ES2258487T3 - Prevencion de la simulacion de identidad en sistemas de telecomunicacion. - Google Patents

Prevencion de la simulacion de identidad en sistemas de telecomunicacion.

Info

Publication number
ES2258487T3
ES2258487T3 ES00987534T ES00987534T ES2258487T3 ES 2258487 T3 ES2258487 T3 ES 2258487T3 ES 00987534 T ES00987534 T ES 00987534T ES 00987534 T ES00987534 T ES 00987534T ES 2258487 T3 ES2258487 T3 ES 2258487T3
Authority
ES
Spain
Prior art keywords
address
packet
node
terminal
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES00987534T
Other languages
English (en)
Inventor
Sami Uskela
Hannu T. Jokinen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8555800&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2258487(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nokia Oyj filed Critical Nokia Oyj
Application granted granted Critical
Publication of ES2258487T3 publication Critical patent/ES2258487T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Pinball Game Machines (AREA)
  • Traffic Control Systems (AREA)
  • Alarm Systems (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Small-Scale Networks (AREA)

Abstract

Método para impedir la simulación de identidad en un sistema de telecomunicación que comprende un terminal capaz de transmitir paquetes de datos y, al menos, un nodo para recibir y enviar paquetes datos en un primer subsistema, incluyendo dicho método las siguientes etapas: activar, en el primer subsistema, una dirección de datos por paquetes para el terminal destinada a transmitir paquetes de datos entre el terminal y un segundo subsistema; almacenar la dirección de datos por paquetes en, al menos, un nodo del primer subsistema a través del cual, los paquetes de datos de la dirección de datos por paquetes son encaminados; recibir en dicho nodo el paquete enviado desde el terminal, incluyendo el paquete una dirección de destino y una dirección de origen; caracterizado por: verificar (206) en dicho nodo si la dirección de origen del paquete es la misma que la dirección de datos por paquetes; y transmitir (207) el paquete desde el nodo hacia la dirección de destino tan sólo cuando las direcciones son idénticas.

Description

Prevención de la simulación de identidad en sistemas de telecomunicaciones.
Antecedentes de la invención
La invención se refiere a la prevención de la simulación o usurpación (spoofing) en sistemas de telecomunicaciones que son capaces de transmitir datos por paquetes. Concretamente, la invención se refiere a la prevención de la simulación de identidad de datos del remitente en paquetes IP (Protocolo Internet) enviados desde una estación móvil en sistemas de telecomunicaciones móviles.
Las redes de comunicaciones móviles operan como unas redes de acceso efectivas, que facilitan a los usuarios el acceso a las redes de datos reales para la transmisión móvil de datos. La transmisión móvil de datos está especialmente bien soportada por los sistemas digitales de telecomunicaciones móviles, como el sistema paneuropeo de comunicaciones móviles GSM (Sistema general de radiocomunicación móvil). En esta aplicación, el término "datos" se refiere a cualquier información transmitida en un sistema de telecomunicación digital. Dicha información puede incluir audio y/o vídeo codificados digitalmente, tráfico de datos entre ordenadores, datos de telefax, secciones breves de códigos de programas, etc. Por sistema de comunicaciones móviles suele referirse cualquier sistema de telecomunicación que utiliza comunicaciones inalámbricas cuando los usuarios se desplazan por el interior del área de servicio del sistema. Un ejemplo típico de un sistema de comunicaciones móviles es una red pública móvil terrestre PLMN. La red de comunicaciones móviles suele ser una red de acceso que facilita al usuario el acceso inalámbrico a redes, anfitrión o servicios externos ofrecidos por productores de servicio específicos.
Uno de los principales objetivos perseguidos con el desarrollo de los sistemas de comunicaciones móviles ha sido ofrecer la oportunidad de utilizar los servicios IP a través de la red de comunicaciones móviles, de forma que la estación móvil pueda también funcionar como anfitrión (host). Esto es posible en un servicio general de radio por paquetes GPRS, por ejemplo. El servicio GPRS permite la transmisión de datos por paquetes entre terminales de datos móviles y redes de datos externas dentro del sistema GSM. Para el envío y la recepción de datos GPRS, una estación móvil tiene que activar la dirección de datos por paquetes que desea utilizar solicitando un procedimiento de activación PDP (Protocolo de Datos por Paquetes). Esta operación permite que la estación móvil sea conocida por el correspondiente nodo de soporte de pasarela, y de este modo, puede iniciarse la interconexión con las redes de datos externas utilizando la dirección de datos por paquetes activada. También se están diseñando soluciones similares para los "sistemas de comunicaciones móviles de tercera generación", como el UMTS (Sistema Universal de radiocomunicación móvil, Universal Mobile Tele-communications System) y el IMT-2000 (Telecomunicaciones móviles internacionales [International Mobile Telecommunications] 2000).
Especialmente, en el caso de redes IP, la simulación de identidad, es decir, el falseamiento de la dirección de origen de un paquete de datos IP, resulta muy sencillo. Dicho de otro modo, el anfitrión que transmite el paquete IP puede pretender ser cualquier otro, y enviar paquetes en nombre de A a B, que a su vez, envía una respuesta a A. En este caso, se interferirá tanto a A como a B. Una solución a este problema consiste en la utilización de cortafuegos. En estos, no obstante, el usuario no es autentificado, sino que tan sólo se supervisan las direcciones de origen y destino. En un cortafuego, las direcciones de origen suelen describirse con la precisión de una subred. En consecuencia, el cortafuego no es capaz de conocer el remitente real del paquete, y los anfitriones de la misma subred pueden representarse a sí mismos como otros distintos. Dado que las direcciones de origen autorizadas en el cortafuego deben ser conocidas de antemano, y que la estación móvil debe ser capaz de desplazarse desde el área de un cortafuego al área de otro sin modificar su dirección IP, las direcciones de origen autorizadas de los cortafuegos abarcan, en la práctica, a todas las estaciones móviles que son capaces de acceder a una subred protegida por el cortafuego. El problema causado por esto es que la dirección origen del paquete IP no es fiable, y para impedir la simulación de identidad, el anfitrión móvil debe autentificarse por separado. La prevención de la simulación de identidad resulta especialmente importante cuando se utilizan los servicios IP para los que se ha cargado el anfitrión. No obstante, un procedimiento de autentificación fiable puede aumentar los retardos en la red, o desperdiciar recursos limitados, es decir, el interfaz hertziano, en el caso de redes de comunicación móvil.
En el documento WO 9948303 se facilita un método para bloqueo de ataques contra una red privada. Se analizan los paquetes de datos entrantes, bloqueándose los paquetes procedentes de fuentes maliciosas o de fuentes que tienen una dirección de origen que concuerda con una dirección interna de la red privada.
Breve descripción de la invención
El objeto de la invención consiste en facilitar un método y un dispositivo que lleve a cabo dicho método, de forma que el receptor de un paquete de datos pueda confiar en el hecho de que la dirección de origen del paquete de datos indica el remitente real del paquete.
Los objetivos de la invención se logran mediante un método de prevención de la simulación de identidad en un sistema de telecomunicación que comprende un terminal capaz de transmitir paquetes de datos y, al menos, un nodo para recibir y enviar paquetes de datos en un primer subsistema. El método incluye las siguientes etapas: activación en el primer subsistema de una dirección de datos por paquetes correspondiente al terminal, para la transmisión de paquetes de datos entre el terminal y un segundo subsistema; el almacenamiento de la dirección de datos por paquetes en, al menos, un nodo del primer subsistema a través del cual se encaminan los paquetes de datos de la dirección de datos por paquetes; la recepción en dicho nodo del paquete enviado desde el terminal, incluyendo el paquete una dirección de destino y una dirección de origen; la verificación en dicho nodo de si la dirección de origen del paquete es la misma que la dirección de datos por paquetes; y la transmisión del paquete desde el nodo hacia la dirección de destino, tan sólo cuando las direcciones son idénticas.
La invención hace asimismo referencia a un método para prevenir la simulación de identidad en un sistema de telecomunicación, que comprende un terminal capaz de transmitir paquetes de datos y, al menos, un nodo para la recepción y el envío de paquetes de datos en un primer subsistema, incluyendo dicho método las siguientes etapas: activación en el primer subsistema de una dirección de datos por paquetes correspondiente al terminal, para la transmisión de paquetes de datos entre el terminal y un segundo subsistema; el almacenamiento de la dirección de datos por paquetes en, al menos, un nodo del primer subsistema a través del cual los paquetes de datos de la dirección de datos por paquetes, son encaminados; la recepción en dicho nodo del paquete enviado desde el terminal, incluyendo el paquete una dirección de destino y una dirección de origen; la definición de la dirección de datos por paquetes como un conjunto de direcciones de datos por paquetes autorizadas; la verificación en dicho nodo de si la dirección de origen del paquete pertenece al conjunto de direcciones de datos por paquetes autorizadas; y la transmisión del paquete desde el nodo hacia la dirección de destino, tan sólo cuando la dirección de origen del paquete pertenece al conjunto de direcciones de datos por paquetes autorizadas.
La invención se refiere también a un nodo de red de una red por paquetes para la transmisión de paquetes de datos desde un terminal de la red por paquetes hacia un receptor, estando previsto el nodo de red para activar al menos una dirección de datos por paquetes correspondiente al terminal, que dicho terminal pueda utilizar cuando transmite paquetes de datos, y para adjuntar un paquete recibido del terminal a la dirección de datos por paquetes utilizada por el terminal. El nodo de red está caracterizado porque la dirección de datos por paquetes se define como un conjunto de direcciones de datos por paquetes autorizadas; y en respuesta a la recepción de un paquete, el nodo de red está previsto para verificar si la dirección de origen del paquete pertenece al conjunto de direcciones de datos por paquetes autorizadas de la dirección de datos por paquetes utilizada por el terminal, y para enviar el paquete desde el nodo de la red hacia la dirección de destino del paquete tan sólo cuando la dirección de origen pertenece al conjunto de direcciones de datos por paquetes autorizadas.
La invención se basa en la idea de que, gracias a la dirección de datos por paquetes activada para la transmisión de paquetes de datos, un nodo de soporte de pasarela GGSN, por ejemplo, conoce la dirección de datos por paquetes de la estación móvil que ha enviado el paquete de datos. Por lo tanto, el nodo de soporte de pasarela GGSN sólo tiene que comparar la dirección de origen del paquete de datos con la dirección de datos por paquetes utilizada por la estación móvil. Si las direcciones son idénticas, la dirección no ha sido falsificada, y el paquete se puede enviar a la dirección de destino.
Una de las ventajas de la invención consiste en que su realización es muy sencilla, y sin embargo, permite prevenir la simulación de identidad. Por ejemplo, el receptor de un paquete IP puede confiar en el hecho de que la dirección de origen del paquete IP autentifica al remitente del paquete IP. No es necesario ningún mecanismo de autentificación adicional, y en consecuencia, no se carga la red, lo que permite reducir al mínimo el retardo. La invención también facilita la implementación de servicios sujetos a una tarifa, dado que el productor del servicio puede confiar en el hecho de que la dirección de origen del paquete de datos indica el usuario al que ha de cobrarse el servicio.
En una realización preferida de la invención, la verificación se lleva a cabo en el nodo de soporte de pasarela. Una ventaja de esta realización es que el mecanismo de verificación se añade a los elementos cuyo número es pequeño en la red.
En otra realización preferida de la invención, la verificación se lleva a cabo en uno de los nodos de los extremos de la red de radio por paquetes que atiende a la estación móvil. Una ventaja de esta realización es que la verificación no se lleva a cabo en vano para los paquetes cuya dirección de origen no puede ser falsificada.
En las reivindicaciones dependientes adjuntas se describen realizaciones preferidas del método y del nodo de red de la invención.
Breve descripción de los dibujos
La invención se describirá en mayor detalle mediante sus realizaciones preferidas, haciendo referencia a las ilustraciones adjuntas, en las cuales:
La Figura 1 es un diagrama de bloques que muestra la arquitectura de red de un servicio GPRS, y
La Figura 2 es un organigrama que muestra el funcionamiento de acuerdo con la invención.
Descripción detallada de la invención
La presente invención es aplicable a cualquier sistema conmutado por paquetes en el cual se activa una dirección de datos por paquetes individual, como en el caso del sistema GPRS, antes de que pueda utilizarse y en la infraestructura de la red cuya información se mantiene en la dirección activa de datos por paquetes del usuario. Estos sistemas incluyen los "sistemas de comunicación móvil de tercera generación", tal como el Sistema Universal de Telecomunicación móvil (UMTS) y el IMT-2000 (International Mobile Telecommunications 2000), los sistemas de comunicación móvil correspondientes al sistema GSM, como el DCS 1800 (Sistema digital celular para 188 MHz) y PCS (Sistema de comunicación personal), así como sistemas WLL basados en los sistemas precedentes y que implementan una radiocomunicación por paquetes tipo GPRS. Además, la invención puede aplicarse a sistemas distintos de los sistemas de comunicaciones móviles, como las redes por módem vía cable y otros sistemas fijos similares. La invención se describirá en los siguientes párrafos utilizando como ejemplo el servicio GPRS del sistema GPS, pero la invención no se limita a dicho sistema. Las definiciones de los sistemas de comunicaciones móviles cambian con rapidez, lo que puede precisar la introducción de cambios adicionales en la invención. Por este motivo, todos los términos y expresiones deberían interpretarse de forma amplia, y también debería tenerse en cuenta que sólo pretenden describir la invención, y no limitarla.
La figura 1 muestra la arquitectura de red de un servicio GPRS a nivel general, debido a que una estructura más detallada de la red carece de importancia para la invención. La estructura y funcionamiento del sistema GSM resultarán muy familiares para cualquier persona versada en la materia. La estructura del servicio GPRS se define, por ejemplo, en la especificación ETSI 03.60, versión 6.0.0 (Sistema de telecomunicación celular digital (etapa 2+); Servicio general de radiocomunicación por paquetes (GPRS); descripción servicio, estado 2), que se incorpora al presente documento por referencia. El servicio GPRS incluye una red de acceso que facilita acceso vía radio y se representa mediante el subsistema de estación base BSS del sistema GSM de la figura 1. El servicio GPRS también incluye, como nodos de extremos, nodos de soporte del servicio GPRS para la transmisión de datos conmutada por paquetes entre una red de datos por paquetes PDN y una estación móvil MS. Los nodos de soporte incluyen un nodo de soporte GPRS de servicio SGSN y un nodo de soporte GPRS de pasarela GGSN. Estos nodos de soporte SGSN y GGSN están interconectados por una red dorsal 1. Cabe señalar que las funciones del SGSN y del GGSN pueden también combinarse físicamente en el mismo nodo de red, en cuyo caso resulta innecesaria la red dorsal del operador. Lógicamente, los nodos son, sin embargo, nodos independientes.
El nodo de soporte GPRS de servicio SGSN presta servicio a la estación móvil MS. Cada nodo de soporte SGSN produce un servicio de datos por paquetes para los terminales de datos móviles, es decir, estaciones móviles MS que se encuentran situadas en el interior del área de una o más células de una red celular de radio por paquetes. A estos efectos, cada nodo de soporte SGSN suele estar conectado al sistema de comunicaciones móviles GSM (y normalmente, al controlador de la estación base en el subsistema de estación base BSS) de forma que la red de comunicaciones móviles intermedia proporciona acceso vía radio y transmisión de datos conmutados por paquetes entre el SGSN y las estaciones móviles. Dicho de otro modo, la estación móvil MS de una célula se comunica con una estación base a través del interfaz radio, así como, adicionalmente, a través del subsistema de la estación base, con el nodo de soporte SGSN del área de servicio a la cual pertenece la célula. Las principales funciones del nodo SGSN consisten en la detección de nuevas estaciones móviles GPRS de su área de servicio, en llevar a cabo el registro de nuevas estaciones móviles MS junto con registros GPRS, en el envío de paquetes de datos a, o su recepción desde la estación móvil GPRS y en el mantenimiento de un archivo en el emplazamiento de la estación móvil MS situada dentro de su área de servicio. Esto significa que el SGSN lleva a cabo funciones de seguridad y controles de acceso, como procedimientos de autentificación y cifrado. Mediante la utilización de un túnel único, el SGSN encamina un paquete recibido desde la estación móvil en formato encapsulado a través de la red dorsal GPRS hacia el nodo GGSN donde se activa la dirección de datos por paquetes.
Los nodos de soporte de pasarela GPRS GGSN conectan la red GPRS del operador a sistemas externos, redes de datos, como una red IP (Internet) o una red X.25 y a servidores 2. El GGSN también puede conectarse directamente a una red o anfitrión de una empresa privada. En el ejemplo de la figura 1, el GGSN está conectado a los servidores 2 a través de una red IP fiable 3, y a la red Internet 4 a través de un cortafuego FW. El GGSN incluye direcciones PDP de abonado GPRS e información de encaminamiento, es decir, las direcciones SGSN. El GGSN actualiza el archivo de localización utilizando la información de encaminado generada por los nodos SGSN en la ruta de la estación móvil MS. El GGSN funciona como un encaminador entre una dirección externa y la información interna de encaminado (por ejemplo, SGSN). Dicho de otro modo, el GGSN encamina un paquete de protocolo de una red de datos externos en forma encapsulada a través de la red dorsal GPRS hacia el nodo SGSN que en ese momento dado está prestando servicio a la estación móvil MS. También desencapsula el paquete enviado desde la estación móvil y transmite los paquetes de la red de datos externa a la red de datos en cuestión. El GGSN también puede transmitir paquetes desde una estación móvil a otra dentro de la red. Asimismo, el GGSN es el responsable de la facturación del tráfico de datos.
La estación móvil MS puede ser cualquier nodo móvil que soporte la transmisión de datos por paquetes y cuente con un interfaz de radio con la red. Puede ser, por ejemplo, un PC portátil conectado a un teléfono celular capaz de operar por radio por paquetes, o una combinación integrada de un pequeño ordenador y de un teléfono de radio por paquetes. Las demás realizaciones de la estación móvil MS incluyen diversas radio-búsquedas, mandos a distancia, dispositivos de supervisión y/o adquisición de datos, etc. La estación móvil también puede ser denominada como nodo móvil o anfitrión móvil.
Para acceder a los servicios GPRS, la estación móvil tiene en primer lugar que dar a conocer su presencia a la red llevando a cabo una operación de conexión GPRS. Esta operación establece un enlace lógico entre la estación móvil MS y el nodo SGSN, y pone la estación móvil disponible para un mensaje corto a través de GPRS, o un mensaje similar transmitido sin conexión, con llamada a través del SGSN y con notificación de los datos GPRS entrantes. Para decirlo con mayor precisión, cuando la estación móvil MS se conecta a la red GPRS (en un procedimiento de conexión GPRS), el SGSN crea un contexto de gestión de la movilidad (contexto MM) y se establece un enlace lógico LLC (Control de enlace lógico) entre la estación móvil MS y el nodo SGSN en una capa de protocolo. El contexto MM se almacena en el nodo SGSN y en la estación móvil MS. El contexto MM del nodo SGSN puede contener datos de abonado, como el IMSI del abonado, el TLLI (Identificador de enlace lógico temporal) e información de ubicación y encaminado, etc.
Para el envío y la recepción de datos GPRS, la estación móvil MS tiene que activar la dirección PDP, es decir, la dirección de datos por paquetes que desea utilizar, solicitando un procedimiento de activación PDP. El contexto PDP puede activarse cuando la estación móvil se conecta a la red GPRS. Alternativamente, la estación móvil puede activar el contexto PDP posteriormente, o la activación puede llevarse a cabo como resultado de una solicitud de activación recibida de la red GPRS (activación de contexto PDP solicitada por la red GPRS). El interfaz GPRS incluye uno o más contextos individuales PDP que describen la dirección de datos por paquetes y los parámetros con ella relacionados. Para ser más exactos, el contexto PDP define diferentes parámetros de transmisión de datos, como el tipo de PDP (por ejemplo, X.25 o IP), la dirección PDP (por ejemplo, la dirección IP), la calidad del servicio, QoS y el NSAPI (Identificador del Punto de Acceso al Servicio de Red). Una estación móvil puede tener diversas direcciones PDP similares, por ejemplo, diferentes direcciones IP como direcciones PDP (es decir, la estación móvil cuenta con diversos contextos tipo IP). Por ejemplo, pueden utilizarse diferentes direcciones IP, es decir, contextos, para servicios de diferente calidad y precio, transmitidos utilizando el protocolo IP. La dirección de datos por paquetes del contexto PDP puede ser permanente (es decir, definida en los datos de abonado que figuran en el registro de localización de abonados) o dinámica, en cuyo caso el GGSN asigna la dirección de datos por paquetes durante el procedimiento de activación PDP. El procedimiento de activación PDP activa el contexto PDP y da a conocer la estación móvil MS en el nodo GGSN correspondiente, y en consecuencia, inicia la interconexión con la red de datos externa. Durante la activación del contexto PDP se crea el contexto PDP en la estación móvil y en los nodos GGSN y SGSN. Cuando se activa el contexto PDP, el usuario se autentifica mediante procedimientos GSM, y de este modo la dirección de datos por paquetes, facilitada al terminal, por ejemplo, la dirección IP, en la activación del contexto PDP puede conectarse con fiabilidad al código de identificación del usuario, por ejemplo, IMSI (Identidad de abonado móvil internacional).
El contexto PDP se crea, y los paquetes se tunelizan, utilizando un protocolo GTP (protocolo de tunelización GPRS). La estación móvil MS activa el contexto PDP con un mensaje específico, la solicitud de activación del contexto PDP mediante el cual la estación móvil proporciona información sobre el TLLI, el tipo de PDP, la QoS solicitada y el NSAPI, y opcionalmente sobre la dirección PDP y el nombre del punto de acceso APN. El SGSN envía un mensaje "Contexto PDP creado" al nodo GGSN el cual crea el contexto PDP y lo envía al nodo SGSN. Si el mensaje "petición contexto PDP activada" (y el mensaje "contexto PDP creado") no incluye la dirección PDP, el GGSN asignará la dirección PDP durante la creación del contexto PDP e incluirá una dirección PDP dinámica en el contexto PDP que va a ser enviado al SGSN. El SGSN envía el contexto PDP a la estación móvil MS en un mensaje "respuesta contexto PDP activada". El contexto PDP se almacena en la estación móvil MS, en el nodo SGSN y en el nodo GGSN. En el nodo SGSN de servicio, cada contexto PDP se almacena conjuntamente con el contexto MM. Cuando el MS se desplaza al área de un nuevo nodo SGSN, el nuevo SGSN solicita el contexto MM y los contextos PDP al antiguo nodo SGSM.
De este modo, en el procedimiento de activación del contexto PDP se establece una conexión virtual o enlace entre la estación móvil MS y el nodo GGSN. Al mismo tiempo, se forma un túnel único entre el GGSN y el SGSN para este contexto PDP y esta dirección de datos por paquetes. El túnel es una ruta que sigue el paquete IP y mediante el cual un paquete transmitido desde la estación móvil se conecta a un determinado contexto PDP y a determinadas direcciones de datos por paquetes del GGSN. Dicho de otro modo, el túnel se utiliza para identificar la dirección de datos por paquetes utilizada por la estación móvil al enviar el paquete. El paquete se conecta a un cierto contexto PDP bien mediante un TID (Identificador de Túnel) o mediante un identificador de final de túnel cuando se utiliza el protocolo GTP. El TID contiene un NSAPI y un IMSI. Durante el procedimiento de activación del contexto PDP, el GGSN puede asignar el identificador de final de túnel que va a utilizarse para que señale al contexto PDP.
La figura 2 es un organigrama que muestra el funcionamiento de acuerdo con una primera realización preferida de la invención en el nodo de soporte de pasarela GGSN. En la primera realización preferida de la invención, la dirección de origen incluida en el paquete se compara con la dirección de datos por paquetes activada tan sólo en los contextos PDP cuyo tipo permite la simulación de identidad. Entre estos se incluyen los contextos tipo IP y las direcciones de datos por paquetes. Estos tipos (o tipo) se definen en el nodo que realiza la verificación. En el ejemplo de la figura 2, se asume que la simulación de identidad es posible tan sólo con direcciones IP y que no tiene éxito con otros tipos de direcciones de datos por paquetes. También se supone que la estación móvil ha activado el contexto PDP utilizado por ella, es decir ha asumido una dirección IP, por ejemplo, y envía un paquete IP, por ejemplo al servidor 1 mostrado en la figura 1 o a Internet 4. También se supone que se utiliza el TID para identificar el túnel.
Haciendo referencia a la figura 2, en la etapa 200, el GGSN recibe un paquete utilizando un túnel único, los desencapsula en la etapa 201 y extrae el identificador de túnel TIP en la etapa 202. En la etapa 203, el GGSN recupera, mediante el TID, la información de contexto PDP del contexto PDP correspondiente al TID. La información incluye la dirección de datos por paquetes, es decir la dirección PDP que en este ejemplo está representada por una dirección IP. A continuación, en la etapa 204, el GGSN comprueba si el contexto PDP (es decir, la dirección de datos por paquetes) correspondiente al túnel es del tipo IP. De ser así, el GGSN extrae la dirección de origen facilitada en el título del paquete en la etapa 205. Cuando el GGSN conoce ambas direcciones, las compara en la etapa 206. Si la dirección de origen es la misma que la dirección PDP del contexto PDP, la estación móvil será la que pretenda encontrarse en el paquete IP y, en consecuencia, el GGSN envía el paquete en la etapa 207. Si la dirección de origen es diferente de la dirección PDP, la estación móvil pretenderá ser otra estación móvil y, por lo tanto, el GGSN rechaza el paquete en la etapa 208. En este caso, rechazo significa que el paquete no se envía a la dirección de destino.
Lo que sucede con el paquete tras su rechazo depende de las definiciones del operador y no tiene importancia para la invención. Por ejemplo, el usuario y el terminal pueden recibir una notificación de que la dirección de origen no es la que debería ser utilizando la señalización de planos de control. El GGSN, por ejemplo, puede también enviar un mensaje de alarma al centro de mantenimiento y operaciones de la red del operador. También es posible efectuar una entrada que contenga la información de contexto PDP y la información del paquete en el archivo del registro de errores. El contenido del paquete rechazado también puede incluirse en el archivo de registro de errores. Además, otra posible opción para notificar al usuario y al terminal la falsa dirección de origen consiste en desactivar el contexto PDP utilizado para enviar el paquete fraudulento. El contexto PDP se desactiva en el GGSN, SGSN y MS, por ejemplo de forma que el GGSN solicite al SGSN la desactivación del contexto PDP (o si se trata del SGSN el que rechaza el paquete, el SGSN enviará la solicitud de desactivación al GGSN) y el SGSN solicita a la MS la desactivación del contexto PDP. Los mensajes de solicitud de desactivación incluyen preferiblemente, como código de causa, un código de desactivación específico que indica que la MS o una aplicación asociada a la MS han utilizado una dirección de origen falsa o fraudulenta. Como resulta del código de causa específico se notifica al usuario el intento de utilización de la dirección de origen falsa. El principal motivo para utilizar esta notificación es disuadir al usuario de que lleve a cabo el engaño o notificar al usuario la existencia de una aplicación que utiliza la dirección de origen falsa. Preferiblemente, la notificación dirigida al usuario final es un mensaje de texto o una ventana de mensaje que identifique la aplicación que ha tratado de transmitir datos con la falsa dirección de origen. Las acciones descritas anteriormente también pueden llevarse a cabo tan sólo después de haber rechazado un número predeterminado de paquetes fraudulentos. Cuando se notifica a la MS la utilización de la dirección de origen falsa, el mensaje enviado, por ejemplo, por el GGSN a la MS y/o al centro de mantenimiento y de red del operador, puede incluir preferiblemente determinada información en las cabeceras de protocolo de capa superior (por ejemplo TCP o UDP) del paquete que tenía la dirección de origen falsa. Esto facilita el descubrimiento de la aplicación fraudulenta y la finalidad de la misma. Los mensajes pueden también incluir todo el contenido del paquete o paquetes rechazados. El flujo de paquetes de paquetes rechazados puede incluso enviarse a un nodo externo, como el centro de mantenimiento y operaciones de red del operador.
Si en la etapa 204 se observa que el PDP no es del tipo IP, el GGSN pasará directamente a la etapa 207 y enviará el paquete.
La finalidad de la verificación de la etapa 206 consiste en asegurarse de que tan sólo aquellos paquetes cuyo remitente no ha pretendido ser cualquier otro se envíen a redes externas mediante el GGSN. Basta tan sólo con una sencilla verificación para autentificar al usuario de acuerdo con la invención, y no es necesaria la señalización de autentificación.
En otra realización preferida de la invención, la verificación de la etapa 206 se lleva a cabo en el SGSN y se omite la etapa 201 debido a que el paquete recibido desde la estación móvil no está encapsulado. En la otra realización preferida, en la etapa 202, el SGSN extrae el TLLI y el NSAPI del paquete que ha recibido de la estación móvil en lugar del TID. El TLLI identifica inequívocamente la MS y, de este modo, el IMSI dentro del área de encaminado. El NSAPI identifica el contexto PDP utilizado por la MS con este paquete. Mediante la utilización del TLLI y del NSAPI, el SGSN recupera la información de contexto PDP. En la otra realización preferida, el TID (o cualquiera otra información similar que identifique el contexto PDP) se añade al paquete, y el paquete se encapsula antes de pasar a la etapa 207, es decir antes de que se envíe el paquete al GGSN.
En el futuro, un espacio de dirección de direcciones PDP podría estar relacionado con un contexto PDP o con la correspondiente definición de conexión. El espacio de dirección puede ser una lista de direcciones PDP autorizadas, por ejemplo. En este caso, basta con que la dirección de origen incluida en el paquete se encuentre entre las direcciones autorizadas. Igualmente, en el futuro, la información de contexto PDP puede especificar la dirección PDP autorizada como un conjunto de direcciones autorizadas (es decir, espacio de dirección) definiendo parte de la dirección PDP autorizada. En este caso, la dirección de origen del paquete debe incluir la parte definida de la dirección, es decir la dirección de origen debe pertenecer al conjunto de direcciones autorizadas. El espacio de dirección puede también definirse utilizando los dos métodos descritos anteriormente. Igualmente, el espacio de dirección puede definirse de cualquier otra forma.
En las realizaciones en las que se definen varios tipos de dirección de datos por paquetes que permiten la simulación de identidad, se comprueba en la etapa 204 si la dirección de datos por paquetes utilizada en el paquete es una de ellas. En este caso, se continuará a partir de la etapa 205. De lo contrario se pasará a la etapa 207.
En algunas realizaciones preferidas de la invención, la dirección de origen incluida en el paquete se compara con la dirección de datos por paquetes activada, independientemente del tipo de datos por paquetes activada. En este caso, no se lleva a cabo la verificación de la etapa 204, sino que se lleva a cabo con cada paquete la verificación de la etapa 206.
El orden de etapas mostrado en la figura 2 puede ser diferente del descrito anteriormente y las etapas también pueden llevarse a cabo simultáneamente. Por ejemplo, la etapa 204 puede realizarse antes de la etapa 201 y la etapa 203 simultáneamente con la etapa 205. Entre etapas es posible llevar a cabo etapas no mostradas en la figura. En algunas realizaciones, pueden omitirse las etapas 201 y/o 204. En la etapa 202, puede extraerse cualquier otra información que identifique el contexto PDP en lugar de extraer el TID.
Además de los medios necesarios para llevar a cabo el servicio de acuerdo con la técnica actual, el sistema de telecomunicación, la red de telecomunicaciones y el nodo de red que lleva a cabo la funcionalidad de acuerdo con la presente invención incluyen medios para comparar la dirección incluida en el paquete con la dirección o direcciones activadas, es decir autorizadas, para el remitente del paquete. Los nodos de red existentes incluyen procesadores y memorias que pueden utilizarse en las funciones de acuerdo con la invención. Todos los cambios necesarios para ejecutar la invención pueden llevarse a cabo como rutinas de software adicionales o actualizadas y/o mediante circuitos de aplicación (ASIC).
Aun cuando se ha explicado anteriormente que el elemento final de la red (SGSN o GGSN) autentifica al abonado, la invención no está limitada a los elementos finales. La verificación también puede ser llevada a cabo por otro nodo de red en el cual se almacene la información sobre la dirección necesaria para la verificación.
Debe entenderse que los términos citados anteriormente "protocolo de datos por paquetes o PDP" o "contexto PDP" suelen hacer referencia a un estado del terminal (por ejemplo, en una estación móvil) y al menos a un elemento o función de red. El estado genera una vía de transmisión, es decir un túnel, que cuenta con un número específico de parámetros para paquetes de datos a través de la red utilizada por el terminal (por ejemplo, una red de comunicación móvil). El término "nodo" utilizado en esta especificación debería interpretarse como un término que, en general, hace referencia a un elemento o función de red que procesa los paquetes de datos transmitidos a través del túnel PDP.
Debe entenderse que la descripción que antecede y las figuras relacionadas con ella tan sólo pretenden ilustrar la presente invención. Debe ser evidente para cualquier persona versada en la materia que la invención puede modificarse de diversas formas sin apartarse del alcance de la invención descrita en las reivindicaciones adjuntas.

Claims (12)

1. Método para impedir la simulación de identidad en un sistema de telecomunicación que comprende un terminal capaz de transmitir paquetes de datos y, al menos, un nodo para recibir y enviar paquetes datos en un primer subsistema, incluyendo dicho método las siguientes etapas:
activar, en el primer subsistema, una dirección de datos por paquetes para el terminal destinada a transmitir paquetes de datos entre el terminal y un segundo subsistema;
almacenar la dirección de datos por paquetes en, al menos, un nodo del primer subsistema a través del cual, los paquetes de datos de la dirección de datos por paquetes son encaminados;
recibir en dicho nodo el paquete enviado desde el terminal, incluyendo el paquete una dirección de destino y una dirección de origen;
caracterizado por:
verificar (206) en dicho nodo si la dirección de origen del paquete es la misma que la dirección de datos por paquetes; y
transmitir (207) el paquete desde el nodo hacia la dirección de destino tan sólo cuando las direcciones son idénticas.
2. Método para impedir la simulación de identidad en un sistema de telecomunicación que comprende un terminal capaz de transmitir paquetes de datos y, al menos, un nodo para recibir y enviar paquetes de datos en un primer subsistema, incluyendo dicho método las siguientes etapas:
activar, en el primer subsistema, una dirección de datos por paquetes para el terminal destinada a transmitir paquetes de datos entre el terminal y un segundo subsistema;
almacenar la dirección de datos por paquetes en, al menos, un nodo del primer subsistema a través del cual los paquetes de datos de la dirección de datos por paquetes, son encaminados;
recibir en dicho nodo el paquete enviado desde el terminal, incluyendo el paquete una dirección de destino y una dirección de origen;
caracterizado por:
definir la dirección de datos por paquetes como un conjunto de direcciones de datos por paquetes autorizadas;
verificar (206) en dicho nodo, sí la dirección de origen del paquete pertenece al conjunto de direcciones de datos por paquetes autorizadas; y
transmitir (207) el paquete desde el nodo hacia la dirección de destino, tan sólo cuando la dirección de origen del paquete pertenece al conjunto de direcciones de datos por paquetes autorizadas.
3. Método de acuerdo con la reivindicación 1 o 2, caracterizado porque dicho nodo es el nodo de soporte de pasarela del primer subsistema que encamina los paquetes de datos desde el terminal al segundo subsistema.
4. Método de acuerdo con la reivindicación 1 o 2, caracterizado porque dicho nodo es un nodo de soporte que atiende a la estación móvil y encamina el paquete recibido desde el terminal en el primer subsistema.
5. Método de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque el primer subsistema es una red de radio por paquetes que utiliza un protocolo GTP y en la cual la dirección de datos por paquetes se activa mediante la activación del contexto PDP correspondiente.
6. Método de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque el método que comprende adicionalmente las siguientes etapas:
mantener información sobre los primeros tipos de direcciones de datos por paquetes en dicho nodo, incluyendo la información al menos un tipo de dirección de datos por paquetes en el cual se realiza dicha verificación; y
realizar dicha verificación tan sólo cuando la dirección de datos por paquetes pertenece al primer tipo de direcciones de datos por paquetes.
7. Método de acuerdo con la reivindicación 6, caracterizado porque el primer tipo de direcciones de datos por paquetes incluye al menos una dirección IP de acuerdo con el protocolo de Internet.
8. Nodo de red (SGSN, GGSN) de una red por paquetes para transmitir paquetes de datos desde un terminal (MS) de la red por paquetes hacia un receptor (2, 4), estando previsto el nodo de red (SGSN, GGSN) para activar al menos una dirección de datos por paquetes para el terminal, que el terminal puede utilizar cuando transmita paquetes de datos, y para adjuntar un paquete recibido desde el terminal a la dirección de datos por paquetes utilizada por el terminal, caracterizado porque
en respuesta a la recepción de un paquete, el nodo de red (SGSN, GGSN) está previsto para comparar la dirección de origen del paquete con la dirección de datos por paquetes utilizada por el terminal, y para enviar el paquete desde el nodo de red hacia la dirección de destino del paquete tan sólo cuando las direcciones son idénticas.
9. Nodo de red (SGSN, GGSN) de una red por paquetes para transmitir paquetes de datos desde un terminal (MS) de la red por paquetes hacia un receptor (2, 4), estando el nodo de red (SGSN, GGSN) previsto para activar al menos una dirección de datos por paquetes para el terminal, que pueda utilizar el terminal cuando transmita paquetes de datos, y para adjuntar un paquete recibido desde el terminal a la dirección de datos por paquetes utilizada por el terminal, caracterizado porque
la dirección de datos por paquetes se define como un conjunto de direcciones de datos por paquetes autorizadas; y
en respuesta a la recepción de un paquete, el nodo de red (SGSN, GGSN) está previsto para verificar, sí la dirección de origen del paquete pertenece al conjunto de direcciones de datos por paquetes autorizadas de la dirección de datos por paquetes utilizada por el terminal, y para enviar el paquete desde el nodo de red hacia la dirección de destino del paquete tan sólo cuando la dirección de origen pertenece al conjunto de direcciones de datos por paquetes autorizadas.
10. Nodo de red de acuerdo con la reivindicación 8 o 9, caracterizado porque el nodo de red (SGSN, GGSN) está previsto para mantener información sobre los primeros tipos de direcciones de datos por paquetes en los cuales se lleva a cabo dicha verificación, y para realizar la verificación tan sólo cuando la dirección de datos por paquetes utilizada por el terminal es del primer tipo de direcciones de datos por paquetes.
11. Nodo de red de acuerdo con las reivindicaciones 8, 9 o 10, caracterizado porque el nodo de red es un nodo de soporte de pasarela (GGSN) de una red de radio por paquetes (GPRS) que utiliza un protocolo GTP.
12. Nodo de red de acuerdo con las reivindicaciones 8, 9 o 10, caracterizado porque el nodo de red es un nodo de soporte (SGSN) que atiende al terminal en una red de radio por paquetes (GPRS) que utiliza un protocolo GTP.
ES00987534T 1999-12-22 2000-12-19 Prevencion de la simulacion de identidad en sistemas de telecomunicacion. Expired - Lifetime ES2258487T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992767 1999-12-22
FI992767A FI110975B (fi) 1999-12-22 1999-12-22 Huijaamisen estäminen tietoliikennejärjestelmissä

Publications (1)

Publication Number Publication Date
ES2258487T3 true ES2258487T3 (es) 2006-09-01

Family

ID=8555800

Family Applications (1)

Application Number Title Priority Date Filing Date
ES00987534T Expired - Lifetime ES2258487T3 (es) 1999-12-22 2000-12-19 Prevencion de la simulacion de identidad en sistemas de telecomunicacion.

Country Status (10)

Country Link
US (2) US7342926B2 (es)
EP (1) EP1240744B1 (es)
JP (2) JP2003518821A (es)
CN (2) CN100581099C (es)
AT (1) ATE319243T1 (es)
AU (1) AU2378301A (es)
DE (1) DE60026373T2 (es)
ES (1) ES2258487T3 (es)
FI (1) FI110975B (es)
WO (1) WO2001047179A1 (es)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US6834308B1 (en) 2000-02-17 2004-12-21 Audible Magic Corporation Method and apparatus for identifying media content presented on a media playing device
US7562012B1 (en) 2000-11-03 2009-07-14 Audible Magic Corporation Method and apparatus for creating a unique audio signature
WO2002082271A1 (en) 2001-04-05 2002-10-17 Audible Magic Corporation Copyright detection and protection system and method
US7529659B2 (en) 2005-09-28 2009-05-05 Audible Magic Corporation Method and apparatus for identifying an unknown work
US8972481B2 (en) 2001-07-20 2015-03-03 Audible Magic, Inc. Playlist generation method and apparatus
US20030126435A1 (en) * 2001-12-28 2003-07-03 Mizell Jerry L. Method, mobile telecommunication network, and node for authenticating an originator of a data transfer
US8432893B2 (en) * 2002-03-26 2013-04-30 Interdigital Technology Corporation RLAN wireless telecommunication system with RAN IP gateway and methods
TW574806B (en) * 2002-04-19 2004-02-01 Ind Tech Res Inst Packet delivery method of packet radio network
US7039404B2 (en) * 2002-06-27 2006-05-02 Intel Corporation Continuous mobility across wireless networks by integrating mobile IP and GPRS mobility agents
US7724711B2 (en) * 2002-08-05 2010-05-25 Nokia Corporation Method of speeding up the registration procedure in a cellular network
USRE45445E1 (en) 2002-11-06 2015-03-31 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for preventing illegitimate use of IP addresses
USRE47253E1 (en) 2002-11-06 2019-02-19 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for preventing illegitimate use of IP addresses
US8332326B2 (en) 2003-02-01 2012-12-11 Audible Magic Corporation Method and apparatus to identify a work received by a processing system
US7327746B1 (en) * 2003-08-08 2008-02-05 Cisco Technology, Inc. System and method for detecting and directing traffic in a network environment
DE102004004527B4 (de) * 2004-01-22 2006-04-20 Siemens Ag Verfahren zur Autorisationskontrolle einer Datenübertragung in einem Daten-Mobilfunknetz
US8126017B1 (en) * 2004-05-21 2012-02-28 At&T Intellectual Property Ii, L.P. Method for address translation in telecommunication features
US8130746B2 (en) * 2004-07-28 2012-03-06 Audible Magic Corporation System for distributing decoy content in a peer to peer network
KR100693046B1 (ko) * 2004-12-20 2007-03-12 삼성전자주식회사 동적 주소를 할당하고 그 동적 주소를 이용하여라우팅하는 네트워크 시스템 및 그 방법
US7974395B2 (en) * 2005-09-28 2011-07-05 Avaya Inc. Detection of telephone number spoofing
US8775586B2 (en) * 2005-09-29 2014-07-08 Avaya Inc. Granting privileges and sharing resources in a telecommunications system
KR100742362B1 (ko) 2005-10-04 2007-07-25 엘지전자 주식회사 이동통신 네트워크에서 콘텐츠를 안전하게 송수신하기 위한 방법 및 장치
KR100737599B1 (ko) * 2005-11-04 2007-07-10 현대자동차주식회사 펌핑레버와 일체로 형성된 리클라이너 레버
DE102006006953A1 (de) * 2006-02-14 2007-08-23 T-Mobile International Ag & Co. Kg Verfahren zur Gewährleistung von Dienstgüte in paketvermittelnden Mobilfunknetzen
US8804729B1 (en) * 2006-02-16 2014-08-12 Marvell Israel (M.I.S.L.) Ltd. IPv4, IPv6, and ARP spoofing protection method
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
US8438653B2 (en) * 2007-04-10 2013-05-07 Microsoft Corporation Strategies for controlling use of a resource that is shared between trusted and untrusted environments
US8006314B2 (en) 2007-07-27 2011-08-23 Audible Magic Corporation System for identifying content of digital data
WO2010045646A2 (en) * 2008-10-17 2010-04-22 Tekelec Methods, systems, and computer readable media for detection of an unautorized service message in a network
EP2178323B1 (en) * 2008-10-20 2012-12-12 Koninklijke KPN N.V. Protection of services in mobile network against CLI-spoofing
WO2010105099A2 (en) * 2009-03-11 2010-09-16 Tekelec Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions
US20100233992A1 (en) 2009-03-11 2010-09-16 Eloy Johan Lambertus Nooren Methods, systems, and computer readable media for short message service (sms) forwarding
US8199651B1 (en) 2009-03-16 2012-06-12 Audible Magic Corporation Method and system for modifying communication flows at a port level
CN101674312B (zh) * 2009-10-19 2012-12-19 中兴通讯股份有限公司 一种在网络传输中防止源地址欺骗的方法及装置
US9313238B2 (en) * 2011-12-26 2016-04-12 Vonage Network, Llc Systems and methods for communication setup via reconciliation of internet protocol addresses
KR101228089B1 (ko) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip 스푸핑 탐지 장치
US9081778B2 (en) 2012-09-25 2015-07-14 Audible Magic Corporation Using digital fingerprints to associate data with a work
US10148614B2 (en) * 2016-07-27 2018-12-04 Oracle International Corporation Methods, systems, and computer readable media for applying a subscriber based policy to a network service data flow
US10257591B2 (en) 2016-08-02 2019-04-09 Pindrop Security, Inc. Call classification through analysis of DTMF events
US10616200B2 (en) 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10931668B2 (en) 2018-06-29 2021-02-23 Oracle International Corporation Methods, systems, and computer readable media for network node validation
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
US10952063B2 (en) 2019-04-09 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening
US11356851B2 (en) 2019-12-03 2022-06-07 Harris Global Communications, Inc. Communications system having multiple carriers with selectively transmitted real information and fake information and associated methods
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
WO2021154600A1 (en) * 2020-01-27 2021-08-05 Pindrop Security, Inc. Robust spoofing detection system using deep residual neural networks
CA3171475A1 (en) 2020-03-05 2021-09-10 Pindrop Security, Inc. Systems and methods of speaker-independent embedding for identification and verification from audio
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2056262A1 (en) 1990-12-31 1992-07-01 William L. Aranguren Intrusion detection apparatus for local area network
JP2708976B2 (ja) 1991-06-06 1998-02-04 株式会社日立製作所 学習テーブル管理方式
JP3106000B2 (ja) 1992-05-18 2000-11-06 三菱電機株式会社 セキュリティ方式
JPH0637752A (ja) 1992-07-15 1994-02-10 Nec Corp 端末アダプタ
ATE227059T1 (de) 1994-02-22 2002-11-15 Advanced Micro Devices Inc Verfahren zur überwachung von adressen in einem netz mit relaisstationen
JPH09186A (ja) 1995-06-16 1997-01-07 Makoto Suzuki 米飯食品包装シート及び包装米飯食品
JPH09172450A (ja) 1995-12-19 1997-06-30 Fujitsu Ltd アドレスセキュリティ制御方式
JP3594391B2 (ja) 1995-12-28 2004-11-24 富士通株式会社 Lan集線装置
JP3688464B2 (ja) * 1997-05-06 2005-08-31 株式会社東芝 端末装置、サーバ装置、通信装置および制御方法
JP3009876B2 (ja) * 1997-08-12 2000-02-14 日本電信電話株式会社 パケット転送方法および該方法に用いる基地局
JP3480798B2 (ja) 1997-09-03 2003-12-22 日本電信電話株式会社 通信管理方法及びその装置
US6608832B2 (en) * 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
FI106509B (fi) * 1997-09-26 2001-02-15 Nokia Networks Oy Laillinen salakuuntelu tietoliikenneverkossa
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
FI106511B (fi) * 1998-02-10 2001-02-15 Nokia Networks Oy Signalointikuormituksen vähentäminen pakettiradioverkossa
US6137785A (en) * 1998-03-17 2000-10-24 New Jersey Institute Of Technology Wireless mobile station receiver structure with smart antenna
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
JP3278616B2 (ja) 1998-08-20 2002-04-30 日本電信電話株式会社 移動ユーザー収容装置
JP3278615B2 (ja) 1998-08-20 2002-04-30 日本電信電話株式会社 移動ユーザー収容装置
US6754214B1 (en) * 1999-07-19 2004-06-22 Dunti, Llc Communication network having packetized security codes and a system for detecting security breach locations within the network
US6675225B1 (en) * 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
JP4360336B2 (ja) 2005-03-25 2009-11-11 日立電線株式会社 リン銅ろうクラッド材の製造方法

Also Published As

Publication number Publication date
CN1413399A (zh) 2003-04-23
DE60026373D1 (de) 2006-04-27
JP2003518821A (ja) 2003-06-10
DE60026373T2 (de) 2006-08-03
ATE319243T1 (de) 2006-03-15
US7801106B2 (en) 2010-09-21
CN100431296C (zh) 2008-11-05
JP2007259507A (ja) 2007-10-04
EP1240744A1 (en) 2002-09-18
AU2378301A (en) 2001-07-03
WO2001047179A1 (en) 2001-06-28
FI19992767A (fi) 2001-06-23
US20070297413A1 (en) 2007-12-27
CN100581099C (zh) 2010-01-13
FI110975B (fi) 2003-04-30
CN1983922A (zh) 2007-06-20
US20020181448A1 (en) 2002-12-05
US7342926B2 (en) 2008-03-11
EP1240744B1 (en) 2006-03-01

Similar Documents

Publication Publication Date Title
ES2258487T3 (es) Prevencion de la simulacion de identidad en sistemas de telecomunicacion.
ES2392037T3 (es) Pasarela de número de itinerancia IP
KR101262405B1 (ko) 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치
FI111788B (fi) Menetelmä yksityisyyden tuottamiseksi tietoliikenneverkossa
ES2258134T3 (es) Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones.
KR101170191B1 (ko) 비승인 모바일 액세스 시그널링에 대한 개선된 가입자 인증
US7088989B2 (en) Mobile user location privacy solution based on the use of multiple identities
US6728536B1 (en) Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks
ES2574986T3 (es) Red de telecomunicaciones
ES2264756T3 (es) Comunicacion entre una red privada y un terminal movil itinerante.
FI102936B (fi) Pakettimuotoisen lähetyksen turvallisuuden parantaminen matkaviestinjä rjestelmässä
US20020032853A1 (en) Secure dynamic link allocation system for mobile data communication
EP1188287B1 (en) Determination of the position of a mobile terminal
ES2274773T3 (es) Sistema integrado de telefonia ip y de comunicacion celular y procedimiento de funcionamiento.
ES2404045T3 (es) Manejo del tipo de usuario en una red de acceso inalámbrica
ES2649551T3 (es) Procedimiento para retransmitir mensajes de emergencia de un aparato terminal en una red de comunicaciones
ES2368645T3 (es) Método de comunicación para servicios móviles.