[go: up one dir, main page]

KR20070104633A - Methods and devices for protecting core networks - Google Patents

Methods and devices for protecting core networks Download PDF

Info

Publication number
KR20070104633A
KR20070104633A KR1020077019443A KR20077019443A KR20070104633A KR 20070104633 A KR20070104633 A KR 20070104633A KR 1020077019443 A KR1020077019443 A KR 1020077019443A KR 20077019443 A KR20077019443 A KR 20077019443A KR 20070104633 A KR20070104633 A KR 20070104633A
Authority
KR
South Korea
Prior art keywords
message
received
mobile
identity
mobile identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020077019443A
Other languages
Korean (ko)
Inventor
재를 태플로 비크베르그
토마스 니란더
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority to KR1020077019443A priority Critical patent/KR20070104633A/en
Publication of KR20070104633A publication Critical patent/KR20070104633A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/06De-registration or detaching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 MS(104)의 이동 아이덴티티를 포함하는 메시지(302,402)를 수신함으로써(202) 그리고 수신된 이동 아이덴티티가 MS(104)에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 메시지(302,402)를 드롭시킴으로써(210) 코어 네트워크(102)를 보호하는 방법 및 장치를 제공한다. 메시지(302,402)는 수신된 이동 아이덴티티가 MS(104)에 관하여 저장된 이동 아이덴티티에 부합할 때마다 프로세싱된다(208). 이동 아이덴티티는 IMSI, TMSI 또는 P-TMSI일 수 있다. 메시지(302,402)는 이동성 관리(MM) 메시지, 범용 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 UMA 또는 인증되지 않은 무선 자원(URR) 메시지(MS 및 UNC간에만 사용됨)와 같은 업링크 메시지 또는 다운링크 메시지일 수 있다. 본 발명은 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램으로써 구현될 수 있고, 여기서 여러 방법 단계들이 하나 이상의 코드 세그먼트에 의해 구현된다.The present invention drops message 302, 402 by receiving 202, 402, 402 the message including the mobile identity of MS 104, and whenever the received mobile identity does not match the stored mobile identity with respect to MS 104. And 210 to provide a method and apparatus for protecting core network 102. Messages 302 and 402 are processed whenever the received mobile identity matches the stored mobile identity with respect to MS 104 (208). The mobile identity can be IMSI, TMSI or P-TMSI. The messages 302 and 402 are uplinks such as mobility management (MM) messages, universal packet radio service (GPRS) mobility management (GMM) messages, or UMA or unauthenticated radio resource (URR) messages (used only between MS and UNC). Message or downlink message. The invention can be implemented as a computer program for use on a computer readable medium, where several method steps are implemented by one or more code segments.

Description

코어 네트워크를 보호하는 방법 및 장치{METHOD AND APPARATUS FOR PROTECTING A CORE NETWORK}METHOD AND APPARATUS FOR PROTECTING A CORE NETWORK}

본 발명은 일반적으로 이동 통신 분야에 관한 것이고, 특히, 인증되지 않은 이동 액세스 네트워크 내에서 이동국의 이동 아이덴티티를 확인함으로써 코어 네트워크를 보호하는 방법 및 장치에 관한 것이다. TECHNICAL FIELD The present invention generally relates to the field of mobile communications, and more particularly, to a method and apparatus for protecting a core network by verifying the mobile identity of a mobile station within an unauthorized mobile access network.

이동국(MS)이 UNC-SGW를 향하도록 IPsec 보안 접속을 설정할 때, 그리고 MS가 UNC에 등록될 때 인증되지 않은 네트워크 제어기(UNC: Unlicensed network controller) 및 인증되지 않은 네트워크 제어기 보안 게이트웨이(UNC-SGW: Unlicensed network controller secure gateway)는 사용되는지를 동일한 국제 이동 가입자 아이덴티티(IMSI: International Mobile Subscriber Identity)가 확인해야만 한다는 것을, 인증되지 않은 이동 액세스(UMA: Unlicensed mobile access) 사양이 제시한다. 두 개의 이런 예에서, MS는 IMSI를 UNC-SGW 및 UNC 각각에 제공한다. 그러나 이러한 제시의 구현은 또한 코어 네트워크가 공격에 노출되도록 한다.Unlicensed network controller (UNC) and unauthenticated network controller security gateway (UNC-SGW) when the mobile station (MS) establishes an IPsec secured connection to the UNC-SGW, and when the MS is registered with the UNC. The Unlicensed Mobile Access (UMA) specification suggests that the same International Mobile Subscriber Identity (IMSI) must ensure that an Unlicensed network controller secure gateway is used. In two such examples, the MS provides IMSI to UNC-SGW and UNC respectively. However, the implementation of this presentation also exposes the core network to attack.

이는 또한 제3 세대 파트너쉽 프로젝트(3GPP) 표준에서 "A 및 Gb-인터페이스로의 일반적인 액세스", 그렇지 않으면 일반적인 액세스 네트워크(GAN)이라 공지된 것을 위한 경우이다. 3GPP 기술 사양 43.318(단계-2) 및 44.319(단계-3)를 참조하 자. 3GPP 사양에서 일반적인 액세스 네트워크 제어기(GANC)가 UMA 사양에서 UNC와 동일하다는 것을 주의하자. 유사하게는, 3GPP 사양에서 일반적인 액세스 네트워크 제어기 보안 게이트웨이(GANC-SEGW)가 UMA 사양에서 UNC-SGW와 동일하다.This is also the case for what is known as "general access to A and Gb-interfaces" in the 3rd Generation Partnership Project (3GPP) standard, or otherwise general access network (GAN). See 3GPP Technical Specifications 43.318 (Step-2) and 44.319 (Step-3). Note that the generic access network controller (GANC) in the 3GPP specification is the same as the UNC in the UMA specification. Similarly, the generic access network controller security gateway (GANC-SEGW) in the 3GPP specification is identical to the UNC-SGW in the UMA specification.

예를 들어, MS는 일시적인 이동 가입자 아이덴티티(TMSI: Temporary Mobile Subscriber Identities) 또는 패킷 일시적인 이동 가입자 아이덴티티(P-TMSI: Packet Temporary Mobile Subscriber Identities)를 사용하여 SIM-카드 리더기 및 UMA 클라이언트를 갖는 개인용 컴퓨터(PC)와 같은 다수의 이동국을 에뮬레이팅(emulate)한다. 게다가, 부적당한 MS는 MS-레벨 상에서 한 유형의 (호출을 종료하는 것을 실패하는 것 등의) 서비스 거부(DoS) 공격을 야기하는 코어 네트워크를 향하여 위치 업데이트 또는 IMSI 분리 메시지를 전송할 수 있다. 따라서, 이동국들이 코어 네트워크와 통신할 때, 이동국에 의해 사용되는 이동 아이덴티티(IMSI, TMSI 및/또는 P-TMSI)를 확인함으로써 코어 네트워크를 보호하는 방법 및 장치에 대한 요구가 있다.For example, MS uses Temporary Mobile Subscriber Identities (TMSI) or Packet Temporary Mobile Subscriber Identities (P-TMSI) to provide personal computers with SIM-card readers and UMA clients. Emulate multiple mobile stations, such as PC). In addition, an inappropriate MS may send a location update or IMSI detach message to the core network causing a type of denial of service (DoS) attack (such as failing to terminate a call) on the MS-level. Accordingly, there is a need for a method and apparatus for protecting a core network by identifying the mobile identities (IMSI, TMSI and / or P-TMSI) used by the mobile stations when they communicate with the core network.

본 발명은 이동국들이 코어 네트워크와 통신할 때, 이동국에 의해 사용되는 이동 아이덴티티(국제 이동 가입자 아이덴티티(IMSI), 일시적인 이동 가입자 아이덴티티(TMSI) 및/또는 패킷 일시적인 이동 가입자 아이덴티티(P-TMSI))를 확인함으로써 코어 네트워크를 보호하는 방법 및 장치를 제공한다. 간단히 말해서, (등록 후) MS에 관하여 저장된 이동 아이덴티티에 상응하지 않는 이동 아이덴티티를 포함하는 메시지들이 드롭(drop)된다. 일단 이러한 메시지가 드롭되면, 다양한 예방적인 보고 동작들이 행해질 수 있다. 그러므로 MS는 단지 하나의 IMSI, 하나의 TMSI 및/또는 하나의 P-TMSI를 사용하도록 허용된다. 결과적으로, 본 발명은 고의적이고 결함이 있는 구현으로부터 코어 네트워크를 보호한다. 본 발명은 인증되지 않은 이동 액세스 네트워크(UMAN) 및 GAN들에 적용할 수 있다.The present invention relates to mobile identities used by mobile stations (international mobile subscriber identity (IMSI), temporary mobile subscriber identity (TMSI) and / or packet temporary mobile subscriber identity (P-TMSI)) when mobile stations communicate with the core network. It provides a method and apparatus for protecting a core network by identifying. In short, messages containing a mobile identity that do not correspond to the stored mobile identity with respect to the MS (after registration) are dropped. Once this message is dropped, various preventive reporting actions can be taken. Therefore, the MS is allowed to use only one IMSI, one TMSI and / or one P-TMSI. As a result, the present invention protects the core network from deliberate and faulty implementations. The present invention is applicable to unauthorized mobile access network (UMAN) and GANs.

특히, 본 발명은 MS의 이동 아이덴티티를 포함하는 메시지를 수신하고 수신된 이동 아이덴티티들이 MS에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 메시지를 드롭시킴으로써 코어 네트워크를 보호하는 방법을 제공한다. 메시지는 수신된 이동 아이덴티티가 MS에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 프로세싱된다. 이동 아이덴티티는 IMSI, TMSI 및/또는 P-TMSI일 수 있다. 메시지는 이동성 관리(MM) 메시지, 범용 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 UMA 또는 인증되지 않은 무선 자원(URR) 메시지(MS 및 UNC간에만 사용됨)와 같은 업링크 메시지 또는 다운링크 메시지일 수 있다. 본 발명은 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램으로써 구현될 수 있고, 여기서 여러 방법 단계들이 하나 이상의 코드 세그먼트에 의해 구현된다.In particular, the present invention provides a method of protecting a core network by receiving a message that includes a mobile identity of an MS and dropping the message whenever the received mobile identities do not match the stored mobile identities with respect to the MS. The message is processed whenever the received mobile identity does not match the stored mobile identity with respect to the MS. The mobile identity can be IMSI, TMSI and / or P-TMSI. The message is either an uplink message or a downlink, such as a mobility management (MM) message, a universal packet radio service (GPRS) mobility management (GMM) message, or a UMA or unauthenticated radio resource (URR) message (used only between MS and UNC). It may be a link message. The invention can be implemented as a computer program for use on a computer readable medium, where several method steps are implemented by one or more code segments.

게다가, 본 발명은 프로세서와 통신할 수 있게 커플링된 데이터 저장 디바이스를 포함하는 장치를 제공한다. 데이터 저장 디바이스는 이동 아이덴티티의 집합체를 MS들에 저장한다. 프로세서는 MS의 이동 아이덴티티를 포함하는 메시지를 수신하고 수신된 이동 아이덴티티가 MS에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 메시지를 드롭시킨다. 장치는 전형적으로 인증되지 않은 액세스 네트워크(UMAN) 내의 인증되지 않은 네트워크 제어기(UNC) 또는 코어 네트와 통신하는 일반적인 액세스 네트워크(GAN) 내의 일반적인 액세스 네트워크 제어기(GANC)이다.In addition, the present invention provides an apparatus including a data storage device coupled to be in communication with a processor. The data storage device stores the collection of mobile identities in the MSs. The processor receives a message that includes the MS's mobile identity and drops the message whenever the received mobile identity does not match the stored mobile identity with respect to the MS. The device is typically an unauthenticated network controller (UNC) in an unauthenticated access network (UMAN) or a general access network controller (GANC) in a general access network (GAN) that communicates with a core net.

본 발명의 부가적인 이득 및 이점은 첨부된 도면을 참조하여 예시의 방법으로 제공되는 다양한 실시예의 다음 설명으로부터 더욱 명백해질 것이다.Additional benefits and advantages of the present invention will become more apparent from the following description of various embodiments provided by way of example with reference to the accompanying drawings.

도1은 UMA 네트워크 및 코어 네트워크 간에 이동 아이덴티티의 사용을 도시하는 대표적인 시그널링 시퀀스;1 is an exemplary signaling sequence illustrating the use of mobile identities between a UMA network and a core network;

도2는 본 발명에 따라 코어 네트워크를 보호하는 방법을 도시하는 흐름도;2 is a flow chart illustrating a method of protecting a core network in accordance with the present invention;

도3은 업링크 메시지에 관한 본 발명의 일 실시예의 사용을 도시하는 시그널링 시퀀스;3 is a signaling sequence illustrating the use of one embodiment of the present invention for uplink messages;

도4는 다운링크 메시지에 관한 본 발명의 일 실시예의 사용을 도시하는 시그널링 시퀀스;4 is a signaling sequence illustrating the use of one embodiment of the present invention for downlink messages;

도5는 업링크 메시지에 관한 본 발명의 일 실시예에 따른 방법을 도시하는 흐름도;5 is a flowchart illustrating a method according to an embodiment of the present invention for an uplink message;

도6은 다운링크 메시지에 관한 본 발명의 일 실시예에 따른 방법을 도시하는 흐름도; 및6 is a flowchart illustrating a method according to an embodiment of the present invention for a downlink message; And

도7은 다운링크 메시지에 관한 본 발명의 다른 실시예에 따른 방법을 도시하는 흐름도.7 is a flowchart illustrating a method according to another embodiment of the present invention for a downlink message.

본 발명의 다양한 실시예의 실행 및 사용이 후술되는 동안, 본 발명이 광범위한 특정 콘텐츠에서 사용될 수 있는 여러 허용할 수 있는 발명 개념을 제공한다 는 것을 인식해야만 한다. 여기서 논의되는 특정한 실시예는 본 발명의 범위를 제한하는 것이 아니라 주로 본 발명을 행하여 사용하는 특정한 방법을 주로 설명하는 것이다.While the implementation and use of various embodiments of the present invention are described below, it should be appreciated that the present invention provides a variety of acceptable inventive concepts that can be used in a wide variety of specific content. The specific embodiments discussed herein are not intended to limit the scope of the present invention but to primarily describe specific methods of making and using the invention.

이런 발명의 이해를 용이하게 하기 위해서, 다수의 어휘가 후술된다. 여기서 정의되는 어휘들은 본 발명에 관련된 범위에서 당업자에 의해서 공통적으로 인식되는 것을 의미한다. "하나의(a)", "하나의(an)" 및 "그(the)"와 같은 어휘는 단지 단일 엔티티에 관한 것이라고 의도되는 것이 아니라 특정 예가 설명에 사용될 수 있는 일반적인 클래스를 포함한다. 여기서 용어는 본 발명의 특정한 실시예를 설명하는데 사용되지만, 이들의 용도는 청구항에서 약술된 것을 제외하고, 본 발명을 제한하는 것이 아니다.In order to facilitate understanding of this invention, a number of vocabulary words are described below. The vocabulary defined herein means commonly recognized by those skilled in the art within the scope related to the present invention. Vocabulary such as "a", "an" and "the" are not intended to be merely related to a single entity but include generic classes in which specific examples may be used in the description. The terminology is used herein to describe specific embodiments of the invention, but their use is not intended to limit the invention, except as outlined in the claims.

본 발명은 이동국들이 코어 네트워크와 통신할 때, 이동국(MS)에 의해 사용되는 이동 아이덴티티(국제 이동 가입자 아이덴티티(IMSI), 일시적인 이동 가입자 아이덴티티(TMSI) 및/또는 패킷 일시적인 이동 가입자 아이덴티티(P-TMSI))를 확인함으로써 코어 네트워크를 보호하는 방법 및 장치를 제공한다. 간략하게 설명하면, (등록후) MS에 관하여 저장된 이동 식별자에 상응하지 않는 이동 식별자를 포함하는 메시지가 드롭된다. 일단 이러한 메시지가 드롭되면, 여러 예방적인 보고 동작들이 행해질 수 있다. 그러므로 MS는 단지 하나의 IMSI, 하나의 TMSI, 및 하나의 P-TMSI를 사용하도록 허용된다. 결과적으로, 본 발명은 고의적이고 오류있는 MS 구현으로부터 코어 네트워크를 보호한다. 본 발명이 인증되지 않은 이동 액세스 네트워크(UMAN) 및 GAN 들 다에 적용될 수 있다는 것을 주의하자.The present invention relates to a mobile identity used by a mobile station (MSSI) when mobile stations communicate with a core network (International Mobile Subscriber Identity (IMSI), Temporary Mobile Subscriber Identity (TMSI) and / or Packet Temporary Mobile Subscriber Identity (P-TMSI). It provides a method and apparatus for protecting a core network by identifying)). Briefly, a message containing a mobile identifier that does not correspond to the stored mobile identifier for the MS (after registration) is dropped. Once this message is dropped, various preventive reporting actions can be taken. Therefore, the MS is allowed to use only one IMSI, one TMSI, and one P-TMSI. As a result, the present invention protects the core network from intentional and faulty MS implementations. Note that the present invention can be applied to both Unauthorized Mobile Access Networks (UMAN) and GANs.

이제 도1을 참조하면, 인증되지 않은 이동 액세스(UMA) 네트워크(UMAN) 또는 일반적인 액세스 네트워크(GAN)(100) 및 코어 네트워크(102) 간의 이동 아이덴티티의 사용을 도시하는 대표적인 시그널링 시퀀스가 도시된다. MS(104)이 IPsec 보안 접속(108)을 UNC-SGW 또는 GANC-SEGW(106)을 향하도록 설정할 때, MS(104)는 EAP-SIM 또는 EAP-AKA를 사용하여 인증되지 않은 네트워크 제어기(UNC-SGW) 또는 일반적인 액세스 네트워크 제어기(GANC-SEGW)(106)의 보안 게이트웨이에 IMSI를 제공한다. UNC-SGW 또는 GANC-SEGW(106)는 널리 공지된 시그널링 및 인증 프로토콜(인증, 권한 부여 및 과금 부여(AAA: Authentication, Authorization and accounting) 인프라스트럭처(infrastructure)(114))를 사용하여 HLR(110)에서 이런 IMSI를 인증한다(110). MS(104)가 UNC 또는 GANC(116)와 함께 등록될 때(118), MS(104)는 또한 인증되지 않은 네트워크 제어기(UNC) 또는 일반적인 액세스 네트워크 제어기(GANC)(116)에 IMSI를 제공한다. 게다가, MS(104)는 IMSI, TMSI 또는 P-TMSI를 사용하여 MS(104)가 코어 네트워크(102)(예컨대, MSC(112))와 통신할 때 자신을 식별한다.Referring now to FIG. 1, an exemplary signaling sequence is shown illustrating the use of mobile identities between an unauthorized mobile access (UMA) network (UMAN) or a general access network (GAN) 100 and a core network 102. When the MS 104 sets up the IPsec secure connection 108 to face the UNC-SGW or GANC-SEGW 106, the MS 104 uses an EAP-SIM or EAP-AKA to authenticate the unauthenticated network controller (UNC). -SGW) or IMSI to the security gateway of the generic access network controller (GANC-SEGW) 106. UNC-SGW or GANC-SEGW 106 utilizes well-known signaling and authentication protocols (Authentication, Authorization and accounting (AAA) infrastructure 114) to HLR 110 Authenticate this IMSI (110). When MS 104 is registered with UNC or GANC 116 (118), MS 104 also provides IMSI to unauthorized network controller (UNC) or generic access network controller (GANC) 116. . In addition, the MS 104 uses IMSI, TMSI, or P-TMSI to identify itself when the MS 104 communicates with the core network 102 (eg, the MSC 112).

TMSI 및 P-TMSI가 등록시(118) UNC 또는 GANC(116)에 등록되지 않는다는 것을 주의하자. TMSI 및 P-TMSI는 단지 위치 에어리어 내에서 가중치를 갖는다. 위치 에어리어 외부에서, TMSI 및 P-TMSI는 명백한 아이덴티티를 제공하기 위해서 위치 에어리어 식별자(LAI)와 결합되어야만 한다. 항상 TMSI 또는 P-TMSI 재할당이 적어도 위치 에어리어의 각각의 변화시 수행된다. 이런 선택들은 네트워크 오퍼레이터에 남겨진다.Note that TMSI and P-TMSI are not registered with UNC or GANC 116 at registration 118. TMSI and P-TMSI are only weighted within the location area. Outside the location area, TMSI and P-TMSI must be combined with location area identifiers (LAIs) to provide explicit identities. TMSI or P-TMSI reallocation is always performed at least on each change in location area. These choices are left to the network operator.

이동 아이덴티티는 MS(104) 및 MSC/방문자 위치 등록기(VLR)(112) 간에 다음의 이동성 관리(MM) 메시지에서 사용된다.The mobile identity is used in the following mobility management (MM) message between the MS 104 and the MSC / Visitor Location Register (VLR) 112.

MS(104)로부터 MSC/VLR(112)로(업링크 메시지):From MS 104 to MSC / VLR 112 (uplink message):

LOCATION UPDATING REQUESTLOCATION UPDATING REQUEST

IDENTITY RESPONSEIDENTITY RESPONSE

CM SERVICE REQUESTCM SERVICE REQUEST

IMSI DETACH INDICATIONIMSI DETACH INDICATION

CM RE-ESTABLISHMENT REQUESTCM RE-ESTABLISHMENT REQUEST

MSC/VLR(112)로부터 MS(14)로(다운링크 메시지):From MSC / VLR 112 to MS 14 (downlink message):

TMI REALLOCATION COMMANDTMI REALLOCATION COMMAND

LOCATION UPDATING ACCEPTLOCATION UPDATING ACCEPT

이동 아이덴티티는 또한 MS(104)로부터 MSC/VLR(112)로의 PAGING RESPONSE 메시지에서 사용된다. 그러므로 UNC 또는 GANC(116)가 MS(104) 및 MSC/VLR(112)간에 전송되는 MM-메시지들 상에서 확인을 수행할 수 있다.The mobile identity is also used in the PAGING RESPONSE message from the MS 104 to the MSC / VLR 112. Hence, UNC or GANC 116 may perform verification on MM-messages sent between MS 104 and MSC / VLR 112.

이제 본 발명에 관련된 코어 네트워크(102)를 보호하는 방법(200)을 도시하는 흐름도가 도시된 도2를 참조하자. 블록(202)에서 UNC 및 GANC(116)는 MS(104)의 이동 아이덴티티를 포함하는 메시지를 수신한다. 그 후에 블록(204)에서 UNC 또는 GANC(116)은 MS(104)에 관하여 저장된 이동 아이덴티티와 수신된 이동 아이덴티티를 비교함으로써, 수신된 이동 아이덴티티가 정확한지 여부를 판단한다. 판단 블록(206)에서 수신된 이동 아이덴티티가 정확하다고 판단된다면, 수신된 메시지는 블록(208)에서 프로세싱된다(예를 들어, 전달된다, 등). 그러나 판단 블록(206)에서 수신된 이동 아이덴티티가 정확하지 않다고 판단된다면, 수신된 이동 아이덴티티가 블록(210)에서 드롭된다. 이동 아이덴티티는 IMSI, TMSI 또는 P-TMSI일 수 있다. 수신된 메시지는 이동성 관리(MM) 메시지, 범용 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 UMA 또는 인증되지 않은 무선 자원(URR) 메시지(단지 MS(104) 및 UNC(116) 간에 사용됨)과 같은 업링크 메시지 또는 다운링크 메시지일 수 있다.Reference is now made to FIG. 2, which is a flowchart illustrating a method 200 of protecting the core network 102 related to the present invention. At block 202 UNC and GANC 116 receive a message that includes the mobile identity of MS 104. The UNC or GANC 116 then determines whether the received mobile identity is correct by comparing the received mobile identity with the stored mobile identity with respect to the MS 104 at block 204. If the mobile identity received at decision block 206 is determined to be correct, then the received message is processed (eg, delivered, etc.) at block 208. However, if it is determined that the received mobile identity at the decision block 206 is not correct, then the received mobile identity is dropped at the block 210. The mobile identity can be IMSI, TMSI or P-TMSI. The received message is used for mobility management (MM) messages, universal packet radio service (GPRS) mobility management (GMM) messages, or UMA or unauthenticated radio resource (URR) messages (only between MS 104 and UNC 116). May be an uplink message or a downlink message.

MS(104)의 이동 아이덴티티가 계층 방해(layer violation)를 수행함으로써, 즉, MS(104)가 UNC 또는 GANC(116)과 함께 등록하는데 사용되는 것과 같은 IMSI를 사용하는지 여부를 알기 위해서 코어 네트워크(102)를 향하여 MS(104)에 의해 전송된 상부 계층 메시지에 스니크(sneak)함으로써 정확한지 여부를 판단한다. TMSI 값은 MSC/VLR(112)에 의해서 할당되고, P-TMSI는 SGSN에 의해 할당되기 때문에, UNC 또는 GANC(116)은 MS(104)가 MSC(112)에 의해 할당받은 값을 사용하고 있다는 것을 확인할 수 있다. 이는 다시 TMSI 값 또는 P-TMSI 값이 MS(104)에 할당되었다는 것을 알기 위해서 코어 네트워크(102)에 의해 전송된 상부 계층 다운링크 메시지를 확인함으로써 그리고 MS(104)가 실제로 할당받은 TMSI 값 또는 P-TMSI을 사용하고 있다는 상부 계층 업링크 메시지를 확인함으로써 수행될 수 있다.By performing a layer violation, that is, whether the MS 104 uses an IMSI such as that used to register with UNC or GANC 116, the core network ( Sneak into the upper layer message sent by MS 104 towards 102 to determine if it is correct. Because TMSI values are assigned by MSC / VLR 112 and P-TMSI is assigned by SGSN, UNC or GANC 116 indicates that MS 104 is using the value assigned by MSC 112. You can see that. This is again by checking the upper layer downlink message sent by the core network 102 to know that the TMSI value or P-TMSI value has been assigned to the MS 104 and the TMSI value or P actually assigned by the MS 104. This can be done by confirming an upper layer uplink message that it is using TMSI.

본 발명은 프로세서와 통신할 수 있게 커플링된 데이터 저장 디바이스를 포함하는 UNC 또는 GANC(116)와 같은 장치로써 구현될 수 있다. 데이터 저장 디바이스는 이동 아이덴티티의 집합체를 MS(104)에 저장한다. 프로세서는 MS(104)의 이동 아이덴티티를 포함하는 메시지를 수신(202)하고 수신된 이동 아이덴티티가 MS(104)에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 메시지를 드롭(210)시킨다. 프로세서는 장치 내의 선-프로세서, 필터 또는 다른 프로세싱 디바이스일 수 있다. 데이터 저장 디바이스는 메모리, 디스크 드라이브, 하드 드라이브 등일 수 있다.The invention may be implemented as an apparatus such as UNC or GANC 116 including a data storage device coupled to communicate with a processor. The data storage device stores the collection of mobile identities in the MS 104. The processor receives 202 a message that includes the mobile identity of the MS 104 and drops 210 the message whenever the received mobile identity does not match the stored mobile identity with respect to the MS 104. The processor may be a pre-processor, filter or other processing device in the apparatus. The data storage device can be a memory, disk drive, hard drive, or the like.

이제 업링크 메시지(302)에 관련된 본 발명의 일 실시예의 사용을 도시하는 시그널링 시퀀스(300)가 도시된 도3을 참조하자. UNC 또는 GANC(116)이 이동 아이덴티티를 포함하는 업링크 메시지(302)를 수신할 때, UNC 또는 GANC(116)이 이동 아이덴티티를 확인(304)한다. 업링크 메시지(302)가 등록 요청(즉, 새로운 MS(104))이라면, UNC 또는 GANC(116)이 수신된 이동 아이덴티티를 저장하고 이를 MS(104)에 관련시키며, 수신된 메시지를 프로세싱(즉, 등록을 수행)할 것이다. 확인(304)이 실패한다면, 즉, 수신된 이동 아이덴티티가 MS(104)에 관하여 저장된 이동 아이덴티티에 부합하지 않는다면, 메시지(302)가 드롭된다. 그러나 확인(304)이 통과되거나, 즉, 수신된 이동 아이덴티티가 MS(104)에 관하여 저장된 이동 아이덴티티에 부합하거나, 또는 이동 아이덴티티가 탐지될 수 없다면, UNC 또는 GANC(116)는 메시지(302)를 프로세싱한다(즉, 메시지(306)를 전달한다). 이동 아이덴티티는 MS(104) 및 SGSN 간의 GMM-메시지 및 GPRS 이동성 관리(GMM) 메시지들의 일부에서 탐지될 수 없을 수 있는데, 이는 이들이 LLC-계층 상에서 계산되어 전송될 수 있고, UNC 또는 GANC(116)가 쉽게 이들 메시지로 쉽게 스니크(sneak)할 수 없기 때문이다. 예를 들어, ROUTING AREA UPDATE REQUEST 메시지가 일반적으로 계 산되어 전송되고, UNC 또는 GANC(116)가 이러한 메시지 상에서 확인을 수행할 수 있다.Reference is now made to FIG. 3, which shows a signaling sequence 300 illustrating the use of one embodiment of the present invention related to uplink message 302. As shown in FIG. When UNC or GANC 116 receives an uplink message 302 that includes a mobile identity, UNC or GANC 116 confirms 304 the mobile identity. If the uplink message 302 is a registration request (ie, a new MS 104), the UNC or GANC 116 stores the received mobile identity and associates it with the MS 104, and processes the received message (ie, , Will register). If the verification 304 fails, i.e., the received mobile identity does not match the stored mobile identity with respect to the MS 104, the message 302 is dropped. However, if acknowledgment 304 passes, that is, the received mobile identity matches the stored mobile identity with respect to MS 104, or if the mobile identity cannot be detected, UNC or GANC 116 returns message 302. Process (i.e., forward message 306). The mobile identity may not be detectable in some of the GMM-message and GPRS mobility management (GMM) messages between the MS 104 and SGSN, which may be computed and transmitted on the LLC-layer, UNC or GANC 116 Can't easily sneak into these messages. For example, a ROUTING AREA UPDATE REQUEST message is typically computed and sent, and the UNC or GANC 116 can perform an acknowledgment on this message.

특히, 업링크 메시지(302)가 IMSI를 포함한다면, UNC 또는 GANC(116)는 이러한 IMSI가 등록 동안 MS(104)에 의해 제공되는 것과 동일한지를 확인한다. 동일하다면, 메시지(306)는 코어 네트워크에 전달된다. 다르다면, 메시지가 드롭된다. UNC 또는 GANC(116)는 또한 MS(104)를 등록 해제시키고 MS(104)에 의해 사용되는 IP 어드레스를 일시적으로 블랙리스트에 올릴 수 있다. 다른 동작은 알람으로 오퍼레이터에게 통지하고 이벤트를 기록하는 것을 포함할 수 있다.In particular, if uplink message 302 includes an IMSI, UNC or GANC 116 confirms that this IMSI is the same as that provided by MS 104 during registration. If so, the message 306 is delivered to the core network. If different, the message is dropped. UNC or GANC 116 may also unregister MS 104 and temporarily blacklist the IP address used by MS 104. Other actions may include notifying the operator with an alarm and recording the event.

업링크 메시지(302)가 TMSI 또는 P-TMSI를 포함하고, UNC 또는 GANC(116)이 이런 MS(104)에 대한 TMSI 또는 P-TMSI를 저장하지 않는다면, TMSI 또는 P-TMSI가 MS(104) 콘텍스트에 저장된다. 그러나 UNC 또는 GANC(116)이 이미 이러한 MS에 대한 TMSI 또는 P-TMSI에 저장되었다면, UNC 또는 GANC(116)은 이러한 TMSI 또는 P-TMSI 값이 동일하다는 것을 확인한다. 그들이 동일하다면, 메시지(306)는 코어 네트워크로 전달된다. 그들이 다르다면, 메시지는 드롭된다. UNC 또는 GANC(116)는 또한, MS(104)를 등록해제시키고 MS(104)에 의해 사용되는 IP 어드레스를 일시적으로 블랙리스트에 올릴 수 있다. 다른 동작은 알람을 사용하여 오퍼레이터에게 통지하고 이벤트를 기록하는 것을 포함한다.If uplink message 302 includes TMSI or P-TMSI, and UNC or GANC 116 does not store TMSI or P-TMSI for such MS 104, then TMSI or P-TMSI is determined by MS 104. Stored in the context. However, if UNC or GANC 116 has already been stored in TMSI or P-TMSI for this MS, then UNC or GANC 116 confirms that these TMSI or P-TMSI values are identical. If they are the same, the message 306 is forwarded to the core network. If they are different, the message is dropped. UNC or GANC 116 may also unregister MS 104 and temporarily blacklist the IP address used by MS 104. Other actions include using an alarm to notify the operator and record the event.

이제 다운링크 메시지(402)에 관련된 본 발명의 일 실시예의 사용을 도시하는 시그널링 시퀀스(400)가 도시된 도4를 참조하자. UNC 또는 GANC(116)은 이동 아이덴티티를 포함하는 다운링크 메시지(402)를 수신할 때, UNC 또는 GANC(116)이 이 동 아이덴티티를 확인(404)한다. 다운링크 메시지(402)가 MS(104)에 대한 새로운 이동 아이덴티티(새롭게 할당되거나 바뀜)를 포함한다면, UNC 또는 GANC(116)는 수신된 이동 아이덴티티를 저장하고, 이를 MS(104)에 관련시키며, 수신된 메시지를 프로세싱(즉, 메시지(406)를 MS(104)로 전달)할 것이다. 이동 아이덴티티가 MS(104)에 대해서 이미 저장되었다고(예컨대, 이미 존재한다고) 확인된다면(404), 수신된 메시지가 프로세싱된다(즉, 메시지가 MS(104)로 전달된다). 대안적으로, 이동 아이덴티티는 다운링크 메시지(402)를 수용, 확인 또는 완성하는 업링크 메시지가 수신될 때까지 유지될 수 있고 저장되지 않는다.Reference is now made to Figure 4, where a signaling sequence 400 is shown illustrating the use of one embodiment of the present invention related to downlink message 402. When UNC or GANC 116 receives a downlink message 402 that includes a mobile identity, UNC or GANC 116 confirms 404 the mobile identity. If downlink message 402 includes a new mobile identity (newly assigned or replaced) for MS 104, UNC or GANC 116 stores the received mobile identity and associates it with MS 104, It will process the received message (ie, forward the message 406 to the MS 104). If the mobile identity is confirmed as being already stored (eg, already exists) for the MS 104 (404), then the received message is processed (ie, the message is passed to the MS 104). Alternatively, the mobile identity may be maintained and not stored until an uplink message is received that accepts, confirms, or completes the downlink message 402.

예를 들어, 다운링크 메시지가 TMSI REALLOCATION COMMAND라면, UNC 또는 GANC(116)는 MS(104) 콘텍스트에 할당된 TMSI 값을 저장한다. 다운링크 메시지는 MS(104) 콘텍스트에 관련된 시그널링 접속시 수신된다. TMSI REALLOCATION COMPLETE 메시지가 MS(104)로부터 수신될 때까지, TMSI를 MS(104) 콘텍스트에 저장하는 것이 또한 지연된다. 마찬가지로, 다운링크 메시지(402)가 LOCATION UPDATING ACCEPT이고, 새로운 TMSI가 MS(104)에 할당된다면, UNC 또는 GANC(116)는 할당된 TMSI 값을 MS(104) 콘텍스트에 저장한다. TMSI REALLOCATION COMPLETE 메시지가 MS(104)로부터 수신될 때까지, TMSI를 MS(104) 콘텍스트에 저장하는 것이 또한 지연된다. P-TMSI REALLOCATION COMMAND에 대한 프로세스는 동일한 방법으로 핸들링된다.For example, if the downlink message is a TMSI REALLOCATION COMMAND, UNC or GANC 116 stores the TMSI value assigned to the MS 104 context. The downlink message is received upon signaling connection related to the MS 104 context. Storing TMSI in the MS 104 context is also delayed until a TMSI REALLOCATION COMPLETE message is received from the MS 104. Similarly, if downlink message 402 is LOCATION UPDATING ACCEPT and a new TMSI is assigned to MS 104, UNC or GANC 116 stores the assigned TMSI value in MS 104 context. Storing TMSI in the MS 104 context is also delayed until a TMSI REALLOCATION COMPLETE message is received from the MS 104. The process for P-TMSI REALLOCATION COMMAND is handled in the same way.

이제 업링크 메시지에 관련된 본 발명의 일 실시예에 관한 방법(500)을 도시하는 흐름도가 도시된 도5를 참조하자. 업링크 메시지는 블록(502)에서 수신된다. 수신된 메시지가 판단 블록(504)에서 MS의 이동 아이덴티티를 포함하지 않는다고(또는 탐지할 수 없다고) 판단된다면, 업링크 메시지가 블록(506)에서 프로세싱된다(예컨대, 전달된다, 실행된다, 등). 그러나, 업링크 메시지가 판단 블록(504)에서 MS의 이동 아이덴티티를 포함한다고 판단되고, 이동 아이덴티티가 판단 블록(508)에서 IMSI라고 판단된다면, IMSI는 블록(512)에서 MS에 관하여 저장되고, MS가 등록된다. 그러나 업링크 메시지가 판단 블록(510)에서 등록 요청이 아니라고 판단되고, 수신된 IMSI가 판단 블록(514)에서 MS에 관하여 저장된 IMSI에 부합한다고 판단된다면, 메시지는 블록(506)에서 일반적으로 프로세싱된다. 그러나 수신된 IMSI가 판단 블록(514)에서 MS에 관하여 저장된 IMSI에 부합하지 않는다고 판단된다면, 메시지는 블록(516)에서 드롭된다. UNC 또는 GANC(116)는 또한 다음의 동작: 블록(518)에서 MS를 등록해제하는 동작; 블록(520)에서 시간 기간 동안 MS에 관련된 IP 어드레스를 블랙리스트에 올리는 동작; 블록(522)에서 시스템 오퍼레이터에게 드롭된 메시지 및 이동국의 등록해제를 통지하는 동작; 또는 블록(524)에서 드롭된 메시지 및 이동국의 등록 해제에 대한 정보를 기록하는 동작 중 일부 또는 전부를 수행할 수 있다. Reference is now made to Figure 5, which is a flowchart illustrating a method 500 in accordance with one embodiment of the present invention related to an uplink message. The uplink message is received at block 502. If it is determined that the received message does not include (or cannot be detected) the MS's mobile identity at decision block 504, the uplink message is processed (eg, delivered, executed, etc.) at block 506. . However, if the uplink message is determined to include the mobile identity of the MS at decision block 504, and the mobile identity is determined to be IMSI at decision block 508, the IMSI is stored with respect to the MS at block 512, and the MS Is registered. However, if it is determined that the uplink message is not a registration request at decision block 510 and the received IMSI is determined to conform to the IMSI stored for the MS at decision block 514, the message is generally processed at block 506. . However, if it is determined that the received IMSI does not match the IMSI stored for the MS at decision block 514, the message is dropped at block 516. UNC or GANC 116 may also perform the following actions: unregister the MS at block 518; Blacklisting the IP addresses associated with the MS for a period of time in block 520; In block 522, notifying the system operator of the dropped message and the deregistration of the mobile station; Or record the dropped message at block 524 and information about deregistration of the mobile station.

그러나 이동 아이덴티티가 판단 블록(508)에서 TMSI 또는 P-TMSI이라고 판단되고, TMSI 또는 P-TMSI가 판단 블록(526)에서 MS에 대해 이미 저장되지 않는다고 판단된다면, TMSI 또는 P-TMSI는 블록(528)에서 MS에 관하여 저장되고, 메시지는 블록(506)에서 일반적으로 프로세싱된다. 그러나 TMSI 또는 P-TMSI가 판단 블록(526)에서 MS에 대해 이미 저장되었다고 판단되고, 수신된 TMSI 또는 P-TMSI가 판단 블록(530)에서 MS에 관하여 저장된 TMSI 또는 P-TMSI에 부합한다면, 메시지는 블록(506)에서 일반적으로 프로세싱된다. 그러나, 수신된 TMSI 또는 P-TMSI가 판단 블록(530)에서 MS에 관하여 저장된 TMSI 또는 P-TMSI에 부합하지 않는다고 판단된다면, 메시지는 블록(516)에서 드롭된다. UNC 또는 GANC(116)은 또한 다음의 동작: 블록(518)에서 MS를 등록해제하는 동작; 블록(520)에서 시간 기간 동안 MS에 관련된 IP 어드레스를 블랙리스트에 올리는 동작; 블록(522)에서 시스템 오퍼레이터에게 드롭된 메시지 및 이동국의 등록해제를 통지하는 동작; 또는 블록(524)에서 드롭된 메시지 및 이동국의 등록 해제에 대한 정보를 기록하는 동작 중 일부 또는 전부를 수행할 수 있다.However, if the mobile identity is determined to be TMSI or P-TMSI at decision block 508, and it is determined that TMSI or P-TMSI is not already stored for the MS at decision block 526, then TMSI or P-TMSI is determined at block 528. ), And the message is generally processed at block 506. However, if it is determined that TMSI or P-TMSI has already been stored for the MS in decision block 526 and the received TMSI or P-TMSI matches the TMSI or P-TMSI stored for the MS in decision block 530, the message Is generally processed at block 506. However, if it is determined that the received TMSI or P-TMSI does not conform to the TMSI or P-TMSI stored for the MS at decision block 530, the message is dropped at block 516. UNC or GANC 116 may also perform the following actions: unregister the MS at block 518; Blacklisting the IP addresses associated with the MS for a period of time in block 520; In block 522, notifying the system operator of the dropped message and the deregistration of the mobile station; Or record the dropped message at block 524 and information about deregistration of the mobile station.

이제 다운링크 메시지에 관한 본 발명의 일 실시예에 따른 방법(600)을 도시하는 흐름도인 도6을 참조하자. 다운링크 메시지는 블록(602)에서 수신된다. 다운링크 메시지가 판단 블록(604)에서 MS에 대한 TMSI 또는 P-TMSI를 포함하지 않는다고 판단된다면, 다운링크 메시지는 블록(606)에서 프로세싱된다(예컨대, 전달된다, 실행된다, 등). 그러나, 다운링크 메시지가 판단 블록(604)에서 MS에 대한 TMSI 또는 P-TMSI를 포함한다고 판단되고, TMSI 또는 P-TMSI가 판단 블록(608)에서 새로운 것이 아니라고(즉, UNC 또는 GANC(116)가 이미 저장되고 이를 MS에 관련시켰다고) 판단된다면, 다운링크 메시지는 블록(606)에서 일반적으로 프로세싱된다. 그러나 TMSI 또는 P-TMSI가 판단 블록(608)에서 새로운 것이라고 판단된다면, TMSI 또는 P-TMSI는 블록(610)에서 MS에 관하여 저장되고, 메시지는 블록(606)에서 일반적으로 프로세싱된다.Reference is now made to Figure 6, which is a flowchart illustrating a method 600 according to one embodiment of the present invention for downlink messages. The downlink message is received at block 602. If it is determined that the downlink message does not include a TMSI or P-TMSI for the MS at decision block 604, the downlink message is processed (eg, delivered, executed, etc.) at block 606. However, it is determined that the downlink message includes TMSI or P-TMSI for the MS in decision block 604, and that TMSI or P-TMSI is not new in decision block 608 (ie, UNC or GANC 116). Is already stored and associated with the MS), the downlink message is generally processed at block 606. However, if TMSI or P-TMSI is determined to be new at decision block 608, then TMSI or P-TMSI is stored with respect to the MS at block 610, and the message is generally processed at block 606.

이제 다운링크에 관한 본 발명의 다른 실시예에 따른 방법(700)을 도시하는 흐름도인 도7을 참조하자. 다운링크 메시지는 블록(702)에서 수신된다. 다운링크 메시지가 판단 블록(704)에서 MS에 대한 TMSI 또는 P-TMSI를 포함하지 않는다고 판단된다면, 다운링크 메시지가 블록(706)에서 프로세싱된다(예컨대, 전달된다, 실행된다, 등). 그러나, 다운링크 메시지가 판단 블록(704)에서 MS에 대한 TMSI 또는 P-TMSI를 포함한다고 판단되고, TMSI 또는 P-TMSI가 판단 블록(708)에서 새로운 것이 아니라고(즉, UNC 또는 GANC가 이미 저장되어 이를 MS에 관련시켰다고) 판단된다면, 다운링크 메시지는 블록(706)에서 일반적으로 프로세싱된다. 그러나 TMSI 또는 P-TMSI가 판단 블록(708)에서 새로운 것이라고 판단된다면, TMSI 또는 P-TMSI는 블록(710)에서 유지되고 메시지는 블록(712)에서 일반적으로 프로세싱된다. TMSI 또는 P-TMSI가 블록(714)에서 유지되는 TMSI 또는 P-TMSI를 포함하는 수신된 다운링크 메시지를 수용, 확인 또는 완성하는 업링크 메시지를 수신할 때까지 TMSI 또는 P-TMSI는 업링크 메시지가 유지된다. 그 이후에, 유지된 TMSI 또는 P-TMSI가 블록(716)에서 MS에 관하여 저장되고, 업링크 메시지는 블록(718)에서 일반적으로 프로세싱된다.Reference is now made to FIG. 7, which is a flowchart illustrating a method 700 according to another embodiment of the present invention on downlink. The downlink message is received at block 702. If it is determined that the downlink message does not include a TMSI or P-TMSI for the MS at decision block 704, the downlink message is processed (eg, delivered, executed, etc.) at block 706. However, it is determined that the downlink message includes TMSI or P-TMSI for the MS in decision block 704, and that TMSI or P-TMSI is not new in decision block 708 (i.e., UNC or GANC already stored). And associate it with the MS), the downlink message is generally processed at block 706. However, if the TMSI or P-TMSI is determined to be new at decision block 708, the TMSI or P-TMSI is maintained at block 710 and the message is generally processed at block 712. The TMSI or P-TMSI is an uplink message until the TMSI or P-TMSI receives an uplink message that accepts, acknowledges, or completes a received downlink message comprising the TMSI or P-TMSI maintained at block 714. Is maintained. Thereafter, the retained TMSI or P-TMSI is stored with respect to the MS at block 716 and the uplink message is generally processed at block 718.

임의의 상술된 방법은 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램으로써 구현될 수 있는데, 여기서 여러 방법 단계들이 하나 이상의 코드 세그먼트에 의해 구현된다는 것을 주의하자.Any of the above-described methods may be implemented as a computer program used on a computer readable medium, wherein the various method steps are implemented by one or more code segments.

본 발명 및 그의 이점이 상세하게 설명될지라도, 다양한 변화, 대체 및 대안이 첨부된 청구항에 의해 정의된 바와 같이 본 발명의 정신 및 범위를 벗어나지 않 고 행해질 수 있다는 것이 인식되어야만 한다. 게다가, 본원의 범위는 명세서에서 설명된 프로세스, 기계, 제조, 물질의 구성 요소, 수단, 방법 및 단계의 특정한 실시예에 국한되는 것이 아니라 단지 청구항에 의해서만 국한된다.Although the invention and its advantages have been described in detail, it should be appreciated that various changes, substitutions and alterations can be made without departing from the spirit and scope of the invention as defined by the appended claims. In addition, the scope of the present application is not limited to the specific embodiments of the processes, machines, manufacture, components of matter, means, methods and steps described in the specification, but only by the claims.

Claims (22)

코어 네트워크(102)를 보호하는 방법에 있어서,In the method of protecting the core network 102, 이동국(104)의 이동 아이덴티티를 포함하는 메시지(302,402)를 수신하는 단계(202); 및Receiving (202) a message (302, 402) containing a mobile identity of the mobile station (104); And 상기 수신된 이동 아이덴티티가 상기 이동국(102)에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 상기 메시지(302,402)를 드롭시키는 단계(210)를 포함하는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.Dropping (210) the message (302,402) whenever the received mobile identity does not match a stored mobile identity with respect to the mobile station (102). 제 1항에 있어서,The method of claim 1, 상기 수신된 이동 아이덴티티가 이동국(104)에 관하여 저장된 이동 아이덴티티에 부합할 때마다 메시지(302,402)를 프로세싱하는 단계(208)를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.And processing (208) a message (302,402) whenever the received mobile identity matches a stored mobile identity with respect to a mobile station (104). 제 1항에 있어서,The method of claim 1, 상기 이동 아이덴티티가 국제 이동 가입자 아이덴티티(IMSI), 일시적인 이동 가입자 아이덴티티(TMSI) 또는 패킷 일시적인 이동 가입자 아이덴티티(P-TMSI)인 것을 특징으로 하는 코어 네트워크를 보호하는 방법.And wherein said mobile identity is an international mobile subscriber identity (IMSI), a temporary mobile subscriber identity (TMSI), or a packet temporary mobile subscriber identity (P-TMSI). 제 1항에 있어서,The method of claim 1, 상기 메시지(302,402)가 업링크 메시지(302) 또는 다운링크 메시지(402)인 것을 특징으로 하는 코어 네트워크를 보호하는 방법.And the message (302, 402) is an uplink message (302) or a downlink message (402). 제 4항에 있어서,The method of claim 4, wherein 상기 업링크 메시지(302)가 이동 교환 센터(MSC)(116) 또는 범용 패킷 무선 서비스(GPRS) 지원 노드(SGSN)로부터 수신되는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.And the uplink message (302) is received from a mobile switching center (MSC) (116) or a universal packet radio service (GPRS) supporting node (SGSN). 제 1항에 있어서,The method of claim 1, 상기 수신된 이동 아이덴티티를 저장하는 단계(512) 및 상기 수신된 메시지(302,402)가 등록 요청일 때마다 상기 수신된 메시지를 프로세싱하는 단계(302,402)를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.Storing the received mobile identity (512) and processing the received message (302, 402) whenever the received message (302, 402) is a registration request. Way. 제 1항에 있어서,The method of claim 1, 상기 수신된 이동 아이덴티티를 저장하는 단계(610) 및 상기 수신된 메시지(302,402)가 다운링크 메시지(402)이고, 상기 수신된 이동 아이덴티티가 상기 이동국(104)의 이동 아이덴티티를 할당하거나 바꿀 때마다 상기 수신된 메시지(302,402)를 프로세싱하는 단계를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.Storing (610) the received mobile identity and the received messages (302, 402) are downlink messages (402), each time the received mobile identity assigns or replaces a mobile identity of the mobile station (104). Processing the received message (302, 402). 제 7항에 있어서,The method of claim 7, wherein 상기 다운링크 메시지(402)를 수용, 확인 또는 완성하는 업링크 메시지가 수신될 때까지(714), 상기 수신된 이동 아이덴티티가 저장되지 않는 것(716)을 특징으로 하는 특징으로 하는 코어 네트워크를 보호하는 방법.Protect the core network, characterized in that the received mobile identity is not stored (716) until an uplink message is received (714) that accepts, confirms, or completes the downlink message (402). How to. 제 1항에 있어서,The method of claim 1, 상기 수신된 메시지를 드롭시키는 단계(210,516)가:Dropping the received message (210,516) includes: 상기 이동국을 등록 해제시키는 단계(518);Deregistering (518) the mobile station; 시간 기간 동안 상기 이동국(104)에 관련된 인터넷 프로토콜(IP) 어드레스를 블랙리스트에 올리는 단계(520);Blacklisting (520) an Internet Protocol (IP) address associated with the mobile station (104) for a period of time; 상기 드롭된 메시지 및 상기 이동국의 등록 해제를 시스템 오퍼레이터에게 통지하는 단계(522); 및Notifying (522) a system operator of the dropped message and deregistration of the mobile station; And 상기 드롭된 메시지 및 상기 이동국의 등록 해제에 대한 정보를 기록하는 단계(524)를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.Recording (524) the dropped message and information about deregistration of the mobile station. 제 1항에 있어서,The method of claim 1, 상기 수신된 메시지가 이동성 관리(MM) 메시지, 범용 패킷 무선 서비스(GPRS) 이동성 관리(GMM) 메시지, 또는 UMA 또는 인증되지 않은 무선 자원(URR) 메시지인 것을 특징으로 하는 코어 네트워크를 보호하는 방법.And wherein said received message is a mobility management (MM) message, a universal packet radio service (GPRS) mobility management (GMM) message, or a UMA or unauthorized radio resource (URR) message. 제 1항에 있어서,The method of claim 1, 상기 메시지(302,402)가 인증되지 않은 이동 액세스 네트워크(UMAN)(100) 내의 인증되지 않은 네트워크 제어기(UNC)(116) 또는 상기 코어 네트워크(102)와 통신하는 일반적인 액세스 네트워크(GAN)(100) 내의 일반적인 액세스 네트워크 제어기(GANC)(116)에서 수신되는 것을 특징으로 하는 코어 네트워크를 보호하는 방법.The message 302, 402 is in an unauthenticated network controller (UNC) 116 in an unauthenticated mobile access network (UMAN) 100 or in a general access network (GAN) 100 in communication with the core network 102. Received by a general access network controller (GANC) 116. 코어 네트워크(102)를 보호하기 위해서 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램에 있어서,In a computer program used on a computer-readable medium for protecting the core network 102, 이동국(104)의 이동 아이덴티티를 포함하는 메시지(302,402)를 수신하는(202) 코드 세그먼트; 및Code segment for receiving (202) a message (302, 402) containing a mobile identity of a mobile station (104); And 상기 수신된 이동 아이덴티티가 상기 이동국(104)에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 상기 메시지(302,402)를 드롭시키는(210) 코드 세그먼트를 포함하는 것을 특징으로 하는 코어 네트워크를 보호하기 위해서 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램.And a code segment to drop (210) the message (302, 402) whenever the received mobile identity does not match the stored mobile identity with respect to the mobile station (104). A computer program used on a readable medium. 제 12항에 있어서,The method of claim 12, 상기 수신된 이동 아이덴티티가 이동국(104)에 관하여 저장된 이동 아이덴티티에 부합할 때마다 상기 메시지(302,402)를 프로세싱하는(208) 코드 세크먼트를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하기 위해서 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램.The computer further comprises a code segment for processing (208) the message (302, 402) whenever the received mobile identity matches a stored mobile identity with respect to the mobile station (104). A computer program used on a readable medium. 제 12항에 있어서,The method of claim 12, 상기 수신된 이동 아이덴티티를 저장하고 상기 수신된 메시지(302,402)가 등록 요청일 때마다 상기 수신된 메시지(302,402)를 프로세싱하는 코드 세그먼트를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하기 위해서 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램.And a code segment for storing the received mobile identity and processing the received message 302,402 whenever the received message 302,402 is a registration request. A computer program used on a removable medium. 제 12항에 있어서,The method of claim 12, 상기 수신된 이동 아이덴티티를 저장하고(610) 상기 수신된 메시지(302,402)가 다운링크 메시지(402)이고 상기 수신된 이동 아이덴티티가 상기 이동국(104)의 이동 아이덴티티를 할당하거나 바꿀 때마다 상기 수신된 메시지(302,402)를 프로세싱하는(608) 코드 세그먼트를 더 포함하는 것을 특징으로 하는 코어 네트워크를 보호하기 위해서 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램.Store the received mobile identity (610) and the received message (302,402) is a downlink message (402) and each time the received mobile identity allocates or replaces the mobile identity of the mobile station (104) And (608) a code segment for processing (302, 402). 제 15항에 있어서,The method of claim 15, 상기 다운링크 메시지(402)를 수용, 확인 또는 완성하는 업링크 메시지가 수신될 때까지(714), 상기 수신된 이동 아이덴티티가 저장되지 않는 것(716)을 특징으로 하는 코어 네트워크를 보호하기 위해서 컴퓨터가 판독할 수 있는 매체 상에서 사용되는 컴퓨터 프로그램.A computer for protecting a core network, characterized in that the received mobile identity is not stored (716) until an uplink message is received (714) that accepts, confirms, or completes the downlink message (402). A computer program used on a medium that can be read by a computer. 장치에 있어서,In the device, 이동 아이덴티티의 집합체를 이동국에 저장하는 데이터 저장 디바이스; 및A data storage device for storing a collection of mobile identities in a mobile station; And 이동국(104)의 이동 아이덴티티를 포함하는 메시지(302,402)를 수신하고, 상기 수신된 이동 아이덴티티가 상기 이동국(104)에 관하여 저장된 이동 아이덴티티에 부합하지 않을 때마다 상기 메시지(302,402)를 드롭시키는 상기 데이터 저장 장치에 통신할 수 있게 커플링 된 프로세서를 포함하는 것을 특징으로 하는 장치.The data receiving a message 302,402 containing the mobile identity of the mobile station 104 and dropping the message 302,402 whenever the received mobile identity does not conform to the stored mobile identity with respect to the mobile station 104; And a processor coupled to communicate with the storage device. 제 17항에 있어서,The method of claim 17, 상기 장치가 인증되지 않은 네트워크 제어기(UNC)(116) 또는 일반적인 액세스 네트워크 제어기(GANC)인 것을 특징으로 하는 장치.Wherein the device is an unauthorized network controller (UNC) or a general access network controller (GANC). 제 17항에 있어서,The method of claim 17, 상기 수신된 이동 아이덴티티가 상기 이동국(104)에 관하여 저장된 이동 아이덴티티에 부합할 때마다 상기 프로세서가 상기 메시지(302,402)를 프로세싱하는 것(208)을 특징으로 하는 장치.The processor processes (208) the message (302,402) whenever the received mobile identity matches a stored mobile identity with respect to the mobile station (104). 제 17항에 있어서,The method of claim 17, 상기 프로세서가 상기 수신된 메시지(302,402)를 저장하고(610), 상기 수신된 메시지(302,402)가 등록 요청일 때마다 상기 수신된 메시지(302,402)를 프로세싱하는 것을 특징으로 하는 장치.And the processor stores (610, 402) the received message (302, 402) and processes the received message (302, 402) whenever the received message (302, 402) is a registration request. 제 17항에 있어서,The method of claim 17, 상기 프로세서가 상기 수신된 이동 아이덴티티를 저장하고(610), 상기 수신된 메시지가 다운링크 메시지(402)이고 상기 이동 아이덴티티가 상기 이동국(104)의 이동 아이덴티티를 할당하거나 바꿀 때마다 상기 수신된 메시지(302,402)를 프로세싱하는 것(608)을 특징으로 하는 장치.The processor stores the received mobile identity (610), the received message is a downlink message 402 and whenever the mobile identity assigns or replaces the mobile identity of the mobile station 104, the received message ( And processing (608) 302,402. 제 21항에 있어서,The method of claim 21, 상기 다운링크 메시지(402)를 수용, 확인 또는 완성하는 업링크 메시지가 수신될 때까지(714), 상기 수신된 이동 아이덴티티가 저장되지 않는 것(716)을 특징으로 하는 장치.Wherein the received mobile identity is not stored (716) until an uplink message is received (714) that accepts, confirms or completes the downlink message (402).
KR1020077019443A 2007-08-24 2005-01-24 Methods and devices for protecting core networks Withdrawn KR20070104633A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020077019443A KR20070104633A (en) 2007-08-24 2005-01-24 Methods and devices for protecting core networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020077019443A KR20070104633A (en) 2007-08-24 2005-01-24 Methods and devices for protecting core networks

Publications (1)

Publication Number Publication Date
KR20070104633A true KR20070104633A (en) 2007-10-26

Family

ID=38818437

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077019443A Withdrawn KR20070104633A (en) 2007-08-24 2005-01-24 Methods and devices for protecting core networks

Country Status (1)

Country Link
KR (1) KR20070104633A (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8594252B2 (en) 2005-08-22 2013-11-26 Qualcomm Incorporated Interference cancellation for wireless communications
US8611305B2 (en) 2005-08-22 2013-12-17 Qualcomm Incorporated Interference cancellation for wireless communications
US8630602B2 (en) 2005-08-22 2014-01-14 Qualcomm Incorporated Pilot interference cancellation
US8743909B2 (en) 2008-02-20 2014-06-03 Qualcomm Incorporated Frame termination
US8787509B2 (en) 2009-06-04 2014-07-22 Qualcomm Incorporated Iterative interference cancellation receiver
US8792426B2 (en) 2008-03-24 2014-07-29 Qualcomm Incorporated Method and apparatus for resource management in a wireless communication system
US8831149B2 (en) 2009-09-03 2014-09-09 Qualcomm Incorporated Symbol estimation methods and apparatuses
US8995417B2 (en) 2008-06-09 2015-03-31 Qualcomm Incorporated Increasing capacity in wireless communication
US9071344B2 (en) 2005-08-22 2015-06-30 Qualcomm Incorporated Reverse link interference cancellation
US9160577B2 (en) 2009-04-30 2015-10-13 Qualcomm Incorporated Hybrid SAIC receiver
US9237515B2 (en) 2008-08-01 2016-01-12 Qualcomm Incorporated Successive detection and cancellation for cell pilot detection
US9277487B2 (en) 2008-08-01 2016-03-01 Qualcomm Incorporated Cell detection with interference cancellation
US9509452B2 (en) 2009-11-27 2016-11-29 Qualcomm Incorporated Increasing capacity in wireless communications
US9673837B2 (en) 2009-11-27 2017-06-06 Qualcomm Incorporated Increasing capacity in wireless communications

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9071344B2 (en) 2005-08-22 2015-06-30 Qualcomm Incorporated Reverse link interference cancellation
US8611305B2 (en) 2005-08-22 2013-12-17 Qualcomm Incorporated Interference cancellation for wireless communications
US8630602B2 (en) 2005-08-22 2014-01-14 Qualcomm Incorporated Pilot interference cancellation
US8594252B2 (en) 2005-08-22 2013-11-26 Qualcomm Incorporated Interference cancellation for wireless communications
US9055545B2 (en) 2005-08-22 2015-06-09 Qualcomm Incorporated Interference cancellation for wireless communications
US8743909B2 (en) 2008-02-20 2014-06-03 Qualcomm Incorporated Frame termination
US8792426B2 (en) 2008-03-24 2014-07-29 Qualcomm Incorporated Method and apparatus for resource management in a wireless communication system
US9408165B2 (en) 2008-06-09 2016-08-02 Qualcomm Incorporated Increasing capacity in wireless communications
US8995417B2 (en) 2008-06-09 2015-03-31 Qualcomm Incorporated Increasing capacity in wireless communication
US9014152B2 (en) 2008-06-09 2015-04-21 Qualcomm Incorporated Increasing capacity in wireless communications
US9237515B2 (en) 2008-08-01 2016-01-12 Qualcomm Incorporated Successive detection and cancellation for cell pilot detection
US9277487B2 (en) 2008-08-01 2016-03-01 Qualcomm Incorporated Cell detection with interference cancellation
US9160577B2 (en) 2009-04-30 2015-10-13 Qualcomm Incorporated Hybrid SAIC receiver
US8787509B2 (en) 2009-06-04 2014-07-22 Qualcomm Incorporated Iterative interference cancellation receiver
US8831149B2 (en) 2009-09-03 2014-09-09 Qualcomm Incorporated Symbol estimation methods and apparatuses
US9509452B2 (en) 2009-11-27 2016-11-29 Qualcomm Incorporated Increasing capacity in wireless communications
US9673837B2 (en) 2009-11-27 2017-06-06 Qualcomm Incorporated Increasing capacity in wireless communications
US10790861B2 (en) 2009-11-27 2020-09-29 Qualcomm Incorporated Increasing capacity in wireless communications

Similar Documents

Publication Publication Date Title
US7280826B2 (en) Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network
EP3834450B1 (en) Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
EP3662630B1 (en) Methods, systems, and computer readable media for mobility management entity (mme) authentication for outbound roaming subscribers using diameter edge agent (dea)
EP1240744B1 (en) Prevention of spoofing in telecommunications systems
US8479290B2 (en) Treatment of malicious devices in a mobile-communications network
JP2008529380A5 (en)
KR20070104633A (en) Methods and devices for protecting core networks
CN110754101B (en) Methods, systems, and computer-readable storage media for protecting subscriber information associated with user equipment
US8428553B2 (en) Method and apparatus for protecting a core network
Park et al. Analyzing rrc replay attack and securing base station with practical method
US20240147238A1 (en) Diameter spoofing detection and post-spoofing attack prevention
HK1125524B (en) Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network
CN114867028A (en) Protection method, device and network equipment for counterfeit attack

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20070824

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid