WO2012124207A1

WO2012124207A1 - 通信システム、基地局、サイバー攻撃対処方法

Info

Publication number: WO2012124207A1
Application number: PCT/JP2011/075176
Authority: WO
Inventors: 楠本　雄一
Original assignee: NEC Corp
Current assignee: NEC Corp
Priority date: 2011-03-17
Filing date: 2011-11-01
Publication date: 2012-09-20
Anticipated expiration: 2013-09-17
Also published as: KR101563413B1; EP2688329A1; US9119075B2; EP2688329A4; BR112013023339A2; JPWO2012124207A1; US20130303120A1; EP2688329B1; JP5668839B2; CN103348719B; KR20140003598A; CN103348719A

Abstract

　本発明の通信システムは、携帯端末と、基地局と、運用／保守サーバーと、前記携帯端末からの上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能を備えるゲートウェイ装置と、を有する。ここで、前記基地局は、前記上りデータのトラフィック量が閾値を超過したことを検出した場合、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信し、前記運用／保守サーバーは、前記基地局から前記アラームを受信した場合、前記ＤＰＩ機能の起動を指示する起動指示を前記ゲートウェイ装置に対して送信する。

Description

通信システム、基地局、サイバー攻撃対処方法

　本発明は、通信システム、基地局、サイバー攻撃対処方法に関する。

　近年、通信システムの発達により、通信システム自体へのサイバー攻撃が多様化しており、多様化するサイバー攻撃に対処するための対策が求められている。

　携帯端末も例外ではなく、特に携帯端末の機動性（Mobility）という要素がサイバー攻撃をより複雑化させている。

　特に、ＳＩＭ（Subscriber　Identification　Module）ロックがかかっていない携帯端末から不正にＳＩＭを入手し、そのＳＩＭを使ってサイバー攻撃を行う可能性も否定できない状況となっている。

　ところで、３ＧＰＰ（Third　Generation　Partnership　Project）では、新たな通信システムとして、ＬＴＥ（Long　Term　Evolution）システムの標準化が行われている（特許文献１等参照）。

　しかし、３ＧＰＰで定義されている標準プロトコル上では、ＬＴＥシステムにおいて、コアネットワーク側のＰＤＮ－ＧＷ（Packet　Data　Network-Gateway）に不正トラフィックを検出するためのＤＰＩ（Deep　Packet　Inspection）機能が備えられている。

　言い換えれば、３ＧＰＰで定義されている標準プロトコル上では、ＬＴＥシステムのｅＮＢ（evolved　Node　B）は、直接ユーザーデータの中味を監視することができず、不正トラフィックの検出は、コアネットワーク側のＤＰＩ機能に依存するしかない。

特開２０１１－０１０１５５号公報

　上述したように、ＬＴＥシステムにおいては、不正トラフィックの検出は、コアネットワーク側のＤＰＩ機能に依存する。

　そのため、ｅＮＢは、ＵＥ（User　equipment）から大容量のユーザーデータが送信されてきたとしても、大容量のユーザーデータの送信によるＵＥのサーバー攻撃を能動的に検出することができないという課題がある。

　そこで、本発明の目的は、上述した課題を解決することができる通信システム、基地局、サイバー攻撃対処方法を提供することにある。

　本発明の通信システムは、
　携帯端末と、
　基地局と、
　運用／保守サーバーと、
　前記携帯端末からの上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能を備えるゲートウェイ装置と、を有し、
　前記基地局は、
　前記上りデータのトラフィック量が閾値を超過したことを検出した場合、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信し、
　前記運用／保守サーバーは、
　前記基地局から前記アラームを受信した場合、前記ＤＰＩ機能の起動を指示する起動指示を前記ゲートウェイ装置に対して送信する。

　本発明の基地局は、
　携帯端末からの上りデータのトラフィック量が閾値を超過したか否かを監視するユーザーデータ処理部と、
　前記上りデータのトラフィック量が閾値を超過した場合、前記上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能の起動を指示する起動指示を運用／保守サーバーからゲートウェイ装置に送信させるために、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信する通信制御部と、を有する。

　本発明のサイバー攻撃対処方法は、
　基地局によるサイバー攻撃対処方法であって、
　携帯端末からの上りデータのトラフィック量が閾値を超過したか否かを監視するステップと、
　前記上りデータのトラフィック量が閾値を超過した場合、前記携帯端末からの上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能の起動を指示する起動指示を運用／保守サーバーからゲートウェイ装置に送信させるために、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信するステップと、を有する。

　本発明によれば、基地局は、携帯端末から大容量の上りデータが送信されてきた場合、運用／保守サーバー経由で、ゲートウェイ装置のＤＰＩ機能を起動する。

　そのため、基地局が能動的に、大容量の上りデータの送信による携帯端末のサーバー攻撃を検出することができるという効果が得られる。

本発明の一実施形態の通信システムの構成を示すブロック図である。図１に示した通信システムにおいて、被疑トラフィックを検出した場合の動作を説明するシーケンス図である。図１に示した通信システムにおいて、不正トラフィックを検出した場合の動作を説明するシーケンス図である。

　以下に、本発明を実施するための形態について図面を参照して説明する。
（１）本実施形態の構成
（１－１）通信システムの全体構成
　図１を参照すると、本実施形態の通信システムは、携帯端末であるＵＥ１と、基地局であるｅＮＢ２と、運用／保守サーバーであるＯＭＣ（Operations　and　Maintenance　Centre）３と、ゲートウェイ装置であるＰＤＮ－ＧＷ４と、ポリシー／課金サーバーであるＰＣＲＦ（Policy　and　Charging　Rules　Function）５と、を有するＬＴＥシステムである。
（１－２）ＵＥ１の構成
　図１を参照すると、ＵＥ１は、ユーザーデータ処理部１Ａと、コネクション制御部１Ｂと、を有している。

　ユーザーデータ処理部１Ａは、インターネット上のサーバー（不図示）を送信先とする上りのユーザーデータ（Ｕ－Ｐｌａｎｅデータ）をｅＮＢ２に対して送信する。このユーザーデータの中には、インターネット上のサーバーをサイバー攻撃するための不正データも含まれる。

　コネクション制御部１Ｂは、上りのユーザーデータを送信するための上りのリソースの割り当てを要求するＳｃｈｅｄｕｌｉｎｇ　Ｒｅｑｕｅｓｔメッセージ（リソース割当要求メッセージ）を、ｅＮＢ２に対して送信する。
（１－３）ｅＮＢ２の構成
　図１を参照すると、ｅＮＢ２は、ＯＭＣ通信制御部２Ａと、ユーザーデータ処理部２Ｂと、加入者データ管理部２Ｃと、コネクション制御部２Ｄと、を有している。

　ユーザーデータ処理部２Ｂは、ＵＥ１から上りのユーザーデータを受信すると、そのユーザーデータをＰＤＮ－ＧＷ４に対して送信する。

　ユーザーデータ処理部２Ｂは、ＵＥ１からの上りのユーザーデータのトラフィック量が、ＵＥ１ごとに予め設定された閾値を超過した場合、該当するＵＥ１からの上りのユーザーデータを不正トラフィックの可能性がある被疑トラフィックとして検出する。

　ユーザーデータ処理部２Ｂは、被疑トラフィックを検出すると、その被疑トラフィックを送信しているＵＥ１の加入者データを加入者データ管理部２Ｃから取得する。

　ユーザーデータ処理部２Ｂは、該当するＵＥ１の加入者データを含み、該当するＵＥ１からの上りのユーザーデータのトラフィック量が閾値を超過したことを通知する送信データ量超過アラームを、ＯＭＣ通信制御部２Ａに対して出力する。

　ＯＭＣ通信制御部２Ａは、ユーザーデータ処理部２Ｂから送信データ量超過アラームが出力されると、その送信データ量超過アラームをＯＭＣ３に対して送信する。

　ＯＭＣ通信制御部２Ａは、ＯＭＣ３から後述する不正トラフィック停止要求を受信すると、その不正トラフィック停止要求をコネクション制御部２Ｄに対して出力する。

　加入者データ管理部２Ｃは、ユーザーデータ処理部２Ｂから加入者データの問い合わせを受けると、その加入者データをユーザーデータ処理部２Ｂに対して出力する。

　コネクション制御部２Ｄは、ＵＥ１からＳｃｈｅｄｕｌｉｎｇ　Ｒｅｑｕｅｓｔメッセージを受信すると、通常アルゴリズムを使用して、上りのリソースを割り当てるか否かを示すＵＬ　Ｇｒａｎｔを算出し、算出したＵＬ　ＧｒａｎｔをＵＥ１に対して返信する。

　ただし、コネクション制御部２Ｄは、ＯＭＣ通信制御部２Ａから不正トラフィック停止要求が出力された場合は、ＵＥ１からのＳｃｈｅｄｕｌｉｎｇ　Ｒｅｑｕｅｓｔメッセージに対する応答として、上りのリソースを割り当てないことを示すＵＬ　Ｇｒａｎｔ＝０をＵＥ１に対して返信する。

　なお、ＵＥ１のユーザーデータ処理部１Ａは、ｅＮＢ２からＵＬ　Ｇｒａｎｔ＝０が受信されると、上りのユーザーデータの送信を停止する。
（１－４）ＯＭＣ３の構成
　図１を参照すると、ＯＭＣ３は、通信制御部３Ａと、アラーム制御部３Ｂと、を有している。

　通信制御部３Ａは、ｅＮＢ２から送信データ量超過アラームを受信すると、その送信データ量超過アラームをアラーム制御部３Ｂに対して出力する。

　これと同時に、通信制御部３Ａは、送信データ量超過アラームに含まれる該当するＵＥ１の加入者データを含み、該当するＵＥ１に対するＤＰＩ機能の起動を指示するＤＰＩ起動指示を、ＰＤＮ－ＧＷ４に対して送信する。

　また、通信制御部３Ａは、ＰＤＮ－ＧＷ４から後述する不正トラフィック検出通知を受信すると、該当するＵＥ１の加入者データを含み、該当するＵＥ１の上りのユーザーデータの送信の停止を要求する不正トラフィック停止要求を、ｅＮＢ２に対して送信する。

　アラーム制御部３Ｂは、通信制御部３Ａから送信データ量超過アラームが出力されると、その送信データ量超過アラームをログとして保存する。
（１－５）ＰＤＮ－ＧＷ４の構成
　図１を参照すると、ＰＤＮ－ＧＷ４は、ＯＭＣ通信制御部４Ａと、ユーザーデータ処理部４Ｂと、加入者データ管理部４Ｃと、を有している。

　ＯＭＣ通信制御部４Ａは、ＯＭＣ３からＤＰＩ起動指示を受信すると、そのＤＰＩ起動指示をユーザーデータ処理部４Ｂに対して出力する。

　ユーザーデータ処理部４Ｂは、ｅＮＢ２から上りのユーザーデータを受信すると、そのユーザーデータをＰＤＮ経由でインターネット上のサーバーに対して送信する。

　ユーザーデータ処理部４Ｂは、ＯＭＣ通信制御部４ＡからＤＰＩ起動指示が出力されると、そのＤＰＩ起動指示に加入者データが含まれる該当するＵＥ１の契約ポリシーを要求する契約ポリシー要求を、ＰＣＲＦ５に対して送信する。

　ユーザーデータ処理部４Ｂは、契約ポリシー要求に対する応答として、ＰＣＲＦ５から、該当するＵＥ１の契約ポリシーを通知する契約ポリシー通知を受信する。

　ユーザーデータ処理部４Ｂは、該当するＵＥ１からの上りのユーザーデータに対してＤＰＩ機能を起動する。そして、ユーザーデータ処理部４Ｂは、該当するＵＥ１からの上りのユーザーデータのペイロードを、ＰＣＲＦ５から取得した契約ポリシーで定義されているトラフィック許容条件と比較しながら、該当するＵＥ１からの上りのユーザーデータが不正トラフィックであるか否かを検出する。

　ユーザーデータ処理部４Ｂは、不正トラフィックを検出すると、該当するＵＥ１の加入者データを含み、該当するＵＥ１の上りのユーザーデータが不正トラフィックであると検出したことを通知する不正トラフィック検出通知を、ＯＭＣ通信制御部４Ａに対して出力する。

　ＯＭＣ通信制御部４Ａは、ユーザーデータ処理部４Ｂから不正トラフィック検出通知が出力されると、その不正トラフィック検出通知をＯＭＣ３に対して送信する。

　加入者データ管理部４Ｃは、ユーザーデータ処理部４Ｂから加入者データの問い合わせを受けると、その加入者データをユーザーデータ処理部４Ｂに対して出力する。
（１－６）ＰＣＲＦ５の構成
　図１を参照すると、ＰＣＲＦ５は、ポリシー管理部５Ａを有している。

　ポリシー管理部５Ａは、ＰＤＮ－ＧＷ４から契約ポリシー要求を受信すると、要求された契約ポリシーを通知する契約ポリシー通知を、ＰＤＮ－ＧＷ４に対して送信する。
（２）本実施形態の動作
　以下、図１に示した通信システムの動作について説明する。
（２－１）被疑トラフィックを検出した場合の動作
　まず、ｅＮＢ２で被疑トラフィックを検出した場合の動作について、図２を参照して説明する。

　図２を参照すると、ｅＮＢ２では、ユーザーデータ処理部２Ｂは、ＵＥ１からの上りのユーザーデータのトラフィック量が、ＵＥ１ごとに予め設定された閾値を超過したか否かを監視する。閾値を超過した場合、ユーザーデータ処理部２Ｂは、該当するＵＥ１からの上りのユーザーデータを不正トラフィックの可能性がある被疑トラフィックとして検出する（ステップＳ１，Ｓ２）。そして、ＯＭＣ通信制御部２Ａは、該当するＵＥ１の加入者データを含み、該当するＵＥ１からの上りのユーザーデータのトラフィック量が閾値を超過したことを通知する送信データ量超過アラームを、ＯＭＣ３に対して送信する（ステップＳ３）。

　ＯＭＣ３では、ｅＮＢ２から送信データ量超過アラームを受信すると、通信制御部３Ａは、該当するＵＥ１からの上りのユーザーデータが不正トラフィックであるか否かを確認するために、該当するＵＥ１の加入者データを含み、ＤＰＩ機能の起動を指示するＤＰＩ起動指示を、ＰＤＮ－ＧＷ４に対して送信する（ステップＳ４）。

　ＰＤＮ－ＧＷ４では、ＯＭＣ３からＤＰＩ起動指示を受信すると、ユーザーデータ処理部４Ｂは、該当するＵＥ１のトラフィック許容条件を確認するために、該当するＵＥ１の加入者データを含み、該当するＵＥ１の契約ポリシーを要求する契約ポリシー要求を、ＰＣＲＦ５に対して送信する（ステップＳ５）。

　ＰＣＲＦ５では、ポリシー管理部５Ａは、ＰＤＮ－ＧＷ４から契約ポリシー要求を受信すると、該当するＵＥ１の契約ポリシーをデータベースから読み込み、読み込んだ契約ポリシーを通知する契約ポリシー通知を、ＰＤＮ－ＧＷ４に対して送信する（ステップＳ６）。

　ＰＤＮ－ＧＷ４では、ＰＣＲＦ５から契約ポリシー通知を受信すると、ユーザーデータ処理部４Ｂは、該当するＵＥ１からの上りのユーザーデータに対してＤＰＩ機能を起動し、ＯＭＣ通信制御部４Ａは、ＤＰＩ機能の起動が完了したことを通知するＤＰＩ起動完了通知を、ＯＭＣ３に対して送信する（ステップＳ７）。

　これにより、ＰＤＮ－ＧＷ４のユーザーデータ処理部４Ｂが、該当するＵＥ１からの上りのユーザーデータを監視している状態に遷移する（状態Ｓ８）。
（２－２）不正トラフィックを検出した場合の動作
　続いて、ＰＤＮ－ＧＷ４で不正トラフィックを検出した場合の動作について、図３を参照して説明する。なお、図３は、図２において、該当するＵＥ１からの上りのユーザーデータを監視する状態（状態Ｓ８）に遷移した後の動作を示している。

　図３を参照すると、ＰＤＮ－ＧＷ４では、ユーザーデータ処理部４Ｂは、該当するＵＥ１からの上りのユーザーデータのペイロードが、ＰＣＲＦ５から通知された契約ポリシーで定義されているトラフィック許容条件に合致しているか否かを監視する。トラフィック許容条件に合致しない場合、ユーザーデータ処理部４Ｂは、該当するＵＥ１からの上りのユーザーデータを不正トラフィックとして検出する（ステップＳ９）。そして、ＯＭＣ通信制御部４Ａは、該当するＵＥ１の加入者データを含み、該当するＵＥ１からの上りのユーザーデータが不正トラフィックであると検出したことを通知する不正トラフィック検出通知を、ＯＭＣ３に対して送信する（ステップＳ１０）。

　ＯＭＣ３では、ＰＤＮ－ＧＷ４から不正トラフィック検出通知を受信すると、通信制御部３Ａは、該当するＵＥ１の加入者データを含み、該当するＵＥ１の上りのユーザーデータの送信の停止を要求する不正トラフィック停止要求を、ｅＮＢ２に対して送信する（ステップＳ１１）。

　ｅＮＢ２では、ＯＭＣ３から不正トラフィック停止要求を受信すると、以降、該当するＵＥ１から、上りのリソースを要求するＳｃｈｅｄｕｌｉｎｇ　Ｒｅｑｕｅｓｔメッセージ（リソース割当要求メッセージ）を受信しても（ステップＳ１２）、コネクション制御部２Ｄは、該当するＵＥ１に上りのリソースを割り当てずに、その旨を示す“０”が指定されたＵＬ　Ｇｒａｎｔを返信する（ステップＳ１３）。

　これにより、該当するＵＥ１のユーザーデータ処理部１Ｂが、上りのユーザーデータ（不正トラフィック）の送信を停止している状態に遷移する（状態Ｓ１４）。

　上述したように本実施形態においては、ＵＥ１から送信される上りのユーザーデータを一番最初に受信するｅＮＢ２が、大容量の上りのユーザーデータ（被疑トラフィック）を検出した場合、ＯＭＣ３経由でＰＤＮ－ＧＷ４のＤＰＩ機能を起動する。

　そのため、ｅＮＢ２が能動的に、大容量の上りのユーザーデータの送信によるＵＥ１のサーバー攻撃を検出することができる。

　また、大容量の上りのユーザーデータの送信によるＵＥ１のサーバー攻撃を検出した場合、以降、ｅＮＢ２が、サーバー攻撃をしてきたＵＥ１への上りのリソースの割り当てを行わないため、他の正当なＵＥ１のために上りのリソースを使用でき、上りのリソースの無駄遣いを無くすことができる。

　また、サーバー攻撃をしてきたＵＥ１による上りのユーザーデータ（不正トラフィック）の送信が停止されるため、ｅＮＢ２とＰＤＮ－ＧＷ４との間に不正トラフィックが流れることが回避され、ネットワークの負荷を軽減することができる。

　また、本実施形態の構成は、３ＧＰＰの標準プロトコルで既に定義されているＤＰＩ機能の起動条件を増やすだけで実現可能な構成であるため、本実施形態の構成を実現するために行う、ｅＮＢ２、ＰＤＮ－ＧＷ４、およびＰＣＲＦ５の実装も非常と容易となる。

　以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明の範囲内で当業者が理解し得る様々な変更をすることができる。

　本出願は、２０１１年３月１７日に出願された日本出願特願２０１１－０５９２３４を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims

　携帯端末と、
　基地局と、
　運用／保守サーバーと、
　前記携帯端末からの上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能を備えるゲートウェイ装置と、を有し、
　前記基地局は、
　前記上りデータのトラフィック量が閾値を超過したことを検出した場合、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信し、
　前記運用／保守サーバーは、
　前記基地局から前記アラームを受信した場合、前記ＤＰＩ機能の起動を指示する起動指示を前記ゲートウェイ装置に対して送信する、通信システム。
　前記ゲートウェイ装置は、
　前記上りデータが不正トラフィックであると前記ＤＰＩ機能により検出した場合、前記上りデータが不正トラフィックであると検出したことを通知する検出通知を前記運用／保守サーバーに対して送信し、
　前記運用／保守サーバーは、
　前記ゲートウェイ装置から前記検出通知を受信した場合、前記上りデータの送信の停止を要求する停止要求を、前記基地局に対して送信し、
　前記基地局は、
　前記運用／保守サーバーから前記停止要求を受信した場合、以降、前記携帯端末から上りのリソースの割り当てを要求する割当要求を受信しても、前記携帯端末に上りのリソースを割り当てない、請求項１に記載の通信システム。
　前記基地局は、
　前記携帯端末からの前記割当要求に対して、上りのリソースを割り当てない場合、その旨を示す通知を前記携帯端末に送信する、請求項２に記載の通信システム。
　携帯端末からの上りデータのトラフィック量が閾値を超過したか否かを監視するユーザーデータ処理部と、
　前記上りデータのトラフィック量が閾値を超過した場合、前記上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能の起動を指示する起動指示を運用／保守サーバーからゲートウェイ装置に送信させるために、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信する通信制御部と、を有する基地局。
　前記運用／保守サーバーから、前記上りデータの送信の停止を要求する停止要求を受信した場合、以降、前記携帯端末から上りのリソースの割り当てを要求する割当要求を受信しても、前記携帯端末に上りのリソースを割り当てないコネクション制御部をさらに有する、請求項４に記載の基地局。
　前記コネクション制御部は、
　前記携帯端末からの前記割当要求に対して、上りのリソースを割り当てない場合、その旨を示す通知を前記携帯端末に送信する、請求項５に記載の基地局。
　基地局によるサイバー攻撃対処方法であって、
　携帯端末からの上りデータのトラフィック量が閾値を超過したか否かを監視するステップと、
　前記上りデータのトラフィック量が閾値を超過した場合、前記携帯端末からの上りデータが不正トラフィックであるか否かを検出するＤＰＩ機能の起動を指示する起動指示を運用／保守サーバーからゲートウェイ装置に送信させるために、前記上りデータのトラフィック量が閾値を超過したことを通知するアラームを前記運用／保守サーバーに対して送信するステップと、を有するサイバー攻撃対処方法。
　前記運用／保守サーバーから、前記上りデータの送信の停止を要求する停止要求を受信した場合、以降、前記携帯端末から上りのリソースの割り当てを要求する割当要求を受信しても、前記携帯端末に上りのリソースを割り当てないステップをさらに有する、請求項７に記載のサイバー攻撃対処方法。
　前記携帯端末からの前記割当要求に対して、上りのリソースを割り当てない場合、その旨を示す通知を前記携帯端末に送信するステップをさらに有する、請求項８に記載のサイバー攻撃対処方法。