JP5574698B2 - 通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品 - Google Patents
通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品 Download PDFInfo
- Publication number
- JP5574698B2 JP5574698B2 JP2009292864A JP2009292864A JP5574698B2 JP 5574698 B2 JP5574698 B2 JP 5574698B2 JP 2009292864 A JP2009292864 A JP 2009292864A JP 2009292864 A JP2009292864 A JP 2009292864A JP 5574698 B2 JP5574698 B2 JP 5574698B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- message
- registration
- secret parameter
- network function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、包括的には、通信ネットワークに関し、より詳細には、これらのタイプのネットワークにおいて行われる可能性のあるいくつかの攻撃を抑制することに関する。
いくつかの通信ネットワークは、マルチメディア通信セッション(インターネットによる音声呼及びビデオ呼(voice and video calls)等)のセットアップ及びティアダウンを可能にしている。これらのタイプの通信は、一般に、セッション開始プロトコル(SIP)プロトコルに基づいている。
該方法は、端末レベルにおいて、
a)登録要求メッセージをネットワーク機能へ送信するステップであって、該登録要求メッセージは、端末に関連付けられた秘密パラメータを示す、登録要求メッセージをネットワーク機能へ送信するステップと、
b)登録の肯定応答を受信するステップと、
を含み、
秘密パラメータに基づいて少なくともいくつかの受信メッセージが照査(control)される、方法を提案する。
上記のタイプのメッセージを受信するステップと、
上記メッセージが秘密パラメータを含んでいない場合、受信メッセージを廃棄するステップと、
をさらに含むことができる。
フラッド攻撃を検出するステップと、
端末の、その秘密パラメータについての登録を抹消するために、ネットワーク機能へ登録抹消要求メッセージを送信するステップと、
をさらに含む。
上記方法は、端末レベルにおいて、
/1/ 上記タイプのメッセージを受信するステップと、
/2/ 上記メッセージが秘密パラメータを含んでいない場合、受信メッセージを廃棄するステップと、
をさらに含んでもよく、
フラッド攻撃は、ステップ/2/において廃棄される受信メッセージを所与の個数受信した際に検出される。
a)登録要求メッセージを受信するステップであって、該登録要求メッセージは、秘密パラメータを示す、登録要求メッセージを受信するステップと、
b)秘密パラメータを端末に関連付けて記憶すると共に、端末へ登録の肯定応答を送信するステップと、
を含み、
端末に宛てられたメッセージに上記秘密パラメータが取り入れられる、方法を提供する。
c)端末に宛てられたメッセージを受信するステップと、
d)端末に関連付けられた秘密パラメータをメッセージに取り入れるステップと、
e)ステップb)において取得されたメッセージを端末へ送信するステップと、
を含むことができる。
図1は、本発明の一実施形態による通信ネットワークを示す。
−ランダム部分:11ff04d59d394bd5
−物理アドレス:192.0.2.4:5060
を示す。
‐上位レイヤから受信され、下位レイヤを通じてネットワーク機能へ送信される登録要求メッセージに上記秘密パラメータを取り入れるように構成されている登録ブロック411。 ‐処理ブロック413であって、
端末によって受信されたメッセージが秘密パラメータを含むか否かを照査するように構成されている照査ユニット405、及び
上記メッセージを上位レイヤへ送信する前に、上記メッセージにおいて、秘密パラメータを上記関連付けられた公開パラメータに置き換えるように構成されている回復ユニット406、
を備える処理ブロック413。
100: INVITE要求フラッド
101: ACK要求フラッド
102: BYE要求フラッド
103: CANCEL要求フラッド
104: REGISTER要求フラッド
‐登録要求メッセージ22をネットワーク機能へ送信し、登録の肯定応答24を受信するように構成されているインターフェースユニット131。登録要求メッセージは、該端末に関連付けられた秘密パラメータを示す。
‐上記秘密パラメータに基づいて、少なくともいくつかの受信メッセージを照査するように構成されている照査ユニット132。
‐端末から登録要求メッセージを受信でき、登録の肯定応答を送信できるインターフェースユニット611。上記登録要求メッセージは秘密パラメータを示す。
‐秘密パラメータを端末に関連付けて記憶するように構成されているメモリ612。
‐端末に宛てられたメッセージ31を受信するように構成されている受信インターフェース621。
‐端末に関連付けられた秘密パラメータを上記メッセージ31に取り入れることによって、変更されたメッセージ33を提供するように構成されている変更ユニット622。
‐変調されたメッセージ33を端末へ送信するように構成されている送信インターフェース623。
Claims (12)
- 通信サービスに関するネットワーク機能(10)を備えるネットワーク(11)において少なくとも1つの端末(13)に提供される前記通信サービスを管理する方法であって、
前記方法は、端末レベルにおいて、
a)登録要求メッセージ(22)を前記ネットワーク機能へ送信するステップであって、前記登録要求メッセージは、前記端末に関連付けられた秘密パラメータを示す、登録要求メッセージ(22)を前記ネットワーク機能へ送信するステップと、
b)登録の肯定応答(24)を受信するステップと、
を含み、
前記ネットワーク機能は、前記端末に宛てられたメッセージに前記秘密パラメータを取り入れ、
前記端末は、前記秘密パラメータに基づいて少なくともいくつかの受信メッセージを照査し、
前記方法は、前記端末レベルにおいて、
‐フラッド攻撃を検出するステップと、
‐前記端末の、前記秘密パラメータについての登録を抹消するために、前記ネットワーク機能(10)へ登録抹消要求メッセージ(51)を送信するステップと、
をさらに含む、方法。 - 前記端末に宛てられた少なくとも一タイプのメッセージが、前記ネットワーク機能(10)を通過し、
前記方法は、前記端末レベルにおいて、
/1/ 前記タイプのメッセージ(33)を受信するステップと、
/2/ 前記メッセージが前記秘密パラメータを含んでいない場合(34)、前記受信メッセージを廃棄するステップと、
をさらに含む、請求項1に記載の通信サービスを管理する方法。 - 前記サービスは、前記ネットワークにおいてセッション開始プロトコルに基づいて提供され、
前記秘密パラメータは、要求メッセージのSIP contactフィールドに含まれると期待される、請求項2に記載のサービスを管理する方法。 - 前記端末に宛てられ、前記ネットワーク機能を通過するメッセージの前記タイプは、SIP要求メッセージタイプであり、
前記端末は、最初の4バイトが大文字である場合にのみ前記ステップ/2/を実行する、請求項3に記載のサービスを管理する方法。 - 登録抹消要求メッセージ(51)は、前記フラッド攻撃の発信元に関する情報及び/又はフラッド攻撃の原因に関する情報を示す、請求項1に記載のサービスを管理する方法。
- 前記端末に宛てられた少なくとも一タイプのメッセージが、前記ネットワーク機能(10)を通過し、
前記方法は、前記端末レベルにおいて、
/1/前記タイプのメッセージ(33)を受信するステップと、
/2/前記メッセージが前記秘密パラメータを含んでいない場合(34)、前記受信メッセージを廃棄するステップと、
をさらに含み、
フラッド攻撃は、前記ステップ/2/において廃棄される受信メッセージを所与の個数受信した際に検出される、請求項1に記載のサービスを管理する方法。 - 通信サービスに関するネットワーク機能(10)を備えるネットワークにおいて少なくとも1つの端末(13)に提供される前記通信サービスを管理する方法であって、
前記方法は、前記ネットワーク機能レベルにおいて、
a)前記端末から登録要求メッセージ(22)を受信するステップであって、前記登録要求メッセージは、秘密パラメータを示す、前記端末から登録要求メッセージ(22)を受信するステップと、
b)前記秘密パラメータを前記端末に関連付けて記憶すると共に、前記端末へ登録の肯定応答(24)を送信するステップと、
を含み、
前記ネットワーク機能は、前記端末に宛てられたメッセージに前記秘密パラメータを取り入れ、
前記端末によるフラッド攻撃が検出された際に、前記方法は、
‐前記端末の、前記秘密パラメータについての登録を抹消するために、登録抹消要求メッセージ(51)を受信するステップ
をさらに含む、方法。 - 通信サービスに関するネットワーク機能(10)を備えるネットワーク(11)において提供される前記通信サービスを使用するように構成されている端末(13)であって、
前記ネットワーク機能は、前記端末に宛てられたメッセージに前記秘密パラメータを取り入れ、
前記端末は、
‐登録要求メッセージ(22)を前記ネットワーク機能へ送信し、登録の肯定応答(24)を受信するように構成されているインターフェースユニット(131)であって、前記登録要求メッセージは、前記端末に関連付けられた秘密パラメータを示す、インターフェースユニット(131)と、
‐前記秘密パラメータに基づいて少なくともいくつかの受信メッセージを照査するように構成されている照査ユニット(132)と、
を備え、
前記端末は、さらに、
‐フラッド攻撃を検出するように構成されている検出ユニット
を備え、
前記インターフェースユニットは、さらに、前記端末の、前記秘密パラメータについての登録を抹消するために、前記ネットワーク機能(10)へ登録抹消要求メッセージ(51)を送信するように構成される、方法。 - 前記端末に宛てられた少なくとも一タイプのメッセージが、前記ネットワーク機能(10)を通過し、
前記インターフェースユニット(131)は、前記タイプのメッセージ(33)を受信し、前記メッセージが前記秘密パラメータを含まない場合には、前記メッセージを廃棄するように構成されている、請求項8に記載の端末。 - ネットワーク(11)において提供される通信サービスについて端末(13)を登録するように構成されている登録デバイス(61)であって、
前記登録デバイスは、
‐前記端末から登録要求メッセージ(22)を受信でき、登録の肯定応答(24)を送信できるインターフェースユニット(611)であって、前記登録要求メッセージは、秘密パラメータを示す、インターフェースユニット(611)と、
‐前記秘密パラメータを前記端末に関連付けて記憶するように構成されているメモリ(612)と、
を備え、
前記メモリは、登録抹消要求メッセージ(51)が受信された際に、前記端末の、前記秘密パラメータについての登録を抹消するように構成される、登録デバイス。 - 請求項10に記載の登録デバイス(61)を備えるネットワーク(11)におけるプロキシデバイス(62)であって、
前記プロキシデバイスは、前記登録デバイスと協働し、
前記プロキシデバイスは、
‐前記端末(13)に宛てられたメッセージ(31)を受信するように構成されている受信インターフェース(622)と、
‐前記端末に関連付けられた秘密パラメータを前記メッセージ(31)に取り入れることによって、変更されたメッセージ(33)を提供するように構成されている変更ユニット(623)と、
‐前記変更されたメッセージ(33)を前記端末へ送信するように構成されている送信インターフェース(621)と、
を備え、
前記受信インターフェースは、さらに、前記端末の、前記秘密パラメータについての登録を抹消するために、登録抹消要求メッセージ(51)を受信するように構成される、プロキシデバイス。 - 請求項8に記載の端末(13)用に適合されているプロトコルスタックであって、
前記プロトコルスタックは、下位レイヤ(43)と上位レイヤ(41)との間に保護レイヤ(42)を備え、
バインディングテーブル(412)が、秘密パラメータと公開パラメータとの関連付けを記憶するように構成されており、
前記保護レイヤ(42)は、
‐前記上位レイヤから受信され、前記下位レイヤを通じてネットワーク機能へ送信される登録要求メッセージに前記秘密パラメータを取り入れるように構成されている登録ブロック(411)と、
‐処理ブロック(413)であって、
‐前記端末によって受信されたメッセージが前記秘密パラメータを含むか否かを照査するように構成されている照査ユニット(405)、及び
‐前記メッセージを前記上位レイヤへ送信する前に、前記メッセージにおいて、前記秘密パラメータを前記関連付けられた公開パラメータに置き換えるように構成されている回復ユニット(406)、
を備える処理ブロック(413)と、
を備える、プロトコルスタック。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP08306019.4 | 2008-12-24 | ||
EP08306019A EP2202938A1 (en) | 2008-12-24 | 2008-12-24 | Protection against flooding attacks in a network |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010161769A JP2010161769A (ja) | 2010-07-22 |
JP5574698B2 true JP5574698B2 (ja) | 2014-08-20 |
Family
ID=40790413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009292864A Expired - Fee Related JP5574698B2 (ja) | 2008-12-24 | 2009-12-24 | 通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品 |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP2202938A1 (ja) |
JP (1) | JP5574698B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546524B (zh) * | 2010-12-09 | 2014-09-03 | 中国科学院沈阳计算技术研究所有限公司 | 一种针对sip单源洪泛攻击的检测方法和sip入侵检测系统 |
US9800589B1 (en) * | 2013-08-22 | 2017-10-24 | Sonus Networks, Inc. | Methods and apparatus for detecting malicious attacks |
CN108390868B (zh) * | 2018-02-08 | 2020-11-13 | 中国人民解放军国防科技大学 | 一种基于http缓存记录的隐蔽通信方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6865681B2 (en) * | 2000-12-29 | 2005-03-08 | Nokia Mobile Phones Ltd. | VoIP terminal security module, SIP stack with security manager, system and security methods |
US7412521B2 (en) | 2003-03-12 | 2008-08-12 | Microsoft Corporation | End-point identifiers in SIP |
US7590122B2 (en) * | 2003-05-16 | 2009-09-15 | Nortel Networks Limited | Method and apparatus for session control |
JP4778282B2 (ja) * | 2005-09-16 | 2011-09-21 | 日本電気株式会社 | 通信接続方法及びシステム並びにプログラム |
JP4587229B2 (ja) * | 2007-04-12 | 2010-11-24 | Necアクセステクニカ株式会社 | ファクシミリデータ送受信システム、ファクシミリ装置及びファクシミリデータ送受信方法 |
JP4883807B2 (ja) * | 2008-01-08 | 2012-02-22 | Kddi株式会社 | 識別子に基づいてデータパケットを中継する中継方法、中継装置及びプログラム |
-
2008
- 2008-12-24 EP EP08306019A patent/EP2202938A1/en not_active Withdrawn
-
2009
- 2009-12-24 JP JP2009292864A patent/JP5574698B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010161769A (ja) | 2010-07-22 |
EP2202938A1 (en) | 2010-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9641561B2 (en) | Method and system for managing a SIP server | |
Chen | Detecting DoS attacks on SIP systems | |
Sisalem et al. | Denial of service attacks targeting a SIP VoIP infrastructure: attack scenarios and prevention mechanisms | |
US7568224B1 (en) | Authentication of SIP and RTP traffic | |
US8984627B2 (en) | Network security management | |
US7653938B1 (en) | Efficient cookie generator | |
US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
JP5313395B2 (ja) | Sipメッセージに対する信用を決定するシステムおよび方法 | |
US20070209067A1 (en) | System and method for providing security for SIP-based communications | |
US8719926B2 (en) | Denial of service detection and prevention using dialog level filtering | |
US8424086B2 (en) | Suppression of malicious SIP messages using the resource priority header | |
EP1533977A1 (en) | Detection of denial of service attacks against SIP (session initiation protocol) elements | |
US20080285468A1 (en) | Method and computer-readable medium for detecting abnormal packet in VoIP | |
FR2909823A1 (fr) | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication | |
US9037729B2 (en) | SIP server overload control | |
JP5574698B2 (ja) | 通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品 | |
KR100852145B1 (ko) | SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법 | |
Zhang et al. | Blocking attacks on SIP VoIP proxies caused by external processing | |
Hussain et al. | Strategy based proxy to secure user agent from flooding attack in SIP | |
Conner et al. | Protecting SIP proxy servers from ringing-based denial-of-service attacks | |
Bansal et al. | Mitigation of flooding based denial of service attack against session initiation protocol based VoIP system | |
Collier | Basic vulnerability issues for SIP security | |
WO2007095726A1 (en) | System and method for providing security for sip-based communications | |
Hussain et al. | A lightweight countermeasure to cope with flooding attacks against session initiation protocol | |
Qiu | Study of digest authentication for Session Initiation protocol (SIP) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121212 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140404 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140422 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140519 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140603 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140701 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5574698 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |