KR102279293B1 - 비암호화 채널 탐지 방법 및 장치 - Google Patents

비암호화 채널 탐지 방법 및 장치 Download PDF

Info

Publication number
KR102279293B1
KR102279293B1 KR1020200099443A KR20200099443A KR102279293B1 KR 102279293 B1 KR102279293 B1 KR 102279293B1 KR 1020200099443 A KR1020200099443 A KR 1020200099443A KR 20200099443 A KR20200099443 A KR 20200099443A KR 102279293 B1 KR102279293 B1 KR 102279293B1
Authority
KR
South Korea
Prior art keywords
message
mme
network
traffic
identifying
Prior art date
Application number
KR1020200099443A
Other languages
English (en)
Inventor
김도원
박성민
박영권
최보민
조진현
조형진
권성문
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020200099443A priority Critical patent/KR102279293B1/ko
Priority to US17/332,851 priority patent/US11350282B2/en
Application granted granted Critical
Publication of KR102279293B1 publication Critical patent/KR102279293B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/30Connection release

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

비정상 트래픽을 탐지하는 방법이 제공된다. 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법은, UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 단계와, 상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하는 단계와, 상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 제1 유형의 위험 단말로 식별하는 단계를 포함한다.

Description

비암호화 채널 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING NULL-CIPHERING CHANNELS}
본 발명은 LTE 및 5G 네트워크에서 암호화되지 않은 방식으로 수립된 무선 채널을 탐지하는 방법 및 장치에 관한 것이다. 보다 구체적으로, 중간자 공격(Man In The Middle: MITM) 방식 등에 의해 사용자 단말과 코어 네트워크 사이에 수립된 의도하지 않은 비암호화 채널을 탐지하는 방법 및 장치에 관한 것이다.
5G 이동통신 표준에서는 4G에서 5G로의 진화를 위한 코어 네트워크를 위한 구조로서 NSA(Non-Standalone) 구조 및 SA(Standalone) 구조를 모두 고려한다. SA는 단말의 이동성 관리 등을 담당하는 제어 플레인(control plane) 및 사용자의 데이터 트래픽을 담당하는 사용자 플레인(user plane) 모두 5G 표준의 자체 구조를 사용한다. 반면에 NSA는, 5G 이동통신의 초기 상용망에 이용될 것으로 예상되는 구조로서, 제어 플레인(control plane)의 동작은 4G의 LTE 네트워크를 활용하고, 사용자 플레인(user plane)은 4G LTE보다 고속의 5G 네트워크를 이용하는 구조이다. 다시 말해, 5G NSA에서는 4G LTE 표준에 따른 제어 플레인의 동작 방식들이 사용된다.
4G LTE 표준에서 LTE 인증은, 사용자가 네트워크에 접속할 때, 네트워크의 입장에서 접속이 허용된 사용자인지 확인하고, 사용자의 입장에서 올바른 네트워크인지 확인하는 과정이다. NAS(Non-access Stratum) 및 AS(Access Stratum) 보안 설정은 LTE 무선 링크를 통해 전달되는 사용자 데이터를 NAS 및 AS 구간에서 안전하게 전달하기 위한 설정 과정이다. NAS 보안 설정에서는 사용자 단말(UE: User Equipment)과 모바일 관리 주체(MME: Mobility Management Entity) 사이의 NAS 시그널링에 대한 무결성(integrity)과 암호화(ciphering) 방식을 결정한다. AS 보안 설정에서는 사용자 단말(UE)과 기지국(eNodeB, gNodeB) 사이의 RRC 시그널링 및 사용자 데이터 트래픽에 대한 무결성(integrity)과 암호화(ciphering) 방식을 결정한다.
NAS 보안 설정 과정에 대해 조금 더 자세히 살펴보면, 먼저 UE가 네트워크에 망 접속 요청(Attach Request) 메시지를 전송할 때, 이 메시지 내에 'UE Network Capability' 필드의 값을 설정한다. 'UE Network Capability' 필드에 설정된 값은 상기 UE가 지원하는 암호화 및 무결성 보호 알고리즘의 유형을 나타내는 것이다. 암호화 알고리즘은, EEA0(널 암호화; 암호화하지 않음을 의미), 128-EEA1(SNOW 3G 알고리즘), 128-EEA2(AES 알고리즘), 128-EEA3(ZUC 알고리즘) 중에서 UE가 지원하는 알고리즘이 설정된다. 무결성 보호 알고리즘은 EEA0(널 무결성 보호; 무결성을 확인하지 않음을 의미), 128-EIA1(SNOW 3G 알고리즘), 128-EIA2(AES 알고리즘), 128-EIA3(ZUC 알고리즘) 중에서 UE가 지원하는 알고리즘이 설정된다.
MME는, 망 접속 요청(Attach Request) 메시지 내의 'UE Network Capability' 필드에 설정된 값을 기초로, 상기 UE와의 NAS 메시지에 적용할 암호화 및 무결성 알고리즘을 선택한다. 그리고 MME는 'Replayed UE Security Capability' (UE의 Attach Request 메시지 내에 설정되어 있던 'UE Network Capability' 필드 값을 그대로 복사하여 설정한 필드), 'NAS Ciphering Algorithm' (MME가 선택한 NAS 암호화 알고리즘), 'NAS Integrity Protection Algorithm' (MME가 선택한 NAS 무결성 알고리즘), 및 키 정보 등을 포함하는 NAS Security Mode Command 메시지를 UE에게 전송한다. 이때 NAS Security Mode Command 메시지는 무결성 보호되지만, 암호화되지는 않은 메시지이다.
MME로부터 수신한 NAS Security Mode Command 메시지에 기초하여, UE는 MME가 선택한 암호화/무결성 알고리즘을 인지하고, 키를 도출하며, 여러 검증 과정을 거친 결과 문제가 없으면, NAS Security Mode Complete 메시지를 MME에게 전송한다. 이때, NAS Security Mode Complete 메시지는 무결성 보호되고 암호화된 메시지이다.
MME는 NAS Security Mode Complete 메시지의 무결성을 확인 및 복호화한 후, NAS 보안 설정 과정을 종료하고, Attach Accept(망 접속 허용) 메시지를 UE에게 전송한다. 이어서 UE와 기지국 사이의 AS 보안 설정 과정이 진행된다.
전술한 LTE NAS 보안 설정 과정에서, UE가 망 접속 요청 메시지의 'UE Network Capability' 필드를 설정할 때, 자신이 지원하는 암호화 알고리즘을 '널 암호화 알고리즘'으로 설정할 수 있다는 점에 주목할 필요가 있다. 즉, UE는 MME와 주고받는 NAS 시그널링 메시지들을 암호화하지 않도록 설정할 수 있다는 점에 주목한다. LTE 표준에서 널 암호화 및 널 무결성 보호가 지원되는 이유 중 하나는 긴급 통화(emergency call) 등 가입자의 유효한 암호화 키가 담긴 USIM 없이도 통화가 이루어져야 하는 상황들이 있기 때문이다. 그 밖의 일반적인 상황에서 무결성 보호 알고리즘은 EIA0(널 무결성 보호) 이외의 암호화 알고리즘 중 어느 하나로 반드시 설정되어야 하는 반면에, 암호화 알고리즘은 EEA0(널 암호화)로 설정될 수 있다. 즉, UE와 네트워크 사이에 비암호화 채널로 통신이 가능하다. 이 점에 기인하여, 4G LTE 및 5G NSA 네트워크는 중간자 공격(Man In The Middle: MITM)이 가능하다는 보안 문제를 가지게 된다.
중간자 공격이란, 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 중간자 공격은 통신을 연결하는 두 주체 사이에 중간자가 침입하여, 두 사람은 각각 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며, 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달한다.
도 1은, 본 발명의 몇몇 실시예들에 따라 탐지될 수 있는 중간자 공격을 설명하기 위한 도면이다. 도 1을 참조하면, 중간자 공격을 행하는 공격자의 장비(15)가 피해자 UE(10)와 기지국(21) 사이에서, 피해자 UE(10)와 네트워크 사이의 통신을 가로 채며, 피해자 UE(10)와 네트워크 사이의 메시지를 조작하여, 피해자 UE(10)와 네트워크 사이에 암호화되지 않은 무선 채널을 수립하도록 유도한다.
공격자 장비(15)는 UE 기능을 하는 컴포넌트와 기지국 기능을 하는 컴포넌트를 모두 구비한 장비일 수 있다. 이를 통해 공격자 장비(15)는 피해자 UE(10)를 상대로는 자신이 기지국(e/gNodeB)인 것처럼 위장하고, 기지국(21)을 상대로는 자신이 UE인 것처럼 위장한다. 공격자 장비(15)는 가장 강한 신호의 기지국에 접속하는 UE의 특징을 이용하여, 공격자 장비(15) 주변의 UE가 자신에게 접속하도록 유인한다.
LTE에서 UE(10)가 네트워크에 접속을 요청하는 망 접속 요청 메시지(Attach Request)는 보안으로 보호되지 않기 때문에 공격자 장비(15)가 이를 가로챌 수 있으며, 망 접속 요청 메시지(Attach Request)에 피해자 UE(10)가 설정한 암호화 알고리즘을 널 암호화 알고리즘으로 오버 라이트 할 수 있다. 만약 네트워크가 널 암호화 알고리즘을 최종적으로 받아들일 경우, 공격자 장비(15)는 피해자 UE(10)를 위장한 채, 유효한 키 없이 네트워크와 통신할 수 있게 된다.
그 절차를 간단히 살펴보면, 먼저 공격자 장비(15)를 기지국으로 인식한 피해자 UE(10)가 공격자 장비(15)에게 망 접속 요청(Attach Request) 메시지를 전송한다. 망 접속 요청 메시지에는 피해자 UE(10)의 IMSI(International Mobile Subscriber Identity) 및 전술한 UE Network Capability 정보가 포함된다. 공격자 장비(15)는 상기 망 접속 요청 메시지 내의 UE Network Capability의 EEA(암호화 알고리즘) 설정 값을 EEA0(널 암호화 알고리즘; 암호화하지 않음을 의미)으로 변경하는 조작을 가한다. 그리고 공격자 장비(15)는 조작된 망 접속 요청 메시지를 기지국(21)을 통하여 네트워크에 전송한다.
망 접속 요청 메시지를 수신한 MME(31)는 홈 가입자 서버(Home Subscriber Server; 35)와 함께 UE와 네트워크 사이의 상호 인증(authentication) 과정을 수행하기 위한 메시지들(Authentication Request, Authentication Response)을 교환하는데, 공격자 장비(15)는 피해자 UE(10)와 MME(31) 사이에서 상기 메시지들을 중계하여 정상적인 인증이 이루어지도록 한다. 이어서 MME(31)는 전술한 망 접속 요청 메시지 내에 UE Network Capability 필드 값이 EEA0로 설정된 점에 기인하여, 상기 피해자 UE(10)와의 사이의 NAS 시그널링 메시지들을 암호화하지 않도록 설정하게 된다. MME(31)는 널 암호화 설정을 선택하였다는 정보가 포함된 NAS Security Mode Command 메시지를 공격자 장비(15)를 통해 피해자 UE(10)에게 전송한다.
피해자 UE(10)가 NAS Security Mode Command 메시지를 검증한 후 수락하면, 피해자 UE(10)는 공격자 장비(15)를 통해 NAS Security Mode Complete 메시지를 MME(31)에게 전송하고, MME는 망 접속 허용(Attach Accept) 메시지를 피해자 UE(10)에게 회신하면서 NAS 보안 설정 절차가 종료된다.
전술한 과정을 통하여, 피해자 UE(10)는 실제로 널 암호화 알고리즘을 선택하지 않았음에도 불구하고, 자신이 기지국으로 오인하여 접속한 공격자 장비(15)의 메시지 조작에 의하여, 네트워크와의 사이에 암호화되지 않은 무선 채널을 수립하게 되며, 이후 네트워크와의 사이에 NAS/RRC 시그널링 및 사용자 플레인(user plane)의 정보들을 암호화하지 않은 채로 통신하게 된다. 한편 공격자 장비(15)는 피해자 UE(10)가 암호화하지 않은 채로 송수신하는 정보를 가로채어 유출하거나, 피해자 UE(10)에게 부여된 IP 주소를 통해 피해자 UE(10)의 IMSI를 도용하여 과금 없이 데이터 통신을 이용할 수 있게 된다.
한국 공개특허공보 제10-2011-0119785호 (2011.11.02. 공개)
본 발명의 몇몇 실시예들을 통해 해결하고자 하는 기술적 과제는, LTE 및 5G 이동통신 네트워크에서 중간자 공격(MITM) 등에 의해 사용자 단말과 코어 네트워크 사이에 수립된 의도하지 않은 비암호화 채널을 탐지하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들을 통해 해결하고자 하는 또 다른 기술적 과제는, LTE 및 5G 이동통신 네트워크에서 사용자 단말과 코어 네트워크 사이에 수립된 의도하지 않은 비암호화 채널을 통한 네트워크 트래픽으로 인해 정상 가입자의 과금 데이터를 보호하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들을 통해 해결하고자 하는 다른 기술적 과제는, LTE 및 5G 이동통신 네트워크에서 비암호화를 시도하는 단말을 식별하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들을 통해 해결하고자 하는 또 다른 기술적 과제는, LTE 및 5G 이동통신 네트워크에서 UE Network Capability 필드 설정 값을 올바르게 검증하지 않는 비규격 단말을 식별하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들을 통해 해결하고자 하는 또 다른 기술적 과제는, 비암호화 시도 단말 또는 비규격 단말의 접속을 제한하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들을 통해 해결하고자 하는 또 다른 기술적 과제는, 비암호화 시도 단말 또는 비규격 단말의 물리적인 위치를 파악하는 방법 및 장치를 제공하는 것이다.
상기 기술적 과제를 해결하기 위한, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법은, UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 단계와, 상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하는 단계와, 및 상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 제1 유형의 위험 단말로 식별하는 단계를 포함한다.
일 실시예에서, 상기 UE가 지원하는 암호화 알고리즘을 식별하는 단계는, 상기 망 접속 요청 메시지의 'UE Network Capability' 필드 값을 식별하는 단계를 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 제1 유형의 위험 단말로 식별된 상기 UE의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 UE로부터의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계는, 상기 UE로부터의 상기 망 접속 요청 메시지에 포함된 IMSI(International Mobile Subscriber Identity)를 식별하는 단계와, 및 상기 식별된 IMSI를 포함하는 메시지를 상기 코어 네트워크의 HSS(Home Subscriber Server)에 전송하는 단계를 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 MME로부터 상기 UE에게 망 접속 허용(Attach Accept) 메시지가 송신되었는지 판정하는 단계와, 상기 망 접속 허용 메시지가 송신되었다는 판정에 기초하여, 상기 UE와 상기 MME 사이에 형성된 채널을 위험 채널로 식별하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 위험 채널을 접속 해제하도록 하는 메시지를 코어 네트워크에 전송하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 위험 채널을 접속 해제하도록 하는 메시지를 코어 네트워크에 전송하는 단계는, 상기 UE에 할당된 IP 주소를 회수하도록 하는 메시지를 상기 코어 네트워크의 P-GW에 전송하는 단계를 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 UE로부터의 상기 망 접속 요청 메시지에 포함된 IMSI를 식별하는 단계와, 상기 IMSI를 가지는 복수의 망 접속 요청 메시지들을 획득하는 단계와, 상기 복수의 망 접속 요청 메시지들에 각각 포함된 'UE Network Capability' 필드 값들이 서로 일치하는지 판정하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 'UE Network Capability' 필드 값들이 서로 일치하지 않다는 판정에 기초하여, 상기 UE로부터 상기 MME에게 'NAS Security Mode Complete' 메시지가 송신되었는지 판정하는 단계와, 상기 'NAS Security Mode Complete' 메시지가 송신되었다는 판정에 기초하여, 상기 UE를 제2 유형의 위험 단말로 식별하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 제2 유형의 위험 단말로 식별된 상기 UE로부터의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 UE로부터의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계는, 상기 식별된 IMSI를 포함하는 메시지를 상기 코어 네트워크의 HSS에 전송하는 단계를 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 'UE Network Capability' 필드 값들이 서로 일치하지 않다는 판정에 기초하여, 상기 UE의 데이터 송수신에 의해 발생한 트래픽을 상기 IMSI에 대응되는 과금 데이터 기록으로부터 배제하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽 탐지 방법은, 상기 UE의 물리적 위치 정보를 식별하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 UE의 물리적 위치 정보를 식별하는 단계는, 상기 UE의 상기 망 접속 요청 메시지를 상기 MME에게 전달한 기지국의 TAI(Tracking Area Identifier)를 식별하는 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 다른 일 실시예에 따른 비정상 트래픽 탐지 장치는, UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 네트워크 인터페이스, 수집된 트래픽을 분석하는 컴퓨터 프로그램을 로드하는 메모리, 및 상기 로드된 컴퓨터 프로그램을 실행하는 프로세서를 포함하되, 상기 컴퓨터 프로그램은, 상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하는 인스트럭션, 및 상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 제1 유형의 위험 단말로 식별하는 인스트럭션 을 포함한다.
일 실시예에서, 상기 컴퓨터 프로그램은, 상기 MME로부터 상기 UE에게 망 접속 허용(Attach Accept) 메시지가 송신되었는지 판정하는 인스트럭션, 및 상기 망 접속 허용 메시지가 송신되었다는 판정에 기초하여, 상기 UE와 상기 MME 사이에 형성된 채널을 위험 채널로 식별하는 인스트럭션을 더 포함할 수 있다.
일 실시예에서, 상기 컴퓨터 프로그램은, 상기 UE로부터의 상기 망 접속 요청 메시지에 포함된 IMSI를 식별하는 인스트럭션, 상기 IMSI를 가지는 복수의 망 접속 요청 메시지들을 획득하는 인스트럭션, 상기 복수의 망 접속 요청 메시지들에 각각 포함된 'UE Network Capability' 필드 값들이 서로 일치하는지 판정하는 인스트럭션, 상기 'UE Network Capability' 필드 값들이 서로 일치하지 않다는 판정에 기초하여, 상기 UE로부터 상기 MME에게 'NAS Security Mode Complete' 메시지가 송신되었는지 판정하는 인스트럭션, 및 상기 'NAS Security Mode Complete' 메시지가 송신되었다는 판정에 기초하여, 상기 UE를 제2 유형의 위험 단말로 식별하는 인스트럭션을 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한, 본 발명의 또 다른 일 실시예에 따른 이동통신 시스템은, MME를 포함하는 코어 네트워크, 및 비정상 트래픽 탐지 시스템을 포함하되, 상기 비정상 트래픽 탐지 시스템은, 상기 MME와 UE 사이의 트래픽을 수집하고, 상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하며, 상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 제1 유형의 위험 단말로 식별하고, 상기 MME로부터 상기 UE에게 망 접속 허용(Attach Accept) 메시지가 송신되었는지 판정하며, 상기 망 접속 허용 메시지가 송신되었다는 판정에 기초하여, 상기 UE와 상기 MME 사이에 형성된 채널을 위험 채널로 식별한다.
상기 기술적 과제를 해결하기 위한, 본 발명의 또 다른 일 실시예에 따른 컴퓨터 판독 가능한 비일시적 기록 매체는, UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 단계와, 상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하는 단계와, 및 상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 제1 유형의 위험 단말로 식별하는 단계를 포함하는 방법을 수행하도록 하는 컴퓨터 프로그램이 저장된다.
도 1은 본 발명의 몇몇 실시예들에 따라 탐지될 수 있는 중간자 공격을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템이 5G 이동통신 네트워크에 적용된 예시적인 모습을 보여주는 구성도이다.
도 3은 본 발명의 다른 일 실시예에 따른 비정상 트래픽 탐지 방법의 순서도이다.
도 4는 도 3을 참조하여 설명한 비정상 트래픽 탐지 방법의 단계들 중, Attach Request 메시지에 기초하여 제1 유형의 위험 단말 여부를 판정하는 단계를 보다 구체적으로 설명하기 위한 도면이다.
도 5a 및 도 5b는 본 발명의 몇몇 실시예들에서 참조되는 Attach Request 메시지에 포함된 'UE Network Capability' 필드를 설명하기 위한 참조 도면이다.
도 6은 도 3을 참조하여 설명한 비정상 트래픽 탐지 방법의 단계들 중, NSA Security Mode Complete 메시지에 기초하여 제2 유형의 위험 단말 여부를 판정하는 단계 및 Attach Accept 메시지에 기초하여 위험 채널 여부를 판정하는 단계를 보다 구체적으로 설명하기 위한 도면이다.
도 7은 도 3을 참조하여 설명한 비정상 트래픽 탐지 방법의 단계들 중, 판정 결과에 기초한 조치 및 보고 단계를 보다 구체적으로 설명하기 위한 도면이다.
도 8은 본 발명의 몇몇 실시예들에서 비정상 트래픽 탐지 시스템에 입력으로 제공되는 트래픽 데이터의 예시적인 포맷을 도시하는 도면이다.
도 9는 본 발명의 몇몇 실시예들에서 비정상 트래픽 탐지 시스템으로부터 출력되는 탐지 결과 데이터의 예시적인 포맷을 도시하는 도면이다.
도 10은 본 발명의 몇몇 실시예들에 따른 비정상 트래픽 탐지 장치를 구현할 수 있는 예시적인 컴퓨팅 장치를 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명의 기술적 사상은 이하의 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명의 기술적 사상을 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 기술적 사상은 청구항의 범주에 의해 정의될 뿐이다.
각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 본 발명의 몇몇 실시예들에 대하여 첨부된 도면에 따라 상세하게 설명한다.
먼저 도 2를 참조하여, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템이 적용될 수 있는 5G 이동 통신 시스템의 구성 및 동작에 대하여 설명한다. 본 실시예에 따른 5G 이동 통신 시스템은 NSA(Non-Standalone) 방식으로 동작하는 것이다.
도 2를 참조하면, UE(10)들은 하나 이상의 기지국들(e/gNodeB; 21, 23, 25)로 구성된 NSA RAN(Radio Access Network; 20)을 통해 NSA Core Network(30)에 연결되고, NSA Core Network(30)를 통해서 Packet Data Network, 즉 인터넷(40)에 연결된다.
도 2에 도시된 UE(10)는 사용자 단말이다. UE(10)는 스마트폰, USB 모뎀, 이동통신 모듈을 내장하고 있는 컴퓨터 등일 수 있다. UE(10)에는 가입자 식별 및 인증을 위한 IMSI가 내장된 USIM 카드가 장착 또는 내장될 수 있다.
NSA RAN(20)은 eNodeB(21) 및 gNodeB 등의 기지국들을 통해 만들어지는 무선 접속 네트워크이다. UE(10)는 NSA RAN(20)을 구성하는 기지국들을 통해 NSA Core Network(30)에 무선으로 연결된다.
NSA Core Network(30)는 MME(31), HSS(35), S-GW(33), P-GW(37) 등을 포함한다.
MME(31) 및 HSS(35)는 주로 제어 플레인의 시그널을 처리한다.
MME(Mobility Management Entity; 31)는 UE(10)를 인증하기 위한 키 정보를 HSS(35)로부터 제공받아서, UE(10)에 대한 인증을 수행한다. 이때 MME(31)는 EPS-AKA 인증 프로토콜에 따라 UE(10)를 인증한다. 또한 MME(31)는 UE(10)를 위한 EPS 베어러를 관리하며, UE(10)의 접속 상태 및 활성 상태를 관리한다.
HSS(Home Subscriber Server; 35)는, 각 UE(10) 별로 인증을 위한 키 정보와 가입자 프로파일을 관리한다. 인증을 위한 키 정보와 가입자 프로파일은 UE(10)가 망에 접속할 때 MME(31)로 전달된다.
S-GW(33) 및 P-GW(37)는 주로 사용자 플레인의 데이터 트래픽을 처리한다.
S-GW(Serving Gateway; 33)는 기지국들과 P-GW(37) 사이에서 사용자 패킷들을 라우팅하여 전달하며, UE(10)가 eNodeB 또는 GNodeB 사이에서 핸드오버 할 때 앵커링 역할을 한다.
P-GW(Packet Data Network Gateway; 37)는 S-GW(33)와 패킷 데이터 망(40) 사이에 위치하고, UE(10)와 패킷 데이터 망(PDN; 40) 사이에 패킷을 전달하는 통로 역할, 데이터 사용량에 따른 과금, UE(10)를 상대로 IP 주소를 할당하는 기능 등을 수행한다. 구체적으로, UE(10)로부터 수신한 패킷을 외부 PDN으로 전달하거나, 외부 PDN으로부터 수신한 패킷을 UE(10)로 전달하기 위해 UE(10) 단위로 패킷을 필터링한다 과금을 위해 P-GW(37)는 송수신한 데이터양을 수집하고, 수집한 데이터 양을 과금 서버(미도시)에게 전달한다. 또한 P-GW(37)는 데이터를 제한하거나 데이터 속도를 제어하는 기능도 제공할 수 있다. P-GW(37)는 S-GW(33)가 변경되면서 핸드오버가 발생할 때, 앵커링 역할을 한다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템(100)은 NSA RAN(20)과 NSA Core Network(30) 사이의 NAS 트래픽을 수집 및 가공하여 비정상 트래픽을 탐지한다. 또한 비정상 트래픽 탐지 시스템(100) 비정상 트래픽 탐지 결과를 관제 시스템(200)에 제공하고, 관제 시스템(200)으로 하여금 적절한 조치를 취할 수 있도록 한다. 비정상 트래픽 탐지 시스템(100)의 구체적인 동작에 대해서는 도 3 내지 도 9를 참조하여 후술할 내용을 참조한다.
이하에서는 도 3을 참조하여, 본 발명의 다른 일 실시예에 따른 비정상 트래픽 탐지 방법에 대하여 설명한다.
도 3은 본 일 실시예에 따른 비정상 트래픽 탐지 방법의 순서도이다. 다만, 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있다.
도 3에 도시된 비정상 트래픽 탐지 방법의 각 단계는 예컨대 비정상 트래픽 탐지 시스템(100)과 같은 컴퓨팅 장치에 의해 수행될 수 있다. 다시 말하면, 상기 비정상 트래픽 탐지 방법의 각 단계는 컴퓨팅 장치의 프로세서에 의해 실행되는 하나 이상의 인스트럭션들로 구현될 수 있다. 상기 비정상 트래픽 탐지 방법에 포함되는 모든 단계는 하나의 물리적인 컴퓨팅 장치에 의하여 실행될 수도 있을 것이나, 상기 방법의 제1 단계들은 제1 컴퓨팅 장치에 의하여 수행되고, 상기 방법의 제2 단계들은 제2 컴퓨팅 장치에 의하여 수행될 수도 있다. 이하에서는, 상기 비정상 트래픽 탐지 방법의 각 단계가 비정상 트래픽 탐지 시스템(100)에 의해 수행되는 것을 가정하여 설명을 이어가도록 한다. 다만, 설명의 편의를 위해, 상기 비정상 트래픽 탐지 방법에 포함되는 각 단계의 동작 주체는 그 기재가 생략될 수도 있다.
본 실시예에 따른 비정상 트래픽 탐지 방법의 각 동작을 이해함에 있어서, 도 1 및 도 2를 참조하여 설명된 내용이 참조될 수 있다. 또한, 본 실시예에 따른 비정상 트래픽 탐지 방법의 각 동작에 반영된 기술 사상 역시 도 2를 참조하여 설명된 5G 이동 통신 시스템의 구성 및 동작에 반영될 수 있을 것이다.
도 3을 참조하면, 본 실시예에 따른 비정상 트래픽 탐지 방법은, UE와 MME 사이의 NAS 트래픽을 수집하는 단계(S100), UE가 MME에 전송한 Attach Request 메시지에 기초하여 제1 유형의 위험 단말 여부를 판정하는 단계(S200), UE가 MME에 전송한 NSA Security Mode Complete 메시지에 기초하여 제2 유형의 위험 단말 여부를 판정하는 단계(S300), MME가 UE에 전송한 Attach Accept 메시지에 기초하여 위험 채널 여부를 판정하는 단계(S400), 및 판정 결과에 기초한 조치들을 수행하고 및 보고하는 단계(S500)를 포함할 수 있다.
단계(S100)에서는, UE와 MME 사이에 송수신되는 NAS 트래픽 정보가 수집되고, 적절한 포맷으로 가공될 수 있다. 수집된 NAS 트래픽 정보는 예컨대 도 2에 도시된 비정상 트래픽 탐지 시스템(100)에 제공되어 비정상 트래픽의 탐지에 이용될 수 있다. 단계(S100)에서는 eNodeB(21)와 MME(31) 사이에 송수신되는 NAS 시그널링 트래픽들이 수집되고, 비정상 트래픽의 탐지에 필요한 적절한 필드의 정보들을 포함하는 포맷으로 가공될 수 있다.
도 8은 본 발명의 몇몇 실시예들에서 수집된 NAS 트래픽 정보가 가공된 예시적인 포맷을 도시한 도면이다. 도 2를 참조하여 설명한 비정상 트래픽 탐지 시스템(100)에 도 8과 같은 포맷으로 가공된 데이터가 입력으로 제공될 수 있다.
도 8을 참조하면, NAS 트래픽 정보는 사용자 단말(UE)에 관한 정보 및 사용자 단말(UE)과 네트워크가 주고받은 NAS 메시지에 관한 정보를 포함할 수 있다. 사용자 단말(UE)에 관한 정보는 IMSI 정보, MSISDN(예컨대 전화번호), 사용자 단말의 IP 버전, IP 주소, 및 사용자 단말이 접속 가능한 기지국 리스트(TAI List) 등을 포함할 수 있다. 사용자 단말(UE)과 네트워크가 주고받은 NAS 메시지에 관한 정보는 망 접속 요청(Attach Request)이 발생한 시간, 망 접속 허용(Attach Accept) 또는 거절(Attach Reject)에 관한 정보, 망 접속 요청 타입, MME가 UE에게 Security Mode Command 메시지를 발송한 시간, UE가 MME에게 Security Mode 완료 또는 거절에 관한 정보, UE가 지원하는 암호화 알고리즘(EEA) 및 무결성 보호 알고리즘(EIA)에 관한 정보(UE Network Capability), 네트워크가 선택한 암호화 알고리즘(EEA)에 관한 정보 등을 포함할 수 있다.
다시 도 3을 참조하여 설명한다.
단계(S200)에서는 UE가 MME에 전송한 Attach Request 메시지에 기초하여 제1 유형의 위험 단말 여부를 판정한다. 단계(S200)에 대해서는 도 4를 참조하여 보다 구체적으로 설명한다.
도 4를 참조하면, 단계(S210)에서는 UE로부터 MME에게 송신된 망 접속 요청(Attach Request) 메시지에 포함된 UE Network Capability 필드 값으로부터, UE가 설정한 EEA가 식별된다. 몇몇 실시예에서, UE가 지원하는 암호화 알고리즘은 도 8에 도시된 바와 같은 포맷을 가지는 가공된 NAS 트래픽 정보로부터 획득될 수 있다.
단계(S220)에서는, 단계(S210)에서 식별된 EEA 설정 값에 기초하여, 상기 UE가 오로지 EEA0, 즉 널 암호화 알고리즘만을 지원하는지 여부가 판정된다.
도 5a 및 도 5b는 Attach Request 메시지에 포함된 'UE Network Capability' 필드의 예시적인 설정 값들을 보여주는 도면이다. Attach Request 메시지 내에서 UE Network Capability 중에 UE가 설정한 EEA를 나타내는 8 bit 중에, 첫번째 비트는 EEA0(널 암호화 알고리즘)를 지원하는지 여부를 나타내고, 두번째 비트는 EEA1(SNOW 3G 알고리즘)을 지원하는지 여부를 나타내며, 세번째 비트는 EEA2(AES 알고리즘)을 지원하는지 여부를 나타내고, 네번째 비트는 EEA3(ZUC 알고리즘)을 지원하는지 여부를 나타낸다.
도 5a에 도시된 예시적인 'UE Network Capability' 필드의 설정 값은, UE가 EEA0, EEA1, 및 EEA2 암호화 알고리즘을 지원한다는 점을 나타낸다. 한편, 도 5b에 도시된 예시적인 'UE Network Capability' 필드의 설정 값은, UE가 EEA0(널 암호화)만을 지원할 뿐, EEA1, EEA2, EEA3는 지원하지 않음을 나타낸다.
도 4의 단계(S220)에서는 전술한 바와 같은 'UE Network Capability' 필드의 EEA 설정 값에 기초하여 UE가 오로지 EEA0만을 지원하는지 여부가 판정될 수 있다.
도 5a에 도시된 예와 같이, EEA0(널 암호화) 외에 다른 암호화 알고리즘들을 지원하는 것으로 UE Network Capability 필드를 설정하여 Attach Request 메시지를 송신한 UE의 경우 정상적인 단말로 간주될 수 있다. 이 경우 비정상 트래픽 탐지 방법은 종료되거나, 다른 UE의 NAS 트래픽에 대한 분석 과정으로 진행될 수 있다.
한편, 도 5b에 도시된 예와 같이, EEA0(널 암호화)만을 지원하는 것으로 UE Network Capability 필드를 설정하여 Attach Request 메시지를 송신하는 UE의 경우, 단계(S230)에서 암호화 무력화 시도 단말로서 식별될 수 있다. 다시 말해, 네트워크와 비암호화 통신을 시도하는 단말로 식별될 수 있으며, 후술할 단계(S500)에서 적절한 조치가 취해질 수 있다.
다시 도 3을 참조하여 설명한다.
단계(S300)에서는, 단계(S200)에서 암호화 무력화 시도 단말로 식별된 UE에 대한 판정이 계속된다. 단계(S300)에서는 UE가 MME에 전송한 NSA Security Mode Complete 메시지에 기초하여 제2 유형의 위험 단말 여부가 판정된다. 또한 단계(S400)에서는 MME가 UE에 전송한 Attach Accept 메시지에 기초하여 위험 채널 여부가 판정된다. 단계(S300) 및 단계(S400)에 대해서는 도 6을 참조하여 보다 구체적으로 설명한다.
도 6에 도시된 단계(S310) 내지 단계(S340)는 도 3에 도시된 순서도의 단계(S300)을 보다 세분화한 것이며, 단계(S410) 내지 단계(S420)는 도 3에 도시된 순서도의 단계(S400)을 보다 세분화한 것이다.
먼저 단계(S310)에서는 UE가 MME에 송신한 Attach Request 메시지로부터 UE의 IMSI가 식별된다. 그리고 상기 식별된 IMSI를 가지는 과거 NAS 트래픽 데이터로부터 과거에 해당 IMSI를 가지는 UE로부터 송신된 Attach Request 메시지에 포함된 UE Network Capability 필드 값이 식별된다.
단계(S320)에서는, 현재 분석 중인 UE의 Attach Request 메시지에 기재된 UE Network Capability 필드 값과, 과거에 동일 IMSI를 가지는 UE로부터 송신된 Attach Request 메시지에 포함된 UE Network Capability 필드 값이 비교된다. 만약 두 값이 일치한다면 단계(S500)로 진행한다.
단계(S320)에서 만약 두 값이 상이하다면, 동일한 UE로부터 서로 다른 UE Network Capability 필드 값이 설정되어 네트워크에 접속 요청이 발생한 것이다. 이는 중간자 공격을 가하는 공격자 장비(15)가 UE와 MME 사이의 트래픽을 가로 채서 UE Network Capability 필드의 설정 값을 조작하였을 가능성을 암시한다. 다시 말해, 상기 트래픽은 비정상적인 트래픽이거나, 상기 UE는 비정상적인 UE일 가능성이 있다. 따라서 후술할 분석 과정을 추가적으로 수행한다.
단계(S330)에서는 MME로부터 NAS Security Mode Command 메시지를 수신한 UE가, NAS Security Mode Complete 메시지를 송신하였는지, 아니면 NAS Security Mode를 거절하였는지 여부가 판정된다.
전술한 바와 같이 MME는, Attach Request 메시지 내의 'UE Network Capability' 필드에 설정된 값을 기초로, 상기 UE와의 NAS 메시지에 적용할 암호화 알고리즘을 선택한다. 그리고 MME는 UE의 Attach Request 메시지 내에 설정되어 있던 'UE Network Capability' 필드 값을 그대로 복사하여 설정한 필드인 'Replayed UE Security Capability' 필드와, MME가 선택한 NAS 암호화 알고리즘을 가리키는 'NAS Ciphering Algorithm' 필드를 포함하는 NAS Security Mode Command 메시지를 UE에게 송신한다.
상기 NAS Security Mode Command 메시지를 수신한 UE는, 자신이 발송한 Attach Request 메시지 내의 'UE Network Capability' 필드 값과, MME가 발송한 NAS Security Mode Command 메시지 내의 'Replayed UE Security Capability' 필드 값이 서로 일치하는지 확인하여야 한다. 두 값이 서로 상이하다는 것은 공격자 장비(15)가 UE와 MME 사이의 트래픽을 가로 채서 UE Network Capability 필드의 설정 값을 조작하였을 가능성을 암시한다. 이 경우, UE는 NAS Security Mode Command에 응답하여 NAS Security Mode의 설정 과정을 거절하는 것이 바람직하다. 다시 말해, UE는 NAS Security Mode Complete 메시지를 발송하지 않는 것이 바람직하다.
만약 Attach Request 메시지 내의 'UE Network Capability' 필드 값과 NAS Security Mode Command 메시지 내의 'Replayed UE Security Capability' 필드 값이 서로 불일치함에도 불구하고, UE가 MME에게 NAS Security Mode Complete 메시지를 송신하였다면, 상기 UE는 중간자 공격을 가하는 공격자 장비(15)에 의해 위장된 UE일 가능성이 있다. 이 경우 단계 S340에서 상기 UE는 비규격 단말 내지는 비정상 단말로 식별된다.
만약 UE가 MME에게 NAS Security Mode Complete 메시지를 송신하지 않고, NAS Security Mode 설정 과정을 적절히 거절하였다면, 단계(S500)로 진행한다.
이어서 단계(S410) 내지 단계(S420)에서는, 단계(S340)에서 비규격 단말로 식별된 UE에 대한 추가적인 판정이 수행된다.
단계(S410)에서는 비규격 단말로 식별된 상기 UE에게 MME가 Attach Accept 메시지를 송신하였는지 여부가 판정된다.
만약 Attach Accept 메시지가 송신되었다면, 단계(S420)에서 상기 UE와 MME 사이에 수립된 채널이 비정상적인 채널, 구체적으로 암호화 무력화 채널로 식별될 수 있다.
상기 UE는 EEA0(널 암호화)만을 지원하는 것으로 UE Network Capability 필드를 설정하여 Attach Request 메시지를 송신하였고(즉, 암호화 무력화 시도 단말), 과거 동일 IMSI를 가지는 UE가 발송한 Attach Request 메시지의 UE Network Capability 필드 설정 값과 상이함에도 불구하고 NAS Security Mode 설정 과정을 거절하지 않고(즉, 비규격 단말) NAS 보안 설정 과정이 완료되었다. 그럼에도 불구하고 Attach Accept 메시지가 송신되었다는 점은, 상기 UE와 MME 사이에 수립된 연결이 공격자 장비(15)의 중간자 공격에 의해 비정상적으로 수립된 것일 수 있다. 따라서 단계(S420)에서는, 상기 UE와 MME 사이에 수립된 채널이 비정상적인 암호화 무력화 채널로 식별된다.
이어서 다시 도 3을 참조하여 단계(S500)을 설명한다.
단계(S500)에서는, 단계(S200) 내지 단계(S400)에서의 판정 결과에 기초하여, 적절한 조치들이 수행되고, 판정 및 탐지 결과에 대한 보고서가 생성될 수 있다. 몇몇 실시예에서, 단계(S500)의 동작들은, 도 2를 참조하여 설명한 관제 시스템(200)에 의하여, 비정상 트래픽 탐지 시스템(100)으로부터 제공받은 판정 및 탐지 결과에 기초하여 수행될 수 있다.
단계(S500)에 대해서 도 7을 참조하여 보다 구체적으로 설명한다.
도 7을 참조하면, 단계(S510)에서는, 암호화 무력화 시도 단말 또는 비규격 단말의 접속을 제한하도록 하는 메시지가 코어 네트워크에 전송될 수 있다. 보다 구체적으로, 암호화 무력화 시도 단말 또는 비규격 단말로부터의 Attach Request 메시지에 포함된 IMSI가 식별될 수 있다. 또한, 상기 식별된 IMSI가 암호화 무력화 시도 단말 또는 비규격 단말과 관련 있음을 나타내는 정보를 포함한 메시지가 코어 네트워크의 HSS(Home Subscriber Server)에 제공될 수 있다. 상기 메시지를 수신한 HSS는 향후 상기 IMSI를 가지는 임의의 UE로부터의 망 접속 요청이 있을 경우, 망 접속을 제한적으로 허용하거나 거절할 수 있다.
일 실시예에서는, 네트워크의 운영자로 하여금 상기 식별된 IMSI의 소유자에게 적절한 연락, 통보, 경고 등을 취하도록 하는 알림이 예컨대 관제 시스템(200)에 의해 제공될 수 있다.
단계(S520)에서는, 암호화 무력화 채널의 접속을 해제하도록 하는 메시지가 코어 네트워크에 전송될 수 있다. 보다 구체적으로, 상기 암호화 무력화 채널의 UE에 할당된 IP 주소를 회수하도록 하는 메시지가 코어 네트워크의 P-GW에 전송되고, P-GW로 하여금 상기 IP 주소를 회수하도록 할 수 있다.
단계(S530)에서는, 암호화 무력화 채널의 UE에 의한 데이터 송수신에 의하여 지금까지 발생한 트래픽이 상기 UE의 IMSI를 가지는 가입자에게 과금 되지 않도록 하는 조치가 취해질 수 있다. 구체적으로, P-GW 또는 과금 서버 의해 관리되는 과금 기록 중 상기 IMSI에 대응되는 과금 기록으로부터, 암호화 무력화 채널에 의해 발생한 트래픽의 과금 기록이 배제될 수 있다. 암호화 무력화 채널은 중간자 공격을 가하는 자에 의하여 비정상적으로 수립된 채널일 가능성이 높으며, 이에 이용된 IMSI를 가지는 가입자는 중간자 공격의 피해를 입은 자일 가능성이 있다. 따라서, 암호화 무력화 채널에 의해 발생한 데이터 트래픽은 상기 IMSI를 소유한 가입자에게 과금 되지 않도록 하는 것이 네트워크 서비스 운영 측면에서 바람직할 수 있다.
단계(S540)에서는, 암호화 무력화 시도 단말, 비규격 단말, 암호화 무력화 채널 등에 대한 탐지 정보가 적절한 포맷으로 가공되어 저장되고, 네트워크의 운영자에게 제공되기 위한 보고서가 자동으로 생성될 수 있다.
도 9는 본 발명의 몇몇 실시예들에서 암호화 무력화 시도 단말, 비규격 단말, 암호화 무력화 채널 등에 대한 탐지 정보가 취합되어 가공된 예시적인 포맷을 도시한 도면이다. 도 2를 참조하여 설명한 비정상 트래픽 탐지 시스템(100)은 도 9와 같은 포맷으로 취합 및 가공된 데이터를 출력할 수 있다.
도 9를 참조하면, 탐지 정보는 위협 판정 정보 및 공격자 정보를 포함할 수 있다. 위협 판정 정보는 탐지 시점 및 탐지 결과를 포함한다. 탐지 결과는, 암호화 무력화 시도 단말 여부, 비규격 단말 여부, 암호화 무력화 채널 여부 등을 나타내며, 이들은 상호 배타적이지 않다. 공격자 정보는 공격자 단말의 MSISDN(예컨대 전화번호), IMSI 정보, IP 버전, IP 주소, 공격자 단말이 접속 가능한 기지국의 TAI(Tracking Area Identifier) 등을 포함할 수 있다.
여기서 공격자 단말이 접속 가능한 기지국의 TAI 정보는, 공격자 단말이 망 접속 요청 메시지를 MME에게 송신할 때, 이를 전달한 기지국에 설정된 TAI(Tracking Area Identifier)일 수 있다. TAI는 상기 기지국이 속하는 지역의 식별자로서, 기지국의 물리적인 위치를 식별할 수 있도록 하는 정보이다. 일 실시예에 따르면, 비정상 트래픽 탐지 방법은 TAI 정보에 기초하여 공격자 단말의 물리적 위치 정보를 식별할 수 있다.
지금까지 도 2 내지 도 9를 참조하여, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템 및 방법에 대하여 설명하였다.
본 발명의 실시예들은, UE와 코어 네트워크 사이의 NAS 보안 설정 과정에서, 중간자 공격에 의하여, 암호화가 적용되지 않은 무선 통신 채널이 의도치 않게 수립되는 보안 문제를 해소할 수 있도록 한다.
중간자 공격에 의하여 암호화가 적용되지 않은 무선 통신 채널이 의도치 않게 수립될 경우, 공격자는 선량한 UE의 행위 및 정보(통화 내용, 네트워크 상에서의 활동, UE의 위치 정보 등)을 탈취하여 연계된 서비스 등에 혼란을 야기할 수 있다. 공격자는 선량한 사용자의 인증정보, 식별정보, 접속기록, 통신 내역 등을 탈취할 수 있다. 스마트폰 등 개인용 통신 기기 외에도, 스마트 홈을 구성하는 IoT 기기의 통신에 공격자가 침입하여, 정상 사용자를 대신하여 모든 단말(출입문, 가스 밸브, 기타 가전 제품 등)을 통제할 위험이 있다. 그 외에도, 커넥티드 자동차의 통신에 공격자가 침입하여, 자동차의 운행과 탑승자의 안전에 심각한 위협을 초래할 가능성이 있다.
본 발명의 실시예들은, UE와 MME 사이에 교환된 메시지를 수집 및 분석하여, 널 암호화 알고리즘(null ciphering algorithm)을 요청한 UE를 암호화 무력화 시도 단말로 식별하고, 과거의 UE Network Capability 설정 값과 상이한 설정 값이 MME에 전달되었음에도 불구하고 NAS 보안 설정 과정을 계속 진행한 UE를 비규격 단말로 식별하며, 그럼에도 불구하고 UE와 MME 사이에 NAS 보안 설정이 완료되었다면, 해당 채널을 암호화 무력화 채널로 식별한다. 본 발명의 실시예들에 따르면, 암호화 무력화 시도 단말, 비규격 단말, 및 암호화 무력화 채널을 대상으로, 네트워크 접속을 제한하거나 현재 수립된 채널을 해제하도록 하는 등의 조치를 위함으로써, 4G LTE 및 5G NSA 네트워크에서 중간자 공격에 의해 초래될 수 있는 전술한 바와 같은 보안 위협들을 해소할 수 있도록 한다.
지금까지 도 1 내지 도 9를 참조하여, 본 발명의 몇몇 실시예들에 따른 비정상 트래픽 탐지 시스템과 및 방법과, 그 응용분야에 대해서 설명하였다. 이하에서는, 본 발명의 몇몇 실시예들에 따른 비정상 트래픽 탐지 시스템(100) 또는 장치를 구현할 수 있는 예시적인 컴퓨팅 장치(1500)에 대하여 설명하도록 한다.
도 10은 본 발명의 몇몇 실시예들에 따른 비정상 트래픽 탐지 장치를 구현할 수 있는 예시적인 컴퓨팅 장치(1500)를 나타내는 하드웨어 구성도이다.
도 10에 도시된 바와 같이, 컴퓨팅 장치(1500)는 하나 이상의 프로세서(1510), 버스(1550), 통신 인터페이스(1570), 프로세서(1510)에 의하여 수행되는 컴퓨터 프로그램(1591)을 로드(load)하는 메모리(1530)와, 컴퓨터 프로그램(1591)을 저장하는 스토리지(1590)를 포함할 수 있다. 다만, 도 10에는 본 발명의 실시예와 관련 있는 구성 요소들만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 10에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(1510)는 컴퓨팅 장치(1500)의 각 구성의 전반적인 동작을 제어한다. 프로세서(1510)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(1510)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 컴퓨팅 장치(1500)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(1530)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(1530)는 본 발명의 실시예들에 따른 방법을 실행하기 위하여 스토리지(1590)로부터 하나 이상의 프로그램(1591)을 로드할 수 있다. 메모리(1530)는 RAM과 같은 휘발성 메모리로 구현될 수 있을 것이나, 본 발명의 기술적 범위가 이에 한정되는 것은 아니다.
버스(1550)는 컴퓨팅 장치(1500)의 구성 요소 간 통신 기능을 제공한다. 버스(1550)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
통신 인터페이스(1570)는 컴퓨팅 장치(1500)의 유무선 인터넷 통신을 지원한다. 또한, 통신 인터페이스(1570)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 통신 인터페이스(1570)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
몇몇 실시예들에 따르면, 통신 인터페이스(1570)는 생략될 수도 있다.
스토리지(1590)는 상기 하나 이상의 프로그램(1591)과 각종 데이터를 비임시적으로 저장할 수 있다.
스토리지(1590)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
컴퓨터 프로그램(1591)은 메모리(1530)에 로드될 때 프로세서(1510)로 하여금 본 발명의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 하나 이상의 인스트럭션들을 포함할 수 있다. 즉, 프로세서(1510)는 상기 하나 이상의 인스트럭션들을 실행함으로써, 본 발명의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다.
위와 같은 경우, 컴퓨팅 장치(1500)를 통해 본 발명의 몇몇 실시예들에 따른 비정상 트래픽 탐지 장치(10)가 구현될 수 있다.
지금까지 도 1 내지 도 10을 참조하여 본 발명의 다양한 실시예들 및 그 실시예들에 따른 효과들을 언급하였다. 본 발명의 기술적 사상에 따른 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
지금까지 도 1 내지 도 10을 참조하여 설명된 본 발명의 기술적 사상은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명의 기술적 사상이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 발명이 다른 구체적인 형태로도 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명에 의해 정의되는 기술적 사상의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (19)

  1. UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 단계;
    상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하는 단계; 및
    상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 암호화 무력화를 시도하는 제1 유형의 위험 단말로 식별하는 단계
    를 포함하는,
    비정상 트래픽 탐지 방법.
  2. 제1항에 있어서,
    상기 UE가 지원하는 암호화 알고리즘을 식별하는 단계는,
    상기 망 접속 요청 메시지의 'UE Network Capability' 필드 값을 식별하는 단계를 포함하는,
    비정상 트래픽 탐지 방법.
  3. 제1항에 있어서,
    상기 제1 유형의 위험 단말로 식별된 상기 UE의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계
    를 더 포함하는,
    비정상 트래픽 탐지 방법.
  4. 제3항에 있어서,
    상기 UE로부터의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계는,
    상기 UE로부터의 상기 망 접속 요청 메시지에 포함된 IMSI(International Mobile Subscriber Identity)를 식별하는 단계; 및
    상기 식별된 IMSI를 포함하는 메시지를 상기 코어 네트워크의 HSS(Home Subscriber Server)에 전송하는 단계
    를 포함하는,
    비정상 트래픽 탐지 방법.
  5. 제1항에 있어서,
    상기 MME로부터 상기 UE에게 망 접속 허용(Attach Accept) 메시지가 송신되었는지 판정하는 단계; 및
    상기 망 접속 허용 메시지가 송신되었다는 판정에 기초하여, 상기 UE와 상기 MME 사이에 형성된 채널을 위험 채널로 식별하는 단계
    를 더 포함하는,
    비정상 트래픽 탐지 방법.
  6. 제5항에 있어서,
    상기 위험 채널을 접속 해제하도록 하는 메시지를 코어 네트워크에 전송하는 단계
    를 더 포함하는,
    비정상 트래픽 탐지 방법.
  7. 제6항에 있어서,
    상기 위험 채널을 접속 해제하도록 하는 메시지를 코어 네트워크에 전송하는 단계는,
    상기 UE에 할당된 IP 주소를 회수하도록 하는 메시지를 상기 코어 네트워크의 P-GW에 전송하는 단계를 포함하는,
    비정상 트래픽 탐지 방법.
  8. UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 단계;
    상기 UE로부터 상기 MME에게 송신된 망 접속 요청 메시지(Attach Request)에 포함된 IMSI를 식별하는 단계;
    상기 IMSI를 가지는 복수의 망 접속 요청 메시지들을 획득하는 단계; 및
    상기 복수의 망 접속 요청 메시지들에 각각 포함된 'UE Network Capability' 필드 값들이 서로 일치하는지 판정하는 단계
    를 포함하는,
    비정상 트래픽 탐지 방법.
  9. 제8항에 있어서,
    상기 'UE Network Capability' 필드 값들이 서로 일치하지 않다는 판정에 기초하여, 상기 UE로부터 상기 MME에게 'NAS Security Mode Complete' 메시지가 송신되었는지 판정하는 단계; 및
    상기 'NAS Security Mode Complete' 메시지가 송신되었다는 판정에 기초하여, 상기 UE를 제2 유형의 위험 단말로 식별하는 단계
    를 더 포함하는,
    비정상 트래픽 탐지 방법.
  10. 제9항에 있어서,
    상기 제2 유형의 위험 단말로 식별된 상기 UE로부터의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계
    를 더 포함하는,
    비정상 트래픽 탐지 방법.
  11. 제10항에 있어서,
    상기 UE로부터의 접속을 제한하도록 하는 메시지를 코어 네트워크에 전송하는 단계는,
    상기 식별된 IMSI를 포함하는 메시지를 상기 코어 네트워크의 HSS에 전송하는 단계
    를 포함하는,
    비정상 트래픽 탐지 방법.
  12. 제8항에 있어서,
    상기 'UE Network Capability' 필드 값들이 서로 일치하지 않다는 판정에 기초하여, 상기 UE의 데이터 송수신에 의해 발생한 트래픽을 상기 IMSI에 대응되는 과금 데이터 기록으로부터 배제하는 단계
    를 더 포함하는,
    비정상 트래픽 탐지 방법.
  13. 제8항에 있어서,
    상기 UE의 물리적 위치 정보를 식별하는 단계를 더 포함하는,
    비정상 트래픽 탐지 방법.
  14. 제13항에 있어서,
    상기 UE의 물리적 위치 정보를 식별하는 단계는,
    상기 UE의 상기 망 접속 요청 메시지를 상기 MME에게 전달한 기지국의 TAI(Tracking Area Identifier)를 식별하는 단계를 포함하는,
    비정상 트래픽 탐지 방법.
  15. UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 네트워크 인터페이스;
    수집된 트래픽을 분석하는 컴퓨터 프로그램을 로드하는 메모리; 및
    상기 로드된 컴퓨터 프로그램을 실행하는 프로세서를 포함하되,
    상기 컴퓨터 프로그램은,
    상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하는 인스트럭션; 및
    상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 암호화 무력화를 시도하는 제1 유형의 위험 단말로 식별하는 인스트럭션
    을 포함하는,
    비정상 트래픽 탐지 장치.
  16. 제15항에 있어서,
    상기 컴퓨터 프로그램은,
    상기 MME로부터 상기 UE에게 망 접속 허용(Attach Accept) 메시지가 송신되었는지 판정하는 인스트럭션; 및
    상기 망 접속 허용 메시지가 송신되었다는 판정에 기초하여, 상기 UE와 상기 MME 사이에 형성된 채널을 위험 채널로 식별하는 인스트럭션
    을 더 포함하는,
    비정상 트래픽 탐지 장치.
  17. UE(User Equipment)와 MME(Mobility Management Entity) 사이의 NAS(Non-access stratum) 트래픽을 수집하는 네트워크 인터페이스;
    수집된 트래픽을 분석하는 컴퓨터 프로그램을 로드하는 메모리; 및
    상기 로드된 컴퓨터 프로그램을 실행하는 프로세서를 포함하되,
    상기 컴퓨터 프로그램은,
    상기 UE로부터 상기 MME에게 송신된 망 접속 요청 메시지(Attach Request)에 포함된 IMSI를 식별하는 인스트럭션;
    상기 IMSI를 가지는 복수의 망 접속 요청 메시지들을 획득하는 인스트럭션;
    상기 복수의 망 접속 요청 메시지들에 각각 포함된 'UE Network Capability' 필드 값들이 서로 일치하는지 판정하는 인스트럭션;
    상기 'UE Network Capability' 필드 값들이 서로 일치하지 않다는 판정에 기초하여, 상기 UE로부터 상기 MME에게 'NAS Security Mode Complete' 메시지가 송신되었는지 판정하는 인스트럭션; 및
    상기 'NAS Security Mode Complete' 메시지가 송신되었다는 판정에 기초하여, 상기 UE를 제2 유형의 위험 단말로 식별하는 인스트럭션
    을 포함하는,
    비정상 트래픽 탐지 장치.
  18. MME를 포함하는 코어 네트워크; 및
    비정상 트래픽 탐지 시스템
    을 포함하되,
    상기 비정상 트래픽 탐지 시스템은,
    상기 MME와 UE 사이의 트래픽을 수집하고,
    상기 UE로부터 상기 MME에게 송신된 망 접속 요청(Attach Request) 메시지로부터, 상기 UE가 지원하는 암호화 알고리즘(EEA: EPS Encryption Algorithm)을 식별하며,
    상기 UE가 널 암호화 알고리즘(null ciphering algorithm)만을 지원한다는 판정에 기초하여, 상기 UE를 암호화 무력화를 시도하는 제1 유형의 위험 단말로 식별하고,
    상기 MME로부터 상기 UE에게 망 접속 허용(Attach Accept) 메시지가 송신되었는지 판정하며,
    상기 망 접속 허용 메시지가 송신되었다는 판정에 기초하여, 상기 UE와 상기 MME 사이에 형성된 채널을 위험 채널로 식별하는,
    이동 통신 시스템.
  19. 컴퓨터로 하여금 제1항 내지 제14항 중 어느 한 항의 방법을 수행하도록 하는 컴퓨터 프로그램이 저장된, 컴퓨터 판독 가능한 비일시적 기록 매체.
KR1020200099443A 2020-08-07 2020-08-07 비암호화 채널 탐지 방법 및 장치 KR102279293B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200099443A KR102279293B1 (ko) 2020-08-07 2020-08-07 비암호화 채널 탐지 방법 및 장치
US17/332,851 US11350282B2 (en) 2020-08-07 2021-05-27 Method and apparatus for detecting null-ciphering channels

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200099443A KR102279293B1 (ko) 2020-08-07 2020-08-07 비암호화 채널 탐지 방법 및 장치

Publications (1)

Publication Number Publication Date
KR102279293B1 true KR102279293B1 (ko) 2021-07-20

Family

ID=77127438

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200099443A KR102279293B1 (ko) 2020-08-07 2020-08-07 비암호화 채널 탐지 방법 및 장치

Country Status (2)

Country Link
US (1) US11350282B2 (ko)
KR (1) KR102279293B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113852954A (zh) * 2021-09-15 2021-12-28 支付宝(杭州)信息技术有限公司 保护gprs网络中数据安全的方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110119785A (ko) 2009-02-16 2011-11-02 텔레폰악티에볼라겟엘엠에릭슨(펍) 비-암호화 망 동작 해결책
KR20150035301A (ko) * 2013-09-27 2015-04-06 주식회사 케이티 비정상 트래픽 차단 방법
US20200012745A1 (en) * 2018-07-09 2020-01-09 Simon I. Bain System and Method for Secure Data Management and Access Using Field Level Encryption and Natural Language Understanding

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010019020A2 (ko) 2008-08-15 2010-02-18 삼성전자주식회사 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법
US8744474B1 (en) * 2012-07-16 2014-06-03 Sprint Spectrum L.P. System and method for adjusting tracking area size based on redundancy
KR101564228B1 (ko) 2013-12-23 2015-10-29 한국인터넷진흥원 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법
KR101669165B1 (ko) 2015-07-07 2016-10-25 주식회사 케이티 사설망 서비스 제공방법 및 이를 위한 이동성관리장치
JP2019004197A (ja) * 2015-11-10 2019-01-10 シャープ株式会社 端末装置、c−sgnおよび通信制御方法
RU2706173C1 (ru) * 2016-01-05 2019-11-14 Хуавей Текнолоджиз Ко., Лтд. Способ, аппаратура и устройство мобильной связи
EP3399824B1 (en) * 2016-01-07 2020-01-08 Huawei Technologies Co., Ltd. Data scheduling method, base station and system
JP2018050120A (ja) * 2016-09-20 2018-03-29 株式会社東芝 通信装置、サーバ装置、通信システム、通信プログラム、および、通信方法
WO2018208949A1 (en) * 2017-05-09 2018-11-15 Intel IP Corporation Privacy protection and extensible authentication protocol authentication and authorization in cellular networks
ES2973317T3 (es) * 2017-10-30 2024-06-19 Huawei Tech Co Ltd Método y dispositivo para obtener capacidades de seguridad del equipo de usuario
US10638374B2 (en) * 2017-12-08 2020-04-28 Futurewei Technologies, Inc. Method and apparatus for reducing packet retransmission during handover (HO) in low latency mobile communication networks
CN113660660A (zh) * 2018-01-08 2021-11-16 华为技术有限公司 一种更新密钥的方法及装置
EP3942857A4 (en) * 2019-04-25 2022-11-23 Samsung Electronics Co., Ltd. METHOD AND SYSTEM FOR PROVIDING NON-ACCESS STRATUM (NAS) MESSAGE PROTECTION

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110119785A (ko) 2009-02-16 2011-11-02 텔레폰악티에볼라겟엘엠에릭슨(펍) 비-암호화 망 동작 해결책
KR20150035301A (ko) * 2013-09-27 2015-04-06 주식회사 케이티 비정상 트래픽 차단 방법
US20200012745A1 (en) * 2018-07-09 2020-01-09 Simon I. Bain System and Method for Secure Data Management and Access Using Field Level Encryption and Natural Language Understanding

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113852954A (zh) * 2021-09-15 2021-12-28 支付宝(杭州)信息技术有限公司 保护gprs网络中数据安全的方法和装置

Also Published As

Publication number Publication date
US11350282B2 (en) 2022-05-31
US20220046423A1 (en) 2022-02-10

Similar Documents

Publication Publication Date Title
US10958631B2 (en) Method and system for providing security from a radio access network
EP3735012B1 (en) Method and system for providing security from a radio access network
JP6632713B2 (ja) 直接通信キーの確立のための方法および装置
CN108293223B (zh) 一种数据传输方法、用户设备和网络侧设备
CA3051938C (en) Wireless communications
US10659960B2 (en) Method and system for providing security from a radio access network
KR102027717B1 (ko) 허위 기지국으로부터의 공격 방지
EP2874367B1 (en) Call authentication method, device, and system
EP2932676A1 (en) Authenticating public land mobile networks to mobile stations
JP7079994B1 (ja) Wipsセンサ及びwipsセンサを用いた不正無線端末の侵入遮断方法
CN100499900C (zh) 一种无线通信终端接入鉴权方法
KR102279293B1 (ko) 비암호화 채널 탐지 방법 및 장치
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
KR102285257B1 (ko) 와이파이 액세스 포인트를 이용한 무선 침입감지 시스템 검출 장치 및 방법
CN108990052B (zh) Wpa2协议脆弱性的检测方法
CN106714159A (zh) 网络接入控制方法和***
WO2020029075A1 (en) Method and computing device for carrying out data integrity protection
CN117692902B (zh) 一种基于嵌入式家庭网关的智能家居的交互方法及***
US20230129553A1 (en) Broadcast of intrusion detection information
EP3048830A1 (en) Method, system and computer program product of wireless user device authentication in a wireless network
CN106888449B (zh) 基于usim应用信息处理方法及***
CN116321126A (zh) 一种智能设备入网方法和装置
CN117098137A (zh) 数据通信方法、医疗设备和计算机可读存储介质
CN115802353A (zh) 一种基于wpa2协议解密wpa3协议热点密码的方法和装置
CN117692902A (zh) 一种基于嵌入式家庭网关的智能家居的交互方法及***

Legal Events

Date Code Title Description
GRNT Written decision to grant