KR20080007671A - 무선 통신 네트워크 보안 방법 및 시스템 - Google Patents

무선 통신 네트워크 보안 방법 및 시스템 Download PDF

Info

Publication number
KR20080007671A
KR20080007671A KR1020077028543A KR20077028543A KR20080007671A KR 20080007671 A KR20080007671 A KR 20080007671A KR 1020077028543 A KR1020077028543 A KR 1020077028543A KR 20077028543 A KR20077028543 A KR 20077028543A KR 20080007671 A KR20080007671 A KR 20080007671A
Authority
KR
South Korea
Prior art keywords
mobile station
access network
mobile
service
function
Prior art date
Application number
KR1020077028543A
Other languages
English (en)
Other versions
KR100959477B1 (ko
Inventor
레나 스레이
지저스 곤잘레즈
존 엠. 해리스
안토인 에스. 이스칸더
제시 바르기즈
Original Assignee
모토로라 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모토로라 인코포레이티드 filed Critical 모토로라 인코포레이티드
Publication of KR20080007671A publication Critical patent/KR20080007671A/ko
Application granted granted Critical
Publication of KR100959477B1 publication Critical patent/KR100959477B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/66Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/24Arrangements for testing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Abstract

무선 액세스 네트워크 내에 보안 방법(100)은 (무선 액세스 네트워크 내의 기지국 컨트롤러 또는 이동국 중 하나에 의해) CPU 이용, 메모리 저장, 메모리 판독-기록, 악성 입력 또는 출력 메시지, 및 바이러스 파일명 중 하나 또는 그 이상의 이상상태를 감시하는 단계(102), 무선 통신 링크를 통해 검출된 특정 이상상태를 통지하는 단계(104), 검출된 특정 이상상태에 기반하여 무선 통신 링크를 통해 액세스, 조건부 액세스 또는 제한적 액세스를 제어 또는 수신하는 단계(108)를 포함할 수 있다. 상기 방법은 상기 이상상태를 감시하는데 사용되는 업데이트를 수신하는 단계(112)를 더 포함할 수 있다. 상기 방법(100)은 또한 특정 이상상태가 검출된 경우 이동국으로부터 기지국 컨트롤러로 통지를 발행하는 단계(106)와, 검출된 특정 이상상태에 기반하여 이동국에 제공되는 하나 또는 그 이상의 서비스를 정지하는 단계(110)를 더 포함할 수 있다. 상기 방법은 또한 이동국에서 특정 서비스를 정지하도록 하는 OTA 프로그래밍 명령을 수신하고 상기 이동국에 경고하는 단계(114)를 더 포함할 수 있다.
통신 시스템, 무선 액세스 네트워크, 보안 시스템, 이동국, 기지국

Description

무선 통신 네트워크 보안 방법 및 시스템{WIRELESS COMMUNICATION NETWORK SECURITY METHOD AND SYSTEM}
본 발명은 일반적으로 보안 침해(security breaches) 및 악성 공격으로부터 무선 통신 네트워크를 보호하기 위한 방법 및 시스템에 관한 것으로, 특히, 이러한 보안 침해 또는 공격을 완화하거나 제거할 수 있는 통신 시스템에서 소프트웨어를 사용하거나 또는 이동 무선국 또는 기지국에서의 방법 및 시스템에 관한 것이다.
분류 서류철(organizer)과 같은 능력을 가진 간단한 전화기로부터, 게임, 비디오 스트리밍, 또는 웹-기반 애플리케이션을 포함한 더욱 지능적이고 정교한 소형 컴퓨팅 장치로의 이동 기술의 진보는 이동 제조업자들의 목표 중 하나가 되어 왔다. 최근 수년간, 휴대폰 시장 업체들은 유저 가입률을 늘리기 위한 시도로 유저들이 요구하는 더 많은 특징들을 제공하는데 목표를 두었다. 이렇게 추가로 구현된 특징 및 기능들이 보다 유저 지향적이고 더 잘 지배됨에 따라, 그와 연관된 이 기술에서의 취약성도 증가하고 있다.
무선 보안을 위한 대처 방안의 대부분은 통상적으로 사용을 완전히 거부하는 인증 및 암호화 기술에 주력하고 있어서, 이동 무선상에서 유저가 이미 인증된 경우의 이동 보안에 대해서는 상대적으로 아무런 주의도 기울여지지 않고 있다. 보 안 전문가들은 이러한 영역에서 요구되는 개선점에 대해 충분히 경고해 왔다. 해커를 막을 수 있는 기술은 존재하지 않으며, 노키아(Nokia) 등을 포함한 다수의 이동 무선상에서 실행되는 심비안(Symbian) 오퍼레이팅 시스템을 감염시킨 "Cabir" 바이러스와 같은 최근의 소란 등이 다가올 도전에 대한 실제 증거들이다. CNN의 다이애나 뮤리엘(Diana Muriel)은 2003년 10월 15일자 자신의 논문, "모바일 바이러스 공격 위협의 실체(Threat of mobile virus attack real)"에서, "윈도우(Wiindows) 오퍼레이팅 시스템은 6만개 이상의 바이러스의 공격을 받는 처지에 놓여 왔다"고 말했으며, 이러한 추세는 많은 모방자들(imitators)에 의해서뿐만 아니라 새로운 형태의 보안 문제에 의해서 이어질 것이라고 말했다. 따라서, 이러한 문제들이 통제를 벗어나기 전에, 침입 검출 및 해결 수단을 도입하고 구현할 필요가 있다. 이동국이 일단 감염되면, 이것은 네트워크 자체뿐만 아니라 네트워크 내의 다른 이동국들로 공격들(돌연변이 공격)의 악성 연쇄 반응을 전파할 수 있다.
현재, IS200C/D 및 다른 무선 표준으로 제안되고 있는 인증 및 암호화 기술들이 존재한다. 그러나, 이 제안들은 미인증 유저들에 대한 완전한 거부나 유저들의 데이터 무결성(integrity)을 위한 것이고, 이미 인증된 감염된 휴대용 이동 장치 또는 악성 이동 장치의 특정 서비스만을 차단하거나 정지시켜서, 감염된 휴대용 이동 장치 또는 악성 이동 장치가, 무선 네트워크에 접근하여, 시스템 정지, 다른 유저들에 대한 서비스 감소, 악성 트래픽으로 시스템 범람, 또는 연쇄 반응 또는 감염 중 하나 또는 그 이상을 야기함으로써 잠재적으로 전체 시스템을 손상시키는 것을 방지하는 특별한 구현이나 기술은 존재하지 않는다.
<개요>
본 발명에 따른 실시예들은 인프라스트럭처 또는 다른 이동 전화들 상에서 바이러스가 가질 수 있는 영향을 감소하거나 억제함으로써, 이동국 또는 그 인프라스트럭처 상에 공격으로부터의 방지, 검출, 및 작용/회복을 제공할 수 있다. 본 실시예들은 바이러스가 이미 이동국 또는 무선 액세스 네트워크를 감염시킨 상황뿐만 아니라 어떠한 침입도 검출하도록 돕는다. 현재의 이동 아키텍처 및 인프라스트럭처 구조는 현존하거나, 이동국 및 연관 서비스들이 완전히 훼손되는 것을 확인하고 해결할 때 더욱 명백해질 수 있는 침입들에 대한 보호 방법이 부족하다.
본 발명의 제1 실시예는, 무선 액세스 네트워크 보안 방법으로서, (무선 액세스 네트워크 내의 기지국 컨트롤러 또는 이동국에 의해) CPU 이용, 메모리 저장, 메모리 판독-기록, 악성 입력 또는 출력 메시지, 및 바이러스 파일명 중 하나 또는 그 이상의 이상상태(abnormality)를 감시하는 단계, 무선 통신 링크를 통해 검출된 특정 이상상태를 통지하는 단계, 및 상기 검출된 특정 이상상태에 기반하여 상기 무선 통신 링크를 통해 액세스, 조건부(conditional) 액세스 또는 제한적(limited) 액세스를 수신하는 단계를 포함할 수 있다. 상기 방법은 상기 하나 또는 그 이상의 이상상태를 감시하는데 사용되는 업데이트를 수신하는 단계를 더 포함할 수 있다. 상기 방법은 상기 특정 이상상태가 검출된 경우, 이동국으로부터 기지국으로 통지를 발행하고, 상기 검출된 특정 이상상태에 기반하여 상기 이동국에 제공되는 하나 또는 그 이상의 서비스를 정지하는 단계를 더 포함할 수 있다. 이에 관해, 상기 방법은 이동국으로부터 통지를 발행하고, 상기 이동국으로 하여금 데이터 서비스 정지, 데이터 서비스 및 음성 서비스 정지, 데이터 서비스 정지 취소, 및 데이터 서비스 및 음성 서비스 정지 취소 중 하나의 기능을 수행하도록 하는 응답을 기지국 컨트롤러로부터 수신하는 단계를 더 포함할 수 있다. 상기 방법은 이동국에서 특정 서비스를 정지하기 위한 OTA(over-the-air) 프로그래밍 명령을 수신하고, 상기 이동국에 경고하는 단계를 더 포함할 수 있다. 상기 방법은 에어 인터페이스 레이어로부터 이동국 오퍼레이팅 시스템을 격리하는 단계를 더 포함할 수 있다. 이러한 방식으로, 상기 무선 액세스 네트워크와 통신하는 이동국의 동작을 감시하고, 상기 검출된 특정 이상상태를 플래깅(flagging)함으로써 서비스 거부(DoS) 공격이 방지될 수 있다. 또한, 이동국에서의 악성 소프트웨어 루틴의 검출에 따라, 음성 또는 회선 데이터 통화의 인에이블링을 지속하면서, 이동국에서의 패킷 데이터 서비스가 정지될 수 있다.
본 발명의 제2 실시예에서, 무선 액세스 네트워크 보안 시스템은 트랜시버와 상기 트랜시버에 연결되는 프로세서를 포함할 수 있다. 상기 프로세서는 CPU 이용, 메모리 저장, 메모리 판독-기록, 악성 입력 또는 출력 메시지, 및 바이러스 파일명 중 하나 또는 그 이상의 이상상태를 감시하고, 무선 통신 링크를 통해 검출된 특정 이상상태를 통지하며, 상기 검출된 특정 이상상태에 기반하여 상기 무선 통신 링크를 통해 액세스, 조건부 액세스 또는 제한적 액세스를 수신하도록 프로그램될 수 있다. 이상상태가 검출된 경우, 상기 시스템은, 다음의 기능들, 즉, 소정 시간 동안 감염된 서비스를 디스에이블하는 기능, 플래깅된 애플리케이션에 대한 리소스 할당을 거절하는 기능, 상기 이동국에게 유사한 서비스를 재지정하는(redirecting) 기능, 지역적으로 근접한 다른 이동국들에게 보안 레벨을 올리도록 지시하는 기능, 지역적으로 근접한 다른 이동국들에게 바이러스 소프트웨어를 실행하도록 지시하는 기능(이는 예를 들어 임의의 기존의 감염을 제거하거나 보안 설정을 상향 조정하여 이후의 감염을 방지하도록 하거나 또는 가장 최근의 바이러스 소프트웨어 갱신을 다운로드하도록 지시하는 것을 포함함), 피어-투-피어 통신을 금지하는 기능, 상기 이동국의 주소록, 친구 목록 또는 최근 통화 목록에 대한 액세스를 금지하는 기능, 상기 이동국이 배터리 고갈 모드로 진입하도록 지시하는 기능, 및 상기 이동국이 위치 검색 모드로 진입하도록 지시하는 기능 중 적어도 하나를 수행할 수 있다.
본 발명의 제3 실시예에서, 무선 액세스 네트워크 시스템은 트랜시버와 상기 트랜시버에 연결되는 프로세서를 포함할 수 있다. 상기 프로세서는 상기 무선 액세스 네트워크 시스템과 통신하는 이동국 내의 애플리케이션의 이상상태(바이러스, 불일치 위치 등)를 감시하고, 상기 무선 액세스 네트워크 시스템 상에서 다른 리소스에 대한 상기 이동국의 액세스를 인에이블하면서 상기 무선 액세스 네트워크 시스템 상에서 리소스에 대한 상기 이동국의 액세스를 선택적으로 제어하고, 상기 무선 액세스 네트워크 시스템상의 상기 이상상태의 효과를 완화하는 하나 또는 그 이상의 완화 기능을 실행하도록 프로그램될 수 있다. 상기 프로세서는, 다음의 기능들, 즉, 이동국(감염된 이동국, 또는 감염된 이동국과 가능한 또는 잠재적인 통신을 할 수 있는 그외의 이동국) 주소록, 친구 목록 또는 최근 통화 목록에 대한 액세스를 제한하는 기능, (다시금, 주소록, 친구 목록, 최근 통화 목록, 핫 리스트 등을 고려해) 이동국과 잠재적 통신을 할 수 있는 무선 장치와의 보안 레벨을 올리는 기능, 특정 서비스 애플리케이션에 대한 액세스를 제한하는 기능, 또는 서비스를 공격에 덜 민감한 서비스로 재지정하는 기능으로부터 선택된 하나 또는 그 이상의 기능을 수행함으로써 리소스에 대한 액세스를 제어할 수 있다. 상기 하나 또는 그 이상의 완화 기능은, 적어도 다음의 기능들, 즉, 상기 이동국에 근접한 다른 이동국들에게 상기 이상상태를 경고하고, 보안 레벨을 올리거나 또는 바이러스 소프트웨어를 실행하도록 하는 기능, 상기 이동국의 전원을 고갈하도록 지시하는 기능, 또는 상기 이동국의 위치 추적을 인에이블하는 기능 중에서 선택될 수 있다. "인접(nearby)" 이라는 용어는 지역적 및 물리적으로 인접한 이동국으로만 제한되지 않고, 감염된 이동국과 잠재적으로 접촉할 수 있는 이동국들을 선택적으로 포함할 수도 있다. 예를 들면, 보안 레벨을 올리거나 바이러스 소프트웨어를 실행시키는 명령 및 경고는 인접한 이동국들에 전송될 수 있는데, 이동국의 메모리 저장소(주소록, 친구 목록, 최근 통화 목록, 관심 목록 등) 또는 감염된 이동국과 다소 연관된 무선 액세스 네트워크 내의 메모리 저장소에 있는 그 외의 이동국에 전송될 수 있다.
여기서 개시된 발명에 따라 구성된 다른 실시예들은 수행을 위한 시스템 및 머신으로 하여금 여기에 개시된 여러 처리 및 방법들을 수행하도록 하기 위한 머신-판독가능 저장매체를 포함할 수 있다.
도 1은 본 발명의 실시예에 따른 이동국 및 인프라스트럭처가 받기 쉬운 여 러 가지 공격들에 대해 예시한다.
도 2는 본 발명의 실시예에 따른 이동국을 포함한 무선 액세스 네트워크의 블록도를 도시한다.
도 3은 본 발명의 실시예에 따라 사용될 수 있는 "RETURN_CAUSE" 코드의 수정된 테이블을 도시한다.
도 4는 본 발명의 실시예에 따른 할당 모드(Assignment Mode) 코드의 테이블을 도시한다.
도 5는 이동국이 유휴 모드일 때, 본 발명의 실시예에 따른 업데이트를 이용한 이동국에서 지원하는 서비스의 통지 및 정지의 타이밍도를 도시한다.
도 6은 이동국이 액티브 모드일 때, 본 발명의 실시예에 따른 업데이트를 이용한 이동국에서 지원하는 서비스의 통지 및 정지의 타이밍도를 도시한다.
도 7은 본 발명의 실시예에 따른 기지국 컨트롤러에서의 패킷을 감시하는 패킷 제어 기능을 도시한다.
도 8은 본 발명의 실시예에 따른 업데이트를 이용한 기지국 컨트롤러에서 지원하는 서비스의 통지 및 정지의 타이밍도를 도시한다.
도 9는 본 발명의 실시예에 따른 무선 액세스 네트워크 보안 방법에 대한 흐름도를 도시한다.
본 명세서는 신규한 것으로 간주되는 본 발명의 실시예들의 특징들을 정의한 청구범위로 결론되어 지지만, 본 발명은 동일한 참조부호들로 연결되는 도면들과 함께 다음의 상세한 설명을 참조함으로써 더욱 잘 이해될 것이다.
여기서 실시예들은 휴대용 이동 장치(이동 라디오 또는 무선 액세스 가능한 랩탑 컴퓨터 등)와 무선 액세스 네트워크 소프트웨어 사이에서 동작하는 구현 및 알고리즘의 조합을 포함할 수 있다. 일 실시예에서, 당면한 특정 문제에 따라 그 서비스에 대한 통지 및/또는 정지를 발행함으로써, 전술한 여러 문제들을 보상하기 위한 자동 반응 메커니즘으로 소프트웨어가 사용될 수 있다. 여기서 몇몇 실시예들을 사용하는 것에 대해 방어될 수 있는 일부 공격들에 대한 대략적인 리스트가 도 1에 도시되고, 이것은 유선도청(wiretapping), 서버 해킹, 반달리즘(vandalism)과 같은 물리적 액세스 공격, 도청(eavesdropping), 위장(impersonation), 메세지 변경 등의 다이얼로그(dialog) 공격, 스캐닝(scanning 또는 프로빙(probing)), 침입(break-in), 서비스 거부(Denial of Service, "DoS"), 멀웨어(Malware), 바이러스(Viruses), 웜(Worms) 등과 같은 침투(penetration) 공격, 및 첨부화일 열기, 패스워드 훔치기, 정보 훔치기 등의 사회적 공작(social engineering)과 같은 공격들을 포함한다.
도 2를 참조하면, 본 발명의 실시예에 따른 무선 네트워크 시스템(10)은 휴대폰과 같은 이동국(mobile radio)(12) 및 패킷 제어 기능(21)을 가진 기지국 컨트롤러(base station controller: BSC)(20) 모두를 위한 구현을 포함한다. BSC(20)는 하나 또는 그 이상의 기지국 트랜시버(18), 방문자 위치 등록기(visitor location register: VLR)(24), 및 방문 액세스 공급자 네트워크의 일부를 형성하는 패킷 데이터 제공 노드(packet data serving node: PDSN)(22)에 연결될 수 있다. VLR(24)은 SS7 네트워크 또는 이동 스위칭 센터(26)를 통해 홈 위치 등록기(home location register: HLR)에 연결될 수 있다. PDSN(22)은 하나 또는 그 이상의 서버에 (서버(30)에 연결된 것과 같이) 직접 연결되거나, (예로, 홈 IP 네트워크를 위한) 서버(34), (예로, 중개자 네트워크를 위한) 서버(36), (예로, 홈 IP 네트워크, 사설 네트워크 또는 홈 액세스 공급자 네트워크를 위한) 홈 에이전트 서버(38), 또는 보안 관련 서버(40)에 연결된 것과 같이 IP 네트워크(32)를 통해 연결될 수 있다.
이동국(12)은 이동국 오퍼레이팅 시스템(OS)(15)과 에어-인터페이스 레이어-2 통화 제어층(17) 사이에 존재하는(또는 대안적으로 OS 커널 안에 내장될 수 있는) 필터링 및 검출을 위한 애플리케이션 프로그램 인터페이스(API)(16)를 가진 애플리케이션 및 제어 블록(12)을 포함할 수 있다. 필터링 및 검출 역할시 API(16)는 CPU 효율, 메모리 저장, 메모리 판독/기록, 악성 입력/출력 파일/메시지, 및 주지된 바이러스 파일명(Trojan, sasser 등) 등의 이상상태를 모니터한다. 이를 위한 소프트웨어 애플리케이션은 쉘프(shelf)로부터 획득되어 이동국(12)에 구현하고, OS에 대해 특정될 수 있지만, 구현들이 반드시 특정 OS로 제한되지는 않는다. 또한, 주지된 바이러스 파일명은 BSC(20)와 이동국 사이의 OTAPA를 통하거나 유저에 의한 업데이트 요청에 따라 방송에 의해(over-the-air) 획득될 수 있으며, 두 방법 모두 주지된 바이러스, 소프트웨어 패치, 및 기타 보안 관련 정보를 위한 업데이트(42)를 포함한 보안 관련 서버(40)로 부터 획득될 수 있다.
이동국 상에서 감염된 애플리케이션 이외에 검출될 수 있는 "이상상 태(abnormalities)" 중 하나는 이러한 이동국과 통신하는 무선 액세스 네트워크 또는 기지국에 의해 보고된 위치와 일치하지 않은 이동국에 의해 보고된 위치를 포함할 수 있다. 이상이 발견되면, 선택적인 방식으로 공격(offending) 이동국에 대한 리소스를 거부하는데 에어 인터페이스 메세징(air interface messaging)이 사용될 수 있다(HTTP, FTP, 메일(SMTP + POP3), ICMP 또는 기타 등의 선택적 정지). CDMA2000 프로토콜을 사용하는 일 예에서는, 소정 시간 동안 공격(offending) 서비스가 동작하는 것을 막기 위해 FTCHServiceOptionControl 기능이 사용될 수 있다. 다른 대안 예로는 이상 애플리케이션에 대한 리소스 할당을 거절하거나, 또는 서비스를 유사한 서비스나 예를 들면 데이터 서비스를 제공하지 않는 다른 캐리어로 재지정(redirecting)하는 것이 있을 수 있다. 시스템은 또한 GPS나 삼각측량법 또는 다른 인접 통신 장치 ID에 기반하여 다른 것들 사이에 기지국 송수신국 위치 또는 이동국 위치를 제공할 수 있는 위치 쿼리(location queries)를 만듦으로써 감염된 유저나 감염 유포자를 추적하는 것을 도울 수 있다.
감염 또는 이상이 검출된 다른 예에서, 시스템은 이상 공격을 유포하기 쉬운 데이터 서비스와 다른 서비스를 거부하면서 음성 통화 및 특히 911 통화나 기타 긴급 통화를 위한 리소스를 부여할 수 있다. 이동국이 다소 오염되어 반복적으로 911 통화를 시도하는 경우라도, 이에 따른 시스템은 그 911 오퍼레이터에 의해 끊어진 통화를 검출하여, 그 통화가 실제가 아니라는 표시를 제공하고, 911 콜센터에 의해 검출될 수 있는 낮은 우선순위 또는 가짜 통화와 같은 플래그를 생성할 수 있다.
또한, 감염 또는 이상이 검출된 경우, 시스템은 지리적으로 인접한 이동국들에게 보안 레벨을 올리거나 또는 대안적으로 바이러스 소프트웨어를 실행하도록 지시할 수 있다. 시스템은 또한 다른 이동국으로 이러한 감염의 확산을 방지하거나 완화하기 위해서, 블루투스(Bluetooth) 통신과 같은 피어-투-피어(peer-to-peer) 통신을 금지하는 것을 포함할 수 있다. 또한, 그 이동국의 주소록, 친구 목록 또는 최근 통화 목록으로의 액세스가 거부될 수 있고, 그 이동국의 주소록, 친구 목록 또는 최근 통화 목록에 상응하는 장치들에게 보안 레벨을 올리라고 경고 및 지시할 수 있다. 감염을 완화시키기 위한 다른 시도로, 시스템은 여러 방법으로 배터리로 작동하는 이동국의 배터리 수명을 고갈시키도록 시도할 수 있다. 예를 들면, 배터리 수명을 더욱 빠르고 효과적으로 고갈시키는 (QPCH/PICH 턴오프되는) "언슬롯 모드(unslotted mode)"로 진입하도록 이동국에 명령하여, 잠재적으로 가능한 문제를 보다 빨리 제거할 수 있다. 또한 이상 이동국의 위치를 쉽게 찾을 수 있도록 추적 모드로 진입하도록 이동국에 명령할 수 있다. 또한, 이동국에 보다 정밀한 추적 모드로 진입하도록 명령함으로써 배터리 수명을 더욱 빨리 고갈시킬 수 있다.
API(16)는 IP를 감시하여, 침입 검출을 제공하고, 특정 OS의 정책 강화를 제공할 수 있다. 예를 들면, API(16)는 임의 프로그램이 시스템 리소스를 획득하게 할 수 있는 버퍼 오버플로가 발생하지 않았음을 확인할 수 있고, 또한 더 많은 시스템 리소스를 획득하는 MID/ESN(mobile identification 또는 electronic serial number)의 전송/재프로그래밍이 없다는 것을 확인할 수 있다. API(16)는 또한 OS(15) 및 에어-인터페이스 레이어-2 통화 제어(17)를 차단 및 격리한다. 이동국 OS(15)가 감염되면, API(16)는 (서비스 옵션 또는 시도되는 통화 형태에 따라) 레이어-2 통화 제어 레이어(7)를 감염으로부터 차단하여, 음성 또는 회선 데이터와 같은 다른 가용한 서비스들은 계속 작동되도록 할 수 있다. API(16)는 또한 판단 및 업데이트를 위한 중요 데이터의 피드백을 통화 제어 블록(17)으로 주기적으로 제공할 수 있다.
휴대폰에서 레이어 2 및 레이어 3 통화 제어는 유휴(Idle), 휴면(Dormant) 또는 액티브(Active) 상태에서 있을 수 있다. 이동국 OS(15) 및 그 애플리케이션이 (유휴 상태로) 훼손된(compromised) API(16)로부터 중요 데이터를 수신하면, 통화 제어 레이어(17)는 element_field 표명 또는 "훼손(compromised)" 표시를 포함할 수 있는 명시적 발신 메시지(explicit origination message)(도 3에서 테이블 코드 "0110"의 "RETURN_CAUSE" 참조)를 통해 무선 액세스 네트워크(RAN)에 통지하고, 도 5에 도시된 것과 같은 명시적 ECAN(Extended Channel Assignment Message)을 통해 RAN으로부터 응답을 기다릴 수 있다. GRANTED_MODE(도 4에 도시된 코드 "101")에 기반하여, 레이어-2 또는 레이어-3 통화 제어 블록(17)은 이동국(12)의 유저에게 조치를 취하도록 경고하고 그 서비스의 정지를 개시할 것이다.
이동국(12)이 액티브 상태인 경우, 레이어-2 통화 제어 블록(17)은 그 통화를 해제하고, 국부적으로 PPP 세션을 종료하며, 명시적 발신 메시지를 RAN으로 전송한다. 이동국(12)이 유휴 상태인 경우, 레이어-2 통화 제어 블록(17)은 PPP 세션을 국부적으로 종료하고, 명시적 발신 메시지를 RAN으로 전송한다. 정 지(suspension) 상태 동안에, 통화 제어 블록(17)은 API(16)로부터의 피드백 데이터를 감시하여, 정지 상태가 지속되는지 취소되는지의 여부를 파악하고, 명시적 발신 메시지를 통해 RAN에 그 감염된 서비스가 소거됨을 나타내는 "0111"의 RETURN_CAUSE(도 3 참조)를 통지할 수 있다. 레이어(17)는 또한 BSC(20)에서 지원하는 서비스를 위한 OTAPA 관련 구성을 감시할 수도 있다.
도 3 및 도 4를 참조하면, 제안된 메시지 및 메시지 요소들이 CDMA2000 시그널링 표준에 사용되는 명시적 발신(Explicit Origination), 일반 페이징(General Page), 페이징 응답(Page Response), 및 ECAM 코드로 맵핑될 수 있다. 명시적 발신(plicit Origination)과 함께, "RETURN_CAUSE" 메시지 요소는 도 3에 도시된 바와 같이 수정된 테이블 2.7.1.3.2.1에서와 같이 설정되어, 확산 스펙트럼 시스템(spread Spectrum Systems)을 위한 "CDMA 2000의 상위 레이어(레이어 3) 시그널링 표준"에 대해 아무런 변경이 요구되지 않을 수 있다. 마찬가지로, 도 4에 도시된 확산 스펙트럼 시스템을 위한 CDMA 2000의 상위 레이어(레이어 3) 시그널링 표준"으로부터 테이블 3.7.2.3.2.21-1.과 유사한 할당 모드(Assignment Mode)와 GRANTED_MODE가 구현될 수 있는 표준에 대해 변경없이 명시적 ECAN(Explicit ECAM) 메시지가 구현될 수 있다. 도 4에 도시된 바와 같이 신규 ASSIGN_MODE를 이용하여, ASSIGN_MODE='101'인 경우, GRANTED_MODE 메시지 요소가 설정될 수 있고, 추가의 기록 필드가 (취소된 데이터 서비스의 정지를 위한) 00, (취소된 음성 및 데이터 서비스의 정지를 위한) 01, (데이터 서비스의 정지를 위한) 10, 및 (음성 및 데이터 서비스의 정지를 위한) 11을 포함할 수 있는 (예를 들면 2비트의) GRANTED_MODE가 될 수 있다.
명시적 일반 페이징 메시지(Explicit General Page Message)는 이동국-지정 페이징(mobile radio-addressed page)에 대한 BSC에서 지원하는 구현을 위해 제안된 SPECIAL_SERVICE 메시지일 수 있다. 일반적으로, 이 메시지 길이는 1 비트이지만, 본 실시예들은 Field_Length를 2비트로 증가시켜, (취소된 데이터 서비스의 정지를 위한) 00, (취소된 음성 및 데이터 서비스의 정지를 위한) 01, (데이터 서비스의 정지를 위한) 10, 및 (음성 및 데이터 서비스의 정지를 위한) 11의 SPECIAL_SERVICE 2 코드에 대해 2비트의 Field_Length를 갖는 이동국-지정 페이지에 대해 PDU 포맷을 제공한다. 마지막으로, 명시적 페이징 응답 메시지(Explicit Page Response Message)는 명시적 일반 페이징 메시지(Explicit General Page Message)에 대한 확인응답 또는 ACK로서 수정된 페이징 응답(Page Response)일 수 있다.
여기서 고려되는 방어 메커니즘을 제공하기 위한 무선 액세스 네트워크(RAN) 구현시, 명시적 발신 메시지(explicit origination message)를 수신하고, ECAM 정의된 메시지를 통해 이동국 서비스를 부여하거나 거부하기 위한 강화된 알고리즘이 도 4에 도시된 Assign Mode 테이블을 이용하여 수행될 수 있다. 이동국이 정지 상태인 동안, RAN은 모든 업데이트에 대해 명시적 발신 메시지(explicit origination message)를 저장하고 감시를 지속한다.
정지 동작은 이동국이 지원하거나 BSC가 지원하거나 또는 양쪽 모두가 지원할 수도 있다. 이동국-지원 방식에서, 이동국이 "유휴 상태"일 때, RAN은 명시적 발신 메시지를 감시하고, "훼손(compromised) 플래그를 확인하며, 유저 프로필 및/또는 구성 파라미터에 기반하여 GRANTED_MODE 코드 중 하나로 ECAM을 통해 응답할 수 있다. "휴면 상태"에서, BSC는 명시적 발신 메시지를 감시하고, 훼손 플래그를 확인하고, 도5에 도시된 바와 같이 (예를 들면, A10/A11 R-P 인터페이스를 통해) PPP 세션을 종료하도록 PDSN 22에 통지하고, 10_데이터 서비스 정지 또는 11_음성 및 데이터 서비스 정지 중 하나로 설정된 GRANTED_MODE로 ECAM 메시지를 전송한다. "액티브 상태"에서, 이동국이 액티브 데이터 세션 중이라면, BSC는 이동_해제(mobil_release) 메시지 및 명시적 발신 메시지를 감시하고, 훼손 플래그를 확인하며, 정의된 GRANTED_MODE 코드 중 하나로 ECAM 메시지를 전송할 뿐만 아니라 PPP 세션을 종료하도록 PDSN에 통지한다. 이동국이 액티브 음성 세션인 경우, RAN 또는 BSC(20)는 Mobile_release 메시지 및 명시적 발신 메시지를 감시하고, 도 6에 도시된 바와 같이 정의된 GRANTED_MOde 코드 중 하나로 ECAM 메시지를 전송할 것이다. 이동국이 종료 또는 정지 상태인 경우, BSC(20)는 저장된 파라미터를 확인할 수 있고, BSC(20)는 이동국을 페이징하지 않고 모든 발신자에게 통화중(busy) 톤으로 통지할 것이다. 이동국이 OTAPA를 통해 주지된 바이러스 업데이트 OTA(over-the-air)를 수신하도록 구성될 수 있다. 대안예로서, OTAPA가 이동국 특정 서비스를 정지하고 이에 따라 유저에게 경고하는데 사용될 수 있다.
무선 액세스 네트워크 보안 시스템의 기지국 컨트롤러-지원 구현에서, PCF(Packet Control Function)가 수동 프록시/릴레이 에이전트로 역할하고, 도 9에 도시된 바와 같이, 이동-클라이언트 및 서버(PDSN)(A8/A9와 A10/A11 사이) 사이의 IP 세션(PPP 세션)을 수동적으로 감시한다. 이러한 구현은 검출 및 정지/통지 레이어들을 제공하기 위한 심층방어(defense-in-depth) 방식의 일부가 될 수 있다. 이것은 네트워크에서 또 다른 심층적 검출 레이어를 제공한다. 도 2, 도 7 및 도 8을 참조하면, PCF는 (A8/A9 & RP-인터페이스) 데이터 패킷을 감시하는 수동 프록시/릴레이 에이전트로 동작할 수 있다. 예를 들면, PCF는 분해되지 않고 조합된 패킷이 악성이 될 때를 제외하면, 스스로 합법적인 IP 패킷인 IP 단편 패킷을 포함할 수 있는 악성 단편 IP 패킷 패턴을 감시 및 확인할 수 있다. PCF는 또한, 알려지지 않은 애플리케이션 IP UDP/TCP 포트 번호, 비정상적 PPP 재협상(잠재적 PPP 세션 하이잭킹), < { min [negotiated MTU] } 또는 > { max[MTU] }인 데이터-그램, 또는 미등록된 발신지 및 수신지 IP 어드레스에 대해 임의 수신지 IP 어드레스로 Continuous ICMP 핑(ping)을 감시 및 확인할 수 있다. (OMCR)로부터의 파라미터들은 새롭게 알려진 악성 트래픽 패턴을 지속적으로 업데이트하도록 구성될 수 있다. PCF는 또한 실시간으로 무선 프로그래밍(RF)-인터페이스 트래픽을 확인 및 분석하여, 이를 주지된 저장 트래픽 패턴이나 ISP 데이터베이스 웨어하우스 서버와 비교할 수 있다.
PCF는 또한 RF 리소스를 해제하고, PPP 세션을 해체하고, 정의된 "SPECIAL_SERVICE" 메시지 요소로 명시적 일반 페이징(General Page) 메시지를 전송함으로써, 레이어-3 호출 제어 블록에게 이동 서비스를 정지하도록 통지하여, 레이어-3 호출 제어 블록(17)에 대해 반응 에이전트로 역할할 수 있다. 그리고 나서, PCF는 SCR(선택적 호출 수신기) 업데이트를 이용하여 이동국 데이터의 기록 및 저장을 인에이블시킬 수 있고, MSC/HLR/VLR을 업데이트한다. PCF는 또한 OTAPA를 통해 이동국(12)에 대해 패치 또는 정지 서비스 업데이트를 시작할 수 있다.
도 9를 참조하여, 무선 액세스 네트워크 내에 보안 방법(100)을 도시한 흐름도는 (무선 액세스 네트워크 내의 기지국 컨트롤러 또는 이동국 중 하나에 의해) CPU 이용, 메모리 저장, 메모리 판독-기록, 악성 입력 또는 출력 메시지, 및 바이러스 파일명 중 하나 또는 그 이상의 이상상태를 감시하는 단계(102), 무선 통신 링크를 통해 검출된 특정 이상상태를 통지하는 단계(104), 검출된 특정 이상상태에 기반하여 무선 통신 링크를 통해 액세스, 조건부(conditional) 액세스 또는 제한적(limited) 액세스를 제어 또는 수신하는 단계(108), 및 무선 액세스 네트워크 상에서 이상상태의 효과를 완화하는 단계(109)를 포함할 수 있다. 상기 방법(100)은 또한 하나 또는 그 이상의 이상상태를 감시하는데 사용되는 업데이트를 수신하는 단계(112)를 더 포함할 수 있다. 상기 방법(100)은 또한 특정 이상상태가 검출된 경우 이동국으로부터 기지국 컨트롤러로 통지를 발행하는 단계(106)와, 검출된 특정 이상상태에 기반하여 이동국에 제공되는 하나 또는 그 이상의 서비스를 정지하는 단계(110)를 더 포함할 수 있다. 이에 대해, 방법(100)은 이동국으로부터 통지를 발행하고, 기지국 컨트롤러로부터 상기 이동국으로 하여금 데이터 서비스 정지, 데이터 서비스 및 음성 서비스 정치, 데이터 서비스 정지 취소, 및 데이터 서비스 및 음성 서비스 정지 취소 중 하나의 기능을 수행하도록 하는 응답을 수신하는 단계를 포함할 수 있다. 상기 방법은 또한 이동국에서 특정 서비스를 정지하도록 하는 오버-디-에어(over-the-air: OTA) 프로그래밍 명령을 수신하고 상기 이동국에 경고하는 단계(114)를 더 포함할 수 있다. 상기 방법(100)은 또한 에어 인터페이스 레이어로부터 이동국 오퍼레이팅 시스템을 격리하는 단계(116)를 더 포함할 수 있다. 이러한 방식으로, 무선 액세스 네트워크와 통신하는 이동국의 상태를 감시하고, 검출된 특정 이상상태를 플래깅함으로써, 서비스 거부(DoS) 공격이 방지될 수 있다. 또한, 음성 또는 회선 데이터 통화의 인에이블을 지속하는 동안, 이동국에서 악성 소프트웨어 루틴이 검출되면 이동국에서의 패킷 데이터 서비스가 정지될 수 있다.
기술의 집적화와 보다 많은 장치들이 액세스하는 RAN에 의한 무선 네트워크 산업에서의 진보 및 위대한 업적뿐만 아니라, 임의 바이러스, 웜 또는 기타 악성 프로그램이 휴대전화 플랫폼에 상륙했다는 발표에 따라, 네트워크를 보호하는 보안 프로토콜의 필요성이 종전보다 더욱 중요해지고 있다. 현재, 무선 시스템의 두 엔드, 즉, 주로 이동국과 인터넷을 보호하기 위한 방법들은 존재하지만, 이러한 모든 기술의 집적화에 따라, RAN 자체가 감시되거나 악의적으로 남용될 수 있어, 합법적인 요구를 갖는 다른 MS에 대해 DoS 시나리오를 초래할 수 있다.
여기서 본 실시예들은 이러한 네트워크 및 기술들이 집적될 때 개입되는 일부 보안 위험들을 해결하기 위한 수단을 제공한다. 이러한 실시예들은 코어 RAN 시스템을 보호하도록 설계될 수 있고, 이동 가입자(MS)의 상태를 감시하고 특정 패턴을 찾음으로써 MS에 의한 RAN 시스템 리소스의 과부하를 방지할 수 있다.
본 실시예들은 감염된 프로세스/전화 능력에만 기반하여 시스템 리소스에 대한 이동국 액세스를 거부하도록 구현될 수 있다. 예를 들면, MS가 패킷 데이터 서 비스를 위해 더 많은 시스템 리소스에 대한 요구에 대해 이동국의 ESN 또는 MID를 재프로그램하는 악성 소프트웨어를 포함한 경우, 이러한 서비스 옵션을 가진 통화 발신만이 거부되고, 음성 또는 회선 데이터 통화는 허용할 수 있다. 이러한 플로는 이동국이 이러한 동작을 RAN에 통지하고, RAN이 어떻게 처리할지를 결정하는 것을 나타낼 수 있다. 또한, 이동국은 현재 문제를 어떻게 처리하는지에 대한 새로운 정보를 수신할 뿐만 아니라 그 진행 중 RAN을 주기적으로 업데이트할 수 있다. "심층방어(defense-in-depth)" 토폴로지의 일부로서, 이동국 액티브 데이터 세션 동안에 BSC-지원 실시예는 검출 및 통지에 대한 다른 레이어를 제공할 수 있다. 본 실시예들은 CDMA 기술로 제한되지 않지만, WLAN, WiFi, WiMax, WCDMA, HSDPA, UMTS 등과 같은 다른 무선 기술에 동일하게 적용될 수 있다.
전술한 상세한 설명에 따라, 본 발명에 따른 실시예들은 하드웨어, 소프트웨어, 또는 하드웨어와 소프트웨어의 조합으로 실현될 수 있다는 것이 이해되어야 한다. 본 발명에 따른 네트워크 또는 시스템은 하나의 컴퓨터 시스템 또는 프로세서에서 중앙 집중된 방식으로 실현되거나, 또는 (마이크로프로세서 및 DSP와 같은) 몇몇 상호접속된 컴퓨터 시스템 또는 프로세서에 걸쳐 상이한 요소들이 분포된 분산형 방식으로 실현될 수 있다. 어떤 종류의 컴퓨터 시스템 또는 전술한 기능을 수행하도록 적응된 다른 장치도 가능하다. 하드웨어와 소프트웨어의 통상적인 조합은, 로딩되고 실행되면, 전술한 기능을 수행하도록 컴퓨터 시스템을 제어하는 컴퓨터 프로그램을 가진 범용 컴퓨터 시스템이 될 수 있다.
이상의 상세한 설명에 따라, 본 발명에 따른 실시예들은 청구항의 범위 및 사상 안에서 있는 것으로 간주되는 여러 가지 구성들로 실현될 수 있다. 추가로, 이상의 상세한 설명은 예시적인 것으로만 의도되며, 다음의 청구항에 개시된 것을 제외하면, 어떤 방식으로든 본 발명을 제한하도록 의도되지는 않는다.

Claims (10)

  1. 무선 액세스 네트워크 보안 방법으로서,
    CPU 이용, 메모리 저장, 메모리 판독-기록, 악성 입력 또는 출력 메시지(malicious incoming and outgoing message) 및 바이러스 파일명 중 하나 또는 그 이상의 이상 상태(abnormality)를 감시하는 단계;
    무선 통신 링크를 통해 검출된 특정 이상 상태를 통지하는 단계; 및
    상기 검출된 특정 이상 상태에 기반하여 상기 무선 통신 링크를 통해 액세스, 조건부(conditional) 액세스 또는 제한적(limited) 액세스를 수신하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 하나 또는 그 이상의 이상 상태를 감시하는데 사용되는 업데이트를 수신하는 단계
    를 더 포함하는 방법.
  3. 제1항에 있어서,
    이동국으로부터 통지를 발행하고, 상기 이동국으로 하여금 데이터 서비스 정지, 데이터 서비스와 음성 서비스 정지, 데이터 서비스 정지 취소, 및 데이터 서비스와 음성 서비스 정지 취소 중 하나의 기능을 수행하도록 하는 응답을 기지국 컨 트롤러로부터 수신하는 단계
    를 더 포함하는 방법.
  4. 제1항에 있어서,
    이동국에서 특정 서비스를 정지하기 위한 OTA(over-the-air) 프로그래밍 명령을 수신하고, 상기 이동국에 경고하는 단계를 더 포함하는 방법.
  5. 제1항에 있어서,
    상기 무선 액세스 네트워크와 통신하는 이동국의 동작을 감시하고, 상기 검출된 특정 이상 상태를 플래깅(flagging)함으로써 서비스 거부(DoS) 공격을 방지하는 단계
    를 더 포함하는 방법.
  6. 무선 액세스 네트워크 보안 시스템으로서,
    트랜시버; 및
    상기 트랜시버에 연결되는 프로세서
    를 포함하고,
    상기 프로세서는,
    CPU 이용, 메모리 저장, 메모리 판독-기록, 악성 입력 또는 출력 메시지, 및 바이러스 파일명 중 하나 또는 그 이상의 이상 상태를 감시하고;
    무선 통신 링크를 통해 검출된 특정 이상 상태를 통지하며;
    상기 검출된 특정 이상 상태에 기반하여 상기 무선 통신 링크를 통해 액세스, 조건부 액세스 또는 제한적 액세스를 수신하도록 프로그램되는
    시스템.
  7. 제6항에 있어서,
    상기 시스템은 이동국을 포함하고,
    상기 이동국은, 상기 특정 이상 상태가 검출되면 상기 이동국으로부터 기지국 컨트롤러로 통지를 발행하도록 프로그램되고,
    상기 시스템은,
    소정 시간 동안 감염된 서비스를 디스에이블하는 기능,
    플래깅된 애플리케이션에 대한 리소스 할당을 거절하는 기능,
    상기 이동국에게 유사한 서비스를 재지정하는(redirecting) 기능,
    지역적으로 근접한 다른 이동국들에게 보안 레벨을 올리도록 지시하는 기능,
    지역적으로 근접한 다른 이동국들에게 바이러스 소프트웨어를 실행하도록 지시하는 기능,
    피어-투-피어 통신(peer-to-peer communications)을 금지하는 기능,
    정상 상태로는 신뢰할 만하게 보이는 다른 무선 장치에 의한 이동국 주소록에 대한 액세스를 금지하는 기능,
    상기 이동국과 최근 통신하거나 상기 이동국의 주소록, 친구 목록 또는 최근 통화 목록에 있는 이동국들에서 보안 레벨을 올리는 기능,
    상기 이동국이 배터리 고갈 모드로 진입하도록 지시하는 기능, 또는
    상기 이동국이 위치 검색 모드로 진입하도록 지시하는 기능 중 적어도 하나를 수행하는
    시스템.
  8. 제6항에 있어서,
    상기 시스템은 또한, 이동국으로부터 통지를 발행하고, 상기 이동국으로 하여금 데이터 서비스 정지, 데이터 서비스 및 음성 서비스 정지, 데이터 서비스 정지 취소, 및 데이터 서비스 및 음성 서비스 정지 취소 중 하나의 기능을 수행하도록 하는 응답을 기지국 컨트롤러로부터 수신하도록 프로그램되는 시스템.
  9. 무선 액세스 네트워크 시스템으로서,
    트랜시버; 및
    상기 트랜시버에 연결되는 프로세서
    를 포함하고,
    상기 프로세서는,
    상기 무선 액세스 네트워크 시스템과 통신하는 이동국 내의 애플리케이션의 이상 상태를 검출하고;
    상기 이상 상태의 검출에 응답하여,
    상기 무선 액세스 네트워크 시스템 상에서 다른 리소스에 대한 상기 이동국의 액세스를 인에이블하면서, 상기 무선 액세스 네트워크 시스템 상에서 리소스에 대한 상기 이동국의 액세스를 선택적으로 제어하는 기능, 및
    상기 무선 액세스 네트워크 시스템상의 상기 이상상태의 효과를 완화하는 하나 또는 그 이상의 완화 기능을 실행하는 기능 중 적어도 하나를 수행하도록 프로그램되는
    무선 액세스 네트워크 시스템.
  10. 제9항에 있어서,
    상기 프로세서는,
    정상 상태로는 신뢰할 만하게 보이는 다른 무선 장치에 의한 이동국 주소록에 대한 액세스를 제한하는 기능,
    상기 이동국과 최근 통신하거나 상기 이동국의 주소록, 친구 목록 또는 최근 통화 목록에 있는 이동국들에서 보안 레벨을 올리는 기능,
    특정 서비스 애플리케이션에 대한 액세스를 제한하는 기능, 또는
    서비스를 공격에 덜 민감한 서비스로 재지정하는 기능으로부터 선택된 하나 또는 그 이상의 기능을 수행함으로써 리소스에 대한 액세스를 제어하며,
    상기 하나 또는 그 이상의 완화 기능은, 적어도
    상기 이동국에 근접한 다른 이동국들에게 상기 이상상태를 경고하고, 보안 레벨을 올리거나 또는 바이러스 소프트웨어를 실행하도록 하는 기능,
    페이지를 더욱 자주 확인하도록 깨움으로써 상기 이동국의 전원을 고갈하도록 지시하는 기능, 또는
    상기 이동국이 더욱 정확한 위치 추적을 수행하도록 지시함으로써 상기 이동국의 전원을 고갈하도록 지시하는 기능으로부터 선택되는
    무선 액세스 네트워크 시스템.
KR1020077028543A 2005-06-07 2006-05-26 무선 통신 네트워크 보안 방법 및 시스템 KR100959477B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/146,822 2005-06-07
US11/146,822 US7496348B2 (en) 2005-06-07 2005-06-07 Wireless communication network security method and system

Publications (2)

Publication Number Publication Date
KR20080007671A true KR20080007671A (ko) 2008-01-22
KR100959477B1 KR100959477B1 (ko) 2010-05-25

Family

ID=37494786

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077028543A KR100959477B1 (ko) 2005-06-07 2006-05-26 무선 통신 네트워크 보안 방법 및 시스템

Country Status (4)

Country Link
US (1) US7496348B2 (ko)
KR (1) KR100959477B1 (ko)
CN (1) CN101189859B (ko)
WO (1) WO2006132831A2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101015515B1 (ko) * 2009-01-20 2011-02-16 (주)크레프리 메모리의 개인 정보를 검색하는 개인정보 보호 시스템 및 그 개인정보 보호 방법
KR20210116816A (ko) * 2020-03-17 2021-09-28 한국전자통신연구원 스몰셀 기지국에서 이동 단말의 데이터 서비스를 차단하는 방법 및 장치

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2482980A1 (en) * 2002-04-19 2003-10-30 Computer Associates Think, Inc. System and method for managing wireless devices in an enterprise
KR100551421B1 (ko) * 2002-12-28 2006-02-09 주식회사 팬택앤큐리텔 바이러스치료기능을 가진 이동통신 시스템
US7496348B2 (en) 2005-06-07 2009-02-24 Motorola, Inc. Wireless communication network security method and system
US7733824B2 (en) * 2005-06-23 2010-06-08 Nokia Corporation Fixed access point for a terminal device
US20070005987A1 (en) * 2005-06-30 2007-01-04 Durham Lenitra M Wireless detection and/or containment of compromised electronic devices in multiple power states
US7844037B2 (en) * 2005-08-08 2010-11-30 Palm, Inc. Method and device for enabling message responses to incoming phone calls
EP1768434A1 (en) * 2005-09-21 2007-03-28 Thomson Telecom Belgium Method and a device to suspend the access to a service
US8477759B2 (en) * 2005-09-30 2013-07-02 Qualcomm Incorporated Filtering of malformed data packets in wireless communication
US20070117593A1 (en) * 2005-11-22 2007-05-24 Nextel Communications, Inc. System and method for detection and notification of improper access of a wireless device
US20070123214A1 (en) * 2005-11-25 2007-05-31 Motorola, Inc. Mobile device system and strategies for determining malicious code activity
WO2007117567A2 (en) 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for limited access mobile platforms
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
WO2008043109A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
CA2701689C (en) * 2006-10-06 2016-09-06 Smobile Systems, Inc. System and method of malware sample collection on mobile networks
WO2008067335A2 (en) * 2006-11-27 2008-06-05 Smobile Systems, Inc. Wireless intrusion prevention system and method
US8064882B2 (en) * 2007-03-09 2011-11-22 Cisco Technology, Inc. Blacklisting of unlicensed mobile access (UMA) users via AAA policy database
ES2712700T3 (es) * 2007-06-13 2019-05-14 Exfo Oy Un detector de hombre-en-el-medio y un método que lo usa
KR100977365B1 (ko) 2007-12-20 2010-08-20 삼성에스디에스 주식회사 바이러스 및 네트워크 공격에 대한 자기 방어 기능을 갖는모바일 디바이스 및 이를 이용한 자기 방어 방법
WO2009082306A1 (en) * 2007-12-21 2009-07-02 Telefonaktiebolaget L M Ericsson (Publ) Detection of malicious software in communication system
US20090209291A1 (en) * 2008-02-19 2009-08-20 Motorola Inc Wireless communication device and method with expedited connection release
US8671438B2 (en) * 2008-04-04 2014-03-11 Cello Partnership Method and system for managing security of mobile terminal
KR20100023494A (ko) * 2008-08-22 2010-03-04 엘지전자 주식회사 단말기 및 그 바이러스 보호 방법
US8726391B1 (en) * 2008-10-10 2014-05-13 Symantec Corporation Scheduling malware signature updates in relation to threat awareness and environmental safety
WO2010150047A1 (en) * 2009-06-25 2010-12-29 Nokia Corporation Method and apparatus for device rehabilitation management
US8752142B2 (en) 2009-07-17 2014-06-10 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback
US8442510B2 (en) 2009-10-09 2013-05-14 At&T Intellectual Property I, L.P. Mobile point-of-presence for on demand network client services and security
US8688826B2 (en) * 2009-11-30 2014-04-01 Motorola Mobility Llc Mobile computing device and method with intelligent pushing management
US8473472B2 (en) * 2009-12-15 2013-06-25 At & T Intellectual Property I, L.P. Footprint tracking of contacts
US8621636B2 (en) 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
US9756076B2 (en) 2009-12-17 2017-09-05 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transactions
US8650129B2 (en) 2010-01-20 2014-02-11 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transaction data in transit
CN102195744A (zh) * 2010-03-12 2011-09-21 中兴通讯股份有限公司 无码型转换器级联操作的异常处理方法及码型转换器
US8479290B2 (en) * 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network
CN101964731B (zh) * 2010-06-18 2014-11-05 中兴通讯股份有限公司 一种数据链路监测方法及装置
US9202049B1 (en) 2010-06-21 2015-12-01 Pulse Secure, Llc Detecting malware on mobile devices
US10360625B2 (en) 2010-06-22 2019-07-23 American Express Travel Related Services Company, Inc. Dynamically adaptive policy management for securing mobile financial transactions
US8850539B2 (en) 2010-06-22 2014-09-30 American Express Travel Related Services Company, Inc. Adaptive policies and protections for securing financial transaction data at rest
US8924296B2 (en) 2010-06-22 2014-12-30 American Express Travel Related Services Company, Inc. Dynamic pairing system for securing a trusted communication channel
GB201011167D0 (en) * 2010-07-02 2010-08-18 Vodafone Plc Virus control in telecommunication networks
EP2403186B1 (en) * 2010-07-02 2017-12-27 Vodafone IP Licensing limited Telecommunication networks
US20120272320A1 (en) * 2011-04-25 2012-10-25 Verizon Patent And Licensing Inc. Method and system for providing mobile device scanning
US8381282B1 (en) 2011-09-30 2013-02-19 Kaspersky Lab Zao Portable security device and methods for maintenance of authentication information
CN102523587B (zh) * 2012-01-15 2014-03-19 西安电子科技大学 认知无线网络中对多种攻击防御的多用户频谱分配方法
US8726338B2 (en) 2012-02-02 2014-05-13 Juniper Networks, Inc. Dynamic threat protection in mobile networks
US9026801B2 (en) * 2012-04-26 2015-05-05 Hewlett-Packard Development Company, L.P. System call interception
CN103442438B (zh) * 2012-07-23 2017-04-12 英特尔公司 用于隧道通用寻呼消息的装置和方法
JP6205707B2 (ja) * 2012-10-29 2017-10-04 富士通株式会社 無線通信システム、無線通信制御方法、アクセス制御装置、及び、無線基地局
EP2929670B1 (en) * 2012-12-10 2019-07-03 Koninklijke KPN N.V. System to protect a mobile network
CN103067939B (zh) * 2012-12-19 2016-11-09 广东欧珀移动通信有限公司 降低移动终端辐射的方法和装置
US9661453B2 (en) * 2013-03-16 2017-05-23 Fairwayiq, Inc. Intelligent golf course
US9516127B2 (en) * 2013-03-25 2016-12-06 Seven Networks, Llc Intelligent alarm manipulator and resource tracker
US9319423B2 (en) 2013-11-04 2016-04-19 At&T Intellectual Property I, L.P. Malware and anomaly detection via activity recognition based on sensor data
US9125060B2 (en) * 2013-11-22 2015-09-01 At&T Mobility Ii Llc Methods, systems, and computer program products for intercepting, in a carrier network, data destined for a mobile device to determine patterns in the data
CN104239186A (zh) * 2014-09-30 2014-12-24 陈凤 基于cpu负荷率的智能电表病毒检测方法
EP3257285B1 (en) * 2015-02-09 2021-05-05 Telefonaktiebolaget LM Ericsson (publ) Mitigating the impact from internet attacks in a ran using internet transport
WO2016130050A1 (en) * 2015-02-09 2016-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Mitigating the impact from internet attacks in a ran using internet transport
EP3257286B1 (en) * 2015-02-09 2021-05-12 Telefonaktiebolaget LM Ericsson (publ) Mitigating the impact from internet attacks in a ran using internet transport
CA3131536A1 (en) 2015-08-07 2017-02-16 Fairwayiq, Inc. System and method for managing and interacting with patrons at an activity venue
US10887768B2 (en) * 2016-07-13 2021-01-05 T-Mobile Usa, Inc. Mobile traffic redirection system
US10498754B2 (en) * 2017-06-09 2019-12-03 Verizon Patent And Licensing Inc. Systems and methods for policing and protecting networks from attacks
US11044276B2 (en) * 2017-08-24 2021-06-22 Apple Inc. Cellular security framework
CN109274544B (zh) * 2018-12-11 2021-06-29 浪潮(北京)电子信息产业有限公司 一种分布式存储系统的故障检测方法及装置
CN111104137B (zh) * 2019-12-06 2023-10-20 山东信通电子股份有限公司 一种ota设备的升级方法及装置
US11588850B2 (en) * 2020-04-13 2023-02-21 At&T Intellectual Property I, L.P. Security techniques for 5G and next generation radio access networks
US11696137B2 (en) * 2020-07-31 2023-07-04 T-Mobile Usa, Inc. Detecting malicious small cells based on a connectivity schedule
US11653229B2 (en) 2021-02-26 2023-05-16 At&T Intellectual Property I, L.P. Correlating radio access network messages of aggressive mobile devices
US11653234B2 (en) 2021-03-16 2023-05-16 At&T Intellectual Property I, L.P. Clustering cell sites according to signaling behavior
CN114760216B (zh) * 2022-04-12 2023-12-05 国家计算机网络与信息安全管理中心 一种扫描探测事件确定方法、装置及电子设备

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0935146A (ja) * 1995-07-20 1997-02-07 Tec Corp 商品販売登録データ処理装置
US5983093A (en) 1997-08-06 1999-11-09 Lucent Technologies, Inc. Wireless terminal and wireless telecommunications system adapted to prevent the theft of wireless service
FI982763A (fi) 1998-12-21 2000-06-22 Nokia Networks Oy Tiedonsiirtomenetelmä ja radiojärjestelmä
US6301668B1 (en) 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
CN1157981C (zh) 2000-06-12 2004-07-14 三菱电机株式会社 电话系统
US7210040B2 (en) 2000-07-14 2007-04-24 Computer Associates Think, Inc. Detection of suspicious privileged access to restricted computer resources
JP2002057759A (ja) 2000-08-09 2002-02-22 Nec Saitama Ltd 折り畳み可能な携帯電話
US7275102B2 (en) 2001-01-22 2007-09-25 Sun Microsystems, Inc. Trust mechanisms for a peer-to-peer network computing platform
EP1388068B1 (en) 2001-04-13 2015-08-12 Nokia Technologies Oy System and method for providing exploit protection for networks
JP3563714B2 (ja) * 2001-08-08 2004-09-08 株式会社東芝 ネットワーク間接続装置
JP4237055B2 (ja) 2001-09-28 2009-03-11 ファイバーリンク コミュニケーションズ コーポレーション クライアント側網アクセス・ポリシー及び管理アプリケーション
US7076267B2 (en) 2001-12-07 2006-07-11 Research In Motion Limited System and method for event-dependent state activation for a dual-mode mobile communication device
GB0129596D0 (en) 2001-12-11 2002-01-30 Nokia Corp Risk detection
JP2003216447A (ja) * 2002-01-17 2003-07-31 Ntt Docomo Inc サーバ装置、移動通信端末、情報送信システム及び情報送信方法
JP4567275B2 (ja) 2002-02-28 2010-10-20 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末、情報処理装置、中継サーバ装置、情報処理システム及び情報処理方法
SE0201297D0 (sv) 2002-04-30 2002-04-30 Anoto Ab Information management system and a method at said system
KR100517441B1 (ko) * 2003-07-16 2005-09-27 양기철 화상 이미지를 통한 상호 인증 방법 및 이를 실행하기위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
US6973305B2 (en) 2003-09-10 2005-12-06 Qualcomm Inc Methods and apparatus for determining device integrity
JP2005128792A (ja) * 2003-10-23 2005-05-19 Trend Micro Inc 通信装置、プログラムおよび記憶媒体
US7450959B2 (en) 2003-12-31 2008-11-11 Qualcomm Incorporated Wireless multiprocessor system-on-chip with unified memory and fault inhibitor
US20060223496A1 (en) 2005-03-31 2006-10-05 Lucent Technologies Inc. System and method for detection of mobile handset software corruption
US7496348B2 (en) 2005-06-07 2009-02-24 Motorola, Inc. Wireless communication network security method and system
US20070072616A1 (en) 2005-09-23 2007-03-29 Cyrus Irani Preventing cellphone usage when driving
US20070123214A1 (en) * 2005-11-25 2007-05-31 Motorola, Inc. Mobile device system and strategies for determining malicious code activity

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101015515B1 (ko) * 2009-01-20 2011-02-16 (주)크레프리 메모리의 개인 정보를 검색하는 개인정보 보호 시스템 및 그 개인정보 보호 방법
KR20210116816A (ko) * 2020-03-17 2021-09-28 한국전자통신연구원 스몰셀 기지국에서 이동 단말의 데이터 서비스를 차단하는 방법 및 장치

Also Published As

Publication number Publication date
KR100959477B1 (ko) 2010-05-25
CN101189859A (zh) 2008-05-28
US20060276173A1 (en) 2006-12-07
CN101189859B (zh) 2013-01-23
WO2006132831A3 (en) 2007-02-01
US7496348B2 (en) 2009-02-24
WO2006132831A2 (en) 2006-12-14

Similar Documents

Publication Publication Date Title
KR100959477B1 (ko) 무선 통신 네트워크 보안 방법 및 시스템
JP7223022B2 (ja) 端末(ue)の管理と制御のための方法および装置
US8479290B2 (en) Treatment of malicious devices in a mobile-communications network
Lee et al. On the detection of signaling DoS attacks on 3G wireless networks
US8064882B2 (en) Blacklisting of unlicensed mobile access (UMA) users via AAA policy database
US20070077931A1 (en) Method and apparatus for wireless network protection against malicious transmissions
US20080229382A1 (en) Mobile access terminal security function
Abdelrahman et al. Signalling storms in 3G mobile networks
RU2477520C1 (ru) Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства
Lee et al. On the detection of signaling DoS attacks on 3G/WiMax wireless networks
US11070982B1 (en) Self-cleaning function for a network access node of a network
US11444980B2 (en) On-demand wireless device centric security for a 5G wireless network
KR101754566B1 (ko) 모바일 네트워크를 보호하기 위한 시스템
Raza et al. Exposing LTE security weaknesses at protocol inter-layer, and inter-radio interactions
US20070150951A1 (en) Methods, communication networks, and computer program products for managing application(s) on a vulnerable network element due to an untrustworthy network element by sending a command to an application to reduce the vulnerability of the network element
US20030149897A1 (en) Risk detection
US11824881B2 (en) On-demand security layer for a 5G wireless network
KR20150093194A (ko) 원격통신 네트워크에서 모바일 제어 장치
US11799878B2 (en) On-demand software-defined security service orchestration for a 5G wireless network
Khadem Security issues in smartphones and their effects on the telecom networks
Kamel et al. A SURVEY ON THREATS, VULNERABILITIES AND SECURITY SOLUTIONS FOR CELLULAR NETWORK

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130429

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140430

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150428

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160427

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170428

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180430

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190426

Year of fee payment: 10