JP5980253B2 - ネットワークにおける望ましくないサービス要求の管理 - Google Patents
ネットワークにおける望ましくないサービス要求の管理 Download PDFInfo
- Publication number
- JP5980253B2 JP5980253B2 JP2014033158A JP2014033158A JP5980253B2 JP 5980253 B2 JP5980253 B2 JP 5980253B2 JP 2014033158 A JP2014033158 A JP 2014033158A JP 2014033158 A JP2014033158 A JP 2014033158A JP 5980253 B2 JP5980253 B2 JP 5980253B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- user
- information
- terminal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/10—Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、ネットワークにおける望ましくないサービス要求の管理に関し、特に、ネットワークにおける望ましくないサービス要求を管理する方法およびシステム、そのようなシステムにおいて使用するためのユーザ認証機能および端末、および、該方法を実行するためのコンピュータプログラム製品に関するが、それらには限られない。
新世代のモバイル装置、例えばスマートフォンは、オープンなネットワーク接続によって、拡張されたコンピュータ機能を提供する。そのようなモバイル装置は、例えば、eメールを受信すること、短距離接続を介して互いにソフトウェアを共有すること、インターネットからソフトウェアをダウンロードして実行すること、自動化された呼を生成すること、および遠隔操作の下で動作することが可能である。したがって、パーソナルコンピュータと同様に、モバイル装置および、モバイル装置とネットワークの間の接続の設定に関わる特にソフトウェア構成要素は、悪意のあるコード(マルウェア)の攻撃を受けやすい。典型的にはマルウェアはモバイル装置を悪用しようとするか、単にモバイル装置の正当な使用を妨害する。場合によってはモバイル装置に存在するチップカード、例えば(U)SIMは、この脆弱性に対する保護を提供しない。
マルウェアの1つのタイプはダイヤラ(dialer)と呼ばれる。ダイヤラは感染したモバイル装置上で不正に呼をセットアップすることが可能な悪意のある一連のコードである。そのようなダイヤラはモバイル装置の(U)SIMからの認証情報をしばしば使用して、あたかも接続がモバイルのユーザによって正当にセットアップされたかのように、ネットワークへのアクセスを達成する。認証過程の後で、ダイヤラは例えば高価なプレミアム番号−感染したモバイル装置のユーザにはそれとわからないことがしばしばある−への呼のセットアップを開始し、それはモバイルのユーザおよびモバイルのオペレータの両方にとって、実質的に金銭的な危険につながる。
そのようなマルウェアの望ましくない影響を除去するか少なくとも低減させるための手段をとることができる。1つの知られている手段はネットワーク内にフィルタを導入することである。そのようなフィルタは特許文献1および特許文献2に記載される。基地局にあるフィルタはモバイル装置から送信された呼を監視し、ブラックリストに挙げられた呼を阻止する。ネットワークオペレータおよび/またはモバイルのユーザはブラックリストに、フィルタによって明確に排除されるべきサービス要求を追加することができる。
そのようなフィルタの使用に関連する1つの問題は、排除されたサービス要求のリストの管理である。オペレータ側には3つの問題がある。第1に、すべての望ましくないサービス要求を阻止するためには、必要なブラックリストの大きさが非常に大きくなり、ほとんど管理不可能になりうることである。第2の問題は、ブラックリストを最新のものに保つために、悪意のあるサービスの絶え間ない探索が必要なことである。第3の問題は、疑わしい要求の識別には、モバイル装置の個別のユーザそれぞれのサービス要求の分析を必要とすることである。そのような分析は、したがって、ネットワークのかなりのリソースを必要とする。モバイルのユーザ側では、モバイル装置の望ましくないサービス要求は通常はユーザに気づかれず、課金の後、すなわち、被害がすでに現実のものとなった後にのみ気が付く、ということに1つの問題がある。ユーザにとっての他の問題は、オペレータが、ユーザが本当に使用を望むサービスをブラックリストに加えることから発生しうる。
特許文献3は、IM(インスタントメッセージ)アプリケーション内部のURL(ユニフォームリソースロケータ)をフィルタリングする方法を開示する。IMメッセージがURLを含む場合には、このURLが、知られている悪意のあるURLのブラックリストと突き合わせられる。URLがブラックリストにない場合は、送信元には、送信元が実際のユーザでありプログラム(マルウェア)ではないことを確認するために課題が提示される。この方法は、悪意のあるURLを含むIMメッセージを受信することから受取先を保護する。さらに、システムは、知られている悪意のないURLの「受け入れリスト」または「ホワイトリスト」を維持するように構成されることができる。この方法では、「ホワイトリスト」にあるURLを含むIMメッセージが、送信元に課題を出すことなく受取先に転送されうる。
この方法は、携帯電話の分野に応用される場合には、セキュリティの観点と顧客の観点の両方から望ましくない。通信の内容ではなく、通信の宛先、例えば呼またはテキストメッセージ(SMS)のプレミアム番号が危険を形成するため、セキュリティの観点からは、特許文献3の方法は、目前の問題に何の解決法も提示しない。したがって、上記の方法は受取先を保護しようとするが送信元を保護しようとはしない。この方法はまた、ブラックリスト(あるいはホワイトリスト)にないURLを含むIMメッセージごとに送信者に課題が出されるため、送信者にとっては迷惑となる。送信者が(首尾よく)課題に答えた場合、URLを含むIMメッセージは転送されるが、送信者の動作に基づいてホワイトリストが更新されることはない。このことは、送信者が同じURLに対して何度も課題を提示されることを意味する。
従来技術の問題点を要約する。
・すべての疑わしいサービスをブラックリストに入れなければならないため、ブラックリストのサイズが管理できなくなりうる。
・自動的にホワイトリストを構築することがない。
・マルウェア検出が特定のサービス上でのテストを含まない。
・新しい悪意のある送信先へのサービス要求の拒絶がない。したがって、ブラックリストを最新の状態に保つためにはネットワークオペレータまたはユーザの継続的な努力が必要である。
・ユーザは、同一のサービス要求を実行する際に何度も面倒な思いをする。
・ユーザが本当に使用を望むサービスを、ネットワークオペレータがブラックリストに入れる可能性がある。
・すべての疑わしいサービスをブラックリストに入れなければならないため、ブラックリストのサイズが管理できなくなりうる。
・自動的にホワイトリストを構築することがない。
・マルウェア検出が特定のサービス上でのテストを含まない。
・新しい悪意のある送信先へのサービス要求の拒絶がない。したがって、ブラックリストを最新の状態に保つためにはネットワークオペレータまたはユーザの継続的な努力が必要である。
・ユーザは、同一のサービス要求を実行する際に何度も面倒な思いをする。
・ユーザが本当に使用を望むサービスを、ネットワークオペレータがブラックリストに入れる可能性がある。
したがって、当該技術においては、望ましくないサービス要求を効率的に管理して誤用を防ぐ簡単な方法が必要である。
従来技術において知られている欠点の少なくとも1つを低減または除去して、本発明の第1の特徴における、少なくとも1つの端末(モバイル通信装置)からネットワークに送信された望ましくないサービス要求を管理する方法およびシステムを提供することが、本発明の目的である。ネットワークは信頼されるサービス情報を記憶するネットワークノードを有してもよい。方法は以下のステップの少なくとも1つを含むことができる。前記ネットワークが端末からのサービス要求を受信するステップであって、要求はサービス要求情報を含む、ステップ。および/または、サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合、端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、好ましくは安全な通信チャネルを介して送信するステップ。信頼されるサービス情報は、サービス(SMS、MMS、呼、インスタントメッセージ、動画など)のタイプの少なくとも1つと、要求されるサービスの送信先(例えばアドレス、電話番号)と、に関する情報を含み、該タイプおよび送信先の両方が受け入れられるか、または受け入れられないものがあるかである。本発明の実施形態では、リストに入れられた信頼されるサービス情報が、それに続く要求によって満たされ、可能であれば、信頼されるサービス情報を独立して満たすことによって補完される。本発明の別の実施形態では、信頼されるサービス情報を有するリストは、信頼されるサービス情報を独立して満たすことによって満たされる。ユーザは端末を効率的に用いるユーザであってもよく、端末に頼っているユーザであってもよく、サービス要求の認証を実行する権利を有するか、実行するよう指定されたユーザであってもよい。
本方法およびシステムは、提示されたサービス要求が正当な要求であるかどうかユーザへの認証を行うことによって、マルウェアによって生ずる被害を効率的に阻止する。この効果は、ネットワークにおいて受け入れられるサービスの信頼されるサービス情報(例えば、ホワイトリストの形式)を動的に維持し、サービスを受け入れる前に、サービスが信頼されるサービス情報に含まれていることについて、サービス要求ごとに認証を行うことによって達成される。サービスが含まれていない場合、ネットワークは安全な方法でユーザに、要求が確立されるべきものであるかどうかを認証するよう動的に要求するものとする。この方法によって、マルウェアに由来する要求がユーザによって認識されることができ、ユーザはそのようなサービスのセットアップを拒絶することができる。
一実施形態では、本方法はさらに、以下のステップの少なくとも1つを含む。好ましくは安全な通信チャネルを介して、ユーザ認証応答を受信するステップであって、前記応答はユーザによって提供される認証情報を含み、前記認証情報はユーザがサービス要求を受け入れるか拒絶するかを示す、ステップ。および/または、認証情報が、要求されたサービスが受け入れられる旨を提示する場合、信頼されるサービス情報に前記サービス要求情報の少なくとも一部を加えるステップ。したがって、ネットワークはサービス認証のためにユーザとのダイアログを自動的にセットアップする。サービスがユーザに受け入れられる場合は、信頼されるサービス情報が動的に更新される。
他の実施形態では、本方法はさらに、以下のステップの少なくとも1つを含んでもよい。好ましくは端末の識別モジュールに記憶された安全な鍵を用いて暗号化された通信チャネルを、前記端末と前記ネットワークの間で確立するステップ。前記暗号化された通信チャネルを介してユーザ認証要求を端末に送信するステップ。および/または、暗号化された通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は、ユーザによって提供された、ユーザがサービス要求を受け入れるか拒絶するかを示す認証情報を含むステップ。端末の識別モジュールに記憶されたプライベートキーを用いて暗号化された通信チャネルを用いて、ユーザダイアログが確立されてもよい。
さらなる実施形態では、端末は以下の要素の少なくとも1つを含んでもよい。識別モジュール、1つ以上の入力/出力インターフェイス、および/または、少なくとも1つの信頼されるハードウェア構成要素。前記信頼されるハードウェア構成要素は、前記信頼されるハードウェア構成要素と前記識別モジュールおよび/または前記1つ以上の入力/出力インターフェイスとの間に1つ以上の信頼される通信経路を確立するように構成されてもよい。端末内で1つ以上の信頼されるハードウェア構成要素を用いて、端末内の1つ以上の信頼される通信経路を得て、それによって、マルウェアが、ユーザとネットワークの間のユーザ認証ダイアログを妨害することを阻止してもよい。
一実施形態では、方法は以下のステップの少なくとも1つをさらに含んでもよい。前記ネットワークによってサービス要求が受信される通信チャネルとは異なる、さらなる通信チャネルを確立するステップ。安全なチャネルを介して端末に前記ユーザ認証要求を送信するステップ。および/または、前記さらなる通信チャネルを介してユーザ認証応答を受信するステップであって、前記応答は加入者がサービス要求を受け入れるか拒絶するかのいずれかを示す認証情報を含む、ステップ。さらに別の変形例では、前記さらなる通信チャネルはメッセージングサービス、好ましくはショートメッセージサービスまたはUSSDサービスによって提供されてもよい。
さらなる変形例では、認証要求は、ユーザが人間であるかそうでないかを判定するように構成されたテスト、好ましくは逆チューリングテスト(reverse Turing test)、より好ましくはCaptchaを含んでもよい。認証応答はテストが成功したかそうでないかに関する情報を有する。
さらなる変形例では、ネットワークは少なくとも1つのサービス提供ネットワークノードを含んでもよい。前記サービス提供ネットワークノードは信頼されるサービス情報を含むビジティングロケーションレジスタ(VLR)を有してもよい。前記ネットワークノードは、サービス要求情報の少なくとも一部が信頼されるサービス情報内のリストにない場合、端末からのサービス要求に応じて、端末へのユーザ認証要求を送信するためのユーザ認証機能を更に有してもよい。一変形例では、ネットワークはホームロケーションレジスタ(HLR)を有してもよく、前記ホームロケーションレジスタは前記端末の信頼されるサービス情報を有する。方法は、前記ホームロケーションレジスタから前記ビジティングロケーションレジスタへ信頼されるサービス情報を送信するステップをさらに含んでもよい。ネットワークへの端末の登録の際、端末の役目を果たすサービス提供ネットワークノードのVLRは、端末のホームネットワークのホームロケーションレジスタHLRから信頼されるサービス情報を読み出してもよい。同様に、信頼されるサービス情報は、HLRにおいて、ユーザによって認証された信頼されるサービスを送信することによって更新され、VLRにおける信頼されるサービス情報に追加されてHLRに戻されてもよい。
別の態様では、本発明は少なくとも1つの端末からネットワークに送信される望ましくないサービス要求を管理するためのシステムに関してもよい。システムは以下の特徴のうち少なくとも1つを含んでもよい。ネットワークと共に通信チャネルを確立する1つ以上の端末。前記端末の少なくとも1つからサービス要求情報を含むサービス要求を受信するように構成されたサービス提供ネットワークノード、および/または前記サービス提供ネットワークノードに接続された信頼されるサービスデータベース。前記サービス提供ネットワークノードは、サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合には、端末によって要求されたサービスを認証するようにユーザに要求するためのユーザ認証要求を、好ましくは安全な通信チャネルを介して、送信するように構成される。
さらなる態様において、本発明は上記のようなシステムにおいて使用するためのユーザ認証機能に関してもよい。ユーザ認証機能は、以下の特徴の少なくとも1つを有してもよい。端末からサービス要求を受信する手段であって、前記サービス要求はサービス要求情報を含む、手段。前記サービス要求情報の少なくとも一部が、信頼されるサービスデータベースに含まれるかどうかを確かめる手段。および/または、サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合には、端末のユーザとネットワークの間の安全なダイアログを確立する手段。
さらなる態様において、本発明は上記のようなシステムにおいて使用するための端末に関してもよい。端末は以下の特徴の少なくとも1つを有してもよい。サービス提供ネットワークノードからのユーザ認証要求に応じて、端末のユーザとネットワークの間に安全なダイアログを確立するユーザ認証クライアント。前記ダイアログのために安全な通信チャネルを確立するプライベート鍵を提供する識別モジュール。前記ユーザからダイアログ情報を受けるための入力要素。前記ユーザへダイアログ情報を送るための出力要素。および/または、好ましくは信頼される計算基準を用いて、前記ユーザ認証クライアント、識別モジュール、入力要素、および/または出力要素の間に1つ以上の信頼される通信経路を確立する、信頼されるハードウェア構成要素。
本発明はまた、好ましくは1つ以上のネットワークノード内に位置する、コンピュータのメモリ内で実行される場合、上記のような方法発明のいずれかに基づく方法のステップを実施するように構成される、ソフトウェアコード部分を有するコンピュータプログラム製品に関してもよい。
本発明はさらに、本発明による実施形態を概略的に示す添付の図面を参照して記載される。本発明はこれらの特定の実施形態にいかなる意味でも制約されるものではないことが理解されるであろう。
図1は本発明の一実施形態による通信システム100の概略的な表示を示す図である。システムは通信ネットワーク104に接続された端末102を含んでもよい。一実施形態では、ネットワークは、アクセスノードとして作動するベーストランシーバ基地局(BTS)106を含む2Gタイプ(例えばGSM)のモバイルネットワークであってもよい。BTSは、例えばビジティングネットワーク(VN)のモバイル切り換えセンタ(MSC)110に、基地局コントローラ(BSC)108を介して接続されてもよい。さらに、MSCは、ビジティングロケーションレジスタ(VLR)112にリンクされてもよく、該レジスタは、ユーザに関するデータを記憶してセキュリティ機能を実行するデータベースである。MSCは、認証センタ(AuC)116を含むホームロケーションレジスタ(HRL)114にさらにリンクされてもよい。HLR/AUCは、端末102のユーザがネットワークオペレータの会員となっているホームネットワーク(HN)内に位置してもよい。HLRはユーザ関連のデータ、例えば会員関連のデータを記憶し、端末の位置をたどるようにMSC/VLR110と協働する。認証センタ(AuC)は認証過程において用いられる認証パラメータの計算のためのアルゴリズムを(特に)有する。各加入者に対して、AuCは、端末内に位置する、例えば(U)SIMカードなどの、関連する識別モジュール内にも記憶される秘密認証鍵Kを記憶する。
信頼されるサービス(TS)データベース118は信頼されるサービス情報を含む。例えば、それは、HLRに接続されるかHLRの一部であってもよい加入者に関する、受け入れられるサービス識別子および/または受け入れられないサービス識別子(例えば、電話番号)に関する1つ以上の信頼されるリストである。TSデータベース内のリストは、加入者のHLRおよび/またはサービス認証機能120によって更新されてもよい。サービス認証機能はTSデータベースにアクセスするように構成され、端末からのサービス要求に応じて、ユーザ端末に安全な通信チャネルをセットアップするように構成される。
サービス認証機能は機能的ハードウェア構成要素の形態で実施されてもよく、MSC上で実行されるコンピュータプログラム製品またはMSCに接続された他の個別のネットワーク要素として実施されてもよい。代替として、該機能は、実行されたときに呼の認証機能を提供する1つ以上のソフトウェアプログラム製品を備える2つ以上のネットワーク要素を含む分散された機能であってもよい。呼の認証機能のより詳細な説明は、図2に関連して以下に記載される。
図1に記載されたGSMネットワーク以外のネットワークが使用されてもよい。例えば、一実施形態では、ネットワークは3Gネットワーク要素を含む3Gタイプ(UMTS)のモバイルネットワークであってもよい。この場合には、ネットワークは無線ネットワークコントローラ(RNC)108を介してサービングGPRSサポートノード(SGSN)110に接続される無線基地局(RBS)106を有してもよい。SGSNはさらに、上記のような2Gタイプのネットワークと同じようにして、VLR112およびAuC/HLR114、116に接続される。さらなる実施形態では、通信ネットワーク104は、例えばプロキシCSCF(P−CSCF)、問い合わせ(interrogating)CSCF(I−CSCF)、サービングCSCF(S−CSCF)などの呼/セッション制御機能(CSCF)、およびホーム加入者サーバ(HSS)のセットの形態のIMSベースのネットワーク要素を含んでもよい。さらなる変形例は3GPP LTEまたは3GPP SAEネットワーク要素を含む。
端末102はパーソナルコンピュータ、またはスマートフォン、パーソナルデジタルアシスタント(PDA)、ラップトップ、または1つ以上のモバイルネットワーク(2G、2.5G、3G、4G、NG、WiMaxなど)においてサービスを提供することができる任意の他のモバイル通信装置などの、モバイル装置であってもよい。端末は無線モジュール122、オペレーティングシステム(OS)124、および識別モジュール120を含む。
無線モジュール122はワイヤレスネットワークサービスへの接続ポイントとして機能し、この目的のために1つ以上のアンテナと接続されるRF受信器を含む少なくとも1つのエアインターフェイスを有する。図1は、無線カード122が基地局106との無線接続を提供する例示的な実施形態を示す。無線モジュールのRFインターフェイスは様々な無線テクノロジ(例えばGSMサービスのためのTDMA、UMTSサービスのためのW−CDMA、WiFiサービスのためのIEEE 802.11、ブルートゥース、DECTなど)に従ってRF信号を受信および/または送信することが可能である。
端末のオペレーティングシステム(OS)124は、モバイル装置のリソース、例えば中央処理装置(CPU)、プログラム命令130およびデータを記憶するメモリ、および、無線モジュール122、ディスプレイ134およびキーパッド132などの入力/出力(I/O)デバイスなどを管理するカーネルを含んでもよい。さらに、OSは典型的には、アプリケーションプログラム128がOSによって提供されるサービスにアクセス可能となる1つ以上のアプリケーションプログラムインターフェイス(API)、例えばモバイルネットワークとの無線接続をセットアップするための無線ネットワークAPIを備える。
典型的には取り外し可能な識別モジュール126は、2Gタイプのネットワークサービス(GSM)または3Gタイプのネットワークサービス(UMTS)に適したモバイル装置において使用するUICC(Universal Integrated Circuit Card)であってもよい。この目的のために、UICCはSIMアプリケーションを含む加入者識別モジュール(SIM)および/またはUSIMアプリケーションを含むUMTS加入者識別モジュール(USIM)を含んでもよい。識別モジュールがSIMおよび/またはUSIMアプリケーションに限られないことは理解されるべきである。さらなる実施形態では、識別モジュールは、所定のIMSベースのAKAに基づいてIMSベースのサービスを認証する、またはIMSベースのサービスにアクセスするIPマルチメディアサブシステムSIM(ISIM)であってもよい。所定のIMSベースのAKAは、例えばRFC4187に記載の所定のEAPベースのAKAによるネットワークに認証されてアクセスするための、例えば、ETSI技術仕様TS 33.203または拡張可能認証プロトコル(EAP)ベースのSIMに記載されている。
識別モジュールはプロセッサ、例えばROM、RAM、および/またはEEPROMなどの1つ以上のメモリ構成要素、およびI/O回路を含んでよい。認証目的のために、UICCは秘密のサービス加入者認証鍵Kと、ランダムな課題(チャレンジ)を受け取った際に1つ以上の認証パラメータを含む応答を計算するための1つ以上のアルゴリズムと、を含む。
ネットワークにアクセスするために、端末はまず、ネットワークによって用いられる通信標準の認証および鍵一致(AKA)の一方によって定義される認証過程を実行する。GSM AKAは端末においてランダム数RANDをSIMに送信することを含む、課題応答タイプの認証過程である。SIMはネットワークに送り返される応答RESを生成し、該応答をネットワークによって計算される期待される応答と比較する。GSM AKAの一部として、モバイル端末と、GSMエアインターフェイスを介して、データを暗号化するために作動しているネットワークとの間で対称暗号鍵CKが確立される。GSM AKAはETSI標準GSM 02.09およびGSM 03.20に詳細に記載され、それは参照によって本明細書に組み込まれる。
標準UMTS認証過程において、GSM AKAにおける場合と同様のステップが実行される。しかしながら、セキュリティを向上させるために、ネットワークは自分自身の認証をも端末に対して行う。UMTSスキームではAuC/HLRはランダム数RANDを生成し、認証ベクトル(AV){AUTN、RAND、XRES、CK、IK}を決定する。その後、SGSN/VLRはRANDおよびAUTNを端末に転送する。端末内のUSIMはRANDおよびAUTNに基づいて応答RESを決定し、その後、応答RESはネットワークに送信されて、ネットワークによって決定された期待される応答と比較される。GSM AKAと同様に、暗号鍵CKおよびインテグリティ鍵IKが、モバイル端末と作動しているネットワークとの間でエアインターフェイスを介して送信されるデータを暗号化してインテグリティ保護を行うために用いられるUMTS AKAの最中に、確立される。UMTS AKAはETSI技術仕様TS 33.102に詳細に記載され、それは参照によって本明細書に組み込まれる。
図2は本発明の一実施形態によるGSMネットワークにおいて発生した呼のセットアップのフロー図を示す。上記の認証過程の最中、加入者識別子(IMSI)、認証データ、加入者の電話番号、受け入れ可能なサービスのリスト、加入者のHLRアドレス、および特にホワイトリストおよび/またはブラックリストを含む信頼されるサービス情報、を含む加入者登録データが、HLRからMSC/VLRに転送されてもよい(ステップ202)。認証が成功した後、端末はサービス要求を送信することによって、すなわち、BSSを介してMSC/VLRにモバイル加入者総合デジタル通信網番号(MSISDN)を含む呼をセットアップする要求を送信することによって、ネットワークサービスにアクセスしてもよい(ステップ204)。
応答として、MSCはVLRと共に、端末が要求されたサービスにアクセスすることを許可されているかどうか確かめる。さらに、MSC内のサービス認可機能は、サービス要求内の情報が、特にMSISDNが、信頼されるサービス情報(例えば、信頼される電話番号のリストの形態で)のリストにあるかどうかを確かめる。リストはMSCに接続されたVLRにアクセスすることによって確かめられてもよい(ステップ206および208)。合致するものが見つかった場合、MSCはBSSに呼のリソースの割り当ておよびGMSCを介した呼の経路指定を要求する。ここでGMSCは、固定されたPSTNネットワークによってモバイルネットワークを受信先(図示せず)に接続するゲートウェイである。
番号が受け入れ可能な番号のリストに見つからない場合は、MSCサービス認証機能は、呼が受け入れ可能かそうでないかを認証するように端末のユーザに要求するために、生成端末によってダイアログを開始させてもよい。この目的のために、マルウェアによって侵されることが困難な、安全な通信チャネルが端末とネットワークの間で確立されてもよい。そのような安全な通信チャネルの例は、以下により詳細に記載される。
安全な通信チャネルを用いて、MSC/VLRのサービス認証機能はユーザ端末にユーザ認証要求を送信してもよい。ユーザ認証要求は、端末のユーザにダイアログをトリガしてもよく、そこでは、ユーザが、要求されたサービスを確立すべきかそうでないかを認証することを求められている(ステップ210)。ユーザ認証要求に応答して、ユーザ応答メッセージがMSCのサービス認証機能に送り返される(ステップ212)。ユーザ応答が、呼がユーザによって受け入れられる旨の情報を提供する場合、信頼されるサービスリストはTSデータベース内の信頼されるサービス情報にその番号を加えることによって更新される(ステップ214および216)。ユーザへの呼認証ダイアログの後、MSCは要求されたサービス、例えば呼のためにリソースを割り当てて、GMSCおよび1つ以上の通信ネットワーク、例えばダイヤルされた端末への公衆交換電話網(PSTN)を介してサービス要求を経路指定する(ステップ218)。応答メッセージが、ユーザが呼を受け入れない旨を示す場合、呼はMSCによって拒絶される(図示せず)。
したがって、生成した呼の従来のセットアップとは逆に、本発明は、サービス要求内の情報がホワイトリストにあるかどうかを確認することによって、端末によってネットワークに送信されたサービスに対する厳格な制御を可能にする。ホワイトリストを用いることで、サービス要求に由来して生成されたマルウェアを効率的に阻止することができる。さらに、本発明は、ホワイトリストを、対話的かつ動的な方法で構成することを可能にする。ひとたびリストがあるサイズになると、呼認証要素によって生成されるホワイトリストを使用することで、登録された呼が実際に疑いのない呼であることが、より確実にネットワークオペレータにもたらされる。
端末とネットワークの間の通信チャネルは、マルウェアに妨害をさせないという意味で、安全であるべきである。一実施形態では、安全な通信チャネルは、GSMまたはUMTS AKAに基づく認証過程の最中にモバイル端末と作動しているネットワークとの間に確立された暗号鍵CKを用いる、暗号化された無線チャネルであってもよい。このスキームでは、MSC/VLRは暗号化されたユーザ認証要求210を、変更してもよい端末に送信し、マルウェアがユーザとネットワークの間のダイアログを干渉することを阻止する。そのような端末300の1つの例示的な実施形態が図3により詳細に記載される。この実施形態では、端末は、端末のOS304内で実行されるユーザ認証アプリケーション302(クライアント)を有する。端末は、ユーザ認証クライアント302、識別モジュール318(例えば(U)SIM)、メモリ320、および/または、入力要素322(キーパッド、マイクロフォンなど)および出力要素324(ディスプレイ、スピーカなど)などの1つ以上のI/Oインターフェイスの間に1つ以上の信頼される通信経路308−316を確立する、1つ以上の信頼されるハードウェア構成要素306(THC)をさらに含む。
ユーザ認証要求はユーザ認証クライアントの実行をトリガしてもよく、ユーザ認証クライアントは、データを暗号化および復号する(U)SIM、ユーザとの対話のための端末のキーパッドおよびディスプレイインターフェイス322、324と安全に通信するように構成される。
THCは、ローカルおよび/またはリモートの認証、安全なデータ記憶および安全なI/O機能を含む、複数のセキュリティ機能を実施するように構成された改ざん耐性のある装置であってもよい。これらの機能は端末内に信頼される通信経路を確立するように用いられてもよい。THCは所定の信頼される計算プラットフォーム標準、例えば信頼されるコンピュータグループ(TCG)によって発行された、信頼されるモバイルモジュール(MTM)仕様バージョン1.0、一訂版、2007年6月12日において定められたような、信頼される計算プラットフォーム(TCP)、またはインテルの信頼される実行技術(TXT)ハードウェアプラットフォームによって実施されてもよい。
THCは、ローカルおよび/またはリモートの認証機能を用いて、ユーザ認証クライアントの完全性を認証してもよい。完全性が承認された後、THCは図3に記載のように端末内に1つ以上の信頼される通信経路をセットアップしてもよい。これらの信頼される経路を用いて、ユーザ認証アプリケーションは、ユーザがサービス要求を受け入れるか拒絶するかを可能にする、ユーザとの安全なダイアログをセットアップする。ユーザ応答(すなわちキーパッド入力)は無線インターフェイス326および暗号化された無線チャネルを介して、MSC/VLRのサービス認証機能に送り返される。
他の実施形態では、通信チャネルは、ネットワークに登録された追加のSIMカードを用いて確立されてもよい。そのようなデュアルSIM端末は、サービス要求が、第1のSIMに応じてセットアップされたチャネルを用いてネットワークに送信されることを可能にし、サービス要求の受け入れまたは拒絶のためのダイアログボックスへのユーザの反応が、第2のSIMを用いて暗号化された通信チャネルを介して送信されることを可能にする。この実施形態は、マルウェアが第2のSIMカードを知っておらず、したがって、暗号化された通信チャネルをTHCと組み合わせて使用することと比較すると提供される安全性が小さいということに基づく。
他の実施形態では、安全なチャネルは同一の基盤(infrastructure)上に個別の通信チャネルを確立してもよい。例えば、端末からのサービス要求の受信に応答して、ネットワークは、例えばSMS、EMS、MMSまたはUSSDメッセージの形態のメッセージを端末のユーザに送信し、ユーザは同一の個別の通信チャネルを使用して応答をネットワークに送り返す。
さらなる変形例では、端末とネットワークの間のサービス認証ダイアログは、好ましくはテキスト、画像および/または音からなるテストを送信するステップを有してもよく、それはユーザが人間であるかそうでないかの判定を可能にする。テストへの応答はネットワークに送信され、正しい応答は端末ユーザによるサービス要求を受容することに対応する。好ましくは、テストは逆チューリングテスト(例えばCaptchaなど)であってもよい。逆チューリングテストは、ダイアログが、規則的で場合によっては安全でない基盤を用いて生成されることを可能にしてもよい。しかしながら、向上したセキュリティのため、逆チューリングテストを用いたダイアログは、上記のような暗号化されたおよび/または個別の通信チャネルと容易に組み合わされることができる。
信頼されるサービス(TS)データベースの機能は、望ましくない番号のリスト(すなわちブラックリスト)をさらに含むことにより拡張される。サービス要求がネットワーク、例えばMSCによって受信された場合、ネットワークは要求においてダイヤルされた番号がブラックリストまたはホワイトリストにあるかどうかを確かめる。それがブラックリストにある場合、端末にさらなるダイアログは一切出ずに、呼は自動的に拒絶される。ブラックリストは、信頼されるサービスのリスト(ホワイトリスト)と関連して、上記と同様の方法で更新されてもよい。
一実施形態では、サービス要求のユーザによる拒絶の後、番号がブラックリストに加えられてもよい。これは、ユーザによる拒絶に応答して自動的に行われてもよく、代替として、呼認証ダイアログの最中にユーザへの選択肢としてダイアログボックス内に示されてもよい。ブラックリスト選択肢を選ぶことは、拒絶された番号を加えてTSデータベースにおけるブラックリストを更新することにつながる。そのようなブラックリストおよび/またはホワイトリストの更新は、MSC/VLRとHLRの間の通信が行われた場合に行われてもよい。例えば、加入者が所定の時間の間操作を行わなかった後に、加入者がVLRによってカバーされた領域にいる旨の通知を、HLRがMSC/VLRによって受けた瞬間に行われてもよい。その後、端末は、作動しているMSC/VLRから登録を取り消される。さらに、そのような更新はリアルタイム、すなわち、ユーザ認証ダイアログの直後、または加入者記録がVLRから消去された瞬間に行われてもよい。
さらに、ネットワークオペレータは、ユーザがリストに変更を行うことを可能にするために、TSデータベース内のリストへのユーザの(間接的な)アクセス、例えば、安全なインターネット接続を介したアクセスを提供してもよい。
いかなる実施形態に関連して記載されたいかなる特徴も、単独で使用されてもよく、他の記載された特徴と組み合わされて使用されてもよく、いかなる他の実施形態の1つ以上の特徴と組み合わせて使用されてもよく、いかなる他の実施形態のいかなる組み合わせと使用されてもよいことを理解すべきである。さらに、上記されていない等価例や変形例が、添付の特許請求の範囲に定義されている、本発明の範囲から離れることなく使用されてもよい。
Claims (15)
- 少なくとも1つの端末からネットワークに送信された少なくとも1つのサービス要求を管理する方法であって、前記ネットワークは信頼されるサービス情報を記憶するネットワークノードを含み、当該方法が、
−前記ネットワークが端末からのサービス要求を受信するステップであって、前記要求がサービス要求情報を含む、ステップと、
−前記ネットワークによって前記サービス要求が受信される通信チャネルとは異なる、さらなる通信チャネルを確立するステップと、
−前記サービス要求情報の少なくとも一部が、信頼されるサービス情報のリストにない場合に、前記端末によって要求されたサービスを認証するようにユーザに要求するユーザ認証要求を、安全な通信チャネルを介して送信するステップと、
−ユーザ認証応答を前記さらなる通信チャネルを介して受信するステップと、
を含む方法。 - 請求項1に記載の方法において、
前記ユーザ認証応答は前記ユーザによって提供される認証情報を含み、前記認証情報は前記ユーザが前記サービス要求を受け入れるか拒絶するかを示し、当該方法が、さらに、
−前記認証情報が、要求されるサービスが受け入れられない旨を提示する場合、前記信頼されるサービス情報に、前記サービス要求情報の少なくとも一部を加えるステップを含む、方法。 - 請求項1に記載の方法であって、さらに、
−前記端末の識別モジュールに記憶されたプライベート鍵を用いて、前記端末と前記ネットワークの間に暗号化された通信チャネルを確立するステップと、
−前記暗号化された通信チャネルを介して前記端末に前記ユーザ認証要求を送信するステップと、
−前記暗号化された通信チャネルを介して前記ユーザ認証応答を受信するステップであって、前記応答は、前記ユーザによって提供される、該ユーザが前記サービス要求を受け入れるか拒絶するかを示す認証情報を含む、ステップと、
を含む方法。 - 前記端末が識別モジュール、1つ以上の入力/出力インターフェイス、および少なくとも1つの信頼されるハードウェア構成要素を含み、前記信頼されるハードウェア構成要素は、前記信頼されるハードウェア構成要素と前記識別モジュールおよび/または前記1つ以上の入力/出力インターフェイスとの間に1つ以上の信頼される通信経路を確立するように構成される、請求項3に記載の方法。
- ユーザ認証応答が、加入者がサービス要求を受け入れるか拒絶するかの認証情報を含む、請求項1から3のいずれか一項に記載の方法。
- 前記安全な通信チャネルがメッセージングサービスによって提供される、請求項4に記載の方法。
- 前記認証要求が、前記ユーザが人間であるかそうでないかを判定するように構成されたテストを含み、前記認証応答が、テストが成功したかそうでないかに関する情報を含む、請求項1から6のいずれか一項に記載の方法。
- 前記ネットワークが、サービス提供ネットワークノードを含み、前記サービス提供ネットワークノードは、信頼されるサービス情報を有するビジティングロケーションレジスタ(VLR)を含み、前記ネットワークノードは、前記サービス要求情報の少なくとも一部が前記信頼されるサービス情報のリストにない場合、端末からのサービス要求に応じて前記端末にユーザ認証要求を送信するためのユーザ認証機能をさらに含む、請求項1から7のいずれか一項に記載の方法。
- 前記ネットワークがホームロケーションレジスタ(HLR)をさらに含み、前記ホームロケーションレジスタは前記端末の信頼されるサービス情報を含み、当該方法が、さらに、
−前記ホームロケーションレジスタから前記ビジティングロケーションレジスタへ前記信頼されるサービス情報を送信するステップを含む、請求項8に記載の方法。 - 少なくとも1つの端末からネットワークに送信された少なくとも1つのサービス要求を管理するシステムであって、
−前記ネットワークと共に通信チャネルを確立する1つ以上の端末と、
−前記端末の少なくとも1つからサービス要求情報を含むサービス要求を受信するように構成された、サービス提供ネットワークノードと、
−前記サービス提供ネットワークノードに接続された信頼されるサービスデータベースと、を有し、
前記サービス提供ネットワークノードは、前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合に、前記端末によって要求されたサービスを認証することをユーザに要求するユーザ認証要求を、安全な通信チャネルを介して送信するように構成され、
ユーザ認証応答を、前記ネットワークによって前記サービス要求が受信される前記通信チャネルとは異なるさらなる通信チャネルを介して、前記サービス提供ネットワークノードが受信するように構成される、システム。 - 請求項10に記載のシステムにおいて使用するユーザ認証装置であって、
−端末からサービス要求を受信する手段であって、前記サービス要求がサービス要求情報を含む、手段と、
−前記サービス要求情報の少なくとも一部が信頼されるサービスデータベースに含まれるか確かめる手段と、
−前記サービス要求情報の少なくとも一部が前記信頼されるサービス情報のリストにない場合に、前記端末のユーザまたは前記端末に関連する他のユーザと前記ネットワークとの間で安全なダイアログを確立する手段と、を備え、
前記ユーザ認証装置が前記サービス提供ネットワークノードによって具備される、ユーザ認証装置。 - 請求項10に記載のシステムにおいて使用する端末であって、
−サービス提供ネットワークノードからのユーザ認証要求に応じて、端末のユーザとネットワークの間に安全なダイアログを確立するユーザ認証クライアントと、
−前記ダイアログのために安全な通信チャネルを確立する暗号化鍵を提供する識別モジュールと、
−前記ユーザからダイアログ情報を受信する入力要素と、
−前記ユーザにダイアログ情報を送信する出力要素と、
−前記ユーザ認証クライアント、識別モジュール、入力要素、および/または出力要素の間に1つ以上の信頼される通信経路を確立する、信頼されるハードウェア構成要素と、を含み、
前記ユーザ認証応答が、前記ユーザ認証クライアントによって生成および送信される、端末。 - コンピュータのメモリ内で実行される場合、請求項1から9のいずれか一項に記載の方法のステップを実行するように構成されたソフトウェアコード部分を含む、コンピュータプログラム。
- コンピュータのメモリ内で実行される場合、
サービス要求情報を含み、少なくとも1つの端末からネットワークに送信されるサービス要求に対してサービス認証機能を実行し、ソフトウェアコード部分が、
−前記サービス要求情報の少なくとも一部が信頼されるサービス情報のリストにない場合に、前記端末によって要求されるサービスの認証をユーザに要求するサービス認証要求を、安全なチャネルを介して送信し、
−ユーザ認証応答は前記ユーザが前記サービス要求を受け入れるか拒絶するかを示す、前記ユーザによって提供される認証情報を含み、前記ネットワークによって前記サービス要求が受信される通信チャネルとは異なるさらなる通信チャネルを介して前記ユーザ認証応答を受信し、
−前記認証情報が、前記サービス要求が受け入れられる旨を提示する場合、前記サービス要求情報の少なくとも一部を前記信頼されるサービス情報に加える、
ように構成されたソフトウェアコード部分を含む、コンピュータプログラム。 - 前記サービス認証機能が機能的ハードウェア構成要素の形態で実施されるか、MSCまたはMSCに接続された別のネットワーク要素で実行されるコンピュータプログラムとして実施されるか、あるいは1つ以上のソフトウェアプログラムを含む2つ以上のネットワーク要素を含む分散された機能である、
請求項14に記載のコンピュータプログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09005814 | 2009-04-27 | ||
| EP09005814.0 | 2009-04-27 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012507691A Division JP5567119B2 (ja) | 2009-04-27 | 2010-04-23 | ネットワークにおける望ましくないサービス要求の管理 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015159459A Division JP6080921B2 (ja) | 2009-04-27 | 2015-08-12 | ネットワークにおける望ましくないサービス要求の管理 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014142942A JP2014142942A (ja) | 2014-08-07 |
| JP5980253B2 true JP5980253B2 (ja) | 2016-08-31 |
Family
ID=41130613
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012507691A Active JP5567119B2 (ja) | 2009-04-27 | 2010-04-23 | ネットワークにおける望ましくないサービス要求の管理 |
| JP2014033158A Expired - Fee Related JP5980253B2 (ja) | 2009-04-27 | 2014-02-24 | ネットワークにおける望ましくないサービス要求の管理 |
| JP2015159459A Active JP6080921B2 (ja) | 2009-04-27 | 2015-08-12 | ネットワークにおける望ましくないサービス要求の管理 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012507691A Active JP5567119B2 (ja) | 2009-04-27 | 2010-04-23 | ネットワークにおける望ましくないサービス要求の管理 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015159459A Active JP6080921B2 (ja) | 2009-04-27 | 2015-08-12 | ネットワークにおける望ましくないサービス要求の管理 |
Country Status (7)
| Country | Link |
|---|---|
| US (3) | US20120047262A1 (ja) |
| EP (3) | EP2425647B1 (ja) |
| JP (3) | JP5567119B2 (ja) |
| CN (2) | CN104822146B (ja) |
| ES (1) | ES2484141T3 (ja) |
| PL (1) | PL2425647T3 (ja) |
| WO (1) | WO2010124996A1 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1969580B (zh) * | 2004-06-17 | 2010-11-03 | 艾利森电话股份有限公司 | 移动通信系统中的安全 |
| US20120047262A1 (en) * | 2009-04-27 | 2012-02-23 | Koninklijke Kpn N.V. | Managing Undesired Service Requests in a Network |
| US8478267B2 (en) * | 2010-11-02 | 2013-07-02 | Telecomax Group | Mobile software services for telecom operators |
| US9871828B2 (en) * | 2014-07-18 | 2018-01-16 | T-Mobile Usa, Inc. | Enhanced IMS services restriction and selection control for mobile devices roaming in foreign networks |
| US9621948B2 (en) | 2015-01-29 | 2017-04-11 | Universal Electronics Inc. | System and method for prioritizing and filtering CEC commands |
| US10742738B2 (en) * | 2015-07-17 | 2020-08-11 | The Boeing Company | Flexible deterministic communications network |
| US10866839B2 (en) * | 2015-09-25 | 2020-12-15 | Sony Corporation | Information processing apparatus, service processing apparatus, information processing method, program, and information processing system |
| US10015671B2 (en) | 2016-01-19 | 2018-07-03 | T-Mobile Usa, Inc. | Network service access control |
| US10565214B2 (en) | 2017-03-22 | 2020-02-18 | Bank Of America Corporation | Intelligent database control systems with automated request assessments |
| CN111030964A (zh) * | 2018-10-09 | 2020-04-17 | 中国移动通信有限公司研究院 | 一种响应Detach指令的方法和设备 |
| KR102452530B1 (ko) | 2019-01-02 | 2022-10-11 | 주식회사 슈프리마 | 출입 관리 시스템 및 이를 이용한 출입 관리 방법 |
| US11483709B2 (en) * | 2019-03-14 | 2022-10-25 | At&T Intellectual Property I, L.P. | Authentication technique to counter subscriber identity module swapping fraud attack |
| US11507695B2 (en) | 2020-05-27 | 2022-11-22 | At&T Intellectual Property I, L.P. | Trusted system for sharing user data with internet content providers |
| US11611623B2 (en) | 2021-03-19 | 2023-03-21 | At&T Intellectual Property I, L.P. | Trusted system for providing customized content to internet service provider subscribers |
| US11483397B2 (en) | 2021-03-19 | 2022-10-25 | At&T Intellectual Property I, L.P. | Trusted system for providing customized content to internet service provider subscribers |
| US20230061362A1 (en) * | 2021-08-31 | 2023-03-02 | International Business Machines Corporation | Message delivery in cellular roaming scenarios |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5872847A (en) * | 1996-07-30 | 1999-02-16 | Itt Industries, Inc. | Using trusted associations to establish trust in a computer network |
| US6607136B1 (en) * | 1998-09-16 | 2003-08-19 | Beepcard Inc. | Physical presence digital authentication system |
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| US7321969B2 (en) * | 2002-04-26 | 2008-01-22 | Entrust Limited | Secure instant messaging system using instant messaging group policy certificates |
| US20030204569A1 (en) * | 2002-04-29 | 2003-10-30 | Michael R. Andrews | Method and apparatus for filtering e-mail infected with a previously unidentified computer virus |
| US20080196099A1 (en) * | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
| US7558955B2 (en) * | 2002-11-20 | 2009-07-07 | Aol Llc, A Delaware Limited Liability Company | Method and apparatus for secure instant messaging utilizing server-supervised publication |
| US7131003B2 (en) * | 2003-02-20 | 2006-10-31 | America Online, Inc. | Secure instant messaging system |
| US8117273B1 (en) * | 2003-07-11 | 2012-02-14 | Mcafee, Inc. | System, device and method for dynamically securing instant messages |
| JP4265326B2 (ja) * | 2003-08-12 | 2009-05-20 | 株式会社日立製作所 | サービス処理方法及びシステム並びにその処理プログラム |
| KR20050064119A (ko) * | 2003-12-23 | 2005-06-29 | 한국전자통신연구원 | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 |
| US7529371B2 (en) * | 2004-04-22 | 2009-05-05 | International Business Machines Corporation | Replaceable sequenced one-time pads for detection of cloned service client |
| CN1588879A (zh) * | 2004-08-12 | 2005-03-02 | 复旦大学 | 一种互联网内容过滤系统及过滤方法 |
| JP4545540B2 (ja) | 2004-10-01 | 2010-09-15 | 三菱電機株式会社 | アクセス防止装置 |
| JP4707992B2 (ja) * | 2004-10-22 | 2011-06-22 | 富士通株式会社 | 暗号化通信システム |
| US8996485B1 (en) * | 2004-12-17 | 2015-03-31 | Voltage Security, Inc. | Web site verification service |
| US20070073823A1 (en) * | 2005-09-29 | 2007-03-29 | International Business Machines Corporation | Method and apparatus to secure and retrieve instant messages |
| US20070077931A1 (en) | 2005-10-03 | 2007-04-05 | Glinka Michael F | Method and apparatus for wireless network protection against malicious transmissions |
| US8122240B2 (en) | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
| JP4238868B2 (ja) | 2005-12-13 | 2009-03-18 | 村田機械株式会社 | 通信端末装置 |
| US7801510B2 (en) * | 2006-02-27 | 2010-09-21 | Samsung Electronics Co., Ltd | Authentication method in a mobile broadcast system and system thereof |
| JP2007287124A (ja) | 2006-04-18 | 2007-11-01 | Softrun Inc | インターネット接続サイトの分析を通じたフィッシング防止方法及びその方法を実現するためのコンピュータプログラムを記録した記録媒体 |
| JP4693174B2 (ja) | 2006-05-22 | 2011-06-01 | 日本電信電話株式会社 | 中間ノード |
| GB2439370A (en) | 2006-06-26 | 2007-12-27 | Symbian Software Ltd | Telecommunications device contains multiple subscriber identities for simultaneous use on a wireless network |
| JP4857036B2 (ja) | 2006-06-29 | 2012-01-18 | ソフトバンクテレコム株式会社 | 発呼先関連情報通知サーバ、発呼先関連情報通知プログラム及び発呼先関連情報通知システム |
| JP4560018B2 (ja) | 2006-08-11 | 2010-10-13 | 日本電信電話株式会社 | 接続制御システム、接続制御装置、接続制御方法および接続制御プログラム |
| US7979054B2 (en) * | 2006-10-19 | 2011-07-12 | Qualcomm Incorporated | System and method for authenticating remote server access |
| US8681692B2 (en) * | 2006-10-20 | 2014-03-25 | T-Mobile Usa, Inc. | System and method for authorizing access to an IP-based wireless telecommunications service |
| US8793801B2 (en) | 2007-05-18 | 2014-07-29 | Goldman, Sachs & Co. | Systems and methods to secure restricted information in electronic mail messages |
| JP2009077031A (ja) * | 2007-09-19 | 2009-04-09 | Nec Corp | 携帯通信装置、モバイルコンピュータ、組織内システム、プログラム、外部通信接続制御システム、および、外部通信接続制御方法 |
| WO2009041804A2 (en) * | 2007-09-26 | 2009-04-02 | Mimos Berhad | Secure instant messaging |
| US8693976B2 (en) * | 2008-08-28 | 2014-04-08 | At&T Mobility Ii Llc | Preferential treatment for emergency callback |
| US20100131409A1 (en) * | 2008-11-22 | 2010-05-27 | Google Inc. | Identification verification with user challenge |
| US9059979B2 (en) * | 2009-02-27 | 2015-06-16 | Blackberry Limited | Cookie verification methods and apparatus for use in providing application services to communication devices |
| US20120047262A1 (en) * | 2009-04-27 | 2012-02-23 | Koninklijke Kpn N.V. | Managing Undesired Service Requests in a Network |
| US20130007875A1 (en) * | 2011-06-30 | 2013-01-03 | Ebay, Inc. | Interactive CAPTCHA |
-
2009
- 2009-04-27 US US13/266,399 patent/US20120047262A1/en active Granted
-
2010
- 2010-04-23 EP EP10717601.8A patent/EP2425647B1/en active Active
- 2010-04-23 CN CN201510201249.3A patent/CN104822146B/zh active Active
- 2010-04-23 ES ES10717601.8T patent/ES2484141T3/es active Active
- 2010-04-23 WO PCT/EP2010/055416 patent/WO2010124996A1/en active Application Filing
- 2010-04-23 EP EP14158709.7A patent/EP2755413B1/en active Active
- 2010-04-23 JP JP2012507691A patent/JP5567119B2/ja active Active
- 2010-04-23 US US13/266,399 patent/US9603022B2/en active Active
- 2010-04-23 PL PL10717601T patent/PL2425647T3/pl unknown
- 2010-04-23 EP EP13195237.6A patent/EP2717604B1/en not_active Not-in-force
- 2010-04-23 CN CN201080018664.0A patent/CN102415119B/zh active Active
-
2014
- 2014-02-24 JP JP2014033158A patent/JP5980253B2/ja not_active Expired - Fee Related
-
2015
- 2015-08-12 JP JP2015159459A patent/JP6080921B2/ja active Active
-
2017
- 2017-02-06 US US15/425,485 patent/US11234128B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2717604B1 (en) | 2018-11-14 |
| CN104822146B (zh) | 2020-03-24 |
| JP6080921B2 (ja) | 2017-02-15 |
| JP5567119B2 (ja) | 2014-08-06 |
| US9603022B2 (en) | 2017-03-21 |
| CN104822146A (zh) | 2015-08-05 |
| EP2755413B1 (en) | 2018-11-28 |
| ES2484141T3 (es) | 2014-08-11 |
| JP2014142942A (ja) | 2014-08-07 |
| CN102415119A (zh) | 2012-04-11 |
| EP2425647B1 (en) | 2014-04-23 |
| JP2012525751A (ja) | 2012-10-22 |
| EP2717604A1 (en) | 2014-04-09 |
| JP2016026338A (ja) | 2016-02-12 |
| US20170150364A1 (en) | 2017-05-25 |
| US20120047262A1 (en) | 2012-02-23 |
| PL2425647T3 (pl) | 2014-08-29 |
| EP2425647A1 (en) | 2012-03-07 |
| CN102415119B (zh) | 2015-05-27 |
| US11234128B2 (en) | 2022-01-25 |
| EP2755413A1 (en) | 2014-07-16 |
| WO2010124996A1 (en) | 2010-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6080921B2 (ja) | ネットワークにおける望ましくないサービス要求の管理 | |
| US10063377B2 (en) | Network-based authentication for third party content | |
| US8881235B2 (en) | Service-based authentication to a network | |
| US9762583B2 (en) | Protection against unsolicited communication | |
| KR100959315B1 (ko) | Gaa를 위한 일반 키-결정 메커니즘 | |
| US11063990B2 (en) | Originating caller verification via insertion of an attestation parameter | |
| US20080220740A1 (en) | Blacklisting of unlicensed mobile access (UMA) users via AAA policy database | |
| US9326141B2 (en) | Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers | |
| Sheoran et al. | NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation | |
| US11997478B2 (en) | System and method for securing electronic message | |
| US11888848B1 (en) | Two-factor authentication with public key infrastructure | |
| US11979389B1 (en) | End-to-end message encryption | |
| EP4319047A1 (en) | Trusted sender signature messaging system | |
| Shi et al. | IMS is Not That Secure on Your 5G/4G Phones | |
| Tsagkaropulos et al. | Securing IP multimedia subsystem (IMS) infrastructures: protection against attacks | |
| Beekman | Topics in Cell Phone Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20140827 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20140815 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150224 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150313 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150615 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150812 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A132 Effective date: 20160203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160506 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160627 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160726 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5980253 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |