)が実行するモビリティ管理操作と同様のモビリティ管理操作を実行する。AUSF(Authentication Server Function)112は、ネットワークにアクセスしたいUE(ユーザ機器)114など、UE(ユーザ機器)の認証サービスを実行する。
NSSF(Network Slice Selection Function)116は、ネットワークスライスに関連する特定のネットワーク機能および特性にアクセスしたいデバイスのためのネットワークスライシングサービスを提供する。NEF(Network Exposure Function)118は、ネットワークにアタッチされているIoT(Internet of things)デバイスおよびその他のUEについての情報を取得したいアプリケーション機能のためのAPI(Application Programming Interface)を提供する。NEF118は、4GネットワークにおけるSCEF(Service Capability Exposure Function)と同様の機能を実行する。
RAN(無線アクセスネットワーク)120は、ワイヤレスリンクを経由してUE(ユーザ機器)114をネットワークに接続する。無線アクセスネットワーク120には、gNB(g-NodeB)(図1に図示せず)またはその他のワイヤレスアクセスポイントを用いてアクセスされ得る。UPF(User Plane Function)122は、ユーザプレーンサービスに関する様々なプロキシ機能をサポートできる。このようなプロキシ機能の一例は、MPTCP(Multipath Transmission Control Protocol)プロキシ機能である。UPF122は、パフォーマンス測定機能もサポートし得る。パフォーマンス測定機能は、ネットワーク性能の測定値を取得するためにUE114によって用いられ得る。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするDN(データネットワーク)124も示されている。
SEPP126は、別のPLMNからの受信トラフィックをフィルタリングし、ホーム側PLMNから出るトラフィックのトポロジ隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMNにあるSEPPと通信し得る。よって、それぞれ異なるPLMNにおけるNF間のトラフィックは、ホーム側PLMNのためのSEPP機能および外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。
上記の通り、既存の5Gアーキテクチャの1つの問題は、N32-cハンドシェイクがリモートエンドポイントのIDを検証しないことである。エンドポイントのIDを検証しない場合、悪意があるSEPPが別のSEPPのアイデンティティになりすましてセキュリティ攻撃を仕掛ける可能性がある。応答側SEPPは、N32ハンドシェイクメッセージを正規開始側SEPPから受信しているかどうかを検証しない。同様に、開始側SEPPは、N32-cハンドシェイクメッセージが正規応答側SEPPに送られるかどうかを検証しない。本明細書に記載の主題は、SEPPのN32-cアイデンティティを、TLSレイヤーのアイデンティティ、ならびに開始側SEPPおよび応答側SEPPが保持するピアSEPPデータベースに格納されているピアSEPPアイデンティティと交差検証することによって、これらのおよびその他の問題点に対処する。
図2は、N32インタフェース上のSEPP間でハンドシェイクが生じている様子を示す図である。図2では、開始側SEPP126Aと、応答側SEPP126Bは、TLSハンドシェイクメッセージングおよびN32-cセキュリティ機能ネゴシエーションメッセージングを、N32インタフェース上で交換する。TLSハンドシェイクには、証明書の交換が含まれる。証明書は、TLSレイヤーにおいて送信者のアイデンティティを検証するために使用され得、なりすますことが困難である。しかしながら、TLSハンドシェイクの間に交換されるアイデンティティと、N32-cセキュリティ機能ネゴシエーションメッセージングの間に交換されるアイデンティティとの間には交差検証が存在しない。その結果、開始側SEPP126Aおよび応答側SEPP126Bの両方が、ローミングなりすまし攻撃に対して脆弱である。ローミングなりすまし攻撃とは、携帯電話加入者がローミング中のネットワークにおいて攻撃者がノードとして装う攻撃である。N32-cセキュリティ機能ネゴシエーション手順の間にノードのアイデンティティになりすます場合、攻撃者は、サブスクライバがローミング中のネットワークにサービスを提供しているSEPPのアイデンティティになりすます。
図3は、正規SEPPを装うハッカーSEPP300の例を示す図である。図3では、PLMN1に位置するSEPP126Aは、PLMN2に位置するピアSEPP126Bと通信していると信じている。しかしながら、ハッカーSEPP300が正規SEPP126BのフリをしてSEPP126AとのN32-c通信を確立している可能性がある。このような通信が確立されると、ハッカーSEPP300は、PLMN1から機密であるサブスクライバ情報を取得することができるおよび/またはDoS(Denial of Service)攻撃などその他の種類の攻撃をPLMN1上で引き起こすことができるようになるであろう。
N32-cインタフェース上でなりすまし攻撃が成功してしまうのを回避するまたはその可能性を低くするために、SEPP126Aおよび126Bは、N32-cアイデンティティをTLSアイデンティティと交差検証し得、さらに、構成済みのピアSEPPデータベースを用いてN32-cアイデンティティをピアSEPPアイデンティティと検証し得る。図4は、開始側SEPP126Aおよび応答側SEPP126Bが実行し得る例示的な交差検証を示す図である。図4を参照すると、開始側SEPP126Aと応答側SEPP126Bは、N32-cインタフェース上でTLSハンドシェイクメッセージを交換してTLS接続を確立する。TLSハンドシェイクは、クライアントのhelloメッセージとサーバのhelloメッセージとの交換、続いて、証明書メッセージの交換を含む。証明書メッセージには、送信者のX.509証明書が含まれる。送信者のアイデンティティは、X.509証明書に含まれており、なりすますことは困難である。なぜならば、認証局によってX.509証明書に署名されているためである。
したがって、一例では、送信者のN32-cアイデンティティを交差検証するためにX.509証明書から抽出した送信者のアイデンティティが用いられ得る。TLSハンドシェイクプロトコルは、IETF(Internet Engineering Task Force)のRFC(Request for Comments)5246において規定されており、TLS接続の両エンドによる証明書メッセージの交換を含む。IETF RFC5246において規定されているTLSハンドシェイクメッセージの構造(証明書メッセージを含む)は、以下のように表示される。
TLSハンドシェイクメッセージの構造によって示されているように、規定されたハンドシェイクメッセージの種類の1つは、証明書メッセージである。証明書メッセージは、送信者がクライアントとして機能しているかサーバとして機能しているかに応じて、クライアントの証明書またはサーバの証明書を含む。N32-cインタフェースでセキュアなTLS通信を確立する際、TLS接続の両エンドが他方のエンドのX.509証明書を受信および検証する共通のTLSまたはm-TLSが使用される。IETF RFC5246は、明らかにネゴシエーションされない限り、証明書の種類がX.509v3でなければならないことを示す。本明細書に記載の実施例では、例としてX.509v3証明書を用いるが、本明細書に記載の主題は、X.509v3から抽出した送信者のアイデンティティを用いて送信者のN32-cアイデンティティを検証することだけに限られない。X.509v3証明書のフォーマットは、IETF RFC3280で規定されている。IETF RFC3280によると、X.509v3証明書が含み得る拡張子またはパラメータは、サブジェクトの別名拡張である。サブジェクトの別名拡張は、次のように定義される。
サブジェクトの別名拡張により、証明書のサブジェクトに追加のアイデンティティをバインドできるようになる。定義済みオプションは、インターネット電子メールアドレスと、DNS名と、IPアドレスと、URI(Uniform Resource Identifier)とを含む。完全にローカルな定義を含む、その他のオプションも存在する。複数の名前形式、および各名前形式の複数のインスタンスが含まれてもよい。このようなアイデンティティが証明書にバインドされる時はいつも、サブジェクトの別名(発行者の別名)拡張を使わなければならない。しかしながら、DNS名は、4.1.2.4節に記載されているように、domainComponent属性を用いてサブジェクトフィールドで表されてもよい。
サブジェクトの別名は、最終的に公開鍵にバインドされると考えられるので、サブジェクトの別名のすべての部分をCAによって確認しなければならない。
上記の通り、X.509v3証明書のサブジェクトの別名拡張は、証明書のサブジェクトを識別する、認証局によって確認されるDNS名、IPアドレス、またはURIを含み得る。サブジェクトの別名は認証局によって確認されるので、サブジェクトの別名をなりすますことは困難である。しかしながら、送信者が有効なX.509証明書を有していることを確実にするだけでは、N32-cアプリケーションレベルで送信者のアイデンティティを検証することにならない。このような交差検証を実行するために、開始側SEPP126Aおよび応答側SEPP-126Bは、N32-cメッセージからアイデンティティを抽出し、これらのアイデンティティを、TLSハンドシェイクの間に共有したX-509証明書から抽出したアイデンティティと比較し得る。これらのアイデンティティが一致した場合、SEPP126Aおよび126Bは、N32-cメッセージまたはTLSメッセージのいずれかから抽出したアイデンティティを構成済みピアSEPPアイデンティティのデータベースと比較するさらなる検証ステップを実行し得る。いずれの検証も失敗した場合、SEPPは、リモートノードとのPLMN間通信をブロックし得、リモートノードを攻撃者として識別する。
図4に戻ると、開始側SEPP126Aと応答側SEPP126Bとの間でTLSハンドシェイクメッセージが交換され、TLS接続が確立された後、開始側SEPP126Aは、HTTP POSTメッセージを応答側SEPP126Bに送る。HTTP POSTメッセージは、SecNegotiateReqData情報要素を含む。SecNegotiateReqData情報要素は、送信者のFQDNを含んだ送信者情報要素を含む。応答側SEPP126Bは、HTTP POSTメッセージを受信し、SecNegotiateReqData情報要素から送信者のFQDNを抽出し、送信者のX.509証明書から取得した送信者のアイデンティティに照らしてFQDNを検証する。この場合、これらのアイデンティティが一致すると仮定する。したがって、次のステップでは、応答側SEPP126Bは、応答側SEPP126Bが保持するピアSEPPデータベースでルックアップを実行し、送信者のアイデンティティを検索する。開始側SEPP126Aのアイデンティティが応答側SEPP126BのピアSEPPデータベース上に存在すると仮定するので、応答側SEPP126Bの観点からは両方の検証が合格となり、その結果、応答側SEPP126Bは、開始側SEPP126AからのPLMN間通信を許可する。
図4のメッセージフローを引き続き参照すると、応答側SEPP126Bは、開始側SEPP126AにHTTP 200 OK メッセージを送る。HTTP 200 OK メッセージは、送信者属性を含んだN32-cSecNegotiateRspData情報要素を含む。図5では、送信者属性は、応答側SEPP126BのFQDNを保持している。開始側SEPP126Bは、HTTP 200 OK メッセージを受信し、SecNegotiateRspData情報要素の送信者属性から送信者のFQDNを抽出し、このFQDNをTLS証明書メッセージから抽出した送信者のFQDNと比較する。この場合、これらのFQDNが一致すると仮定する。したがって、開始側SEPP126Aは、開始側SEPP126Aが保持するピアSEPPデータベースに送信者のアイデンティティが存在するかどうかを判断するさらなる検証ステップを実行する。この例では、送信者のアイデンティティが存在すると仮定するので、開始側SEPP126Aは、応答側SEPP126BとのPLMN間通信を許可する。
図5は、N32-cセキュリティ機能ネゴシエーション手順に関してハッカーSEPP300が開始側SEPPである場合を説明する図である。図5では、ハッカーSEPP300は、応答側SEPP126BとのTLSハンドシェイクを開始する。応答側SEPP126Bは、TLSハンドシェイクメッセージからX.509証明書を抽出し、証明書においてハッカーSEPP300が提示するアイデンティティを抽出する。ハッカーSEPP300は、アイデンティティをN32-cセキュリティ機能ネゴシエーションメッセージ(図示した例では、HTTP POSTメッセージ)のN32-cSecNegotiateReqData情報要素に含めて応答側SEPP126Bに伝達する。応答側SEPP126Bは、N32-cセキュリティ機能ネゴシエーションメッセージのN32-cSecNegotiateReqData情報要素にあるハッカーSEPP300が提示するアイデンティティを抽出し、N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateReqData情報要素から抽出したアイデンティティをTLSメッセージから取得した証明書から抽出したアイデンティティと比較する。この場合、これらのアイデンティティは一致しない。その結果、応答側SEPP126Bは、検証が失敗したと判断する。したがって、応答側SEPP126Bは、ハッカーSEPP300からのその後の通信をブロックする。
図6は、N32-cセキュリティ機能ネゴシエーショントランザクションにおいてTLSのアイデンティティとN32-cのアイデンティティの交差検証を実行するSEPPが、開始側SEPPである場合を示す図である。図6では、開始側SEPPは、ハッカーSEPP300からTLSメッセージおよびN32-cメッセージを受信する。開始側SEPP126Aは、TLSハンドシェイクメッセージのうち1つからX.509証明書を取得する。開始側SEPP126Aは、X.509証明書からアイデンティティを抽出し、このアイデンティティをN32-cセキュリティ機能ネゴシエーションメッセージ(図示した例では、HTTP 200 OK メッセージ)のSecNegotiateRspData情報要素にあるハッカーSEPP300から受信したアイデンティティと比較する。この場合、これらのアイデンティティは、一致しない。したがって、開始側SEPP126Aは、ハッカーSEPP300とのその後の通信をブロックする。
図7は、SEPP126Aまたは126Bの例示的なアーキテクチャを示すブロック図である。SEPP126Aまたは126Bは、少なくとも1つのプロセッサ700と、メモリ702とを備える。SEPP126Aまたは126Bは、N32-cメッセージにあるアイデンティティとTLSメッセージから抽出したアイデンティティと交差検証するための本明細書に記載のこれらのステップを実行する5Gローミングなりすまし緩和モジュール704をさらに備える。SEPP126Aまたは126Bは、PLMN間通信が許可されているピアSEPPのアイデンティティで構成されたピアSEPデータベース706をさらに備える。5Gローミングなりすまし緩和モジュール704は、プロセッサ700によって実装され得、また、データベース706に格納されているピアSEPPアイデンティティに照らして、リモートノードが提示するN32-cアイデンティティのクロスチェックを実行し得る。N32-cセキュリティ機能ネゴシエーションメッセージにおいて提示されたリモートノードのアイデンティティがデータベース706に存在しない場合、または、TLSアイデンティティとのクロスチェックが失敗した場合、5Gローミングなりすまし緩和モジュール704は、リモートノードとのPLMN間通信をブロックし得る。両方のアイデンティティクロスチェックが合格であった、5Gローミングなりすまし緩和モジュール704は、リモートノードとのPLMN間通信を許可し得る。
図8は、5Gスピーキング攻撃を緩和するための例示的な方法を示すフローチャートである。図8を参照すると、ステップ800では、SEPPが、第1ノードからのTLSメッセージから第1識別子を取得する。たとえば、開始側または応答側SEPP126Aまたは126Bは、送信側ノードから受信したTLSメッセージにあるX.509証明書の別IDフィールドから、送信側ノードのアイデンティティを抽出し得る。TLSメッセージは、リモートノードとのTLS接続を確立するための用いられるTLSハンドシェイク手順の一部としてリモートノードと交換しる証明書メッセージであり得る。
ステップ802では、SEPPは、第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、第1ノードの第2識別子を取得する。たとえば、SEPPがN32-cセキュリティ機能ネゴシエーショントランザクションを目的とする開始側SEPPである場合、開始側SEPPは、リモートノードからのHTTP 200 OK メッセージのN32-cSecNegotiateRspData情報要素の送信者ID属性から、N32cアイデンティティを抽出し得る。SEPPがN32-cセキュリティ機能ネゴシエーショントランザクションを目的とする応答側SEPPである場合、応答側SEPPは、リモートノードからのHTTP POSTメッセージのN32-cSecNegotiateReqData情報要素の送信者ID属性から、N32cアイデンティティを抽出し得る。以下に示す表1および表2は、N32-cセキュリティ機能ネゴシエーションの一部であるSecNegotiateReqDataおよびSecNegotiateRspData情報要素に含まれ得る属性を示す、3GPP TS29.573の表6.1.5.2.2.1および表6.5.1.2.2に対応する。
表1および表2からわかるように、送信者属性は、SecNegotiateReqData情報要素およびSecNegotiateRspData情報要素の必須パラメータであり、リクエストまたはレスポンスを送るSEPPのFQDNを含む。TLSレイヤーのアイデンティティと交差検証され得るのはこのFQDNである。
ステップ804では、SEPPは、第1ノードの第1識別子と第2識別子を比較する。たとえば、SEPPは、X.509証明書から抽出したTLS識別子をN32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateRspData情報要素またはSecNegotiateReqData情報要素から抽出したN32-c識別子と比較し得る。
ステップ806では、これらの識別子が一致しなかった場合、制御は、ステップ808に進む。ステップ808では、SEPPが、第1ノードの第2の(N32-c)アイデンティティを無効であると分類する。その後、制御は、ステップ810に進む。ステップ810では、SEPPは、第1ノードからのPLMN間通信をブロックする。
ステップ806に戻ると、TLSのアイデンティティとN32-cアプリケーションレイヤーのアイデンティティが一致した場合、制御は、ステップ812に進む。ステップ812では、SEPPは、ピアSEPPデータベースでルックアップを実行し、第1ノードのアイデンティティを検索する。ステップ806においてTLSレイヤーのアイデンティティとN32c(アプリケーション)レイヤーのアイデンティティが一致したので、TLSレイヤーのアイデンティティまたはN32-cレイヤーのアイデンティティのいずれかを用いてルックアップが実行され得る。ネットワーク事業者のネットワークにある所与のSEPPが通信を許可されるSEPPのアイデンティティを有するピアSEPPデータベースが事業者によってプロビジョニングされ得る。このようなSEPPは、本明細書において、ピアSEPPと称する。なぜならば、ピアネットワーク事業者のPLMNと対応付けられ得るためである。
ステップ814では、ピアSEPPデータベースにアイデンティティが存在する場合、制御は、ステップ816に進む。ステップ816では、SEPPは、第1ノードとのPLMN間通信を許可する。データベースにアイデンティティが存在しない場合、制御は、ステップ810に進む。ステップ810では、SEPPは、第1ノードとのPLMN間通信をブロックする。
本明細書に記載の主題は、異なるネットワークプロトコルレイヤーにあるSEPP間で交換されるアイデンティティの交差検証を実行することによって、SEPPとPLMNとの間のネットワークセキュリティを改善する。N32-cアイデンティティを、なりすますことが困難なTLSレイヤーアイデンティティと比較することによって、本明細書に記載のSEPPは、N32-cセキュリティ機能交換手順の間になりすまし攻撃が成功する可能性を低くする。これに加えて、本明細書に記載の交差検証ステップを、N32セキュリティ機能ネゴシエーションにおける開始側SEPPおよび応答側SEPPの両方で実行できるので、攻撃者がN32-c接続のいずれのエンドになりすましてしまうことが成功する可能性を低くする。
下記文献の各々の開示内容のすべてを引用により本明細書に援用する。
文献
1. IETF RFC5246; The Transport Layer Security (TLS) Protocol, Version 1.2; August 2008
2. IETF RFC3280; Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002.
3. 3GPP TS 29.573; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3 (Release 16) V16.3.0 (2020-07)
4. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System; (Release 16), V16.3.0 (2020-07).
5. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 16), V16.4.0 (2020-07).
今回開示した主題の様々な詳細は、今回開示した主題の範囲を逸脱することなく変更してもよいことが理解されるであろう。さらには、上記の説明は、あくまで例示にすぎず、限定ではない。
文献
1. IETF RFC5246; The Transport Layer Security (TLS) Protocol, Version 1.2; August 2008
2. IETF RFC3280; Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002.
3. 3GPP TS 29.573; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3 (Release 16) V16.3.0 (2020-07)
4. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System; (Release 16), V16.3.0 (2020-07).
5. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 16), V16.4.0 (2020-07).
今回開示した主題の様々な詳細は、今回開示した主題の範囲を逸脱することなく変更してもよいことが理解されるであろう。さらには、上記の説明は、あくまで例示にすぎず、限定ではない。
Claims (20)
- 5Gローミングなりすまし攻撃を緩和するための方法であって、
SEPP(セキュリティエッジ保護プロキシ)が、第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、前記第1ノードの第1識別子を取得することと、
前記SEPPが、前記第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第1ノードの第2識別子を取得することと、
前記第1ノードの前記第1識別子と前記第2識別子を比較することと、
第1識別子と第2識別子とは一致しないと判断し、これに応答して、前記第1ノードの第2識別子が無効であると判断することと、
前記第1ノードの前記第2識別子が無効であると判断したことに応答して、前記第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックすることとを含む、方法。 - TLSメッセージから前記第1ノードの前記第1識別子を取得することは、前記第1識別子をTLS証明書メッセージに含まれる証明書から取得することを含む、請求項1に記載の方法。
- 前記証明書は、X.509証明書を含む、請求項2に記載の方法。
- 前記第1ノードの前記第1識別子を取得することは、前記X.509証明書のサブジェクトの別名フィールドから前記第1ノードのFQDN(完全修飾ドメイン名)を抽出することを含む、請求項3に記載の方法。
- 前記SEPPは、N32-cセキュリティ機能ネゴシエーション手順における応答側SEPPであり、前記第1ノードの前記第2識別子を取得することは、前記N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateReqData情報要素の送信者属性から、前記第1ノードの前記第2識別子を抽出することを含む、先行する請求項のいずれか1項に記載の方法。
- 前記SEPPは、N32-cセキュリティ機能ネゴシエーション手順における開始側SEPPであり、前記第1ノードの前記第2識別子を取得することは、前記N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiationRspData情報要素の送信者属性から前記第1ノードの前記第2識別子抽出することを含む、請求項1~4のいずれか1項に記載の方法。
- 前記SEPPが、第2ノードからのTLSハンドシェイクメッセージから、前記第2ノードの第1識別子を取得することと、
前記第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第2ノードの第2識別子を取得することと、
前記第2ノードの前記第1識別子と前記第2識別子を比較することと、
第1識別子と第2識別子が一致すると判断することと、
前記第2ノードの前記第1識別子および前記第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、前記ピアSEPPデータベースにおいて一致する識別子を探し出すことと、
前記第2ノードの前記第1識別子と前記第2識別子が一致し、前記ピアSEPPデータベースに一致する識別子が存在すると判断したことに応答して、前記第2ノードとのPLMN間通信を許可することとを含む、先行する請求項のいずれか1項に記載の方法。 - 前記SEPPが、第2ノードからのTLSハンドシェイクメッセージから、前記第2ノードの第1識別子を取得することと、
前記SEPPが、前記第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第2ノードの第2識別子を取得することと、
前記第2ノードの前記第1識別子と前記第2識別子を比較することと、
第1識別子と第2識別子が一致すると判断することと、
前記第2ノードの前記第1識別子および前記第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、前記ピアSEPPデータベースにおいて一致する識別子を探し出せないことと、
前記第2ノードの前記第1識別子と前記第2識別子が一致し、前記ピアSEPPデータベースに一致する識別子が存在しないと判断したことに応答して、前記第2ノードからのPLMN間通信をブロックすることとを含む、先行する請求項のいずれか1項に記載の方法。 - 5Gローミングなりすまし攻撃を緩和するためのシステムであって、
少なくとも1つのプロセッサと、メモリとを含むSEPP(セキュリティエッジ保護プロキシ)と、
前記少なくとも1つのプロセッサによって実装された5Gローミングなりすまし攻撃緩和モジュールとを備え、前記5Gローミングなりすまし攻撃緩和モジュールは、
第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、前記第1ノードの第1識別子を取得し、
前記第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第1ノードの第2識別子を取得し、
前記第1ノードの前記第1識別子と前記第2識別子を比較し、
第1識別子と第2識別子とは一致しないと判断し、これに応答して、前記第1ノードの第2識別子が無効であると判断し、
前記第1ノードの前記第2識別子が無効であると判断したことに応答して、前記第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックするように構成される、システム。 - 前記5Gローミングなりすまし攻撃緩和モジュールは、前記第1ノードの前記第1識別子を、TLS証明書メッセージに含まれる証明書から取得するように構成される、請求項9に記載のシステム。
- 前記証明書は、X.509証明書を含む、請求項10に記載のシステム。
- 前記5Gローミングなりすまし攻撃緩和モジュールは、前記証明書のサブジェクトの別名フィールドから抽出される前記第1ノードのFQDN(完全修飾ドメイン名)を抽出することによって、前記第1ノードの前記第1識別子を取得するように構成される、請求項11に記載のシステム。
- 前記SEPPは、N32-cセキュリティ機能ネゴシエーション手順における応答側SEPPであり、5Gローミングなりすまし攻撃緩和モジュールは、前記N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateReqData情報要素の送信者属性から前記第1ノードの前記第2識別子を抽出することによって、前記第1ノードの前記第2識別子を取得するように構成される、請求項9~12のいずれか1項に記載のシステム。
- 前記SEPPは、N32-cセキュリティ機能ネゴシエーション手順における開始側SEPPであり、前記5Gローミングなりすまし攻撃緩和モジュールは、前記N32-cセキュリティ機能ネゴシエーションメッセージのSecNegotiateRspData情報要素の送信者情報要素属性から前記第1ノードの前記第2識別子を抽出することによって、前記第1ノードの前記第2識別子を取得するように構成される、請求項9~12のいずれか1項に記載のシステム。
- 前記5Gローミングなりすまし攻撃緩和モジュールは、
第2ノードからのTLSハンドシェイクメッセージから、前記第2ノードの第1識別子を取得し、
前記第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第2ノードの第2識別子を取得し、
前記第2ノードの前記第1識別子と前記第2識別子を比較し、
第1識別子と第2識別子が一致すると判断し、
前記第2ノードの前記第1識別子および前記第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、前記ピアSEPPデータベースにおいて一致する識別子を探し出し、
前記第2ノードの前記第1識別子と前記第2識別子が一致し、前記ピアSEPPデータベースに一致する識別子が存在すると判断したことに応答して、前記第2ノードとのPLMN間通信を許可するように構成される、請求項9~14のいずれか1項に記載のシステム。 - 前記5Gローミングなりすまし攻撃緩和モジュールは、
第2ノードからのTLSハンドシェイクメッセージから、前記第2ノードの第1識別子を取得し、
前記第2ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第2ノードの第2識別子を取得し、
前記第2ノードの前記第1識別子と前記第2識別子を比較し、
第1識別子と第2識別子が一致すると判断し、
前記第2ノードの前記第1識別子および前記第2識別子のうち一方を用いてピアSEPPデータベースでルックアップを実行し、前記ピアSEPPデータベースにおいて一致する識別子を探し出せず、
前記第2ノードの前記第1識別子と前記第2識別子が一致し、前記ピアSEPPデータベースに一致する識別子が存在しないと判断したことに応答して、前記第2ノードからのPLMN間通信をブロックするように構成される、請求項9~15のいずれか1項に記載のシステム。 - 実行可能な命令を格納した、非一時的なコンピュータ読み取り可能な媒体であって、前記実行可能な命令は、コンピュータのプロセッサによって実行されると、ステップを実行するように前記コンピュータを制御し、前記ステップは、
SEPP(セキュリティエッジ保護プロキシ)が、第1ノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、前記第1ノードの第1識別子を取得するステップと、
前記SEPPが、前記第1ノードからのN32-cセキュリティ機能ネゴシエーションメッセージから、前記第1ノードの第2識別子を取得するステップと、
前記第1ノードの前記第1識別子と前記第2識別子を比較するステップと、
第1識別子と第2識別子とは一致しないと判断し、これに応答して、前記第1ノードの第2識別子が無効であると判断するステップと、
前記第1ノードの前記第2識別子が無効であると判断したことに応答して、前記第1ノードとのPLMN(公衆陸上移動体通信網)間通信をブロックするステップとを含む、非一時的なコンピュータ読み取り可能な媒体。 - TLSメッセージから前記第1ノードの前記第1識別子を取得するステップは、前記第1識別子をTLS証明書メッセージに含まれる証明書から取得するステップを含む、請求項17に記載の非一時的なコンピュータ読み取り可能な媒体。
- 前記証明書は、X.509証明書を含む、請求項18に記載の非一時的なコンピュータ読み取り可能な媒体。
- 前記第1ノードの前記第1識別子を取得するステップは、前記証明書のサブジェクトの別名フィールドから前記第1ノードのFQDN(完全修飾ドメイン名)を抽出するステップを含む、請求項19に記載の非一時的なコンピュータ読み取り可能な媒体。
Applications Claiming Priority (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN202041041754 | 2020-09-25 | ||
IN202041041754 | 2020-09-25 | ||
IN202041047779 | 2020-11-02 | ||
IN202041047779 | 2020-11-02 | ||
US17/095,420 US11825310B2 (en) | 2020-09-25 | 2020-11-11 | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US17/095,420 | 2020-11-11 | ||
US17/129,441 | 2020-12-21 | ||
US17/129,441 US11832172B2 (en) | 2020-09-25 | 2020-12-21 | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
PCT/US2021/029973 WO2022066227A1 (en) | 2020-09-25 | 2021-04-29 | Methods, systems, and computer readable media for mitigating 5g roaming spoofing attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023544000A true JP2023544000A (ja) | 2023-10-19 |
JPWO2022066227A5 JPWO2022066227A5 (ja) | 2024-05-09 |
Family
ID=80821937
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023519026A Pending JP2023544000A (ja) | 2020-09-25 | 2021-04-29 | 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体 |
JP2023519025A Pending JP2023543999A (ja) | 2020-09-25 | 2021-04-29 | セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023519025A Pending JP2023543999A (ja) | 2020-09-25 | 2021-04-29 | セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11832172B2 (ja) |
EP (2) | EP4218169A1 (ja) |
JP (2) | JP2023544000A (ja) |
WO (2) | WO2022066227A1 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11632361B2 (en) * | 2020-10-02 | 2023-04-18 | Citrix Systems, Inc. | Combined authentication and connection establishment for a communication channel |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US20220248229A1 (en) * | 2021-02-01 | 2022-08-04 | Nokia Technologies Oy | Termination of connections over a forwarding interface between networks |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
US11533358B1 (en) * | 2021-09-17 | 2022-12-20 | Nokia Technologies Oy | Roaming hub for secure interconnect in roaming scenarios |
Family Cites Families (267)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE508514C2 (sv) | 1997-02-14 | 1998-10-12 | Ericsson Telefon Ab L M | Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem |
US6151503A (en) | 1997-12-17 | 2000-11-21 | Lucent Technologies Inc. | Subscriber activated wireless telephone call rerouting system |
US6308075B1 (en) | 1998-05-04 | 2001-10-23 | Adc Telecommunications, Inc. | Method and apparatus for routing short messages |
JP3049056B1 (ja) | 1998-07-02 | 2000-06-05 | 日本電気通信システム株式会社 | 移動体通信網の加入者デ―タ制御方法 |
US6343215B1 (en) | 1998-11-10 | 2002-01-29 | Lucent Technologies, Inc | ANSI 41 dialed number validation |
US6292666B1 (en) | 1999-05-06 | 2001-09-18 | Ericsson Inc. | System and method for displaying country on mobile stations within satellite systems |
EP1067492A3 (en) | 1999-06-30 | 2001-01-17 | Lucent Technologies Inc. | Transaction notification system and method |
WO2001037592A1 (de) | 1999-11-17 | 2001-05-25 | Swisscom Mobile Ag | Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz |
FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
EP2160039B1 (en) | 2000-03-07 | 2012-06-06 | Tekelec | Screening of mobile application part (map) messages |
TW589855B (en) | 2000-05-15 | 2004-06-01 | Ntt Docomo Inc | Authentication system and method |
EP1213931A3 (de) | 2000-12-05 | 2003-03-19 | Siemens Aktiengesellschaft | Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz |
US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
AUPR441401A0 (en) | 2001-04-12 | 2001-05-17 | Gladwin, Paul | Utility usage rate monitor |
US20090168719A1 (en) | 2001-10-11 | 2009-07-02 | Greg Mercurio | Method and apparatus for adding editable information to records associated with a transceiver device |
EP1304897A1 (en) | 2001-10-22 | 2003-04-23 | Agilent Technologies, Inc. (a Delaware corporation) | Methods and apparatus for providing data for enabling location of a mobile communications device |
US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
US7068999B2 (en) | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
US20100240361A1 (en) | 2002-08-05 | 2010-09-23 | Roamware Inc. | Anti-inbound traffic redirection system |
US7729686B2 (en) | 2003-04-02 | 2010-06-01 | Qualcomm Incorporated | Security methods for use in a wireless communications system |
US7043754B2 (en) | 2003-06-12 | 2006-05-09 | Michael Arnouse | Method of secure personal identification, information processing, and precise point of contact location and timing |
US8121594B2 (en) | 2004-02-18 | 2012-02-21 | Roamware, Inc. | Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register |
US7567661B1 (en) | 2003-12-31 | 2009-07-28 | Nortel-Networks Limited | Telephony service information management system |
GB0406119D0 (en) | 2004-03-18 | 2004-04-21 | Telsis Holdings Ltd | Telecommunications services apparatus and method |
US7403537B2 (en) | 2004-04-14 | 2008-07-22 | Tekelec | Methods and systems for mobile application part (MAP) screening in transit networks |
ES2547716T3 (es) | 2004-04-14 | 2015-10-08 | Mbalance Research B.V. | Método para prevenir la entrega de un mensaje basura del servicio de mensajes cortos |
US7319857B2 (en) | 2004-09-13 | 2008-01-15 | Tekelec | Methods, systems, and computer program products for delivering messaging service messages |
IES20040693A2 (en) | 2004-10-14 | 2006-04-19 | Anam Mobile Ltd | A messaging system and method |
US7870201B2 (en) | 2004-12-03 | 2011-01-11 | Clairmail Inc. | Apparatus for executing an application function using a mail link and methods therefor |
US20060211406A1 (en) | 2005-03-17 | 2006-09-21 | Nokia Corporation | Providing security for network subscribers |
US8867575B2 (en) | 2005-04-29 | 2014-10-21 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
US8285639B2 (en) | 2005-07-05 | 2012-10-09 | mConfirm, Ltd. | Location based authentication system |
US20070174082A1 (en) | 2005-12-12 | 2007-07-26 | Sapphire Mobile Systems, Inc. | Payment authorization using location data |
US7817550B2 (en) | 2006-01-13 | 2010-10-19 | Futurewei Technologies, Inc. | System for rate-control of aggregate-rate communication services |
US7881192B2 (en) | 2006-01-13 | 2011-02-01 | Futurewei Technologies, Inc. | System for providing aggregate-rate communication services |
US20070168432A1 (en) | 2006-01-17 | 2007-07-19 | Cibernet Corporation | Use of service identifiers to authenticate the originator of an electronic message |
EP1835686B1 (en) | 2006-03-13 | 2015-12-23 | Vodafone Group PLC | Method of providing access to an IP multimedia subsystem based on provided access network data. |
US7539133B2 (en) | 2006-03-23 | 2009-05-26 | Alcatel-Lucent Usa Inc. | Method and apparatus for preventing congestion in load-balancing networks |
US20070248032A1 (en) | 2006-04-21 | 2007-10-25 | Subramanian Vasudevan | Method of providing route update messages and paging access terminals |
US8121624B2 (en) | 2006-07-25 | 2012-02-21 | Alcatel Lucent | Message spoofing detection via validation of originating switch |
US8140079B2 (en) | 2006-07-31 | 2012-03-20 | Shoretel, Inc. | System and method to facilitate handover |
JP4174535B2 (ja) | 2006-08-22 | 2008-11-05 | Necインフロンティア株式会社 | 無線端末を認証する認証システム及び認証方法 |
US8145234B1 (en) | 2006-09-13 | 2012-03-27 | At&T Mobility Ii Llc | Secure user plane location (SUPL) roaming |
MX2009003344A (es) | 2006-09-27 | 2009-06-11 | Nokia Siemens Networks Gmbh | Rastreo de ubicacion inteligente con base en moldeado rpedictivo. |
WO2008053808A1 (fr) | 2006-11-02 | 2008-05-08 | Panasonic Corporation | Dispositif d'alimentation électrique de véhicule |
US8929360B2 (en) | 2006-12-07 | 2015-01-06 | Cisco Technology, Inc. | Systems, methods, media, and means for hiding network topology |
US8014755B2 (en) | 2007-01-05 | 2011-09-06 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
US20080207181A1 (en) | 2007-02-28 | 2008-08-28 | Roamware | Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication |
WO2011014837A1 (en) | 2009-07-31 | 2011-02-03 | Finsphere Corporation | Mobile communications message verification of financial transactions |
US8280348B2 (en) | 2007-03-16 | 2012-10-02 | Finsphere Corporation | System and method for identity protection using mobile device signaling network derived location pattern recognition |
EP1983787B1 (en) | 2007-04-19 | 2012-11-28 | Nokia Siemens Networks Oy | Transmission and distribution of position- and/or network-related information from access networks |
US7916718B2 (en) | 2007-04-19 | 2011-03-29 | Fulcrum Microsystems, Inc. | Flow and congestion control in switch architectures for multi-hop, memory efficient fabrics |
WO2008138440A2 (en) | 2007-05-16 | 2008-11-20 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
US20090045251A1 (en) | 2007-08-14 | 2009-02-19 | Peeyush Jaiswal | Restricting bank card access based upon use authorization data |
US8463926B2 (en) | 2007-10-09 | 2013-06-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for providing support for a plurality of mobility management protocols |
US8036660B2 (en) | 2008-01-24 | 2011-10-11 | Avaya Inc. | Call-handling for an off-premises, telecommunications terminal with an installed subscriber identity module |
US8255090B2 (en) | 2008-02-01 | 2012-08-28 | Energyhub | System and method for home energy monitor and control |
US20110063126A1 (en) | 2008-02-01 | 2011-03-17 | Energyhub | Communications hub for resource consumption management |
US8509074B1 (en) | 2008-03-31 | 2013-08-13 | Saisei Networks Pte Ltd | System, method, and computer program product for controlling the rate of a network flow and groups of network flows |
CN101471797B (zh) | 2008-03-31 | 2012-05-30 | 华为技术有限公司 | 决策方法及系统和策略决策单元 |
US9240946B2 (en) | 2008-05-01 | 2016-01-19 | Alcatel Lucent | Message restriction for diameter servers |
CN101277541B (zh) | 2008-05-22 | 2012-02-08 | 中兴通讯股份有限公司 | 一种Diameter路由实体转发消息的方法 |
US8255994B2 (en) | 2008-08-20 | 2012-08-28 | Sprint Communications Company L.P. | Detection and suppression of short message service denial of service attacks |
US9928379B1 (en) | 2008-09-08 | 2018-03-27 | Steven Miles Hoffer | Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor |
US8326265B2 (en) | 2008-10-17 | 2012-12-04 | Tekelec Netherlands Group, B.V. | Methods, systems, and computer readable media for detection of an unauthorized service message in a network |
US9038171B2 (en) | 2008-10-20 | 2015-05-19 | International Business Machines Corporation | Visual display of website trustworthiness to a user |
US8494364B2 (en) | 2008-10-21 | 2013-07-23 | Broadcom Corporation | Supporting multi-dwelling units in passive optical networks |
CN101742445A (zh) | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
US9344438B2 (en) | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
WO2010105099A2 (en) | 2009-03-11 | 2010-09-16 | Tekelec | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
WO2010125535A1 (en) | 2009-05-01 | 2010-11-04 | Nokia Corporation | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
US8615217B2 (en) | 2009-06-25 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
US8965324B2 (en) | 2009-07-08 | 2015-02-24 | At&T Mobility Ii Llc | E911 services using distributed nodes |
JP5424314B2 (ja) | 2009-07-21 | 2014-02-26 | 日本電気株式会社 | フェムトセル用基地局、ゲートウェイシステム、mapgw装置、通信システム、方法および装置のプログラム |
EP2486707A4 (en) | 2009-10-09 | 2013-08-28 | Consert Inc | APPARATUS AND METHOD FOR CONTROLLING COMMUNICATIONS TO AND FROM PUBLIC SERVICE POINTS |
EP3264686B1 (en) | 2009-10-16 | 2018-12-12 | Tekelec, Inc. | Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality |
KR20110055888A (ko) | 2009-11-20 | 2011-05-26 | 삼성전자주식회사 | 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템 |
US8331929B2 (en) | 2009-11-24 | 2012-12-11 | At&T Mobility Ii Llc | Mobility-based reselection scan scheduling |
SG181889A1 (en) | 2009-12-30 | 2012-07-30 | 3M Innovative Properties Co | Organic particulate loaded polishing pads and method of making and using the same |
US8787174B2 (en) | 2009-12-31 | 2014-07-22 | Tekelec, Inc. | Methods, systems, and computer readable media for condition-triggered policies |
US20110173122A1 (en) | 2010-01-09 | 2011-07-14 | Tara Chand Singhal | Systems and methods of bank security in online commerce |
US8505081B2 (en) | 2010-01-29 | 2013-08-06 | Qualcomm Incorporated | Method and apparatus for identity reuse for communications devices |
US9185510B2 (en) | 2010-03-03 | 2015-11-10 | Tekelec, Inc. | Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers |
US20110225091A1 (en) | 2010-03-12 | 2011-09-15 | Franco Plastina | Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information |
EP2372987B1 (en) | 2010-04-02 | 2013-07-17 | Research In Motion Limited | Solving character display ambiguities |
US20110307381A1 (en) | 2010-06-10 | 2011-12-15 | Paul Kim | Methods and systems for third party authentication and fraud detection for a payment transaction |
CN101917698B (zh) | 2010-08-20 | 2013-03-27 | 北京瑞格特软件技术有限公司 | 与3gpp协议兼容的提供移动设备用户信息的方法及系统 |
US8620263B2 (en) | 2010-10-20 | 2013-12-31 | Tekelec, Inc. | Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control |
US8396485B2 (en) | 2010-11-09 | 2013-03-12 | Apple Inc. | Beacon-based geofencing |
JP5950943B2 (ja) | 2011-02-04 | 2016-07-13 | テケレック・インコーポレイテッドTekelec, Inc. | Diameterバインディングリポジトリを供給する方法、システム及びコンピュータ読取り可能媒体 |
US20120203663A1 (en) | 2011-02-07 | 2012-08-09 | Carpadium Consulting Pty. Ltd. | Method and apparatus for authentication utilizing location |
US8433321B2 (en) | 2011-02-09 | 2013-04-30 | Renesas Mobile Corporation | Method and apparatus for intelligently reporting neighbor information to facilitate automatic neighbor relations |
US8693423B2 (en) | 2011-02-16 | 2014-04-08 | Tekelec, Inc. | Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery |
US10168413B2 (en) | 2011-03-25 | 2019-01-01 | T-Mobile Usa, Inc. | Service enhancements using near field communication |
CA2831149C (en) | 2011-04-04 | 2014-12-09 | Telefonaktiebolaget L M Ericsson (Publ) | A method of and a support node for requesting registration of stationary user equipment in a cellular telecommunication system |
US8879431B2 (en) | 2011-05-16 | 2014-11-04 | F5 Networks, Inc. | Method for load balancing of requests' processing of diameter servers |
US9713053B2 (en) | 2011-07-06 | 2017-07-18 | Mobileum, Inc. | Network traffic redirection (NTR) in long term evolution (LTE) |
JP5796396B2 (ja) | 2011-08-04 | 2015-10-21 | 富士通株式会社 | 移動無線通信装置及びプログラム |
US9860390B2 (en) | 2011-08-10 | 2018-01-02 | Tekelec, Inc. | Methods, systems, and computer readable media for policy event record generation |
US9060263B1 (en) | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
CN103179504B (zh) | 2011-12-23 | 2015-10-21 | 中兴通讯股份有限公司 | 用户合法性判断方法及装置、用户接入信箱的方法和系统 |
US20130171988A1 (en) | 2012-01-04 | 2013-07-04 | Alcatel-Lucent Canada Inc. | Imsi mcc-mnc best matching searching |
CN103209402B (zh) | 2012-01-17 | 2018-03-23 | 中兴通讯股份有限公司 | 终端组可及性确定方法及系统 |
US9009764B2 (en) | 2012-04-12 | 2015-04-14 | Qualcomm Incorporated | Broadcast content via over the top delivery |
GB201207816D0 (en) * | 2012-05-04 | 2012-06-13 | Vodafone Ip Licensing Ltd | Telecommunication networks |
US9451455B2 (en) | 2012-06-11 | 2016-09-20 | Blackberry Limited | Enabling multiple authentication applications |
US9882950B2 (en) | 2012-06-13 | 2018-01-30 | All Purpose Networks LLC | Methods and systems of an all purpose broadband network |
US9015808B1 (en) | 2012-07-11 | 2015-04-21 | Sprint Communications Company L.P. | Restricting mobile device services between an occurrence of an account change and acquisition of a security code |
CN104823468B (zh) | 2012-08-26 | 2019-04-16 | 沃基应用有限公司 | 重定向通过数据网络的蜂窝电话通信 |
CN103686756B (zh) | 2012-09-17 | 2016-12-21 | 中国科学院沈阳自动化研究所 | 一种基于多接入点的tdma接入装置及其接入方法 |
US9106428B2 (en) | 2012-10-04 | 2015-08-11 | Broadcom Corporation | Multicast switching for distributed devices |
CN104871637B (zh) | 2012-11-07 | 2019-08-23 | 诺基亚技术有限公司 | 代理连接方法和装置 |
WO2014080994A1 (ja) | 2012-11-22 | 2014-05-30 | 日本電気株式会社 | 輻輳制御システム、制御装置、輻輳制御方法およびプログラム |
US9258257B2 (en) | 2013-01-10 | 2016-02-09 | Qualcomm Incorporated | Direct memory access rate limiting in a communication device |
CN103929730B (zh) | 2013-01-16 | 2017-12-29 | 华为终端有限公司 | 触发消息发送的方法、设备及系统 |
US9462515B2 (en) | 2013-01-17 | 2016-10-04 | Broadcom Corporation | Wireless communication system utilizing enhanced air-interface |
US20140259012A1 (en) | 2013-03-06 | 2014-09-11 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual machine mobility with evolved packet core |
US9774552B2 (en) | 2013-03-14 | 2017-09-26 | Qualcomm Incorporated | Methods, servers and systems for verifying reported locations of computing devices |
EP2979462B1 (en) | 2013-03-29 | 2019-05-22 | Mobileum Inc. | Method and system for facilitating lte roaming between home and visited operators |
US20140370922A1 (en) | 2013-06-13 | 2014-12-18 | Christopher Richards | Method and apparatus of paging |
US10115135B2 (en) | 2013-07-03 | 2018-10-30 | Oracle International Corporation | System and method to support diameter credit control session redirection using SCIM/service broker |
US20150038140A1 (en) | 2013-07-31 | 2015-02-05 | Qualcomm Incorporated | Predictive mobility in cellular networks |
US20150081579A1 (en) | 2013-08-26 | 2015-03-19 | Prepared Response, Inc. | System for conveying data to responders and routing, reviewing and approving supplemental pertinent data |
US9191803B2 (en) | 2013-09-04 | 2015-11-17 | Cellco Partnership | Connection state-based long term evolution steering of roaming |
EP2854462B1 (en) | 2013-09-27 | 2016-03-30 | Telefonaktiebolaget LM Ericsson (publ) | Handling of subscriber deregistration |
US9485099B2 (en) | 2013-10-25 | 2016-11-01 | Cliqr Technologies, Inc. | Apparatus, systems and methods for agile enablement of secure communications for cloud based applications |
EP2887761B1 (en) | 2013-12-19 | 2018-10-03 | Vodafone Holding GmbH | Verification method for the verification of a Connection Request from a Roaming Mobile Entity |
US9686343B2 (en) | 2013-12-31 | 2017-06-20 | Amadeus S.A.S. | Metasearch redirection system and method |
CN104780593B (zh) | 2014-01-13 | 2018-08-21 | 华为终端(东莞)有限公司 | 降低功耗的方法与装置 |
WO2015115947A1 (en) | 2014-01-30 | 2015-08-06 | Telefonaktiebolaget L M Ericsson (Publ) | Preloading data |
SG11201607413VA (en) | 2014-03-07 | 2016-10-28 | Globalstar Inc | Cell tower functionality with satellite access to allow a cell device to roam on a satellite network |
US10285022B2 (en) | 2014-05-11 | 2019-05-07 | Lg Electronics Inc. | Method and apparatus for signal transmission and reception of HSS/MME in wireless communication system |
US9450947B2 (en) | 2014-05-20 | 2016-09-20 | Motorola Solutions, Inc. | Apparatus and method for securing a debugging session |
JP6168415B2 (ja) | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
US20160088461A1 (en) | 2014-09-22 | 2016-03-24 | Globetouch, Inc. | Communication exchange for local data services |
WO2016060640A1 (en) | 2014-10-13 | 2016-04-21 | Empire Technology Development Llc | Verification location determination for entity presence confirmation of online purchases |
US9693219B2 (en) | 2014-10-24 | 2017-06-27 | Ibasis, Inc. | User profile conversion to support roaming |
DE102014117713B4 (de) | 2014-12-02 | 2016-12-01 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle |
US9445360B2 (en) | 2014-12-17 | 2016-09-13 | Verizon Patent And Licensing Inc. | Method and system for providing global multiline roaming |
US20160183117A1 (en) | 2014-12-17 | 2016-06-23 | Mediatek Inc. | Method and apparatus for throttling uplink data based on temperature state |
US9515932B2 (en) | 2015-02-06 | 2016-12-06 | Oracle International Corporation | Methods, systems, and computer readable media for conducting priority and compliance based message traffic shaping |
BR112017017015A2 (pt) | 2015-02-09 | 2018-04-10 | Markport Ltd | método para rotear uma mensagem curta, aparelho de rede móvel, e, meio legível por computador não transitório. |
ES2793016T3 (es) | 2015-03-10 | 2020-11-12 | Microsoft Technology Licensing Llc | Manejo de redireccionamiento mejorado del servidor de políticas |
WO2016153423A1 (en) | 2015-03-25 | 2016-09-29 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
KR102592651B1 (ko) | 2015-04-01 | 2023-10-23 | 엘지전자 주식회사 | 무선 통신 시스템에서 v2x 단말이 신호를 송수신 하는 방법 및 장치 |
US10284376B2 (en) | 2015-06-10 | 2019-05-07 | Arris Enterprises Llc | Code signing system with machine to machine interaction |
CN106332067B (zh) | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
US10594673B1 (en) | 2015-07-01 | 2020-03-17 | Moovel North America, Llc | Secure interprocess communications between mobile device applications using server-generated keys |
US10567949B2 (en) | 2015-07-16 | 2020-02-18 | T-Mobile Usa, Inc. | MMS termination on different networks |
US9538335B1 (en) | 2015-07-22 | 2017-01-03 | International Business Machines Corporation | Inferring device theft based on historical location data |
US9912486B1 (en) | 2015-08-27 | 2018-03-06 | Amazon Technologies, Inc. | Countersigned certificates |
EP3322225B1 (en) | 2015-09-21 | 2023-03-22 | Huawei Technologies Co., Ltd. | Transmit power control method and apparatus |
ES2912279T3 (es) | 2015-11-06 | 2022-05-25 | Alcatel Lucent | Soporte de entrega de mensajes cortos terminados en móvil para un equipo de usuario en DRX en modo inactivo |
WO2017082532A1 (ko) | 2015-11-09 | 2017-05-18 | 엘지전자 주식회사 | 방문 네트워크의 사업자 네트워크 식별번호 획득 방법 |
WO2017084006A1 (en) | 2015-11-16 | 2017-05-26 | Accenture Global Solutions Limited | Telecommunication network signal analysis for matching a mobile device cellular identifier with a mobile device network identifier |
US9930670B2 (en) | 2015-11-25 | 2018-03-27 | Network Performance Research Group Llc | System, method, and apparatus for setting device geolocation via location proxies |
US10009751B2 (en) | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
US9628994B1 (en) | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
WO2017123717A1 (en) | 2016-01-12 | 2017-07-20 | Ppc Broadband, Inc. | Network interface device with dynamic noise conditioning |
GB2547472A (en) | 2016-02-19 | 2017-08-23 | Intercede Ltd | Method and system for authentication |
US10382948B2 (en) | 2016-02-22 | 2019-08-13 | Cisco Technology, Inc. | Consolidated control plane routing agent |
US9788325B2 (en) | 2016-03-01 | 2017-10-10 | Wipro Limited | Methods and systems for radio carriers management in a wireless broadband network |
US10218625B2 (en) | 2016-03-30 | 2019-02-26 | New York University | Methods and apparatus for alleviating congestion at a switch, such as a shallow buffered switch |
US10893069B2 (en) | 2016-04-06 | 2021-01-12 | Nokia Technologies Oy | Diameter edge agent attack detection |
US9681360B1 (en) | 2016-05-13 | 2017-06-13 | Harris Corporation | Managed access system that provides selective communications and registration of mobile wireless devices |
US20170345006A1 (en) | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and methods for location data verification |
US11395092B2 (en) | 2016-07-18 | 2022-07-19 | Here Global B.V. | Device location verification for updated map data |
CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
CN108307385B (zh) | 2016-08-31 | 2021-06-29 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
GB2553765A (en) | 2016-09-07 | 2018-03-21 | Evolved Intelligence Ltd | Mobile device roaming |
US10764376B2 (en) | 2016-10-18 | 2020-09-01 | Cisco Technology, Inc. | System and method for node selection based on mid-session and end-session event information |
US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
GB2558205B (en) * | 2016-12-15 | 2019-07-03 | Arm Ip Ltd | Enabling communications between devices |
US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
US10405184B2 (en) | 2017-01-31 | 2019-09-03 | Harris Corporation | Mobile wireless device managed access system providing enhanced authentication features and related methods |
US10341411B2 (en) | 2017-03-29 | 2019-07-02 | Oracle International Corporation | Methods, systems, and computer readable media for providing message encode/decode as a service |
US10868893B2 (en) | 2017-03-31 | 2020-12-15 | Xilinx, Inc. | Network interface device |
WO2018202284A1 (en) | 2017-05-03 | 2018-11-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorizing access to user data |
US10212538B2 (en) | 2017-06-28 | 2019-02-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating user equipment (UE) location |
US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
US10021738B1 (en) | 2017-09-05 | 2018-07-10 | Syniverse Technologies, Llc | Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks |
US10123165B1 (en) | 2017-09-19 | 2018-11-06 | International Business Machines Corporation | Eliminating false positives of neighboring zones |
US10820359B2 (en) | 2017-10-13 | 2020-10-27 | Syniverse Technologies, Llc | GPRS tunneling protocol (GTP) traffic hub and associated method of use |
EP3972347A1 (en) | 2017-12-08 | 2022-03-23 | Comcast Cable Communications LLC | User plane function selection for isolated network slice |
CN110035433B (zh) | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
US10387487B1 (en) | 2018-01-25 | 2019-08-20 | Ikorongo Technology, LLC | Determining images of interest based on a geographical location |
CN110167013B (zh) | 2018-02-13 | 2020-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
US10701032B2 (en) | 2018-02-13 | 2020-06-30 | Palo Alto Networks, Inc. | Application layer signaling security with next generation firewall |
US10548004B2 (en) | 2018-02-15 | 2020-01-28 | Nokia Technologies Oy | Security management in communication systems between security edge protection proxy elements |
US10791118B2 (en) | 2018-03-29 | 2020-09-29 | Mcafee, Llc | Authenticating network services provided by a network |
EP3547757A1 (en) | 2018-03-30 | 2019-10-02 | InterDigital CE Patent Holdings | Wireless access point and method for providing backup network connections |
US10992580B2 (en) | 2018-05-07 | 2021-04-27 | Cisco Technology, Inc. | Ingress rate limiting in order to reduce or prevent egress congestion |
US20210250186A1 (en) | 2018-05-09 | 2021-08-12 | Nokia Technologies Oy | Security management for edge proxies on an inter-network interface in a communication system |
WO2019220010A1 (en) | 2018-05-12 | 2019-11-21 | Nokia Technologies Oy | Security management for network function messaging in a communication system |
US20210203643A1 (en) | 2018-05-21 | 2021-07-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Message Transmission between Core Network Domains |
US10484911B1 (en) | 2018-05-23 | 2019-11-19 | Verizon Patent And Licensing Inc. | Adaptable radio access network |
US11146577B2 (en) | 2018-05-25 | 2021-10-12 | Oracle International Corporation | Methods, systems, and computer readable media for detecting and mitigating effects of abnormal behavior of a machine type communication (MTC) device |
WO2019227350A1 (zh) | 2018-05-30 | 2019-12-05 | 北京小米移动软件有限公司 | 小区切换的处理方法及装置 |
US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
JP7078850B2 (ja) | 2018-07-23 | 2022-06-01 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
US11050788B2 (en) | 2018-07-30 | 2021-06-29 | Cisco Technology, Inc. | SEPP registration, discovery and inter-PLMN connectivity policies |
US10963705B2 (en) | 2018-07-31 | 2021-03-30 | Beijing Didi Infinity Technology And Development Co., Ltd. | System and method for point-to-point traffic prediction |
US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
US20210234706A1 (en) | 2018-08-10 | 2021-07-29 | Nokia Technologies Oy | Network function authentication based on public key binding in access token in a communication system |
CN112567833A (zh) | 2018-08-13 | 2021-03-26 | 苹果公司 | 使用用户设备(ue)标识符以在第五代(5g)系统中注册 |
US10511998B1 (en) | 2018-08-29 | 2019-12-17 | Syniverse Technologies, Llc | System and method for identifying false short message service (SMS) delivery reports |
US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
EP3847782A4 (en) | 2018-09-06 | 2022-05-04 | Nokia Technologies Oy | AUTOMATED ROAMING QoS OF SERVICE ARRANGEMENTS BETWEEN NETWORK OPERATORS VIA SECURITY EDGE PROTECTION PROXIES IN A COMMUNICATION SYSTEMS ENVIRONMENT |
CN110933711B (zh) | 2018-09-19 | 2023-06-02 | 华为技术有限公司 | 策略控制方法、设备及系统 |
US10574670B1 (en) | 2018-09-27 | 2020-02-25 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
US10728875B2 (en) | 2018-10-02 | 2020-07-28 | Google Llc | Scanning frequency selection for a wireless device |
EP4060963A1 (en) | 2018-11-05 | 2022-09-21 | Telefonaktiebolaget LM Ericsson (publ) | Fully qualified domain name handling for service interactions in 5g |
CN111200845B (zh) | 2018-11-19 | 2022-09-23 | 华为技术有限公司 | 一种资源信息发送方法、装置及系统 |
US10680964B1 (en) | 2018-11-26 | 2020-06-09 | Mellanox Technologies Tlv Ltd. | Rate limiting in a multi-chassis environment by exchanging information between peer network elements |
US11134430B2 (en) | 2018-12-10 | 2021-09-28 | At&T Intellectual Property I, L.P. | System and method for detecting and acting upon a violation of terms of service |
EP3912321A1 (en) | 2019-01-18 | 2021-11-24 | Nokia Solutions and Networks Oy | Method and apparatus for protecting pdu sessions in 5g core networks |
WO2020164763A1 (en) | 2019-02-13 | 2020-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for alternative data over non-access stratum, donas, data delivery in a roaming scenario |
US20200259896A1 (en) | 2019-02-13 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Industrial Automation with 5G and Beyond |
CN111586674B (zh) | 2019-02-18 | 2022-01-14 | 华为技术有限公司 | 通信方法、装置及系统 |
WO2020174121A1 (en) | 2019-02-28 | 2020-09-03 | Nokia Technologies Oy | Inter-mobile network communication authorization |
WO2020179665A1 (en) | 2019-03-01 | 2020-09-10 | Nec Corporation | Method for synchronization of home network key |
CN111436081B (zh) | 2019-03-06 | 2023-06-30 | 维沃移动通信有限公司 | 数据传送的保障方法及通信设备 |
US20220191763A1 (en) | 2019-03-15 | 2022-06-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for switching upfs |
CN111800777B (zh) | 2019-04-08 | 2021-08-03 | 华为技术有限公司 | 一种漫游数据处理方法、装置及系统 |
EP3788773B1 (en) | 2019-04-08 | 2021-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for handling telescopic fqdns |
US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
US11844014B2 (en) | 2019-04-27 | 2023-12-12 | Nokia Technologies Oy | Service authorization for indirect communication in a communication system |
WO2020226454A1 (en) | 2019-05-09 | 2020-11-12 | Samsung Electronics Co., Ltd. | Apparatus and method for providing mobile edge computing services in wireless communication system |
CN114097268A (zh) | 2019-06-12 | 2022-02-25 | 苹果公司 | 与应用触发和nas上的sms有关的性能测量 |
US11140555B2 (en) | 2019-06-18 | 2021-10-05 | Cisco Technology, Inc. | Location-based identification of potential security threat |
US10834571B1 (en) | 2019-08-02 | 2020-11-10 | Syniverse Technologies, Llc | Steering of roaming for 5G core roaming in an internet packet exchange network |
US11102138B2 (en) | 2019-10-14 | 2021-08-24 | Oracle International Corporation | Methods, systems, and computer readable media for providing guaranteed traffic bandwidth for services at intermediate proxy nodes |
US11018971B2 (en) | 2019-10-14 | 2021-05-25 | Oracle International Corporation | Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing |
US20210142143A1 (en) | 2019-11-11 | 2021-05-13 | Kevin D. Howard | Artificial intelligence systems and methods |
US11700206B2 (en) | 2019-11-19 | 2023-07-11 | Oracle International Corporation | System and method for supporting RDMA bandwidth restrictions in a private fabric in a high performance computing environment |
US11368839B2 (en) | 2019-12-13 | 2022-06-21 | T-Mobile Usa, Inc. | Secure privacy provisioning in 5G networks |
US11503052B2 (en) | 2019-12-19 | 2022-11-15 | Radware, Ltd. | Baselining techniques for detecting anomalous HTTPS traffic behavior |
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
US11337108B2 (en) | 2020-02-19 | 2022-05-17 | Verizon Patent And Licensing Inc. | Uplink congestion control based on SIP messaging |
US11539628B2 (en) | 2020-06-23 | 2022-12-27 | Arista Networks, Inc. | Automated configuration of policer parameters |
DE102020116791A1 (de) | 2020-06-25 | 2021-12-30 | Technische Universität Dresden | Vorrichtung und Verfahren zum computergestützten Verarbeiten von Daten |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11398956B2 (en) | 2020-07-16 | 2022-07-26 | Cisco Technology, Inc. | Multi-Edge EtherChannel (MEEC) creation and management |
US11368412B2 (en) | 2020-07-31 | 2022-06-21 | Avago Technologies International Sales Pte. Limited | Power throttle for network switches |
US11790113B2 (en) | 2020-08-12 | 2023-10-17 | Apple Inc. | Secure storage and retrieval of sensitive information |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11956629B2 (en) | 2020-10-06 | 2024-04-09 | Lynk Global, Inc. | Method and system for providing authentication of a wireless device and cell broadcast service between wireless mobile devices and a satellite network |
US11616770B2 (en) | 2020-10-16 | 2023-03-28 | Verizon Patent And Licensing Inc. | Systems and methods for authenticating user devices |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
JP2023548370A (ja) | 2020-11-06 | 2023-11-16 | オラクル・インターナショナル・コーポレイション | 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 |
US11272560B1 (en) | 2020-11-11 | 2022-03-08 | At&T Intellectual Property I, L.P. | Methods, systems, and devices for enhanced cell activation in a network supporting dual connectivity |
US20220158847A1 (en) | 2020-11-16 | 2022-05-19 | Nokia Technologies Oy | Security procedure |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11463915B2 (en) | 2020-11-30 | 2022-10-04 | Verizon Patent And Licensing Inc. | Systems and methods for exposing custom per flow descriptor attributes |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11418479B2 (en) | 2020-12-17 | 2022-08-16 | Oracle International Corporation | Methods, systems, and computer readable media for creating internet protocol (IP) address pools from dynamic host configuration protocol (DHCP) servers to asynchronously serve IP address allocation requests by session management functions (SMFs) |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US20220256312A1 (en) | 2021-02-10 | 2022-08-11 | Samsung Electronics Co., Ltd. | Method and device for identifying service area in wireless communication system |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
-
2020
- 2020-12-21 US US17/129,441 patent/US11832172B2/en active Active
-
2021
- 2021-04-29 JP JP2023519026A patent/JP2023544000A/ja active Pending
- 2021-04-29 EP EP21729084.0A patent/EP4218169A1/en active Pending
- 2021-04-29 JP JP2023519025A patent/JP2023543999A/ja active Pending
- 2021-04-29 WO PCT/US2021/029973 patent/WO2022066227A1/en active Application Filing
- 2021-04-29 WO PCT/US2021/029977 patent/WO2022066228A1/en active Application Filing
- 2021-04-29 EP EP21727651.8A patent/EP4218168A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4218169A1 (en) | 2023-08-02 |
EP4218168A1 (en) | 2023-08-02 |
WO2022066228A1 (en) | 2022-03-31 |
JP2023543999A (ja) | 2023-10-19 |
WO2022066227A1 (en) | 2022-03-31 |
US11832172B2 (en) | 2023-11-28 |
US20220104112A1 (en) | 2022-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
US11832172B2 (en) | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface | |
JP7466053B2 (ja) | セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
JP2023553496A (ja) | 第5世代(5g)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体 | |
JP2023548370A (ja) | 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 | |
JP2024505791A (ja) | 予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
JP2024507577A (ja) | アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
US11888894B2 (en) | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
JPWO2022066227A5 (ja) | ||
CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 | |
CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 | |
US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
US20230247430A1 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240424 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240424 |