知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2023-508567ダイアメータエージェントおよび信号転送ポイント(STP)を使用して間接的な汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP)ファイアウォールフィルタリングを実行するための方法、システムおよびコンピュータ読取可能媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-03-02
(54)【発明の名称】ダイアメータエージェントおよび信号転送ポイント(STP)を使用して間接的な汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP)ファイアウォールフィルタリングを実行するための方法、システムおよびコンピュータ読取可能媒体
(51)【国際特許分類】
H04W 12/12 20210101AFI20230222BHJP
H04W 12/72 20210101ALI20230222BHJP
H04W 12/63 20210101ALI20230222BHJP
【FI】
H04W12/12
H04W12/72
H04W12/63
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022540480
(86)(22)【出願日】2020-12-17
(85)【翻訳文提出日】2022-08-24
(86)【国際出願番号】 US2020065763
(87)【国際公開番号】W WO2021138072
(87)【国際公開日】2021-07-08
(31)【優先権主張番号】16/732,098
(32)【優先日】2019-12-31
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】クマール,ビピン
(72)【発明者】
【氏名】マハランク,シャシキラン・バラチャンドラ
(72)【発明者】
【氏名】ラオ,ラハベンドラ・ゴパラ
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA30
5K067AA33
5K067DD17
5K067DD20
5K067HH22
(57)【要約】
間接的なGTPファイアウォールフィルタリングを実行するための方法は、シグナリングメッセージルーティングノードを使用して、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出されたIMSIおよびVPLMN IDを間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップを含む。上記方法はさらに、GTP-Cメッセージに応答して生成されたCCR-Iメッセージを受信するステップを含む。上記方法はさらに、CCR-IメッセージからIMSIおよびVPLMN IDを抽出するステップを含む。上記方法はさらに、CCR-Iメッセージから抽出されたIMSIを使用して間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスするステップを含む。上記方法はさらに、IMSIに対応する記録が間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断するステップを含む。上記方法はさらに、記録の中のVPLMN IDが、CCR-Iメッセージから抽出されたVPLMN IDと一致しないことを判断するステップを含む。上記方法はさらに、記録の中のVPLMN IDが、CCR-Iメッセージから抽出されたVPLMN IDと一致しないと判断したことに応答して、CCR-Iメッセージを拒否するステップを含む。
【特許請求の範囲】
【請求項1】
間接的な汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP)ファイアウォールフィルタリングを実行するための方法であって、シグナリングメッセージルーティングノードを使用して、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出された国際移動電話加入者識別子(IMSI)および訪問先パブリックランドモバイルネットワーク識別子(VPLMN ID)を間接的GTPコア(GTP-C)ファイアウォールフィルタリングデータベースに動的に投入するステップと、
GTP-Cメッセージに応答して生成されたクレジット制御要求-初期(CCR-I)メッセージを受信するステップと、
前記CCR-IメッセージからIMSIおよびVPLMN IDを抽出するステップと、
前記CCR-Iメッセージから抽出された前記IMSIを使用して前記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスするステップと、
前記IMSIに対応する記録が前記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断するステップと、
前記記録の中のVPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないことを判断するステップと、
前記記録の中の前記VPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないと判断したことに応答して、前記CCR-Iメッセージを拒否するステップとを備える、方法。
【請求項2】
シグナリングメッセージルーティングノードを使用して、前記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップは、前記シグナリングメッセージルーティングノードにおいて、加入者のホームネットワークで前記加入者の位置を更新するためのダイアメータ位置更新要求(ULR)メッセージを受信するステップと、
前記ダイアメータULRメッセージからIMSIおよびVPLMN IDを抽出するステップと、
前記ダイアメータULRメッセージから抽出された前記IMSIおよび前記VPLMN IDを一時的に格納するステップと、
前記加入者の前記ホームネットワークでの前記加入者の前記位置の前記更新が成功したことを判断するステップと、
前記加入者の位置の前記更新が成功したと判断したことに応答して、前記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、前記ダイアメータULRメッセージから抽出された前記VPLMN IDを、前記ダイアメータULRメッセージから抽出された前記IMSIと関連付けるステップとを含む、請求項1に記載の方法。
【請求項3】
前記シグナリングメッセージルーティングノードは、ダイアメータエッジエージェントを含む、先行する請求項のいずれか1項に記載の方法。
【請求項4】
前記シグナリングメッセージルーティングノードは、ダイアメータリレーエージェント(DRA)を含む、先行する請求項のいずれか1項に記載の方法。
【請求項5】
前記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップは、前記シグナリングメッセージルーティングノードにおいて、加入者のホームネットワークで前記加入者の位置を更新するためのモバイルアプリケーション部(MAP)位置更新要求メッセージを受信するステップと、
前記MAP位置更新要求メッセージからIMSIおよびVPLMN IDを抽出するステップと、
前記MAP位置更新要求メッセージから抽出された前記IMSIおよび前記VPLMN IDを一時的に格納するステップと、
前記加入者の前記ホームネットワークでの前記加入者の前記位置の前記更新が成功したことを判断するステップと、
前記加入者の前記ホームネットワークでの前記加入者の前記位置の前記更新が成功したと判断したことに応答して、前記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、前記VPLMN IDを、前記MAP位置更新要求メッセージから抽出された前記IMSIと関連付けるステップとを含む、請求項1に記載の方法。
【請求項6】
前記シグナリングメッセージルーティングノードは、信号転送ポイント(STP)を含む、請求項1または5に記載の方法。
【請求項7】
前記間接的GTP-Cファイアウォールフィルタリングデータベースは、前記シグナリングメッセージルーティングノードから分離されたコンピューティングプラットフォーム上にある、先行する請求項のいずれか1項に記載の方法。
【請求項8】
前記間接的GTP-Cファイアウォールフィルタリングデータベースは、前記シグナリングメッセージルーティングノードと同一場所に設置される、請求項1~6のいずれか1項に記載の方法。
【請求項9】
前記間接的GTP-Cファイアウォールフィルタリングデータベースは、前記シグナリングメッセージルーティングノードおよびホームロケーションレジスタ(HLR)またはホーム加入者サーバ(HSS)から分離されたコンピューティングプラットフォーム上に位置する、請求項1~7のいずれか1項に記載の方法。
【請求項10】
モビリティ管理シグナリングメッセージから抽出された国際移動体装置識別子(IMEI)を前記GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップと、前記CCR-IメッセージからIMEI値を抽出するステップと、
前記GTP-Cファイアウォールフィルタリングデータベース内の前記IMEIを使用して、前記CCR-Iメッセージをスクリーニングするステップとをさらに備える、先行する請求項のいずれか1項に記載の方法。
【請求項11】
間接的な汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP)ファイアウォールフィルタリングを実行するためのシステムであって、間接的GTPコア(GTP-C)ファイアウォールフィルタリングデータベースと、
少なくとも1つのシグナリングメッセージルーティングノードとを備え、前記少なくとも1つのシグナリングメッセージルーティングノードは、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出された国際移動電話加入者識別子(IMSI)および訪問先パブリックランドモバイルネットワーク識別子(VPLMN ID)を前記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入し、GTP-Cメッセージに応答して生成されたクレジット制御要求-初期(CCR-I)メッセージを受信し、前記CCR-IメッセージからIMSIおよびVPLMN IDを抽出し、前記CCR-Iメッセージから抽出された前記IMSIを使用して前記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスし、前記IMSIに対応する記録が前記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断し、前記記録の中のVPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないことを判断し、前記記録の中の前記VPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないと判断したことに応答して、前記CCR-Iメッセージを拒否するように構成される、システム。
【請求項12】
前記少なくとも1つのシグナリングメッセージルーティングノードは、ダイアメータ位置更新要求(ULR)メッセージを受信し、
前記ダイアメータULRメッセージからIMSIおよびVPLMN IDを抽出し、
前記ダイアメータULRメッセージから抽出された前記IMSIおよび前記VPLMN IDを一時的に格納し、
前記加入者の位置の前記更新が成功したことを判断し、
前記加入者の位置の前記更新が成功したと判断したことに応答して、前記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、前記ダイアメータULRメッセージから抽出された前記VPLMN IDを、前記ダイアメータULRメッセージから抽出された前記IMSIと関連付ける、
ことによって前記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するように構成される、請求項11に記載のシステム。
【請求項13】
前記少なくとも1つのシグナリングメッセージルーティングノードは、ダイアメータエッジエージェントを含む、請求項12に記載のシステム。
【請求項14】
前記少なくとも1つのシグナリングメッセージルーティングノードは、ダイアメータリレーエージェント(DRA)を含む、請求項11~13のいずれか1項に記載のシステム。
【請求項15】
前記少なくとも1つのシグナリングメッセージルーティングノードは、モバイルアプリケーション部(MAP)位置更新要求メッセージを受信し、
前記MAP位置更新要求メッセージからIMSIおよびVPLMN IDを抽出し、
前記MAP位置更新要求メッセージから抽出された前記IMSIおよび前記VPLMN IDを一時的に格納し、
前記加入者の位置の前記更新が成功したことを判断し、
前記加入者の位置の前記更新が成功したと判断したことに応答して、前記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、前記VPLMN IDを、前記MAP位置更新要求メッセージから抽出された前記IMSIと関連付ける、
ことによって前記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するように構成される、請求項11に記載のシステム。
【請求項16】
前記少なくとも1つのシグナリングメッセージルーティングノードは、前記GTP-Cファイアウォールフィルタリングデータベースに動的に投入するための信号転送ポイント(STP)と、
前記GTP-Cメッセージに応答して生成された前記CCR-Iメッセージを受信し、前記CCR-Iメッセージから前記IMSIおよび前記VPLMN IDを抽出し、前記CCR-Iメッセージから抽出された前記IMSIを使用して前記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスし、前記IMSIに対応する記録が前記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断し、前記記録の中の前記VPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないことを判断し、前記記録の中の前記VPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないと判断したことに応答して、前記CCR-Iメッセージを拒否するためのダイアメータエージェントとを備える、請求項11または15に記載のシステム。
【請求項17】
前記間接的GTP-Cファイアウォールフィルタリングデータベースは、前記少なくとも1つのシグナリングメッセージルーティングノードと同一場所に設置される、請求項11~16のいずれか1項に記載のシステム。
【請求項18】
前記間接的GTP-Cファイアウォールフィルタリングデータベースは、前記少なくとも1つのシグナリングメッセージルーティングノードおよびホームロケーションレジスタ(HLR)またはホーム加入者サーバ(HSS)から分離されたコンピューティングプラットフォーム上に位置する、請求項11~16のいずれか1項に記載のシステム。
【請求項19】
前記少なくとも1つのシグナリングメッセージルーティングノードは、モビリティ管理シグナリングメッセージから抽出された国際移動体装置識別子(IMEI)を前記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入し、
前記CCR-IメッセージからIMEI値を抽出し、
前記GTP-Cファイアウォールフィルタリングデータベース内の前記IMEIを使用して、前記CCR-Iメッセージをスクリーニングするように構成される、請求項11~18のいずれか1項に記載のシステム。
【請求項20】
実行可能な命令が格納された非一時的なコンピュータ読取可能媒体であって、前記命令は、コンピュータのプロセッサによって実行されると、ステップを実行するように前記コンピュータを制御し、前記ステップは、シグナリングメッセージルーティングノードを使用して、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出された国際移動電話加入者識別子(IMSI)および訪問先パブリックランドモバイルネットワーク識別子(VPLMN ID)を間接的汎用パケット無線サービス(GPRS)トンネリングプロトコルコア(GTP-C)ファイアウォールフィルタリングデータベースに動的に投入するステップと、
GTP-Cメッセージに応答して生成されたクレジット制御要求-初期(CCR-I)メッセージを受信するステップと、
前記CCR-IメッセージからIMSIおよびVPLMN IDを抽出するステップと、
前記CCR-Iメッセージから抽出された前記IMSIを使用して前記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスするステップと、
前記IMSIに対応する記録が前記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断するステップと、
前記記録の中のVPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないことを判断するステップと、
前記記録の中の前記VPLMN IDが、前記CCR-Iメッセージから抽出された前記VPLMN IDと一致しないと判断したことに応答して、前記CCR-Iメッセージを拒否するステップとを備える、非一時的なコンピュータ読取可能媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本願は、2019年12月31日に出願された米国特許出願番号第16/732,098号の優先権利益を主張し、米国特許出願番号第16/732,098号の開示は、全文が引用によって本明細書に援用される。
本願は、2019年12月31日に出願された米国特許出願番号第16/732,098号の優先権利益を主張し、米国特許出願番号第16/732,098号の開示は、全文が引用によって本明細書に援用される。
【0002】
技術分野
本明細書に記載されている主題は、GTPコア(GTP-C)シグナリングトラフィックのためのファイアウォール機能を実行することに関する。より特定的には、本明細書に記載されている主題は、GTP-Cローミングシグナリングを遮ることなく1つまたは複数のダイアメータエージェントおよびSTPを使用して不正ベースの攻撃を防止するために間接的なGTPファイアウォールフィルタリングを実行するための方法、システムおよびコンピュータ読取可能媒体に関する。
本明細書に記載されている主題は、GTPコア(GTP-C)シグナリングトラフィックのためのファイアウォール機能を実行することに関する。より特定的には、本明細書に記載されている主題は、GTP-Cローミングシグナリングを遮ることなく1つまたは複数のダイアメータエージェントおよびSTPを使用して不正ベースの攻撃を防止するために間接的なGTPファイアウォールフィルタリングを実行するための方法、システムおよびコンピュータ読取可能媒体に関する。
【背景技術】
【0003】
背景
GTPは、グローバル・システム・フォー・モバイル・コミュニケーションズ(GSM(登録商標))、ユニバーサル移動体通信システム(UMTS)、ロングタームエボリューション(LTE)および5Gネットワーク内でGPRSトラフィックを搬送するために使用されるIPベースの通信プロトコルの群である。GTP-Cは、エボルブド・パケット・コア(EPC)ネットワーク内で、サービングゲートウェイ(SGW)とパケットゲートウェイ(PGW)との間のシグナリングに使用される。サービングゲートウェイ機能情報をPGWに伝達するため、GTPトンネルを作成、更新および削除するため、ならびにパス管理のために、GTP-CコントロールプレーンメッセージがSGWとPGWとの間でやりとりされる。
GTPは、グローバル・システム・フォー・モバイル・コミュニケーションズ(GSM(登録商標))、ユニバーサル移動体通信システム(UMTS)、ロングタームエボリューション(LTE)および5Gネットワーク内でGPRSトラフィックを搬送するために使用されるIPベースの通信プロトコルの群である。GTP-Cは、エボルブド・パケット・コア(EPC)ネットワーク内で、サービングゲートウェイ(SGW)とパケットゲートウェイ(PGW)との間のシグナリングに使用される。サービングゲートウェイ機能情報をPGWに伝達するため、GTPトンネルを作成、更新および削除するため、ならびにパス管理のために、GTP-CコントロールプレーンメッセージがSGWとPGWとの間でやりとりされる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
PGWは、インターネットトラフィックで使用されるので、アウトバウンドローミング加入者に仕えるSGWになりすましているノードから不正ベースの攻撃を受ける可能性がある。アウトバウンドローミング加入者は、別のサービスプロバイダのネットワーク内でローミングしているサービスプロバイダのネットワークの加入者である。アウトバウンドローミング加入者は、別のネットワークの加入者がサービスプロバイダのホームネットワーク内でローミングしているインバウンドローミング加入者と区別することができる。アウトバウンドモバイル加入者に関連するシグナリングは特に、不正ベースの攻撃を受けやすい。なぜなら、特定の加入者に仕えるサービングゲートウェイまたはモビリティ管理エンティティ(MME)になりすましている攻撃者は、加入者の国際移動電話加入者識別番号(IMSI)を使用して加入者になりすますことができ、IMSIは取得するのが難しくないからである。攻撃者は、実際の加入者のIMSIを使用して、パケットゲートウェイとのGTPセッションを確立し、最低でも実際の加入者へのサービスを拒絶し得る。また、攻撃者は、加入者のホームネットワークから加入者情報を取得することもし得る。このような攻撃を防ぐ1つの可能な方法は、ホームネットワークのPGWにおいてGTP-Cファイアウォール機能を実行するというものである。しかし、PGWにおいてGTP-Cファイアウォール機能を実行することは、ネットワーク上に配備され得るPGWの数の観点からネットワークオペレータにとって負担になり、PGWの処理リソースにとっても負担になる可能性がある。たとえば、PGWは、GTP-Cメッセージをスクリーニングするために備え付けられる場合には、ホーム加入者サーバ(HSS)と連絡をとって、加入者がローミングアウトしているか否かを確認し、次いで当該ローミングネットワークの特定のMMEまたはサービングゲートウェイ(SGW)からのGTP-Cセッションを許可するか否かを判断しなければならないであろう。このような処理は、PGWにとってもHSSにとっても負担になるであろう。PGWは、GTP-Cシグナリングを遮って、HSSに照会して、HSSから応答を受信して、この応答に基づいてGTPセッションを許可するか否かを判断しなければならないであろう。これは、PGWとHSSとの間には既存の規格によって規定されたインターフェイスがないので、非標準的なPGW挙動であろう。HSSは、ネットワーク内のあらゆるPGWからのあらゆるGTP-Cセッションについてクエリおよび応答を処理しなければならないであろう。
【0005】
したがって、コアネットワークノードに対する処理負担を減らすやり方で、GTP-Cローミングシグナリングを遮ることなくGTPファイアウォール機能を実行することが必要とされている。
【課題を解決するための手段】
【0006】
概要
間接的なGTPファイアウォールフィルタリングを実行するための方法は、シグナリングメッセージルーティングノードを使用して、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出されたIMSIおよびVPLMN IDを間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップを含む。上記方法はさらに、GTP-Cメッセージに応答して生成されたCCR-Iメッセージを受信するステップを含む。上記方法はさらに、上記CCR-IメッセージからIMSIおよびVPLMN IDを抽出するステップを含む。上記方法はさらに、上記CCR-Iメッセージから抽出された上記IMSIを使用して上記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスするステップを含む。上記方法はさらに、上記IMSIに対応する記録が上記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断するステップを含む。上記方法はさらに、上記記録の中のVPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないことを判断するステップを含む。上記方法はさらに、上記記録の中の上記VPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないと判断したことに応答して、上記CCR-Iメッセージを拒否するステップを含む。
間接的なGTPファイアウォールフィルタリングを実行するための方法は、シグナリングメッセージルーティングノードを使用して、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出されたIMSIおよびVPLMN IDを間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップを含む。上記方法はさらに、GTP-Cメッセージに応答して生成されたCCR-Iメッセージを受信するステップを含む。上記方法はさらに、上記CCR-IメッセージからIMSIおよびVPLMN IDを抽出するステップを含む。上記方法はさらに、上記CCR-Iメッセージから抽出された上記IMSIを使用して上記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスするステップを含む。上記方法はさらに、上記IMSIに対応する記録が上記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断するステップを含む。上記方法はさらに、上記記録の中のVPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないことを判断するステップを含む。上記方法はさらに、上記記録の中の上記VPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないと判断したことに応答して、上記CCR-Iメッセージを拒否するステップを含む。
【0007】
本明細書に記載されている主題の別の局面に従って、シグナリングメッセージルーティングノードを使用して、上記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップは、上記シグナリングメッセージルーティングノードにおいて、ダイアメータ位置更新要求(ULR)メッセージを受信するステップと、上記ダイアメータULRメッセージからIMSIおよびVPLMN IDを抽出するステップと、上記ダイアメータULRメッセージから抽出された上記IMSIおよび上記VPLMN IDを一時的に格納するステップと、上記加入者の上記位置の更新が成功したことを判断するステップと、上記加入者の位置の上記更新が成功したと判断したことに応答して、上記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、上記ダイアメータULRメッセージから抽出された上記VPLMN IDを、上記ダイアメータULRメッセージから抽出された上記IMSIと関連付けるステップとを含む。
【0008】
本明細書に記載されている主題のさらに別の局面に従って、上記シグナリングメッセージルーティングノードは、ダイアメータエッジエージェント(DEA)を含む。
【0009】
本明細書に記載されている主題のさらに別の局面に従って、上記シグナリングメッセージルーティングノードは、ダイアメータリレーエージェント(DRA)を含む。
【0010】
本明細書に記載されている主題のさらに別の局面に従って、上記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップは、上記シグナリングメッセージルーティングノードにおいて、モバイルアプリケーション部(MAP)位置更新要求メッセージを受信するステップと、上記MAP位置更新要求メッセージからIMSIおよびVPLMN IDを抽出するステップと、上記MAP位置更新要求メッセージから抽出された上記IMSIおよび上記VPLMN IDを一時的に格納するステップと、上記加入者の位置の上記更新が成功したことを判断するステップと、上記加入者の位置の上記更新が成功したと判断したことに応答して、上記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、上記VPLMN IDを、上記MAP位置更新要求メッセージから抽出された上記IMSIと関連付けるステップとを含む。
【0011】
本明細書に記載されている主題のさらに別の局面に従って、上記シグナリングメッセージルーティングノードは、信号転送ポイント(STP)を含む。
【0012】
本明細書に記載されている主題のさらに別の局面に従って、上記間接的GTP-Cファイアウォールフィルタリングデータベースは、上記シグナリングメッセージルーティングノードから分離されたコンピューティングプラットフォーム上で実現される。
【0013】
本明細書に記載されている主題のさらに別の局面に従って、上記間接的GTP-Cファイアウォールフィルタリングデータベースは、上記シグナリングメッセージルーティングノードと同一場所に設置される。
【0014】
本明細書に記載されている主題のさらに別の局面に従って、上記間接的GTP-Cファイアウォールフィルタリングデータベースは、上記シグナリングメッセージルーティングノードおよびホームロケーションレジスタ(HLR)またはホーム加入者サーバ(HSS)から分離されたコンピューティングプラットフォーム上に位置する。
【0015】
本明細書に記載されている主題のさらに別の局面に従って、間接的なGTP-Cファイアウォールフィルタリングのための方法は、モビリティ管理シグナリングメッセージから抽出された国際移動体装置識別子(IMEI)を上記GTP-Cファイアウォールフィルタリングデータベースに動的に投入するステップと、上記CCR-IメッセージからIMEI値を抽出するステップと、上記GTP-Cファイアウォールフィルタリングデータベース内の上記IMEIを使用して、上記CCR-Iメッセージをスクリーニングするステップとを含む。
【0016】
本明細書に記載されている主題のさらに別の局面に従って、間接的な汎用パケット無線サービス(GPRS)トンネリングプロトコル(GTP)ファイアウォールフィルタリングを実行するためのシステムである。上記システムは、間接的GTPコア(GTP-C)ファイアウォールフィルタリングデータベースを含む。上記システムはさらに、少なくとも1つのシグナリングメッセージルーティングノードを含み、上記少なくとも1つのシグナリングメッセージルーティングノードは、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出された国際移動電話加入者識別子(IMSI)および訪問先パブリックランドモバイルネットワーク識別子(VPLMN ID)を上記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入し、GTP-Cメッセージに応答して生成されたクレジット制御要求-初期(CCR-I)メッセージを受信し、上記CCR-IメッセージからIMSIおよびVPLMN IDを抽出し、上記CCR-Iメッセージから抽出された上記IMSIを使用して上記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスし、上記IMSIに対応する記録が上記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断し、上記記録の中のVPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないことを判断し、上記記録の中の上記VPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないと判断したことに応答して、上記CCR-Iメッセージを拒否するように構成される。
【0017】
本明細書に記載されている主題のさらに別の局面に従って、上記少なくとも1つのシグナリングメッセージルーティングノードは、ダイアメータ位置更新要求(ULR)メッセージを受信し、上記ダイアメータULRメッセージからIMSIおよびVPLMN IDを抽出し、上記ダイアメータULRメッセージから抽出された上記IMSIおよび上記VPLMN IDを一時的に格納し、上記加入者の位置の上記更新が成功したことを判断し、上記加入者の位置の上記更新が成功したと判断したことに応答して、上記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、上記ダイアメータULRメッセージから抽出された上記VPLMN IDを、上記ダイアメータULRメッセージから抽出された上記IMSIと関連付ける、ことによって上記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するように構成される。
【0018】
本明細書に記載されている主題のさらに別の局面に従って、上記少なくとも1つのシグナリングメッセージルーティングノードは、ダイアメータエッジエージェント(DEA)を含む。
【0019】
本明細書に記載されている主題のさらに別の局面に従って、上記少なくとも1つのシグナリングメッセージルーティングノードは、ダイアメータリレーエージェント(DRA)を含む。
【0020】
本明細書に記載されている主題のさらに別の局面に従って、上記少なくとも1つのシグナリングメッセージルーティングノードは、モバイルアプリケーション部(MAP)位置更新要求メッセージを受信し、上記MAP位置更新要求メッセージからIMSIおよびVPLMN IDを抽出し、上記MAP位置更新要求メッセージから抽出された上記IMSIおよび上記VPLMN IDを一時的に格納し、上記加入者の位置の上記更新が成功したことを判断し、上記加入者の位置の上記更新が成功したと判断したことに応答して、上記間接的GTP-Cファイアウォールフィルタリングデータベースにおいて、上記VPLMN IDを、上記MAP位置更新要求メッセージから抽出された上記IMSIと関連付ける、ことによって上記間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するように構成される。
【0021】
本明細書に記載されている主題のさらに別の局面に従って、上記少なくとも1つのシグナリングメッセージルーティングノードは、上記GTP-Cファイアウォールフィルタリングデータベースに動的に投入するための信号転送ポイント(STP)と、上記GTP-Cメッセージに応答して生成された上記CCR-Iメッセージを受信し、上記CCR-Iメッセージから上記IMSIおよび上記VPLMN IDを抽出し、上記CCR-Iメッセージから抽出された上記IMSIを使用して上記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスし、上記IMSIに対応する記録が上記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断し、上記記録の中の上記VPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないことを判断し、上記記録の中の上記VPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないと判断したことに応答して、上記CCR-Iメッセージを拒否するためのダイアメータエージェントとを備える。
【0022】
本明細書に記載されている主題のさらに別の局面に従って、上記間接的GTP-Cファイアウォールフィルタリングデータベースは、上記シグナリングメッセージルーティングノードと同一場所に設置される。
【0023】
本明細書に記載されている主題のさらに別の局面に従って、上記間接的GTP-Cファイアウォールフィルタリングデータベースは、上記シグナリングメッセージルーティングノードおよびホームロケーションレジスタ(HLR)またはホーム加入者サーバ(HSS)から分離されたコンピューティングプラットフォーム上に位置する。
【0024】
本明細書に記載されている主題のさらに別の局面に従って、上記少なくとも1つのシグナリングメッセージルーティングノードは、モビリティ管理シグナリングメッセージから抽出された国際移動体装置識別子(IMEI)を上記GTP-Cファイアウォールフィルタリングデータベースに動的に投入し、上記CCR-IメッセージからIMEI値を抽出し、上記GTP-Cファイアウォールフィルタリングデータベース内の上記IMEIを使用して、上記CCR-Iメッセージをスクリーニングするように構成される。
【0025】
本明細書に記載されている主題のさらに別の局面に従って、実行可能な命令が格納された非一時的なコンピュータ読取可能媒体であって、上記命令は、コンピュータのプロセッサによって実行されると、ステップを実行するように上記コンピュータを制御する、非一時的なコンピュータ読取可能媒体が提供される。上記ステップは、シグナリングメッセージルーティングノードを使用して、アウトバウンドローミング加入者の位置を更新するための、モビリティ管理シグナリングメッセージから抽出された国際移動電話加入者識別子(IMSI)および訪問先パブリックランドモバイルネットワーク識別子(VPLMN ID)を間接的汎用パケット無線サービス(GPRS)トンネリングプロトコルコア(GTP-C)ファイアウォールフィルタリングデータベースに動的に投入するステップを含む。上記ステップはさらに、GTP-Cメッセージに応答して生成されたクレジット制御要求-初期(CCR-I)メッセージを受信するステップを含む。上記ステップはさらに、上記CCR-IメッセージからIMSIおよびVPLMN IDを抽出するステップを含む。上記ステップはさらに、上記CCR-Iメッセージから抽出された上記IMSIを使用して上記間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスするステップを含む。上記ステップはさらに、上記IMSIに対応する記録が上記間接的GTP-Cファイアウォールフィルタリングデータベースに存在していることを判断するステップを含む。上記ステップはさらに、上記記録の中のVPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないことを判断するステップを含む。上記ステップはさらに、上記記録の中の上記VPLMN IDが、上記CCR-Iメッセージから抽出された上記VPLMN IDと一致しないと判断したことに応答して、上記CCR-Iメッセージを拒否するステップを含む。
【0026】
本明細書に記載されている主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実現され得る。したがって、本明細書で使用される「機能」、「ノード」または「モジュール」という語は、記載されている特徴を実現するための、ソフトウェアおよび/またはファームウェアコンポーネントも含み得るハードウェアを指す。1つの例示的な実現例において、本明細書に記載されている主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する、コンピュータによって実行可能な命令が格納されたコンピュータ読取可能媒体を使用して実現され得る。本明細書に記載されている主題を実現するのに適した例示的なコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイスおよび特定用途向け集積回路などの非一時的なコンピュータ読取可能媒体を含む。また、本明細書に記載されている主題を実現するコンピュータ読取可能媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよく、または複数のデバイスもしくはコンピューティングプラットフォームに分散されてもよい。
【図面の簡単な説明】
【0027】
【図1】4Gネットワークにおけるアウトバウンドローミング加入者がホームネットワークで位置更新プロシージャを実行するための例示的なメッセージングを示すネットワーク図である。
【図2】4Gネットワークにおけるアウトバウンドローミング加入者のためのGTP-Cセッション作成要求を検証するための例示的なメッセージングを示すネットワーク図である。
【図3】第二世代/第三世代(2G/3G)ネットワークにおけるアウトバウンドローミング加入者がホームネットワークで位置更新プロシージャを実行することに関連付けられた例示的なメッセージングを示すネットワーク図である。
【図4】2G/3Gネットワークにおけるアウトバウンドローミング加入者のためのGTP PDPコンテキスト作成要求を検証することに関連付けられた例示的なメッセージングを示すネットワーク図である。
【図5】GTP-Cスクリーニングデータベースを作成するため、および、このデータベースを使用してGTP-Cシグナリングを遮ることなくGTP-Cファイアウォール機能を実行するためのDEA/DRA/STPノードの例示的なアーキテクチャを示すブロック図である。
【図6】GTP-Cスクリーニングデータベースへのエントリを動的に投入するための例示的なプロセスを示すフローチャートである。
【図7】GTP-Cローミングシグナリングを遮ることなくGTP-Cファイアウォール機能を実行するための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0028】
詳細な説明
本明細書に記載されている主題は、DEA、DRAおよび/またはSTPによって投入された間接的GTP-Cファイアウォールフィルタリングデータベースを使用してGTP-Cファイアウォール機能を実行し、当該データベースを使用して、GTP-Cローミングシグナリングを遮ることなくGTP-Cトラフィックをスクリーニングする。このようなデータベースは、攻撃者が正当なアウトバウンドローミング加入者に仕えるノードになりすまそうとする場合にGTP-Cシグナリングベースの不正検出を提供する。この解決策は、GTP-Cローミングシグナリングトラフィックの遮断を必要としないので、PGW実装が単純になる。本明細書に記載されている解決策は、GTP-Cローミングシグナリングトラフィックに応答してDEAおよびDRAに送信されたダイアメータメッセージに基づいてDEAおよびDRAにおいて不正なGTP-Cローミングシグナリングトラフィックを間接的に検出する機能を提供する。DEAおよびDRAは、攻撃者によって送信されたGTP-Cセッション作成要求に応答して生成された接続作成要求メッセージを受信し得る。DEAおよびDRAは、間接的GTP-Cファイアウォールフィルタリングデータベースに維持されたダイアメータ位置更新シグナリングトランザクションから取得される加入者PLMN情報、または、STPによって間接的GTP-Cファイアウォールフィルタリングデータベースに格納されたSS7信号メッセージングトラフィックから取得される加入者ローミング情報を利用し得る。
本明細書に記載されている主題は、DEA、DRAおよび/またはSTPによって投入された間接的GTP-Cファイアウォールフィルタリングデータベースを使用してGTP-Cファイアウォール機能を実行し、当該データベースを使用して、GTP-Cローミングシグナリングを遮ることなくGTP-Cトラフィックをスクリーニングする。このようなデータベースは、攻撃者が正当なアウトバウンドローミング加入者に仕えるノードになりすまそうとする場合にGTP-Cシグナリングベースの不正検出を提供する。この解決策は、GTP-Cローミングシグナリングトラフィックの遮断を必要としないので、PGW実装が単純になる。本明細書に記載されている解決策は、GTP-Cローミングシグナリングトラフィックに応答してDEAおよびDRAに送信されたダイアメータメッセージに基づいてDEAおよびDRAにおいて不正なGTP-Cローミングシグナリングトラフィックを間接的に検出する機能を提供する。DEAおよびDRAは、攻撃者によって送信されたGTP-Cセッション作成要求に応答して生成された接続作成要求メッセージを受信し得る。DEAおよびDRAは、間接的GTP-Cファイアウォールフィルタリングデータベースに維持されたダイアメータ位置更新シグナリングトランザクションから取得される加入者PLMN情報、または、STPによって間接的GTP-Cファイアウォールフィルタリングデータベースに格納されたSS7信号メッセージングトラフィックから取得される加入者ローミング情報を利用し得る。
【0029】
上記のように、GTP-Cトラフィックは、セッション管理、情報管理および位置管理に使用され、UEがインターネットにアクセスすることを可能にする。このようなトラフィックのための効率的なスクリーニング機構を提供することによって、GTP-Cトラフィックに基づいてPGWにおいてこのようなスクリーニングを実行するよりも効率的な方法でコアネットワークセキュリティが強化される。
【0030】
図1は、アウトバウンドローミング加入者が位置更新プロシージャを実行することに関連付けられた例示的なネットワークノードおよびメッセージングを示すネットワーク図である。図1を参照して、加入者が訪問先ネットワークにローミングすると、モビリティ管理エンティティ(MME)またはサービングGPRSサポートノード(SGSN)100は、コアネットワークとのダイアメータ位置更新トランザクションを開始する。示されている例では、MME/SGSN100は、位置更新要求を加入者のホームネットワークに送信する。位置更新要求は、ホームネットワーク内のホーム加入者サーバ(HSS)102で加入者の位置を更新するよう意図されている。特に、第三世代パートナーシッププロジェクト(3GPP(登録商標)) TS 29.272によれば、位置更新プロシージャは、MMEとHSSとの間およびSGSNとHSSとの間で、HSS内の位置情報を更新するのに使用される。以下に示される表1は、位置更新要求メッセージに含まれ得る例示的なパラメータを示す。
【0031】
【表1-1】
【0032】
【表1-2】
【0033】
【表1-3】
【0034】
表1において、位置更新要求メッセージは、必須のパラメータとして、加入者のIMSIと訪問先PLMN識別子とを含んでいることが分かる。これらのパラメータは、以下で詳細に説明するように、間接的なGTP-Cファイアウォールフィルタリングを実行するのに使用され得る。間接的なGTP-Cファイアウォールフィルタリングを実行するのに使用できるさらに他の情報要素であり得る別のパラメータは、IMEIである。
【0035】
DEA104は、MME/SGSN100から位置更新要求メッセージを受信して、情報がHSSによって検証されるまで、IMSI、訪問先PLMN(VPLMN) IDおよびIMEIを一時的に格納し得る。DEA104が最初にこれらのパラメータをその間接的GTP-Cファイアウォールフィルタリングデータベースに格納しない1つの理由は、位置更新要求メッセージが攻撃者によって開始される可能性があるからである。HSSによる検証が成功して初めて、DEA104は、アウトバウンドローミング加入者の位置を識別するパラメータをそのGTP-Cスクリーニングデータベースに格納する。
【0036】
コールフロー図のステップ2において、DEA104は、ULRメッセージをコアダイアメータリレーエージェント(DRA)106に転送する。ステップ3において、コアDRA106は、S6A ULAメッセージをHSS102に転送する。
【0037】
HSS102は、ULRメッセージを検証し、検証が成功すると、HSS102によって維持されているデータベース内の加入者の位置を更新し得る。ステップ4において、HSS102は、加入者の位置の更新が成功したことを示す位置更新回答(ULA)メッセージをコアDRA106に送信する。ステップ5において、コアDRA106は、S6A ULAメッセージをDEA104に転送する。ステップ6において、DEA104は、IMSI、VPLMN ID、および任意にULRメッセージから以前に抽出されたIMEIで間接的GTP-Cファイアウォールフィルタリングデータベース108を更新する。以下でより詳細に説明するように、間接的GTP-Cファイアウォールフィルタリングデータベース108内の記録は、GTP-Cトラフィックの遮断を必要とすることなくGTP-Cトラフィックをスクリーニングするのに使用される。ステップ7において、DEA104は、ULAメッセージをMME/SGSN100に転送する。
【0038】
図1がSTP110も含んでいることにも留意されたい。STP110も、SS7シグナリングメッセージから取得された加入者位置情報を間接的GTP-Cファイアウォールフィルタリングデータベース108に動的に投入し得る。
【0039】
以下に示される表2は、図2に示されるコールフロー後に間接的GTP-Cファイアウォールフィルタリングデータベース108に投入され得るエントリの一例を示す。
【0040】
【表2】
【0041】
表2において、記録は、アウトバウンドローミング加入者のためのIMSIと、訪問先ネットワークのアイデンティティ(すなわち、VPLMN ID)と、IMEIとを含んでいる。
【0042】
データベースに加入者情報が投入されると、データベースは、GTP-Cメッセージをスクリーニングするのに使用することができる。図2は、GTP-Cメッセージを間接的にスクリーニングするための間接的GTP-Cファイアウォールフィルタリングデータベース108の使用を示すネットワークおよびメッセージフロー図である。図2を参照して、ステップ1において、攻撃者は、偽のアウトバウンドモバイル加入者に仕えるサービングゲートウェイになりすます。このような攻撃の目的は、攻撃者とパケットゲートウェイ202などのコアネットワークノードとの間にセッションを作成して攻撃トラフィックをコアネットワークに送信するというものであり得る。攻撃者は、サービングネットワークのIMSIおよびVPLMN IDを有するGTP-Cセッション作成要求メッセージを送信することによって攻撃を開始する。一例では、IMSIは、ネットワーク内に実際にプロビジョニングされる加入者のIMSIであり得て、VPLMN IDは、アウトバウンドローミング加入者に現在仕えているネットワークではなく、攻撃者に対応する偽のネットワークであり得る。GTP-Cセッション作成要求は、パケットデータネットワークセッション確立プロシージャの一部としてホームネットワークパケットゲートウェイ202に送信される。GTP-Cセッション作成要求は、VPLMN IDを格納するユーザ位置情報要素を含み得る。GTP-C接続作成要求が実際のアウトバウンドローミング加入者からの正当な接続作成要求である場合、VPLMN IDは、加入者がローミングしているVPLMNのIDであり得る。しかし、GTP-C接続作成要求が攻撃者から生じている場合、VPLMN IDは、攻撃者が位置しているネットワークを識別するVPLMNであり得る。GTP-C接続作成要求に含まれ得るさらに他の情報要素は、UEの15桁の識別子を含むIMSIである。この例では、攻撃者が実際のアウトバウンドローミング加入者のIMSIを取得しており、偽のVPLMN IDをGTP-Cセッション作成要求に挿入する、ということが想定される。
【0043】
メッセージフロー図のステップ2において、PGW202は、GTP-Cセッション作成要求を受信し、それに応答して、ポリシおよび課金ルール機能(PCRF)204にアドレス指定されたクレジット制御要求-初期(CCR-I)メッセージを構築して送信する。CCR-Iメッセージは、ポリシおよび課金制御ルールをベアラに要求するため、および、IPフローモビリティルーティングルールをプロビジョニングするために、PGWからPCRFに送信される。CCR-Iメッセージは、加入者のIMSIを格納するサブスクリプション-ID属性値ペア(ADP)を含む。また、CCR-Iメッセージは、加入者に仕えるネットワークのVPLMN IDなどの、加入者の現在位置の表示を格納する3GPP位置情報AVPも含む。この例では、VPLMN IDは、加入者の実際のVPLMN IDではなく、SGW200によって挿入されたものであり得る。
【0044】
メッセージフロー図のステップ3において、DRA106は、CCR-Iメッセージで受信されたIMSIを使用して間接的GTP-Cファイアウォールフィルタリングデータベース108においてルックアップを実行する。この例では、記録が間接的GTP-Cファイアウォールフィルタリングデータベース108に存在しており、VPLMN IDが当該記録に存在している、ということが想定される。したがって、DRA106は、IMSIに対応するVPLMN IDを間接的GTP-Cファイアウォールフィルタリングデータベース108から検索する。メッセージフロー図のステップ4において、DRA106は、データベース記録から抽出されたVPLMN IDと、CCR-Iメッセージで受信されたVPLMN IDとを比較する。この例では、IMSIについてデータベース108に格納されたVPLMN IDは、CCR-Iメッセージで受信されたVPLMN IDとは異なっていると想定される。したがって、ステップ5において、DRA106は、VPLMN IDとの不一致を示すメッセージ、または代替的に、IMSIに対応する記録がデータベース108に存在しない場合には記録が見つからなかったことを示すメッセージをPGW202に送信する。コアDRA106からPGW202へのメッセージは、GTP-Cセッション作成要求が拒否されるべきであることを示す結果コードを有するクレジット制御回答-初期(CCA-I)メッセージであり得る。メッセージフロー図のステップ6において、PGW202は、APNアクセス拒絶-サブスクリプションなしを示すエラーコードを有するGTP-Cセッション作成応答を作成して、SGW200に送信する。
【0045】
したがって、図2におけるステップを使用して、ダイアメータ位置更新トランザクションから取得された加入者ローミングデータが不正なGTP-Cトラフィックの間接的スクリーニングに使用される。このようなアプローチは、PGW202が加入者の位置を取得するためにHLRまたはHSSに問い合わせる必要がある場合、または加入者の位置をPGWにローカルに格納する必要がある場合にPGW202において直接的にスクリーニングを実行するよりも有利である。このような例では、DEAおよび/またはDRAは、GTPメッセージを遮ることなくGTPベースの不正検出を実行することができる。図1および図2に示される解決策は、モバイルネットワークオペレータからの専用のGTPファイアウォールを必要としない。代わりに、DEA104および/またはDRA106は、GTP-Cセッション作成要求トラフィックに応答して生成された接続作成要求トラフィックをブロックすることによってGTPファイアウォールを間接的に実現する。
【0046】
図1および図2に示される例では、DEAは、加入者の現在位置を間接的GTP-Cファイアウォールフィルタリングデータベース108に動的に投入し、DRA106は、データベース108内の記録を使用してGTP-Cファイアウォール機能を実行するが、本明細書に記載されている主題は、このような実現例に限定されるものではない。代替的な実現例では、DEA104は、位置更新トランザクションから取得された加入者位置情報を間接的GTP-Cファイアウォールフィルタリングデータベース108に動的に投入することができ、DEA104は、データベース108に格納された記録を使用して接続作成トラフィックをスクリーニングすることができる。
【0047】
さらに別の代替的な実現例では、データベース108は、STP110などの信号転送ポイントによって取得された加入者位置情報を使用して投入されることができる。図3は、STP110によって取得された加入者位置情報を使用して間接的GTP-Cファイアウォールフィルタリングデータベース108に投入することに関連付けられた例示的なメッセージングを示すネットワーク図である。図3を参照して、メッセージフロー図のライン1において、加入者が訪問先2Gまたは3Gネットワークにローミングすると、訪問先ネットワークにおけるローミングしている加入者に仕えるビジタロケーションレジスタ(VLR)300は、モバイルアプリケーション部(MAP)位置更新要求を加入者のホームネットワーク内のホームロケーションレジスタ(HLR)302に送信する。map位置更新要求メッセージは、加入者のIMSIと、加入者が現在ローミングしている訪問先ネットワークxを識別するVPLMN IDとを含む。STP110は、map位置更新要求を受信して、IMSIおよびVPLMN IDをトランザクションのために一時的に格納する。メッセージフロー図のライン2において、STP110は、MAP位置更新要求をHLR302に転送する。HLR302は、位置更新要求を検証し、検証されると、そのローカルロケーションデータベース内の加入者の位置を更新する。
【0048】
メッセージフロー図のライン3において、HLR302は、加入者位置の更新が成功したことを示すMAP位置更新応答をVLR300に送信する。HLR302は、位置更新応答をSTP110に転送する。
【0049】
メッセージフロー図のステップ4において、STP110は、map位置更新要求を受信したことに応答して、STP110によって以前に格納されたIMSIおよびVPLMN IDで間接的GTP-Cファイアウォールフィルタリングデータベース108を更新する。間接的GTP-Cファイアウォールフィルタリングデータベース108を更新することは、IMSIに対応する記録が存在するか否かを判断することを含み得る。IMSIに対応する記録が存在する場合、STP110は、map位置更新要求メッセージで受信されたVPLMN IDで記録内のVPLMN IDを更新し得る。データベース108がIMSIに対応する記録を含まない場合、STP110は、IMSIを位置更新要求メッセージで受信されたVPLMN IDにマッピングする新たな記録をデータベース内に作成し得る。また、STP110は、IMEIを記録の中に格納し得る。記録は、更新または新たに作成された後、表1に上記したように現れ得る。
【0050】
図1に示される例のように、STP110は、位置更新トランザクションが成功したことの確証をHLRから受信したときにのみVPLMN IDとIMSIとの間のマッピングをデータベース108に投入する。位置更新トランザクションが成功したことの確証を受信するまで待つ理由は、攻撃者がVLR300になりすまして加入者についての偽の位置情報をデータベース108に投入する可能性を減少させるためである。
【0051】
また、図3に示される例では、データベース108はSTPによって投入される。データベース108は、本明細書に記載されている主題の範囲から逸脱することなく、物理的なSTPによって投入されてもよく、または仮想のSTPによって投入されてもよい、ということが理解される。このようなSTPは、サービスプロバイダのネットワーク内にある物理的なオンプレミスノード、または、サービスプロバイダもしくはクラウドサービスプロバイダによってホストされるネットワーククラウド内にある仮想のSTPであり得る。
【0052】
図4は、2G/3Gネットワークにおけるアウトバウンドローミング加入者についてのGTP-Cトラフィックをスクリーニングするために使用される例示的なメッセージングを示すネットワークおよびメッセージフロー図である。図4を参照して、攻撃者は、2Gまたは3G訪問先ネットワークにおけるアウトバウンドモバイル加入者に仕えるSGSN400になりすます。攻撃者は、ステップ1において、GTP-C PDPコンテキスト作成要求メッセージを、加入者のホームネットワーク内に位置するGGSN402に送信することによって、攻撃を開始する。GTP-C PDPコンテキスト作成要求は、IMSIと、この例では、IMSIに対応する現在の加入者のVPLMN IDではなく、攻撃者のネットワークを識別するVPLMN IDとを含む。
【0053】
GGSN402は、GTP-C PDPコンテキスト作成要求メッセージを受信して、CCR-Iメッセージを構築してPCRF204に送信する。CCR-Iメッセージは、IMSIと、VPLMN IDと、GTP-CメッセージからのIMEIとを含む。GGSN402は、CCR-IメッセージをDRA106に転送する。
【0054】
メッセージフロー図のステップ4において、DRA106は、IMSIに対応する、間接的GTP-Cファイアウォールフィルタリングデータベース108に格納されたVPLMN IDと、CCR-Iメッセージから抽出されたVPLMN IDとを比較する。この例では、IMSIとVPLMN IDとの間に不一致があると想定される。したがって、ライン5において、DRA106は、5XXX応答コードを有するCCA-IメッセージをGGSN402に送信することによってCCR-Iメッセージを拒否する。拒否応答コードを有するCCA-Iメッセージを受信したことに応答して、GGSN402は、APNアクセス拒絶-サブスクリプションなしを示すPDPコンテキスト作成応答を攻撃者400に送信する。したがって、図4に示されるステップを使用して、STPによって投入されたデータベースが、訪問先2Gまたは3GネットワークにおけるSGSNになりすましている攻撃者のスクリーニングに使用することができる。
【0055】
図5は、図1~図4に関して上記した主題を実現するためのDEA/DRA/STP104,106または110のための例示的な内部アーキテクチャを示すブロック図である。図5に示される例では、DEA/DRA/STP104,106または110は、ダイアメータルーティング機能と、SS7ルーティング機能とを含む。これらの機能は、同一の実際のもしくは仮想のネットワークノードで実行されてもよく、または別々のネットワークノードで実行されてもよい、ということが理解される。図5に示されるアーキテクチャを参照して、DEA/DRA/STP104,106または110は、複数のメッセージプロセッサ(MP)500,502,504および506を含む。各メッセージプロセッサ500,502,504および506は、少なくとも1つのプロセッサ508と、メモリ510とを含む。各メッセージプロセッサ500,502,504および506は、印刷回路基板および当該回路基板に搭載された構成要素を相互接続するための対応するトレースを使用して実現され得る。メッセージプロセッサ500,502,504および506は、内部通信媒体512を使用して互いに通信し得て、内部通信媒体512は、一例ではイーサネット(登録商標)通信媒体である。
【0056】
メッセージプロセッサ500は、DEAおよび/またはDRA機能を実行する。したがって、メッセージプロセッサ500は、ダイアメータ接続およびルーティング機能を実行するダイアメータプロトコルスタック514を含む。したがって、ダイアメータスタック514は、ダイアメータピアとのダイアメータ接続を開始するかまたはダイアメータピアとのダイアメータ接続に応答し、メッセージを当該メッセージの中のダイアメータ層情報に基づいてルーティングし得る。
【0057】
メッセージプロセッサ502は、SS7ルーティング機能を実行する。したがって、メッセージプロセッサ502は、メッセージの中のメッセージ転送部(MTP)レベル3情報に基づいてSS7メッセージをルーティングするためのSS7プロトコルスタック516を含む。また、SS7スタック516は、IPネットワークを介してSS7メッセージを搬送するためのSIGTRANプロトコルも実行し得る。
【0058】
メッセージプロセッサ504および506の各々は、間接的GTP-Cファイアウォールフィルタリングデータベース108を使用してGTP-Cファイアウォール機能を実行する。示されている例では、メッセージプロセッサ504および506は、GTPファイアウォールデータベース108のコピーと全く同じにプロビジョニングされ得て、メッセージプロセッサ500および502は、メッセージプロセッサ500と506との間でGTP-Cファイアウォールスクリーニングを必要とするメッセージの負荷分散を行い得る。また、各メッセージプロセッサ504および506は、データベース108に投入された加入者位置情報を使用して接続作成要求メッセージをスクリーニングし、ローミングしている加入者についてのダイアメータまたはSS7位置更新メッセージから受信された情報を使用してデータベース108に動的に投入するための間接的GTP-Cファイアウォールフィルタリングデータベースコントローラ/スクリーナ518を含む。
【0059】
図6は、間接的GTP-Cファイアウォールフィルタリングデータベースに動的に投入するための例示的なプロセスを示すフローチャートである。図6を参照して、ステップ600において、アウトバウンドローミング加入者の位置の更新のためのモビリティ管理が受信される。たとえば、ネットワークがダイアメータを使用して加入者の位置を更新する場合、モビリティ管理メッセージは、HSSに格納された加入者の位置を更新するための、ローミングしているモバイル加入者に仕えるMMEまたはSGSNからの位置更新要求メッセージであり得る。ネットワークがSS7メッセージングを使用して加入者の位置を更新する場合、モビリティ管理メッセージは、HLRで加入者の位置を更新するための、VLRからのMAP位置更新要求であり得る。
【0060】
ステップ602において、プロセスは、VPLMN IDおよびIMSIをメッセージから抽出して、一時的に格納することを含む。たとえば、DEA104、DRA106またはSTP110は、ダイアメータまたはSS7位置更新要求から抽出された加入者のIMSIおよびVPLMN IDを、DEA104、DRA106またはSTP110にローカルなメモリに一時的に格納し得る。ステップ604において、位置更新が成功したか否かが判断される。たとえば、DEA104、DRA106またはSTP110は、HLRまたはHSSでの加入者の位置の更新が成功または不成功であったことを示す位置更新回答または応答メッセージをHLRまたはHSSから受信し得る。加入者の位置の更新が不成功であったことを位置更新回答または要求メッセージが示す場合、制御はステップ606に進んで、ステップ602において格納されたIMSIおよびVPLMN IDが廃棄される。
【0061】
ステップ604において位置更新トランザクションが成功したと判断される場合、制御はステップ608に進んで、IMSIを使用して間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスする。たとえば、DEA104、DRA106またはSTP110は、位置更新メッセージから抽出されたIMSIを使用して間接的GTP-Cファイアウォールフィルタリングデータベース108にアクセスし得る。
【0062】
ステップ610において、データベースの中に記録が存在するか否かが判断される。データベースの中に記録が存在する場合、制御はステップ612に進んで、メッセージからのVPLMN IDで記録が更新される。記録が存在しない場合、制御はステップ614に進んで、IMSIをメッセージからのVPLMN IDにマッピングする新たな記録が追加される。
【0063】
図7は、動的に投入された間接的GTP-Cファイアウォールフィルタリングデータベースを使用してGTP-C不正検出およびスクリーニングを実行する例示的なプロセスを示す図である。図7を参照して、ステップ700において、GTP-Cコンテキスト作成要求メッセージに応答して生成されたCCR-Iメッセージが受信される。たとえば、DEA104またはDRA106は、GTP-Cコンテキスト作成要求に関連するCCR-Iメッセージを正当な加入者または攻撃者から受信し得る。
【0064】
ステップ702において、プロセスは、メッセージからIMSI、VPLMN IDおよびIMEIを抽出することを含む。ステップ704において、IMSIを使用して間接的GTP-Cファイアウォールフィルタリングデータベースにアクセスする。
【0065】
ステップ706において、記録が存在する場合、制御はステップ708に進んで、メッセージからのVPLMN IDがデータベース記録の中のVPLMN IDと一致するか否かが判断される。VPLMN IDがデータベース記録の中のVPLMN IDと一致しない場合、制御はステップ710に進んで、CCR-Iメッセージが拒否される。メッセージの中のVPLMN IDがデータベースの中のIMSIについて格納されたVPLMN IDと一致する場合、制御はステップ712に進んで、CCR-IメッセージがPCRFに転送される。たとえば、DEA104またはDRA106は、CCR-IメッセージをPCRF204に転送し得る。PCRF204は、セッションに適切なポリシを判断して、セッションの確立が成功したことを示すクレジット制御要求-回答(CCR-A)メッセージで応答し得る。DEA104またはDRA106は、CCR-Aメッセージを、CCR-Iメッセージを送信したゲートウェイGPRSサポートノード(GGSN)に転送し得る。GGSNは、PDPコンテキストの作成が成功したことを示すGTP-Cメッセージに応答し得る。
【0066】
したがって、本明細書に記載されているプロセスを使用して、動的に投入された間接的GTP-Cファイアウォールフィルタリングデータベースは、DRA、DEAおよび/またはSTPによってアクセス可能であって、動的に投入された間接的GTP-Cファイアウォールフィルタリングデータベースを使用してGTP-Cファイアウォールを間接的に実現することができる。このような実現例は、GTP-Cシグナリングトラフィックを遮ることを必要とせず、またはPGWがGTP-Cスクリーニング機能を実行することを必要としない。また、加入者のホームHLRまたはHSSから受信された回答メッセージに基づいて間接的GTP-Cファイアウォールフィルタリングデータベースが動的にプロビジョニングされるので、データベースに投入するのに必要な労力が手動投入方法よりも減少する。
【0067】
以下の参考文献の各々の開示は、全文が引用によって本明細書に援用される。
【0068】
【表3】
【0069】
ここに開示されている主題のさまざまな詳細は、ここに開示されている主題の範囲から逸脱することなく変更されてもよい、ということが理解されるであろう。さらに、上記の説明は、単に例示を目的としており、限定を目的としているわけではない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【国際調査報告】