CN110800267B - 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 - Google Patents
用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN110800267B CN110800267B CN201880040478.3A CN201880040478A CN110800267B CN 110800267 B CN110800267 B CN 110800267B CN 201880040478 A CN201880040478 A CN 201880040478A CN 110800267 B CN110800267 B CN 110800267B
- Authority
- CN
- China
- Prior art keywords
- message
- diameter
- ulr
- dea
- air
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于针对境外漫游订户认证移动性管理实体(MME)的方法包括在Diameter边缘代理(DEA)处维护Diameter认证信息请求(AIR)/更新位置请求(ULR)映射数据库。在DEA处接收Diameter AIR消息。DEA确定AIR消息包括未记录在数据库中的受访公共陆地移动网络标识符(VPLMN ID)。DEA将VPLMN ID记录在数据库中。在DEA处接收Diameter ULR消息,并且从ULR消息中读取VPLMN ID。DEA确定从ULR消息读取的VPLMN ID与数据库中针对订户记录的VPLMN ID不匹配。响应于确定该VPLMN ID与数据库中针对订户记录的VPLMN ID不匹配,DEA拒绝该ULR消息。
Description
优先权声明
本申请要求于2017年8月1日提交的序列号为15/666,300的美国专利申请的优先权,该申请的公开内容通过引用被完整地并入本文。
技术领域
本文所描述的主题涉及移动通信网络中的欺诈防范。更具体地,本文所描述的主题涉及用于使用DEA对境外漫游订户进行MME认证的方法、系统和计算机可读介质。
背景技术
移动通信网络正在扩展,并且利用多种技术和互连以携带用于在网络上建立通信的信令消息。核心网络的归属网络元素通常不连接到外部(foreign)或受访(visited)网络。相反,互连网络用于在归属网络和其它网络之间转发信令。这使得归属网络容易受到可能通过受损的远程外部网络引入的Diameter安全攻击。
不同类型的Diameter安全攻击可能通过互连网络被引入到运营商的归属网络中。这样的攻击可以通过来自漫游网络的互连信令流量而引入。攻击的一些示例是订户拒绝服务(denial of service,DoS)攻击、位置跟踪攻击和欺诈攻击。这些攻击可以通过伪造或模仿外部网络元素的身份而实现。例如,服务MME和归属订户服务器(home subscriberserver,HSS)的标识符可能在传入消息中被伪造。在一个示例中,攻击者可以将Diameter更新位置请求消息发送到订户的归属HSS。伪造的更新位置请求消息可以包括与当前注册有用户设备(user equipment,UE)的MME不同的假MME。HSS可以用更新位置应答消息来响应伪造的更新位置请求消息,该更新位置应答消息包括被传递给攻击者而不是有效MME的订阅信息。此外,HSS更新订户的位置以指向攻击者,使得针对订户的通信首先被发送给攻击者,攻击者充当“中间人”,在向订户中继通信和从订户中继通信时窃听涉及订户的通信。
因此,存在对用于使用DEA对境外漫游订户进行MME认证的方法、系统和计算机可读介质的需要。
发明内容
本文所描述的主题包括用于对境外漫游订户进行MME认证的方法、系统和计算机可读介质。一种方法包括在DEA处维护Diameter认证信息请求(AIR)/更新位置请求(ULR)映射数据库。该方法还包括在DEA处接收Diameter AIR消息。该方法还包括由DEA确定Diameter AIR消息包括未记录在DEA处的AIR/ULR映射数据库中的受访公共陆地移动网络标识符(VPLMN ID)。该方法还包括在DEA处的Diameter AIR/ULR映射数据库中记录该VPLMNID。该方法还包括在DEA处接收第一Diameter ULR消息,并且读取第一Diameter ULR消息中的VPLMN ID。该方法还包括确定DEA处的Diameter AIR/ULR映射数据库中针对订户记录的VPLMN ID与从第一ULR中读取的VPLMN ID不匹配。该方法还包括响应于确定DEA处的Diameter AIR/ULR映射数据库中针对订户记录的VPLMN ID与VPLMN ID不匹配,拒绝第一Diameter ULR消息。
在一个示例性实现中,DEA包括用于在订户的归属网络的边缘处运行的Diameter路由代理(Diameter routing agent,DRA)。Diameter路由代理是被配置为基于信令消息中的Diameter等级信息来路由Diameter信令消息的节点。
在一个示例中,接收Diameter AIR消息包括接收带有未记录在DEA处的DiameterAIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且在DEA处的数据库中记录来自AIR消息的VPLMN ID包括在DEA处的Diameter AIR/ULR映射数据库中针对该IMSI和VPLMN ID创建新的记录。
在一个示例中,接收Diameter AIR消息包括接收包括记录在DEA处的DiameterAIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且在DEA处的Diameter AIR/ULR映射数据库中记录来自AIR消息的VPLMN ID包括在DEA处的Diameter AIR/ULR映射数据库中创建与该IMSI相对应的新的记录,并且将来自Diameter AIR消息的VPLMN ID存储在该记录中。
在一个示例中,DEA将所接收的AIR消息转发到归属订户服务器(HSS)、从HSS接收带有成功的2xxx结果代码的Diameter认证信息应答(authentication informationanswer,AIA)消息、并且响应于从HSS接收到AIA消息而启动记录到期定时器。响应于记录到期定时器达到期满值,DEA从DEA处的Diameter AIR/ULR映射数据库中删除记录。
在一个示例中,DEA接收包括VPLMN ID的第二Diameter ULR消息,该VPLMN ID与Diameter AIR/ULR映射数据库中针对订户记录的VPLMN ID匹配。DEA将第二Diameter ULR消息转发到HSS,并且更新DEA处的Diameter AIR/ULR映射数据库中的记录以指示接收到第二ULR消息。
在一个示例中,响应于确定第一ULR消息中的VPLMN ID与Diameter AIR/ULR映射数据库中针对订户记录的VPLMN ID不匹配,DEA将该ULR消息标记为可疑。
一种用于对境外漫游订户进行MME认证的系统包括具有至少一个处理器的DEA。DEA还包括DEA本地的用于存储用于认证MME的记录的Diameter AIR/ULR映射数据库。系统包括DEA本地的MME认证应用,并且MME认证应用使用至少一个处理器来实现以用于以下操作:接收Diameter AIR消息,确定Diameter AIR消息包括未记录的受访公共陆地移动网络标识符(VPLMN ID),将该VPLMN ID记录在DEA处的AIR/ULR映射数据库中,接收第一Diameter ULR消息并且读取第一Diameter ULR消息中的VPLMN ID,确定DEA处的DiameterAIR/ULR映射数据库中针对订户记录的VPLMN ID与从第一ULR中读取的VPLMN ID不匹配,以及响应于确定DEA处的Diameter AIR/ULR映射数据库中针对订户记录的VPLMN ID与VPLMNID不匹配,拒绝第一Diameter ULR消息。
在一个示例中,DEA包括用于在订户的归属网络的边缘处运行的DRA。
在一个示例中,MME认证应用被配置为接收带有未记录在DEA处的Diameter AIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且在DEA处的Diameter AIR/ULR映射数据库中针对该IMSI和VPLMN ID创建新的记录。
在一个示例中,MME认证应用被配置为接收包括记录在DEA处的Diameter AIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且在DEA处的AIR/ULR映射数据库中创建与该IMSI相对应的新的记录,并且将Diameter AIR消息中的VPLMN ID存储在该新的记录中。
在一个示例中,MME认证应用被配置为将AIR消息转发到HSS、从HSS接收带有成功的2xxx结果代码的Diameter认证信息应答(AIA)消息、并且响应于从HSS接收到AIA消息而启动记录到期定时器。MME认证应用被配置为响应于记录到期定时器达到期满值,从DEA处的数据库中删除记录。
在一个示例中,MME认证应用被配置为接收包括与针对订户记录的VPLMN ID相匹配的VPLMN ID的第二Diameter ULR消息,并将第二Diameter ULR消息转发到归属订户服务器(HSS)。MME认证应用被配置为更新DEA处的数据库中的记录以指示接收到第二ULR消息。
在一个示例中,MME认证应用被配置为响应于确定第一ULR消息中的VPLMN ID与记录的VPLMN ID不匹配,将第一ULR消息标记为可疑。
以下术语用于描述本文所描述的用于对境外漫游订户认证MME的主题:
境外漫游订户:在受访网络中漫游的归属订户。
归属网络:由与订户具有订阅协议的移动运营商运营的网络。
受访网络:订户在其中漫游的网络。
Diameter边缘代理(DEA):位于网络边缘处的Diameter路由代理(DRA),并且通过该DRA传递来自外部网络的漫游Diameter流量或朝向外部网络的归属网络Diameter流量。
更新位置请求(ULR):用于更新HSS中的订户的位置的Diameter消息。
认证信息请求(AIR):用于使用HSS信息认证订户的Diameter消息。
取消位置请求:用于指示HSS具有新的MME信息(位置信息)并且旧的信息应当被移除的Diameter消息。
国际移动订户身份(IMSI):订户的唯一身份。
拒绝服务(DoS):一种对网络的安全攻击类型,阻止合法订户访问服务。
本文所描述的主题可以用硬件、软件、固件或其任意组合来实现。因此,如本文所使用的术语“功能”、“节点”或“模块”是指硬件,也可以包括软件和/或固件组件,用于实现所描述的特征。在一个示例性实现中,本文所描述的主题可以使用其上存储有计算机可执行指令的非暂时性计算机可读介质来实现,该计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文所描述的主题的示例性计算机可读介质包括非暂时性计算机可读介质,诸如磁盘存储器设备、芯片存储器设备、可编程逻辑器件以及专用集成电路。此外,实现本文所描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以跨多个设备或计算平台分布。
附图说明
图1是图示针对境外漫游场景在网络实体之间交换的示例性消息的消息流图;
图2是图示根据本文所描述的主题的实施例的用于执行MME认证以减少更新位置事务中的欺诈的DEA的框图;
图3A是图示在处理用于MME认证的AIR消息以减少更新位置事务中的欺诈时由DEA执行的示例性过程的流程图;
图3B是图示在处理用于MME认证的带有匹配的IMSI的ULR消息以减少更新位置事务中的欺诈时由DEA执行的示例性过程的流程图;
图3C是图示在处理用于MME认证的不带匹配的IMSI的ULR消息或AIR消息以减少欺诈和更新位置事务时由DEA执行的示例性过程的流程图;
图3D是图示在处理用于MME认证的取消位置请求(CLR)消息以减少更新位置事务中的欺诈时由DEA执行的示例性过程的流程图;
图3E是图示在删除用于MME认证的映射数据库条目以减少更新位置事务中的欺诈时由DEA执行的示例性过程的流程图;以及
图4是图示用于MME认证以减少更新位置事务中的欺诈的示例性消息传递(messaging)的消息流图。
具体实施方式
公开了用于使用Diameter边缘代理对境外漫游订户进行MME认证的方法、系统和计算机可读介质。图1是图示针对境外漫游场景可以在移动通信网络中交换的示例性消息的消息流图。在图1中,假设订户处于受访网络中而没有归属网络无线接入。因此,订户可以向受访MME 100注册,受访MME 10可以利用订户的当前位置来更新归属HSS 102。在利用订户的当前位置更新HSS 102之前,在消息流图的第1行中,受访MME 100将Diameter认证信息请求发送到HSS 102。认证信息请求识别受访MME和订户。HSS 102用Diameter认证信息应答消息进行响应。
在接收到认证信息应答消息之后,在消息流图的第3行中,受访MME 100将Diameter更新位置请求发送到HSS 102以更新订户的位置。响应于更新位置请求,HSS 102将带有订户的订阅信息的更新位置应答消息发送到受访MME 100。订阅信息允许向用户提供服务,并且根据订户正在其中漫游的受访网络进行计费。
当有效订户正在外部网络中漫游并且Diameter更新位置请求消息源自有效MME时,图1中所示的场景不涉及任何欺诈。然而,由攻击者托管的欺诈性系统能够充当受访MME100,并且将伪造的ULR消息发送到HSS 102,以更新为订户存储的位置数据以指向攻击者的网络。利用HSS更新订户的位置信息能够使得攻击者拦截涉及订户的后续通信,因为HSS中的记录会指向攻击者的位置,而不是订户的实际位置。因此,需要有效的机制来验证AIR和ULR来自同一受访MME。
本文所描述的用于降低涉及Diameter信令消息的欺诈性场景的可能性的一个示例性解决方案是提供Diameter边缘代理以从外部网络接收传入消息,并且对包括MME身份的Diameter信令消息执行筛选和认证处理。DEA充当用于将Diameter流量漫游进入和离开归属网络的看门者。DEA可以针对在归属网络中接收的AIR/ULR消息确认受访网络的MME身份。这样的确认可以涉及:
1.确保ULR仅在订户从一个漫游网络移动到另一漫游网络时跟随(follow)AIR。
2.验证AIR和ULR在规定时间内来自同一MME。
DEA可以用于在数据库中维护受访网络MME的<VPLMN ID、AIR标志、ULR标志、MME标识符>信息和IMSI的映射,该数据库在本文中被称为AIR/ULR映射数据库。IMSI标识移动订户。VPLMN ID携带标识受访网络的移动国家代码(MCC)和移动网络代码(MNC)。AIR和ULR消息二者中都携带有VPLMN ID。当针对特定IMSI接收到AIR消息时,设置AIR标志。当针对该IMSI接收到ULR时,发送ULR标志。MME标识符标识受访网络的MME。在从受访网络MME接收到ULR消息时更新MME标识符。
如果ULR仅在通过同一MME经由AIR消息的成功认证之后才被接收,则ULR可以被确认。消息可以针对有效的场景(即,当VPLMN ID匹配时的场景)被转发到HSS或MME。DEA还可以维护用于从其本地数据库中删除记录的记录到期定时器。默认到期超时可以是针对记录的,并且可以被设置为运营商定义的值,诸如21,600秒或6小时。当定时器到期时,可以从AIR/ULR映射数据库中删除记录。
图2是图示适于对境外漫游订户执行MME认证的示例性DEA200的框图。这样的DEA可以位于运营商的归属网络的边缘处以筛选从归属网络外部的网络接收的Diameter信令消息流量。此外,DEA可以为涉及MME认证的事务维持有限量的状态信息,使得信令消息流量中的MME的身份能够被验证或者被识别为欺诈。
参考图2,DEA 200包括经由一个或多个互连214连接的多个消息处理器202、204、206和208。每个消息处理器202、204、206和208可以包括诸如被配置用于插入架子中的刀片(blade)的印刷电路板,其中处理器210和存储器212安装在每个消息处理器202、204、206和208上。互连214可以是用于将消息处理器202、204、206和208连接在一起并允许消息处理器之间的通信的任何合适的通信介质。在一个示例中,每个消息处理器202、204、206和208可以包括底板连接器,并且互连214可以是底板总线,诸如将消息处理器202、204、206和208物理地连接的PCI或PCIe总线。
消息处理器202、204、206和208可以各自包括用于执行与Diameter信令消息的处理和路由相关的特定功能的软件、固件和/或硬件。在所示的示例中,消息处理器202和204各自执行Diameter连接和路由功能。因此,消息处理器202和204各自包括实现Diameter连接层(DCL)216和Diameter路由层(DRL)218的软件、硬件和/或固件,其中Diameter连接层(DCL)216用于发起和维护与外部节点的Diameter连接,Diameter路由层(DRL)218用于基于消息中的Diameter等级信息来路由Diameter信令消息。
在所示的示例中,消息处理器202处理去往和来自归属网络的流量,并且消息处理器204处理去往和来自外部或互连网络的流量。因此,消息处理器204可以被配置为识别来自外部或互连网络的Diameter信令消息,该Diameter信令消息包含MME识别信息并且需要如本文所描述的MME认证处理。
消息处理器206和208各自包括MME认证应用220和AIR/ULR映射数据库222。MME认证应用220执行本文所描述的用于认证AIR和ULR消息中的MME的功能。AIR/ULR映射数据库222存储可用于将AIR消息中的MME和订户信息映射到ULR信息中的MME和订户信息的记录。
如上所述,在图2所示的架构中,消息处理器204被配置为将流量发送到外部网络或互连网络以及从外部网络或互连网络接收流量,并且消息处理器202被配置为将流量发送到归属网络以及从归属网络接收流量。因此,当订户在外部网络中漫游时,消息处理器204可以从外部网络接收消息:直接从外部网络接收消息,或者从将DEA200连接到外部网络的互连网络接收消息。当消息处理器204接收认证信息请求消息时,该消息将被沿Diameter堆栈向上传递到Diameter路由层218。Diameter路由层218可以将消息识别为AIR消息,并且确定该消息需要由消息处理器206和208中的一个来进行应用处理。然后,DRL 218可以将AIR消息转发到消息处理器206和208中的一个来进行MME认证处理。如果消息处理器206和208被相同地提供,则可以使用诸如轮询调度(round robin)负载共享算法的负载共享算法来执行用于AIR消息的应用处理的消息处理器选择。
接收消息处理器206或208可以将消息传递到MME认证应用220。MME认证应用220可以在数据库222中执行查找以判定是否存在针对消息中的IMSI的记录,如果存在记录,则利用来自AIR消息的VPLMN ID来更新记录中的VPLMN ID,设置记录中的AIR标志以指示接收到AIR消息,并且将ULR标志设置为指示尚未接收到ULR消息的值。在访问数据库222并更新记录之后,接收AIR消息的消息处理器可以将AIR消息转发到出口消息处理器202。出口消息处理器202可以将消息转发到订户的归属网络中的HSS。
如果接收消息处理器206或208在数据库222中没有找到(locate)针对接收到的AIR消息中的IMSI的记录,则MME认证应用220可以在数据库中创建针对AIR消息的新的记录。新的记录可以存储从AIR消息中提取的IMSI和VPLMN ID。该记录还可以包括被设置为指示已经接收到AIR消息的值的AIR标志以及被设置为指示尚未接收到ULR消息的值的ULR标志。
当消息处理器204接收到来自外部或互连网络的Diameter ULR消息时,ULR消息可以同样沿着Diameter堆栈向上被传递到Diameter路由层218。Diameter路由层218可以将消息识别为ULR消息,并且将消息转发到消息处理器206或208中的一个。如果消息处理器206和208具有同步的AIR/ULR映射数据库,则可以例如使用负载共享算法将ULR消息转发到消息处理器206或208中的任意一个。如果消息处理器206和208不包含同步的AIR/ULR映射数据库,则DRL 218可以将接收到的ULR消息转发到对应的AIR消息被转发到的消息处理器。这样的转发可以通过在消息处理器204上维护AIR消息的状态信息或者通过提供消息处理器206和208来处理具体的和不同范围的IMSI来实现。
当消息处理器206或208接收到ULR消息时,接收消息处理器将消息传递到MME认证应用220。MME认证应用220在AIR/ULR映射数据库222中执行查找以判定是否存在针对IMSI的记录以及ULR消息中的VPLMN ID是否与针对订户的记录的VPLMN ID相匹配。如果VPLMNID匹配,则MME认证应用220利用在传入ULR中所接收的源主机(origin-host)来更新记录的MME标识符。如果VPLMN ID匹配,则消息处理器206或208将ULR消息转发到出口消息处理器202,并且出口消息处理器202将消息转发到订户的归属网络中的HSS。如果VPLMN ID不匹配,则接收消息处理器206或208可以阻止将ULR消息转发到出口消息处理器202,并且可以替代地将消息转发到用于进行欺诈检测处理的分析平台。
如果消息处理器202接收到AIA消息,则消息处理器202将AIA消息转发到消息处理器206或208中的一个。如果消息处理器206和208上的AIR/ULR映射数据库是同步的,则接收消息处理器204可以将AIA消息转发到接收相应的AIR消息的消息处理器206或208。如果消息处理器206和208上的AIR/ULR映射数据库是不同步的,则消息处理器202可以将AIA消息转发到接收AIR消息的消息处理器206或208。
一旦AIA消息被转发到消息处理器206和208中的一个,接收消息处理器206或208就将消息传递到MME认证应用220。MME认证应用220在数据库222中执行查找以找到对应于AIA消息的记录。如果找到记录,则消息处理器216可以启动记录到期定时器,并且将AIA消息转发到出口消息处理器204。出口消息处理器204可以将AIA消息转发到AIA消息中所指定的目的地地址,该目的地地址应当是当前附接有订户的MME。如果在数据库222中没有找到记录,则MME认证应用220同样可以将AIA消息转发到出口消息处理器204。出口消息处理器204将AIA消息转发到当前注册有订户的MME。
当HSS得知订户已经向新的MME有效注册时,CLR消息从HSS被发送到当前注册有订户的MME以删除订户注册。因此,如果DEA 200从归属网络接收到CLR消息,则消息处理器202可以将CLR消息转发到消息处理器206或208中的一个。如果消息处理器206和208包含同步的AIR/ULR映射数据库,则消息处理器202可以将CLR消息转发到消息处理器206或208中的任意一个,其中使用负载共享算法来选择消息处理器206或208。如果消息处理器206和208不包含同步的AIR/ULR映射数据库218,则消息处理器204可以将CLR消息转发到先前的AIR、AIA和ULR消息被转发到的消息处理器。
在接收到CLR消息之后,接收消息处理器206或208可以访问其相应的数据库222以找到与CLR消息中的IMSI对应的记录。如果接收消息处理器206或208在数据库222中找到记录,则接收消息处理器206或208可以删除带有与CLR消息的目的地主机匹配的MME标识符的对应记录,并且将CLR消息转发到出口消息处理器204。出口消息处理器202可以将CLR消息转发到MME。如果接收消息处理器206或208在数据库222中没有找到对应于IMSI的记录,则接收消息处理器同样可以将CLR消息转发到消息处理器202,消息处理器202将CLR消息转发到MME。替代地,因为数据库222中不存在针对CLR消息的记录,所以MME认证应用220可以阻止将CLR消息转发到MME、将该消息标记为可疑、并且将CLR消息转发到欺诈分析平台。
图3A-图3E图示了用于处理与境外漫游订户相关的消息并防止漫游欺诈的示例性方法。图3A图示了在映射数据库222中存在匹配的IMSI的情况下,针对接收到的AIR和AIA消息执行的示例性过程。参考图3A,在步骤300中接收AIR消息。在步骤302中,判定AIR消息是否包括匹配的VPLMN ID。该步骤可以使用数据库222由MME认证应用220执行。判定是否存在匹配的VPLMN ID可以包括从AIR消息中提取IMSI,使用IMSI来执行在数据库318中对与IMSI相对应的记录的查找、从针对IMSI的记录中提取VPLMN ID、以及将从记录中提取的VPLMNID与接收到的AIR消息中的VPLMN ID进行比较。如果记录中的VPLMN ID与AIR消息中的VPLMN ID不匹配,则控制进行到AIR消息被转发到HSS的步骤304。在步骤306中,将新的记录添加到AIR/ULR映射数据库222。对于先前存储的IMSI,新的记录可以包括从AIR消息中提取的新的VPLMN ID、被设置为1的AIR标志(指示已接收到AIR消息)以及被设置为0的ULR标志(意味着尚未接收到针对特定VPLMN ID的ULR)。
在步骤308中,当从HSS接收到匹配的AIA消息时,启动记录到期定时器。AIA消息指示AIR消息已被HSS成功处理。在步骤310中,将AIA消息转发到发送AIR消息的MME。
如果在步骤302中接收到的AIR消息中的VPLMN ID与数据库222中的对应的记录中的VPLMN ID匹配,则控制进行到AIR消息被转发到HSS的步骤312。然后,控制进行到步骤308,其中当从HSS接收到对应的AIA时,启动记录到期定时器。在步骤310中,将AIA消息转发到MME。
图3B图示了当ULR消息包含存在于数据库222中的IMSI时,由MME认证应用220执行的用于处理ULR消息的示例性步骤。参考图3B,在步骤350中接收ULR消息。ULR消息可能源自订户正在其中漫游的网络中的合法MME或者源自攻击者。在步骤352中,判定从ULR消息中提取的VPLMN ID是否与在Diameter AIR/ULR映射数据库222中针对IMSI存储的VPLMN ID相匹配。步骤352可以使用数据库222由MME应用220执行。如果从ULR消息中提取的VPLMN ID与数据库记录中的VPLMN ID匹配,则控制进行到步骤354,其中更新针对IMSI的记录以将ULR标志设置为1(指示接收到ULR消息),并且MME标识符被设置为在ULR消息中接收的源主机参数。然后,控制进行到步骤356,其中ULR消息被转发到HSS,并且针对记录的记录到期定时器被重置。
返回到步骤352,如果ULR消息中的VPLMN ID与数据库222中针对IMSI存储的VPLMNID不匹配,则该消息可能来自攻击者。因此,在步骤358中拒绝ULR,即,阻止将其转发到归属HSS。在步骤360中,ULR消息被标记为可疑并被转发到分析平台。分析平台可以通知网络运营商和/或执行与欺诈检测和阻止相关联的其他动作。
图3C图示了在处理接收到的不带匹配的IMSI的ULR消息或AIR消息(即,在AIR/ULR映射数据库222中不存在针对IMSI的记录)时由MME认证应用220执行的示例性步骤。参考图3C,在步骤400中,接收不带匹配的IMSI的ULR或AIR。判定消息是否包括匹配的IMSI可以包括从消息中提取IMSI以及使用IMSI在数据库222中进行查找。如果在数据库222中不存在针对IMSI的匹配的记录,则将进行图3C中的处理。
参考图3C中的左手分支,如果接收到的消息是AIR消息,则控制进行到步骤402,其中AIR消息被转发到归属HSS。在步骤404中,在数据库222中添加将从AIR消息中提取的IMSI映射到VPLMN ID并且包括AIR标志和ULR标志的记录。在步骤406中,HSS利用AIA消息进行响应。如果响应指示AIR过程成功,则控制进行到步骤408,其中记录到期定时器被启动,并且AIA消息被转发到外部MME。如果响应指示AIR过程不成功,则控制进行到步骤410,其中记录从数据库222中被删除,并且AIA消息被转发到外部MME。
返回到步骤400,如果接收到的消息是ULR并且不存在匹配的IMSI,则控制进行到消息被标记为可疑并被拒绝的步骤412。拒绝ULR包括阻止将ULR转发到HSS。在步骤414中,将ULR转发到分析平台,在该分析平台中执行欺诈检测和/或阻止处理。如上所述,这样的处理可以包括通知网络运营商以及生成被识别为欺诈的ULR消息的统计数据。
图3D图示了当从归属HSS接收到取消位置请求消息时可以由MME认证应用220执行的示例性处理。参考图3D,在步骤450中接收来自归属HSS的CLR消息。CLR消息可以去往先前注册有UE的受访MME。在步骤452中,在AIR/ULR映射数据库222中执行查找。可以使用CLR中的目的地主机并将该目的地主机与为认证的ULR消息而记录的MME标识符进行比较来执行查找。在步骤454中,判定是否在数据库222中发现了CLR消息的目的地主机与记录的MME标识符相匹配的记录或条目,删除与CLR消息相对应的记录(步骤456)。在步骤458中,将CLR转发到MME。
在步骤454中,如果在数据库222中没有发现条目,则控制进行到步骤458,其中CLR消息被转发到MME。
图3E图示了可以由应用220响应于记录定时器的到期而执行的示例性步骤。参考图3E,在步骤500中,检测到记录定时器到期。在步骤502中,从映射数据库222中删除记录。
图4是图示在识别和处理与漫游订户相关的消息时与DEA 200交换的示例性消息的更新的呼叫流程。参考图4,在第1行中,受访MME 100将AIR消息发送到DEA 200。AIR消息可以由合法MME 100响应于UE附接到网络而生成。替代地,AIR消息可以是由伪装成有效MME的攻击者生成的欺诈性消息。在消息流图的第2行中,DEA 200将IMSI和VPLMN ID记录存储在数据库222中。在第3行中,DEA 200将AIR消息转发到HSS 102。
在第4行中,HSS 102响应于接收到AIR消息而生成AIA消息。如果AIA消息指示AIR事务不成功,则删除在步骤2中创建的记录。如果AIA消息指示AIR事务成功,则在数据库222中维护记录。在第5行中,将AIA消息转发到MME 100。在第6行中,在接收到成功的AIA消息之后,DEA 200启动针对记录的到期定时器。
在消息流图的第7行中,受访MME 100将ULR消息发送到DEA 200。在第8行中,DEA200利用AIR MME来确认ULR MME。如果确认成功,则在第9行中将ULR转发到HSS 102。如果确认不成功,则不将ULR消息转发到HSS 102,而是可以替代地将其转移到用于进行欺诈处理的分析平台。
假设ULR消息有效,则将ULR转发到HSS 102。在第10行中,HSS 102将ULA消息发送到DEA 200。在第11行中DEA 200将ULA消息发送到MME 100。
在第12行中,HSS 102将取消位置请求发送到DEA 200。在第13行中,DEA 200从数据库222中移除IMSI、VPLMN ID记录。在第14行中,DEA 200将取消位置请求发送到受访MME100。
本文所描述的主题的优点包括在作为网络运营商的Diameter边缘代理部署的Diameter路由代理或Diameter信令路由器(DSR)处进行部署和操作的能力。在DEA处部署欺诈检测方法减少了对运营商网络中的节点上的专用Diameter文件的需要。本文所描述的欺诈检测方法能够由移动网络运营商(MNO)以及互连运营商(IPX运营商)进行部署。互连运营商能够代表连接到互连运营商的所有MNO来添加和执行本文所描述的MME认证处理。因此,利用本文所描述的主题的互连运营商能够使多个MNO的ULR消息和AIR消息相关,并且保护每个MNO的HSS。
在DEA而非端节点(诸如HSS)处部署本文所描述的主题的附加优点是:可以减少DEA与HSS之间的消息传递。例如,如果由HSS执行ULR的认证,则在判定是否能够将ULR消息转发到HSS之前,对于接收到的每个ULR消息,可能需要DEA和HSS之间的认证消息传递。这样的附加认证消息传递可能导致运营商网络中不必要的流量。本文所描述的主题通过使用DEA或DSR本地的认证数据库在DEA或DSR处执行MME认证来避免这样的附加消息传递。
如本文所描述的被配置为执行MME认证的DEA通过减少计算机网络上的欺诈和其它类型的信令攻击的可能性来改善计算机网络安全技术领域。此外,本文所描述的主题通过在DEA处缓存来自AIR消息的信息来减少执行MME认证所需的信令量,从而改善通信网络效率领域,减少了在DEA与HSS之间来回发送信令以进行认证的需求。
将理解的是,在不脱离本公开的主题的范围的情况下,本公开的主题的各种细节可以被改变。此外,前面的描述仅为了说明的目的,而非为了限制的目的。
Claims (23)
1.一种用于针对境外漫游订户认证移动性管理实体MME的方法,所述方法包括:
在Diameter边缘代理DEA处维护Diameter认证信息请求AIR/更新位置请求ULR映射数据库,其中所述AIR/ULR映射数据库至少存储来自Diameter AIR消息的受访公共陆地移动网络标识符VPLMN ID和从Diameter AIR消息获得的国际移动订户身份(IMSI)之间的映射;
在DEA处接收针对订户的Diameter AIR消息;
由DEA确定Diameter AIR消息包括未在DEA处的AIR/ULR映射数据库中针对所述订户记录的VPLMN ID;
在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录从所述Diameter AIR消息中提取的所述VPLMN ID;
在DEA处接收第一Diameter ULR消息,并且读取第一Diameter ULR消息中的VPLMN ID;
确定从所述Diameter AIR消息中提取的并在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID与从第一Diameter ULR消息中读取的VPLMN ID不匹配;以及
响应于确定从所述Diameter AIR消息中提取的并在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID与从第一Diameter ULR消息中读取的VPLMN ID不匹配,拒绝第一Diameter ULR消息。
2.根据权利要求1所述的方法,其中,DEA包括用于在所述订户的归属网络的边缘处运行的Diameter路由代理DRA。
3.根据权利要求1或2所述的方法,其中,接收Diameter AIR 消息包括接收带有未记录在DEA处的Diameter AIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且其中,在DEA处的所述数据库中记录来自所述Diameter AIR消息的VPLMN ID包括在DEA处的DiameterAIR/ULR映射数据库中针对所述IMSI和所述VPLMN ID创建新的记录。
4.根据权利要求1或2所述的方法,其中,接收Diameter AIR消息包括接收包括记录在DEA处的Diameter AIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且其中,在DEA处的Diameter AIR/ULR映射数据库中记录来自所述Diameter AIR消息的VPLMN ID包括在DEA处的Diameter AIR/ULR映射数据库中更新与所述IMSI相对应的记录,并且将来自DiameterAIR消息的VPLMN ID存储在所述记录中。
5.根据权利要求1或2所述的方法,包括:
将所述Diameter AIR消息转发到归属订户服务器HSS;
从HSS接收带有成功结果代码的Diameter认证信息应答AIA消息;以及
响应于从HSS接收到AIA,启动记录到期定时器。
6.根据权利要求5所述的方法,包括响应于记录到期定时器达到期满值,从DEA处的Diameter AIR/ULR映射数据库中删除所述记录。
7.根据权利要求1或2所述的方法,包括接收第二Diameter ULR消息,第二DiameterULR消息包括与Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID相匹配的VPLMN ID。
8.根据权利要求7所述的方法,包括将第二Diameter ULR消息转发到归属订户服务器HSS。
9.根据权利要求8所述的方法,包括更新DEA处的Diameter AIR/ULR映射数据库中的记录以指示接收到第二Diameter ULR消息,并且在所述记录中存储来自第二Diameter ULR消息的源主机参数作为MME标识符。
10.根据权利要求1或2所述的方法,包括响应于确定第一Diameter ULR消息中的VPLMNID与Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID不匹配,将第一Diameter ULR消息标记为可疑。
11.一种用于针对境外漫游订户认证移动性管理实体MME的系统,所述系统包括:
Diameter边缘代理DEA,包括至少一个处理器;
DEA本地的Diameter认证信息请求AIR/更新位置请求ULR映射数据库,用于存储用于认证MME的记录,其中所述AIR/ULR映射数据库至少存储来自Diameter AIR消息的受访公共陆地移动网络标识符VPLMN ID和从Diameter AIR消息获得的国际移动订户身份(IMSI)之间的映射;以及
DEA本地的MME认证应用,所述MME认证应用使用所述至少一个处理器来实现以用于以下操作:接收针对订户的Diameter AIR消息,确定Diameter AIR消息包括未在DEA处的AIR/ULR映射数据库中针对所述订户记录的VPLMN ID,在DEA处的AIR/ULR映射数据库中针对所述订户记录从所述Diameter AIR消息中提取的所述VPLMN ID,接收第一Diameter ULR消息并且读取第一Diameter ULR消息中的VPLMN ID,确定从所述Diameter AIR 消息中提取的并在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID与从第一Diameter ULR消息中读取的VPLMN ID不匹配,以及响应于确定从所述Diameter AIR消息中提取的并在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID与从第一Diameter ULR消息中读取的VPLMN ID不匹配,拒绝第一Diameter ULR消息。
12.根据权利要求11所述的系统,其中DEA包括用于在所述订户的归属网络的边缘处运行的Diameter路由代理DRA。
13.根据权利要求11或12所述的系统,其中,MME认证应用被配置为接收带有未记录在DEA处的Diameter AIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且在DEA处的Diameter AIR/ULR映射数据库中针对所述IMSI和所述VPLMN ID创建新的记录。
14.根据权利要求11或12所述的系统,其中,MME认证应用被配置为接收包括记录在DEA处的Diameter AIR/ULR映射数据库中的IMSI的Diameter AIR消息,并且在DEA处的AIR/ULR映射数据库中更新与所述IMSI相对应的记录,并且将来自Diameter AIR消息的VPLMN ID存储在所述记录中。
15.根据权利要求11或12所述的系统,其中,MME认证应用被配置为:
将所述Diameter AIR消息转发到归属订户服务器HSS;
从HSS接收带有成功结果代码的Diameter认证信息应答AIA消息;以及
响应于从HSS接收到AIA,启动记录到期定时器。
16.根据权利要求15所述的系统,其中,MME认证应用被配置为响应于记录到期定时器达到期满值,从DEA处的所述数据库中删除所述记录。
17.根据权利要求11或12所述的系统,其中,MME认证应用被配置为接收第二DiameterULR消息并且将第二Diameter ULR消息转发到归属订户服务器HSS,其中第二Diameter ULR消息包括与针对所述订户记录的VPLMN ID相匹配的VPLMN ID。
18.根据权利要求17所述的系统,其中,MME认证应用被配置为更新DEA处的AIR/ULR映射数据库中的记录以指示接收到第二Diameter ULR消息,并且在所述记录中存储来自第二Diameter ULR消息的源主机参数作为MME标识符。
19.根据权利要求11或12所述的系统,其中,MME认证应用被配置为响应于确定第一Diameter ULR消息中的VPLMN ID与记录的VPLMNID不匹配,将第一Diameter ULR消息标记为可疑。
20.一种非暂时性计算机可读介质,具有存储在其上的可执行指令,所述可执行指令在由计算机的处理器执行时控制所述计算机执行包括以下的步骤:
在Diameter边缘代理DEA处维护Diameter认证信息请求AIR/更新位置请求ULR映射数据库,其中所述AIR/ULR映射数据库至少存储来自Diameter AIR消息的受访公共陆地移动网络标识符VPLMN ID和从Diameter AIR消息获得的国际移动订户身份(IMSI)之间的映射;
在DEA处接收针对订户的Diameter AIR消息;
由DEA确定Diameter AIR消息包括未在DEA处的AIR/ULR映射数据库中针对所述订户记录的VPLMN ID;
在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录从所述Diameter AIR消息中提取的所述VPLMN ID;
在DEA处接收第一Diameter ULR消息,并且读取第一Diameter ULR消息中的VPLMN ID;
确定从所述Diameter AIR消息中提取的并在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID与从第一Diameter ULR消息中读取的VPLMN ID不匹配;以及
响应于确定从所述Diameter AIR消息中提取的并在DEA处的Diameter AIR/ULR映射数据库中针对所述订户记录的VPLMN ID与从第一Diameter ULR消息中读取的VPLMN ID不匹配,拒绝第一Diameter ULR消息。
21.一种非暂时性计算机可读介质,具有存储在其上的可执行指令,所述可执行指令在由计算机的处理器执行时控制所述计算机执行如权利要求2-10中任一项所述的方法。
22.一种设备,包括:
处理器;以及
存储器,耦合到处理器,所述存储器具有存储在其上的可执行指令,所述可执行指令在由所述处理器执行时使得所述处理器执行如权利要求1-10中任一项所述的方法。
23.一种包括用于执行如权利要求1-10中任一项所述的方法的部件的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/666,300 US10616200B2 (en) | 2017-08-01 | 2017-08-01 | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
| US15/666,300 | 2017-08-01 | ||
| PCT/US2018/043985 WO2019027813A1 (en) | 2017-08-01 | 2018-07-26 | METHODS, SYSTEMS, AND COMPUTER-READABLE MEDIA PROVIDING MOBILITY MANAGEMENT ENTITY (MME) AUTHENTICATION FOR OUTGOING ROADING SUBSCRIBERS USING A DIAMETER EDGE AGENT (DEA) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110800267A CN110800267A (zh) | 2020-02-14 |
| CN110800267B true CN110800267B (zh) | 2022-04-19 |
Family
ID=63245016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880040478.3A Active CN110800267B (zh) | 2017-08-01 | 2018-07-26 | 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10616200B2 (zh) |
| EP (1) | EP3662630B1 (zh) |
| JP (1) | JP7133010B2 (zh) |
| CN (1) | CN110800267B (zh) |
| WO (1) | WO2019027813A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
| CN110234112B (zh) * | 2018-03-05 | 2020-12-04 | 华为技术有限公司 | 消息处理方法、系统及用户面功能设备 |
| CN111869248B (zh) * | 2018-03-28 | 2023-06-27 | 英国电讯有限公司 | 管理通过ipx网络的业务流的方法、网络路由节点 |
| US11381612B2 (en) * | 2018-06-08 | 2022-07-05 | T-Mobile Usa, Inc. | Voice over long-term evolution (VoLTE) call normalization and alert policy system |
| US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
| US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
| US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
| US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
| US11411925B2 (en) * | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| US11076281B1 (en) * | 2020-01-31 | 2021-07-27 | Syniverse Technologies, Llc | 5G core roaming network function proxy in an IPX network |
| US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| CN112491651B (zh) * | 2020-11-17 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 一种报文匹配方法及装置 |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
| EP4050968A1 (en) * | 2021-02-26 | 2022-08-31 | Syniverse Technologies, LLC | A method of implementing 5g core roaming routing in an ipx network |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| US11974134B2 (en) | 2022-01-28 | 2024-04-30 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network |
| US20230247429A1 (en) * | 2022-02-01 | 2023-08-03 | Cisco Technology, Inc. | Bi-directional communication protocol for private networks |
| WO2023150485A1 (en) * | 2022-02-01 | 2023-08-10 | Cisco Technology, Inc. | Bi-directional communication protocol for private networks |
| WO2024065483A1 (en) * | 2022-09-29 | 2024-04-04 | Apple Inc. | Authentication procedures for edge computing in roaming deployment scenarios |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277541A (zh) * | 2008-05-22 | 2008-10-01 | 中兴通讯股份有限公司 | 一种Diameter路由实体转发消息的方法 |
| CN101355561A (zh) * | 2008-08-29 | 2009-01-28 | 中兴通讯股份有限公司 | Dra的会话消息管理方法和系统 |
| CN103444212A (zh) * | 2011-02-04 | 2013-12-11 | 泰科来股份有限公司 | 用于提供直径绑定储存库的方法、系统和计算机可读介质 |
| WO2017082532A1 (ko) * | 2015-11-09 | 2017-05-18 | 엘지전자 주식회사 | 방문 네트워크의 사업자 네트워크 식별번호 획득 방법 |
Family Cites Families (84)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE508514C2 (sv) | 1997-02-14 | 1998-10-12 | Ericsson Telefon Ab L M | Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem |
| US6308075B1 (en) | 1998-05-04 | 2001-10-23 | Adc Telecommunications, Inc. | Method and apparatus for routing short messages |
| EP1067492A3 (en) | 1999-06-30 | 2001-01-17 | Lucent Technologies Inc. | Transaction notification system and method |
| DE59912688D1 (de) | 1999-11-17 | 2005-11-24 | Swisscom Mobile Ag | Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz |
| FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
| EP1266528B1 (en) | 2000-03-07 | 2008-07-30 | Tekelec | Screening of mobile application part (map) |
| EP1213931A3 (de) | 2000-12-05 | 2003-03-19 | Siemens Aktiengesellschaft | Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz |
| AUPR441401A0 (en) | 2001-04-12 | 2001-05-17 | Gladwin, Paul | Utility usage rate monitor |
| EP1304897A1 (en) | 2001-10-22 | 2003-04-23 | Agilent Technologies, Inc. (a Delaware corporation) | Methods and apparatus for providing data for enabling location of a mobile communications device |
| US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
| US7068999B2 (en) | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
| US20100240361A1 (en) | 2002-08-05 | 2010-09-23 | Roamware Inc. | Anti-inbound traffic redirection system |
| US7729686B2 (en) | 2003-04-02 | 2010-06-01 | Qualcomm Incorporated | Security methods for use in a wireless communications system |
| US7043754B2 (en) | 2003-06-12 | 2006-05-09 | Michael Arnouse | Method of secure personal identification, information processing, and precise point of contact location and timing |
| US8121594B2 (en) | 2004-02-18 | 2012-02-21 | Roamware, Inc. | Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register |
| GB0406119D0 (en) | 2004-03-18 | 2004-04-21 | Telsis Holdings Ltd | Telecommunications services apparatus and method |
| US7996024B2 (en) | 2004-04-14 | 2011-08-09 | Tekelec | Method for preventing the delivery of short message service message spam |
| US7403537B2 (en) | 2004-04-14 | 2008-07-22 | Tekelec | Methods and systems for mobile application part (MAP) screening in transit networks |
| US7319857B2 (en) | 2004-09-13 | 2008-01-15 | Tekelec | Methods, systems, and computer program products for delivering messaging service messages |
| IES20040693A2 (en) | 2004-10-14 | 2006-04-19 | Anam Mobile Ltd | A messaging system and method |
| US7870201B2 (en) | 2004-12-03 | 2011-01-11 | Clairmail Inc. | Apparatus for executing an application function using a mail link and methods therefor |
| US20060211406A1 (en) | 2005-03-17 | 2006-09-21 | Nokia Corporation | Providing security for network subscribers |
| US8867575B2 (en) | 2005-04-29 | 2014-10-21 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
| US8285639B2 (en) | 2005-07-05 | 2012-10-09 | mConfirm, Ltd. | Location based authentication system |
| US20070174082A1 (en) | 2005-12-12 | 2007-07-26 | Sapphire Mobile Systems, Inc. | Payment authorization using location data |
| US20070168432A1 (en) | 2006-01-17 | 2007-07-19 | Cibernet Corporation | Use of service identifiers to authenticate the originator of an electronic message |
| US8121624B2 (en) | 2006-07-25 | 2012-02-21 | Alcatel Lucent | Message spoofing detection via validation of originating switch |
| US8391883B2 (en) | 2006-09-27 | 2013-03-05 | Nokia Siemens Networks Gmbh & Co. Kg | Intelligent location tracking based on predictive modelling |
| US8045956B2 (en) | 2007-01-05 | 2011-10-25 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
| US20080207181A1 (en) | 2007-02-28 | 2008-08-28 | Roamware | Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication |
| EP1983787B1 (en) | 2007-04-19 | 2012-11-28 | Nokia Siemens Networks Oy | Transmission and distribution of position- and/or network-related information from access networks |
| RU2009146556A (ru) | 2007-05-16 | 2011-06-27 | Панасоник Корпорэйшн (Jp) | Способы смешанного управления мобильностью на уровне сети и на уровне хоста |
| US20090045251A1 (en) | 2007-08-14 | 2009-02-19 | Peeyush Jaiswal | Restricting bank card access based upon use authorization data |
| US8855279B2 (en) | 2007-08-28 | 2014-10-07 | Consert Inc. | Apparatus and method for controlling communications to and from utility service points |
| US20110063126A1 (en) | 2008-02-01 | 2011-03-17 | Energyhub | Communications hub for resource consumption management |
| US8255090B2 (en) | 2008-02-01 | 2012-08-28 | Energyhub | System and method for home energy monitor and control |
| CN101471797B (zh) * | 2008-03-31 | 2012-05-30 | 华为技术有限公司 | 决策方法及系统和策略决策单元 |
| CN102090042A (zh) | 2008-05-01 | 2011-06-08 | 阿尔卡特朗讯美国公司 | Diameter服务器的消息限制 |
| US8326265B2 (en) | 2008-10-17 | 2012-12-04 | Tekelec Netherlands Group, B.V. | Methods, systems, and computer readable media for detection of an unauthorized service message in a network |
| US9038171B2 (en) | 2008-10-20 | 2015-05-19 | International Business Machines Corporation | Visual display of website trustworthiness to a user |
| US9344438B2 (en) | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
| WO2010105099A2 (en) | 2009-03-11 | 2010-09-16 | Tekelec | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
| JP5405185B2 (ja) * | 2009-05-07 | 2014-02-05 | 株式会社Nttドコモ | 位置登録受付装置、位置登録受付方法 |
| US8615217B2 (en) | 2009-06-25 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
| CA2805177A1 (en) | 2009-07-31 | 2011-02-03 | Finsphere Corporation | Mobile communications message verification of financial transactions |
| KR20110055888A (ko) | 2009-11-20 | 2011-05-26 | 삼성전자주식회사 | 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템 |
| US20110173122A1 (en) | 2010-01-09 | 2011-07-14 | Tara Chand Singhal | Systems and methods of bank security in online commerce |
| US8505081B2 (en) | 2010-01-29 | 2013-08-06 | Qualcomm Incorporated | Method and apparatus for identity reuse for communications devices |
| US9185510B2 (en) | 2010-03-03 | 2015-11-10 | Tekelec, Inc. | Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers |
| US20110225091A1 (en) | 2010-03-12 | 2011-09-15 | Franco Plastina | Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information |
| US20110307381A1 (en) | 2010-06-10 | 2011-12-15 | Paul Kim | Methods and systems for third party authentication and fraud detection for a payment transaction |
| US8620263B2 (en) | 2010-10-20 | 2013-12-31 | Tekelec, Inc. | Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control |
| US20120203663A1 (en) | 2011-02-07 | 2012-08-09 | Carpadium Consulting Pty. Ltd. | Method and apparatus for authentication utilizing location |
| US8693423B2 (en) * | 2011-02-16 | 2014-04-08 | Tekelec, Inc. | Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery |
| US8879431B2 (en) | 2011-05-16 | 2014-11-04 | F5 Networks, Inc. | Method for load balancing of requests' processing of diameter servers |
| AU2012278797B2 (en) | 2011-07-06 | 2017-02-23 | Mobileum, Inc. | Network traffic redirection (NTR) in long term evolution (LTE) |
| US9060263B1 (en) | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
| US20130171988A1 (en) | 2012-01-04 | 2013-07-04 | Alcatel-Lucent Canada Inc. | Imsi mcc-mnc best matching searching |
| EP2675203B1 (en) * | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
| US9774552B2 (en) | 2013-03-14 | 2017-09-26 | Qualcomm Incorporated | Methods, servers and systems for verifying reported locations of computing devices |
| EP2979462B1 (en) | 2013-03-29 | 2019-05-22 | Mobileum Inc. | Method and system for facilitating lte roaming between home and visited operators |
| US10115135B2 (en) | 2013-07-03 | 2018-10-30 | Oracle International Corporation | System and method to support diameter credit control session redirection using SCIM/service broker |
| US9191803B2 (en) | 2013-09-04 | 2015-11-17 | Cellco Partnership | Connection state-based long term evolution steering of roaming |
| EP2887761B1 (en) | 2013-12-19 | 2018-10-03 | Vodafone Holding GmbH | Verification method for the verification of a Connection Request from a Roaming Mobile Entity |
| US9686343B2 (en) | 2013-12-31 | 2017-06-20 | Amadeus S.A.S. | Metasearch redirection system and method |
| EP2977276A1 (fr) * | 2014-07-17 | 2016-01-27 | Valeo Systèmes d'Essuyage | Balai plat caréné d'essuie-glace |
| WO2016049043A2 (en) | 2014-09-22 | 2016-03-31 | Globetouch, Inc. | Communication exchange for local data services |
| WO2016060640A1 (en) | 2014-10-13 | 2016-04-21 | Empire Technology Development Llc | Verification location determination for entity presence confirmation of online purchases |
| DE102014117713B4 (de) | 2014-12-02 | 2016-12-01 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle |
| DE102015001335A1 (de) * | 2015-02-03 | 2016-08-04 | Gottlieb Binder Gmbh & Co. Kg | Befestigungseinrichtung |
| JP6832864B2 (ja) | 2015-03-10 | 2021-02-24 | マイクロソフト テクノロジー ライセンシング,エルエルシー | ポリシーサーバからの強化されたリダイレクト処理 |
| CN106332067B (zh) * | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| US9538335B1 (en) | 2015-07-22 | 2017-01-03 | International Business Machines Corporation | Inferring device theft based on historical location data |
| US9628994B1 (en) | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
| US20170345006A1 (en) | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and methods for location data verification |
| US11395092B2 (en) | 2016-07-18 | 2022-07-19 | Here Global B.V. | Device location verification for updated map data |
| CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
| US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
| US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
| US10212538B2 (en) | 2017-06-28 | 2019-02-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating user equipment (UE) location |
| US10021738B1 (en) | 2017-09-05 | 2018-07-10 | Syniverse Technologies, Llc | Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks |
| US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
| US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
| US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
-
2017
- 2017-08-01 US US15/666,300 patent/US10616200B2/en active Active
-
2018
- 2018-07-26 JP JP2020505462A patent/JP7133010B2/ja active Active
- 2018-07-26 WO PCT/US2018/043985 patent/WO2019027813A1/en unknown
- 2018-07-26 EP EP18756018.0A patent/EP3662630B1/en active Active
- 2018-07-26 CN CN201880040478.3A patent/CN110800267B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277541A (zh) * | 2008-05-22 | 2008-10-01 | 中兴通讯股份有限公司 | 一种Diameter路由实体转发消息的方法 |
| CN101355561A (zh) * | 2008-08-29 | 2009-01-28 | 中兴通讯股份有限公司 | Dra的会话消息管理方法和系统 |
| CN103444212A (zh) * | 2011-02-04 | 2013-12-11 | 泰科来股份有限公司 | 用于提供直径绑定储存库的方法、系统和计算机可读介质 |
| WO2017082532A1 (ko) * | 2015-11-09 | 2017-05-18 | 엘지전자 주식회사 | 방문 네트워크의 사업자 네트워크 식별번호 획득 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10616200B2 (en) | 2020-04-07 |
| WO2019027813A1 (en) | 2019-02-07 |
| CN110800267A (zh) | 2020-02-14 |
| US20190044932A1 (en) | 2019-02-07 |
| JP7133010B2 (ja) | 2022-09-07 |
| EP3662630B1 (en) | 2021-08-25 |
| JP2020529776A (ja) | 2020-10-08 |
| EP3662630A1 (en) | 2020-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800267B (zh) | 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 | |
| CN112425190B (zh) | 用于使用7号信令系统ss7信号传输点stp验证访客位置寄存器vlr的方法、系统和计算机可读介质 | |
| CN112335271B (zh) | 用于网络节点验证的方法、系统和计算机可读介质 | |
| CN112567779B (zh) | 用diameter边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质 | |
| CN114902714B (zh) | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 | |
| CN106332067B (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| EP4264984A1 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5g) communications networks | |
| CN110800322A (zh) | 验证用户设备(ue)位置的方法、系统和计算机可读介质 | |
| US11700510B2 (en) | Methods, systems, and computer readable media for short message delivery status report validation | |
| JP2008529380A (ja) | 無認可移動体アクセスネットワークにおけるセキュリティの提要 | |
| CN116471591A (zh) | 用于提供呼叫智能的方法、系统和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |