KR101542011B1 - Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System - Google Patents

Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System Download PDF

Info

Publication number
KR101542011B1
KR101542011B1 KR1020140058206A KR20140058206A KR101542011B1 KR 101542011 B1 KR101542011 B1 KR 101542011B1 KR 1020140058206 A KR1020140058206 A KR 1020140058206A KR 20140058206 A KR20140058206 A KR 20140058206A KR 101542011 B1 KR101542011 B1 KR 101542011B1
Authority
KR
South Korea
Prior art keywords
notification message
subscriber terminal
pgw
disconnection
connection release
Prior art date
Application number
KR1020140058206A
Other languages
Korean (ko)
Inventor
정형록
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020140058206A priority Critical patent/KR101542011B1/en
Application granted granted Critical
Publication of KR101542011B1 publication Critical patent/KR101542011B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/06De-registration or detaching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method and a system for blocking an attack in a mobile communication system to prevent a malicious attack to a terminal from a server in the mobile communication system including a long term evolution (LTE). According to an aspect of the present invention, the system comprises: a packet data network gateway (PGW) for creating a detachment notification message for a subscriber terminal to transmit the same to a network address translation (NAT) device, when a detachment request is recognized from the subscriber terminal; and a NAT device for (immediately) performing an action for detaching every session connected to the subscriber terminal, when the detachment notification message is received from the PGW, wherein the PGW can recognize the detachment request based on a delete bearer request message received from a mobility management entity (MME), and the detachment notification message may include an IP of the subscriber terminal.

Description

이동통신 시스템의 공격 차단 장치, 시스템, 방법, 및 기록 매체{Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System}TECHNICAL FIELD The present invention relates to an apparatus, a system, a method, and a recording medium for an attack blocking apparatus, a system, a method,

본 발명은 LTE(Long Term Evolution)를 포함하는 이동통신 시스템에서 서버로부터 단말로의 악의적인 공격을 차단하기 위한 이동통신 시스템의 공격 차단 장치, 시스템, 방법, 및 기록 매체에 관한 것이다.The present invention relates to an apparatus and method for preventing an attack in a mobile communication system, and a recording medium, for blocking a malicious attack from a server to a terminal in a mobile communication system including LTE (Long Term Evolution).

일반적으로, LTE 시스템의 EPC망은 크게 PDN-GW(Packet Data Network Gateway), Serving-GW(Serving Gateway), MME(Mobility Management Entity) 등 3개의 논리적인 엔티티로 분리된다.Generally, an EPC network of an LTE system is divided into three logical entities such as a PDN-GW (Packet Data Network Gateway), a Serving-GW (Serving Gateway) and an MME (Mobility Management Entity).

PDN-GW는 3GPP 액세스 기술과 비 3GPP 액세스 기술(CDMA2000, WiMAX 또는 WIFI 등) 간의 이동성을 위한 글로벌 이동성 앵커 및 외부 네트워크로의 게이트웨이로서, 단말의 IP(Internet Protocol)를 할당하고 외부 인터넷망 및 비 3GPP망과 연동하는 세션 제어(Session Control) 및 사용자 플레인으로서 패킷 서비스를 위해 Serving-GW 및 외부망과 라우팅(routing) 정보를 유지하며 터널링(tunneling) 및 IP 라우팅 기능을 갖는다.The PDN-GW is a global mobility anchor for mobility between 3GPP access technology and non-3GPP access technology (such as CDMA2000, WiMAX or WIFI) and a gateway to the external network. It allocates IP (Internet Protocol) (Session Control) interworking with the 3GPP network and a Serving-GW and external network and routing information for packet service as a user plane, and has tunneling and IP routing functions.

Serving-GW는 3GPP 액세스(E-UTRAN, UTRAN, GERAN) 간의 이동성을 위한 이동성 앵커이다. Serving-GW는 설정된 세션에 따라 페이로드 트래픽(payload traffic)을 처리하는 세션 제어 및 사용자 플레인 노드로서 eNodeB와 S1-U 인터페이스(Interface)로 연동하며, Inter LTE/3GPP 핸드오프(handoff)를 지원한다.Serving-GW is a mobility anchor for mobility between 3GPP access (E-UTRAN, UTRAN, GERAN). Serving-GW interworks with eNodeB and S1-U interface as session control and user plane node that handles payload traffic according to the established session and supports Inter LTE / 3GPP handoff .

MME는 상이한 EUTRAN eNodeB 사이에서 이동하는 단말 장치(User Element: UE)의 이동성 관리를 담당하고, 세션 관리도 담당하는 제어 플레인 엔티티이다.The MME is a control plane entity responsible for mobility management of UEs moving between different EUTRAN eNodeBs and also for session management.

전술한 LTE 시스템을 포함하는 이동통신 시스템의 패킷 코어 네트워크(Packet Core Network)에서는 제한된 IP 자원의 관리를 위해서 네트워크에 접속(Attach) 시마다 IP를 할당해주는데 그 IP는 고정되어 있지 않다.In the packet core network of the mobile communication system including the above-described LTE system, in order to manage the limited IP resources, IP is assigned to each time of attaching to the network, and its IP is not fixed.

이동통신 가입자 단말로의 수신 트래픽은 가입자가 우선적으로 트리거(Trigger)한 서버와의 세션만이 연결되도록 NAT(Network Address Translation)에 해당 세션에 대한 정보, 예를 들어, 가입자 단말의 IP(이하, 제1 IP 라 칭함)와 해당 서버의 IP(이하 제2 IP라 칭함)가 등록된다. 따라서, 악의적인 다른 서버로부터의 트래픽 공격에 대해서 가입자를 보호하도록 되어있다.The received traffic to the mobile communication subscriber terminal is transmitted to a network address translation (NAT) such that only a session with a server with which the subscriber first triggers is connected, (Hereinafter referred to as a first IP) and an IP of the server (hereinafter referred to as a second IP) are registered. Therefore, it is designed to protect subscribers against malicious traffic attacks from other servers.

그러나, 악의 적인 가입자가 자신이 사용한 제1 IP를 통해서 특정 서버에 세션(session) 연결하여 NAT에 해당 세션을 등록(제1 IP와 제2 IP 간의 세션 등록)한 후에 접속해제(detach)하면 해당 가입자가 사용한 제1 IP는 패킷 코어 네트워크에 반납되지만 NAT에서는 등록된 제1 IP와 제2 IP 간의 해당 세션을 기 설정된 일정 시간 후에 해제하기 때문에, 기존에 악의적인 가입자가 사용한 제1 IP를 재할당 받은 다른 가입자는 악의적인 가입자가 세션 등록한 특정 서버로부터 공격받을 수 있는 문제점이 있었다.However, if a malicious subscriber connects a session to a specific server through the first IP used by the malicious subscriber and detaches the session after registering the session with the NAT (session registration between the first IP and the second IP) The first IP used by the subscriber is returned to the packet core network. However, in NAT, since the corresponding session between the registered first IP and the second IP is released after a predetermined period of time, the first IP used by the malicious subscriber is reassigned The other subscribers received could be attacked from a specific server that the malicious subscribers registered for the session.

예를 들어, 도 1은 전술한 기존의 문제점과 같이 IP 주소 재 사용 프로세스를 악용한 비정상 트래픽 유입의 공격 시나리오 및 취약성을 설명하기 위한 도면으로, 동 도면에 도시된 바와 같이, 공격자가 악의적인 서버와 TCP 연결 시도 후 모바일 네트워크 접속 해제를 통해 IP 주소 반납하면, 악의적인 서버는 반납된 IP 주소로 주기적으로 TCP ACK 패킷을 전송하여 방화벽 오픈 상태를 유지하고, 이로 인해 공격자가 사용했던 IP 주소를 할당 받은 정상 사용자는 악의적인 서버가 전송하는 대량의 더미 패킷(TCP ACK, FIN 등)을 무조건 수신하게 되어, 이동통신망에는 부하나 장애를 유발하고 사용자에게는 비정상 과금 등의 위협이 발생하는 문제점이 있었다.For example, FIG. 1 is a diagram for explaining an attack scenario and vulnerability of an unauthorized traffic inflow by exploiting an IP address reuse process as in the conventional problems described above. As shown in the figure, when an attacker is a malicious server The malicious server periodically transmits a TCP ACK packet to the returned IP address to maintain the open state of the firewall, thereby allocating the IP address used by the attacker A normal user receives a large amount of dummy packets (TCP ACK, FIN, etc.) transmitted from a malicious server, thereby causing a malfunction in the mobile communication network and causing a threat such as abnormal charging to the user.

등록특허 제10-0932570호(2009.12.09. 등록)Registration No. 10-0932570 (Registered on December 9, 2009)

본 발명은 전술한 종래의 문제점을 해결하기 위한 것으로, 그 목적은 LTE(Long Term Evolution)를 포함하는 이동통신 시스템에서 서버로부터 단말로의 악의적인 공격을 차단하기 위한 이동통신 시스템의 공격 차단 장치, 시스템, 방법, 및 기록 매체를 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide an attack blocking device for a mobile communication system for blocking a malicious attack from a server to a terminal in a mobile communication system including LTE (Long Term Evolution) System, method, and recording medium.

전술한 목적을 달성하기 위하여 본 발명의 일 측면에 따른 이동통신 시스템의 공격 차단 장치는, 가입자 단말로부터의 접속해제(Detach) 요청을 인지하기 위한 접속해제 인지부; 및 상기 접속해제 요청의 인지 시, 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 위한 접속해제 통지부를 포함하고, 상기 접속해제 통지 메시지는 상기 NAT 장치가 상기 접속해제 통지 메시지를 수신하여 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행할 수 있도록 인디케이터(indicator) 역할을 수행할 수 있다.According to an aspect of the present invention, there is provided an apparatus for blocking an attack in a mobile communication system, the apparatus comprising: a connection release unit for recognizing a connection release request from a subscriber station; And a disconnection notification unit for generating a disconnection notification message and transmitting the disconnection notification message to a Network Address Translation (NAT) apparatus upon recognition of the disconnection request, wherein the disconnection notification message is a message indicating that the NAT apparatus has received the disconnection notification message And can perform an operation for receiving and releasing all sessions connected to the subscriber terminal.

상기 NAT는 상기 접속해제 통지 메시지의 수신 시, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행할 수 있다.Upon receiving the disconnection notification message, the NAT may perform an operation for releasing all sessions connected to the subscriber terminal.

상기 접속해제 인지부는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지할 수 있고, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함할 수 있으며, 상기 이동통신 시스템에서의 악의적인 공격을 차단하기 위한 장치는 PGW를 포함할 수 있다. The disconnection acknowledgment unit may recognize the disconnection request based on a Delete Bearer Request message received from the MME, the disconnection notification message may include an IP of the subscriber terminal, and the malicious The device for blocking an attack may include a PGW.

전술한 목적을 달성하기 위하여 본 발명의 다른 측면에 따른 이동통신 시스템의 공격 차단 장치는, NAT(Network Address Translation) 장치에 포함되는 장치로서, 이동통신 시스템으로부터 가입자 단말에 대한 접속해제 통지 메시지를 수신하기 위한 수신부; 및 상기 접속해제 통지 메시지의 수신 시 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 (즉시) 수행하는 세션 해제부를 포함할 수 있다. According to another aspect of the present invention, there is provided an apparatus for preventing an attack in a mobile communication system, the apparatus including an NAT (Network Address Translation) apparatus, ; And a session releasing unit for (immediately) performing an operation for releasing all sessions connected to the subscriber terminal upon receiving the disconnection notification message.

상기 수신부는 상기 이동통신 시스템의 PGW로부터 상기 접속해제 통지 메시지를 수신할 수 있고, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함할 수 있다.The receiving unit may receive the disconnection notification message from the PGW of the mobile communication system, and the disconnection notification message may include the IP of the subscriber terminal.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따른 이동통신 시스템의 공격 차단 시스템은, 가입자 단말로부터의 접속해제(Detach) 요청이 인지되면, 상기 가입자 단말에 대한 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 PGW; 및 상기 PGW로부터 상기 접속해제 통지 메시지가 수신되면, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 (즉시) 수행하는 NAT 장치를 포함할 수 있고, 상기 PGW는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지할 수 있으며, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함할 수 있다.According to another aspect of the present invention, there is provided an attack prevention system for a mobile communication system, the method comprising: generating a connection release notification message for the subscriber terminal when a detach request is received from the subscriber terminal; Transfer to NAT (Network Address Translation) device PGW; And a NAT device for (immediately) performing an operation to (immediately) release all sessions connected to the subscriber terminal when the disconnection notification message is received from the PGW. The PGW may include a Delete Bearer Request message The disconnection notification message may include the IP of the subscriber terminal.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따른 이동통신 시스템의 공격 차단 방법은, 이동통신 시스템의 PGW에서 수행하는 방법으로서, (a) 가입자 단말로부터의 접속해제(Detach) 요청을 인지하기 위한 단계; 및 (b) 상기 접속해제 요청의 인지 시, 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 위한 단계를 포함하고, 상기 NAT는 상기 접속해제 통지 메시지의 수신 시, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행할 수 있다.According to still another aspect of the present invention, there is provided a method for blocking an attack in a mobile communication system, the method comprising the steps of: (a) detecting a detach request from a subscriber terminal; ; And (b) upon receipt of the disconnection request, generating a disconnection notification message and transmitting the disconnection notification message to a Network Address Translation (NAT) device, wherein upon receiving the disconnection notification message, Lt; RTI ID = 0.0 > and / or < / RTI >

상기 단계 (a)는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지할 수 있고, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함할 수 있다.The step (a) may recognize the connection release request based on the Delete Bearer Request message received from the MME, and the connection release notification message may include the IP of the subscriber terminal.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따른 이동통신 시스템의 공격 차단 방법은, NAT(Network Address Translation) 장치에서 수행하는 방법으로서, (a) 이동통신 시스템으로부터 가입자 단말에 대한 접속해제 통지 메시지를 수신하기 위한 단계; 및 (b) 상기 접속해제 통지 메시지의 수신 시 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행하는 단계를 포함할 수 있고, 상기 단계 (a)는 상기 이동통신 시스템의 PGW로부터 상기 접속해제 통지 메시지를 수신할 수 있고, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함할 수 있다.According to another aspect of the present invention, there is provided a method for blocking an attack in a mobile communication system, the method comprising the steps of: (a) disconnecting a subscriber terminal from a mobile communication system Receiving a notification message; And (b) performing an operation to release all sessions associated with the subscriber station upon receipt of the disconnection notification message, wherein the step (a) comprises the steps of: disconnecting from the PGW of the mobile communication system A notification message may be received, and the disconnection notification message may include the IP of the subscriber terminal.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따른 이동통신 시스템의 공격 차단 방법은, PGW와 NAT를 포함하는 시스템에서 수행하는 방법으로서, (a) 상기 PGW에서, 가입자 단말로부터의 접속해제(Detach) 요청이 인지되면, 상기 가입자 단말에 대한 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 단계; 및 (b) 상기 NAT에서, 상기 PGW로부터 상기 접속해제 통지 메시지가 수신되면, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행하는 단계를 포함할 수 있고, 상기 단계 (a)에서 상기 PGW는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지할 수 있고, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함할 수 있다.According to another aspect of the present invention, there is provided a method for blocking an attack in a mobile communication system, the method comprising the steps of: (a) in a PGW, Generating a connection release notification message for the subscriber terminal and transmitting the connection release notification message to a network address translation (NAT) device; And (b) performing, in the NAT, an operation for releasing all sessions connected to the subscriber terminal when the disconnection notification message is received from the PGW, wherein in the step (a), the PGW May recognize the disconnect request based on the Delete Bearer Request message received from the MME, and the disconnect notification message may include the IP of the subscriber terminal.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 이동통신 시스템의 공격 차단 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체가 제공될 수 있다.According to another aspect of the present invention, there is provided a computer-readable recording medium having recorded thereon a program for executing an attack blocking method of the mobile communication system.

이상에서 설명한 바와 같이 본 발명의 다양한 측면에 따르면, LTE(Long Term Evolution)를 포함하는 이동통신 시스템에서 가입자 단말이 특정 서버와의 접속을 종료하고 망으로부터 접속해제(Detach) 하면 NAT에 등록된 해당 가입자 단말의 모든 세션을 즉시 해제하므로, 단말의 접속해제 시 악의적인 서버로부터 해당 단말로의 공격을 차단할 수 있다.As described above, according to various aspects of the present invention, in a mobile communication system including LTE (Long Term Evolution), when a subscriber terminal terminates a connection with a specific server and detaches from a network, Since all the sessions of the subscriber station are immediately released, an attack from the malicious server to the terminal can be blocked when the terminal is disconnected.

도 1은 기존 이동통신 시스템에서의 공격 시나리오 및 취약성을 설명하기 위한 도면,
도 2는 본 발명의 실시예에 따른 이동통신 시스템의 구성도,
도 3은 본 발명의 실시예에 따른 도 1의 PGW의 구성도,
도 4는 본 발명의 실시예에 따른 도 1의 NAT의 구성도,
도 5는 본 발명의 실시예에 따른 이동통신 시스템의 공격 차단 방법의 흐름도이다. FIG. 1 is a view for explaining an attack scenario and vulnerability in an existing mobile communication system;
2 is a configuration diagram of a mobile communication system according to an embodiment of the present invention,
3 is a configuration diagram of the PGW of FIG. 1 according to an embodiment of the present invention;
4 is a configuration diagram of the NAT of FIG. 1 according to an embodiment of the present invention.
5 is a flowchart of an attack blocking method in a mobile communication system according to an embodiment of the present invention.

이하, 첨부도면을 참조하여 본 발명의 실시예에 대해 구체적으로 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 한다. 또한, 본 발명의 실시예에 대한 설명 시 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the drawings, like reference numerals are used to denote like elements in the drawings, even if they are shown in different drawings. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail.

도 2는 본 발명의 실시예에 따른 이동통신 시스템의 구성도로, 동 도면에 도시된 바와 같이, UE(User Equipment)(1), eNB(eNode B)(10), MME(Mobile Management Entity)(20), SGW(Serving Gateway)(50), PGW(Packet Data Network Gateway)(30), NAT(Network Address Translation) 장치(40), 및 PDN(Packet Data Network)(60)을 포함할 수 있다.2 is a block diagram of a mobile communication system according to an embodiment of the present invention. As shown in the figure, a UE (User Equipment) 1, an eNB (eNode B) 10, a Mobile Management Entity 20, a Serving Gateway (SGW) 50, a Packet Data Network Gateway (PGW) 30, a Network Address Translation (NAT) device 40 and a Packet Data Network (PDN)

UE(1)은 가입자 단말 장치로서, 일반적으로 LTE 네트워크의 eNB(10)의 무선 통신 중계를 받아 데이터 호 발신을 교환 수단인 MME(20)로 전달한다. UE(1)에는 스마트폰(smart phone), 노트패드(notepad), 태블릿(tablet) 컴퓨터 등의 모바일 단말 장치들이 포함될 수 있다. 그런데, 이러한 모바일 단말 장치들은 UE(1)의 예시에 불과한 것으로, 무선 인터넷을 통한 데이터 서비스를 받을 수 있는 다양한 형태의 단말 장치가 UE(1)에 포함될 수 있다.The UE 1 is a subscriber terminal device and generally receives a data communication relay of the eNB 10 of the LTE network and transmits the data call origination to the MME 20 as an exchange means. The UE 1 may include mobile terminal devices such as a smart phone, a notepad, and a tablet computer. However, these mobile terminal devices are merely an example of the UE 1, and various types of terminal devices capable of receiving data service through the wireless Internet can be included in the UE 1.

eNB(10)는 EUTRAN(Evolved Universal Terrestrial Radio Access Network) 액세스 방식의 기지국 장비로서, 일반적으로 전송신호의 RF화 및 송수신, 신호세기 및 품질측정, 기저대역 신호처리, 채널 카드 자원관리 등의 기능을 수행한다.The eNB 10 is a base station equipment of an EUTRAN (Evolved Universal Terrestrial Radio Access Network) access method. Generally, the eNB 10 performs RF transmission and reception, signal intensity and quality measurement, baseband signal processing, .

MME(20)는 eNB(10)와 SGW(50) 간의 신호제어를 담당하는 EUTRAN 액세스 방식의 이동통신 교환국으로서, 일반적으로 UE(1)로부터 인입되는 데이터를 어느 곳으로 라우팅(routing)할 지를 결정하며, 가입자 정보 및 UE(1)의 이동성 관리, 세션(session) 관리, 아이들(idle) 가입자 관리, 페이징(paging), 가입자 인증 기능 등을 담당하는 역할을 한다.The MME 20 is an EUTRAN access-type mobile communication exchange center for signaling control between the eNB 10 and the SGW 50. The MME 20 generally decides where to route the incoming data from the UE 1 And is responsible for subscriber information and mobility management, session management, idle subscriber management, paging, and subscriber authentication functions of the UE 1.

SGW(50)는 eNB(10)와 제2의 eNB간의 UE(1)의 이동성을 관리하는 서빙 게이트웨이 장치로서, 일반적으로 설정된 세션에 따라 페이로드 트래픽(payload traffic)을 처리하는 세션 제어 기능을 수행한다. 또한, SGW(50)는 eNB(10)와 연동하며, 핸드오버를 지원하고, PGW(30)와 EPS 베어러(Evolved Packet System bearer)를 설정하며, 터널링(tunneling)을 이용하여 PDU(Packet Data Unit)를 전달하는 역할을 한다.The SGW 50 is a serving gateway device for managing the mobility of the UE 1 between the eNB 10 and the second eNB, and performs a session control function for processing payload traffic according to a generally established session do. The SGW 50 interworks with the eNB 10 and supports handover and sets up the PGW 30 and an EPS bearer (Evolved Packet System bearer) and uses tunneling to transmit packet data units ).

PGW(30)는 UE(1)의 IP 주소를 할당하고 PDN(Packet Data Network)(60)과 연동하는 세션을 제어하는 패킷 데이터 네트워크 게이트웨이 장치로서, 일반적으로 패킷 서비스를 위해 SGW(50) 및 PDN(60)과 라우팅 정보를 유지하고, 터널링 및 IP 라우팅 기능을 수행하며, SGW(50) 및 PDN(60)으로 PDU를 전달하는 역할을 한다.The PGW 30 is a packet data network gateway device that allocates an IP address of the UE 1 and controls a session linked with a PDN (Packet Data Network) 60. In general, the SGW 50 and the PDN Maintains the routing information and routing information, performs tunneling and IP routing functions, and delivers PDUs to the SGW 50 and the PDN 60.

또한 본 발명의 실시예에 따르면 PGW(30)는 UE(1)로부터의 접속해제(Detach) 요청이 인지되면, 해당 UE(1)에 대한 접속해제 통지 메시지를 생성하여 NAT 장치(40)로 전송할 수 있다.In addition, according to the embodiment of the present invention, when a detach request from the UE 1 is recognized, the PGW 30 generates a connection release notification message for the UE 1 and transmits it to the NAT device 40 .

본 실시예에서 접속해제 통지 메시지는 NAT 장치(40)가 접속해제 통지 메시지를 수신하면 해당 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행할 수 있도록 하는 인디케이터(indicator) 역할을 수행할 수 있다.In this embodiment, the disconnection notification message may serve as an indicator for enabling the NAT device 40 to perform an operation for releasing all sessions connected to the subscriber terminal when receiving the disconnection notification message .

NAT 장치(40)는 일반적으로 공개된 과 사설망 사이에 (Firewall)을 설치하여 외부 공격으로부터 사용자의 을 보호하는 기본적인 수단으로 활용할 수 있다. 이때 외부 즉 망과 연결하는 장비인 라우터에 NAT를 설정할 경우 라우터는 자신에게 할당된 공인 IP주소만 외부로 알려지게 하고, 내부에서는 사설 IP주소만 사용하도록 하여 필요시에 이를 서로 변환시켜 준다. 따라서 외부 침입자가 공격하기 위해서는 사설망의 내부 사설 IP주소를 알아야 하기 때문에 공격이 불가능해지므로 내부 네트워크를 보호할 수 있다. The NAT device 40 can be utilized as a basic means for protecting a user from an external attack by installing a (Firewall) between a public and a private network. At this time, when NAT is set to a router which is an external device, that is, a router, only the public IP address allocated to the router is made known to the outside, and only the private IP address is used internally. Therefore, in order to attack an intruder, it is necessary to know the internal private IP address of the private network.

본 실시예에서 NAT 장치(40)는 UE(1)와 서버(70) 간의 세션 연결 시 해당 세션에 대한 정보, 예를 들어, UE(1)의 IP(이하, 제1 IP 라 칭함)와 해당 서버의 IP(이하 제2 IP라 칭함)를 등록하여, 악의적인 다른 서버로부터 UE(1)에 대한 트래픽 공격에 대해서 가입자를 보호하기 위한 것이다.In the present embodiment, the NAT device 40 transmits information about the session, for example, the IP (hereinafter referred to as the first IP) of the UE 1, and the corresponding (Hereinafter referred to as a second IP) of the server and protect the subscriber against a traffic attack against the UE 1 from a malicious other server.

또한 본 발명의 실시예에 따르면 NAT 장치(40)는 PGW(30)로부터 접속해제 통지 메시지가 수신되면 즉, PGW(30)로부터 접속해제 통지 메시지를 통해 UE(1)의 접속해제(Detach) 인지 사실이 통지되면 UE(1)와 연결된 모든 세션을 해제하기 위한 동작을 수행한다.According to the embodiment of the present invention, the NAT device 40 determines whether the disconnection notification message is received from the PGW 30, that is, whether the UE 1 is detached from the PGW 30 via the disconnection notification message When the fact is notified, an operation for releasing all sessions connected to the UE 1 is performed.

PDN(60)은 패킷 데이터 네트워크로서, 예를 들면 인터넷(Internet) 등을 포함할 수 있다. The PDN 60 may include, for example, the Internet as a packet data network.

도 3은 본 발명의 실시예에 따른 이동통신 시스템의 공격 차단 장치의 구성도로, 도 1의 PGW(30)에 포함되는 세부 구성도이고, 동 도면에 도시된 바와 같이, 접속해제 인지부(31) 및 접속해제 통지부(33)를 포함할 수 있다.FIG. 3 is a detailed configuration diagram included in the PGW 30 of FIG. 1 as a configuration of an attack shielding apparatus of a mobile communication system according to an embodiment of the present invention. As shown in FIG. 3, And a connection release notification section 33. [

접속해제 인지부(31)는 가입자 단말로서의 UE(1)로부터 이동통신망에 대한 접속해제 요청(Detach Request)이 있으면 그 접속해제 요청 사실을 인지하기 위한 것으로, 예를 들어, MME(20)로부터 Delete Bearer Request 메시지가 수신되면 그 수신된 Delete Bearer Request 메시지를 기초로 UE(1)의 접속해제 요청이 있음을 인지할 수 있다.The connection release acknowledgment unit 31 is for recognizing the fact of a connection release request when there is a detach request for the mobile communication network from the UE 1 as a subscriber terminal. For example, Upon receiving the Bearer Request message, it can recognize that there is a connection release request of the UE 1 based on the received Delete Bearer Request message.

접속해제 통지부(33)는 접속해제 인지부(31)를 통해 UE(1)로부터 접속해제 요청이 있음을 인지하면 그 인지 사실을 NAT 장치(40)로 통지하기 위한 것으로, 예를 들어, UE(1)의 접속해제 사실을 통지하기 위한 접속해제 통지 메시지(Detach Notify)를 생성하여 NAT 장치(40)로 전송할 수 있으며, 본 실시예에서 접속해제 통지 메시지는 해당 UE(1)의 IP를 포함할 수 있다.The disconnection notifying unit 33 is for notifying the NAT device 40 of the fact that it is aware of the disconnection request from the UE 1 through the disconnection acknowledgment unit 31. For example, (Detach Notify) for notifying the disconnection of the UE 1 to the NAT device 40. In this embodiment, the disconnection notification message includes the IP of the UE 1 can do.

도 4는 본 발명의 실시예에 따른 이동통신 시스템의 공격 차단 장치의 구성도로, 도 1의 NAT 장치(40)에 포함되는 세부 구성도이고, 동 도면에 도시된 바와 같이, 수신부(41) 및 세션 해제부(43)를 포함할 수 있다.FIG. 4 is a detailed configuration diagram of the NAT device 40 of FIG. 1 as a configuration of an attack blocking device of the mobile communication system according to an embodiment of the present invention. As shown in FIG. 4, And a session cancellation unit 43.

수신부(41)는 이동통신 시스템의 PGW(30)로부터 가입자 단말로서의 UE(1)에 대한 접속해제 통지 메시지(Detach Notify)를 수신하기 위한 것이고, 접속해제 통지 메시지는 해당 UE(1)의 IP를 포함할 수 있다.The reception unit 41 is for receiving a connection release notification message (Detach Notify) for the UE 1 as a subscriber terminal from the PGW 30 of the mobile communication system, .

세션 해제부(43)는 수신부(41)를 통해 접속해제 통지 메시지가 수신되면, 그 수신된 접속해제 통지 메시지를 기초로 해당 UE(1)와 연결된 모든 세션을 해제하기 위한 동작을 즉시 수행하기 위한 것이다.Upon receipt of the connection release notification message through the reception unit 41, the session release unit 43 performs an operation for immediately performing an operation for releasing all sessions connected to the UE 1 based on the connection release notification message will be.

도 5는 본 발명의 실시예에 따른 이동통신 시스템의 공격 차단 방법의 흐름도로, 도 2~4의 각 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.FIG. 5 is a flowchart of an attack blocking method of a mobile communication system according to an embodiment of the present invention. FIG. 5 is applied to each device of FIGS.

본 실시예는 UE(1)가 서버(70)에 접속하여 NAT 장치(40)에 UE(1)와 서버(70) 간의 세션 정보 예컨대, UE(1)의 IP와 서버(70)의 IP가 등록된 상태를 전제로 한다.The present embodiment describes a case where the UE 1 connects to the server 70 and the session information between the UE 1 and the server 70 such as the IP of the UE 1 and the IP of the server 70 The registered status is assumed.

이후, UE(1)의 사용자가 서버(70)와의 접속종료를 선택하면 UE(1)는 eNB(10)를 통해 MME(20)로 Detach Request 메시지를 전송하고(S501), MME(20)는 Delete Bearer Request 메시지를 PGW(30)로 전송한다(S503). The UE 1 transmits a Detach Request message to the MME 20 via the eNB 10 in step S501 and the MME 20 transmits a Detach Request message to the MME 20 in step S502. And transmits a Delete Bearer Request message to the PGW 30 (S503).

이어 PGW(30)는 단계 S503에서 수신된 Delete Bearer Request 메시지를 기초로 UE(1) IP를 반납 받음과 아울러 해당 UE(1)의 접속해제 요청을 인지한다(S505).Then, the PGW 30 receives the IP of the UE 1 based on the Delete Bearer Request message received in step S503, and recognizes the connection release request of the corresponding UE 1 (S505).

이어 PGW(30)는 해당 UE(1)의 IP 주소를 포함하는 Detach Notify 메시지를 생성하여 NAT 장치(40)로 전송함으로써, 단계 S505에서 인지된 해당 UE(1)의 접속해제 사실을 NAT 장치(40)에 통지한다(S507).The PGW 30 generates a Detach Notify message including the IP address of the corresponding UE 1 and transmits the detach notify message to the NAT device 40 to inform the NAT device 40 of the disconnection of the UE 1 recognized in step S505 40 (S507).

NAT 장치(40)는 단계 S507에서 PGW(30)로부터 수신된 Detach Notify 메시지를 기초로 해당 UE(1)와 연결된 모든 세션을 해제하기 위한 동작을 즉시 수행하는데, 예를 들어, 기 등록된 해당 세션 정보로서의 해당 UE(1)의 IP와 서버(70)의 IP를 삭제하여 해당 세션을 해제한다.The NAT device 40 immediately performs an operation for releasing all sessions connected to the UE 1 based on the Detach Notify message received from the PGW 30 in step S507. For example, The IP of the corresponding UE 1 and the IP of the server 70 as information are deleted and the corresponding session is released.

또한 PGW(30)는 단계 S503에서 수신된 Delete Bearer Request 메시지에 대한 응답으로 Detach Response 메시지를 MME(20)로 전송하고(S511), MME(20)는 PGW(30)로부터 Delete Bearer Request 메시지가 수신되면 단계 S501에서 수신된 Detach Request 메시지에 대한 응답으로 Detach Accept 메시지를 UE(1)로 전송한다(S513). The PGW 30 transmits a Detach Response message to the MME 20 in response to the Delete Bearer Request message received in step S503 (S511), and the MME 20 receives a Delete Bearer Request message from the PGW 30 A Detach Accept message is transmitted to the UE 1 in response to the Detach Request message received in step S501 (S513).

전술한 바와 같이 본 발명의 실시예에 따른 이동통신 시스템에서의 악의적인 공격을 차단하기 위한 방법은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 기록 매체로 구현될 수 있다. 상기 컴퓨터 판독 가능 기록 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기록 매체는 본 발명의 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 기록 매체는 프로그램 명령, 로컬 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.As described above, a method for blocking a malicious attack in a mobile communication system according to an embodiment of the present invention can be implemented as a computer-readable recording medium including a program command for performing various computer-implemented operations . The computer-readable recording medium may include a program command, a local data file, a local data structure, or the like, alone or in combination. The recording medium may be those specially designed and constructed for the embodiments of the present invention or may be those known to those skilled in the computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floppy disks, and ROMs, And hardware devices specifically configured to store and execute the same program instructions. The recording medium may be a transmission medium such as an optical or metal line, a wave guide, or the like, including a carrier wave for transmitting a signal designating a program command, a local data structure, or the like. Examples of program instructions may include machine language code such as those generated by a compiler, as well as high-level language code that may be executed by a computer using an interpreter or the like.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

1: UE(User Equipment)
10: eNB(eNode B)
20: MME(Mobile Management Entity)
30: PGW(PDN Gateway)
31: 접속해제 인지부
33: 접속해제 통지부
40: NAT(Network Address Translation)
41: 수신부
43; 세션 해제부
50: SGW(Serving Gateway)
60: PDN(Packet Data Network)
70: 서버1: UE (User Equipment)
10: eNB (eNode B)
20: Mobile Management Entity (MME)
30: PGW (PDN Gateway)
31:
33: connection release notification section
40: Network Address Translation (NAT)
41: Receiver
43; Session release section
50: SGW (Serving Gateway)
60: Packet Data Network (PDN)
70: Server

Claims (20)

가입자 단말로부터의 접속해제(Detach) 요청을 인지하기 위한 접속해제 인지부; 및
상기 접속해제 요청의 인지 시, 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 위한 접속해제 통지부를 포함하고,
상기 접속해제 통지 메시지는 상기 NAT 장치가 상기 접속해제 통지 메시지를 수신하여 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행할 수 있도록 하는 인디케이터(indicator) 역할을 수행하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 장치.A disconnection acknowledgment for recognizing a detach request from a subscriber terminal; And
And a disconnection notification unit for generating a disconnection notification message and transmitting the disconnection notification message to a Network Address Translation (NAT) apparatus upon recognition of the disconnection request,
Wherein the connection release notification message serves as an indicator for enabling the NAT device to perform an operation for receiving the connection release notification message and releasing all sessions connected to the subscriber terminal. System's attack blocking device. 제1항에 있어서,
상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 장치.The method according to claim 1,
Wherein the connection release notification message includes an IP of the subscriber terminal. 제1항에 있어서,
상기 접속해제 인지부는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 장치.The method according to claim 1,
Wherein the disconnection acknowledgment unit recognizes the disconnection request based on a Delete Bearer Request message received from the MME. 제1항 내지 제3항 중 한 항에 있어서,
상기 이동통신 시스템의 공격 차단 장치는 PGW인 것을 특징으로 하는 이동통신 시스템의 공격 차단 장치.4. The method according to any one of claims 1 to 3,
Wherein the attack blocking device of the mobile communication system is a PGW. NAT(Network Address Translation) 장치에 포함되는 장치로서,
이동통신 시스템으로부터 가입자 단말에 대한 접속해제 통지 메시지를 수신하기 위한 수신부; 및
상기 접속해제 통지 메시지의 수신 시 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행하는 세션 해제부를 포함하고,
상기 수신부는 상기 이동통신 시스템의 PGW로부터 상기 접속해제 통지 메시지를 수신하며, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 장치.As an apparatus included in a NAT (Network Address Translation) apparatus,
A reception unit for receiving a connection release notification message for a subscriber terminal from the mobile communication system; And
And a session releasing unit for performing an operation for releasing all sessions connected to the subscriber station upon receipt of the connection release notification message,
Wherein the receiving unit receives the disconnection notification message from the PGW of the mobile communication system, and the disconnection notification message includes an IP of the subscriber terminal. 삭제delete 삭제delete 가입자 단말로부터의 접속해제(Detach) 요청이 인지되면, 상기 가입자 단말에 대한 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 PGW; 및
상기 PGW로부터 상기 접속해제 통지 메시지가 수신되면, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행하는 NAT 장치를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 시스템.A PGW for generating a connection release notification message for the subscriber terminal and transmitting the connection release notification message to a network address translation (NAT) device when a detach request is received from the subscriber terminal; And
And a NAT device for performing an operation for releasing all sessions connected to the subscriber terminal when the disconnection notification message is received from the PGW. 제8항에 있어서,
상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 시스템.9. The method of claim 8,
And the connection release notification message includes an IP of the subscriber terminal. 제8항에 있어서,
상기 PGW는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 시스템.9. The method of claim 8,
Wherein the PGW recognizes the connection release request based on the Delete Bearer Request message received from the MME. 이동통신 시스템의 PGW에서 수행하는 방법으로서,
(a) 가입자 단말로부터의 접속해제(Detach) 요청을 인지하기 위한 단계; 및
(b) 상기 접속해제 요청의 인지 시, 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 위한 단계를 포함하고,
상기 NAT는 상기 접속해제 통지 메시지의 수신 시, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.A method for performing in a PGW of a mobile communication system,
(a) recognizing a detach request from a subscriber terminal; And
(b) generating, upon acknowledgment of the disconnection request, a disconnection notification message and transmitting the disconnection notification message to a Network Address Translation (NAT) device,
Wherein the NAT performs an operation for releasing all sessions connected to the subscriber terminal upon receiving the disconnection notification message. 제11항에 있어서,
상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.12. The method of claim 11,
And the disconnection notification message includes an IP of the subscriber terminal. 제11항에 있어서,
상기 단계 (a)는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.12. The method of claim 11,
Wherein the step (a) recognizes the connection release request based on the Delete Bearer Request message received from the MME. NAT(Network Address Translation) 장치에서 수행하는 방법으로서,
(a) 이동통신 시스템으로부터 가입자 단말에 대한 접속해제 통지 메시지를 수신하기 위한 단계; 및
(b) 상기 접속해제 통지 메시지의 수신 시 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 수행하는 단계를 포함하고,
상기 단계 (a)는 상기 이동통신 시스템의 PGW로부터 상기 접속해제 통지 메시지를 수신하며, 상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.A method performed by a NAT (Network Address Translation) apparatus,
(a) receiving a connection release notification message for a subscriber terminal from a mobile communication system; And
(b) performing an operation for releasing all sessions connected to the subscriber terminal upon receipt of the connection release notification message,
Wherein the step (a) receives the disconnection notification message from the PGW of the mobile communication system, and the disconnection notification message includes an IP of the subscriber terminal. 삭제delete 삭제delete PGW와 NAT를 포함하는 시스템에서 수행하는 방법으로서,
(a) 상기 PGW에서, 가입자 단말로부터의 접속해제(Detach) 요청이 인지되면, 상기 가입자 단말에 대한 접속해제 통지 메시지를 생성하여 NAT(Network Address Translation) 장치로 전송하기 단계; 및
(b) 상기 NAT에서, 상기 PGW로부터 상기 접속해제 통지 메시지가 수신되면, 상기 가입자 단말과 연결된 모든 세션을 해제하기 위한 동작을 (즉시) 수행하는 단계를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.A method performed in a system including a PGW and a NAT,
(a) generating, in the PGW, a connection release notification message for the subscriber terminal and transmitting the connection release notification message to a network address translation (NAT) device when a connection detach request is recognized from the subscriber terminal; And
(b) if the disconnection notification message is received from the PGW in the NAT, performing an operation (immediately) for releasing all sessions connected to the subscriber terminal, How to block. 제17항에 있어서,
상기 접속해제 통지 메시지는 상기 가입자 단말의 IP를 포함하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.18. The method of claim 17,
And the disconnection notification message includes an IP of the subscriber terminal. 제17항에 있어서,
상기 단계 (a)에서 상기 PGW는 MME로부터 수신된 Delete Bearer Request 메시지를 기초로 상기 접속해제 요청을 인지하는 것을 특징으로 하는 이동통신 시스템의 공격 차단 방법.18. The method of claim 17,
Wherein the PGW recognizes the connection release request based on the Delete Bearer Request message received from the MME in step (a). 제11항 내지 제14항 및 제17항 내지 제19항 중 어느 한 항의 상기 이동통신 시스템의 공격 차단 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.A computer-readable recording medium having recorded thereon a program for executing an attack blocking method of the mobile communication system according to any one of claims 11 to 14 and 17 to 19.
KR1020140058206A 2014-05-15 2014-05-15 Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System KR101542011B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140058206A KR101542011B1 (en) 2014-05-15 2014-05-15 Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140058206A KR101542011B1 (en) 2014-05-15 2014-05-15 Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System

Publications (1)

Publication Number Publication Date
KR101542011B1 true KR101542011B1 (en) 2015-08-05

Family

ID=53886353

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140058206A KR101542011B1 (en) 2014-05-15 2014-05-15 Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System

Country Status (1)

Country Link
KR (1) KR101542011B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7940697B2 (en) 2008-03-17 2011-05-10 Nokia Corporation Transition between IP protocol versions

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7940697B2 (en) 2008-03-17 2011-05-10 Nokia Corporation Transition between IP protocol versions

Similar Documents

Publication Publication Date Title
EP4120791A1 (en) Method and device for performing service request procedure in wireless communication system
EP2900033B1 (en) Method, apparatus, and system for data transmission
US11129054B2 (en) Methods, systems and devices for supporting local breakout in small cell architecture
EP3257284B1 (en) Mitigating the impact from internet attacks in a ran using internet transport
CN106134281B (en) Method for performing proximity service and user device
US9979756B2 (en) Recovery from a potential proxy call session control function (P-CSCF) failure during call origination
US20210006562A1 (en) Methods and nodes for handling overload
US11356416B2 (en) Service flow control method and apparatus
EP2717611A1 (en) Method and device for processing bearer
WO2017071327A1 (en) Data transmission processing method and device
US20120184205A1 (en) Stateful paging guard devices and methods for controlling a stateful paging guard device
JP2022120185A (en) Method of ue and ue
US10904809B2 (en) Methods and devices for supporting release of SIPTO bearer or LIPA bearer in dual-connectivity architecture
KR20140146098A (en) Avoiding unlimited number of unsuccessful location update or packet data connection establishment attempts
JP5668839B2 (en) Communication system, base station, cyber attack countermeasure method
EP3479610B1 (en) Forwarding ims-related information for lawful interception for mobility in s8hr
WO2016032309A1 (en) Method for controlling application related to third party server in wireless communication system and device for same
EP3337202B1 (en) Gateway recovery processing method, device and system
WO2017104980A1 (en) Operation method for preventing latent erroneous operation of terminal in wireless communication system, and apparatus for same
KR20150039642A (en) Apparatus, Method, and Recording Medium for controlling Downlink Data Notification
KR101542011B1 (en) Apparatus, System, Method, and Recording Medium for blocking Attack in LTE System
EP3579617B1 (en) Preventing disorder of packets during handover
ES2966160T3 (en) Bearer connection management of a communications network
KR102206889B1 (en) Method, Apparatus, System, and Recording Medium for controlling PCC based on eNB in LTE System
CN104918322B (en) Method for reporting user position information

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee