JP2017017553A - 移動通信システム及びゲートウェイ装置 - Google Patents

移動通信システム及びゲートウェイ装置 Download PDF

Info

Publication number
JP2017017553A
JP2017017553A JP2015132981A JP2015132981A JP2017017553A JP 2017017553 A JP2017017553 A JP 2017017553A JP 2015132981 A JP2015132981 A JP 2015132981A JP 2015132981 A JP2015132981 A JP 2015132981A JP 2017017553 A JP2017017553 A JP 2017017553A
Authority
JP
Japan
Prior art keywords
flow
bearer
blocking
communication
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015132981A
Other languages
English (en)
Inventor
川崎 健
Takeshi Kawasaki
健 川崎
出 佐藤
Izuru Sato
出 佐藤
福田 健一
Kenichi Fukuda
健一 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015132981A priority Critical patent/JP2017017553A/ja
Priority to US15/190,856 priority patent/US20170006050A1/en
Publication of JP2017017553A publication Critical patent/JP2017017553A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/0252Traffic management, e.g. flow control or congestion control per individual bearer or channel

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】攻撃通信のフローのパケットが宛先網へ向けて転送されるのを回避する。【解決手段】移動網に接続された端末UE4との間に設定された移動網の通信路を通じて受信された端末UE4からのパケットを宛先網へ転送するゲートウェイP−GW8が、パケットのフローが攻撃通信のフローであるときに防御装置IPS3から受信される攻撃通信のフローの特定情報<1>を用いて、当該フローを遮断するための通信路と異なる遮断用の通信路の設定要求<2>を発行し、遮断部が設定要求<2>に応じて端末UE4とゲートウェイとの間に設定された遮断用通信路でパケットを転送することで、攻撃通信のフローを遮断する。【選択図】図5

Description

本発明は、移動通信システム及びゲートウェイ装置に関する。
業務のために、モバイル端末(以下、「移動端末」)を所持する社員が社外からモバイル網(以下、「移動網」)を介して社内網へアクセスする場合がある。移動網の発展によって、社内網へのアクセス数の増大が見込まれる。移動端末は,移動網を介してインターネットなどの公衆網に接続された公開サーバにもアクセス可能である。公開サーバが悪意のある攻撃者により設置されている場合には、移動端末が公開サーバにアクセスすることによってウィルスに感染し、攻撃者に乗っ取られる可能性がある。この場合、攻撃者がウィルスに感染した移動端末を用いて社内網への攻撃を行う可能性がある。
攻撃者に乗っ取られた移動端末から社内網へのアクセスを通じた攻撃、及び社内網内のデータ保護のために,移動網から社内網への入り口にIntrusion Prevention System(I
PS)と呼ばれる防御装置が設置される。防御装置は、移動端末と社内網との通信の挙動を監視する。防御装置は、攻撃が疑われる通信(以下、「攻撃通信」という)に関するフローのパケットを廃棄することによって、攻撃通信を遮断する。
防御装置は、通信が攻撃通信と判断したフローについてパケットの廃棄を継続する。このため、攻撃通信と判断されたフローが増大すると、防御装置の処理負荷が増大するおそれがあった。
特表2011−512731号公報 特開2006−217198号公報 特開2014−103484号公報
上記問題に鑑み、攻撃通信であると判断されたフローの情報を移動網内の装置に通知し、装置が攻撃通信のフローを特定し、当該フローのパケットを廃棄する方法が考えられる。しかし、Long Term Evolution(LTE)などの3rd Generation Partnership Project
(3GPP)で規定された無線通信規格では、移動網の出口となるゲートウェイと移動端末との間でベアラと呼ばれる通信路が設定される。移動端末からのパケットは、ベアラ上を転送される。すなわち,移動網内のパケットの中継装置は,ベアラの識別子を用いてパケットを中継し、パケット内に格納されたフローの情報の識別を行わない。このため、仮に攻撃通信のフロー情報を移動網の中継装置が受信しても、対象のパケットを判別し廃棄することができなかった。
本発明は、上記問題に鑑みなされたものであり、攻撃通信のフローのパケットが宛先網へ向けて転送されるのを回避可能な技術を提供することを目的とする。
本発明の一態様は、移動網(1)に接続された移動端末(4)との間に設定された前記移動網(1)の通信路(ベアラ)を通じて受信された前記移動端末からのパケットを前記パケットの宛先網(2)へ転送するゲートウェイ(8)であって、前記パケットのフロー
が攻撃通信のフローであるときに前記宛先網(2)の防御装置(3)から受信される前記攻撃通信のフローの特定情報を用いて前記攻撃通信のフローを遮断するための前記通信路と異なる遮断用の通信路(遮断用ベアラ)の設定要求(Create Bearer Request)を発行
するゲートウェイ(8)と、前記設定要求に応じて前記移動端末(4)と前記ゲートウェイ(8)との間に設定された前記遮断用の通信路でパケットが転送される前記攻撃通信のフローを遮断する処理を行う遮断部(4,5,7,8)とを含む移動通信システムである。
本発明の一態様によれば、宛先網向けの攻撃通信のフローのパケットが宛先網へ向けて転送されるのを回避することができる。
図1は、実施形態に係る通信システム(ネットワークシステム)の構成例を示す。 図2は、IPS,S−GW,P−GW,及びMMEとして使用可能な情報処理装置(コンピュータ)のハードウェア構成例を示す図である。 図3は、基地局のハードウェア構成例を示す。 図4は、端末のハードウェア構成例を示す。 図5は、動作例1の具体的な処理例を示すシーケンス図である。 図6は、遮断用ベアラが設定済の場合において、IPSが別の攻撃通信のフローを検出した場合における動作例(動作例2)を示すシーケンス図である。 図7は、P−GWにおける処理例を示すフローチャートである。 図8は、S−GWにおける遮断用ベアラ設定フェーズにおける処理例を示すフローチャートである。 図9は、S−GWにおけるパケット転送フェーズにおける処理例を示すフローチャートである。 図10は、端末(UE)からP−GWへのパケット転送を模式的に示す図である。 図11は、実施形態1の変形例を示す。 図12は、実施形態2の動作例を示すシーケンス図である。 図13は、Default Bearerの解放後における端末のDefault Bearerの再設定の手順を示す。 図14は、実施形態2におけるP−GWの処理例を示すフローチャートである。 図15は、図14の35の処理の終了後におけるP−GWの処理例を示すフローチャートである。
以下、図面を参照して実施形態について説明する。実施形態の構成は例示であり、実施形態の構成に限定されない。
〔実施形態1〕
実施形態に係る移動通信システムは、移動網に接続された移動端末との間に設定された上記移動網の通信路を通じて受信された上記移動端末からのパケットを当該パケットの宛先網へ転送するゲートウェイを含む。上記ゲートウェイは、上記パケットのフローが攻撃通信のフローであるときに上記宛先網の防御装置から受信される上記攻撃通信のフローの特定情報を用いて上記攻撃通信のフローを遮断するための上記通信路と異なる遮断用の通信路の設定要求を発行する。さらに、移動通信システムは、上記設定要求に応じて上記移動端末と上記ゲートウェイとの間に設定された上記遮断用の通信路で転送される上記攻撃
通信のフローを遮断する処理を行う遮断部を含む。
実施形態に係る移動網は、防御装置で検出された攻撃通信のフローを移動網で遮断するための通信路の設定機能と、遮断用の通信路上を転送される攻撃通信のフローを遮断する処理を行う遮断機能(遮断部)とを具備する。遮断部は、例えば、移動網において遮断用の通信路で転送されるパケットを送信又は中継する装置に設けることができる。遮断部が設けられる装置は、例えば、Serving Gateway(S−GW),Packet Data Network Gateway (P−GW),基地局,及び移動端末の中から選択することができる。攻撃通信のフロ
ーを遮断する処理は、例えば、攻撃通信のフローのパケットを廃棄する処理と、攻撃通信のフローのパケットをゲートウェイと異なる装置へ転送する処理との少なくとも一方を含む。
パケットのフローが攻撃通信のフローと判定された(攻撃通信のフローが検出された)場合に、防御装置は移動網と宛先網との間に配置されたゲートウェイに攻撃通信のフローを特定する情報(フローの特定情報、「遮断フロー情報」ともいう)を通知する。移動網のゲートウェイは,遮断用の通信路を移動端末との間に設定していない場合には、通信路の設定手順を用いて、移動端末とゲートウェイとの間に遮断フロー情報に応じた遮断用の通信路を設定させる。即ち、移動端末とゲートウェイとの間に、攻撃通信のフローのパケットが転送される遮断用の通信路が設定(構築)される。移動端末は、攻撃通信のフローのパケットを遮断用の通信路へ送出する設定を行う。これによって、遮断対象のフローのパケットは、移動端末から遮断用の通信路へ送出される。遮断部を備える装置は、遮断用の通信路で転送されるパケットに対する遮断処理を行う。すなわち、遮断部は、当該パケットを廃棄したり、ゲートウェイと異なる装置へパケットを転送したりする。ゲートウェイと異なる装置は、遮断部によって転送されたパケットを廃棄しても良く、キャプチャしても良く、さらにログを記録しても良い。いずれにしても、パケットがゲートウェイを介して宛先網へ転送されなくなる。これによって、攻撃通信のフローのパケットが宛先網へ転送されるのを回避することができる。従って、防衛装置の負荷低減を図ることができる。なお、遮断部が移動端末に設けられる場合、「移動網」は移動端末及び移動端末から基地局までの無線区間を含む。
<ネットワークシステムの構成例>
図1は、実施形態に係るネットワークシステムの構成例を示す図である。ネットワークシステムは、移動端末4(以下「端末4」という)が接続される移動網1と、移動網1に接続された企業網2とを含む。移動網1と企業網2との間には、防御装置(IPS)3が設置されている。企業網2は、「宛先網」の一例である。
図1に示す例では、移動網1はLTE網である。但し、移動網1は、LTE以外の無線通信規格に基づく網であっても良い。LTE以外の無線通信規格は、例えば、Wideband Code Division Multiple Access (W-CDMA) (Universal Mobile Telecommunications System(UMTS)とも呼ばれる), CDMA2000, global system for mobile communications (GSM)
などを含む。
図1に示す例において、移動網1は、端末4を収容する基地局(BS、”eNB”とも表記)5と、Mobility Management Entity(MME)6と、Serving Gateway(S−GW
)7と、Packet Data Network Gateway (P−GW)8とを含む。基地局5及びS−GW7は、「パケットの中継装置」の一例である。
基地局5は、移動端末(無線端末)である端末4(User Equipment(UE)と呼ばれる)4と無線接続される。無線接続によって、端末4は移動網1に接続(収容)される。MME6は、移動網1の制御装置である。S−GW7は、端末3が移動網1を介して送受信
するユーザプレーンのパケット(ユーザパケットと呼ばれる)を中継する。P−GW8は、移動網1と外部網との間のゲートウェイである。企業網2は、外部網の一つである。
端末4は、移動網1を介して企業網2へアクセスすることができる。端末4が基地局5に無線接続すると、移動網1にて端末4の位置登録が行われる。すると、MME6の制御下で、端末4からP−GW8までの間にパケットを転送するための通信路(ベアラ)が設定される。即ち、MME6は、S−GW7にベアラの設定を要求する。ベアラ設定の要求を受けたS−GW7は、P−GW8との間でベアラを設定するとともに、基地局5との間でベアラを設定する。基地局5と端末4との間には、通信路の一部をなす無線ベアラが設定される。このように、端末4からP−GW8までの通信路(ベアラ)は、S−GW7とP−GW8との間のベアラと、S−GW7と基地局5との間のベアラと、基地局5と端末4との間の無線ベアラとからなる。
基地局5とS−GW7との間のベアラ、及びS−GW7とP−GW8との間のベアラは、例えば、GTP−U層で使用されるGPRSトンネリングプロトコル(General Packet
Radio System Tunneling Protocol:GTP)に基づいて生成されるGTPトンネルである。GTPトンネルは、GTPパスとも呼ばれ、TEID(Tunnel Endpoint IDentifier)と呼ばれるトンネル(パス)の識別子で識別される。TEIDは、ベアラを通じて転送されるパケットに対応するベアラ識別子として扱われる。
ベアラ上を転送されるパケットには、パケットに応じたTEIDを含んだヘッダ(GTPヘッダ)が付与され(パケットがGTPヘッダでカプセル化され)、パケットは、TEIDに従って移動網1内を転送され、S−GW7で中継されてP−GW8に到達する。P−GW8では、GTPヘッダが除去(デカプセル化)され、パケットのヘッダ(例えばTCP/IP(Transmission Control Protocol/Internet Protocol)ヘッダ)に従ってパ
ケットが転送される。例えば、パケットの宛先IPアドレスが企業網2内のホストを示す場合には、当該パケットは企業網2へ向けて転送される。
IPS3は、企業網2向けのパケットを受信し、パケットのフローが攻撃通信のフローか否かを判定する。例えば、IPS3は、パケットの受信状況が予め定められた攻撃パターンと合致する場合には、当該パケットのフローが攻撃通信のフローであると判定する。但し、攻撃通信のフローの判定方法又は検出方法は、既存のあらゆる方法を適用することができる。
パケットのフローは、例えば、パケットに付与されたTCP/IPヘッダ中の送信元ポート番号,宛先ポート番号,送信元IPアドレス,及び宛先IPアドレスで特定することができる。実施形態1では、送信元ポート番号,宛先ポート番号,送信元IPアドレス,及び宛先IPアドレスの組み合わせをフローの特定情報として扱う。但し、フローの特定情報は、上記したポート番号とIPアドレスとの組み合わせに限定されない。例えば、送信元及び宛先ポート番号と、送信元IPアドレス及び宛先IPアドレスとのいずれかが任意とされ、残りがフローの特定情報として扱われる場合もあり得る。或いは、送信元及び宛先ポート番号と、送信元IPアドレス及び宛先IPアドレスとの何れかの一つが他のパラメータに置き換えられても良い。或いは、送信元及び宛先ポート番号並びに送信元及び宛先IPアドレスの組み合わせに他のパラメータが加えられた情報がフローの特定情報として扱われても良い。
攻撃用のフローの移動網1における遮断機能(遮断ポイント)は、図1に示す例ではS−GW7に設けられている。但し、遮断機能は、P−GW8或いは基地局5に設けられても良い。遮断機能は、端末4に設けられる場合もある。図1の例では、遮断機能が設けられたS−GW7は、IPS3からP−GW8への通知を受けて移動網1に設定される遮断
用ベアラを転送されるパケットを廃棄する。遮断用ベアラは「遮断用の通信路」の一例である。
<IPS,S−GW,P−GW,MMEのハードウェア構成>
次に、IPS3,S−GW7,P−GW8,及びMME6のハードウェア構成について説明する。図2は、IPS3,S−GW7,P−GW8,及びMME6として使用可能な情報処理装置(コンピュータ)のハードウェア構成例を示す図である。
図2において、情報処理装置10は、バスBを介して相互に接続されたCentral Processing Unit(CPU)11,メモリ12,通信インタフェース(通信IF)13,入力装
置14及び出力装置15を含む。情報処理装置10として、専用又は汎用のコンピュータを適用することができる。例えば、情報処理装置10は、パーソナルコンピュータ(PC),ワークステーション(WS),サーバマシンを適用することができる。但し、情報処理装置10として使用されるコンピュータは、上記コンピュータの種類に限定されない。
メモリ12は、不揮発性記憶媒体と、揮発性記憶媒体を含む。不揮発性記憶媒体は、例えば、Read Only Memory(ROM),ハードディスクドライブ(HDD),Solid State Drive(SSD),フラッシュメモリ,Electrically Erasable Programmable Read-Only Memory(EEPROM)などである。不揮発性記憶媒体は、ディスク記憶媒体やUniversal Serial Bus (USB)メモリのような可搬性を有する記憶媒体を含み得る。不揮発性
記憶媒体は、CPU11で実行されるプログラムと、プログラムの実行に際して使用されるデータとを記憶する。揮発性記憶媒体は、例えば、Random Access Memory(RAM)である。揮発性記憶媒体は、CPU11の作業領域、データの記憶領域,通信用のデータのバッファ領域として使用される。
通信IF13は、データの送受信処理を司る通信回路を含む。通信IF13は、例えば、Local Area Network(LAN)カード,或いはネットワークインタフェースカード(NIC)である。入力装置14は、データの入力に使用される。入力装置14は、例えば、キー,ボタン,ポインティングデバイス(マウスなど),タッチパネルなどを含む。出力装置15は、データの出力に使用される。出力装置15は、例えば、ディスプレイ装置である。
CPU11は、メモリ12の不揮発性記憶媒体に記憶されたプログラムを揮発性記憶媒体にロードして実行することによって、様々な処理を行うことができる。すなわち、CPU11がメモリ12に記憶されたプログラムを実行することによって、情報処理装置10は、IPS3,S−GW7,P−GW8,及びMME6のそれぞれとして動作することができる。なお、一つの情報処理装置10に、S−GW7,P−GW8,及びMME6のうちの少なくとも二つが実装される場合もあり得る。
情報処理装置10がIPS3として使用される場合、メモリ12には、IPS3としての処理を行うためのプログラムと、攻撃通信のフローを判定するための情報(判定用情報)とが記憶される。判定用情報は、攻撃通信のフローと認められるパケットの受信パターンを示す情報を含む。CPU11は、プログラムの実行によって、例えば、通信IF13で受信される各フローのパケットの受信パターンを監視し、メモリ12に記憶された判定用の受信パターンとのマッチングを行う。或るフローのパケットの受信パターンが判定用の受信パターンとマッチする場合には、CPU11は、当該或るフローを攻撃通信のフローとして検出する。CPU11は、当該フローの特定情報(送信元及び宛先ポート番号,並びに送信元及び宛先IPアドレス)をP−GW8に送信する。メモリ12には、P−GW8のアドレスが予め記憶されている。
情報処理装置10がMME6として使用される場合には、メモリ12には、IPS3としての処理を行うためのプログラムと、当該プログラムの実行に際して使用されるデータとが記憶される。CPU11は、プログラムの実行によって、制御プレーン(Cプレーン)を扱い、基地局5と無線接続された端末4の位置登録を行う。また、MME6は、プログラムの実行によって基地局5と無線接続された端末3に関するベアラの設定を制御する。ベアラ設定の制御のために、CPU11は、S−GW7や基地局5向けの制御メッセージを生成し、通信IF13から送信するための処理を行う。
情報処理装置10がS−GW7として使用される場合には、メモリ12には、S−GW7としての処理を行うためのプログラムと、当該プログラムの実行に際して使用されるデータとが記憶される。CPU11は、MME6やP−GW8からの要求に応じてベアラ(GTPトンネル)を設定する処理や、ベアラを通じて受信されたカプセル化パケットのTEIDを参照し、対応するベアラに送出する処理などを行う。また、遮断機能がS−GW7に実装される場合には、メモリ12には、遮断機能を実行するプログラムが記憶される。CPU11は、当該プログラムの実行によって、攻撃通信のフローに対応するTEIDを有するパケットを廃棄したり、P−GW8と異なるパケットの終端装置へパケットを転送したりする処理を行う。
情報処理装置10がP−GW8として使用される場合には、メモリ12には、P−GW8としての処理を行うためのプログラムと、当該プログラムの実行に際して使用されるデータとが記憶される。CPU11は、S−GW7からベアラを通じて受信されるカプセル化パケットのデカプセル化を行い、パケットの宛先IPアドレスに従って、パケットをIPS3(企業網2)へ転送する処理を行う。また、CPU11は、IPS3から遮断対象の攻撃通信のフローを特定する情報(「遮断フロー情報」ともいう)を受信した場合に、遮断用のベアラの生成要求をS−GW7へ送信する処理を行う。
<基地局のハードウェア構成>
図3は、基地局5のハードウェア構成例を示す。図3において、基地局5は、バスB1を介して相互に接続されたCPU21と、メモリ22と、ベースバンド(BB)回路23と、回線インタフェース(回線IF)26とを含む。BB回路23には、Radio Frequency(RF回路)24が接続され、RF回路24には、アンテナ25が接続されている。
メモリ22は、メモリ12と同様の構成を採用することができる。メモリ22の揮発性記憶媒体は、CPU21の作業領域,プログラムの実行領域,データのバッファ領域として使用される。メモリ22の不揮発性記憶媒体は、CPU21によって実行されるプログラムや、プログラムの実行に際して使用されるデータを記憶する。
回線IF26は、例えば、LANカードやNICで形成される。回線IF26は、ネットワークプロセッサ(NP)を含む場合もある。回線IF26は、MME6や他の基地局5(図示せず)と接続される物理回線を収容する。物理回線上にS1回線,X2回線,GTP−U回線が設けられる。S1回線(S1インタフェース)は、S1−MMEインタフェースとS1−Uインタフェースとを含む。S1−MMEインタフェースは、基地局5とMME6とのインタフェースであり、S1−Uインタフェースは、基地局5とS−GW7との間のインタフェースである。GTP−U(GTPトンネル)は、S1−Uインタフェース上に生成される。なお、X2回線(X2インタフェース)は、基地局5間のインタフェースである。
BB回路23は、端末4との無線通信に係るディジタルベースバンド処理を行う。すなわち、BB回路23は、端末4向けのデータの符号化及び変調処理を行い、ベースバンド信号を生成する。また、BB回路23は、RF回路24から受信されるベースバンド信号
の復調及び復号処理を行い、データを得る。BB回路23は、例えば、Digital Signal Processor(DSP),Field Programmable Gate Array(FPGA)のようなプログラマ
ブルロジックデバイス(PLD),集積回路(IC,LSI,Application Specific Integrated Circuit(ASIC)など)の少なくとも一つを用いて形成され得る。
RF回路24は、BB回路23でベースバンド信号をRF信号(電波)に変換してアンテナ25から放射する。また、アンテナ25で受信されるRF信号(電波)は、RF回路24でベースバンド信号に変換され、BB回路23に入力される。
CPU21は、メモリ22に記憶されたプログラムをロードして実行する。これによって、CPU21は、基地局5としての処理を行う。例えば、CPU21は、端末4とのランダムアクセス手順により、端末4と無線接続を行う。また、基地局5(CPU21)は、端末4との間のメッセージ交換を通じて無線ベアラを設定する。また、基地局5(CPU21)は、端末4から受信される制御情報のプロトコル変換を行い、MME6に送る。また、基地局5(CPU21)は、端末4から無線ベアラを通じて受信されるパケットのプロトコル変換を行い、S−GW7向けのベアラを通じてS−GW7に送る。
<端末のハードウェア構成>
図4は、端末4のハードウェア構成例を示す。図4において、端末4は、バスB2を介して相互に接続されたCPU31,メモリ32,BB回路33,入力装置36,出力装置37を含む。BB回路33には、RF回路34が接続され、RF回路34には、アンテナ35が接続されている。
メモリ32は、メモリ12と同様の構成を採用することができる。メモリ32の揮発性記憶媒体は、CPU31の作業領域,プログラムの実行領域,データのバッファ領域として使用される。メモリ32の不揮発性記憶媒体は、CPU31によって実行されるプログラムや、プログラムの実行に際して使用されるデータを記憶する。
BB回路33,RF回路34及びアンテナ35の構成は、BB回路23,RF回路24及びアンテナ25と同様の構成を適用することができる。入力装置36及び出力装置37は、入力装置14及び出力装置15と同様の構成を採用できる。なお、入力装置36は、マイクロフォンのような音声入力装置を含み、出力装置37は、スピーカのような音声出力装置を含む。
CPU31は、メモリ32に記憶されたプログラムを実行することによって、端末4としての処理を行う。端末4としての処理は、基地局5と無線接続を行う処理,基地局5を介して位置登録を行う処理,基地局5との間で無線ベアラを設定する処理,企業網2向けのパケットを生成して送信する処理,企業網2からのパケットの受信処理などを含む。
なお、CPU11,21,31のそれぞれは、「プロセッサ」,「制御装置」,「制御部」及び「コントローラ」の一例である。メモリ12,22,32のそれぞれは、「記憶装置」,及び「記憶媒体」の一例である。通信IF13,回線IF26のそれぞれは、「通信部」の一例である。また、CPU11,21,31は、プログラムの実行によって、「遮断用の通信路(ベアラ)で転送される攻撃通信のフローを遮断する処理を行う遮断部」として動作することができる。
また、CPU11,21,31のそれぞれで行われる処理の少なくとも一部は、DSPを用いて行われるようにしても良い。或いは、CPU11,21,31のそれぞれで実行される処理の少なくとも一部が、PLDや集積回路のような半導体デバイスによって行われるようにしても良い。
<動作例>
図1を用いて、実施形態1における動作例を説明する。端末4が企業網2にアクセスする場合には、端末4は、基地局5と無線接続を行い、移動網1に対する位置登録を行う。位置登録は、MME6が端末4の情報をHome Subscriber Server(HSS、図示せず)に登録することで行われる。HSSは、サービス制御や加入者データを扱うサーバである。
位置登録が行われると、MME6の制御下で、端末4とP−GW8との間に通信路(ベアラ)が設定される。このように、移動網1(LTE網)では、ユーザパケット転送のために、端末4とP−GW8との間にベアラが設定される。移動網1では、端末4とP−GW8との間に、複数のベアラを設定することができる。位置登録を受けて設定(生成)されるベアラは、Default Bearer(デフォルトベアラ)と呼ばれる。端末4とP−GW8との間には、1以上のDefault Bearerと異なるベアラを設定(生成)することができる。Default Bearerと異なるベアラは、Dedicated Bearer(ディケイテッドベアラ)と呼ばれ、Default Bearerに従属する。
端末4は、TFT(Traffic Flow Template)に基づいて、フロー単位でパケットを転送
するベアラを識別し、該当するベアラにパケットを振り分けることができる。端末4から送出されるパケットは、対応するベアラを通って転送される。パケットは、基地局5及びS−GW7で中継され、P−GW8に到達する。P−GW8は、パケットを企業網2へ向けて送信する。
IPS3は、端末4からの企業網2向けのパケットの挙動(受信状況)を監視し、当該パケットのフローが攻撃通信のフローか否かを判定することによって、攻撃通信のフローを検出する(図1<1>)。IPS3は、攻撃通信のフローを検出した場合には、移動網1のゲートウェイ(図1の例ではP−GW8)に対し、攻撃通信のフローの特定情報(遮断フロー情報)を送信する(図1<2>)。
P−GW8は、遮断フロー情報を受信すると、攻撃通信のフローを移動網1で遮断するためのベアラの設定指示のメッセージをS−GW7へ送る(図1<3A>)。ベアラの設定指示によって、S−GW7,MME6,基地局5,端末4が、端末4とP−GW8との間に、基地局5及びS−GW7を経由する遮断用のベアラ(遮断用ベアラ)を設定する(図1<3B>)。遮断用のベアラ設定において、S−GW7は、遮断用ベアラの識別子(TEID)を認識することができる。また、端末4は、基地局5との間の遮断用の無線ベアラの設定において、攻撃通信のフローのパケットを既存のベアラでなく遮断用ベアラに送出する設定変更(TFTフィルタの設定)を行う。
したがって、端末4は、攻撃通信のフローのパケットを遮断用ベアラへ送出する(図1<4>)。S−GW7は、遮断用ベアラを通じて到達したパケット(遮断用ベアラのTEIDを有するカプセル化パケット)を受信すると、当該パケットを廃棄する。これによって、攻撃通信のフローが移動網1にて遮断される。
図1に示した構成によれば、企業網2のIPS3(防御装置)において,攻撃通信のフローを移動網1で遮断する際に、当該フローは、遮断用ベアラの識別子(TEID:GTP−U層における情報の参照)で判別される。このため、移動網内の中継装置(「中継ノード」ともいう)におけるIP層以上の参照が不要となる。換言すれば、遮断部におけるパケットの廃棄の判定やP−GW8以外の装置へのパケットの転送が、IP層より下位層にあるベアラ識別子の参照で可能となる。従って、移動網1におけるフローの遮断の実現に対する機能追加量の削減および遮断機能が配備される装置での負荷増大が回避可能となる。また、攻撃通信のフローのパケットが移動網1から企業網2へ向けて転送されること
が回避されるので、IPS3の負荷を低減することができる。
図5は、動作例1の具体的な処理例を示すシーケンス図である。図5に示すシーケンスは、端末4とP−GW8との間に設定された既存のベアラ(Default Bearer)と異なる遮断用ベアラを新規に設定する手順を示す。遮断用ベアラは、Dedicated Bearerの生成手順を用いて生成される。
図5に示す遮断用ベアラの設定手順は、3GPP TS 23.401 §5.4.1に規定されたDedicated Bearer Activation procedureをベースとしている。図5における太字(図5<1>の
「遮断フロー情報」を除く)は、TS 23.401に規定された制御信号(メッセージ)を示し
、細字(斜体文字)は、各メッセージに含まれるフィールド(情報要素群)又は情報要素を示す。
図5において、IPS3が新たに攻撃通信のフローを検出すると(図5<0>)、IPS3は、遮断フロー情報をP−GW8に送信する(図5<1>)。P−GW8のアドレスは、IPS3において既知である。
P−GW8は、遮断フロー情報を受信すると、遮断用ベアラが既に生成されているか否かを判定する。このとき、遮断用ベアラが生成されていなければ、P−GW8は、遮断用ベアラの設定を要求するメッセージ(制御信号)”Create Bearer Request”を生成(発
行)し、S−GW7へ送信する。P−GW8のメモリ12には、S−GW7のアドレスが記憶されており、P−GW8は、当該アドレスを用いて”Create Bearer Request”を送
信する(図5<2>)。メッセージ”Create Bearer Request”は、「遮断用の通信路の
設定要求」の一例である。
”Create Bearer Request”は、International Mobile Subscriber Identity(IMS
I),EPS (Evolved Packet System) Bearer QoS パラメータ,TFT(Traffic Flow Template)フィールド,S5/S8−TEID,Charging ID,LBI(Linked EPS Bearer Identity),及び遮断フラグを含んでいる。
IMSIは、端末4の識別番号である。EPS Bearer QoS パラメータは、遮断用ベアラ
のサービス品質(QoS)に係るパラメータを示す。例えば、EPS Bearer QoS パラメー
タで、遮断用ベアラのDefault Bearerに対する優先順位(転送の優先順位)を指定することができる。転送の優先順位の指定によって、例えば、遮断用ベアラで転送されるパケットの送信レートを遮断用ベアラ以外のベアラで転送されるパケットの送信レートよりも低くすることができる。TFTフィールドは、特定のベアラにサービスデータフロー(攻撃通信のフロー)をマップするために使用される情報構造のセットであり、P−GW8は、TFTフィールドにIPSから通知された遮断対象のフローの情報を設定する。
S5/S8−TEIDは、S5/S8インタフェース(S−GW7とP−GW8との間のインタフェース)のGTPトンネルの識別子であり、当該GTPトンネルは、S−GW7とP−GW8間の遮断用ベアラを形成する。S−GW7とP−GW8との間の遮断用ベアラは、P−GW8によって割り当てられるS5/S8−TEIDで識別される。Charging IDは、課金用のID(課金ID)である。なお、P−GW8に遮断機能が設けられて
いない場合には、ダミーの(実際に使用しない)S5/S8−TEID及びCharging ID
を”Create Bearer Request”に設定することができる。
LBIは、端末4とP−GW8との間にある既存のベアラであって、Dedicated Bearer(遮断用ベアラ)に対応するベアラ(Default Bearer)の識別子(ID)である。遮断フラグは、”Create Bearer Request”が遮断用ベアラの設定要求であることを示す情報で
ある。なお、遮断フラグは、TS 23.401に規定のないオプションの情報要素である。
S−GW7は、”Create Bearer Request”(遮断用ベアラの設定要求)を受信すると
、”Create Bearer Request”中の遮断フラグを参照し、当該”Create Bearer Request”が遮断用ベアラの設定要求であると認識する。S−GW7は、遮断用フラグを”Create Bearer Request”から削除し、MME6へ”Create Bearer Request”を送信する(図5<3>)。
MME6向けの”Create Bearer Request”は、P−GW8から”Create Bearer Request”中の各情報(遮断フラグを除く)を、MME6へ送信するCreate Bearer Request信
号の各フィールドにマッピングすることで生成される。なお、S−GW7のメモリ12には、MME6のアドレスが記憶されており、S−GW7は、当該アドレスを用いて”Create Bearer Request”を送信する。このとき、S−GW7は、遮断用ベアラに割り当てる
S1−TEIDを”Create Bearer Request”に含める。S1−TEIDは、基地局5と
S−GW7とのS1−Uインタフェース上に設定される遮断用ベアラを形成するGTPトンネルの識別子である。基地局5とS−GW7との間の遮断用ベアラは、S1−TEIDによって識別される。
MME6は、”Create Bearer Request”を受信すると、基地局(eNB)5及び端末
(UE)4にDedicated Bearerを設定させるためのメッセージ”Bearer Setup Request/Session Management Request”を生成し、基地局5へ送信する(図5<4>)。MME6
のメモリ12には、基地局5のアドレスが記憶されており、MME6は、当該アドレスを用いてメッセージを基地局5へ送信する。”Bearer Setup Request”は基地局5向けのベアラ設定要求であり、”Session Management Request”は端末4向けの無線ベアラの設定要求である。
メッセージ”Bearer Setup Request”は、EPS Bearer Identity (EPS Bearer ID:「ベアラID」と称する)と、EPS Bearer QoS パラメータと、S1−TEIDとを含む。EPS Bearer IDは、遮断用ベアラ(Dedicated Bearer)の識別子であり、MME6は、端末4
に対して未割り当てのIDをEPS Bearer IDとして遮断用ベアラに割り当てる。
EPS Bearer QoS パラメータ及びS1−TEIDは、”Create Bearer Request”に含まれていた情報である。メッセージ”Session Management Request”は、TFTフィールドと、EPS Bearer QoS パラメータと、EPS Bearer IDと、LBIとを含む。TFTフィールド,EPS Bearer QoS パラメータ,及びLBIは、”Create Bearer Request”に含まれていた情報である。EPS Bearer ID(ベアラID)は、”Bearer Setup Request”に含まれ
るIDと同じIDである。
基地局5は、EPS Bearer QoSパラメータをRadio Bearer QoS(無線ベアラのQoS)にマップする。基地局5は、Radio Bearer QoSパラメータと、EPS RB identify(EPS RB ID)と、”Session Management Request”とを含むメッセージ”RRC (Radio Resource Control) Connection Reconfiguration”を、端末4との間に確立された無線リンクを用いて
端末4に送信する(図5<5>)。EPS RB identify(EPS RB ID)は、無線ベアラの識別子であり、基地局5によって遮断用ベアラを形成する無線ベアラに割り当てられる。
”RRC Connection Reconfiguration”を受信した端末4は、”Session Management Request”に含まれたQoS情報,パケットフローIDを移動網1へのアクセス時に使用できるように記憶する。また、端末4は、EPS Bearer ID及びEPS RB Identityを関連づけて記憶し、LBIに従ってDefault Bearer と遮断用ベアラとを関連づける(リンクさせる)
。また、端末4は、TFTアップリンク(UL)フィルタ(端末4からのフローを複数の
ベアラに振り分けるためのフィルタ)の設定として、TFTフィールドで指定された攻撃通信のフローを遮断用ベアラに振り分ける設定を行う。このとき、端末4は、EPS Bearer
QoSパラメータに基づく設定(優先順位)を遮断用ベアラに設定することができる。例えば、遮断用ベアラに転送される攻撃フローのパケットの優先度を攻撃フローでない正常フローのパケットよりも低優先に設定することができる。この結果、端末4からの攻撃フローのパケットの送信レートを正常フローのパケットの送信レートより低くすることができる。これによって、攻撃フローのパケットの移動網1内での転送優先度を下げて,攻撃フローのパケットの転送による正常フローへの影響(移動網1における正常フローのパケットの遅延や通信帯域の圧迫など)を抑止或いは回避することができる。
端末4は、”RRC Connection Reconfiguration”の応答メッセージ”RRC Connection Reconfiguration Complete”を基地局5に送信し、基地局5は、遮断用ベアラを形成する
無線ベアラの活性化(アクティベート)を確認する(図5<6>)。基地局5は、少なくとも、ベアラID(EPS Bearer ID)と、無線ベアラID(EPS RB ID)と、S1−TEIDとを関連づけて記憶する。記憶された情報は、基地局5が無線ベアラIDで特定される無線ベアラから受信されたパケットをS1−TEIDを含むヘッダでカプセル化し、S−GW7へ転送するために使用される。
基地局5は、メッセージ”Bearer Setup Response”をMME6に送り、遮断用ベアラ
の活性化(アクティベーション)を通知する。”Bearer Setup Response”は、EPS Bearer IDとS1−TEIDとを含んでおり、MME6は、これらの情報から活性化されたベアラを特定することができる。
端末4のNAS(Non-Access Stratum)層は、EPS Bearer IDを含む”Session Management Request”の応答メッセージ”Session Management Response”を生成し、端末4は、”Session Management Response”を無線リンクを用いて基地局5へ送る(Direct Transfer:図5<7>)。基地局5は、”Session Management Response”をMME6へ送る(
図5<8>)。基地局5において、MME6のアドレスは既知である。
MME6は、EPS Bearer ID,S1−TEID,ユーザ位置情報(ECGI)を含むメ
ッセージ”Create Bearer Response”をS−GW7に送信する(図5<9>)ことで、EPS Bearer IDとS1−TEIDとで特定されるベアラ(遮断用ベアラ)の活性化を確認す
る。
”Create Bearer Response”を受信したS−GW7は、遮断用ベアラの活性化を確認し、EPS Bearer ID,S5/S8−TEID,及びECGIを含むメッセージ”Create Bearer Response”をP−GW8へ送る(図5<10>)。S−GW7は、ベアラIDと、S
1−TEIDと、遮断フラグとを関連づけてメモリ12に記憶する。以後、S−GW7は、記憶された情報を参照して、遮断用ベアラで転送されるパケット(遮断対象のS1−TEIDが付与されたパケット)に対する遮断処理を行う。
P−GW8は、”Create Bearer Response”中の少なくともEPS Bearer IDを遮断用ベ
アラの識別子としてメモリ12に記憶する。以降、P−GW8は、例えば、遮断用ベアラの識別子として記憶されたEPS Bearer IDの有無の判定を以て、IPS3から遮断フロー
情報が受信されたときに、遮断用ベアラが既に設定されているか否かを判定する。
このように、実施形態1では、P−GW8が”Create Bearer Request”のTFTに遮
断対象のフロー情報を設定し、且つ遮断フラグを含めることで、遮断対象のフローのパケットに対する遮断処理をS−GW7で実行するための遮断用ベアラを移動網1に設定(構築)することができる。
図6は、遮断用ベアラが設定済の場合において、IPS3が別の攻撃通信のフローを検出した場合における動作例(動作例2)を示すシーケンス図である。当該シーケンスは、3GPP TS 23.401 §5.4.3におけるLTE bearer modification(without bearer QoS update)
procedure (PDN GW initiated)と同じ手順である。
図6において、IPS3が別の(新たな)攻撃通信のフロー(攻撃フロー)を検出すると(図6<0>)、IPS3は、新たな攻撃通信のフローの特定情報である攻撃通信のフロー情報(遮断フロー情報)をP−GW8へ送信する(図6<1>)。P−GW8は、フロー情報を受信したとき、遮断用ベアラの情報(少なくともEPS Bearer ID)がメモリ1
2に記憶されているか否かを判定する。このとき、遮断用ベアラの情報がメモリ12に記憶されている場合には、P−GW8は遮断用ベアラが設定済と判定する。
遮断用ベアラが設定済である場合には、P−GW8は、遮断用ベアラの更新要求のメッセージ”Update Bearer Request”をS−GW7に送信する(図6<2>)。”Update Bearer Request”は、EPS Bearer ID(遮断用ベアラの識別子)と、TFTフィールドとを
含む。TFTフィールドには、IPS3から得られた上記別の(新たな)遮断対象のフロー情報が設定される。また、遮断用ベアラの更新要求のメッセージは、攻撃通信のフロー情報を用いて、新たな攻撃通信のフローのパケットを遮断用ベアラで転送することを要求するメッセージの一例である。
S−GW7は、”Update Bearer Request”をMME6に送る(図6<3>)。MME
6は、”Update Bearer Request”中のTFTフィールド及びEPS Bearer IDを含む端末4向けのメッセージ”Downlink NAS Transport”を生成し、基地局5へ送る(図6<4>)。基地局5は、無線通信によって”Downlink NAS Transport”を端末4へ送る(Direct Transfer:図6<5>)。
端末4は、”Downlink NAS Transport”のEPS Bearer ID及びTFTフィールドを参照
し、TFTフィールドで指定されたフローをTFT ULフィルタで遮断用ベアラに振り分ける設定を行う。その後、端末4は、無線通信によって”Downlink NAS Transport”の応答メッセージ”Uplink NAS Transport”を基地局5へ送る(Direct Transfer:図6<
6>)。基地局6は、”Uplink NAS Transport”をMME6へ送る(図6<7>)。
MME6は、”Uplink NAS Transport”中の少なくともEPS Bearer IDから、フローが
遮断用ベアラで転送されることを確認し、メッセージ”Update Bearer Response”をS−GW7へ送る(図6<8>)。S−GW7は、”Update Bearer Response”中の少なくともEPS Bearer IDから、ベアラが更新された(遮断用ベアラで転送されるフローが増加し
た)ことを確認し、”Update Bearer Response”をP−GW8へ送る(図6<9>)。
このようにして、別の攻撃フロー検出時に遮断用ベアラが設定済である場合には、当該攻撃フローを設定済の遮断用ベアラで転送するための手順が実行される。これによって、複数の攻撃フローを既存の遮断用ベアラへの設定が可能となる。
<P−GW8における処理>
図7は、P−GW8における処理例を示すフローチャートである。図7の処理は、P−GW8として動作する情報処理装置10のCPU11によって実行される。図7の処理は、IPS3から送信された遮断対象のフロー情報(遮断フロー情報)を通信IF13を介してCPU11が受け取ることで開始される。
01では、CPU11は、遮断対象の攻撃通信のフロー情報(遮断フロー情報)をIP
S3から受信する。02では、CPU11は、遮断用ベアラが設定済か否かを判定する。当該判定は、遮断用ベアラの情報(遮断用ベアラのEPS Bearer ID等)がメモリ12に記
憶されているか否かを以て行う。
遮断用ベアラが設定済である場合には(02のY)、処理が07に進み、遮断用ベアラが設定済でなければ(02のN)、処理が03に進む。03では、CPU11は、メッセージ”Create Bearer Request”を生成する。04では、CPU11は、遮断フロー情報
を”Create Bearer Request”中のTFTフィールドに設定する。05では、CPU11
は、遮断フラグを”Create Bearer Request”に設定する。04と05の処理の順序は逆
でも良い。06では、CPU11は、”Create Bearer Request”を通信IF13からS
−GW7へ送信する。
07に処理が進んだ場合には、CPU11は、メッセージ”Update Bearer Request”
を生成する。08では、CPU11は、”Update Bearer Request”のTFTフィールド
に遮断フロー情報を設定する。09では、CPU11は、通信IF13を介して”Update
Bearer Request”をS−GW7へ送信する。
<S−GWにおける処理>
図8は、S−GW7における遮断用ベアラ設定フェーズにおける処理例を示すフローチャートである。図8に示す処理は、S−GW7として動作する情報処理装置10のCPU11によって実行される。
11では、CPU11は、通信IF13を介して”Create Bearer Request”を受信す
る。12では、CPU11は、”Create Bearer Request”中に遮断フラグが設定されて
いるか否かを判定する。遮断フラグが設定されている場合には(12のY)、処理が14に進み、遮断フラグが設定されていない場合(12のN)には、処理が13に進む。
13に処理が進んだ場合には、CPU11は、MME6側の”Create Bearer Request
”に、P−GW8から受信された”Create Bearer Request”中の情報をマッピングする
。14に処理が進んだ場合には、CPU11は、P−GW8から受信された”Create Bearer Request”から遮断フラグを削除し、残りの情報をMME6側の”Create Bearer Request”にマッピングする。15では、CPU11は、通信IF13を介して13又は14の処理で生成した”Create Bearer Request”をMME6へ送信する。
図9は、S−GW7におけるパケット転送フェーズにおける処理例を示すフローチャートである。図9に示す処理は、S−GW7として動作する情報処理装置10のCPU11によって実行される。
21では、CPU11は、通信IF13を介してパケットを受信する。22では、CPU11は、受信されたパケットが遮断用ベアラ上のパケットか否かを判定する。この判定は、例えば、パケットに付与されたTEIDが遮断用ベアラのS1−TEIDか否かを以て行うことができる。
受信されたパケットが遮断用ベアラ上のパケットでなければ(22のN)、CPU11は、パケットを対応するベアラ(S1−TEIDに対応するS5/S8−TEIDのベアラ)へ通信IF13を介して転送する(23)。これに対し、受信されたパケットが遮断用ベアラ上のパケットであれば(22のY)、CPU11は、当該パケットを廃棄する(24)。このとき、CPU11は、パケットの廃棄に代えてパケットのキャプチャを行うようにしても良い。さらに、CPU11は、当該パケットに係るログ記録を行うようにしても良い。このように、CPU11は、「遮断部」として動作する。
図10は、端末(UE)4からP−GW8へのパケット転送を模式的に示す図である。実施形態1では、正常なフロー(攻撃フローでないフロー)のパケットを転送するためのDefault Bearer(Dedicated Bearerが設定されている場合もある)であるベアラXと、攻撃フローのパケットを転送するための遮断用ベアラYとが設定される。
端末4では、正常のフローのパケットは、ベアラXに転送されるようにTFTフィルタが設定される。また、攻撃フローのパケットは、遮断用ベアラYに転送されるようにTFTフィルタが設定される。各フローのパケットは、無線ベアラを介して端末4から基地局5に転送される。基地局5は、無線ベアラを終端し、無線ベアラIDに対応するS1−TEIDを含むヘッダでパケットをカプセル化してS−GW7に転送する。正常フローでは、S−GW7は、基地局5とS−GW7との間のベアラを終端し、S1−TEIDに対応するS5/S8−TEIDを含むヘッダでパケットをカプセル化してP−GW8へ送る。P−GW8は、ベアラを終端し、パケットのデカプセル化を行い、パケットを企業網2へ向けて転送する。
攻撃フローのパケットは、S−GW7に到達された時点で、P−GW8に転送されることなく、S−GW7で廃棄される。これによって、攻撃フローのパケットがP−GW8から企業網2へ向けて送信されるのを回避することができる。これによって、攻撃フローのパケットによる企業網2への攻撃を回避することができる。また、IPS3は、フロー情報をP−GW8へ送信するだけで、攻撃フローに対する処理を行わない。これによって、IPS3の処理負荷を軽減できる。
図11は、実施形態1の変形例を示す。図11では、パケットの収集装置であるサーバ40が設けられており、S−GW7とサーバ40との間に、ベアラZが設けられている。サーバ40は、「パケットの終端装置」の一例である。サーバ40は、S−GW7から受信される攻撃フローのパケットをキャプチャし、ログを記録する。サーバ40は、パケットを廃棄することもできる。
変形例では、S−GW7は、攻撃フローのパケットを受信したときに、当該パケットをサーバ40との間に設定されたベアラに転送する。パケットが、サーバ40でキャプチャされることで、図10の例と同様に、攻撃フローのパケットが企業網2へ送信されるのを回避することができる。サーバ40として、情報処理装置10のハードウェア構成を有するコンピュータを適用することができる。なお、遮断用ベアラを二つ設定し,攻撃フロー毎にそれぞれに振り分けることにより,一方の遮断用ベアラのパケットを廃棄,他方の遮断用ベアラのパケットをサーバ40へ転送してもよい。一つの攻撃通信のフローに関して、予め企業網のキャリアと移動網のキャリアとの契約で決められた条件に基づき、パケットの廃棄とサーバ40への転送とが選択的に実行することも可能である。但し、条件は、キャリア間の契約で決められた条件以外の所定条件であっても良い。
<実施形態1の効果>
実施形態1によれば、IPS3で検出された攻撃フローを移動網1で遮断するために、移動網1で遮断用ベアラが生成され、攻撃フローのパケットが遮断用ベアラで転送される。S−GW7には、遮断機能(遮断ポイント)が設定されており、遮断用ベアラで転送されるパケットを廃棄する。このとき、S−GW7は、S1−TEIDの参照によって、パケットを廃棄するか否か、或いは、パケットを廃棄する装置へ転送するか否かを判定することができる。すなわち、フロー判別のためにIP層以上の層の情報の参照が不要である。これによって、遮断機能の実現に対する機能追加量の削減および遮断機能を配備した中継装置(中継ノード)での負荷の増大の回避が可能となる。また、攻撃フローのパケットが企業網2へ送信されるのが回避されるので、IPS3の負荷を軽減することができる。
また,実施形態1では、S−GW7に遮断機能(遮断部)を設ける例を示したが,移動網1内の他の中継装置である,基地局5やP−GW8に遮断機能(遮断部)を実装しても良い。或いは、端末4に遮断機能を配置してもよい。
例えば、P−GW8に遮断機能が実装される場合には、P−GW8として動作する情報処理装置10のCPU11が遮断部として動作する(図9の処理を行う)。例えば、P−GW8は、遮断用ベアラ(ベアラIDで特定される)に対応するS5/S8−TEIDを記憶し、当該S5/S8−TEIDを含むパケットの受信時に、当該パケットを廃棄することができる。或いは、P−GW8は、パケットのデカプセル化の後に、パケットのTCP/IPヘッダを参照して、フローが攻撃フローであれば当該パケットを廃棄するようにしても良い。この場合、P−GW8から送信される”Create Bearer Request”には、遮
断フラグの設定は不要である。遮断フラグは、遮断ポイントとなる装置に設定対象のベアラが遮断用ベアラであることを通知するための情報である。
基地局5に遮断機能が実装される場合には、例えば、基地局5は、遮断用ベアラで転送される(遮断用ベアラのS1−TEIDが付与される)パケットを廃棄することができる。基地局5のCPU21は、遮断部として図9に示す処理と同様の処理を行う。或いは、基地局5は、遮断用ベアラの無線ベアラを介して受信されるパケットを廃棄するようにしても良い。この場合、遮断フラグは、S−GW7で削除されず、MME6向けの”Create
Bearer Request”にマッピングされる。MME6は、”Bearer Setup Request”に遮断
フラグをマッピングする。基地局5は、遮断フラグの参照によって、設定対象のベアラが遮断用ベアラであることを認識することができる。また、この場合、基地局5とS−GW7との間のベアラもダミーとすることができる。
端末4に遮断機能が実装される場合には、遮断フラグは、S−GW7で削除されず、MME6向けの”Create Bearer Request”にマッピングされる。MME6は、”Session Management Request”に遮断フラグをマッピングする。端末4は、遮断フラグの参照によ
って、設定対象のベアラが遮断用ベアラであることを認識することができる。端末4は、例えば、遮断用ベアラに対応するTFTフィルタから出力されるパケットを廃棄する。端末4のCPU31は、遮断部として動作する。
〔実施形態2〕
以下、実施形態2について説明する。実施形態2の構成は、実施形態1との共通点を含むので、主として相違点について説明し、共通点については説明を省略する。
企業網2のIPS(防御装置)3から通知される遮断フロー情報が端末4から企業網2への全ての通信に該当する場合がある。例えば、遮断フロー情報に含まれる送信元IPアドレスが端末4のアドレスで、宛先IPアドレスが企業網2のネットワークアドレスであり、且つTCPの送信元及び宛先ポート番号が任意のような場合である。或いは、ユーザ(端末4の利用者)との契約に基づき攻撃フローが検出された場合に、端末4から企業網2への全通信を遮断する場合がある。これらの場合には、P−GW8と端末4との間のDefault Bearerを解放する。
実施形態2では、P−GW8がIPS3から受信した遮断フロー情報が、Default Bearerの解放の条件を満たすような、Default Bearerで転送する全てのフローを包含するフロー情報である場合には、P−GW8は、メッセージ”Delete Bearer Request”をS−G
W7に送信する。”Delete Bearer Request”は、端末4とのDefault Bearerに関するベ
アラ解放要求のメッセージである。但し、ベアラ解放要求の送信条件(ベアラ解放条件)とを満たすフロー情報は、Default Bearerで転送する全てのフローを包含するフロー情報
以外の所定のフロー情報であっても良い。
移動網1内の他の中継ノード(S−GW7及び基地局5),MME6,及び端末4は、通常のベアラの解放手順に従ってDefault Bearerを解放(削除)する。Dedicated Bearerは、Default Bearerに従属する。このため、Default Bearerの削除に伴い、Default Bearerと関連づけられたDedicated Bearer(遮断用フラグ含む)も解放(削除)される。
その後、P−GW8は,一定時間(例えば予め企業網と移動網との契約で決められた所定期間),或いはIPS3から端末4の再通信を認める信号を受信するまで,端末4からのDefault Bearerの再設定要求に対してReject(拒絶)を応答する。一定時間の時間長は適宜設定可能である。
図12は、実施形態2の動作例を示すシーケンス図である。図12に示す手順は、3GPP
TS23.401 §5.4.4.1 PDN GW initiated bearer deactivationをベースとしている。図12において、IPS3にて攻撃フローが検出されると(図12<0>)、遮断フロー情報がP−GW8に送信される(図12<1>)。
P−GW8は、遮断フロー情報がDefault Bearerのフローを包含するか否かを判定する。P−GW8のメモリ12には、Default Bearerのフローの情報(Default Bearerの解放条件データ)が予め記憶されている。
遮断フロー情報がDefault Bearerの情報と一致する場合には、P−GW8は、Default Bearerの解放(削除)要求メッセージ”Delete Bearer Request”を生成し、S−GW7
へ送る(図12<2>)。”Delete Bearer Request”は、Default Bearerの識別子であ
るEPS Bearer IDを含む。
S−GW7は、”Delete Bearer Request”を受信すると、”Delete Bearer Request”中の情報をMME6側の”Delete Bearer Request”にマッピングし、”Delete Bearer Request”をMME6に送る(図12<3>)。
MME6は、”Delete Bearer Request”を受信すると、Default Bearerを不活状態に
するための基地局5及び端末4向けのメッセージ”Deactivate Bearer Request”を送信
する(図12<4>)。”Deactivate Bearer Request”は、Default Bearerに対応する
TFTフィールドの情報及びDefault Bearerの識別子(EPS Bearer ID)を含む。
基地局5は、”Deactivate Bearer Request”を受信すると、基地局5と端末4との間
の無線ベアラ及び端末4とMME6とのNASリンクを解放するためのメッセージ”RRC Connection Reconfiguration”を端末4に送る(図12<5>)。
端末4は、”RRC Connection Reconfiguration”を受信すると、基地局5との無線ベアラを解放(削除)し、応答メッセージ”RRC Connection Reconfiguration complete”を
基地局5に送信する(図12<6>)。基地局5は、”RRC Connection Reconfiguration
complete”を受信すると、”Deactivate Bearer Request”の応答メッセージ”Deactivate Bearer Response”をMME6に送る。”Deactivate Bearer Response”は、無線ベアラの解放を示す。
また、端末4はNAS層でDefault Bearerを解放し、応答メッセージ”Deactivate EPS
Bearer Context Accept”を生成し、基地局5へ送る(Direct Transfer:図12<8>
)。基地局5は、”Deactivate EPS Bearer Context Accept”をMME6へ送る(図12<9>)。
MME6は、”Deactivate Bearer Response”及び”Deactivate EPS Bearer Context Accept”を受信すると、”Delete Bearer Request”の応答メッセージである”Delete Bearer Response”をS−GW7へ送る(図12<10>)。S−GW7は、”Delete Bearer Response”の受信により、Default Bearerの解放を確認し、P−GW8向けの”Delete Bearer Response”を生成してP−GW8に送る(図12<11>)。このような手順
により、Default Bearerが解放される。Default Bearerの解放により、端末4は、企業網2へパケットを送れない状態となる。
図13は、Default Bearerの解放後における端末4のDefault Bearerの再設定の手順例を示す。図13において、端末4は、Default Bearerの再設定要求に相当するメッセージ”Attach Request”を基地局5に送信する(図13<1>)。”Attach Request”は、端末4の識別子(IMSI)を含む。
基地局5は、端末4からの”Attach Request”中の情報をMME6向けの信号にマッピングし、MME6へ送る(図13<2>)。MME6は、”Attach Request”を受けて、Default Bearerの設定要求のメッセージ”Create Session Request”をS−GW7へ送る(図13<3>)。
S−GW7は、”Create Session Request”中の情報をP−GW8向けの信号にマッピングし、P−GW8へ送る(図13<4>)。P−GW8のメモリ12には、端末4からのDefault Bearerの再設定を受け付け可能とする条件(再設定可能条件)を満たすか否かの判定(再設定可否判定)に用いられる判定用情報が記憶されている。判定用情報は、例えば、Default Bearerの解放から一定時間が経過したか否かを示す情報である。或いは、他の装置(IPS3)から端末4からのパケットの受信を許容する情報を受信したか否かを示す情報である。判定用情報が再設定可能条件を満たさない場合には、P−GW8は、”Create Session Request”を拒絶する応答メッセージ”Create Session Response (denied)”を生成し、S−GW7へ送る(図13<5>)。
S−GW7は、”Create Session Response (denied)”をMME6向けの信号にマッピングし、MME6へ送る(図13<6>)。MME6は、S−GW7からの”Create Session Response (denied)”を受信すると、Default Bearerの再設定を拒絶するメッセージ”Attach Reject”を基地局5へ送信する(図13<7>)。基地局5は、端末4へ無線
リンクを介して”Attach Reject”示す信号を送る(図13<8>)。
このように、Default Bearerが解放されると、再設定可能条件が満たされるまで、Default Bearerの再設定が拒絶される。これによって、攻撃フローのパケットが企業網2へ送信されるのを回避することができる。
図14は、実施形態2におけるP−GW8の処理例を示すフローチャートである。図14に示す処理は、P−GW8として動作する情報処理装置10のCPU11によって実行される。
31において、CPU11は、遮断フロー情報をIPS3から受信する。32では、CPU11は、遮断フロー情報がDefault Bearerで転送されるフローを包含するか否かを判定する。Default Bearerで転送されるフローを示す情報は、判定用情報として、メモリ12に予め記憶されている。
遮断フロー情報がDefault Bearerで転送されるフローを包含する場合には(32のY)、処理が33に進む。遮断フロー情報がDefault Bearerで転送されるフローを包含しない
場合には(32のN)、処理が02に進む。
33では、CPU11は、メッセージ”Delete Bearer Request”を生成し、”Delete Bearer Request”をS−GW7へ送信する(34)。35では、CPU11は、Create Session Reject用のタイマを起動する。当該タイマは、Delete Bearerの再設定要求を拒絶する期間を計時するタイマである。35の処理が終了すると、CPU11は、図14の処理を終了する。図14の02〜09の処理は、実施形態1(図7)で示した02〜09の処理と同じであるため説明を省略する。
図15は、図14の35の処理の終了後におけるP−GW8の処理例を示すフローチャートである。41において、CPU11は、”Create Session Request”をS−GW7から受信する。42では、CPU11は、35の処理で起動したタイマが動作中(満了前)か否かを判定する。タイマが満了前である場合には(42のY)、CPU11は、メッセージ”Create Session Reject” をS−GW7へ送信する。これによって、再設定が拒絶される。これに対し、タイマが満了している場合には(42のN)、CPU11は、通常の受付処理を行う。これにより、Default Bearerが移動網1で再設定される。図14及び図15の処理によれば、Default Bearerの解放が決定されてから、例えば企業網と移動網との契約で決められた条件が満たされるまでの間(タイマが満了するまでの期間)、Default Bearerの再設定が禁止される。タイマの満了は、所定条件の一例である。
なお、実施形態2では、P−GW8がDefault Bearerの再設定要求を拒絶する例を示した。但し、S−GW7,MME6,基地局5のいずれかが再設定要求を拒絶する構成が採用されても良い。
例えば、”Delete Bearer Request”(図12<3>:端末4のIMSI含む)を受信
したMME6は、HSSに対して、端末4の位置登録の拒絶要求(IMSIを含む)を送る。HSSは、拒絶要求に従い、企業網と移動網との契約で決められた所定期間、MME6からの位置登録を拒絶する状態となる。所定期間、MME6は、端末4からの”Attach
Request”(図13<2>)に対して、HSSからの位置登録の拒絶を受けて、位置登録の拒絶を示す応答メッセージを端末4へ送る。
所定期間は、HSSとして動作するコンピュータ上のタイマで計時されても良い。タイマが満了すると、HSSは、位置登録を受け付ける状態に戻る。或いは、所定期間は、MME6として動作するコンピュータ(情報処理装置10)上のタイマで計時しても良い。MME6のタイマが満了すると、位置登録の拒絶の解除要求をHSSへ送り、HSSが解除要求に従って位置登録を受け付ける状態に遷移するようにしても良い。
HSSが位置登録を拒絶する状態となることで、MME6と異なるMMEからの端末4についてのベアラ再設定要求も拒絶される。これによって、端末4は、その位置に拘わらず、所定期間、企業網2へのアクセスが禁止される。また、MME6が、タイマが満了するまでの間、端末4からの位置登録要求(Attach Request)を拒絶するようにしても良い。
また,実施形態2では、P−GW8と端末4との間のDefault Bearerを解放する例を示した。当該構成の代わりに、以下のような構成を採用することもできる。遮断フロー情報が特定のフローを示す場合には、P−GW8は、端末4の識別子(例えばIMSI)を、端末4とのコネクションの切断要求メッセージに載せてS−GW7へ送る。S−GW7は、IMSIを含む切断要求をMME6へ送る。MME6は、切断要求を受信すると、基地局5に端末4との無線接続(RRCコネクション)の切断指示を送る。基地局5は、切断指示に従い、端末4とのRRCコネクションを切断する。RRCコネクションは、「移動
端末と移動網との間の無線接続」の一例である。なお、端末4の識別子を、端末4とのコネクションの切断要求メッセージ以外のメッセージに載せる場合もあり得る。
基地局5は、RRCコネクションを切断すると、所定のタイマの計時を開始し、タイマが満了するまでの間、端末4からのRRCコネクションの接続要求(ランダムアクセス手順)を拒絶する。以上説明した実施形態の構成は、適宜組み合わせることができる。
上記した実施形態は、以下の付記を開示する。
(付記1) 移動網に接続された移動端末と、前記移動端末からのパケットを通信路を介して、防御装置を介してサーバへ転送するゲートウェイとを備えた移動通信システムであって、前記ゲートウェイは、前記防御装置から受信される前記攻撃通信のフローの特定情報を用いて前記通信路と異なる遮断用の通信路を、前記攻撃通信のフローを遮断する遮断部との間で設定することを特徴とする移動通信システム。
(付記2) 前記遮断部は、無線基地局、ゲートウェイ及び移動端末の何れかに設けることを特徴とする付記1記載の移動通信システム。(2)
(付記3) 前記遮断部は、前記攻撃通信のフローのパケットを前記ゲートウェイと異なる、前記移動通信システムを構成する装置へ転送する
付記1又は2に記載の移動通信システム。(3)
(付記4) 前記遮断用の通信路で転送されるパケットの送信レートを、前記通信路で転送されるパケットの送信レートより低いレートに制限する
付記1から3のいずれか1項に記載の移動通信システム。(4)
(付記5) 前記遮断部が前記遮断用の通信路上にあるパケットの中継装置に設けられている
付記1から4のいずれか1項に記載の移動通信システム。
(付記6) 前記遮断部が前記移動端末に設けられている
付記1から4のいずれか1項に記載の移動通信システム。
(付記7) 前記ゲートウェイは、新たな攻撃通信のフローの特定情報を前記防御装置から受信したときに前記遮断用の通信路が既に設定されている場合には、前記新たな攻撃通信のフローの特定情報を用いて前記新たな攻撃通信のフローのパケットを前記遮断用の通信路で転送する要求を発行する
付記1から6のいずれかに記載の移動通信システム。(5)
(付記8) 前記ゲートウェイは、前記防御装置から受信される攻撃通信のフローの特定情報が、Default Bearerで通信する全フロー情報であるときに、前記通信路の切断要求を発行し、前記ゲートウェイ,前記移動端末からのパケットの中継装置,及び前記中継装置の制御装置のいずれかが、企業網と移動網との契約で決められた条件が満たされるまでの間、前記移動端末から送信される前記通信路の再設定要求を拒絶する
付記1から7に記載の移動通信システム。(6)
(付記9) 移動網に接続された移動端末との間に設定された前記移動網の通信路を通じて受信された前記移動端末からのパケットを前記パケットの宛先網へ転送するゲートウェイであって、
前記パケットのフローが攻撃通信のフローであるときに前記宛先網の防御装置から受信される前記攻撃通信のフローの特定情報を受信する通信部と、
前記フローの特定情報を用いて前記攻撃通信のフローを遮断するための前記通信路と異なる遮断用の通信路の設定要求を発行する制御部と、
を含むゲートウェイ。(7)
(付記10) 移動網に接続された移動端末との間に設定された前記移動網の通信路を通じて受信された前記移動端末からのパケットを前記パケットの宛先網へ転送するゲートウェイを用いた攻撃通信のフローの遮断方法であって、
前記ゲートウェイが、
前記パケットのフローが攻撃通信のフローであるときに前記宛先網の防御装置から受信される前記攻撃通信のフローの特定情報を受信し、
前記フローの特定情報を用いて前記攻撃通信のフローを遮断するための前記通信路と異なる遮断用の通信路の設定要求を発行する
ことを含むゲートウェイを用いた攻撃通信フローの遮断方法。(8)
(付記11) 移動端末からのパケットを転送する移動網のゲートウェイと、前記パケットの宛先網との間に配置される防御装置であって、
前記ゲートウェイから転送されるパケットのフローが攻撃通信のフローであるときに前記攻撃通信のフローを遮断するための前記移動網の通信路の設定要求を前記ゲートウェイに発行させるために前記攻撃通信のフローの特定情報を前記ゲートウェイへ送信する制御部を含む防御装置。(9)
(付記12) 移動端末からのパケットを転送する移動網のゲートウェイと、前記パケットの宛先網との間に配置される防御装置の防御方法であって、
前記ゲートウェイから転送されるパケットのフローが攻撃通信のフローであるときに前記攻撃通信のフローを遮断するための前記移動網の通信路の設定要求を前記ゲートウェイに発行させるために前記攻撃通信のフローの特定情報を前記ゲートウェイへ送信する
ことを含む防御装置の防御方法。(10)
1・・・移動網
2・・・企業網
3・・・防御装置(IPS)
4・・・移動端末
5・・・基地局
6・・・MME
7・・・S−GW
8・・・P−GW
10・・・情報処理装置
11,21,31・・・CPU
12,22,32・・・メモリ
40・・・サーバ(終端装置)

Claims (10)

  1. 無線基地局と接続可能な移動端末と、通信路を介して受信される前記移動端末からのパケットを防御装置を介してサーバへ転送するゲートウェイとを備えた移動通信システムであって、前記ゲートウェイは、前記防御装置から受信される攻撃通信のフローを特定する特定情報を用いて、前記通信路と異なる前記攻撃通信のフローの遮断用の通信路を、前記攻撃通信のフローを遮断する遮断部との間で設定することを特徴とする
    移動通信システム。
  2. 前記遮断部は、無線基地局、前記ゲートウェイ及び前記移動端末の何れかに設けられていることを特徴とする請求項1記載の移動通信システム。
  3. 前記遮断部は、前記攻撃通信のフローのパケットを前記ゲートウェイと異なる、前記移動通信システム中の装置へ転送する
    請求項1又は2に記載の移動通信システム。
  4. 前記遮断用の通信路で転送されるパケットの送信レートが、前記通信路で転送されるパケットの送信レートより低いレートに制限されている
    請求項1から3のいずれか1項に記載の移動通信システム。
  5. 前記ゲートウェイは、新たな攻撃通信のフローの特定情報を前記防御装置から受信したときに前記遮断用の通信路が既に設定されている場合には、前記新たな攻撃通信のフローの特定情報を用いて前記新たな攻撃通信のフローのパケットを前記遮断用の通信路で転送する要求を発行する
    請求項1から4のいずれか1項に記載の移動通信システム。
  6. 前記ゲートウェイは、前記防御装置から受信される攻撃通信のフローの特定情報が、前記通信路で転送される全ての所定のフローを示す情報であるときに、前記通信路の切断要求を発行し、前記ゲートウェイ,前記移動端末からのパケットの中継装置,及び前記中継装置の制御装置のいずれかが、所定条件が満たされるまでの間、前記移動端末から送信される前記通信路の再設定要求を拒絶する
    請求項1から5のいずれか1項に記載の移動通信システム。
  7. 移動網に接続された移動端末との間に設定された前記移動網の通信路を通じて受信された前記移動端末からのパケットを前記パケットの宛先網へ転送するゲートウェイであって、
    前記パケットのフローが攻撃通信のフローであるときに前記宛先網の防御装置から受信される前記攻撃通信のフローの特定情報を受信する通信部と、
    前記フローの特定情報を用いて前記攻撃通信のフローを遮断するための前記通信路と異なる遮断用の通信路の設定要求を発行する制御部と、
    を含むゲートウェイ。
  8. 移動網に接続された移動端末との間に設定された前記移動網の通信路を通じて受信された前記移動端末からのパケットを前記パケットの宛先網へ転送するゲートウェイを用いた攻撃通信のフローの遮断方法であって、
    前記ゲートウェイが、
    前記パケットのフローが攻撃通信のフローであるときに前記宛先網の防御装置から受信される前記攻撃通信のフローの特定情報を受信し、
    前記フローの特定情報を用いて前記攻撃通信のフローを遮断するための前記通信路と異なる遮断用の通信路の設定要求を発行する
    ことを含むゲートウェイを用いた攻撃通信フローの遮断方法。
  9. 移動端末からのパケットを転送する移動網のゲートウェイと、前記パケットの宛先網との間に配置される防御装置であって、
    前記ゲートウェイから転送されるパケットのフローが攻撃通信のフローであるときに前記攻撃通信のフローを遮断するための前記移動網の通信路の設定要求を前記ゲートウェイに発行させるために前記攻撃通信のフローの特定情報を前記ゲートウェイへ送信する制御部
    を含む防御装置。
  10. 移動端末からのパケットを転送する移動網のゲートウェイと、前記パケットの宛先網との間に配置される防御装置の防御方法であって、
    前記ゲートウェイから転送されるパケットのフローが攻撃通信のフローであるときに前記攻撃通信のフローを遮断するための前記移動網の通信路の設定要求を前記ゲートウェイに発行させるために前記攻撃通信のフローの特定情報を前記ゲートウェイへ送信する
    ことを含む防御装置の防御方法。
JP2015132981A 2015-07-01 2015-07-01 移動通信システム及びゲートウェイ装置 Pending JP2017017553A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015132981A JP2017017553A (ja) 2015-07-01 2015-07-01 移動通信システム及びゲートウェイ装置
US15/190,856 US20170006050A1 (en) 2015-07-01 2016-06-23 Communication system, communication method and gateway

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015132981A JP2017017553A (ja) 2015-07-01 2015-07-01 移動通信システム及びゲートウェイ装置

Publications (1)

Publication Number Publication Date
JP2017017553A true JP2017017553A (ja) 2017-01-19

Family

ID=57684533

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015132981A Pending JP2017017553A (ja) 2015-07-01 2015-07-01 移動通信システム及びゲートウェイ装置

Country Status (2)

Country Link
US (1) US20170006050A1 (ja)
JP (1) JP2017017553A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020025220A (ja) * 2018-08-08 2020-02-13 株式会社Nttドコモ 制御装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3824664B1 (en) * 2018-09-26 2024-10-23 Nokia Technologies Oy Priority handling at quality of service flow relocation
US11882138B2 (en) * 2020-06-18 2024-01-23 International Business Machines Corporation Fast identification of offense and attack execution in network traffic patterns
CN119815292B (zh) * 2024-12-27 2025-10-28 中国联合网络通信集团有限公司 通信控制方法、装置、设备、存储介质及程序产品

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020025220A (ja) * 2018-08-08 2020-02-13 株式会社Nttドコモ 制御装置
JP7037452B2 (ja) 2018-08-08 2022-03-16 株式会社Nttドコモ 制御装置

Also Published As

Publication number Publication date
US20170006050A1 (en) 2017-01-05

Similar Documents

Publication Publication Date Title
US9204474B2 (en) Destination learning and mobility detection in transit network device in LTE and UMTS radio access networks
US10003957B2 (en) Method and apparatus for supporting location privacy protection in wireless access system supporting small cell environment
EP3257294B1 (en) Long term evolution (lte) communications over trusted hardware
CN108307385B (zh) 一种防止信令攻击方法及装置
EP3866506B1 (en) Method and device for controlling terminal and network connection
US11310852B2 (en) Apparatus and method related to dual connectivity
US20170026896A1 (en) Terminal device, relay terminal device, and communication control method
CN108574667B (zh) 一种业务流的控制方法及装置
JP2019521588A (ja) 通信制御方法および関連するネットワーク要素
CN109155946B (zh) 切换过程中的通信方法和装置
CN113645618B (zh) 一种ue的接入、切换和加密控制的方法与设备
US12127306B1 (en) Open control plane for mobile networks
US10827348B2 (en) Data transmission method and apparatus
US20160150513A1 (en) Method and device for host configuration
CN109196889B (zh) 用户信息获取方法、标识对应关系保存方法及装置与设备
JP2021013192A (ja) 次世代ファイアウォールを用いたトランスポート層の信号安全性
JP6394325B2 (ja) ネットワーク制御方法,通信装置,および通信システム
JP2017017553A (ja) 移動通信システム及びゲートウェイ装置
KR20190073515A (ko) 데이터 패킷 처리 방법, 제어 평면 네트워크 요소, 및 사용자 평면 네트워크 요소
CN104168668A (zh) 通信装置以及通信方法
CN116633654B (zh) 用于服务提供商网络中的基于位置的安全性的方法和系统
CN107926066A (zh) 一种业务流的传输方法及装置
JP2019114950A (ja) Lte通信システム及び通信制御方法