JP5103524B2 - 通信システムのサービス妨害からの保護を提供するシステム及び方法 - Google Patents
通信システムのサービス妨害からの保護を提供するシステム及び方法 Download PDFInfo
- Publication number
- JP5103524B2 JP5103524B2 JP2010515609A JP2010515609A JP5103524B2 JP 5103524 B2 JP5103524 B2 JP 5103524B2 JP 2010515609 A JP2010515609 A JP 2010515609A JP 2010515609 A JP2010515609 A JP 2010515609A JP 5103524 B2 JP5103524 B2 JP 5103524B2
- Authority
- JP
- Japan
- Prior art keywords
- network node
- mmn
- multihomed
- access router
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/005—Multiple registrations, e.g. multihoming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Description
本発明は、一般に、通信ネットワーク、特にサービス妨害からの保護を使用する通信ネットワークに関するものである。
モバイル・ノード(MN)は、移動可能でありネットワークとの接続点が変化し得る装置であり、それは典型的には時間とともにネットワーク(IP)アドレスが変化し得ることを意味する。マルチホーム・ノードは、同時にいくつかのネットワーク接続点を有し得る装置であり、同時にいくつかのIPアドレスを有し得る。従って、モバイル・マルチホーム・ネットワークノード(MMN)は、同時に多くのアドレスを有し得、かつ、時間とともにこれらのアドレスの何れかまたは全ては変化し得るノードである。モバイル・マルチホーム・アタッカー(MMA)は、1以上のMMNを制御する悪意のある関係者である。MMAは、MMNのユーザまたは”ウイルス”または当該MMN内に何らかの他の機能性を配置されたもの(または何らかの他のエンティティ)であり、当該MMNに”物理的に”接続していないかもしれない。
MMAがMMNに接続可能な任意のネットワークに対してネットワーク・フラッド攻撃を開始するために当該MMAは当該MMNを使用することが可能である。MMNは、モバイル・インターネット・プロトコル・バージョン6(MIPv6)プロトコルを用いて実行され得る。MMNからのフラッド攻撃は、MMAが異なるネットワークに接続している異なるインタフェースを同時に制御しているコンテキストへ移動することによって可能にされる。この種のマルチ・ホーミング・コンテキストにおいて、MMAは、任意の2以上のインタフェースを結合し、各々がホームまたは外部ネットワークであるとして対向ノードに提示するためにモビリティ・シグナリング・メッセージを利用することが可能である。
この種のMMAに対抗するため、ネットワーク(例えば3GPPネットワーク)において一般的なイングレス・フィルタリングを利用することができる。しかしながら、イングレス・フィルタリングは攻撃者を識別する能力を提供することは出来るが、イングレス・フィルタリングは攻撃を予防することはできない。加えて、非3GPP環境において、通信システムがよりオープンかつ”公衆(public)”環境であることによるより制御が少ないため、課題はるかにより深刻となる。例えば、3GPP環境の外側でならば、接続された全てのMNが適切に認証され得るわけではない。また、後述するように、イングレス・フィルタリングは、常に効果的なわけではない。
図1は、通信システム12内のMMN14を制御しているMMAからの従来のフラッド攻撃において実行されるリターン・ルータビリティ(RR)手順を示す簡略ブロック図である。通信システムは、モバイル・マルチホーム・ネットワークノード(MMN)14を含む。MMN14は、第1のインタフェースI1および第2のインタフェースI2を含む。これらのインタフェースは、IPアドレスと関連してもよい。通信システムは、対向ノード(CN)18および20も含む。
ネットワーク・フラッド攻撃を開始するために、MMAは、MMNのインタフェースの1つ(例えばI1)を対応するホームまたは外部ネットワークに接続しなければならず、他のインタフェース(I2)を目標ノード(例えばCN18または20)に接続しなければならない。
フラッド攻撃を始めるために、MMAは、異なるCNの異なるセッションを確立するために、MMNのインタフェースI1を利用する。これらの異なるCNの異なるセッションを確立した後に、MMAがリターン・ルータビリティ(RR)手順をトリガすることによって、MMNをルート最適化(RO)モードに切り替える。RR手順は、HoTI/HoTメッセージ30および32をCN18および20の各々と交換するホームアドレス(HoA)到達可能性テスト、CoTI/CoTメッセージ34および36をそれらのCNと交換する気付アドレス(CoA)到達可能性テストを必要とする。このために、HoA到達可能性テストは、HoAとしてI1上に構成されるMMNのIPv6アドレスを用いて実行される。加えて、CoA到達可能性テストは、CoAとしてI2上に構成されるIPv6アドレスを用いて実行される。
図2は、通信システム12内のMMN14から開始される従来のフラッド攻撃の間の、バインディング更新の交換プロセスを示す簡略ブロック図である。全てのRR手順を完了した後に、MMNは、2つのアドレス間のバインディングの作成を要求し目標ネットワークに向かうデータパケットを再ルーティングするために、バインディング更新(BU)メッセージをインタフェースI2上のCN18および20の各々に送信する。最適化モバイルIPv6(OMIPv6)において、BUおよびバインディング応答(BA)メッセージ40および42の第1交換は、MMNが長寿命秘密をCNと共有することを可能にする。加えて、データメッセージ44および46は、CNとMMNとの間で送信される。
図3は、通信システム12内の従来のフラッド攻撃において目標ネットワークをフラッドさせているデータパケットを示す簡略ブロック図である。MMA10がインタフェース12をスイッチ・オフしMMNが目標ネットワークから消えると攻撃は始まる。同時に、目標ネットワークを必要なだけ長くフラッドさせるため、MMN14は、肯定応答(ACK)メッセージ50および52をインタフェースI1上の各CNに送信し続ける。MMAは、いつでもMMNインタフェースI2を目標ネットワークに再び接続することができ、新規のIPアドレスを自動構成することができ、再び消える前に新規のBUメッセージをCN18および20に送信するために当該新規のIPアドレスを使用できる。
特に各々のインタフェースは、自身の正当なIPアドレスを使用し、適切なシグナリング・メッセージのみを送信するため、上述の攻撃はイングレス・フィルタリングの影響を受けない。第一に、攻撃の主要な特徴は、MMAと関係しているMMN14は、インタフェース上に構成された利用可能アドレス・プール(すなわちHoAおよびCoA)の全体を利用できる。ネットワーク・フラッド攻撃に対する拡張において、いくつかのインタフェースは各々異なるホーム・ネットワークであるとして利用され、当該インタフェースはACKメッセージをCNに送信するために用いられる。
MMNからのフラッド攻撃に対抗するための既存のシステムまたは方法がない。3GPP設定においては、イングレス・フィルタリングは適当であるとみることができる。しかしながら、イングレス・フィルタリングは、攻撃を予防することができない。3GPP設定において、強力な認証を使用することにより、攻撃の後、攻撃者を識別し追跡することは可能である。しかしながら、3GPP設定では、フラッド攻撃を予防することはできない。MMAにより利用されるシグナリング・パターンは完全に正当であり、悪意のある攻撃を開始するために用いるものとして検出することができない。非3GPP設定を利用している通信システムの場合、MMAからの攻撃はさらにはるかに影響されやすい。
したがって、MMAによる攻撃から通信システムを保護するシステム及び方法の必要がある。本発明は、この種のシステム及び方法を提供する。
本発明は、マルチホーム・ネットワークノード、特にモバイル・マルチホーム・ネットワークノード(MMN)からのフラッド攻撃に対して通信システムを保護するシステム及び方法である。攻撃者(MMA)は、あるいは、MMNのユーザまたは”ウイルス”または当該MMN内に何らかの他の機能性を配置されたもの(または何らかの他のエンティティ)であり、当該MMNに”物理的に”接続していないかもしれない。本発明は、検出されたサービス妨害(DoS)のフラッド攻撃からの保護および抑止を提供する。
1つの実施形態において、MMAは1つの単一MMNを管理していると仮定され、MMAの動作はMMAがMMNに特定のプロトコル・アクションを実行させるよう制御することにより実現されるため、用語MMN/MMAは相互に置き換えて利用できる。もちろん、MMAがいくつかのMMNを制御するケースではより深刻となるが、分散サービス妨害(DDoS)攻撃は、被制御MMNの各々に以下の方法を順次に(又は並列に)適用することにより対処することができる。
このように一つの態様では、本発明は、マルチホーム・ネットワークノードの対向ノード(CN)として動作しているネットワークノードへの通信を提供する通信ネットワークをマルチホーム・ネットワークノードからのフラッド攻撃から保護するシステムを目的とする。当該システムは、CNとマルチホーム・ネットワークノードとの間でデータパケットの転送が開始された後の所定時間、マルチホーム・ネットワークノードが到達可能なままであるか否かを決定する手段と、マルチホーム・ネットワークノードがもはや到達可能でないと決定されると、マルチホーム・ネットワークノードに関連するキャッシュ情報をCNから消去する手段と、を含む。マルチホーム・ネットワークノードは、複数のIPアドレスを有するモバイル・マルチホーム・ネットワークノード(MMN)で有り得る。マルチホーム・ネットワークノードが到達可能なままであるか否かを決定する手段は、CNに関連しMMNとの間で到達可能性テストを実行するアクセス・ルータ(AR)で有り得る。マルチホーム・ネットワークノードがもはや到達可能でない場合、ARは、マルチホーム・ネットワークノードに関連するキャッシュ情報を消去するようCNに指示するメッセージをCNに送信する。キャッシュが消去されると、攻撃下にあるネットワークへのデータ転送が効果的に停止される。
別の態様においては、本発明は、マルチホーム・ネットワークノードの対向ノード(CN)として動作しているネットワークノードへの通信を提供する通信ネットワークをマルチホーム・ネットワークノードからのフラッド攻撃から保護する方法を目的とする。当該方法は、マルチホーム・ネットワークノードとCNとの間でデータを転送するステップと、マルチホーム・ネットワークノードが到達可能なままであるか否かを決定するステップと、を含む。マルチホーム・ネットワークノードが到達可能なままであるとき、当該方法は、CNとマルチホーム・ネットワークノードとの間のデータ転送を継続する。マルチホーム・ネットワークノードがもはや到達可能でない場合、当該方法は、マルチホーム・ネットワークノードに関連するキャッシュ情報をCNから消去する。マルチホーム・ネットワークノードは、複数のIPアドレスを有するモバイル・マルチホーム・ネットワークノード(MMN)で有り得る。
さらに別の態様において、本発明は、マルチホーム・ネットワークノードの対向ノード(CN)として動作しているネットワークノードへの通信を提供する通信ネットワークをマルチホーム・ネットワークノードからのフラッド攻撃から保護するためのネットワークの保護ノードを目的とする。当該保護ノードは、CNとマルチホーム・ネットワークノードとの間でデータパケットの転送が開始された後の所定時間、マルチホーム・ネットワークノードが到達可能なままであるか否かを決定する手段と、マルチホーム・ネットワークノードがもはや到達可能でないと決定されると、マルチホーム・ネットワークノードに関連するキャッシュ情報をCNから消去するようCNに指示するメッセージを送信する通信手段と、を含む。好適な実施形態では、当該ネットワークの保護ノードはアクセス・ルータである。
以下のセクションにおいて、図に示される例示的実施形態を参照して本発明が説明される。
図4は、本発明の例示的実施形態のDoS保護を使用する通信システム100の構成要素の簡略ブロック図である。本発明は、通信システム100内のサービス妨害(DoS)攻撃に対する保護を提供する。当該システムは、CN102、CN104およびアクセス・ルータ(AR)106を含む。従来のシナリオのように、MMN108は、CNを介した目標ネットワークの攻撃を試行する。
本発明は、ネットワークの2個のエンドポイント間でMIPv6ルート最適化(RO)モードを動作させ続ける外部ネットワークを能動的に含む。本発明の一実施例では、これらの攻撃に対しての防御に対し、3つの準備が利用される。第1の準備は、MMNのCoA到達可能性テストを当該MMNのアクセス・ルータ(AR)に委任することである。第2の準備は、CN内のキャッシュ情報を消去するようにCNに指示するか、または目標ネットワークにデータ・フローを維持するために用いられる新規のシグナリング・メッセージを導入し、それによりフラッドを停止する。第3の準備は、上述の2つのステップがネットワークに実装されていることをMMAに気付かせることである。これにより、MMNに対策が適切であることに気付かせることにより、攻撃に対する抑止を提供する。
第1の準備において、図1のプレフィックス到達可能性テストのCoTI/CoTメッセージと置換する、MMN108とAR106との間でCoA到達可能性テスト110が実行される。
本発明の第2の準備において、主要な目的は、図1〜3に示されるフラッド攻撃からの外部ネットワークの防御能力を増大させることである。この目的を達成するために、Opt1SENDプロトコルを動作させることにより得られるMMNとそのARとの間の信頼が、ARとCNとの間の信頼関係を構築するために利用され、また、MMNとも強く関連付けられる。MMNは攻撃者で有り得ると理解されなければならない。このように、目的は、MMNからCNへ”移行する”信頼を生成することなく、むしろ逆方向のものである。このように、MMNが実際に攻撃者である場合、利用される主要な信頼はAR108とCN102および104と間である。この信頼は、特定のMMN108と関連し得る。
CNとそのARとの信頼関係により、AR106は明示的かつ安全に、ネットワークに対してフラッド攻撃を開始するの使用された任意のCoAのバインディング・キャッシュ・エントリ(BCE)120からの消去をCNに要求することが可能になる。このために、ARは、好ましくは、MMNのHoAを含む”バインディング消去要求”(BFR)メッセージ112と呼ばれる新規のモビリティ・シグナリング・メッセージをCNに送信する。AR106がMMN108を適切に認証し、かつARが信頼される場合、発見された攻撃をMMNに関連付けることができ、一般に、CNは、攻撃下の特定のMMNへの消去メッセージに関連付け得る。
有効なBFRメッセージ112を受信するとすぐに、CNは、BCE120からMMNの対応エントリを削除し、MMN108の全ての進行中のセッションを閉じる。加えて、各々のCNは、好ましくは、バインディング消去応答(BFA)メッセージ122を送信することにより、AR106に応答する。BFAメッセージは、好ましくは、ARによって使用されるキーで認証される。
本発明の第3の準備は、通信システム10において使用されている保護手段(すなわちその最初の2つの準備)を完全に知っているMMAにより制御されるMMN108を生成することである。外部ネットワーク規則についてのMMAへの警告は、OptiSENDプロトコルに、OMIPv6プロトコルを動作させることにより得られた長寿命共用秘密(Ks)のハッシュをARと共有することをMMNに明示的に要求する拡張を加えることによって好ましくは提供される。OptiSENDプロトコルの拡張は、ARにより周期的に送信されるルータ広告(RtAdv)メッセージ内の1つの新規ビットの設定を含み得る。また、通信システムに保護手段が使用されているということのMMAへの警告にSENDプロトコルを利用することも出来るは、
新規の共用キー(Kcと呼ぶ)により、AR106およびCNは、プレフィックス到達可能性テストメッセージ(すなわち、Kc有効性の暗示的テスト)を認証し、上述のようにBFRおよびBFAメッセージを認証することが可能になる。
図5は、本発明の例示的実施形態においてMMNからの攻撃に対して防御する際のメッセージのフローを示すシグナリング図である。190では、データは、CN102および104とMMAのMMN108との間で転送される。CNがパケットを転送している間、200では、AR106とMMN108との間で到達可能性テスト110が実行される。202では、ARは、非到達可能性検出手順をトリガする。MMNはネットワークをフラッドさせる前にインタフェースをスイッチ・オフし、ARによる非到達可能性検出をトリガする点に留意する必要がある。非到達可能性検出手順は、MMNがリンク内で到達できないことをARに示す。206では、AR106は所定の期間待機する。所定の期間が満了すると、208では、ARは、キャッシュに格納されたアドレスの各CNにBFRメッセージ112を送信する。望ましくは、全てのBFRメッセージはKcにより認証される。待機期間の間に、MMNがちょうど他の有り得る要因(例えばリンク上のノイズなど)を原因として到達範囲外のとき、ARは受信したデータパケットをキャッシュメモリに格納できる。
BFRメッセージ208を受信するとすぐに、210では、CN102および/または104は、メッセージに含まれるCoAがCNのBCE120にすでに格納されるかどうかを判定する。そして、212では、CNは、対応するKcを読み出し認証を確認する。214では、CNは、CoAに対応するエントリを消去しセッションを閉じる。ステップの終了後、フラッド攻撃は停止する。加えて、全てのCNはBCEから攻撃者のエントリを削除する。CNは、同じHoAを有するノードから新規の接続要求を受け入れるために、指定ポリシーを提供できる。MMNの対応するエントリを消去した後に、216では、各CNは、好ましくはBFAメッセージ122をAR106に送信する。BFAメッセージはKcにより認証され得る。
図6Aおよび図6Bは、MMNからの攻撃に対して防御する際の本発明の方法の例示的実施形態のステップを示す部分フローチャートである。図4、図5、図6Aおよび図6Bを参照して方法を説明した。当該方法は、データがCN102および104とMMN108(そして、MMA110)との間で転送されるステップ300から始まる。次に、ステップ302で、AR106とMMN108との間で到達可能性テスト110が実行される。当該方法は、それから、MMNが到達しない(すなわち、ARはMMNとの間でCoA到達可能性テスト110を実行することができない)と決定するステップ304へ進む。MMNが到達可能と決定される場合、当該方法は、データがCNからMMNまで転送され続けるステップ300に戻る。
しかしながら、ステップ304で、MMNが到達不能と決定される場合、当該方法は、ARが非到達可能性検出手順をトリガするステップ306へ進む。攻撃の間、MMNはネットワークをフラッドさせる前にインタフェースをスイッチ・オフし、それはARによる非到達可能性検出をトリガする。非到達可能性検出手順は、MMNがリンクに到達できないことをARに示す。待機期間の間に、MMNがちょうど他の有り得る要因(例えばリンク上のノイズなど)を原因として到達範囲外のとき、ARは受信したデータパケットをキャッシュメモリに格納できる。次にステップ308では、AR106は所定の期間待機する。所定の期間が満了すると、当該方法はステップ310へ進む。ここで、再びMMNが到達可能であるか否かが決定される。MMNが到達可能(すなわち到達可能性テスト110に成功)と決定される場合、当該方法はデータが転送され続けるステップ300に戻る。しかしながら、ステップ310で、MMNがいまだに到達不可能である場合、当該方法は、図6Bに進み、ARがキャッシュに格納されるアドレスの各CNにBFRメッセージ112を送信するステップ312へ進む。望ましくは、全てのBFRメッセージはKcにより認証される。
次に、ステップ314では、BFRメッセージ122を受信するとすぐに、CN102および/または104は、メッセージに含まれるCoAがCNのBCE120にすでに格納されているか否かを決定する。それから、当該方法は、CNが対応するKcを読み出し認証を確認するステップ316へ進む。次に、ステップ318では、CNは、CoAに対応するエントリを消去してセッションを閉じる。このステップ終了後、フラッド攻撃は停止する。加えて、全てのCNは、BCEから攻撃者のエントリを削除する。CNは、同じHoAを有するノードから新規の接続要求を受け入れるために、指定ポリシーを提供できる。当該方法は、MMNの対応するエントリを消去した後に、各CNは、好ましくはBFAメッセージ216をAR106に送信するステップ320へ進む。BFAメッセージはKcにより認証され得る。
本発明は、検出されたDoSに対する発作の予防および抑止を提供する。本発明は、攻撃に対抗するために、準備の1つまたは全てを利用できる。具体的には、本発明の抑止構成要素は、本発明と共に実施され得または実施されない。
もちろん、本発明は、本発明の本質的特性から逸脱しない範囲で、本明細書に記載したものとは別の特定の方法で実行され得る。従って、本実施例は、例示的なものであり限定的なものではないことが考慮され、添付の請求の範囲の意味および等価の範囲内の全ての変更は本明細書に包含されることを意図している。
Claims (15)
- マルチホーム・ネットワークノードからのフラッド攻撃から通信ネットワークを保護するためのアクセス・ルータにおける方法であって、該アクセス・ルータは前記マルチホーム・ネットワークノードと該マルチホーム・ネットワークノードの対向ノード(CN)として動作しているネットワークノードとの間で通信を提供しており、該方法は、
前記マルチホーム・ネットワークノードと前記CNとの間でデータを転送するステップと、
前記マルチホーム・ネットワークノードが到達可能なままであるか否かを決定するステップと、
前記マルチホーム・ネットワークノードが到達可能なままであるとき、前記CNと前記マルチホーム・ネットワークノードとの間のデータ転送を継続するステップと、
前記マルチホーム・ネットワークノードがもはや到達可能でないと決定されると、前記マルチホーム・ネットワークノードに関連するキャッシュ情報を消去するよう前記CNに指示するステップと、
を含むことを特徴とする方法。 - 前記マルチホーム・ネットワークノードは、モバイル・マルチホーム・ネットワークノード(MMN)であり、前記マルチホーム・ネットワークノードが到達可能なままであるか否かを決定する前記ステップは、前記アクセス・ルータと前記MMNとの間の気付アドレス(CoA)到達可能性テストを実行するステップを含むことを特徴とする請求項1に記載の方法。
- キャッシュ情報を消去するよう前記CNに指示する前記ステップは、前記CNのバインディング・キャッシュ・エントリを消去するよう前記CNに指示するステップを含むことを特徴とする請求項1に記載の方法。
- 前記通信システム内でサービス妨害保護について前記MMNに警告するステップを更に含み、前記サービス妨害保護について前記MMNに警告する前記ステップは、OptiSENDプロトコル・メッセージまたはSENDプロトコル・メッセージに前記MMNに警告するための拡張を追加するステップを含むことを特徴とする請求項2に記載の方法。
- マルチホーム・ネットワークノードからのフラッド攻撃から通信ネットワークを保護するためのアクセス・ルータであって、該アクセス・ルータは前記マルチホーム・ネットワークノードと該マルチホーム・ネットワークノードの対向ノード(CN)として動作しているネットワークノードとの間で通信を提供しており、該アクセス・ルータは、
前記マルチホーム・ネットワークノードと前記CNとの間でデータを転送する手段と、
データ転送が開始された後の所定時間、前記マルチホーム・ネットワークノードが到達可能なままであるか否かを決定する手段と、
前記マルチホーム・ネットワークノードがもはや到達可能でないと決定されると、前記マルチホーム・ネットワークノードに関連するキャッシュ情報を消去するよう前記CNに指示する手段と、
を含むことを特徴とするアクセス・ルータ。 - 前記マルチホーム・ネットワークノードは、複数のIPアドレスを有するモバイル・マルチホーム・ネットワークノード(MMN)であることを特徴とする請求項5に記載のアクセス・ルータ。
- 前記アクセス・ルータは、前記マルチホーム・ネットワークノードがもはや到達可能でないと決定されると、前記マルチホーム・ネットワークノードに関連するキャッシュ情報を消去するよう前記CNに指示するメッセージを前記CNに送信するのに適していることを特徴とする請求項5に記載のアクセス・ルータ。
- 前記アクセス・ルータは、前記アクセス・ルータと前記マルチホーム・ネットワークノードとの間の気付アドレス(CoA)到達可能性テストを実行することにより、前記マルチホーム・ネットワークノードが到達可能なままであるか否かを決定するのに適していることを特徴とする請求項7に記載のアクセス・ルータ。
- キャッシュ情報を消去する前記メッセージは、前記MMNに関連する任意のアドレスを前記CNに消去させるためのバインディング消去要求であることを特徴とする請求項7に記載のアクセス・ルータ。
- 前記CNは、前記バインディング消去要求メッセージを認証し、該CNが該メッセージを有効なメッセージとして認証する場合、該CNからキャッシュ情報を消去するのに適していることを特徴とする請求項9に記載のアクセス・ルータ。
- 前記通信システム内でサービス妨害保護について前記MMNに通知する手段を更に含むことを特徴とする請求項5に記載のアクセス・ルータ。
- マルチホーム・ネットワークノードからのフラッド攻撃から通信ネットワークを保護するための保護ノードであって、該保護ノードは前記マルチホーム・ネットワークノードと該マルチホーム・ネットワークノードの対向ノード(CN)として動作しているネットワークノードとの間で通信を提供しており、該保護ノードは、
前記マルチホーム・ネットワークノードと前記CNとの間でデータを転送する手段と、
データ転送が開始された後の所定時間、前記マルチホーム・ネットワークノードが到達可能なままであるか否かを決定する手段と、
前記マルチホーム・ネットワークノードがもはや到達可能でないと決定されると、前記マルチホーム・ネットワークノードに関連するキャッシュ情報を消去するよう前記CNに指示するメッセージを前記CNに送信する通信手段と、
を含むことを特徴とする保護ノード。 - 前記マルチホーム・ネットワークノードは、複数のIPアドレスを有するモバイル・マルチホーム・ネットワークノード(MMN)であり、前記攻撃は、前記MMNのユーザまたは該MMN内に配置された機能を有するエンティティであるモバイル・マルチホーム・ネットワーク・アタッカー(MMA)により制御されるか、あるいは前記MMNの制御下にあることを特徴とする請求項12に記載の保護ノード。
- 前記保護ノードは、アクセス・ルータであることを特徴とする請求項12に記載の保護ノード。
- 前記通信手段は、前記MMNに関連する任意のアドレスを消去するよう前記CNに指示するためのバインディング消去要求を送信する手段と、OptiSENDプロトコル・メッセージまたはSENDプロトコル・メッセージに前記MMNに警告するための拡張を追加する手段を含み前記通信ネットワーク内でサービス妨害保護について前記MMNに通知する手段と、を含むことを特徴とする請求項13に記載の保護ノード。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2007/001999 WO2009010814A1 (en) | 2007-07-13 | 2007-07-13 | A system and method of providing denial of service protection in a telecommunication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010533403A JP2010533403A (ja) | 2010-10-21 |
| JP5103524B2 true JP5103524B2 (ja) | 2012-12-19 |
Family
ID=39734976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010515609A Expired - Fee Related JP5103524B2 (ja) | 2007-07-13 | 2007-07-13 | 通信システムのサービス妨害からの保護を提供するシステム及び方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8934419B2 (ja) |
| EP (1) | EP2177007B1 (ja) |
| JP (1) | JP5103524B2 (ja) |
| CN (1) | CN101743734B (ja) |
| AT (1) | ATE493827T1 (ja) |
| DE (1) | DE602007011675D1 (ja) |
| ES (1) | ES2357751T3 (ja) |
| WO (1) | WO2009010814A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017677B (zh) | 2008-04-11 | 2014-12-10 | 艾利森电话股份有限公司 | 通过非3gpp接入网的接入 |
| US8942193B2 (en) * | 2011-04-08 | 2015-01-27 | Blackberry Limited | Routing different subsets of an internet protocol flow over different points of attachment |
| CN106453539B (zh) * | 2016-09-28 | 2019-04-05 | 广州市百果园网络科技有限公司 | 一种处理节点注册通知的方法和系统 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7353027B2 (en) * | 2000-10-18 | 2008-04-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Seamless handoff in mobile IP |
| MXPA04012710A (es) * | 2002-07-15 | 2005-08-15 | Siemens Ag | Optimizacion de agente local para manejar ip moviles y trayectorias conmutadas de etiqueta estatica. |
| JP2004153316A (ja) * | 2002-10-28 | 2004-05-27 | Ntt Docomo Inc | ハンドオーバ制御方法、移動通信システム及び制御装置 |
| JP2005072685A (ja) * | 2003-08-27 | 2005-03-17 | Ntt Docomo Inc | ルータ装置及びその装置における経路情報の配布方法並びに通信システム |
| US7539159B2 (en) * | 2004-04-07 | 2009-05-26 | Nokia Corporation | Maintaining reachability of a mobile node |
| GB2415328B (en) * | 2004-06-16 | 2006-10-04 | Matsushita Electric Ind Co Ltd | Method for home agent location |
| EP1766929B1 (en) * | 2004-07-09 | 2011-04-20 | Panasonic Corporation | Network mobility management method and corresponding apparatusses |
| US7843871B2 (en) * | 2004-12-21 | 2010-11-30 | International Business Machines Corporation | Method of reestablishing communication by a mobile node upon recovery from an abrupt shut down |
| US20060251044A1 (en) * | 2005-04-22 | 2006-11-09 | Wassim Haddad | Mobility support for multihome nodes |
| EP1764970A1 (en) * | 2005-09-19 | 2007-03-21 | Matsushita Electric Industrial Co., Ltd. | Multiple interface mobile node with simultaneous home- and foreign network connection |
| KR100739811B1 (ko) * | 2005-10-26 | 2007-07-13 | 삼성전자주식회사 | 인터넷 프로토콜 버전 4만 제공하는 네트워크에서 듀얼모바일 노드의 경로 최적화 방법 |
| EP1804463B1 (en) * | 2005-12-29 | 2009-04-08 | Samsung Electronics Co., Ltd. | Method for route optimization with dual mobile IPv4 node in IPv6-only network |
| EP1826958A1 (en) * | 2006-02-28 | 2007-08-29 | Matsushita Electric Industrial Co., Ltd. | Route optimization with location privacy support |
| ATE539536T1 (de) * | 2006-05-29 | 2012-01-15 | Panasonic Corp | Verfahren und vorrichtung für gleichzeitige ortsprivatsphäre und routenoptimierung für kommunikationssitzungen |
| US8750303B2 (en) * | 2006-06-12 | 2014-06-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobility signaling delegation |
| US20090232024A1 (en) * | 2006-06-30 | 2009-09-17 | Panasonic Corporation | Node discovery method for providing optimal path preserving location privacy |
| US7962553B2 (en) * | 2006-07-31 | 2011-06-14 | Hewlett-Packard Development Company, L.P. | Method and system for distribution of maintenance tasks in a multiprocessor computer system |
| JP2010507301A (ja) * | 2006-10-20 | 2010-03-04 | パナソニック株式会社 | ネットワーク・ベース及びホスト・ベースの混合モビリティ管理における方法 |
| CN100471161C (zh) * | 2006-11-24 | 2009-03-18 | 清华大学 | 使用多点接入优化IPv4/IPv6应用互操作的方法 |
| KR100834579B1 (ko) * | 2006-12-08 | 2008-06-02 | 한국전자통신연구원 | 이종 망 사이의 복수 인터넷 프로토콜 접속을 허용하는인터넷 프로토콜 핸드오프 처리 방법 및 시스템 |
| US8189607B2 (en) * | 2007-03-16 | 2012-05-29 | Telefonaktiebolaget L M Ericsson (Publ) | Interface selection in a moving network |
| JP4990985B2 (ja) * | 2007-03-23 | 2012-08-01 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | プロキシ・モバイルipルーティング |
| US20080240020A1 (en) * | 2007-03-29 | 2008-10-02 | Nokia Corporation | Routing support in heterogeneous communications networks |
| US8676202B2 (en) * | 2007-11-02 | 2014-03-18 | Panasonic Corporation | Mobile terminal, network node, and packet transfer management node |
-
2007
- 2007-07-13 DE DE602007011675T patent/DE602007011675D1/de active Active
- 2007-07-13 CN CN200780053774.9A patent/CN101743734B/zh not_active Expired - Fee Related
- 2007-07-13 ES ES07804610T patent/ES2357751T3/es active Active
- 2007-07-13 AT AT07804610T patent/ATE493827T1/de not_active IP Right Cessation
- 2007-07-13 US US12/668,935 patent/US8934419B2/en active Active
- 2007-07-13 EP EP07804610A patent/EP2177007B1/en not_active Not-in-force
- 2007-07-13 WO PCT/IB2007/001999 patent/WO2009010814A1/en active Application Filing
- 2007-07-13 JP JP2010515609A patent/JP5103524B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| ATE493827T1 (de) | 2011-01-15 |
| ES2357751T3 (es) | 2011-04-29 |
| EP2177007A1 (en) | 2010-04-21 |
| EP2177007B1 (en) | 2010-12-29 |
| JP2010533403A (ja) | 2010-10-21 |
| CN101743734B (zh) | 2013-03-27 |
| CN101743734A (zh) | 2010-06-16 |
| US8934419B2 (en) | 2015-01-13 |
| WO2009010814A1 (en) | 2009-01-22 |
| DE602007011675D1 (de) | 2011-02-10 |
| US20100238874A1 (en) | 2010-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1636964B1 (en) | Ip mobility | |
| Nikander et al. | Mobile IP version 6 route optimization security design background | |
| Johnson et al. | Mobility support in IPv6 | |
| US8918522B2 (en) | Re-establishment of a security association | |
| JP2010507301A (ja) | ネットワーク・ベース及びホスト・ベースの混合モビリティ管理における方法 | |
| EP1926277A1 (en) | Method for mitigating denial of service attacks against a home agent | |
| US8413243B2 (en) | Method and apparatus for use in a communications network | |
| JP2010527549A (ja) | ネットワーク・ベースおよびホスト・ベース混合型のモビリティ管理における方法 | |
| JP5250634B2 (ja) | 移動通信ネットワークにおいて使用するための方法及び装置 | |
| Nordmark et al. | Threats relating to IPv6 multihoming solutions | |
| Nikander et al. | Mobile IP version 6 (MIPv6) route optimization security design | |
| Aura et al. | Designing the mobile IPv6 security protocol | |
| JP5103524B2 (ja) | 通信システムのサービス妨害からの保護を提供するシステム及び方法 | |
| Li et al. | Improved Security Mechanism for Mobile IPv6. | |
| EP1914955A1 (en) | Detection of a compromised proxy mobility management client | |
| Thing et al. | Traffic redirection attack protection system (TRAPS) | |
| Islam | Enhanced security in Mobile IP communication | |
| Hampel et al. | Lightweight security solution for Host-based mobility & multi-homing protocols | |
| Durr et al. | An analysis of security threats to mobile IPv6 | |
| Nikander et al. | IP Routing for Wireless/Mobile Hosts (mobileip) WG Allison Mankin INTERNET-DRAFT Basavaraj Patil Date: 05 November 2001 Dan Harkins Expires: May 2001 Erik Nordmark | |
| Montenegro et al. | Network Working Group P. Nikander Request for Comments: 4225 J. Arkko Category: Informational Ericsson Research NomadicLab T. Aura Microsoft Research | |
| Nordmark et al. | RFC 4218: Threats Relating to IPv6 Multihoming Solutions | |
| Liu et al. | Local key exchange for mobile IPv6 local binding security association | |
| Arkko | IETF Mobile IP Working Group D. Johnson Internet-Draft Rice University Obsoletes: 3775 (if approved) C. Perkins (Ed.) Expires: January 14, 2010 WiChorus Inc. | |
| Vogt et al. | RFC 4832: Security Threats to Network-Based Localized Mobility Management (NETLMM) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120426 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120514 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120814 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120907 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121001 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151005 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5103524 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |