JP4499161B2 - 移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置 - Google Patents
移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置 Download PDFInfo
- Publication number
- JP4499161B2 JP4499161B2 JP2007548674A JP2007548674A JP4499161B2 JP 4499161 B2 JP4499161 B2 JP 4499161B2 JP 2007548674 A JP2007548674 A JP 2007548674A JP 2007548674 A JP2007548674 A JP 2007548674A JP 4499161 B2 JP4499161 B2 JP 4499161B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- policy
- user terminal
- information
- support node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Description
本発明はセキュリティ(security)通信技術に関し、特に移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置に関する。
移動通信システムにおけるデータサービスの応用、特に移動端末の知能化への発展の趨勢に伴って、移動端末においては一般的な音声通信能力のほかに、パーソナルデジタルアシスタント(PDA:personal digital assistant)などの機能も備え、知能オペレーティングシステムプラットフォーム及び応用ソフトウェアを提供することが可能となっている。また、PCMCIA(personal computer memory card international association)カードの応用の普及に伴って、益々多くのユーザがポータブル(portable)機へカードを挿入することによって、移動データネットワークを通じてネットワークサービスを実現している。しかし、ポータブル機にもWINDOWS(登録商標)オペレーティングシステム及び様々な応用ソフトウェアが存在するため、移動端末の作用が既にコンピュータと緊密に結ばれ、現在の固定ネットワークにて発生するウイルス問題が移動ネットワークにも同様に存在している。
移動ネットワークにおいて、一般的なウイルス防止方法は主に以下の2種類である。
1)端末側にウイルス防止ソフトウェアをインストールし、データの伝送が必要な場合、端末がインストールされたウイルス防止ソフトウェアにより、伝送されるデータに対して走査及びウイルス駆除を行う。
2)ネットワークにウイルス防止ゲートウェイをインストールして、データフローがゲートウェイを経過中に、オンライン走査及びウイルス駆除を行う。ただし、当該方法でのウイルス防止ゲートウェイには、より高い性能が要求される。例えば、ショートメッセージからのウイルスに対して、ショートメッセージゲートウェイでウイルスの走査と防護を行うのが必要である。
1)端末側にウイルス防止ソフトウェアをインストールし、データの伝送が必要な場合、端末がインストールされたウイルス防止ソフトウェアにより、伝送されるデータに対して走査及びウイルス駆除を行う。
2)ネットワークにウイルス防止ゲートウェイをインストールして、データフローがゲートウェイを経過中に、オンライン走査及びウイルス駆除を行う。ただし、当該方法でのウイルス防止ゲートウェイには、より高い性能が要求される。例えば、ショートメッセージからのウイルスに対して、ショートメッセージゲートウェイでウイルスの走査と防護を行うのが必要である。
上記方法からわかるように、一般的なウイルス防止方法として、データが経過するデバイスにウイルス駆除ソフトウェアをインストールして、経過するデータに対して走査及びウイルス駆除を行う。したがって、現在使用している全てのウイルス駆除ソフトウェアは既知のウイルスだけに対しては検出や駆除を行うことができる。その一方、未知のウイルスの蔓延を防止することは困難であり、一部の無名のウイルスによるネットワークトラフィックへの侵害につながる。
また、ウイルスとワームの影響は、オペレーティングシステムバージョン、ウイルス防止ソフトウェアバージョン及びウイルス防止ソフトウェアの能力などを含む多様な要素によってもたらされるものである。例えば、オペレーティングシステムのバージョンパッチ(version patch)が適時にインストールされていないことによって、オペレーティングシステムが大攻撃を受けるおそれがあること、ブラスターワーム(Worm.Blaster)ウイルスが主にwindows(登録商標)オペレーティングシステムのバグを利用して生じられることなどである。実際にウイルスの爆発前に、オペレーティングシステムのプロバイダがみなパッチの報告を公表しているが、一般的に、大量なPC機にパッチが適時にインストールされていないため、ウイルスの広範囲な伝播につながる。また、ウイルス防止ソフトウェアをインストールした端末にとって、ウイルス防止ソフトウェアバージョンの更新も非常に重要である。
本発明は上記に鑑みてなされたものであって、移動通信ネットワーク中の各種のウイルスに対して処理と抑制を有効に行うことができる、移動通信システムにおいてデータサービスのセキュリティを実現する方法を提供することを主な目的とする。
また、本発明は、ネットワークと端末が連合にしてセキュリティ処理を行うメカニズムを形成する。さらに、移動通信ネットワーク中の各種ウイルスに対する防御を高める、移動通信システムにおいてデータサービスのセキュリティを実現するシステムを提供することを他の目的とする。
さらに、本発明は、セキュリティポリシーを確定・保存・分配することができる、移動通信システムにおいてデータサービスのセキュリティを実現する装置を提供することを他の目的とする。
上記目的を達成するため、本発明の技術案は以下のように実現される。
本発明による、移動通信システムにおいてデータサービスのセキュリティを実現する方法は、
ユーザ端末のセキュリティ関連配置情報を取得することと、
ユーザ端末のセキュリティ関連配置情報及び記憶されたセキュリティポリシー情報に基づいて、ユーザ端末に対するセキュリティポリシーを確定し、且つ確定したセキュリティポリシーをパケットサービスサポートノード及び/又はユーザ端末に送信することと、
セキュリティポリシーを受信したパケットサービスサポートノード及び/又はユーザ端末がセキュリティポリシーに基づいて制御処理を完成することとを含む。
ユーザ端末のセキュリティ関連配置情報を取得することと、
ユーザ端末のセキュリティ関連配置情報及び記憶されたセキュリティポリシー情報に基づいて、ユーザ端末に対するセキュリティポリシーを確定し、且つ確定したセキュリティポリシーをパケットサービスサポートノード及び/又はユーザ端末に送信することと、
セキュリティポリシーを受信したパケットサービスサポートノード及び/又はユーザ端末がセキュリティポリシーに基づいて制御処理を完成することとを含む。
本発明による、移動通信システムにおいてデータサービスのセキュリティを実現するシステムは、
パケットサービスサポートノードと、
移動通信ネットワークを通じてパケットサービスサポートノードと接続するユーザ端末と、
ユーザ端末のセキュリティ関連配置情報を取得し、相応のユーザ端末に対するセキュリティポリシーを確定し、セキュリティポリシーをパケットサービスサポートノード及び/又はユーザ端末に送信し、パケットサービスサポートノードと接続されているポリシーサービスエンティティとを含む。
パケットサービスサポートノードと、
移動通信ネットワークを通じてパケットサービスサポートノードと接続するユーザ端末と、
ユーザ端末のセキュリティ関連配置情報を取得し、相応のユーザ端末に対するセキュリティポリシーを確定し、セキュリティポリシーをパケットサービスサポートノード及び/又はユーザ端末に送信し、パケットサービスサポートノードと接続されているポリシーサービスエンティティとを含む。
本発明による、移動通信システムにおいてデータサービスのセキュリティを実現する装置は、
ユーザ端末と接続し、且つユーザ端末のセキュリティ関連配置情報を取得し、取得したセキュリティ関連配置情報をセキュリティポリシー確定モジュールに送信するセキュリティ情報取得モジュールと、
セキュリティ関連配置情報、及びセキュリティポリシー記憶モジュールに記憶されたセキュリティポリシー情報に基づいて、セキュリティポリシーを確定し、確定したセキュリティポリシーをセキュリティポリシー分配モジュールに送信するセキュリティポリシー確定モジュールと、
セキュリティポリシー情報を保存するセキュリティポリシー記憶モジュールと、
受信したセキュリティポリシーを指定のネットワークエンティティに送信するセキュリティポリシー分配モジュールとを含む。
ユーザ端末と接続し、且つユーザ端末のセキュリティ関連配置情報を取得し、取得したセキュリティ関連配置情報をセキュリティポリシー確定モジュールに送信するセキュリティ情報取得モジュールと、
セキュリティ関連配置情報、及びセキュリティポリシー記憶モジュールに記憶されたセキュリティポリシー情報に基づいて、セキュリティポリシーを確定し、確定したセキュリティポリシーをセキュリティポリシー分配モジュールに送信するセキュリティポリシー確定モジュールと、
セキュリティポリシー情報を保存するセキュリティポリシー記憶モジュールと、
受信したセキュリティポリシーを指定のネットワークエンティティに送信するセキュリティポリシー分配モジュールとを含む。
本発明に提供された移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置は、従来の移動通信ネットワークにポリシーサービスエンティティを追加して、セキュリティポリシーを保存し、且つユーザ端末のセキュリティ関連配置状況に基づいてセキュリティポリシーを制定することができ、ネットワーク側パケットサービスサポートノード及び/又はユーザ端末に、相応の防御処理を行うことを通知する。そのため、本発明は以下のような利点と特点を備える。
1)本発明でのポリシーサービスエンティティは端末とネットワークとの間のセキュリティポリシーを関連付けして、ネットワークと端末が連合にしてセキュリティ処理を行うメカニズムを提供して、端末側とネットワーク側が連合で総合的に防備することにより、全方位からセキュリティ防護を行って、既知のウイルスを防止するだけでなく、未知のウイルスも防止して、全面防護の目的を達する。
2)セキュリティ脅威がみな端末から出されるため、本発明の方法は端末から報告されたセキュリティ関連配置情報に基づいて、相応のセキュリティポリシーを確定することにより、ユーザ端末に対して制御を行う。そのため、本発明はセキュリティの源地への制御を行うことができ、端末に対する有効な制御により、脅威の拡散を防止することができる。同時に、ネットワークの協力により、ウイルストラフィックに対して有効な処理と抑制を行うことができる。
3)今後ますます厳しくなる携帯電話のウイルスに対して、本発明のセキュリティシステムアーキテクチャーを利用し、有効なセキュリティ技術を採用して移動通信ネットワーク内のウイルスを抑制することにより、携帯電話ウイルスの拡散を制御することができる。
4)本発明はユーザ端末のセキュリティ状況を適時に取得し、ユーザ端末のセキュリティ状況のバグに対して、相応のセキュリティポリシーを適時に制定し、且つセキュリティポリシーに基づいて制御を行うことをパケットサービスサポートノード及び/又はユーザ端末に通知することができるため、ネットワークが侵害されないように有効に保護することができ、とりわけ、ワームウイルスの発生によるネットワークへの影響を防止することができる。
5)パケットサービスサポートノードがGGSNである場合、本発明はアップリンク/ダウンリンクデータパケットに対するセキュリティ制御をサポートできて、移動ネットワークから公衆ネットワークに対する攻撃、又は公衆ネットワークから移動ネットワークに対する攻撃を有効に防止することができる。そして、この状況で、セキュリティポリシーがGGSNで実行されてもよく、GGSNによりSGSN又はRNCに相応の制御操作の実行を通知してもよいことで、実現方式が多様で、柔軟である。
6)本発明はパケットサービスサポートノード、ユーザ端末、セキュリティゲートウェイデバイスの機能処理モジュールに対して少し変更して、又は簡単なプロトコルを追加するだけで、有効なセキュリティインターワーキングを実現し、且つデータパケットに対するセキュリティ処理を実現することができて、実現が簡単で、便利であり、且つハードウェアのコストを増加しない。
1)本発明でのポリシーサービスエンティティは端末とネットワークとの間のセキュリティポリシーを関連付けして、ネットワークと端末が連合にしてセキュリティ処理を行うメカニズムを提供して、端末側とネットワーク側が連合で総合的に防備することにより、全方位からセキュリティ防護を行って、既知のウイルスを防止するだけでなく、未知のウイルスも防止して、全面防護の目的を達する。
2)セキュリティ脅威がみな端末から出されるため、本発明の方法は端末から報告されたセキュリティ関連配置情報に基づいて、相応のセキュリティポリシーを確定することにより、ユーザ端末に対して制御を行う。そのため、本発明はセキュリティの源地への制御を行うことができ、端末に対する有効な制御により、脅威の拡散を防止することができる。同時に、ネットワークの協力により、ウイルストラフィックに対して有効な処理と抑制を行うことができる。
3)今後ますます厳しくなる携帯電話のウイルスに対して、本発明のセキュリティシステムアーキテクチャーを利用し、有効なセキュリティ技術を採用して移動通信ネットワーク内のウイルスを抑制することにより、携帯電話ウイルスの拡散を制御することができる。
4)本発明はユーザ端末のセキュリティ状況を適時に取得し、ユーザ端末のセキュリティ状況のバグに対して、相応のセキュリティポリシーを適時に制定し、且つセキュリティポリシーに基づいて制御を行うことをパケットサービスサポートノード及び/又はユーザ端末に通知することができるため、ネットワークが侵害されないように有効に保護することができ、とりわけ、ワームウイルスの発生によるネットワークへの影響を防止することができる。
5)パケットサービスサポートノードがGGSNである場合、本発明はアップリンク/ダウンリンクデータパケットに対するセキュリティ制御をサポートできて、移動ネットワークから公衆ネットワークに対する攻撃、又は公衆ネットワークから移動ネットワークに対する攻撃を有効に防止することができる。そして、この状況で、セキュリティポリシーがGGSNで実行されてもよく、GGSNによりSGSN又はRNCに相応の制御操作の実行を通知してもよいことで、実現方式が多様で、柔軟である。
6)本発明はパケットサービスサポートノード、ユーザ端末、セキュリティゲートウェイデバイスの機能処理モジュールに対して少し変更して、又は簡単なプロトコルを追加するだけで、有効なセキュリティインターワーキングを実現し、且つデータパケットに対するセキュリティ処理を実現することができて、実現が簡単で、便利であり、且つハードウェアのコストを増加しない。
本発明の核心的発明思想として、従来の移動通信ネットワークにポリシーサービスエンティティを設置し、ポリシーサービスエンティティによりユーザ端末のセキュリティ関連配置情報に基づいてセキュリティポリシーを制定し、且つネットワーク側パケットサービスサポートノードデバイス及び/又はユーザ端末に、制定のセキュリティポリシーに基づいて相応の防御処理を行うことを通知する。
ここで、前記ポリシーサービスエンティティはポリシーサーバ、又は他のネットワークエンティティに嵌め込んだ機能モジュール、又はカードであってよい。前記ユーザ端末とは主に移動知能端末及び/又はカードスロット付きのポータブル端末を指すものである。前記ネットワーク側パケットサービスサポートノードはサービングGPRSサポートノード(SGSN)、又はゲートウェイGPRSサポートノード(GGSN)、又はパケットデータサポートノード(PDSN)であってよい。
図1に示すように、本発明に係る一つの実施例に提出された、移動通信システムにおいてデータサービスのセキュリティを実現するシステムには、主にポリシーサービスエンティティ、SGSN及び複数のユーザ端末を含む。ここで、ポリシーサービスエンティティは移動通信ネットワークに並列接続されており、セキュリティポリシーを制定するように、直接に又はネットワークを介してSGSNと接続されることができる。ポリシーサービスエンティティはSGSNを介してユーザ端末とやりとりを行って、ユーザ端末のセキュリティ関連配置情報を取得し、またユーザ端末のセキュリティ関連配置情報と自身に記憶されたセキュリティポリシー情報に基づいて、異なるユーザ端末に対して相応のセキュリティポリシーを制定し、且つ制定したセキュリティポリシーをユーザ端末又はSGSNに送信することができる。ポリシーサービスエンティティは、また、コアネットワークデバイスから送信されたセキュリティポリシーを保存することができ、直接に配置されたセキュリティポリシーを保存することもできる。
ここで、ポリシーサービスエンティティは、単独のポリシーサーバであり、又はネットワークデバイスに設置された例えばSGSNのような機能モジュールであり、又はSGSNに嵌め込んだ、ポリシー管理機能を有するカードであることができる。前記ユーザ端末は移動知能端末及び/又はカードスロット付きのポータブル端末であってよいが、これに限らず、ポリシーサービスエンティティとの間でセキュリティ情報のやりとりを行うことができ、且つ移動性を備えた端末デバイスであればよい。
ポリシーサービスエンティティとインターワーキングを行うため、ポリシーサービスエンティティとの間のやりとりをサポートするように、ユーザ端末に、セキュリティポリシー処理の機能モジュールを追加して設置する必要がある。当該セキュリティポリシー処理の機能モジュールは、主にポリシーサービスエンティティからの指令情報を受信し、指令情報に応じて相応の操作を行うものである。例えば、ポリシーサービスエンティティからユーザ端末に、セキュリティ関連配置情報を取得する必要があるという要求が送信され、当該要求を受信したセキュリティポリシー処理の機能モジュールは、自身のセキュリティ関連配置情報を収集して、ポリシーサービスエンティティに報告する。これにより、ポリシーサービスエンティティは、ユーザ端末のセキュリティポリシー処理の機能モジュールによって、例えばユーザ端末のオペレーティングシステムバージョン情報、ウイルス防止ソフトウェア情報、パッチソフトウェアのインストール状況等のような、ユーザ端末のセキュリティ関連配置情報を収集することができる。
該セキュリティポリシー処理の機能モジュールは定時的に、又は周期的に、又は自身の配置情報に変化が発生するときに、自身のセキュリティ関連配置情報をポリシーサービスエンティティに主動的に報告することができる。該セキュリティポリシー処理の機能モジュールが一つの独立のソフトウェアであることができて、ポリシーサービスエンティティとインターワーキングするユーザ端末は該ソフトウェアをインストールするだけでよい。該セキュリティポリシー処理の機能モジュールにウイルス防止ソフトウェアが保存されることもできる。
SGSNと接続されているポリシーサービスエンティティはユーザ端末のセキュリティ関連配置情報を保存する。ポリシーサービスエンティティと、ユーザ端末のセキュリティポリシー処理の機能モジュールとの間でセキュリティプロトコルネゴシエーションを確立した後、即ち、相互のセキュリティ信頼関係を確立した後、ポリシーサービスエンティティがユーザ端末にポリシー情報を収集する必要があるという要求を送信することができ、ユーザ端末は、例えばウイルス防止ソフトウェア情報、パッチソフトウェアのインストール状況等のようなセキュリティ関連配置情報を報告する。
ポリシーサービスエンティティのニーズに応じて、相応のユーザ端末に対して制御を行うことをSGSNに可能とするため、SGSNにも、ポリシーサービスエンティティとインターワーキングするセキュリティポリシー処理の機能モジュール、及びポリシーサービスエンティティとネゴシエーションするプロトコルが追加されて、これにより、SGSNがポリシーサービスエンティティから与えられたセキュリティポリシーに基づいて、相応のユーザ端末に対して制御を行うことができ、一方、SGSNがポリシーサービスエンティティに相応のセキュリティポリシーサポートニーズを提供することもできる。ここで、前記SGSNとポリシーサービスエンティティがネゴシエーションするプロトコルは、双方によりネゴシエーションできた、やりとりを行う方式及びメッセージフォーマットなどを指すものである。
図2に示すように、本発明に係るもう一つの実施例に提出された、移動通信システムにおいてデータサービスのセキュリティを実現するシステムには、主にポリシーサービスエンティティ、GGSN及び複数のユーザ端末を含み、SGSN、RNCと基地局NodeBも含む。ここで、ポリシーサービスエンティティは移動通信ネットワークに並列接続されており、セキュリティポリシーを制定するように、直接に又はネットワークを介してGGSNと接続されることができる。ポリシーサービスエンティティはGGSNを介して、またSGSN、RNCとNodeBを経由してユーザ端末とやりとりを行って、ユーザ端末のセキュリティ関連配置情報を取得し、またユーザ端末のセキュリティ関連配置情報と自身に記憶されたセキュリティポリシー情報に基づいて、異なるユーザ端末に対して相応のセキュリティポリシーを制定し、且つ制定したセキュリティポリシーをユーザ端末とGGSNに送信することができる。ポリシーサービスエンティティは、また、コアネットワークデバイスから送信されたセキュリティポリシー情報を保存することができ、直接に配置されたセキュリティポリシー情報を保存することもできる。
ここで、ポリシーサービスエンティティは、単独のポリシーサーバであり、又はネットワークデバイスに設置された例えばGGSNのような機能モジュールであり、又はGGSNに嵌め込んだ、ポリシー管理機能を有するカードであることができる。前記ユーザ端末は移動知能端末及び/又はカードスロット付きのポータブル端末であってよいが、これに限らず、ポリシーサービスエンティティとの間でセキュリティ情報のやりとりを行うことができ、且つ移動性を備えた端末デバイスでさえあればよい。
ポリシーサービスエンティティとインターワーキングを行うため、ポリシーサービスエンティティとの間のやりとりをサポートするように、ユーザ端末に、セキュリティポリシー処理の機能モジュールを追加して設置する必要がある。当該セキュリティポリシー処理の機能モジュールは、主にポリシーサービスエンティティからの指令情報を受信し、指令情報に応じて相応の操作を行うものである。例えば、ポリシーサービスエンティティからユーザ端末に、セキュリティ関連配置情報を取得する必要があるという要求が送信され、当該要求を受信したセキュリティポリシー処理の機能モジュールは、自身のセキュリティ関連配置情報を収集して、ポリシーサービスエンティティに報告する。これにより、ポリシーサービスエンティティは、ユーザ端末のセキュリティポリシー処理の機能モジュールによって、例えばユーザ端末のオペレーティングシステムバージョン情報、ウイルス防止ソフトウェア情報、パッチソフトウェアのインストール状況等のような、ユーザ端末のセキュリティ関連配置情報を収集することができる。
該セキュリティポリシー処理の機能モジュールは定時的に、又は周期的に、又は自身の配置情報に変化が発生するときに、自身のセキュリティ関連配置情報をポリシーサービスエンティティに主動的に報告することができる。該セキュリティポリシー処理の機能モジュールが一つの独立のソフトウェアであることができて、ポリシーサービスエンティティとインターワーキングするユーザ端末は該ソフトウェアをインストールするだけでよい。該セキュリティポリシー処理の機能モジュールにウイルス防止ソフトウェアが保存されることもできる。
実際の応用において、ポリシーサービスエンティティがGGSN、SGSN、RNCとNodeBを介して、ユーザ端末と情報のやりとりを行うが、そのうち、SGSN、RNCとNodeBにおいてやりとり情報はただ透過的に伝送されるだけである。
GGSNと接続されているポリシーサービスエンティティはユーザ端末のセキュリティ関連配置情報を保存する。ポリシーサービスエンティティと、ユーザ端末のセキュリティポリシー処理の機能モジュールとの間でセキュリティプロトコルネゴシエーションを確立した後、即ち、相互のセキュリティ信頼関係を確立した後、ポリシーサービスエンティティがユーザ端末にポリシー情報を収集する必要があるという要求を送信することができ、ユーザ端末は、例えばウイルス防止ソフトウェア情報、パッチソフトウェアのインストール状況等のようなセキュリティ関連配置情報を報告する。
ポリシーサービスエンティティのニーズに応じて、相応のユーザ端末に対して制御を行うことをGGSNに可能とするため、GGSNにも、ポリシーサービスエンティティとインターワーキングするセキュリティポリシー処理の機能モジュール、及びポリシーサービスエンティティとネゴシエーションするプロトコルが追加されて、これにより、GGSNがポリシーサービスエンティティから与えられたセキュリティポリシー情報に基づいて、相応のユーザ端末に対して制御を行うことができ、一方、GGSNがポリシーサービスエンティティに相応のセキュリティポリシーサポートニーズを提供することもできる。
GGSNがアップリンク、ダウンリンクIPデータパケットの7層での解析を行うことができ、リダイレクション機能を備えるため、本実施例のシステムには、異なるセキュリティ保障機能を完成する、又は異なるウイルスを検出する一つ又は複数のセキュリティゲートウェイデバイスをさらに含むことができ、GGSNが相応のデータパケットを相応のセキュリティゲートウェイデバイスにリダイレクトしてセキュリティ検出を行うことができる。例えば、ウイルス防止ゲートウェイにリダイレクトして、ウイルス防止ゲートウェイによりデータパケットに対してウイルス駆除を行い、且つウイルス駆除を経たデータパケットをGGSNに返信して、GGSNを介してInternetのような公衆ネットワークに送信する。
相応に、GGSNは公衆ネットワークからのIPパケットをセキュリティゲートウェイデバイスにリダイレクトして、セキュリティゲートウェイデバイスの処理を通過した後、例えば、ウイルス防止ゲートウェイのウイルス駆除を経た後、またGGSNに返信して、SGSN、RNCとNodeBを介して、IPパケットを移動端末のようなユーザ端末に送信する。ここで、GGSNがどのIPパケットをどのセキュリティゲートウェイデバイスに伝送して処理を行うべきであるかは、ポリシーサービスエンティティによって確定されたセキュリティポリシーに基づいて制御される。例えば、ネットワークには、それぞれ異なるIPアドレスからのIPパケットを検出する三つのセキュリティゲートウェイデバイスが設置されており、がポリシーサービスエンティティは、10.10.10.0〜10.10.10.256のIPアドレスから送信されたIPパケットを第一セキュリティゲートウェイデバイスにリダイレクトしてセキュリティ検出を行うよう決定する。
図2に示したシステムにおいて、GGSNが相応のセキュリティポリシーを取得した後、自分で実行しなく、例えばユーザ情報の非アクティブ(deactivate)のような関連のセキュリティポリシー制御情報をSGSN、RNCに送信して、SGSN又はRNCで相応の操作を完成してもよい。また、ポリシーサービスエンティティが直接にSGSNと接続して単方向制御を提供することもできる。ここで、SGSNがデータパケットの解析を行うことができないため、例えばあるIPアドレスのユーザを阻止するような簡単なセキュリティポリシーしか実施できない。
図1、図2に示したシステムに基づき、ポリシーサービスエンティティがポリシーサーバであることを例とし、且つSGSN、GGSNをパケットサービスサポートノードと総称する場合、本発明の実現方法は図3に示すように、具体的に以下のステップを含む。
ステップ301で、ポリシーサーバはあるユーザ端末に要求情報を送信して、当該ユーザ端末のセキュリティ関連配置情報の報告を該ユーザ端末に要求する。ここで、ユーザ端末は移動知能端末及び/又はカードスロット付きのポータブル端末であることができるが、これに限られない。
本ステップにおいて、前記要求がポリシーサーバによって随時に開始されることができ、且つ該要求情報はSGSNを介してユーザ端末に透過的に伝送され、同時に、当該必要な情報の指示、例えば、ユーザ端末のパッチソフトウェアのインストール情報を報告するように該ユーザ端末に要求する指示が該要求情報に含まれる。要求情報の具体的なフォーマットについては、ポリシーサーバとユーザ端末とのネゴシエーションによって予め確定されたフォーマットを採用してよい。例えば、異なるフィールドが、ポリシーサーバが取得する必要のある異なるタイプの情報を表すことなどである。
ステップ302で、ユーザ端末はポリシーサーバからの要求を受信した後、ポリシーサーバのニーズに応じて、自身のセキュリティポリシー処理の機能モジュールにより、自身のセキュリティ関連配置情報を収集し、且つ収集したセキュリティ関連配置情報をポリシーサーバに報告する。
ステップ303で、ユーザ端末のセキュリティ関連配置情報を受信した後、ポリシーサーバはユーザ端末のセキュリティ関連配置情報及び自身に記憶されたセキュリティポリシー情報に基づいて、相応のユーザ端末に対するユーザ制御情報を確定し、また確定したユーザ制御情報をセキュリティポリシーとしてパケットサービスサポートノード及び/又はユーザ端末に送信する。
ここで、ポリシーサーバの記憶したセキュリティポリシー情報は、ユーザ端末がインストールすべきパッチソフトウェア情報、ユーザ端末がインストールすべきウイルス防止ソフトウェア情報などを含むことができるが、これに限られない。前記パケットサービスサポートノードはGGSNであり、又はSGSNであり、又はPDSNである。
ステップ304で、パケットサービスサポートノード及び/又はユーザ端末は相応のセキュリティポリシーを受信した後、ポリシーサーバのニーズに応じて相応の制御処理を行う。例えば、GGSNにとって、セキュリティポリシーが、あるユーザ端末が伝送したデータに対してあるウイルスの検出を要求することである場合、GGSNが指定のIPアドレスからのデータ又は指定のIPアドレスへのデータを受信した後、相応のデータを指定のセキュリティゲートウェイデバイスに伝送してウイルス走査とウイルス駆除を行うこと、あるいは、GGSNがある種類のデータを指定のセキュリティゲートウェイデバイスを介して伝送することなどである。
図1に示したシステムに対して、ポリシーサーバはセキュリティポリシーをSGSNに送信し、SGSNにより、受信したセキュリティポリシーに基づいて、相応の制御操作を完成する。図2に示したシステムに対して、ポリシーサーバはセキュリティポリシーをGGSNに送信し、GGSNにより、受信したセキュリティポリシーに基づいて、相応の制御操作を完成し、あるいは、GGSNによりSGSNに相応の処理を行い通知する。例えばあるIPアドレスのユーザ端末から送信されたIPパケットを阻止するように通知する。
ここで、GGSNは必要に応じて、指定のアップリンク/ダウンリンクIPデータパケットをセキュリティゲートウェイデバイスにリダイレクトして、例えばウイルス走査とウイルス駆除のような相応のセキュリティ処理を行うことができる。セキュリティ処理を経た後で、セキュリティゲートウェイデバイスから、処理を経たIPデータパケットをGGSNに返信して、後続の伝送と処理を継続する。
実際の応用において、パケットサービスサポートノードからポリシーサーバにポリシー要求情報を送信して、要求がポリシーサーバに受信された後で、また上記ステップ301〜304を実行してよい。または、ユーザ端末からポリシーサーバに自身のセキュリティ関連配置情報を主動的に報告して、ポリシーサーバに受信された後で、ステップ303とステップ304を実行してもよい。ここで、周期的に報告し、又は定時的に報告し、又は自身の配置情報に変化が発生するときに報告するなどの方式を採用することができる。
具体的な応用の実現プロセスにおいて、ポリシーサービスエンティティがカードとしてGGSN又はSGSNのようなパケットサービスサポートノードに嵌め込まれて、相応のセキュリティサービスを提供することもできる。
本発明ではポリシーサービスエンティティがセキュリティポリシーを制定することにより、ネットワーク側でユーザ端末の置かれたセキュリティ状態を判別することができ、且つセキュリティ脅威情報又は潜在脅威をポリシーサービスエンティティに通知して、ポリシーサービスエンティティにより判断と選択によって、ユーザ端末に対して実施する相応のセキュリティポリシーを確定し、且つパケットサービスサポートノードがユーザ端末に対する制御により、脅威の拡散を防止することができる。
ここで、パッチソフトウェアをインストールして管理する例をあげる。現在、多くのワームウイルスの拡散はみなユーザ端末に相応のパッチソフトウェアが適時にインストールされていないためであり、また、「ブラスター」、「サッサー」(Sasser)等のようなウイルスもみなこの状況に属する。本発明の方法によっては、パッチソフトウェアが適時にインストールされていないため、ウイルスがネットワークに対する攻撃が拡散されることを防止することができる。
本例において、パケットサービスサポートノードはSGSNである。ポリシーサービスエンティティはポリシーサーバであり、当該ポリシーサーバには全てのインストールすべきパッチソフトウェア情報が記憶され、個々のパッチソフトウェア情報の関連情報、例えば重要程度などがさらに保存されることができる。ユーザ端末のセキュリティ関連配置情報はパッチソフトウェアの配置状況である。本例において、データサービスのセキュリティを実現する方法の具体的な実現プロセスは以下の通りである。
1)ポリシーサーバはユーザ端末Mに、オペレーティングシステムのパッチ配置情報のニーズを送信して、ユーザ端末Mに、ユーザ端末Mのパッチソフトウェアの配置状況を返信することを要求する。
2)ユーザ端末Mは要求を受信した後、自身のセキュリティポリシー処理の機能モジュールにより、自身のオペレーティングシステムにインストールされたパッチソフトウェアの状況を取り出し、且つ取り出したパッチソフトウェアのインストール情報をポリシーサーバにアップロードする。
3)ポリシーサーバはユーザ端末Mのパッチソフトウェアのインストール情報を受信した後、取得したユーザ端末Mのパッチソフトウェアのインストール情報及び自身に記憶されたインストールすべきパッチソフトウェア情報に基づいて、ユーザ端末Mのパッチインストール状況に対して判断を行い、その結果、ユーザ端末Mが一つの重要なパッチをインストールしていないことを発見する。例えば、ユーザ端末の基本的なセキュリティ状態を保証するためには、個々のユーザ端末が少なくともA、B、C、Dという四つのパッチプログラムのインストールを必要とするが、現在ユーザ端末MにただA、C、Dだけがインストールされており、Bはインストールされていない。
4)ポリシーサーバは、あるパッチプログラムがインストールされていないという通知情報を該ユーザ端末Mに送信し、例えば、パッチプログラムBがインストールされていないということをユーザ端末Mに通知する。同時に、ポリシーサーバが現在取得した情報に基づいてセキュリティポリシーを制定することができ、例えば、当該ユーザ端末Mに対して帯域幅を制限し、その後、ポリシーサーバがSGSNに該ユーザ端末Mの帯域幅制限情報を送信する。
5)SGSNは該ユーザ端末Mの帯域幅制限情報を受信した後、当該ユーザ端末Mに対して帯域幅制限を行い、当該ネットワーク接続阻止まで該ユーザ端末Mに対して行う。
1)ポリシーサーバはユーザ端末Mに、オペレーティングシステムのパッチ配置情報のニーズを送信して、ユーザ端末Mに、ユーザ端末Mのパッチソフトウェアの配置状況を返信することを要求する。
2)ユーザ端末Mは要求を受信した後、自身のセキュリティポリシー処理の機能モジュールにより、自身のオペレーティングシステムにインストールされたパッチソフトウェアの状況を取り出し、且つ取り出したパッチソフトウェアのインストール情報をポリシーサーバにアップロードする。
3)ポリシーサーバはユーザ端末Mのパッチソフトウェアのインストール情報を受信した後、取得したユーザ端末Mのパッチソフトウェアのインストール情報及び自身に記憶されたインストールすべきパッチソフトウェア情報に基づいて、ユーザ端末Mのパッチインストール状況に対して判断を行い、その結果、ユーザ端末Mが一つの重要なパッチをインストールしていないことを発見する。例えば、ユーザ端末の基本的なセキュリティ状態を保証するためには、個々のユーザ端末が少なくともA、B、C、Dという四つのパッチプログラムのインストールを必要とするが、現在ユーザ端末MにただA、C、Dだけがインストールされており、Bはインストールされていない。
4)ポリシーサーバは、あるパッチプログラムがインストールされていないという通知情報を該ユーザ端末Mに送信し、例えば、パッチプログラムBがインストールされていないということをユーザ端末Mに通知する。同時に、ポリシーサーバが現在取得した情報に基づいてセキュリティポリシーを制定することができ、例えば、当該ユーザ端末Mに対して帯域幅を制限し、その後、ポリシーサーバがSGSNに該ユーザ端末Mの帯域幅制限情報を送信する。
5)SGSNは該ユーザ端末Mの帯域幅制限情報を受信した後、当該ユーザ端末Mに対して帯域幅制限を行い、当該ネットワーク接続阻止まで該ユーザ端末Mに対して行う。
ユーザ端末Mは、ステップ4)での通知に基づいて、パッチプログラムBをインストールするかどうかを決定することができる。
上記パッチソフトウェアをインストールして管理する例において、パケットサービスサポートノードがGGSNである場合、ユーザデータパケットがGGSNに伝送された時に、GGSNが現在受信されたデータパケットをセキュリティゲートウェイデバイス、例えばウイルス防止ゲートウェイにリダイレクトすることができ、ウイルス防止ゲートウェイにより相応のセキュリティ検出及びウイルス駆除を行い、その後、GGSNに返信する。
実際の応用において、上記のポリシーサービスエンティティを移動通信システムにおいてデータサービスのセキュリティを実現する一つの単独の装置としてもよい。図4に示すように、当該装置にはセキュリティ情報取得モジュール、セキュリティポリシー確定モジュール、セキュリティポリシー記憶モジュール及びセキュリティポリシー分配モジュールをさらに含む。
ここで、セキュリティ情報取得モジュールは、ユーザ端末と接続して、ユーザ端末とのやりとりにより、ユーザ端末のセキュリティ関連配置情報を取得し、且つ取得したセキュリティ関連配置情報をセキュリティポリシー確定モジュールに送信する。セキュリティポリシー確定モジュールは、取得したユーザ端末のセキュリティ関連配置情報及びセキュリティポリシー記憶モジュールに記憶されたセキュリティポリシー情報に基づいて、実行すべきセキュリティポリシーを確定し、且つ確定したセキュリティポリシーをセキュリティポリシー分配モジュールに送信して分配し、セキュリティポリシー記憶モジュールは、ユーザ端末のセキュリティポリシー情報を記憶し、セキュリティポリシー分配モジュールは、受信したセキュリティポリシーを、例えばユーザ端末、SGSN、GGSNなどのような指定のネットワークエンティティに送信する。
また、セキュリティ情報取得モジュールは、セキュリティポリシー記憶モジュールと直接に接続され、取得したセキュリティ関連配置情報をそのままセキュリティポリシー情報として記憶することができる。セキュリティポリシー記憶モジュールは、例えばコアネットワークデバイスのような外部デバイスと接続され、外部デバイスによって配置されたセキュリティポリシー情報を直接に取得して保存することもできる。セキュリティポリシー記憶モジュールはマン・マシーン・インターフェース(MMI:man machine interface)を通じて、配置命令により配置されたセキュリティポリシー情報を取得することもできる。
本発明は2GのGPRSシステム、EDGEシステム及び3GのWCDMAシステム、TD-SCDMAシステム、CDMA2000システムに適用することができる。とにかく、以上述べたのはあくまでも本発明の好ましい実施例にすぎず、本発明の精神と請求の範囲を限定するものではない。
301 ポリシーサーバはユーザ端末にセキュリティ関連配置情報を取得することを要求する要求情報を送信
302 ユーザ端末は自身のセキュリティ関連配置情報を収集し、ポリシーサーバに報告
304 パケットサービスサポートノード及び/又はユーザ端末は、受信したセキュリティポリシーに基づいて、相応の制御処理を行う
302 ユーザ端末は自身のセキュリティ関連配置情報を収集し、ポリシーサーバに報告
304 パケットサービスサポートノード及び/又はユーザ端末は、受信したセキュリティポリシーに基づいて、相応の制御処理を行う
Claims (17)
- 移動通信システムにおいてデータサービスのセキュリティを実現する方法であって、
ユーザ端末のセキュリティ関連配置情報をポリシーサービスエンティティによって取得することと、
ユーザ端末のセキュリティ関連配置情報及び記憶されたセキュリティポリシー情報に基づいて、ユーザ端末に対するセキュリティポリシーを前記ポリシーサービスエンティティによって確定し、且つ確定したセキュリティポリシーを前記ポリシーサービスエンティティによってパケットサービスサポートノードに送信することと、
セキュリティポリシーを受信したパケットサービスサポートノードがセキュリティポリシーに基づいて制御処理を完成することと
を含むことを特徴とする方法。 - 前記ユーザ端末のセキュリティ関連配置情報を取得することは、ユーザ端末が現在収集した自身のセキュリティ関連配置情報を周期的に、又は定時的に、又は自身のセキュリティ関連配置情報に変化が発生するときに、主動的に前記ポリシーサービスエンティティに報告することを特徴とする請求項1に記載の方法。
- 前記ユーザ端末のセキュリティ関連配置情報を取得することは、
セキュリティ関連配置情報の報告をユーザ端末に要求する要求をユーザ端末に送信することと、
前記要求を受信した後、ユーザ端末がポリシーサービスエンティティのニーズに応じて、自身のセキュリティ関連配置情報を収集し、且つ収集したセキュリティ関連配置情報を前記ポリシーサービスエンティティに報告することと
を含むことを特徴とする請求項1に記載の方法。 - 前記セキュリティ関連配置情報の報告をユーザ端末に要求する要求をユーザ端末に送信する前に、パケットサービスサポートノードが前記ポリシーサービスエンティティにポリシー要求を送信し、
前記要求を受信した後、セキュリティ関連配置情報の報告をユーザ端末に要求する要求をユーザ端末に送信することをさらに含むことを特徴とする請求項3に記載の方法。 - 前記セキュリティ関連配置情報が、ユーザ端末のオペレーティングシステムバージョン情報、又はウイルス防止ソフトウェア情報、又はパッチソフトウェアのインストール状況、又は三者の任意の組合せを含むことを特徴とする請求項1〜4のいずれか1項に記載の方法。
- 前記パケットサービスサポートノードが、サービングGPRSサポートノード(SGSN)であり、又はゲートウェイGPRSサポートノード(GGSN)であり、又はパケットデータサポートノード(PDSN)であることを特徴とする請求項1〜4のいずれか1項に記載の方法。
- 前記パケットサービスサポートノードがGGSNであり、前記パケットサービスサポートノード及び/又はユーザ端末がセキュリティポリシーに基づいて制御処理を完成することは、セキュリティポリシーを受信したGGSNが、セキュリティポリシーに基づいて相応の制御処理を完成することをSGSN又はRNCに通知することをさらに含むことを特徴とする請求項1に記載の方法。
- 前記パケットサービスサポートノードがGGSNであり、
G GSNが現在受信したデータパケットをセキュリティゲートウェイデバイスにリダイレクトしてセキュリティ処理を行うことと、
セキュリティ処理の後、セキュリティゲートウェイデバイスがデータパケットをGGSNに返信することと
をさらに含むことを特徴とする請求項1に記載の方法。 - 前記セキュリティゲートウェイデバイスがウイルス防止ゲートウェイであり、前記セキュリティ処理が、受信したデータパケットに対してウイルス走査とウイルス駆除を行うことを含むことを特徴とする請求項8に記載の方法。
- 移動通信システムにおいてデータサービスのセキュリティを実現するシステムであって、
パケットサービスサポートノードと、
移動通信ネットワークを通じてパケットサービスサポートノードと接続するユーザ端末と、
ユーザ端末のセキュリティ関連配置情報を取得し、相応のユーザ端末に対するセキュリティポリシーを確定し、セキュリティポリシーをパケットサービスサポートノードに送信し、パケットサービスサポートノードと接続されているポリシーサービスエンティティとを含み、
前記パケットサービスサポートノードは、前記セキュリティポリシーに基づいて制御処理を完成するよう構成されることを特徴とするシステム。 - 前記ユーザ端末とパケットサービスサポートノードには、ポリシーサービスエンティティとインターワーキングを行うセキュリティポリシー処理の機能モジュールがそれぞれ設置されて、ポリシーサービスエンティティの指令情報を受信し、指令情報に基づいて相応の処理を完成し、及び/又はポリシーサービスエンティティにセキュリティ関連配置情報を送信することを特徴とする請求項10に記載のシステム。
- パケットサービスサポートノードによってリダイレクトされてきたデータパケットに対してセキュリティ処理を行うセキュリティゲートウェイデバイスをさらに含むことを特徴とする請求項10に記載のシステム。
- 前記セキュリティゲートウェイデバイスがウイルス防止ゲートウェイであることを特徴とする請求項12に記載のシステム。
- 前記ポリシーサービスエンティティが単独のポリシーサーバであり、又はネットワークデバイスに設置された機能モジュールであり、又はポリシー管理機能を有するカードであることを特徴とする請求項10〜13のいずれかに記載のシステム。
- 前記パケットサービスサポートノードがSGSNであり、又はGGSNであり、又はPDSNであることを特徴とする請求項10〜14のいずれかに記載のシステム。
- 前記ユーザ端末が移動知能端末及び/又はカードスロット付きのポータブル端末であることを特徴とする請求項10〜13のいずれかに記載のシステム。
- 移動通信システムにおいてデータサービスのセキュリティを実現する装置であって、
ユーザ端末と接続し、且つユーザ端末のセキュリティ関連配置情報を取得し、取得したセキュリティ関連配置情報をセキュリティポリシー確定モジュールに送信するセキュリティ情報取得モジュールと、
セキュリティ関連配置情報、及びセキュリティポリシー記憶モジュールに記憶されたセキュリティポリシー情報に基づいて、セキュリティポリシーを確定し、確定したセキュリティポリシーをセキュリティポリシー分配モジュールに送信するセキュリティポリシー確定モジュールと、
セキュリティポリシー情報を保存するセキュリティポリシー記憶モジュールと、
受信したセキュリティポリシーを、前記セキュリティポリシーに基づいて制御処理を完成するよう構成されるパケットサービスサポートノードに送信するセキュリティポリシー分配モジュールと
を含むことを特徴とする装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004101034675A CN100433899C (zh) | 2004-12-28 | 2004-12-28 | 一种保证移动通信系统数据业务安全的方法及系统 |
| PCT/CN2005/002254 WO2006069522A1 (fr) | 2004-12-28 | 2005-12-20 | Procede, systeme et appareil permettant de realiser la securite d'un service de donnees d'un systeme de communication mobile |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008526144A JP2008526144A (ja) | 2008-07-17 |
| JP4499161B2 true JP4499161B2 (ja) | 2010-07-07 |
Family
ID=36614489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007548674A Active JP4499161B2 (ja) | 2004-12-28 | 2005-12-20 | 移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070169169A1 (ja) |
| EP (2) | EP2254360A1 (ja) |
| JP (1) | JP4499161B2 (ja) |
| CN (1) | CN100433899C (ja) |
| WO (1) | WO2006069522A1 (ja) |
Families Citing this family (74)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070005987A1 (en) * | 2005-06-30 | 2007-01-04 | Durham Lenitra M | Wireless detection and/or containment of compromised electronic devices in multiple power states |
| WO2007032996A2 (en) | 2005-09-07 | 2007-03-22 | Ace*Comm Corporation | Consumer configurable mobile communication solution |
| US20080065746A1 (en) * | 2006-09-07 | 2008-03-13 | Ace*Comm Corporation | Consumer configurable mobile communication web filtering solution |
| CN101299660B (zh) * | 2007-04-30 | 2010-12-08 | 华为技术有限公司 | 一种执行安全控制的方法、系统及设备 |
| US8135007B2 (en) * | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
| KR101152782B1 (ko) * | 2007-08-16 | 2012-06-12 | 삼성전자주식회사 | 통신 중계 방법 및 그 장치와, 통신 중계 제어 방법 및 그장치 |
| US8386766B2 (en) | 2007-10-17 | 2013-02-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for deciding a security setting |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8250207B2 (en) | 2009-01-28 | 2012-08-21 | Headwater Partners I, Llc | Network based ambient services |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US20100011432A1 (en) * | 2008-07-08 | 2010-01-14 | Microsoft Corporation | Automatically distributed network protection |
| US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US8351898B2 (en) | 2009-01-28 | 2013-01-08 | Headwater Partners I Llc | Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9571559B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| CN101795261B (zh) * | 2009-12-31 | 2013-01-02 | 暨南大学 | 基于移动数据安全的信息保护系统及方法 |
| US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
| US9548962B2 (en) | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
| WO2014159862A1 (en) | 2013-03-14 | 2014-10-02 | Headwater Partners I Llc | Automated credential porting for mobile devices |
| US9864873B2 (en) * | 2013-03-15 | 2018-01-09 | Trustarc Inc | Managing data handling policies |
| CN104380686B (zh) * | 2013-11-07 | 2018-08-21 | 华为技术有限公司 | 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器 |
| CN103561035A (zh) * | 2013-11-11 | 2014-02-05 | 中国联合网络通信集团有限公司 | 一种移动用户安全防护方法和系统 |
| US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| CN106487766B (zh) * | 2015-08-31 | 2021-10-29 | 微软技术许可有限责任公司 | 具有独立服务子系统的路由设备 |
| CN105682095A (zh) * | 2015-12-24 | 2016-06-15 | 北京奇虎科技有限公司 | 基于局域网的无线热点控制方法和装置 |
| US10887768B2 (en) * | 2016-07-13 | 2021-01-05 | T-Mobile Usa, Inc. | Mobile traffic redirection system |
| CN109117644B (zh) * | 2018-09-28 | 2022-08-05 | 深信服科技股份有限公司 | 一种运行状况的调整方法、系统、主机及可读存储介质 |
| CN112507329A (zh) * | 2020-12-11 | 2021-03-16 | 海信电子科技(武汉)有限公司 | 安全防护方法及装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7072956B2 (en) * | 2000-12-22 | 2006-07-04 | Microsoft Corporation | Methods and systems for context-aware policy determination and enforcement |
| US20030028806A1 (en) * | 2001-08-06 | 2003-02-06 | Rangaprasad Govindarajan | Dynamic allocation of ports at firewall |
| US6661780B2 (en) * | 2001-12-07 | 2003-12-09 | Nokia Corporation | Mechanisms for policy based UMTS QoS and IP QoS management in mobile IP networks |
| JP2003216448A (ja) * | 2002-01-17 | 2003-07-31 | Ntt Docomo Inc | 移動通信端末及びデータ送信方法 |
| US7448067B2 (en) * | 2002-09-30 | 2008-11-04 | Intel Corporation | Method and apparatus for enforcing network security policies |
| US7308706B2 (en) * | 2002-10-28 | 2007-12-11 | Secure Computing Corporation | Associative policy model |
| CN2587018Y (zh) * | 2002-11-12 | 2003-11-19 | 上海信尔杰信息科技技术有限公司 | 局域网络防电脑病毒电路 |
| US7526800B2 (en) * | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| US7308703B2 (en) * | 2002-12-18 | 2007-12-11 | Novell, Inc. | Protection of data accessible by a mobile device |
| US7353533B2 (en) * | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| WO2004057834A2 (en) * | 2002-12-18 | 2004-07-08 | Senforce Technologies, Inc. | Methods and apparatus for administration of policy based protection of data accessible by a mobile device |
| US9237514B2 (en) * | 2003-02-28 | 2016-01-12 | Apple Inc. | System and method for filtering access points presented to a user and locking onto an access point |
| KR100551421B1 (ko) * | 2002-12-28 | 2006-02-09 | 주식회사 팬택앤큐리텔 | 바이러스치료기능을 가진 이동통신 시스템 |
| US9197668B2 (en) * | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
-
2004
- 2004-12-28 CN CNB2004101034675A patent/CN100433899C/zh active Active
-
2005
- 2005-12-20 EP EP10176424A patent/EP2254360A1/en not_active Withdrawn
- 2005-12-20 JP JP2007548674A patent/JP4499161B2/ja active Active
- 2005-12-20 EP EP05820675A patent/EP1772988A4/en not_active Withdrawn
- 2005-12-20 WO PCT/CN2005/002254 patent/WO2006069522A1/zh active Application Filing
-
2007
- 2007-02-16 US US11/675,914 patent/US20070169169A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20070169169A1 (en) | 2007-07-19 |
| EP1772988A4 (en) | 2007-10-03 |
| CN100433899C (zh) | 2008-11-12 |
| EP1772988A1 (en) | 2007-04-11 |
| JP2008526144A (ja) | 2008-07-17 |
| CN1798436A (zh) | 2006-07-05 |
| WO2006069522A1 (fr) | 2006-07-06 |
| EP2254360A1 (en) | 2010-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4499161B2 (ja) | 移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置 | |
| US8726338B2 (en) | Dynamic threat protection in mobile networks | |
| CA2701689C (en) | System and method of malware sample collection on mobile networks | |
| CN107347047B (zh) | 攻击防护方法和装置 | |
| US20130254310A1 (en) | Delegated network management system and method of using the same | |
| US20080086773A1 (en) | System and method of reporting and visualizing malware on mobile networks | |
| US20140068749A1 (en) | Systems and methods for updating content detection devices and systems | |
| US20070140275A1 (en) | Method of preventing denial of service attacks in a cellular network | |
| US20060064750A1 (en) | System and methods for transparent encryption | |
| US20230089772A1 (en) | System, Method And Computer Readable Medium For Message Authentication To Subscribers Of An Internet Service Provider | |
| WO2007045155A1 (en) | A method for realizing mobile station secure update and correlative reacting system | |
| US20040199647A1 (en) | Method and system for preventing unauthorized action in an application and network management software environment | |
| WO2014075485A1 (zh) | 网络地址转换技术的处理方法、nat设备及bng设备 | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| US20180109555A1 (en) | Inter-domain distributed denial of service threat signaling | |
| Schulz et al. | Tetherway: a framework for tethering camouflage | |
| La Cholter et al. | IBAN: intrusion blocker based on active networks | |
| EP2141885B1 (en) | Embedded firewall at a telecommunications endpoint | |
| JP2007266931A (ja) | 通信遮断装置、通信遮断プログラム | |
| WO2015018200A1 (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
| US20100100960A1 (en) | System and method for protecting data of network users | |
| KR101747144B1 (ko) | 비인가 ap 차단 방법 및 시스템 | |
| JP5029850B2 (ja) | ネットワークシステム、通信方法、通信端末及び通信プログラム | |
| Zdarsky et al. | Security analysis of wireless mesh backhauls for mobile networks | |
| Nalayini et al. | Block Link Flooding Algorithm for TCP SYN Flooding Attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091008 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100406 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100414 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4499161 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140423 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |