KR101262405B1 - 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치 - Google Patents

인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치 Download PDF

Info

Publication number
KR101262405B1
KR101262405B1 KR1020077017823A KR20077017823A KR101262405B1 KR 101262405 B1 KR101262405 B1 KR 101262405B1 KR 1020077017823 A KR1020077017823 A KR 1020077017823A KR 20077017823 A KR20077017823 A KR 20077017823A KR 101262405 B1 KR101262405 B1 KR 101262405B1
Authority
KR
South Korea
Prior art keywords
mobile
unc
message
identity
mobile station
Prior art date
Application number
KR1020077017823A
Other languages
English (en)
Other versions
KR20070102698A (ko
Inventor
토마스 닐란데르
야리 타피오 빅베르그
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Publication of KR20070102698A publication Critical patent/KR20070102698A/ko
Application granted granted Critical
Publication of KR101262405B1 publication Critical patent/KR101262405B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Nitrogen And Oxygen Or Sulfur-Condensed Heterocyclic Ring Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이동국(MS)의 이동 아이덴티티를 포함하는 메시지를 수신하고 수신된 이동 아이덴티티가 MS와 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다 상기 메시지를 드롭 또는 거절함으로써 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치를 제공한다. 상기 메시지는 수신된 이동 아이덴티티가 MS와 관련되는 저장된 이동 아이덴티티와 부합할 때마다 프로세싱된다. 저장된 이동 아이덴티티는 보안 게이트웨이에 의해 제공된다. 이동 아이덴티티는 국제 이동 가입자 아이덴티티, 일시적 이동 가입자 아이덴티티, 패킷 일시적 이동 가입자 아이덴티티, 사설 인터넷 프로토콜(IP) 어드레스 또는 공중 IP 어드레스일 수 있다. 메시지는 이동성 관리 메시지, 일반적인 패킷 무선 서비스 이동성 관리 메시지, 또는 UMA 또는 인증되지 않은 무선 자원 메시지와 같은 등록 요청, 업링크 메시지 또는 다운링크 메시지일 수 있다.
이동 아이덴티티, 이동 액세스 네트워크, 보안 게이트웨이, 등록 요청, 업링크 메시지, 다운링크 메시지.

Description

인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치{METHOD, SYSTEM AND APPARATUS FOR PROVIDING SECURITY IN AN UNLICENSED MOBILE ACCESS NETWORK OR A GENERIC ACCESS NETWORK}
본 발명은 일반적으로 이동 통신 분야에 관한 것이며, 특히 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치에 관한 것이다.
인증되지 않은 이동 액세스(UMA) 사양은 이동 단말기(MS)가 UNC-SGW를 향해 IPsec 보안 접속을 설정할 때 및 MS가 IMC에서 등록할 때 동일한 국제 이동 가입자 아이덴티티(IMSI)가 사용되는지를 인증되지 않은 네트워크 제어기(UNC) 및 인증되지 않은 네트워크 제어기 보안 게이트웨이(UNC-SGW)가 점검해야 한다는 것을 권장한다. 이러한 둘 모두의 상황에서, Ms는 IMSI를 UNC-SGW 및 UNC에 각각 제공한다. 그러나, UMA 사양은 이러한 점검이 행해져야 하는 방법을 규정하지 않는다. 그래도, 이러한 권장사항의 구현이 코어 네트워크가 여전히 공격에 노출되도록 한다.
이것은 "일반적인 액세스 네트워크(GAN)로서 공지되어 있는 "A 및 Gb-인터페이스로의 일반적인 액세스"에 대한 제3 세대 파트너쉽 프로젝터(3GPP) 표준에서도 그러하다. 3GPP 기술 사양 43.318(스테이지-2) 및 44.318(스테이지 3)을 참조하라. 3GPP 사양서의 일반적인 액세스 네트워크 제어기가 UMA 사양서의 UNC와 등가라는 점에 주의하라. 유사하게, 3GPP사양서의 일반적인 액세스 네트워크 제어기 보안 게이트웨이(GANC-SEGW)는 UMA 사양에서의 UNC-SGW와 등가이다.
미국 공개 특허 출원 2003/065952 A1(OTSUKA NAOKI, 2003년 4월 3일자(2003-04-03)는 시스템 관리자보다는 오히려 사용자가 선택된 단말기를 인증 단말기로서 용이하게 등록할 수 있는 인증 시스템을 게시한다. 사용자는 단말기에 대한 식별 정보를 사용자에게 디스플레이하는 인증 디바이스를 사용하여 인증된 것으로 등록되도록 단말기를 선택한다. 그 후, 단말기로부터의 서비스 요청이 서비스 제공 디바이스 및 인증 디바이스 둘 모두인 다기능 주변장치에 의해 수신될 때, 단말기가 인증되었는지를 확인하기 위하여 등록 리스트가 점검되어, 단말기가 등록 리스트 상에 있는 경우 서비스가 승인되고 단말기가 등록 리스트 상에 없는 경우 부인된다.
예를 들어, MS는 SIM-카드 판독기 및 UMA 클라이언트를 갖는 퍼스널 컴퓨터(PC)와 같은 다수의 MS를 에뮬레이팅하기 위하여 다수의 일시적 이동 가입자 아이덴티티(TMSI) 또는 패킷 일시적 이동 가입자 아이덴티티(P0TMSI)를 사용할 수 있다. 더구나, 적대적인 MS는 MS-레벨 상에서의 서비스 거부 (DoS) 공격(호출을 종료하는 것이 실패하는 것, 등)의 형태를 초래하는 위치 갱신 또는 IMSI 탈착 메시지를 코어 네트워크를 향해 전송할 수 있다. 따라서, 이동국이 코어 네트워크와 통신할 때, 이동국에 의해 사용되는 이동 아이덴티티(IMSI, TMSI 및/또는 P-TMSI)를 점검함으로써 코어 네트워크를 보호하는 방법 및 장치가 필요로 된다.
본 발명은 인증되지 않은 네트워크 제어기(UNC) 또는 일반적인 액세스 네트워크 제어기(GANC) 및 인증되지 않은 네트워크 제어기용 보안 게이트웨이(UNC-SGW) 또는 일반적 액세스 네트워크 제어기용 보안 게이트웨이(GANC-SEGW)에 의한 권장된 보안 점검을 수행하는 방법, 시스템 및 장치를 제공한다. 본 발명은 필요한 O&M 활동을 최소화하고, 많은 상이한 네트워크 시나리오를 지원하며, 용이하게 표준화될 수 있는 최적화된 해결책을 제공한다. 본 발명이 인증되지 않은 이동 액세스 네트워크(UMAN) 및 일반적인 액세스 네트워크(GAN) 둘 모두에 적용 가능하다는 점에 주의하라.
특히, 본 발명은 UNC-SGW 및 UNC 또는 GANC-SEGW 및 GANC 간의 접속의 동적 핸들링을 포함하는 신뢰 가능한 전송에 기초한 UNC 및 UNC-SGW 또는 GANC-SEGW 사이의 새로운 프로토콜을 포함한다. 본질적으로, UNC-SGW 또는 GANC-SEGW는 IPsec 터널 설정에서 일부 데이터를 저장하고, MS 및 UNC 및 GANC 사이의 통신을 점검한다. TCP 접속이 MS 및 UNC 또는 GANC 사이에 설정될 때, UNC-SGW 또는 GANC-SEGW는 UNC 또는 GANC 쪽으로 또 다른 TCP를 설정하고, 그 UNC 또는 GANC로만 필요로 되는 정보를 전송할 수 있다. 그 후, UNC 또는 GANC는 IPsec 터널 설정(EAP-SIM 또는 SEA-AKA 인증) 및 등록에서 사용되는 정보가 동일한지를 점검할 수 있다. 본 발명은 또한 MS에 대한 공중 IP 어드레스가 UNC 또는 GANC에 제공된다는 부가적인 이점을 제공한다.
게다가, 본 발명은 이동국이 코어 네트워크와 통신할 때 이동국(MS)에 의해 사용되는 이동 아이덴티티(국제 이동 가입자 아이덴티티(IMSI), 일시적 이동 가입자 아이덴티티(TMSI) 및/또는 패킷 일시적 이동 가입자 아이덴티티(P-TMSI)를 점검함으로써 코어 네트워크를 보호하는데 사용될 수 있다. 간단히 말해서, (등록 후에) MS와 관련되는 저장된 이동 아이덴티티에 대응하지 않는 이동 식별자를 포함하는 메시지는 드롭된다. 일단 이와 같은 메시지가 드롭되면, 다양한 예방 및 보고 동작이 취해질 수 있다. 그러므로, MS는 하나의 IMSI, 하나의 TMIS 및 하나의 P-TMSI만을 사용하도록 허용된다. 결과적으로, 본 발명은 악의 있고 잘못된 MS 구현방식으로부터 코어 네트워크를 보호한다.
결과적으로, 본 발명은 또한 MS의 이동 아이덴티티를 포함하는 메시지를 수신하고 수신된 이동 아이덴티티가 MS와 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다 메시지를 드롭하거나 거절함으로써 인증되지 않은 이동 액세스에서 보안을 제공하는 방법을 제공한다. 상기 메시지는 수신된 이동 아이덴티티가 MS와 관련되는 저장된 이동 아이덴티티와 부합할 때마다 프로세싱된다. 이동 아이덴티티는 IMSI, TMSI, P-TMSI, 사설 인터넷 프로토콜(IP) 어드레스 또는 공중 IP 어드레스일 수 있다. 상기 메시지는 이동성 관리(MM) 메시지, 일반적인 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 UMA 또는 인증되지 않은 무선 자원(URR) 메시지(MS 및 UNC 사이에서만 사용됨)와 같은 등록 요청, 업링크 메시지 또는 다운링크 메시지일 수 있다. 본 발명은 컴퓨터 판독 가능한 매체 상에 실행되는 컴퓨터 프로그램으로서 구현될 수 있고, 여기서 여러 방법 단계는 하나 이상의 코드 세그먼트에 의해 구현된다.
게다가, 본 발명은 프로세서에 통신 가능하게 결합되는 데이터 저장 디바이스를 포함한다. 데이터 저장 디바이스는 이동 아이덴티티의 MS와의 관련성을 저장한다. 프로세서는 MS의 이동 아이덴티티를 포함하는 메시지를 수신하고, 수신된 이동 아이덴티티가 MS와 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다 상기 메시지를 드롭하거나 거절한다. 상기 장치는 전형적으로 코어 네트워크와 통신하는 일반적인 액세스 네트워크(GAN) 내의 일반적인 네트워크 제어기(GANC) 또는 인증되지 않은 이동 액세스 네트워크(UMAN) 내의 인증되지 않은 네트워크 제어기이다.
본 발명은 또한 이동 단말기, 보안 게이트웨이 및 인증되지 않은 네트워크 제어기를 포함하는 시스템을 제공한다. 보안 게이트웨이는 이동 단말기에 통신 가능하게 결합된다. 인증되지 않은 네트워크 제어기는 이동국 및 보안 게이트웨이에 통신 가능하게 결합된다. 보안 게이트웨이는 이동국으로부터 이동 아이덴티티 정보를 수신하고, 상기 이동 아이덴티티 정보를 인증되지 않은 네트워크 제어기에 전송한다. 인증되지 않은 네트워크 제어기는 수신된 이동 아이덴티티 정보를 저장하고, 이동국으로부터 수신된 등록 요청 내의 이동 아이덴티티가 저장된 이동 아이덴티티 정보와 부합할 때마다 상기 이동국을 등록한다. 보안 게이트웨이는 이동국을 등록하기 위하여 인증되지 않은 네트워크 제어기에 의해 사용되는 하나 이상의 규정된 전송 제어 프로토콜(TCP)로 구성되며, 인증되지 않은 네트워크 제어기는 하나 이상의 규정된 TCP 포트 상에서 들어오는(입중계의) TCP 접속에 집중한다. 하나의 실시예에서, 보안 게이트웨이는 이동 아이덴티티 정보의 성공적인 수신 및 저장을 나타내는 메시지가 인증되지 않은 네트워크 제어기로부터 수신될 때까지 등록 요청이 인증되지 않은 네트워크 제어기에 의해 수신되지 않도록 한다. 또 다른 실시예에서, 인증되지 않은 네트워크 제어기는 이동국에 하나 이상의 서비스를 제공하기 위하여 이동 아이덴티티 정보를 사용한다. 상술된 바와 같이, 인증되지 않은 네트워크 제어기는 일반적인 액세스 네트워크 제어기일 수 있다.
본 발명의 상기 장점 및 부가적인 장점은 첨부 도면과 함께 다음의 설명을 참조함으로써 더 양호하게 이해될 수 있다.
도1은 UMA 네트워크 및 코어 네트워크 사이의 이동 아이덴티티의 사용을 도시한 대표적인 시그널링 시퀀스.
도2는 이동국에 의해 사용되는 여러 IP 어드레스를 도시한 도면.
도3A, 3B, 3C, 3D 및 3E는 본 발명이 사용될 수 있는 인증되지 않은 네트워크 제어기 및 인증되지 않은 네트워크 제어기용 보안 게이트웨이 사이의 관계의 여러 네트워크 시나리오를 도시한 블록도.
도4는 본 발명에 따른 코어 네트워크를 보호하는 방법을 도시한 흐름도.
도5는 본 발명의 일 실시예에 대한 최초 구성을 도시한 도면.
도6은 본 발명의 일 실시예의 사용을 도시한 시그널링 시퀀스.
도7A, 7B 및 7C는 인증되지 않은 네트워크 제어기용 보안 게이트웨이에서 사용될 때의 본 발명의 일 실시예에 따른 방법을 도시한 흐름도.
도8은 인증되지 않은 네트워크 제어기에서 사용될 때의 본 발명의 일 실시예에 따른 방법을 도시한 흐름도.
도9는 업링크 메시지에 대한 본 발명의 일 실시예의 사용을 도시한 시그널링 시퀀스.
도10은 다운링크 메시지에 대한 본 발명의 일 실시예의 사용을 도시한 시그널링 시퀀스.
도11은 업링크 메시지에 대한 본 발명의 일 실시예에 따른 방법을 도시한 흐름도.
도12는 다운링크 메시지에 대한 본 발명의 일 실시예에 따른 방법을 도시한 흐름도.
도13은 다운링크 메시지에 대한 본 발명의 또 다른 실시예에 따른 방법을 도 시한 흐름도.
본 발명의 여러 실시예를 행하고 사용하는 것이 이하에 상세히 논의되지만, 본 발명이 광범위한 특정 상황에서 실현될 수 있는 많은 적용 가능한 독창적인 개념을 제공한다는 것이 인식되어야 한다. 본원에 논의된 특정 실시예는 단지 본 발명을 행하거나 사용하는 특정 방식을 나타내며, 본 발명의 범위를 한정하지 않는다.
본 발명의 이해를 용이하게 하기 위하여, 다수의 용어가 이하에 규정된다. 본원에 규정된 용어는 본 발명과 관련된 영역의 당업자에 의해 통상적으로 이해되는 바와 같은 의미를 갖는다. "a", "an" 및 "the"와 같은 용어는 단일 엔티티만을 참조하고자 하는 것이 아니라, 특정 예가 설명을 위해 사용될 수 있는 일반적인 등급을 포함한다. 본원의 용어는 본 발명의 특정 실시예를 설명하는데 사용되지만, 이들의 사용이 청구항에 약술된 것을 제외하고, 본 발명을 제한하지 않는다.
본 발명은 인증되지 않은 네트워크 제어기(UNC) 또는 일반적인 액세스 네트워크 제어기(UNC-SGW) 및 인증되지 않은 네트워크 제어기용 보안 게이트웨이(UNC-SGW) 또는 일반적인 액세스 네트워크 제어기용 보안 게이트웨이(GANC-SEGW)에 의해 권장된 보안 점검을 수행하는 방법, 시스템 및 장치를 제공한다. 본 발명은 필요로 되는 O&M 활동을 최소화하고, 많은 상이한 네트워크 시나리오를 지원하며, 용이하게 표준화될 수 있는 최적화된 해결책을 제공한다. 본 발명이 인증되지 않은 이동 액세스 네트워크(UMAN) 및 일반적인 액세스 네트워크(GAN) 둘 모두에 적용 가능한 다는 점에 주의하라.
더 구체적으로, 본 발명은 UNC-SGWs 및 UNCs 또는 GANC-SEGWs 및 GANCs 사이의 접속의 동적 핸들링을 포함하는 신뢰 가능한 전송에 기초한 UNC 및 UNC-SGW 또는 GANC 및 GANC-SEGW 사이의 새로운 프로토콜을 도입한다. 본질적으로, UNC-SGW 또는 GANC-SEGW는 IPsec 터널 설정에서 어떤 데이터를 저장하고, MS와 UNC 및 GANC 사이의 통신을 점검한다. MS와 UNC 및 GANC 사이에 TCP 접속이 설정될 때, UNC-SGW 또는 GANC-SEGW는 UNC 및 GANC를 향해 또 다른 TCP 접속을 설정할 수 있고, 그 UNC 및 GANC에만 필요로 되는 정보를 전송할 수 있다. 그 후, UNC 또는 GANC는 IPsec 터널 설정(EAP-SIM 또는 SEA-AKA 인증) 및 등록에서 사용된 정보가 동일한지를 점검할 수 있다. 본 발명은 또한 MS에 대한 공중 IP 어드레스가 UNC 또는 GANC에 제공된다는 부가된 이점을 제공한다.
또한, 본 발명은 이동국이 코어 네트워크와 통신할 때 이동국에 의해 사용되는 국제 이동 가입자 아이덴티티(IMSI), 일시적 이동 가입자 아이덴티티(TMSI) 및/또는 패킷 일시적 이동 가입자 아이덴티티(P-TMSI)를 점검함으로써 코어 네트워크를 보호하는데 사용될 수 있다. 간단히 말해서, (등록 후) MS와 관련되는 저장된 이동 식별자에 대응하지 않는 이동 식별자를 포함하는 메시지는 드롭된다. 일단 이와 같은 메시지가 드롭되면, 다양한 보호 및 보고 동작이 취해질 수 있다. 그러므로, MS는 하나의 IMSI, 하나의 TMSI 및 하나의 P-TMSI만을 사용하는 것을 허용한다. 결과적으로, 본 발명은 악의 있고 잘못된 MS 구현방식으로부터 코어 네트워크를 보호한다.
이제 도1을 참조하면, UMA 네트워크 또는 일반적인 액세스 네트워크(GAN)(100) 및 코어 네트워크(102) 사이의 이동 식별자의 사용을 나타내는 대표적인 시그널링 시퀀스가 도시되어 있다. MS(104)는 자신(104)이 UNC-SGW 또는 GANC-SEGW(106)를 향해 IPsec 보안 접속(108)을 설정할 때, EAP-SIM 또는 EAP-AKA를 사용하여 인증되지 않은 네트워크 제어기(UNC-SGW) 또는 일반적인 액세스 네트워크 제어기(GANC-SEGW)(106)의 보안 게이트웨이에 IMTS를 제공한다. UNC-SGW 또는 GANC-SEGW(106)는 널리 공지된 시그널링 및 인증 프로토콜(인증, 인가 및 계정 (AAA) 기반구조(114))를 사용하여 HLR(110)에서 이 UMSI를 인증한다(110). MS(104)는 또한 자신(104)이 UNC 또는 GANC(116)로 등록할 때(118), 인증되지 않은 네트워크 제어기(UNC) 또는 일반적인 액세스 제어기(GANC)(116)에 IMSI를 제공한다. 또한, MS(104)는 자신(104)이 코어 네트워크(102)(예를 들어, MSC(112))와 통신할 때(120), IMSI, TMSI 또는 P-TMSI를 사용하여 그 자신을 식별한다.
TMSI 및 P-TMSI가 등록할 때(118), UNC 또는 GANC(116)에 보고되지 않는다는 점에 주의하라. TMSI 및 P-TMSI는 위치 에어리어 내에서만 중요성을 갖는다. 위치 에어리어 외부에서, TMSI 및 P-TMSI는 모호하지 않은 아이덴티티를 제공하기 위하여 위치 에어리어 식별자(LAI)와 결합되어야 한다. 통상적으로, 적어도 위치 에어리어의 변화마다 TMSI 또는 P-TMSI 재할당이 수행된다. 이와 같은 선택은 네트워크 운영자에 의해 행해진다.
이동 아이덴티티는 MS(104) 및 MSC/방문 위치 등록기(VLR)(112) 사이의 다음 이동성 관리(MM) 메시지에서 사용된다.
MS(104)로부터 MSC/VLR(112)로(업링크 메시지):
LOCATION UPDATING REQUEST
IDENTITY RESPONSE
CM SERVICE REQUEST
IMSI DETACH INDICATION
CM RE-ESTABLISHMENT REQUEST
MSC/VLR(112)로부터 MS(104)로(다운링크 메시지):
TMSI REALLOCATION COMMAND
LOCATION UPDATING ACCEPT
이동성 관리는 또한 MS(104)로부터 MSC/VCR(112)로의 PAGING RESPONSE 메시지에서 사용된다. 그러므로, UNC 또는 GANC(116)는 MS(104) 및 MSC/VLR(112) 사이에 전송된 MM-메시지에 대한 점검을 수행한다.
이제 도2를 참조하면, 이동국(104)에 의해 사용되는 여러 IP 어드레스를 나타내는 도면이 도시되어 있다. 상술된 바와 같이, 본 발명은 MS(104)가 UNC 또는 GANC(116)에 대한 공중 IP-어드레스를 획득하는 문제를 해결한다. 일부 운영자는 관리된 IP 네트워크를 가질 것이며, 자신의 고객에게(예를 들어, 케이블 TV 모뎀에) 할당된 공중 IP 어드레스를 제어하여 자신의 네트워크에서 음성 트래픽을 우선순위화할 수 있다. 공중 IP-어드레스는 또한 (홈존과 같은) 위치 서비스 및 요금부과에 사용될 수 있다. 공중(즉, 외부) IP-어드레스(들)(200)은 MS(104) 및 UNC-SGW 또는 GANC-SEGW(106) 사이에서만 사용되며, UNC 또는 GANC(116)에서 볼 수 없다. MS(104)는 UNC 또는 GANC(116)과의 통신에서 사설(즉, 내부) IP-어드레스(202)를 사용한다.
UNC 또는 GANC(116)는 서비스 품질(QoS), 위치 서비스, 요금부과, 등을 제공하기 위하여 MS(104) 공중 IP-어드레스(200)를 찾아낼 필요가 있다. 예를 들어, UNC 또는 GANC(116)는 MS(104) 및 UNC-SGW 또는 GANC-SEGW(106) 사이에서 네트워크(들)의 QoS를 보장하기 위하여 (예를 들어, COPS를 사용하여) 정책 서버 쪽으로 수신된 "로그" 정보(MS(104) 및 UNC-SGW 또는 GANC-SEGW(106) 공중 IP-어드레스)(이것은 이하에 설명될 것이다)를 사용할 수 있다. 위치 서비스의 경우에, UNC 또는 GANC(116)는 공중 IP-어드레스에 대한 위치 정보(예를 들어, 위도/경도)를 리턴시킬 수 있는 외부 서버와 접촉할 수 있다. 그 후, 이 정보는 위치 서비스를 위해 코어 네트워크(102)에 대하여 사용될 수 있다. 요금청구의 경우에, UNC 및 GANC(116)는 MS(104)가 홈 프리미스(home premise) 내에 있는지(즉, 핫-스폿 내에 없는지)를 찾아내기 위하여 공중 IP-어드레스에 대한 위치 정보를 리턴시킬 수 있는 외부 서버와 접촉할 수 있다. 그 후, 이 정보는 구별된 요금청구를 위해 코어 네트워크(102)에 대하여 사용될 수 있다(또 다른 CGI가 코어 네트워크(102) 쪽으로 표시된다). UNC-SGW(106) 및 UNC(116) 또는 GANC-SEGW(106) 및 GANC(116) 사이의 이 새로운 프로토콜은 또한 많은 다른 목적(예를 들어, MS(104)가 또 다른 UNC-SGW 또는 GANC-SEGW(106)으로 재지향되어야 하는지를 인식하기 위한 대역폭 관리)에 사용되고 상기 목적을 위해 강화될 수 있다.
후술되는 바와 같은 "UNC 또는 GANC 접속"/새로운 프로토콜은 또한 IPsec 접 속이 비정합의 경우에 끊겨야 한다는 것을 UNC-SGW 또는 GANC-SEGW(106)에 나타내는데 사용될 수 있다. UNC 또는 GANC(116)는 또한 EAP-SIM 또는 EAP-AKA에서 사용되는 특정 IMSI가 적의 있는 동작에 사용되었는지를 AAA-서버(114)에 통지할 수 있고, 상기 IMSI는 (바람직하다면 운영자에 의해) 블랙-리스트화될 수 있다. 또한, "UNC 또는 GANC 접속"/새로운 프로토콜은 IPsec 접속이 끊겼다는 것을 UNC 또는 GANC(116)에 나타내기 위하여 UNC-SGW 또는 GANC-SEGW(106)에 의해 사용될 수 있다. 이것은 또한 애플리케이션 레벨 연결 유지 메커니즘(application level keep alive mechanism) 대신 사용될 있고, 이로 인해 애플리케이션 레벨은 이 부담(예를 들어, 애플리케이션 레벨 연결 유지 절차가 매우 높은 간격을 사용할 수 있다)에서 경감된다.
이제 도3A, 3B, 3C, 3D 및 3E를 참조하면, 본 발명이 사용될 수 있는 인증되지 않은 네트워크 제어기 및 인증되지 않은 네트워크 제어기용 보안 게이트웨이 사이의 관계의 여러 네트워크 시나리오가 도시되어 있다. 가장 간단한 네트워크 시나리오 경우(도3A)에, UNC-SGW 및 UNC 또는 GANC-SEGW 및 GANC 사이의 관계는 1:1이다. 이 경우에, 이 해결책의 문제는 핸들링하기가 보다 단순할 수 있는데, 즉, 각각의 UNC-SGW 또는 GANC-SEGW는 필요로 되는 정보를 어느 UNC 또는 GANC에 전송할지를 정확하게 인지하거나, 각각의 UNC 또는 GANC는 어느 UNC-SGW 또는 GANC-SEGW가 그 정보를 요청할지를 정확하게 인지한다. 이 시나리오에 필요로 되는 O&M은 단순하다. UNC-SGW 또는 GANC-SEGW는 UNC 또는 GANC에 관한 정보로 구성되거나, 그 반대로 구성된다.
또 다른 네트워크 시나리오 경우(도3B)에, UNC-SGWs 및 UNCs 또는 GANC-SEGWs 및 GANCs 사이의 관계는 n:1이다(즉, 다수의 UNC-SGWs가 하나의 UNC를 서비스하거나, 다수의 GANC-SEGWs가 하나의 GANC를 서비스한다). 이 경우에, 이 해결책의 문제는 핸들링하기가 여전히 꽤 간단한데, 즉, 각각의 UNC-SGW 또는 GANC-SEGW는 필요로 되는 정보를 어느 UNCs 또는 GANCs에 전송할지를 정확하게 인지하거나, 각각의 UNC 또는 GANC는 어느 UNC-SGW 또는 GANC-SEGW가 그 정보를 요청할지를 정확하게 인지한다. 이 시나리오에 필요로 되는 O&M은 복잡하다. UNC-SGWs 또는 GANC-SEGWs 중 하나가 UNC 또는 GANC에 관한 정보로 구성되거나, UNC 또는 GANC가 모든 UNC-SGWs 또는 GANC-SEGWs에 관한 정보로 구성된다.
또 다른 네트워크 시나리오 경우(도3C)에, UNC-SGW 및 UNC 또는 GANC-SEGW 및 GANC 사이의 관계는 1:n이다(즉, 하나의 UNC-SGW가 다수의 UNCs를 서비스하거나, 하나의 GANC-SEGW가 다수의 GANCs를 서비스한다). 이 경우에, 이 해결책의 문제는 핸들링하기가 여전히 꽤 단순한데, 즉, 각각의 UNC-SGW 또는 GANC-SEGW는 필요로 되는 정보를 어느 UNCs 또는 GANCs에 전송할지를 정확하게 인지하거나, 각각의 UNC 또는 GANC는 어느 UNC-SGW 또는 GANC-SEGW가 그 정보를 요청하는지를 정확하게 인지한다. 이시나리오에 필요로 되는 O&M은 상당히 복잡하다. UNC-SGW 또는 GANC-SEGW가 모든 UNCs 또는 GANCs에 관한 정보로 구성되거나, 각각의 UNC 또는 GANC가 UNC-SGW 또는 GANC-SEGW에 관한 정보로 구성된다.
가장 복잡한 네트워크 시나리오 경우(도3D 및 3E)에, UNC-SGWs 및 UNCs 또는 GANC-SEGWs 및 GANCs 사이의 관계는 x:y이다(즉, 다수의 UNC-SGWs가 다수의 UNCs를 서비스하거나, 다수의 GANC-SEGWs가 다수의 GANCs를 서비스한다). 이 경우에, 이 해결책의 문제는 핸들링하기가 단순하지 않는데, 즉, 각각의 UNC-SGW 또는 GANC-SEGW가 필요로 되는 정보를 어느 UNCs 또는 GANCs에 전송할지를 인지해야 하거나, 각각의 UNC 또는 GANC가 그 정보를 요청하기 위해 모든 가능한 UNC-SGWs 또는 GANC-SEGWs를 인지해야 한다. 이 시나리오에 필요로 되는 O&M는 복잡하다. UNC-SGWs 또는 GANC-SEGWs가 UNCs 또는 GANCs에 관한 정보로 구성되거나, 모든 UNCs 또는 GANCs가 모든 UNC-SGWs 또는 GANC-SEGWs에 관한 정보로 구성된다. 본 발명은 이러한 시나리오 모두를 처리하고 해결한다.
이제 도4를 참조하면, 본 발명에 따른 코어 네트워크(102)를 보호하는 방법(400)을 설명하는 흐름도가 도시되어 있다. UNC 또는 GANC(116)는 블록(402)에서 MS(104)의 이동 아이덴티티를 포함하는 메시지를 수신한다. 그 후, 블록(404)에서 UNC 또는 GANC(116)는 수신된 이동 아이덴티티를 MS(104)와 관련되는 저장된 이동 아이덴티티와 비교함으로써 상기 수신된 이동 아이덴티티가 정확한지 여부를 결정한다. 판정 블록(406)에서 결정되는 바와 같이, 수신된 이동 아이덴티티가 정확한 경우, 블록(408)에서, 수신된 메시지가 프로세싱(예를 들어, 전달, 등)된다. 그러나, 판정 블록(406)에서 결정되는 바와 같이, 수신된 이동 아이덴티티가 정확하지 않은 경우, 블록(410)에서, 수신된 메시지는 드롭되거나 거절된다. 이동 아이덴티티는 IMSI, TMSI 또는 P-TMSI일 수 있다. 수신된 메시지는 이동성 관리(MM) 메시지, 일반적인 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 (MS(104) 및 UNC(116) 사이에서만 사용되는) UMA 또는 인증되지 않은 무선 자원(URR) 메시지와 같은 등록 요청, 업링크 메시지 또는 다운링크 메시지일 수 있다.
UNC 또는 GANC(116)는 UNC 및 GANC(116)으로 등록하기 위해 사용될 때 MS(104)가 동일한 IMSI를 사용하고 있는지를 인식하기 위하여 층 위반(layer violation)을 수행함으로써, 즉, 코어 네트워크(102) 쪽으로 MS(104)에 의해 전송된 상부 층 메시지 내로 스니킹(sneaking)함으로써 MS(104)의 이동 아이덴티티가 정확한지의 여부를 결정한다. TMSI 값이 MSC/VCR(112)에 의해 할당되고 P-TMSI가 SGSN에 의해 할당되기 때문에, UNC 또는 GANC(116)는 MS(104)가 MSC(112)에 의해 할당된 값을 사용하고 있는지를 점검할 수 있다. 이것은 MS(104)에 TMSI 값 또는 P-TMSI 값 중 어느 것이 할당되는지를 인식하기 위하여 코어 네트워크(102)에 의해 전송된 상부 층 다운링크 메시지를 점검하고 나서, MS(104)가 실제로 할당된 TMSI 값 또는 P-TMSI 값을 사용하고 있는 상부층 업링크 메시지를 점검함으로써 다시 수행될 수 있다.
본 발명은 프로세서에 통신 가능하게 결합되는 데이터 저장 디바이스를 포함하는 UNC 또는 GANC(116)와 같은 장치로서 구현될 수 있다. 데이터 저장 디바이스는 MSs(104)로의 이동 아이덴티티의 할당을 저장한다. 프로세서는 MS(104)의 이동 아이덴티티를 포함하는 메시지(402)를 수신하고, 수신된 이동 아이덴티티가 MS(104)와 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다, 그 메시지(410)를 드롭하거나 거절한다. 프로세서는 상기 장치 내의 전치-프로세서, 필터 또는 다른 프로세싱 디바이스일 수 있다. 데이터 저장 디바이스는 메모리, 디스크 드라이브, 하드 드라이브, 등일 수 있다.
이제 도5를 참조하면, 본 발명의 일 실시에에 대한 최초 구성을 나타내는 도면이 도시되어 있다. 블록(502)에 도시된 바와 같이, 각각의 UNC 또는 GANC(116)는 널리-공지된 TCP 포트 상에서 들어오는(입중계의) TCP 접속에 대해 청취하고 있다. 널리-공지된은 UNCs 또는 GANCs(116) 및 UNC-SGWs 또는 GANC-SEGWs 둘 모두에서 규정된 TCP 포트 번호라는 것을 의미한다. 또한, 각각의 UNC-SGW 또는 GANC-SEGW(106)는 블록(500)에서 UNCs 또는 GANCs(116) 쪽으로의 MS(104) 등록에 사용되는 필요로 되는 TCP 포트 범위(들)로 구성된다. UNC-SGWs 또는 GANC-SEGWs(106) 및 UNCs 또는 GANCs(116) 사이를 결합하는 것은 필요로 되지 않는다.
이제 도6을 참조하면, 본 발명의 일 실시예의 사용을 도시한 시그널링 시퀀스가 도시되어 있다. MS(104) 및 UNC-SGW 또는 GANC-SEGW(106) 사이에 IPsec 터널이 설정되고, EAP-SIM 또는 EAP-AKA는 메시지 교환(600)을 통하여 MS(104)를 인증하는데 사용된다(MS IMSI가 인증됨). 블록(602)에서, UNC-SGW 또는 GANC-SEGW(106)은 MS "공중" 및 "사설" IP 어드레스, UNC-SGW 또는 GANC-SEGW 공중 IP 어드레스 및 EAP-SIM 또는 EAP-AKA 인증에서 사용되는 아이덴티피케이션(identification)(즉, MS IMSI)를 "로깅(logging)"한다. 이 정보는 MS(104) 콘텍스트에 저장되고, IPsec 터널의 수명 동안 유지된다. (예를 들어, TCP 포트 범위(14001-14010에서) UNC 또는 GANC 등록 포트 중 하나 쪽으로의 TCP 접속이 메시지 교환(604)을 통해 IPsec 터널을 사용하여 성공적으로 설정된다(즉, 3방향 TCP 핸드-쉐이크가 수행된다).
블록(606)에서 UNC-SGW 또는 GANC-SEGW(106)은 UNC 또는 GANC IP-어드레스(즉, 아래의 UNC/GANC-IP1) 쪽으로 TCP-접속이 성공적으로 설정된다는 것을 인식한다. 블록(616)에서, UNC 또는 GACN(116)는 MS 사설 IP-어드레스를 인식하고, 이를 사용하기 위해 MS-콘텍스트에 저장한다. MS 콘텍스트는 이 MS(104)를 위해 생성된다. 블록(610)에서, UNC-SGW 또는 GANC-SEGW(106)는 TCP 접속에 사용되는 목적지 IP 어드레스(즉, UNC/GANC-IP1)를 선택하고, "UNC 또는 GANC 접속들"의 테이블에서 이 IP 어드레스로의 "UNC 또는 GANC 접속"이 존재하는지를 점검한다. UNC-SGW 또는 GANC-SEGW(106)는 IPsec 터널 내에서 TCP 접속이 설정될 때 구성되는 UNC 또는 GANC IP 어드레스로 테이블을 동적으로 구성해서, UNC SGW 또는 GANC-SEGW(106)가 이미 UNC 또는 GANC IP 인터페이스로의 TCP 접속을 가지는 경우, 그 TCP가 "로그" 정보를 전송하는데 사용된다. UNC/GANC-IP1 쪽으로의 TCP-접속이 존재하지 않는 경우, UNC-SGW 또는 GANC-SEGW(106)는 공지된 "UNC 또는 GANC 로그" 포트(예를 들어, TCP 포트 14500) 상에서 UNC 또는 GANC(116)으로의 TPC 접속을 설정하고, 메시지 교환(612)으로 UNC 또는 GANC 접속들의 테이블을 갱신한다. UNC/GANC-IP1 쪽으로의 TCP 접속이 이미 존재하는 경우에, 아무 동작도 필요로 되지 않는다.
UNC 또는 GANC TCP 접속이 이미 설정되었을 때, UNC-SGW 또는 GANC-SEGW(106)는 메시지(614)로 UNC 또는 GANC(116)으로의 IPsec 터널 설정에 관한 "로그" 정보를 전송한다. 이동 아이덴티티 정보로서 또한 칭해지는 이 정보는:
MS IMSI
MS 사설 IP-어드레스
MS 공중 IP-어드레스
SGW 또는 GANC 공중 IP-어드레스를 포함한다.
블록(616)에서, UNC 또는 GANC(116)는 정확한 MS 콘텍스트를 찾아내기 위한 키로서 MS 사설 IP-어드레스를 사용하여 수신된 "로그" 정보를 저장한다. MS(104)는 메시지(618)로 UNC 또는 GANC(116)에 대한 등록 요청(예를 들어, 다른 정보 중에서 IMSI를 포함하는 URR REGISTER REQUEST 메시지)를 전송한다.
UNC 또는 GANC(116)는 이 메시지에 포함된 IMSI가 메시지(614)에서 UNC-SGW 또는 GANC-SEGW(106)으로부터 수신된 것과 같은 것(즉, EAP-SIM 또는 EAP-AKA를 위해 메시지 교환(600)에서 사용되는 것)인지를 점검할 수 있다. IMSI 값이 부합하는 경우, MS(104)는 등록하는 것을 허용받고, 그렇지 않은 경우, MS 등록을 거절되고, 궁극적으로 MS(104)에 의해 사용되는 사설 IP-어드레스는 시간 기간 동안 블랙리스트화되며, 가능한 공격을 운영자에게 경고하는 이벤트가 생성될 수 있다. 등록 및 "로그" 기능 둘 모두에 동일한 UNC 또는 GANC IP 인터페이스가 사용되며, 접속을 감독하는데 있어서 특정하게 주의할 필요가 없고, 필요로 되는 임의의 등록 절차도 없다. 예를 들어, UNC 또는 GANC에서 IP 인터페이스 결점이 발생하는 경우, 이 인터페이스를 사용하는 MSs(104)는 또 다른 IP 인터페이스 상에서 또는 상기 결점이 복구되며 동일한 IP 인터페이스 상에서 재등록되어야 하며, "로그" 기능은 접속이 이미 존재하지 않는 경우, MS(104)가 새로운 IP 인터페이스를 따르게 할 것이다. UNC-SGW 또는 GANC-SEGW(106)는 UNC 또는 GANC(116) 쪽으로의 TCP 실패를 검출할 시에 "UNC 또는 GANC 접속" 테이블에서 엔트리를 삭제할 것이다.
MS(104) 및 UNC-SGW(106) 사이의 IPsec 터널이 다른 UNC(116) 쪽으로 재사용될 때 단계(604 내지 620)가 다수 번 발생될 수 있다(즉, 단계(600 및 602)가 한 번 수행되고 나서, 단계(604 내지 620)가 다수 번 수행된다)는 점에 주의하라. 또한, UNC-SGW(106)(단계 614)가 UNC(116)로 로깅된 정보를 전송하기 전에 UNC에서 MS 등록 요청(단계 618)이 수신되는 가능한 타이밍 문제가 존재한다. 이것은 UNC-SGW(106) 상의 고-부하의 결과로서 발생할 수 있다.
하나의 해결책에서, UNC-SGW(106)는 UNC(116)가 데이터를 성공적으로 수신하여 핸들링하였다는 표시를 수신할 때까지(단계 614), MS(104)로부터 등록 요청 메시지(예를 들어, TCP 접속 상의 모든 메시지)를 큐잉할 수 있다(단계 618). 또 다른 해결책에서, UNC-SGW 또는 GANC-SEGW(106)는 UNC 또는 GANC(116)가 데이터를 성공적으로 수신하여 핸들링하였다는 표시를 수신할 때까지(단계 614), TCP 접속 설정(단계 604, TCP-ACK)에서 MS(104)로의 최종 메시지를 지연시킬 수 있다. 이것은 또한 MS(104)로부터의 등록 요청 메시지를 효율적으로 지연시킬 것이다.
상기 예에서, MS 사설 IP-어드레스는 UNC 또는 GANC(116)에서 정확한 MS 콘텍스트를 찾아내는데 사용된다. IMSI(또는 단계(614)에서의 로깅된 정보의 임의의 조합)이 이를 위해 사용될 수 있다. IMSI가 사용되는 경우, 동작이 변경되고, 후속 동작이 고 레벨에서 발생되어야 한다. 단계(608)에서 UNC 또는 GANC(116)에서 MS 콘텍스트가 생성되지 않는다. 단계(616)에서, UNC 또는 GANC(116)는 로깅된 정보를 또 다른 데이터 구조에 저장하는데, 즉, MS 콘텍스트가 아직 존재하지 않는다. 단계(620)에서, 즉, MS 등록 요청이 수신될 때, MS 콘텍스트가 존재한다. MS 콘텍스트가 생성된 후, UNC 또는 GANC(116)는 다른 데이터 구조가 등록 요청에 포함된 IMSI에 대한 정보를 포함하는지에 대해 점검하고, 발견되거나 부합하는 경우, 등록이 수용된다. 그렇지 않은 경우(즉, 발견되거나 부합하지 않는 경우), MS 등록은 상기 단계(620)에서 규정된 바와 같이 거절된다.
따라서, 본 발명은 MS(104), 보안 게이트웨이(UNC-SGW 또는 GANC-SEGW)(106) 및 UNC 또는 GANC(116)를 포함하는 시스템을 제공한다. UNC-SGW 또는 GANC-SEGW(106)는 MS(104)에 통신 가능하게 결합된다. UNC 또는 GANC(116)는 MS(104) 및 UNC-SGW 또는 GANC-SEGW(106)에 통신 가능하게 결합된다. UNC-SGW 또는 GANC-SEGW(106)는 MS(104)로부터 이동 아이덴티티 정보를 수신하고, 상기 이동 아이덴티티 정보를 UNC 또는 GANC(116)에 전송한다. UNC 또는 GANC(116)는 수신된 이동 아이덴티티 정보를 저장하고 MS(104)로부터 수신된 등록 요청 내의 이동 아이덴티티가 저장된 이동 아이덴티티 정보와 부합할 때마다 MS(104)를 등록한다. UNC-SGW 또는 GANC-SEGW(106)는 MS(104)를 등록하기 위하여 UNC 또는 GANC(116)에 의해 사용되는 하나 이상의 규정된 전송 제어 프로토콜(TCP) 포트로 구성되며, UNC 또는 GANC(116)는 하나 이상의 규정된 TCP 포트 상의 입중계의 TCP 접속에 대해 청취한다. 일 실시예에서, UNC-SGW 또는 GANC-SEGW(106)는 이동 아이덴티티 정보의 성공적인 수신 및 저장을 나타내는 메시지가 UNC 또는 GANC(116)로부터 수신될 때까지 등록 요청이 UNC 또는 GANC(116)에 의해 수신되지 않는다는 것을 보장한다. 또 다른 실시예에서, UNC 또는 GANC(116)는 MS(104)에 하나 이상의 서비스를 제공하기 위하여 이동 아이덴티티 정보를 사용한다.
이제 도7A, 7B 및 7C를 참조하면, 인증되지 않은 네트워크 제어기(UNC)(116) 용 보안 게이트웨이(UNC-SGW)(106)에서 사용될 때의 본 발명의 일 실시예 따른 방법을 나타내는 흐름도가 도시되어 있다. 상술된 바와 같이, 본 발명은 또한 일반적인 액세스 네트워크 제어기(GANC)(116)용 보안 게이트웨이(GANC-SEGW)(106)에서 사용될 수 있다. 블록(700)에서, MS(104)와의 IPsec 터널이 설정되고, MS(104)가 인증된다. 블록(702)에서, 이동 아이덴티티 정보(MS IMSI, MS 사설 IP 어드레스, MS 공중 IP 어드레스 및 SGW 공중 IP 어드레스)가 저장되고, MS(104)와 관련된다. 블록(704)에서, 상기 프로세스는 MS(104)가 규정된 포트(들) 및 IPsec 터널을 사용하여 UNC(116)과의 TCP 접속을 설정하는 것을 대기한다. 그 후, 블록(706)에서, MS(104)에 의해 사용된 UNC IP 어드레스에 대한 "UNC 접속들"의 테이블에서 "UNC 접속"이 존재하는지를 확인하기 위하여 점검이 수행된다. 판정 블록(708)에서 결정되는 바와 같이, "UNC 접속"이 존재하는 경우, 블록(708)에서, MS(104)에 대한 이동 아이덴티티 정보는 UNC(116)에 전송된다. 그러나, 판정 블록(708)에서 결정되는 바와 같이, "UNC 접속"이 존재하지 않는 경우, 블록(712)에서, 규정된 포트(들)을 사용하여 UNC(116)와의 TCP 접속이 설정되고, "UNC 접속들"의 테이블이 MS(104)에 의해 사용된 UNC IP 어드레스를 포함하기 위하여 갱신된다. 블록(710)에서, MS(104)에 대한 이동 아이덴티티 정보는 UNC(116)에 전송된다.
상술된 바와 같이, 본 발명은 이동 아이덴티티 정보의 성공적인 수신 및 저장을 나타내는 메시지가 UNC(116)로부터 수신될 때까지 MS(104) 등록 요청이 UNC(116)에 의해 수신되지 않는 것을 보장하는 다양한 메커니즘을 제공할 수 있다. 예를 들어, 블록(720)에서, MS(104)로부터 UNC(116)로의 등록 요청 또는 다른 메시지가 UNC-SGW(106)에 의해 검출되고, 판정 블록(722)에서 결정되는 바와 같이, MS(104)에 대한 이동 아이덴티티 정보가 성공적으로 수신되어 핸들링되었다는 것을 나타내는 메시지가 UNC(116)로부터 수신되는 경우, 블록(724)에서, 수신된 등록 요청 또는 다른 메시지는 UNC(116)에 전달된다. 그러나, 판정 블록(722)에서 결정되는 바와 같이, "성공" 메시지가 수신되지 않은 경우, 블록(726)에서, UNC-SGW(106)는 UNC-SGW(106)가 "성공" 메시지를 수신하는 시간까지 등록 요청 또는 다른 메시지를 큐잉할 것이다. 대안적으로, 블록(730)에서, UNC-SGW(106)는 MS(104)로의 TCP 접속 확인 메시지를 지연시킬 수 있다. 판정 블록(732)에서 결정되는 바와 같이, MS(104)에 대한 이동 아이덴티티 정보가 성공적으로 수신되어 핸들링되었다는 것을 나타내는 메시지가 UNC(116)로부터 수신되는 경우, 블록(734)에서, 수신된 등록 요청 또는 다른 메시지는 UNC(116)에 전달된다. 그러나, 판정 블록(732)에서 결정되는 바와 같이, "성공" 메시지가 수신되지 않은 경우, 블록(736)에서, UNC-SGW(106)는 UNC-SGW(106)가 "성공" 메시지를 수신하는 시간까지 등록 요청 또는 다른 메시지를 큐잉할 것이다.
이제 도8을 참조하면, UNC 또는 GANC(116)에서 사용될 때의 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도가 도시되어 있다. 블록(800)에서, UNC 또는 GANC(116)는 UNCs 또는 GANCs 및 UNC-SGWs(116) 또는 GANC-SEGWs(106) 둘 모두에서 규정되는 TCP 포트(들) 상의 입중계의 TCP 접속에 대해 청취한다. 블록(802)에서 규정된 포트(들) 및 IPsec 터널을 사용하여 MS(104)와의 TCP 접속이 설정된다. 그 후, 블록(804)에서, UNC 또는 GANC(116)는 MS(104)에 대한 사설 IP 어드레스를 저장하고, 이를 MS(104)와 관련시키며, 블록(806)에서, MS(104)에 대한 이동 아이덴티티 정보가 UNC-SGW 또는 GANC-SEGW(10^)로부터 수신된다. 블록(808)에서, 수신된 MS 이동 아이덴티티 정보가 저장되고 이전에 저장된 MS 사설 IP 어드레스와 관련된다. 그 후, 블록(810)에서, MS(104)에 대한 IMSI를 포함하는 등록 요청이 MS(104)로부터 수신된다. 판정 블록(812)에서 결정되는 바와 같이, 수신된 IMSI가 저장된 IMSI와 부합하는 경우, 블록(814)에서, MS(104)는 등록된다. 그러나, 판정 블록(812)에서 결정되는 바와 같이, 수신된 IMSI가 저장된 IMSI와 부합하지 않는 경우(또는 발견되지 않는 경우), 블록(816)에서 등록은 거절된다.
본 발명에 의해 처리되는 문제들 중 일부에 대한 다른 해결책이 존재한다는 점에 주의하라. 예를 들어, "로그 접속"은 UNC 또는 GANC(116)에 의해 설정될 수 있다. 이 해결책에 의한 문제는 MS(104)에 의해 UNC-SGW 또는 GANC-SEGW(106) 중 어느 것이 사용되는지를 UNC 또는 GANC(116)가 인식하지 못한다는 것이다. UNC 또는 GANC(116)는 단지 MS(104)의 사설 IP-어드레스만을 인지한다. 각각의 UNC 또는 GANC(104)는 사설 IP-어드레스 서브네트워크 및 UNC-SGWs 또는 GANC-SEGWs(106) 사이의 관계로 구성될 수 있다. 일부 시나리오에서, 다수의 UNC-SGWs 또는 GANC-SEGWs(106)가 동일한 DHCP 서버를 사용하고 있을 때, 매우 복잡해진다. 또 다른 해결책은 각각의 UNC 또는 GANC(116)에서 모든 UNC-SGWs 또는 GANC-SEGWs(106)를 규정하는 것이며, UNC 또는 GANC(116)는 등록 요청을 수신할 때, 필요로 되는 정보에 관해 모든 UNC-SGWs 또는 GANC-SEGWs(106)에 요청할 것이다. 이것은 모든 UNCs 또는 GANCs(116)에서 UNC-SGW 또는 GANC-SEGW(106) 정보의 구성이 많다는 것을 의미 하며, 모든 UNC-SGW 또는 GANC-SEGW(106)이 MS(104) 등록마다 요청되기 때문에 UMA 시스템 상의 부하가 증가할 것이라는 것을 의미한다.
또 다른 가능성은 SGWs 또는 GANCs(106)에서 기존 "로그-기능"을 사용하는 것이다. 이것은 필요로 되는 정보가 SGW 또는 SEGW "로그-기능"에 부가된다는 것을 의미한다. 이 해결책에 의한 문제는 통상적으로 이 "로그-기능"이 신뢰 불가능한 UPD-프로토콜을 사용하고 있다는 것이다. 더구나, SGW 또는 SEGW "로그" 기능이 통상적으로 여러 네트워크 호스트에 전송되고, 여러 UNCs 또는 GANCs(116)에 더 전송될 필요가 있을 것이다.
본 발명은 또한 MS(104) 및 UNC 또는 GANC(116) 사이에서 모든 애플리케이션 레벨 메시지를 점검하기 위하여 확장될 수 있다. UNC-SGW 또는 GANC-SEGW(106)는 층 위반을 수행하고, MS(104)에 의해 전송된 등록 요청 메시지 내로 스네이킹되며, IMSI-값을 판독 출력하고 이를 EAP-SIM 또는 EAP-AKA 인증에서 사용되는 IMSI와 비교할 수 있다. IMSI-값이 부합하는 경우, UNC-SGW 또는 GANC-SEGW(106)는 그 메시지를 UNC 또는 GANC(104) 쪽으로 전달할 것이다. 부합하지 않는 경우, UNC-SGW 또는 GANC-SEGW(106)는 MS(104) 쪽으로의 IPsec 접속을 해제하고, IMSI 또는 MS 공중 IP-어드레스를 블랙리스트화하며, UNC-SGW 또는 GANC-SEGW(106)은 또한 적의 있는 MS IMSI에 관해 AAA-서버(114)에 통지할 수 있다. 이 해결책은 또한 상당히 간단하지만, UNC 또는 GANC(116)에 MS 공중 IP-어드레스를 제공하는 문제를 해결하지 못한다. 이것은 또한 UNC-SGW 또는 GANC-SEGW(106)이 MSs(104)에 의해 전송된 모든 애플리케이션 레벨 메시지를 점검해야 하고 원하지 않는 애플리케이션 레벨 프로토콜에 관한 어떤 정보를 가져야 한다는 것을 의미한다. 이것은 또한 어떤 부하를 UNC-SGW 또는 GANC-SEGW(106)에 부가할 것이다.
이제 도9를 참조하면, 업링크 메시지(902 및 906)에 대한 본 발명의 일 실시예의 사용을 나타내는 시그널링 시퀀스(900)가 도시되어 있다. UNC 또는 GANC(116)가 이동 아이덴티티를 포함하는 업링크 메시지(902)를 수신할 때, 상기 UNC 또는 GANC(116)는 MS 아이덴티티를 저장한다(904). 이 업링크 메시지(902)는 이동 아이덴티티 정보(예를 들어, MS IMSI, MS 사설 IP 어드레스, MS 공중 IP 어드레스 및 SGW 또는 SEGW 공중 어드레스)를 포함하는 이전에 설명된 메시지이다. UNC 또는 GANC(116)가 이동 아이덴티티를 포함하는 업링크 메시지(906)를 수신할 때, 상기 UNC 또는 GANC(116)는 이동 아이덴티티를 점검한다(908). 업링크 메시지(906)가 등록 요청(즉, 새로운 MS(104))이고, 점검이 실패한 경우(908) - 수신된 이동 아이덴티티가 MS(104)와 관련되는 저장된 이동 아이덴티티와 부합하지 않거나 발견되지 않는 경우 - 등록 요청(906)은 거절된다. 그러나, 점검(908)이 통과되는 경우 - 수신된 이동 아이덴티티가 MS(104)와 관련되는 저장된 이동 아이덴티티와 부합하는 경우 - UNC 또는 GANC(116)는 메시지(906)를 프로세싱한다(예를 들어, MS(104)를 등록한다). 메시지(906)가 또 다른 유형의 메시지이고, 점검(908)이 실패한 경우 - 수신된 이동 아이덴티티가 MS(104)와 관련되는 저장된 이동 아이덴티티와 부합하지 않는 경우 - 메시지(302)는 드롭된다. 그러나, 점검(908)이 통과된 경우 - 수신된 이동 아이덴티티가 MS(104)와 관련되는 저장된 이동 아이덴티티와 부합하는 경우 - 또는 이동 아이덴티티가 검출 불가능한 경우, UNC 또는 GANC(116)는 메시지(906)를 프로세싱한다(예를 들어, 메시지(910)를 전달한다). 이동 아이덴티티는 MS(104) 및 SGSN 사이의 GMM-메시지 GPRS 이동성 관리(GMM) 메시지들 중 일부에서 검출 불가능할 수 있는데, 그 이유는 이들이 LLC-층상에서 암호화되어 전송될 수 있고, UNC 또는 GANC(116)가 이들 메시지 내로 용이하게 스네이킹될 수 없기 때문이다. 예를 들어, ROUTING AREA UPDATE REQUEST 메시지는 통상적으로 암호화되지 않고 전송되며, UNC 또는 GANC(116)은 이 메시지에 대한 점검을 수행할 수 있다.
보다 구체적으로는, 업링크 메시지(906)가 IMSI를 포함하는 경우, UNC 또는 GANC(116)는 이 IMSI가 등록 동안 MS(104)에 의해 제공되는 것과 동일한지를 점검한다. 동일한 경우, 메시지(910)는 코어 네트워크로 전달된다. 상이한 경우, 메시지는 드롭된다. UNC 또는 GANC(116)는 또한 MS(104)를 등록하고 MS(104)에 의해 사용된 IP 어드레스를 일시적으로 블랙리스트화할 수 있다. 다른 동작은 경고로 운영자에게 통지하는 것 및 이벤트를 로깅하는 것을 포함할 수 있다.
업링크 메시지(906)가 TMSI 또는 P-TMSI를 포함하고 UNC 또는 GANC(116)가 이 MS(104)에 대한 TMSI 또는 P-TMSI를 저장하지 않은 경우, TMSI 또는 P-TMIS는 MS(104)에 저장된다. 그러나, UNC 또는 GANC(116)가 이 MS(104)에 대한 TMSI 또는 P-TMIS를 이미 저장한 경우, UNC 또는 GANC(116)는 이들 TMSI 값이 동일한지를 점검한다. 이들이 동일한 경우, 메시지(910)는 코어 네트워크로 전달된다. 이들이 상이한 경우, 메시지(910)는 드롭된다. UNC 또는 GANC(116)는 또한 MS(104)를 등록해제하고, MS(104)에 의해 사용되는 IP 어드레스를 일시적으로 블랙리스트화한다. 다른 동작은 경고로 운영자에게 통지하는 것 및 이벤트를 로깅하는 것을 포함할 수 있다.
이제 도10을 참조하면, 다운링크 메시지(1002)에 대한 본 발명의 일 실시예의 사용을 나타내는 시그널링 시퀀스(1000)가 도시되어 있다. UNC 또는 GANC(116)가 이동 아이덴티티를 포함하는 다운링크 메시지(1002)를 수신할 때, 상기 UNC 또는 GANC(116)는 이동 아이덴티티를 점검한다(1004). 다운링크 메시지(1002)가 MS(104)에 대한 (새롭게 할당되거나 변화된) 새로운 이동 아이덴티티를 포함하는 경우, UNC 또는 GANC(116)는 수신된 이동 아이덴티티를 저장하고 이를 MS(104)와 관련시키며, 수신된 메시지를 프로세싱할 것이다(즉, 메시지를 MS(104)에 전달한다). 이동 아이덴티티가 MS(104)에 대해 이미 저장되었다(즉, 이미 존재한다)는 것이 점검(1004)을 통해 드러나는 경우, 수신된 메시지는 프로세싱된다(즉, 메시지(1006)를 MS(104)로 전달한다). 대안적으로, 이동 아이덴티티는 다운링크 메시지(1002)를 수용하고, 확인하거나 완성하는 업링크 메시지가 수신될 때까지 유지되고 저장되지 않을 수 있다.
예를 들어, 다운링크 메시지(1002)가 TMSI REALLOCATION COMMAND인 경우, UNC 또는 GANC(116)는 할당된 TMSI 값을 MS(104) 콘텍스트에 저장한다. 다운링크 메시지가 MS(104) 콘텍스트와 관련되는 시그널링 접속 상에서 수신된다. MS(104) 콘텍스트로의 TMSI의 저장은 또한 TMSI REALLOCATION COMPLETE 메시지가 MS(104)로부터 수신될 때까지 지연될 수 있다. 마찬가지로, 다운링크 메시지(1002)가 LOCATION UPDATING ACCEPT이고 새로운 TMSI가 MS(104)에 할당되는 경우, UNC 또는 GANC(116)는 할당된 TMSI 값을 MS(104) 콘텍스트에 저장한다. MS(104) 콘텍스트로 의 TMSI의 저장은 또한 TMSI REALLOCATION COMPLETE 메시지가 MS(104)로부터 수신될 때까지 지연될 수 있다. P-TMSI REALLOCATION COMMAND에 대한 프로세스는 동일한 방식으로 핸들링된다.
이제 도11을 참조하면, 업링크 메시지에 대한 본 발명의 일 실시예에 따른 방법(1100)을 나타내는 흐름도가 도시되어 있다. 블록(1102)에서, 업링크 메시지가 수신된다. 판정 블록(1104)에서 결정되는 바와 같이, 수신된 메시지가 MS의 이동 아이덴티티를 포함하지 않는 경우(또는 검출되지 않는 경우), 블록(1106)에서, 업링크 메시지가 프로세싱(예를 들어, 전달, 실행, 등)된다. 그러나, 판정 블록(1104)에서 결정되는 바와 같이, 업링크 메시지가 MS의 이동 아이덴티티를 포함하고, 판정 블록(1108)에서 결정되는 바와 같이, 메시지 소스가 UNC-SGW 또는 GANC-SEGW(106)인 경우, 블록(1110)에서, 이동 아이덴티티 정보가 저장되고 MS(104)와 관련된다. 그러나, 판정 블록(1108)에서 결정되는 바와 같이, 메시지 소스가 MS(104)이고, 판정 블록(1112)에서 결정되는 바와 같이, 이동 아이덴티티가 IMSI이며, 판정 블록(1114)에서 결정되는 바와 같이, 수신된 IMSI가 MS와 관련되는 저장된 IMSI와 부합하는 경우, 블록(1106)에서, 메시지가 정상적으로 프로세싱된다. 그러나, 판정 블록(1114)에서 결정되는 바와 같이, 수신된 IMSI가 MS와 관련되는 저장된 IMSI와 부합하지 않고, 판정 블록(1116)에서 결정되는 바와 같이, 업링크 메시지가 등록 요청인 경우, 블록(1118)에서, 등록 요청인 IMSI가 거절된다. UNC 또는 GANC(116)는 또한 다음 동작들: 블록(1120)에서 시간 기간 동안 MS(104)와 관련된 IP 어드레스를 블랙리스트화하는 것; 블록(1122)에서 이동국의 등록해제 및 드롭된 메시지를 시스템 운영자에게 통지하는 것; 또는 블록(1124)에서 이동국의 등록해제 및 드롭된 메시지에 관한 정보를 로깅하는 것 중 어느 하나 또는 이들 모두를 수행할 수 있다. 그러나, 판정 블록(1116)에서 결정되는 바와 같이, 업링크 메시지가 등록 요청이 아닌 경우, 블록(1126)에서 메시지는 드롭된다. UNC 또는 GANC(116)는 다음 동작들: 블록(1128)에서 MS를 등록해제하는 것; 블록(1120)에서 시간 기간 동안 MS(104)와 관련된 IP 어드레스를 블랙리스트화하는 것; 블록(1122)에서 MS(104)의 등록해제 및 드롭된 메시지를 시스템 운영자에게 통지하는 것; 또는 블록(1124)에서 MS(104)의 등록해제 및 드롭된 메시지에 관한 정보를 로깅하는 것 중 어느 하나 또는 이들 모두를 수행할 수 있다.
그러나, 판정 블록(1112)에서 결정되는 바와 같이, 이동 아이덴티티가 TMSI 또는 P-TMSI이고, 판정 블록(1130)에서 결정되는 바와 같이, TMSI 또는 P-TMSI가 MS(104)에 대해 이미 저장되지 않는 경우, 블록(1132)에서, TMSI 또는 P-TMSI가 저장되고 MS(104)와 관련되며. 블록(1106)에서 메시지는 정상적으로 프로세싱된다. 그러나, 판정 블록(1130)에서 결정되는 바와 같이, TMSI 또는 P-TMSI가 MS(104)에 대해 이미 저장되고, 판정 블록(1134)에서 결정되는 바와 같이, 수신된 TMSI 또는 P-TMSI가 MS(104)와 관련되는 저장된 TMSI 또는 P-TMSI와 부합하는 경우, 블록(1106)에서 메시지는 정상적으로 프로세싱된다. 그러나, 판정 블록(1134)에서 결정되는 바와 같이, 수신된 TMSI 또는 P-TMSI가 MS(104)와 관련되는 저장된 TMSI 또는 P-TMSI와 부합하지 않은 경우, 블록(1126)에서, 메시지는 드롭된다. UNC 또는 GANC(116)는 또한 다음 동작들: 블록(1128)에서 MS(104)를 등록해제하는 것; 블록(1120)에서 시간 기간 동안 MS(104)와 관련된 IP 어드레스를 블랙리스트화하는 것; 블록(1122)에서 MS(104)의 등록해제 및 드롭된 메시지를 시스템 운영자에게 통지하는 것; 또는 블록(1124)에서 MS(104)의 등록해제 및 드롭된 메시지에 관한 정보를 로깅하는 것 중 어느 하나 또는 이들 모두를 수행할 수 있다.
이제 도12를 참조하면, 다운링크 메시지에 대한 본 발명의 일 실시예에 따른 방법(1200)을 나타내는 흐름도가 도시되어 있다. 블록(1202)에서, 다운링크 메시지가 수신된다. 판정 블록(1204)에서 결정되는 바와 같이, 다운링크 메시지가 MS(104)에 대한 TMSI 또는 P-TMSI를 포함하지 않는 경우(또는 검출 불가능한 경우), 블록(1206)에서, 상기 다운링크 메시지가 프로세싱(예를 들어, 전달, 실행, 등)된다. 그러나, 판정 블록(1204)에서 결정되는 바와 같이, 다운링크 메시지가 MS(104)에 대한 TMSI 또는 P-TMSI를 포함하고, 판정 블록(1208)에서 결정되는 바와 같이, TMSI 또는 P-TMSI가 새로운 것이 아닌 경우(즉, UNC 또는 GANC(116)이 이미 저장하였고 이것을 MS(104)와 관련시킨 경우), 블록(1206)에서, 상기 다운링크 메시지는 정상적으로 프로세싱된다. 그러나, 판정 블록(1208)에서 결정되는 바와 같이, TMSI 또는 P-TMSI가 새로운 것인 경우, 블록(1210)에서 TMSI 또는 P-TMSI는 저장되고 MS(104)와 관련되며, 블록(1206)에서 메시지는 정상적으로 프로세싱된다.
이제 도13을 참조하면, 다운링크 메시지에 대한 본 발명의 또 다른 실시예에 따른 방법(1300)을 나타내는 흐름도가 도시되어 있다. 블록(1302)에서, 다운링크 메시지가 수신된다. 판정 블록(1304)에서 결정되는 바와 같이, 다운링크 메시지가 MS(104)에 대한 TMSI 또는 P-TMSI를 포함하지 않는 경우(또는 검출 불가능한 경우 ), 블록(1306)에서, 상기 다운링크 메시지는 프로세싱(예를 들어, 전달, 실행, 등)된다. 그러나, 판정 블록(1304)에서 결정되는 바와 같이, 다운링크 메시지가 MS(104)에 대한 TMSI 또는 P-TMSI를 포함하고, 판정 블록(1308)에서 결정되는 바와 같이, TMSI 또는 P-TMSI가 새로운 것이 아닌 경우(즉, UNC 또는 GANC(116)이 이미 저장하었고 이를 MS(104)와 관련시키는 경우), 블록(1306)에서, 상기 다운링크 메시지는 정상적으로 프로세싱된다. 그러나, 판정 블록(1308)에서 결정되는 바와 같이, TMSI가 새로운 것인 경우, 블록(1310)에서, TMSI 또는 P-TMSI는 유지되고, 블록(1312)에서, 메시지는 정상적으로 프로세싱된다. 블록(1314)에서 유지된 TMSI 또는 P-TMSI를 포함하는 수신된 다운링크 메시지를 수용하고, 확인하거나 완성하는 업링크 메시지가 수신될 때까지 TMSI 또는 P-TMSI는 유지된다. 그 후, 블록(1316)에서, 유지된 TMSI 또는 P-TMSI는 저장되고 MS(104)와 관련되며, 블록(1318)에서 업링크 메시지가 정상적으로 프로세싱된다.
상술된 방법들 중 어느 하나가 다양한 방법 단계가 하나 이상의 코드 세그먼트에 의해 구현되는 컴퓨터 판독 가능한 매체 상에서 실행되는 컴퓨터 프로그램으로서 구현될 수 있다는 점에 주의하라.
정보 및 신호가 다양한 여러 기법 및 기술 중 어느 하나를 사용하여 표현될 수 있다(예를 들어, 데이터, 지시, 명령, 정보, 신호, 비트, 심벌, 칩이 전압, 전류, 전자기파, 자기 필드 또는 입자, 광학 필드 또는 입자, 또는 이들의 임의의 조합에 의해 표현될 수 있다)는 것을 당업자들은 이해할 것이다. 마찬가지로, 본원에 설명된 다양한 설명적인 논리적 블록, 모듈, 회로, 및 알고리즘 단계는 애플리케이션 및 기능에 따라 전자 하드웨어, 컴퓨터 소프트웨어, 및 이들의 조합으로서 구현될 수 있다. 더구나, 본원에 설명된 다양한 논리적 블록, 모듈, 및 회로는 본원에 설명된 기능을 수행하도록 디자인된 범용 프로세서(예를 들어, 마이크로프로세서, 통상적인 프로세서, 제어기, 마이크로제어기, 상태 기계 또는 계산 디바이스의 조합), 디지털 신호 프로세서(:DSP"), 주문형 반도체("ASIC"), 필드 프로그램 가능한 게이트 어레이("FPGA") 또는 다른 프로그램 가능한 논리 디바이스, 이산 게이트 또는 트랜지스터 논리, 이상 하드웨어 컴포넌트, 또는 이들의 임의의 조합으로 구현되거나 수행될 수 있다. 유사하게, 본원에 설명된 프로세스 또는 방법의 단계는 하드웨어에서 직접적으로, 프로세서에 의해 실행되는 소프트웨어 모듈에서, 또는 이들 2개의 조합에서 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리 플래시 메모리, ROM 메모리 EPROM 메모리 EEPROM 메모리 레지스터, 하드 디스크, 제거 가능한 디스크, CD-ROM, 또는 종래 기술에 공지된 다른 형태의 저장 매체에 존재할 수 있다. 본 발명의 바람직한 실시예가 상세히 설명되었을지라도, 첨부된 청구항에서 설명된 바와 같은 본 발명을 벗어남이 없이 본원에서 다응한 변경이 행해질 수 있다는 것을 당업자들은 이해할 것이다.

Claims (21)

  1. 이동 액세스 네트워크 내의 네트워크 제어기(116)에서 이동국(104)의 이동 아이덴티티를 포함하는 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 수신하는 단계를 포함하는 이동 액세스 네트워크에서 보안을 제공하는 방법에 있어서:
    상기 이동국(104)이 인증된 후(600, 700), 상기 네트워크 제어기(116)가 보안 게이트웨이(106)로부터 상기 이동국(104)과 관련된 이동 아이덴티티를 수신하는 단계(614, 710, 806, 902); 및
    상기 네트워크 제어기(116)에서 인증된 이동국(104)과 관련된 이동 아이덴티티를 저장하는 단계(616, 808, 904, 1110); 및
    상기 수신된 이동 아이덴티티가 상기 이동국(104)과 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다, 상기 네트워크 제어기(116)로, 상기 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 드롭 또는 거절하는 단계(410, 816, 908, 1118, 1126)를 포함하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  2. 제1항에 있어서,
    상기 이동 액세스 네트워크는 인증되지 않은 이동 액세스 네트워크이고, 상기 네트워크 제어기는 인증되지 않은 네트워크 제어기인 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  3. 제 1 항에 있어서, 상기 이동 액세스 네트워크는 일반적인 액세스 네트워크(generic access network: GAN)이고, 상기 네트워크 제어기는 GAN 제어기인 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 수신된 이동 아이덴티티가 상기 이동국(104)과 관련되는 상기 저장된 이동 아이덴티티와 부합할 때마다 상기 수신된 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 프로세싱하는 단계(408, 814, 910, 1006, 1106)를 더 포함하는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  5. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 이동 아이덴티티는 국제 이동 가입자 아이덴티티(IMSI), 일시적 이동 가입자 아이덴티티(TMSI), 패킷 일시적 이동 가입자 아이덴티티(P-TMSI), 사설 인터넷 프로토콜(IP) 어드레스 또는 공중 IP 어드레스를 포함하는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  6. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 수신된 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)는 등록 요청(618, 810, 906), 업링크 메시지(906, 1102) 또는 다운링크 메시지(1002, 1202, 1302)를 포함하는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  7. 제6항에 있어서,
    상기 업링크 메시지(906, 1102)는 이동 스위칭 센터(MSC 112) 또는 일반적인 패킷 무선 서비스(GPRS) 지원 노드(SGSN)로 송신되는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  8. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 수신된 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)가 다운링크 메시지(1002, 1202, 1302)이고 상기 수신된 이동 아이덴티티가 상기 이동국(104)의 이동 아이덴티티를 할당하거나 변화시킬 때마다 상기 수신된 이동 아이덴티티를 저장하고(1004, 1210, 1316) 상기 수신된 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 프로세싱하는 단계(1006, 1206, 1312)를 더 포함하는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  9. 제8항에 있어서,
    상기 수신된 이동 아이덴티티는, 업링크 메시지가 다운링크 메시지(1302)를 수용하고, 확인하거나 완성시키는 업링크 메시지가 수신될 때까지(1314), 저장되지 않는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  10. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 수신된 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 드롭하는 상기 단계(410, 816, 908, 1118, 1126)는:
    상기 이동국(104)을 등록해제하는 단계(1128);
    상기 이동국(104)과 관련된 인터넷 프로토콜(IP) 어드레스를 블랙리스트화하는 단계(1120);
    상기 이동국(104)의 등록해제 및 드롭된 메시지를 시스템 운영자에게 통지하는 단계(1122); 또는
    상기 이동국(104)의 등록해제 및 드롭된 메시지에 관한 정보를 로깅하는 단계(1124) 중 하나 이상의 단계를 포함하는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  11. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 수신된 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)는 이동성 관리(MM) 메시지, 일반적인 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 UMA 또는 인증되지 않은 무선 자원(URR) 메시지인 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  12. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 이동국(104)에 하나 이상의 서비스를 제공하기 위하여 저장된 이동 아이덴티티를 사용하는 단계를 더 포함하는 것을 특징으로 하는 이동 액세스 네트워크에서 보안을 제공하는 방법.
  13. 이동 액세스 네트워크 내의 네트워크 제어기(116)에서 이동국(104)의 이동 아이덴티티를 포함하는 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 수신하는 코드 세그먼트를 포함하는 코어 네트워크를 보호하기 위한 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 있어서:
    상기 이동국(104)이 인증된 후(600, 700), 상기 네트워크 제어기(116)가 보안 게이트웨이(106)로부터 상기 이동국(104)과 관련된 이동 아이덴티티를 수신하는(614, 710, 806, 902) 코드 세그먼트;
    상기 네트워크 제어기(116)에서 인증된 이동국(104)과 관련된 이동 아이덴티티를 저장하는(616, 808, 904, 1110) 코드 세그먼트; 및
    수신된 이동 아이덴티티가 상기 이동국(104)과 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다, 상기 네트워크 제어기(116)로, 상기 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 드롭 또는 거절하는(410, 816, 908, 1118, 1126) 코드 세그먼트를 포함하는 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  14. 이동국과 이동 아이덴티티의 관련성을 저장하는 데이터 저장 디바이스 및 상기 데이터 저장 디바이스에 통신 가능하게 결합된 프로세서를 포함하는 네트워크 제어기(116)에 있어서:
    이동국(104)이 인증된 후(600, 700), 보안 게이트웨이(106)로부터 이동국(104)과 관련된 이동 아이덴티티를 수신하고(614, 710, 806, 902),
    상기 데이터 저장 디바이스에서 인증된 이동국(104)과 관련된 이동 아이덴티티를 저장하고(616, 808, 904, 1110),
    상기 이동국(104)의 이동 아이덴티티를 포함하는 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 수신하고,
    상기 수신된 이동 아이덴티티가 상기 이동국(104)과 관련되는 저장된 이동 아이덴티티와 부합하지 않을 때마다 상기 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 드롭 또는 거절하도록 구성되는 프로세서를 포함하는 것을 특징으로 하는 네트워크 제어기.
  15. 제 14 항에 있어서,
    상기 제어기는 인증되지 않은 네트워크 제어기인 것을 특징으로 하는 네트워크 제어기.
  16. 제 14 항에 있어서,
    상기 제어기는 GAN 제어기인 것을 특징으로 하는 네트워크 제어기.
  17. 이동국(104), 상기 이동국(104)에 통신 가능하게 결합되는 보안 게이트웨이(106), 및 상기 이동국(104) 및 상기 보안 게이트웨이(106)에 통신 가능하게 결합되는 네트워크 제어기(116)를 포함하는 무선 액세스 네트워크 내의 시스템에 있어서:
    상기 보안 게이트웨이(106)는 상기 이동국(104)으로부터 이동 아이덴티티 정보를 수신(600, 700)하고, 상기 이동국(104)이 인증된 후(600, 700), 상기 네트워크 제어기(116)에 이동 아이덴티티 정보를 전송하도록(614, 710, 806, 902) 구성되며;
    상기 네트워크 제어기(116)는 인증된 이동국(104)과 관련되는 수신된 이동 아이덴티티 정보를 저장하고(616, 808, 904, 1110),
    상기 이동국(104)의 이동 아이덴티티를 포함하는 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 수신하고,
    상기 수신된 이동 아이덴티티가 상기 이동국(104)과 관련되는 저장된 이동 아이덴티티 정보와 부합하지 않을 때마다 상기 메시지(402, 618, 810, 906, 1002, 1102, 1202, 1302)를 드롭 또는 거절하도록(410, 816, 908, 1118, 1126) 구성되는 것을 특징으로 하는 이동 액세스 네트워크 내에 시스템.
  18. 제17항에 있어서,
    상기 이동 아이덴티티 정보는 국제 이동 가입자 아이덴티티(IMSI), 사설 인터넷 프로토콜(IP) 어드레스, 또는 공중 IP 어드레스를 포함하는 것을 특징으로 하는 시스템.
  19. 제17항에 있어서,
    상기 보안 게이트웨이(106)는 상기 이동국(104)을 등록하기 위하여 상기 네트워크 제어기(116)에 의해 사용되는 하나 이상의 규정된 전송 제어 프로토콜(TCP) 포트로 구성되고, 상기 네트워크 제어기(116)는 하나 이상의 규정된 TCP 포트 상에서 들어오는 TCP 접속에 대해 청취하도록 구성되는 것을 특징으로 하는 시스템.
  20. 제17항에 있어서,
    상기 보안 게이트웨이(106)는 성공적인 수신 및 이동 아이덴티티 정보의 저장을 나타내는 메시지가 상기 네트워크 제어기(116)로부터 수신될 때까지 등록 요청이 상기 네트워크 제어기에 의해 수신되지 않는 것을 보장하도록 구성되는 것을 특징으로 하는 시스템.
  21. 제17항에 있어서,
    상기 네트워크 제어기(116)는 상기 이동국(104)에 하나 이상의 서비스를 제공하기 위하여 이동 아이덴티티 정보를 사용하도록 구성되는 것을 특징으로 하는 시스템.
KR1020077017823A 2005-02-01 2006-01-30 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치 KR101262405B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/047,880 US7280826B2 (en) 2005-02-01 2005-02-01 Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network
US11/047,880 2005-02-01

Publications (2)

Publication Number Publication Date
KR20070102698A KR20070102698A (ko) 2007-10-19
KR101262405B1 true KR101262405B1 (ko) 2013-05-08

Family

ID=36121549

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077017823A KR101262405B1 (ko) 2005-02-01 2006-01-30 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치

Country Status (14)

Country Link
US (1) US7280826B2 (ko)
EP (1) EP1844613B1 (ko)
JP (1) JP4758442B2 (ko)
KR (1) KR101262405B1 (ko)
CN (1) CN101283597B (ko)
AT (1) ATE427628T1 (ko)
AU (1) AU2006211011B2 (ko)
BR (1) BRPI0607120B1 (ko)
DE (1) DE602006006027D1 (ko)
HK (1) HK1125524A1 (ko)
MX (1) MX2007008998A (ko)
MY (1) MY140735A (ko)
PL (1) PL1844613T3 (ko)
WO (1) WO2006082489A1 (ko)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030119490A1 (en) 2001-02-26 2003-06-26 Jahangir Mohammed Wireless communications handset for facilitating licensed and unlicensed wireless communications, and method of operation
US7272397B2 (en) * 2003-10-17 2007-09-18 Kineto Wireless, Inc. Service access control interface for an unlicensed wireless communication system
US7283822B2 (en) * 2003-10-17 2007-10-16 Kineto Wireless, Inc. Service access control interface for an unlicensed wireless communication system
WO2006012909A1 (en) * 2004-08-02 2006-02-09 Telefonaktiebolaget L.M. Ericsson (Publ) Handover in a mobile communications network
EP1864544A1 (en) * 2005-03-31 2007-12-12 Nokia Corporation Authentication mechanism for unlicensed mobile access
EP1941636A4 (en) * 2005-05-10 2016-10-19 Network Equipment Tech LAN-BASED UMA NETWORK CONTROL WITH PROXY CONNECTION
US7769379B2 (en) * 2005-06-17 2010-08-03 Nokia Corporation Unlicensed mobile access support in mobile networks of the third generation
EP1938488B1 (en) 2005-10-21 2015-09-09 T-Mobile, USA, Inc System and method for determining device location in an ip-based wireless telecommunications network
US7950052B2 (en) * 2006-01-25 2011-05-24 Audiocodes, Inc. System, method, and interface for segregation of a session controller and a security gateway
WO2007098678A1 (fr) * 2006-02-28 2007-09-07 Huawei Technologies Co., Ltd. Serveur d'agents, procédé permettant de créer un agent par l'intermédiaire du serveur d'agents et système et procédé pour système de communication sécurisé
CA2619648C (en) * 2006-04-13 2013-12-31 T-Mobile Usa, Inc. Mobile computing device geographic location determination
US8356171B2 (en) * 2006-04-26 2013-01-15 Cisco Technology, Inc. System and method for implementing fast reauthentication
US8817696B2 (en) 2006-05-22 2014-08-26 Cisco Technology, Inc. Enhanced unlicensed mobile access network architecture
US20080031214A1 (en) * 2006-08-07 2008-02-07 Mark Grayson GSM access point realization using a UMA proxy
US7668544B2 (en) * 2006-08-25 2010-02-23 Research In Motion Limited Method and system for handling a faulty registration for a mobile communications device
US7941140B2 (en) * 2006-10-04 2011-05-10 Cisco Technology, Inc. UMA/GAN integration within a legacy location based system
CA2620409A1 (en) 2006-10-20 2008-04-20 T-Mobile Usa, Inc. System and method for determining a subscriber's zone information
CA2620617A1 (en) 2006-10-20 2008-04-20 T-Mobile Usa, Inc. System and method for utilizing ip-based wireless telecommunications client location data
WO2008049131A2 (en) * 2006-10-20 2008-04-24 T-Mobile Usa, Inc. Two stage mobile device geographic location determination
JP5166453B2 (ja) * 2007-03-08 2013-03-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 無線システム内のユーザ装置のサービスエリア識別子を選択するための方法および装置
US8064882B2 (en) * 2007-03-09 2011-11-22 Cisco Technology, Inc. Blacklisting of unlicensed mobile access (UMA) users via AAA policy database
US8510455B2 (en) * 2007-04-30 2013-08-13 Futurewei Technologies, Inc. Method and apparatus for IP mobility management selection
US20080268842A1 (en) * 2007-04-30 2008-10-30 Christian Herrero-Veron System and method for utilizing a temporary user identity in a telecommunications system
CA2689328C (en) * 2007-06-08 2014-09-16 Research In Motion Limited Methods and apparatus for use in controlling the selection of communication networks while connected in a generic access network
US8649799B2 (en) * 2007-07-09 2014-02-11 Telefonaktiebolaget L M Ericsson (Publ) Unlicensed mobile access (UMA) terminal location in a communications network
EP2547131A1 (en) * 2007-07-13 2013-01-16 Telefonaktiebolaget L M Ericsson (publ) Routing call to UMA-capable terminals using a geographic number
US8189549B2 (en) * 2007-10-22 2012-05-29 T-Mobile Usa, Inc. System and method for indicating a subscriber's zone within converged telecommunications networks
US8792920B2 (en) * 2007-11-15 2014-07-29 Ubeeairwalk, Inc. System, method, and computer-readable medium for short message service processing by a femtocell system
ES2404045T3 (es) * 2008-05-13 2013-05-23 Telefonaktiebolaget Lm Ericsson (Publ) Manejo del tipo de usuario en una red de acceso inalámbrica
US8520589B2 (en) * 2008-05-19 2013-08-27 Motorola Mobility Llc Mobile device and method for intelligently communicating data generated thereby over short-range, unlicensed wireless networks and wide area wireless networks
US8326268B2 (en) * 2008-06-10 2012-12-04 Samsung Electronics Co., Ltd. Method and system for protection against the unauthorized use of a terminal
US8290474B2 (en) * 2008-10-09 2012-10-16 Nokia Corporation Method, apparatus and computer program product for providing smart card security
WO2010102242A2 (en) * 2009-03-06 2010-09-10 T-Mobile Usa, Inc. System and method for indicating a subscriber's zone within converged telecommunications networks
US8718592B2 (en) * 2009-05-15 2014-05-06 T-Mobile Usa, Inc. Mobile device location determination using micronetworks
US8311557B2 (en) * 2009-05-15 2012-11-13 T-Mobile Usa, Inc. Facility for selecting a mobile device location determination technique
US8135735B2 (en) 2009-07-10 2012-03-13 Geodex, Llc Computerized system and method for tracking the geographic relevance of website listings and providing graphics and data regarding the same
US9201973B2 (en) 2009-07-10 2015-12-01 Geodex Llc Computerized system and method for tracking the geographic relevance of website listings and providing graphics and data regarding the same
CN102025848A (zh) * 2009-09-18 2011-04-20 鸿富锦精密工业(深圳)有限公司 网关及其处理封包的方法
US9094927B2 (en) 2010-04-28 2015-07-28 T-Mobile Usa, Inc. Location continuity service for locating mobile devices using multiple access networks including wireless telecommunication networks
US8472974B2 (en) 2010-04-28 2013-06-25 T-Mobile Usa, Inc. Location continuity service for locating mobile devices using multiple access networks including wireless telecommunication networks
US8695095B2 (en) * 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US9781658B1 (en) * 2011-04-20 2017-10-03 Sprint Communications Company L.P. Wireless communication device detection with a pseudo-pilot signal
US10237840B2 (en) * 2016-05-17 2019-03-19 T-Mobile Usa, Inc. Providing a public internet protocol address during Wi-Fi calling registration
WO2018089442A2 (en) * 2016-11-09 2018-05-17 Intel IP Corporation Ue and devices for detach handling
US10785708B2 (en) 2018-09-12 2020-09-22 Trespass Tracker Ltd. System and method of tracking a mobile device
WO2021046650A1 (en) * 2019-09-12 2021-03-18 Trespass Tracker Ltd. System and method of tracking a mobile device
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
EP4037278A4 (en) * 2019-09-24 2022-11-16 PRIBIT Technology, Inc. SYSTEM FOR CONTROLLING NETWORK ACCESS OF A NODE BASED ON TUNNEL AND DATA FLOW AND METHOD THEREOF
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065952A1 (en) 2001-09-28 2003-04-03 Brother Kogyo Kabushiki Kaisha Authentication system using device address to verify authenticity of terminal

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5850444A (en) * 1996-09-09 1998-12-15 Telefonaktienbolaget L/M Ericsson (Publ) Method and apparatus for encrypting radio traffic in a telecommunications network
JP2001218267A (ja) * 2000-02-02 2001-08-10 Futoshi Uenishi 携帯電話による個人認証システム
ES2240891T3 (es) * 2000-11-17 2005-10-16 Telefonaktiebolaget Lm Ericsson (Publ) Red de comunicacion movil.
GB2371711B (en) * 2000-11-27 2004-07-07 Nokia Mobile Phones Ltd A Server
US20030119490A1 (en) * 2001-02-26 2003-06-26 Jahangir Mohammed Wireless communications handset for facilitating licensed and unlicensed wireless communications, and method of operation
EP1261170A1 (en) * 2001-05-24 2002-11-27 BRITISH TELECOMMUNICATIONS public limited company Method for providing network access to a mobile terminal and corresponding network
ATE390007T1 (de) * 2002-06-12 2008-04-15 Ericsson Telefon Ab L M Verfahren, system und vorrichtung zur bearbeitung von eigenschaften einer endgeräte
US7280505B2 (en) * 2002-11-13 2007-10-09 Nokia Corporation Method and apparatus for performing inter-technology handoff from WLAN to cellular network
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
US7657270B2 (en) * 2003-06-06 2010-02-02 At&T Intellectual Property I, L.P. System and method for providing a single telephone number for use with a plurality of telephone handsets
US7266106B2 (en) * 2004-08-31 2007-09-04 Telefonaktiebolaget Lm Ericsson (Publ) Frame size adaptation in real-time transport protocol
US8428553B2 (en) * 2005-01-24 2013-04-23 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for protecting a core network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065952A1 (en) 2001-09-28 2003-04-03 Brother Kogyo Kabushiki Kaisha Authentication system using device address to verify authenticity of terminal

Also Published As

Publication number Publication date
BRPI0607120B1 (pt) 2019-04-16
MX2007008998A (es) 2007-09-14
DE602006006027D1 (de) 2009-05-14
WO2006082489A1 (en) 2006-08-10
ATE427628T1 (de) 2009-04-15
KR20070102698A (ko) 2007-10-19
JP2008529380A (ja) 2008-07-31
US7280826B2 (en) 2007-10-09
CN101283597A (zh) 2008-10-08
CN101283597B (zh) 2011-11-16
HK1125524A1 (en) 2009-08-07
AU2006211011A1 (en) 2006-08-10
EP1844613A1 (en) 2007-10-17
MY140735A (en) 2010-01-15
PL1844613T3 (pl) 2009-08-31
BRPI0607120A2 (pt) 2009-08-11
JP4758442B2 (ja) 2011-08-31
US20060172732A1 (en) 2006-08-03
EP1844613B1 (en) 2009-04-01
AU2006211011B2 (en) 2010-04-01

Similar Documents

Publication Publication Date Title
KR101262405B1 (ko) 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치
CN112219381B (zh) 用于基于数据分析的消息过滤的方法和装置
FI110975B (fi) Huijaamisen estäminen tietoliikennejärjestelmissä
KR101167781B1 (ko) 콘텍스트 전달을 인증하는 시스템 및 방법
CN115699840A (zh) 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、***和计算机可读介质
US9113331B2 (en) Validating user identity by cooperation between core network and access controller
KR20070104633A (ko) 코어 네트워크를 보호하는 방법 및 장치
JP2008529380A5 (ko)
WO2003039170A1 (en) General packet radio service (gprs) tunneling protocol (gtp) signalling message filtering
TW201725931A (zh) 通訊系統中閘道器節點之選擇
CN110754101B (zh) 用于保护与用户设备相关联的订户信息的方法、***和计算机可读存储介质
US8428553B2 (en) Method and apparatus for protecting a core network
KR102440411B1 (ko) 비정상 로밍 요청 탐지 방법 및 장치
US20240147238A1 (en) Diameter spoofing detection and post-spoofing attack prevention
CN118056448A (zh) 用于将终端注册到通信网络的方法、设备和***
CN114223232A (zh) 通信方法和相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160422

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170424

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180424

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190423

Year of fee payment: 7