CN112335271B - 用于网络节点验证的方法、系统和计算机可读介质 - Google Patents
用于网络节点验证的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN112335271B CN112335271B CN201980043959.4A CN201980043959A CN112335271B CN 112335271 B CN112335271 B CN 112335271B CN 201980043959 A CN201980043959 A CN 201980043959A CN 112335271 B CN112335271 B CN 112335271B
- Authority
- CN
- China
- Prior art keywords
- message
- network node
- identification information
- response
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims abstract description 90
- 238000010295 mobile communication Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 10
- 230000011664 signaling Effects 0.000 claims description 44
- 238000012795 verification Methods 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 4
- 238000010200 validation analysis Methods 0.000 claims 2
- 238000004891 communication Methods 0.000 description 50
- 230000009471 action Effects 0.000 description 33
- 230000006870 function Effects 0.000 description 18
- 238000007726 management method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 16
- 230000000694 effects Effects 0.000 description 10
- 238000001914 filtration Methods 0.000 description 7
- 238000013500 data storage Methods 0.000 description 6
- 238000013524 data verification Methods 0.000 description 4
- 238000010926 purge Methods 0.000 description 4
- 230000001629 suppression Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 239000003086 colorant Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于网络节点验证的方法、系统和计算机可读介质。一种方法在第一网络节点处发生。该方法包括:从第二网络节点接收与移动订户相关联的第一消息;由第一网络节点向第二网络节点发送查询,该查询请求标识移动订户的移动通信装备的标识信息;由第一网络节点从第二网络节点接收对查询的响应,其中响应包括标识信息;从响应中提取标识信息;比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息;以及响应于标识信息与经验证的标识信息匹配,将第二网络节点识别为被授权发送第一消息和处理第一消息。
Description
优先权要求
本申请要求于2018年6月29日提交的美国专利申请序列No.16/024,422的优先权权益,其全部公开内容通过引用并入本文。
技术领域
本文描述的主题涉及用于网络安全的方法和系统。更具体地,本文描述的主题涉及用于网络节点验证的方法、系统和计算机可读介质。
背景技术
恶意行为者可能会出于例如经济收益、间谍活动或政治目的各种原因而将通信网络作为攻击目标。例如,与7号信令系统(signaling system number 7,SS7)网络和Diameter网络相关联的漏洞使得一些实体能够进行收入欺诈、执行未经授权的呼叫拦截或呼叫窃听、和/或窃取个人订户信息。当发生此类问题时,许多时候无辜的一方被认为有责任纠正和/或抑制损害。虽然网络运营商通常使用安全装置、防火墙和/或其它设备来帮助防止未经授权地访问其网络和客户,但是由于与它们的网络中使用的协议和/或过程相关联的固有安全性问题,这些网络中仍然存在许多问题。
发明内容
公开了用于网络节点验证的方法、系统和计算机可读介质。一种方法在第一网络节点处发生。该方法包括从第二网络节点接收与移动订户相关联的第一消息;由第一网络节点向第二网络节点发送查询,该查询请求标识移动订户的移动通信装备的标识信息;由第一网络节点从第二网络节点接收对查询的响应,其中响应包括该标识信息;从响应中提取标识信息;比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息,其中经验证的标识信息来自与第二网络节点分离的可信源;响应于从响应中提取的标识信息与经验证的标识信息匹配,将第二网络节点识别为被授权发送第一消息和处理第一消息;以及响应于从响应中提取的标识信息与经验证的标识信息不匹配,将第二网络节点识别为未被授权发送第一消息,并将第一消息标识为网络安全威胁。
一个系统包括第一网络节点。第一网络节点包括至少一个处理器和存储器。第一网络节点被配置为:从第二网络节点接收与移动订户相关联的第一消息;由第一网络节点向第二网络节点发送查询,该查询请求标识移动订户的移动通信装备的标识信息;由第一网络节点从第二网络节点接收对查询的响应,其中响应包括该标识信息;从响应中提取标识信息;比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息,其中经验证的标识信息来自与第二网络节点分离的可信源;响应于从响应中提取的标识信息与经验证的标识信息匹配,将第二网络节点识别为被授权发送第一消息和处理第一消息;以及响应于从响应中提取的标识信息与经验证的标识信息不匹配,将第二网络节点识别为未被授权发送第一消息,并将第一消息标识为网络安全威胁。
本文描述的主题可以结合硬件和/或固件在软件中实现。例如,本文描述的主题可以在由处理器执行的软件中实现。在一个示例实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,所述计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文描述的主题的示例计算机可读介质包括非瞬态设备,诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
如本文所使用的,术语“节点”是指包括一个或多个处理器和存储器的至少一个物理计算平台。
如本文所使用的,术语“函数”或“模块”可以指为了实现本文描述的特征而与硬件和/或固件结合的软件。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图示用于网络节点验证的示例通信环境的图;
图2是图示用于网络节点验证的另一个示例通信环境的图;
图3是图示用于网络节点验证的示例节点的图;
图4是图示与网络节点验证相关联的示例移动应用部分(mobile applicationpart,MAP)消息的图;
图5是图示与选择性网络节点验证相关联的示例MAP消息的图;
图6是图示与网络节点验证相关联的示例Diameter消息的图;
图7是图示与选择性网络节点验证相关联的示例Diameter消息的图;以及
图8是图示用于网络节点验证的示例处理的图。
具体实施方式
本文描述的主题涉及用于网络节点验证的方法、系统和计算机可读介质。在包括移动通信网络的各种通信网络中存在漏洞。例如,恶意网络节点可以被编程或以其它方式配置为生成欺诈性移动性管理消息(例如,更新位置消息)并将其发送到一个或多个订户的归属网络(home network)。在这个示例中,欺诈消息可能包括移动订户和/或用户设备标识符(例如,国际移动订户身份(IMSI)或移动台国际订户目录号码(MSISDN)),并且可以提供指示移动订户正在其网络中漫游的位置信息。由于此类网络可能无法验证其中的移动性管理消息或位置信息,因此归属网络或其中的节点可能会通过向恶意网络节点提供订户数据(例如,移动订户简档)而对欺诈性的移动性管理消息做出反应,这些订户数据可能被利用以进行收入欺诈、执行电话拦截、窃取订户简档详细信息和/或其它恶意活动。
根据本文描述的主题的一些方面,公开了用于网络节点验证的技术、方法、系统或机制。例如,归属网络节点可以使用网络节点验证算法来确定外部网络节点(例如,看起来是移动性管理元件(MME)、访客位置寄存器(VLR)、移动交换中心(MSC)的节点)是否有效。在一些实施例中,网络节点验证算法可以涉及从要验证的网络节点获得订户相关信息或标识信息(例如,国际移动装备身份(IMEI)、装备标识符、加密密钥或与移动订户相关的安全值),并确定来自要验证的网络节点的标识信息是否与存储在验证数据存储库中的可信的或经核实的订户相关信息匹配。在一些实施例中,如果来自网络节点的订户相关信息与来自验证数据存储库的订户相关信息不匹配,那么确定该网络节点无效或可能无效,并且可以执行一个或多个抑制动作(mitigation action),诸如将清除MS消息(purge MSmessage)发送到归属位置寄存器(HLR)、丢弃该消息、向网络运营商通知潜在的恶意活动,或其它抑制动作。在一些实施例中,如果来自要验证的网络节点的订户相关信息与来自验证数据存储库的订户相关信息确实匹配,那么确定该网络节点有效或可能有效,并且可以执行一个或多个动作,诸如处理该消息和/或向HLR继续发送该消息。
有利的是,通过从意图与移动订户联系的网络节点获得订户相关信息(例如,唯一和/或半私有标识信息,诸如IMEI),归属网络节点(例如,信号传输点)可以验证(例如,来自外部网络的)网络节点并在此类网络节点看起来无效(例如,欺诈性)时执行一个或多个抑制动作,从而防止或抑制恶意活动及其负面后果(例如,收入欺诈)。
现在将详细参考本文描述的主题的各种实施例,其示例在附图中示出。在所有附图中,将尽可能使用相同的附图标记表示相同或相似的部分。
图1是图示用于网络节点验证的示例通信环境100的图。图1包括能够在通信环境100的不同部分之间漫游或移动的UE 102(例如,移动设备、计算机、平板计算平台或智能电话)。在一些实施例中,通信环境100可以包括与第三代(3G)网络和/或第二代(2G)网络相关联的一个或多个节点。
通信环境100可以包括归属网络,例如归属公共陆地移动网络(home public landmobile network,HPLMN),以及拜访网络,例如拜访公共陆地移动网络(visited publicland mobile network,VPLMN)。归属网络可以与UE 102关联,并且可以是UE的默认网络,而拜访网络可以是UE 102在漫游到归属网络的覆盖区域之外时可以使用、可以尝试使用或看起来可以使用的网络。在一些实施例中,归属网络和拜访网络可以包括用于与外部网络(诸如互联网116)通信的节点。
归属网络可以包括各种节点,例如,网关通用分组无线电服务(GPRS)支持节点(GGSN)114、网络节点(NN)108、一个或多个HLR 110和/或验证数据存储库(VDS)118。在一些实施例中,归属网络可以被配置为移动订户的默认漫游提供商。在一些实施例中,归属网络可以被配置为允许移动订户例如在特定或指定的时间段内改变其漫游提供商。
在一些实施例中,归属网络和/或其相关节点可以被配置为处理数据服务(例如,互联网访问),例如,即使当其订户正在使用拜访网络进行语音服务时。例如,归属网络可以通过在其网络上路由数据流服务请求来处理针对漫游订户的数据服务,而不管拜访网络是否可以更快或更便宜地提供相同服务。
在一些实施例中,归属网络和/或其相关节点可以被配置为允许与归属网络的运营商或服务提供商不同的网络运营商或服务提供商(在本文中称为ARP)来提供数据服务(例如,互联网访问)。例如,ARP可以以比移动订户的归属网络低的速率提供数据服务,并且还可以通过处理一些订户的IP流量来帮助抑制移动订户的归属网络中的网络负载或拥塞。
GGSN 114可以是用于提供对互联网116或其它数据网络(例如,互联网接入点)的访问的任何合适的实体。在一些实施例中,如果提供服务的GPRS支持节点(SGSN)106接收到指示漫游订户不能经由ARP接收数据服务的信令消息,那么SGSN 106可以经由归属网络中的GGSN 114来路由目的地为互联网116的IP流量和/或相关消息。
(一个或多个)HLR 110可以表示用于维护和/或提供一个或多个订户数据管理(SDM)功能或客户关系管理(CRM)功能的任何合适的一个或多个实体。(一个或多个)HLR110可以维护订户相关信息,诸如用户标识、用于用户认证和授权的控制信息、位置信息以及用户简档数据。例如,(一个或多个)HLR 110可以包括数据库,该数据库包含有关与UE102相关联的移动订户身份模块(SIM)卡、UE 102可用的服务、以及UE 102的当前位置(例如,当前服务节点)的详细信息。
在一些实施例中,在(一个或多个)HLR 110涉及多个节点的情况下,每个节点可以维护一部分订户(例如,数百万订户中的数十万订户)的信息,并且通信环境100中的各个节点可以被配置为识别关于特定订户的信息以及向适当的节点咨询关于特定订户的信息。
在一些实施例中,(一个或多个)HLR 110可以响应于接收到MAP消息或其它消息来执行移动性管理过程。移动性管理消息可以是从SGSN 106或通信环境100中的其它节点接收的。
NN 108可以是用于接收、处理、路由和/或转发消息的任何合适的实体(例如,一个或多个计算平台或设备)。在一些实施例中,NN 108可以包括网关、信令路由器、信令平台、信号传输点(STP)、7号信令系统(SS7)节点、或信令节点。
在一些实施例中,NN 108可以包括用于促进归属网络中的节点与拜访网络中的节点之间的通信的功能。例如,可以经由NN 108将移动性管理消息和/或与注册相关的消息从SGSN 106发送到(一个或多个)HLR 110。虽然在通信环境100中仅描绘了一个SP,但是应该认识到的是,可以使用多个SP来促进通信环境100中的节点之间的通信。
在一些实施例中,NN 108可以包括用于过滤和/或验证消息和/或用于执行全局标题翻译(global title translation,GTT)的功能。例如,NN 108可以分析信令消息中的报头信息,并且可以确定如何处理或路由信令消息。在这个示例中,一些过滤可以包括确定信令消息是否寻址到适当的节点或者是否包括适当的参数或其它信息。GTT可以包括(例如,基于全局标题信息)为信令消息标识适当的目的地,以及将信令消息路由到标识出的目的地。
在一些实施例中,NN 108可以包括用于标识包含订户位置信息的消息(诸如来自漫游订户的移动性管理消息)的功能。例如,NN108可以被配置为使用GTT功能,诸如与信令连接控制部件(SCCP)子系统编号(SSN)或MAP操作码(opcode)相关联的过滤器,以标识来自外部网络(例如,拜访网络)的相关消息(例如,MAP ULR消息)。在这个示例中,NN 108可以通过过滤与VLR(例如,主叫方(CgPN)SSN='6')和/或(一个或多个)HLR 110(例如,被叫方(CdPN)SSN='149')相关联的信令消息和/或通过使用操作码过滤某些类型的信令消息(例如,MAP ISD消息可能与操作码值'7'相关联)来识别相关消息。
在一些实施例中,位置信息可以包括可用于标识UE或相关联订户的位置的任何信息。例如,位置信息可以包括移动国家代码(MCC)、移动网络代码(MNC)、位置区域代码(LAC)、网络标识符、小区全局标识符(CGI)、基站标识符(BSID)、接入节点标识符、小区身份(CI)、服务区域代码(SAC)、路由区域身份(RAI)、路由区域代码(RAC)、跟踪区域身份(TAI)、跟踪区域代码(TAC)、eUTRAN CGI(EGCI)、位置坐标(例如,全球定位系统(GPS)信息)和相对位置信息。
在一些实施例中,NN 108可以包括用于确定与网络节点相关联的信任级别(例如,可信度度量)的功能,并且可以基于该确定来执行各种动作。例如,NN 108可以利用一个或多个数据结构(例如,白名单和黑名单)来标识网络节点是可信的、不可信的或未知的,并且可以基于该信任级别确定来执行其它动作。在这个示例中,如果网络节点是未知的,那么NN108可以执行网络节点验证;如果网络节点是不可信的,那么来自该网络节点的所有消息都可能被阻止或丢弃;并且如果网络节点是可信的,那么订户相关信息可以从该网络节点被请求,并且可以被存储(例如,存储在验证数据存储库或其它存储器中),使得该可信的订户相关信息可以被用于验证其它网络节点。
在一些实施例中,NN 108可以包括用于执行网络节点验证的功能。例如,NN 108可以利用网络节点验证算法来确定拜访网络节点或外部网络节点(例如,看起来是VLR或MSC的节点)是否有效。在一些实施例中,网络节点验证算法可以涉及从要验证的网络节点获得订户相关信息(例如,国际移动装备身份(IMEI)、装备标识符、加密密钥或与移动订户相关的安全值),并确定来自要验证的网络节点的标识信息是否与存储在验证数据存储库中的可信的或经核实的订户相关信息匹配。例如,如果来自网络节点的订户相关信息与来自验证数据存储库的订户相关信息不匹配,那么可以确定该网络节点无效或可能无效,并且如果来自网络节点的订户相关信息确实与来自验证数据存储库中的订户相关信息匹配,那么可以确定该网络节点有效或可能有效。
在一些实施例中,NN 108可以被配置为基于网络节点验证分析或相关确定来执行一个或多个动作。例如,响应于确定网络节点有效,NN 108可以将相关消息转发到位置寄存器(例如,(一个或多个)HLR 110或另一个位置寄存器)、可以将指示该网络节点或来自该网络节点的位置信息有效的消息发送到节点(例如,网络运营商管理中心),和/或可以复制或存储消息的一部分。在另一个示例中,响应于确定网络节点无效,NN 108可以筛选、过滤或丢弃相关消息、可以向(一个或多个)HLR 110发送清除MS消息、可以阻止相关消息到达位置寄存器、可以向节点发送指示该网络节点或来自该网络节点的位置信息无效的消息,和/或可以复制或存储消息的一部分。
VDS 118可以表示用于维护和/或提供用于订户相关信息的储存库的任何合适的实体。在一些实施例中,VDS 118可以包括装备身份寄存器(EIR)功能或相关数据。例如,VDS118可以包括数据库或其它数据存储库,其包含与归属网络相关联的订户设备的IMEI和其它数据。在这个示例中,可以通过IMSI或其它订户标识符来索引IMEI。在一些实施例中,通信环境100中的其它节点可以查询VDS118以确定与移动订户相关的IMEI、IMSI或其它信息。
在一些实施例中,VDS 118可以从许多源(例如,MSC、VLR、呼叫/设置控制功能(CSCF)、NN 108、(一个或多个)HLR 110、SGSN 106、GGSN 114、V-GGSN 112和/或其它节点)接收订户相关信息。在一些实施例中,例如,如果包含订户相关信息的消息来自可信源(例如,归属网络节点或来自其它网络的先前经过验证的网络节点),通信环境100中的NN 108和/或其它SP可以被配置为响应于接收或拦截包含这样的信息的消息,而向VDS 118发送订户相关信息。
拜访网络可以包括接入网络104、VLR和/或MSC(VLR/MSC)105、SGSN 106以及访客GGSN(V-GGSN)112。接入网络104可以表示无线电接入网络,并且可以包括用于与UE 102和通信环境100内的元件进行通信的各种节点。接入网络104中的示例节点可以包括可以执行无线电接入功能的节点B(NB)、无线电网络控制器、基站或其它收发器节点。接入网络104或其中的节点可以用于UE 102与拜访网络或通信环境100中的节点之间的通信。例如,NB或其它节点(例如,网关)可以将与UE相关的消息(例如,与认证或移动性相关的消息)传送到SGSN 106或其它节点。
VLR/MSC 105可以表示用于执行一个或多个移动性管理功能(诸如跟踪UE 102)的任何合适的一个或多个实体。在一些实施例中,VLR/MSC 105可以将信息(例如,与移动性相关的信息)传送到通信环境100中的其它节点。例如,VLR/MSC 105可以从接入网络104中的收发器节点接收注册请求,并且可以与(一个或多个)HLR 110通信以执行认证和/或更新移动订户的当前位置。VLR/MSC 105还可以维护或存储用于漫游订户的位置信息。此外,VLR/MSC 105可以与各种其它节点通信并且执行各种其它功能。
SGSN 106表示用于促进接入网络104与其它节点(例如,V-GGSN 112)或网络之间的通信的节点或网关。在一些实施例中,SGSN 106可以将用户流量传送到通信环境100中的其它节点。在一些实施例中,SGSN 106还可以执行一个或多个移动性管理功能。
V-GGSN 112可以是用于提供对互联网116或其它数据网络的访问的任何合适的实体,例如,互联网接入点。在一些实施例中,如果SGSN 106接收到指示漫游订户可以经由ARP接收数据服务的信令消息,那么SGSN 106可以经由拜访网络中的V-GGSN 112来路由目的地为互联网116的IP流量和/或相关消息。在一些实施例中,如果SGSN 106接收到指示漫游订户不能经由ARP接收数据服务的信令消息,那么SGSN 106可以经由归属网络中的GGSN 114而不是经由V-GGSN 112来路由目的地为互联网116的IP流量和/或相关消息。
将认识到的是,图1是出于说明性目的,并且以上关于图1描述的各种节点和/或模块、位置和/或功能可以被改变、更改、添加或去除。
图2是图示用于网络节点验证的另一个示例通信环境200的图。图2包括能够在通信环境200的不同部分之间漫游或移动的UE 102(例如,移动设备、平板计算平台或智能电话)。在一些实施例中,通信环境200可以包括与第四代(4G)网络、长期演进(LTE)网络、LTE高级网络和/或演进分组核心(EPC)网络相关联的一个或多个节点。
通信环境200可以包括归属网络(例如,HPLMN)和拜访网络(例如,VPLMN)。归属网络可以与UE 102相关联,并且可以是UE的默认网络,而拜访网络可以是UE 102在漫游到归属网络的覆盖区域之外时可以使用或尝试使用的网络。在一些实施例中,归属网络和拜访网络可以包括用于与外部网络(诸如互联网116)通信的节点。
归属网络可以包括各种节点,例如,分组网关(PGW)214、NN 108、一个或多个归属订户服务器(HSS)210和/或VDS 118。在一些实施例中,归属网络可以被配置为移动订户的默认漫游提供商。在一些实施例中,归属网络可以被配置为允许移动订户例如在特定或指定的时间段内改变其漫游提供商。
在一些实施例中,归属网络和/或其相关节点可以被配置为处理数据服务(例如,互联网访问),例如,即使当其订户正在使用拜访网络进行语音服务时。例如,归属网络可以通过在其网络上路由数据流服务请求来处理针对漫游订户的数据服务,而不管拜访网络是否可以更快或更便宜地提供相同服务。
在一些实施例中,归属网络和/或其相关节点可以被配置为允许与归属网络的运营商或服务提供商不同的网络运营商或服务提供商(在本文中称为ARP)来提供数据服务(例如,互联网访问)。例如,ARP可以以比移动订户的归属网络低的速率提供数据服务,并且还可以通过处理一些订户的IP流量来帮助抑制移动订户的归属网络中的网络负载或拥塞。
PGW 214可以是用于提供对互联网116或其它数据网络的访问的任何合适的实体,例如,互联网接入点。例如,服务网关(SGW)204可以与PGW 214通信以提供互联网访问。在一些实施例中,如果SGW 204接收到指示漫游订户不能经由ARP接收数据服务的信令消息,那么SGW 204可以经由归属网络中的PGW 214来路由目的地为互联网116的IP流量和/或相关消息。
(一个或多个)HSS 210可以表示用于维护和/或提供一个或多个SDM或CRM功能的任何合适的一个或多个实体。(一个或多个)HSS 210可以维护订户相关信息,诸如用户标识、用于用户认证和授权的控制信息、位置信息以及用户简档数据。例如,(一个或多个)HSS210可以包括数据库,该数据库包含有关与UE 102相关联的移动订户身份模块(SIM)卡、UE102可用的服务以及UE 102的当前位置(例如,当前服务节点)的详细信息。
在一些实施例中,在(一个或多个)HSS 210涉及多个节点的情况下,每个节点可以维护一部分订户(例如,数百万订户中的数十万订户)的信息,并且通信环境100中的各个节点可以被配置为识别关于特定订户的信息以及向适当的节点咨询关于特定订户的信息。
在一些实施例中,(一个或多个)HSS 210可以响应于接收到Diameter消息或其它消息来执行移动性管理过程。移动性管理消息可以是从移动性管理实体(MME)206或通信环境200中的其它节点接收的。
NN 108可以是用于接收、处理、路由和/或转发消息的任何合适的实体(例如,一个或多个计算平台或设备)。在一些实施例中,通信环境200中的NN 108可以包括类似于通信环境100中的NN 108的功能的功能。在一些实施例中,NN 108可以包括Diameter中继代理和/或Diameter信令路由器(DRA/DSR)。例如,NN 108可以在通信环境200中的节点之间路由和/或转发各种Diameter消息。
在一些实施例中,NN 108可以包括用于促进归属网络中的节点与拜访网络中的节点之间的通信的功能。例如,可以经由NN 108将移动性管理消息和/或与注册相关的消息从MME 206发送到(一个或多个)HSS 210。虽然在通信环境200中仅描绘了一个SP,但是应该认识到的是,可以使用多个SP来促进通信环境200中的节点之间的通信。
在一些实施例中,NN 108可以包括用于过滤和/或验证消息的功能。例如,NN 108可以分析Diameter信令消息中的属性值对(AVP)信息,并且可以确定如何处理或路由信令消息。
在一些实施例中,NN 108可以使用过滤来识别包含订户位置信息的消息,诸如来自漫游订户的移动性管理消息。例如,NN 108可以被配置为使用与应用标识符(例如,Application-ID='16777251'可以指示(一个或多个)HSS 210和MME 206之间的S6a接口消息)和/或命令代码(例如,Diameter插入订户数据请求(IDR)消息可以与命令代码“319”相关联,并且Diameter更新位置请求(ULR)消息可以与命令代码“316”相关联)相关联的过滤器。在这个示例中,NN 108可以被配置为基于这样的过滤器来标识相关消息。
在一些实施例中,位置信息可以包括可用于标识UE或相关联订户的位置的任何信息。例如,位置信息可以包括MCC、MNC、LAC、网络标识符、CGI、BSID、接入节点标识符、CI、SAC、RAI、RAC、TAI、TAC、EGCI、位置坐标(例如,GPS信息)和相对位置信息。
在一些实施例中,NN 108可以包括用于确定与网络节点相关联的信任级别(例如,可信度度量)的功能,并且可以基于该确定来执行各种动作。例如,NN 108可以利用一个或多个数据结构(例如,白名单和黑名单)来标识网络节点是可信的、不可信的或未知的,并且可以基于该信任级别确定来执行其它动作。在这个示例中,如果网络节点是未知的,那么NN108可以执行网络节点验证;如果网络节点是不可信的,那么来自该网络节点的所有消息都可能被阻止或丢弃;并且如果网络节点是可信的,那么可以从该网络节点请求订户相关信息,并且可以将其存储(例如,存储在验证数据存储库或其它存储器中),以便可以将该可信的订户相关信息用于验证其它网络节点。
在一些实施例中,NN 108可以包括用于执行网络节点验证的功能。例如,NN 108可以利用网络节点验证算法来确定拜访网络节点或外部网络节点(例如,看起来是MME的节点)是否有效。在一些实施例中,网络节点验证算法可以涉及从要验证的网络节点获得订户相关信息(例如,IMEI、装备标识符、加密密钥或与移动订户相关的安全值),并确定来自要验证的网络节点的标识信息是否与存储在验证数据存储库中的可信的或经核实的订户相关信息匹配。例如,如果来自网络节点的订户相关信息与来自验证数据存储库的订户相关信息不匹配,那么可以确定该网络节点无效或可能无效,并且如果来自网络节点的订户相关信息确实与来自验证数据存储库中的订户相关信息匹配,那么可以确定该网络节点有效或可能有效。
在一些实施例中,NN 108可以被配置为基于网络节点验证分析或相关确定来执行一个或多个动作。例如,响应于确定网络节点有效,NN 108可以将相关消息转发到位置寄存器(例如,(一个或多个)HSS 210或另一个位置寄存器)、可以将指示该网络节点或来自该网络节点的位置信息有效的消息发送到节点(例如,网络运营商管理中心),和/或可以复制或存储消息的一部分。在另一个示例中,响应于确定网络节点无效,NN 108可以筛选、过滤或丢弃相关消息、可以向(一个或多个)HSS 210发送清除MS消息、可以阻止相关消息到达位置寄存器、可以向节点发送指示该网络节点或来自该网络节点的位置信息无效的消息,和/或可以复制或存储消息的一部分。
VDS 118可以表示用于维护和/或提供用于订户相关信息的储存库的任何合适的实体。在一些实施例中,VDS 118可以包括装备身份寄存器(EIR)功能或相关数据。例如,VDS118可以包括数据库或其它数据存储库,其包含与归属网络相关联的订户设备的IMEI和其它数据。在这个示例中,可以通过IMSI或其它订户标识符来索引IMEI。在一些实施例中,通信环境100中的其它节点可以查询VDS118以确定与移动订户相关的IMEI、IMSI或其它信息。
在一些实施例中,VDS 118可以从许多源(例如,NN 108、(一个或多个)HSS 210、SGW 204、PGW 214、V-PGW 212和/或其它节点)接收订户相关信息。在一些实施例中,例如,如果包含订户相关信息的消息来自可信源(例如,归属网络节点或来自其它网络的先前经过验证的网络节点),通信环境200中的NN 108和/或其它SP可以被配置为响应于接收或拦截包含这样的信息的消息,而向VDS 118发送订户相关信息。
拜访网络可以包括接入网络202、MME 206SGW 204和访客PGW(V-PGW)212。接入网络202可以表示无线电接入网络,并且可以包括用于与UE 102和通信环境200内的元件进行通信的各种节点。接入网络202中的示例节点可以包括可以执行无线电接入功能的演进节点b(eNB)或其它收发器节点。接入网络202或其中的节点可以用于UE 102与拜访网络或通信环境200中的节点之间的通信。例如,eNB或其它节点(例如,SGW 204)可以将与UE相关的消息(例如,与认证或移动性相关的消息)传送到MME 206或其它节点。
SGW 204表示用于促进接入网络202与其它节点(例如,V-PGW 212)或网络之间的通信的节点或网关。在一些实施例中,SGW 204可以将用户流量传送到通信环境200中的其它节点。
MME 206可以表示用于执行一个或多个移动性管理功能(诸如跟踪UE 102)的任何合适的实体。在一些实施例中,SGW 204可以将信息(例如,与移动性相关的信息)传送到通信环境200中的其它节点。例如,MME 206可以从接入网络202中的收发器节点接收注册请求,并且可以与(一个或多个)HSS 210通信以执行认证和/或更新移动订户的当前位置。此外,MME 206可以与各种其它节点通信并且执行各种其它功能。
V-PGW 212可以是用于提供对互联网116或其它数据网络的访问的任何合适的实体,例如,互联网接入点。在一些实施例中,如果SGW 204接收到指示漫游订户可以经由ARP接收数据服务的信令消息,那么SGW 204可以经由拜访网络中的V-PGW 212来路由目的地为互联网116的IP流量和/或相关消息。在一些实施例中,如果SGW 204接收到指示漫游订户不能经由ARP接收数据服务的信令消息,那么SGW 204可以经由归属网络中的PGW 214而不是经由V-PGW 212来路由目的地为互联网116的IP流量和/或相关消息。
将认识到的是,图2是出于说明性目的,并且以上关于图2描述的各种节点和/或模块、位置和/或功能可以被改变、更改、添加或去除。
图3是图示用于网络节点验证的示例节点300的图。节点300可以表示用于执行验证订户位置信息的方面的任何合适的一个或多个实体。在一些实施例中,节点300可以表示NN 108。
参考图3,节点300可以包括用于(例如,经由SS7接口、Diameter接口或其它接口)传送消息的一个或多个通信接口302。在一些实施例中,(一个或多个)通信接口302可以包括用于与(一个或多个)HLR 110通信的第一通信接口和用于与(一个或多个)HSS 210通信的第二通信接口。
在一些实施例中,(一个或多个)通信接口302可以与一个或多个分接器(tap)(例如,计算平台或设备)相关联,以拦截和/或复制通信环境100或通信环境200中的消息。
节点300可以包括验证引擎(VE)304。VE 304可以是用于执行网络节点验证或以上关于NN 108描述的功能的一个或多个方面的任何合适的实体(例如,在至少一个处理器上执行的软件)。在一些实施例中,VE 304可以包括用于标识包含订户位置信息的消息(诸如来自漫游订户的移动性管理消息)的功能。例如,VE 304可以通过基于报头数据和/或有效载荷数据过滤消息来标识相关消息。
在一些实施例中,VE 304可以包括用于确定与网络节点相关联的信任级别(例如,可信度度量)的功能,并且可以基于该确定来执行各种动作。例如,VE 304可以利用一个或多个数据结构(例如,白名单和黑名单)来标识网络节点是可信的、不可信的或未知的,并且可以基于该信任级别确定来执行其它动作。在这个示例中,如果网络节点是未知的,那么VE304可以执行网络节点验证;如果网络节点是不可信的,那么来自该网络节点的所有消息都可能被阻止或丢弃;并且如果网络节点是可信的,那么可以从该网络节点请求订户相关信息,并且可以将其存储(例如,存储在验证数据存储库或其它存储器中),以便可以将该可信的订户相关信息用于验证其它网络节点。
在一些实施例中,VE 304可以包括用于执行网络节点验证的功能。例如,VE 304可以利用网络节点验证算法来确定拜访网络节点或外部网络节点(例如,看起来是VLR或MSC的节点)是否有效。在一些实施例中,网络节点验证算法可以涉及从要验证的网络节点获得订户相关信息(例如,国际移动设备身份(IMEI)、装备标识符、加密密钥或与移动订户相关的安全值),并确定来自要验证的网络节点的标识信息是否与存储在验证数据存储库中的可信的或经核实的订户相关信息匹配。例如,如果来自网络节点的订户相关信息与来自验证数据存储库的订户相关信息不匹配,那么可以确定该网络节点无效或可能无效,并且如果来自网络节点的订户相关信息确实与来自验证数据存储库中的订户相关信息匹配,那么可以确定该网络节点有效或可能有效。
在一些实施例中,VE 304可以被配置为基于网络节点验证分析或相关确定来执行一个或多个动作。例如,响应于确定网络节点有效,VE 304可以将相关消息转发到位置寄存器(例如,(一个或多个)HLR 110或另一个位置寄存器)、可以将指示该网络节点或来自该网络节点的位置信息有效的消息发送到节点(例如,网络运营商管理中心),和/或可以复制或存储消息的一部分。在另一个示例中,响应于确定网络节点无效,VE 304可以筛选、过滤或丢弃相关消息、可以向(一个或多个)HLR 110发送清除MS消息、可以阻止相关消息到达位置寄存器、可以向节点发送指示该网络节点或来自该网络节点的位置信息无效的消息,和/或可以复制或存储消息的一部分。
其中的节点300或VE 304可以访问VDS 118或其它数据存储装置(例如,从中读取信息和/或向其写入信息)。VDS 118或其它数据存储装置可以是用于存储订户相关信息和/或其它数据的任何合适的实体(例如,计算机可读介质或存储器)。在一些实施例中,VDS118或其它数据存储装置可以包括与一个或多个订户相关联的IMSI、IMEI和/或其它数据。VDS 118或其它数据存储装置可以包括用于确定订户位置是有效还是无效的信息。
在一些实施例中,VDS 118或其它数据存储装置可以包括一个或多个数据结构,用于确定可信、不可信和未知的网络节点。例如,VDS 118或其它数据存储装置可以包括白名单和黑名单,白名单包含可信或良性网络节点的URI或其它网络节点标识符;黑名单包含不可信或恶意网络节点的URI或其它网络节点标识符。在这个示例中,VE 304可以使用与网络节点相关联的标识符来检查白名单和黑名单,并且如果在任一名单中均未找到,那么VE304可以将该网络节点视为应当被验证的未知网络节点。
将认识到的是,图3及其相关描述是出于说明性目的,并且节点300可以包括附加的和/或不同的模块、部件或功能。
图4是图示与网络节点验证相关联的示例MAP消息的图。在一些实施例中,订户位置信息可以由VLR/MSC 400提供或设置,VLR/MSC 400可能被或可能没有被恶意行为者控制和/或用于恶意活动(例如,收入欺诈和/或呼叫拦截)。在一些实施例中,NN 108可以确定网络节点是否有效,并且可以基于该确定来执行各种动作。在一些实施例中,NN 108可以包括VE 304,并且被配置为从意图拜访网络的节点(例如,VLR/MSC 400)请求订户相关信息(例如,IMEI)。
参考图4,在步骤401中,可以将MAP UL消息从VLR/MSC 400发送到NN 108。MAP UL消息可以包括用于更新UE 102的当前位置的信息,并且其目的地可以为(一个或多个)HLR110。
在一些实施例中,NN 108可以确定应当验证与接收到的MAP UL消息相关联的VLR/MSC 400或另一个网络节点。例如,在从VLR/MSC 400接收到MAP UL消息之后,如果VLR/MSC400是未知的,那么NN 108可以执行网络节点验证,其可以包括从VLR/MSC 400请求一些订户相关信息并将该信息与已知的或来自VDS 118或其它可信源的经核实的信息进行比较。
在步骤402中,可以将MAP提供订户信息(PSI)或任何时间询问(ATI)消息从NN 108发送到VLR/MSC 400。MAP PSI或ATI消息可以指示NN 108请求了哪些订户相关信息,例如,与UE 102相关联的IMEI。
在步骤403中,可以将MAP PSI确认消息或ATI确认消息从VLR/MSC 400发送到NN108。MAP PSI确认消息或ATI确认消息可以包括所请求的订户相关信息,例如,与UE 102相关联的IMEI。
在步骤404中,可以通过使用VDS 118中的数据来核实从VLR/MSC 400接收到的订户相关信息来执行网络节点验证。例如,NN 108可以将从VLR/MSC 400接收到的与移动订户相关联的IMEI与存储在VDS 118中的与移动订户相关联的经核实的或已知的IMEI进行比较。在这个示例中,如果从VLR/MSC 400接收到的IMEI与存储在VDS 118中的IMEI匹配,那么可以认为该网络节点有效或通过验证,并且如果从VLR/MSC 400接收到的IMEI与存储在VDS118中的IMEI不匹配,那么该网络节点可以被认为无效或未通过验证。
在步骤405中,可以基于数据核实检查(步骤404)来执行至少一个动作。例如,响应于确定VLR/MSC 400有效,NN 108可以将MAP UL消息转发到(一个或多个)HLR 110或另一个位置寄存器、可以向节点发送指示VLR/MSC 400或来自VLR/MSC 400的位置信息有效(或可能有效)的消息、或者可以复制或存储消息的一部分。在另一个示例中,响应于确定VLR/MSC400无效(或可能无效),NN 108可以向(一个或多个)HLR 110或另一个位置寄存器发送MAP清除MS消息从而丢弃MAP UL消息、阻止MAP UL消息到达位置寄存器、可以向节点发送指示VLR/MSC 400或来自VLR/MSC 400的位置信息无效(例如,欺诈性)的消息、或者可以复制或存储消息的一部分。
在一些实施例中,可以将MAP UL消息或类似的MAP UL消息从NN 108发送到(一个或多个)HLR 110。例如,在确定VLR/MSC 400有效(或可能有效)之后,NN 108可以将MAP UL消息发送到(一个或多个)HLR110,或者以其它方式允许MAP UL消息继续向前发送到(一个或多个)HLR 110。在另一个示例中,在确定VLR/MSC 400无效(或可能无效)之后,NN 108可以向(一个或多个)HLR 110发送针对与VLR/MSC 400相关联的一个或多个移动订户的清除请求消息,使得(一个或多个)HLR 110将该移动订户标记为不可用,以便抑制潜在的欺诈活动。
将认识到的是,图4是出于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应该认识到的是,本文描述的各种消息和/或动作可以以不同的顺序或序列发生。
图5是图示与选择性网络节点验证相关联的示例MAP消息的图。在一些实施例中,NN 108可以确定与网络节点相关联的信任级别(例如,可信度度量),并且可以基于该确定来执行各种动作。在一些实施例中,NN 108可以利用一个或多个数据结构(例如,白名单和黑名单)来标识网络节点是可信的(例如,被列入白名单或“绿色”)、不可信的(例如,被列入黑名单或“红色”)、或未知的(例如,被列入灰名单或“黄色”),并且NN 108可以基于该信任级别确定来执行网络节点验证、将订户相关信息存储在VDS 118中,和/或执行其它动作。
参考图5,在步骤501中,可以将MAP UL消息从VLR/MSC400发送到NN 108。MAP UL消息可以包括用于更新UE 102的当前位置的信息,并且其目的地可以为(一个或多个)HLR110。
在步骤502中,可以确定VLR/MSC 400的信任级别。例如,NN 108和/或VE 304可以查询一个或多个数据结构或VDS 118,以确定VLR/MSC 400的网络节点标识符是可信的、不可信的或者未知的。在这个示例中,出于说明性目的,可以使用颜色来指代每个级别,例如,“红色”表示已知为恶意、无效或不可信的节点,“绿色”表示已知为良性、有效或可信的节点,并且“黄色”表示未知的并且应进行验证以确定信任级别的节点。
在步骤503A中,如果VLR/MSC 400的信任级别是“绿色”或“黄色”,那么可以将MAPUL消息或类似的MAP UL消息从NN108发送到(一个或多个)HLR 110。例如,在确定VLR/MSC400不是不可信或未被列入黑名单之后,NN 108可以将MAP UL消息发送到(一个或多个)HLR110,或者以其它方式允许MAP UL消息继续向前发送到(一个或多个)HLR 110。
在步骤503B中,如果VLR/MSC 400的信任级别为“红色”,那么MAP UL消息或类似的MAP UL消息可以被丢弃或者以其它方式被阻止到达(一个或多个)HLR 110。例如,在确定VLR/MSC400是不可信或被列入黑名单之后,NN 108可以丢弃或阻止来自VLR/MSC 400的MAPUL消息和/或其它消息,以便抑制潜在的欺诈活动。
在一些实施例中,例如,如果VLR/MSC 400的信任级别为“黄色”,那么NN 108可以确定与接收到的MAP UL消息相关联的VLR/MSC 400应被验证。例如,在从VLR/MSC 400接收到MAP UL消息之后,如果VLR/MSC 400是未知的,那么NN 108可以执行网络节点验证,其可以包括从VLR/MSC 400请求一些订户相关信息并将该信息与来自VDS 118或其它可信源的已知的或经核实的信息进行比较。
在一些实施例中,在从VLR/MSC 400请求一些订户相关信息之前,NN 108可以查询VDS 118或相关数据存储装置以确定对于相关订户是否已经存在核实信息。例如,如果VLR/MSC 400的信任级别为“黄色”,并且如果NN 108和/或VE 304确定不存在核实信息(例如,相关的IMSI和IMEI值)和/或不能执行网络节点验证(例如,因为不能核实来自VLR/MSC 400的订户相关信息),那么NN108和/或VE 304可以放弃请求订户相关信息。在另一个示例中,如果VLR/MSC 400的信任级别为“绿色”,并且如果NN 108和/或VE 304确定不存在核实信息(例如,相关的IMSI和IMEI值),那么NN 108和/或VE 304可以从VLR/MSC 400请求订户相关信息,并且可以将来自VLR/MSC 400的该标识信息存储在VDS 118中以验证其它网络节点。
在步骤504中,可以将MAP PSI或ATI消息从NN 108发送到VLR/MSC 400。MAP PSI或ATI消息可以指示NN 108请求了哪些订户相关信息,例如,与UE 102相关联的IMEI。
在步骤505中,可以将MAP PSI确认消息或ATI确认消息从VLR/MSC 400发送到NN108。MAP PSI确认消息或ATI确认消息可以包括所请求的订户相关信息,例如,与UE 102相关联的IMEI。
在一些实施例中,NN 108和/或VE 304可以被配置为取决于VLR/MSC 400的信任级别来执行网络节点验证或更新VDS 118。
在步骤506A中,如果VLR/MSC 400的信任级别为“黄色”,那么可以通过使用VDS118中的数据核实从VLR/MSC 400接收到的订户相关信息来执行网络节点验证。例如,NN108可以将从VLR/MSC 400接收到的与移动订户相关联的IMEI与存储在VDS118中的与移动订户相关联的经验证的或已知的IMEI进行比较。在这个示例中,如果从VLR/MSC 400接收到的IMEI与存储在VDS118中的IMEI匹配,那么可以认为该网络节点有效或通过验证,并且如果从VLR/MSC 400接收到的IMEI与存储在VDS 118中的IMEI不匹配,那么该网络节点可以被认为无效或未通过验证。
在步骤506B中,如果VLR/MSC 400的信任级别为“绿色”,那么可以将从VLR/MSC400接收到的订户相关信息存储在VDS 118中。例如,NN 108和/或VE 304可以将来自VLR/MSC 400的IMEI、IMSI和/或其它订户相关信息存储在VDS 118中,以验证其它网络节点。
在步骤507中,可以基于数据核实检查(步骤506A)来执行至少一个动作。例如,响应于确定VLR/MSC 400有效,NN 108可以将MAP UL消息转发到(一个或多个)HLR 110或另一个位置寄存器、可以向节点发送指示VLR/MSC 400或来自VLR/MSC 400的位置信息有效(或可能有效)的消息、或者可以复制或存储消息的一部分。在另一个示例中,响应于确定VLR/MSC 400无效(或可能无效),NN 108可以向(一个或多个)HLR 110或另一个位置寄存器发送MAP清除MS消息,丢弃MAP UL消息、阻止MAP UL消息到达位置寄存器、可以向节点发送指示VLR/MSC 400或来自VLR/MSC 400的位置信息无效(例如,欺诈性)的消息、或者可以复制或存储消息的一部分。
将认识到的是,图5是出于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应该认识到的是,本文描述的各种消息和/或动作可以以不同的顺序或序列发生。
图6是图示与网络节点验证相关联的示例Diameter消息的图。在一些实施例中,订户位置信息可以由MME 600提供或设置,MME 600可能被或可能没有被恶意行为者控制和/或用于恶意活动(例如,收入欺诈和/或呼叫拦截)。在一些实施例中,NN 108可以确定网络节点是否有效,并且可以基于该确定来执行各种动作。在一些实施例中,NN 108可以包括VE304,并且被配置为从意图拜访网络的节点(例如,MME 600)请求订户相关信息(例如,IMEI)。
参考图6,在步骤601中,可以将Diameter ULR消息从MME 600发送到NN 108。Diameter ULR消息可以包括用于更新UE 102的当前位置的信息,并且其目的地可以为(一个或多个)HSS 210。在一些实施例中,Diameter ULR消息可以包括例如存储在“终端信息”AVP和其它AVP中的IMSI和/或IMEI。
在一些实施例中,IMEI可以被包含在发送或转发给NN 108的Diameter通知请求(NOR)消息中。例如,在NN 108是(一个或多个)HSS 210之一的情况下,MME 600可以经由S6a接口发送包含IMEI(例如,其与相关的Diameter ULR消息中的IMSI相关联)的NOR消息。在这个示例中,IMEI可以存储在AVP中,例如,存储在“终端信息”AVP中。
在一些实施例中,例如,在接收到的Diameter ULR消息不包含IMEI的情况下,可以从VDS 118接收或获得与Diameter ULR消息相关联的IMSI或相关的IMEI。例如,在接收到包含IMSI或另一个标识符但不包含IMEI的Diameter ULR消息之后,NN 108可以向VDS 118查询对应的IMEI。
在一些实施例中,NN 108可以确定应该验证与接收到的Diameter ULR消息相关联的MME 600或另一个网络节点。例如,在从MME 600接收到Diameter ULR消息之后,如果MME600是未知的或不可信的,那么NN 108可以执行网络节点验证,其可以包括从MME 600请求一些订户相关信息,并将该信息与来自VDS 118或其它可信源的已知的或经核实的信息进行比较。
在步骤602中,可以将Diameter PSL请求消息从NN 108发送到MME 600。DiameterPSL请求消息可以请求订户相关信息,并且可以包括用于数据查找的IMEI。
在步骤603中,可以将Diameter PSL应答消息从MME 600发送到NN 108。例如,如果MME 600可以在其数据存储库中找到接收到的IMEI(例如,来自Diameter PSL请求消息),那么可以将包含有效订户相关信息的Diameter PSL应答消息发送到NN 108从而指示MME 600是有效的,但是如果MME 600不能在其数据存储库中找到接收到的IMEI,那么可以将指示错误或包含无效的订户相关信息的Diameter PSL应答消息发送到NN 108,从而指示MME 600无效(例如,是伪造的)。
在步骤604中,可以通过使用VDS 118中的数据核实从MME 600接收到的订户相关信息来执行网络节点验证。例如,NN 108可以将从MME 600接收到的与移动订户相关联的IMEI与存储在VDS 118中的与移动订户相关联的经核实的或已知的IMEI进行比较。在这个示例中,如果从MME 600接收到的IMEI与存储在VDS 118中的IMEI匹配,那么可以认为该网络节点有效或通过验证,并且如果从MME 600接收到的IMEI与存储在VDS 118中的IMEI不匹配,那么可以认为该网络节点无效或未通过验证。
在步骤605中,可以基于数据核实检查(步骤604)来执行至少一个动作。例如,响应于确定MME 600有效,NN 108可以将Diameter ULR消息转发到(一个或多个)HSS 210或另一个位置寄存器、可以向节点发送指示MME 600或来自MME 600的位置信息有效(或可能有效)的消息、或者可以复制或存储消息的一部分。在另一个示例中,响应于确定MME 600无效(或可能无效),NN 108可以向(一个或多个)HSS 210或另一个位置寄存器发送Diameter清除请求消息从而丢弃Diameter ULR消息、阻止Diameter ULR消息到达位置寄存器、可以向节点发送指示MME 600或来自MME 600的位置信息无效(例如,欺诈性)的消息、或者可以复制或存储消息的一部分。
在一些实施例中,可以将Diameter ULR消息或类似的Diameter ULR消息从NN 108发送到(一个或多个)HSS 210。例如,在确定MME 600有效(或可能有效)之后,NN 108可以将Diameter ULR消息发送到(一个或多个)HSS 210,或者以其它方式允许Diameter ULR消息继续向前发送到(一个或多个)HSS 210。在另一个示例中,在确定MME 600无效(或可能无效)之后,NN 108可以向(一个或多个)HSS 210发送针对与MME 600相关联的一个或多个移动订户的清除请求消息,使得(一个或多个)HSS 210将该移动订户标记为不可用,以便抑制潜在的欺诈活动。
将认识到的是,图6是出于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应该认识到的是,本文描述的各种消息和/或动作可以以不同的顺序或序列发生。
图7是图示与选择性网络节点验证相关联的示例Diameter消息的图。在一些实施例中,NN 108可以确定与网络节点相关联的信任级别(例如,可信度度量),并且可以基于该确定来执行各种动作。在一些实施例中,NN 108可以利用一个或多个数据结构(例如,白名单和黑名单)来标识网络节点是可信的(例如,被列入白名单或“绿色”)、不可信的(例如,被列入黑名单或“红色”)、或未知的(例如,被列入灰名单或“黄色”),并且NN 108可以基于该信任级别确定来执行网络节点验证、将订户相关信息存储在VDS 118中,和/或执行其它动作。
参考图7,在步骤701中,可以将Diameter ULR消息从MME 600发送到NN 108。Diameter ULR消息可以包括用于更新UE 102的当前位置的信息,并且其目的地可以为(一个或多个)HSS 210。在一些实施例中,Diameter ULR消息可以包括例如存储在“终端信息”AVP和其它AVP中的IMSI和/或IMEI。
在一些实施例中,IMEI可以被包含在发送或转发给NN 108的Diameter NOR消息中。例如,在NN 108是(一个或多个)HSS 210之一的情况下,MME 600可以经由S6a接口发送包含IMEI(例如,与相关的Diameter ULR消息中的IMSI相关联)的NOR消息。在这个示例中,IMEI可以存储在AVP中,例如,存储在“终端信息”AVP中。
在一些实施例中,例如,在接收到的Diameter ULR消息不包含IMEI的情况下,可以从VDS 118接收或获得与Diameter ULR消息相关联的IMEI或相关的IMSI。例如,在接收到包含IMSI或另一个标识符但不包含IMEI的Diameter ULR消息之后,NN 108可以向VDS 118查询对应的IMEI。
在步骤702中,可以确定MME 600的信任级别。例如,NN 108和/或VE 304可以查询一个或多个数据结构或VDS 118,以确定MME 600的网络节点标识符是可信的、不可信的或者未知的。在这个示例中,出于说明性目的,可以使用颜色来指代每个级别,例如,“红色”表示已知为恶意、无效或不可信的节点,“绿色”表示已知为良性、有效或可信的节点,并且“黄色”表示未知的并且应进行验证以确定信任级别的节点。
在步骤703A中,如果MME 600的信任级别是“绿色”或“黄色”,那么可以将DiameterULR消息或类似的Diameter ULR消息从NN 108发送到(一个或多个)HSS 210。例如,在确定MME 600不是不可信或未被列入黑名单之后,NN 108可以将Diameter ULR消息发送到(一个或多个)HSS 210,或者以其它方式允许Diameter ULR消息继续向前发送到(一个或多个)HSS 210。
在步骤703B中,如果MME 600的信任级别为“红色”,那么Diameter ULR消息或类似的Diameter ULR消息可以被丢弃或者以其它方式被阻止到达(一个或多个)HSS 210。例如,在确定MME 600是不可信或被列入黑名单之后,NN 108可以丢弃或阻止来自MME 600的Diameter ULR消息和/或其它消息,以便抑制潜在的欺诈活动。
在一些实施例中,例如,如果MME 600的信任级别为“黄色”,那么NN 108可以确定与接收到的Diameter ULR消息相关联的MME 600应被验证。例如,在从MME 600接收到Diameter ULR消息之后,如果MME 600是未知的或不可信的,那么NN 108可以执行网络节点验证,其可以包括从MME 600请求一些订户相关信息,并将该信息与已知的或来自VDS 118或其它可信源的经核实的信息进行比较。
在一些实施例中,在从MME 600请求一些订户相关信息之前,NN 108可以查询VDS118或相关数据存储装置以确定对于相关订户是否已经存在核实信息。例如,如果MME 600的信任级别为“黄色”,并且如果NN 108和/或VE 304确定不存在核实信息(例如,相关的IMSI和IMEI值)和/或不能执行网络节点验证(例如,因为不能核实来自MME 600的订户相关信息),那么NN 108和/或VE 304可以放弃请求订户相关信息。在另一个示例中,如果MME600的信任级别为“绿色”,并且如果NN 108和/或VE 304确定不存在核实信息(例如,相关的IMSI和IMEI值),那么NN 108和/或VE 304可以从MME 600请求订户相关信息,并且可以将来自MME 600的该标识信息存储在VDS 118中以验证其它网络节点。
在步骤704中,可以将Diameter PSL请求消息从NN 108发送到MME 600。DiameterPSL请求消息可以请求订户相关信息,并且可以包括用于数据查找的IMEI。
在步骤705中,可以将Diameter PSL应答消息从MME 600发送到NN 108。PSL应答消息可以包括所请求的订户相关信息,例如,与UE 102相关联的IMEI。例如,如果MME 600可以在其数据存储库中找到接收到的IMEI(例如,来自Diameter PSL请求消息),那么可以将包含有效订户相关信息的Diameter PSL应答消息发送到NN 108从而指示MME 600有效,但是如果MME 600不能在其数据存储库中找到接收到的IMEI,那么可以将指示错误或包含无效的订户相关信息的Diameter PSL应答消息发送到NN 108从而指示MME 600无效(例如,是伪造的)。
在一些实施例中,NN 108和/或VE 304可以被配置为取决于MME 600的信任级别来执行网络节点验证或更新VDS 118。
在步骤706A中,如果MME 600的信任级别为“黄色”,那么可以通过使用VDS 118中的数据核实从MME 600接收到的订户相关信息来执行网络节点验证。例如,NN 108可以将从MME 600接收到的与移动订户相关联的IMEI与存储在VDS 118中的与移动订户相关联的经核实的或已知的IMEI进行比较。在这个示例中,如果从MME 600接收到的IMEI与存储在VDS118中的IMEI匹配,那么可以认为该网络节点有效或通过验证,并且如果从MME 600接收到的IMEI与存储在VDS 118中的IMEI不匹配,那么可以认为该网络节点无效或未通过验证。
在步骤706B中,如果MME 600的信任级别为“绿色”,那么可以将从MME 600接收到的订户相关信息存储在VDS 118中。例如,NN 108和/或VE 304可以将来自MME 600的IMEI、IMSI和/或其它订户相关信息存储在VDS 118中,以验证其它网络节点。
在步骤707中,可以基于数据核实检查(步骤706A)来执行至少一个动作。例如,响应于确定MME 600有效,NN 108可以将Diameter ULR消息转发到(一个或多个)HSS 210或另一个位置寄存器、可以向节点发送指示MME 600或来自MME 600的位置信息是有效(或可能有效)的消息、或者可以复制或存储消息的一部分。在另一个示例中,响应于确定MME 600无效(或可能无效),NN 108可以向(一个或多个)HSS 210或另一个位置寄存器发送Diameter清除请求消息、丢弃Diameter ULR消息、阻止Diameter ULR消息到达位置寄存器、可以向节点发送指示MME 600或来自MME 600的位置信息无效(例如,欺诈性)的消息、或者可以复制或存储消息的一部分。
将认识到的是,图7是出于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应该认识到的是,本文描述的各种消息和/或动作可以以不同的顺序或序列发生。
图8是图示用于网络节点验证的示例处理800的图。在一些实施例中,本文描述的示例处理800或其部分可以在NN 108、节点300、VE 304和/或另一个模块或节点处执行或由其执行。
参考示例处理800,在步骤802中,可以从网络节点接收与移动订户相关联的第一消息。例如,NN 108可以接收看起来来自VLR/MSC 400的MAP UL消息。
在一些实施例中,与移动订户相关联的第一消息可以包括Diameter消息、Diameter ULR消息、Diameter NOR消息、MAP消息、MAP更新位置消息或位置验证请求消息。
在步骤804中,第一网络节点可以向第二网络节点发送查询,该查询请求标识移动订户的移动通信装备的标识信息。
在一些实施例中,查询可以包括MAP PSI请求消息、MAP ATI请求消息或DiameterPSL请求消息,并且对查询的响应可以包括MAP PSI响应消息、MAP ATI响应消息或DiameterULR信息。
在步骤806中,第一网络节点可以从第二网络节点接收对查询的响应,其中响应包括标识信息。例如,在NN 108从VLR/MSC 400接收到与移动订户相关联的MAP UL消息之后,NN 108可以请求与该移动订户相关联的IMEI,以便验证VLR/MSC 400和/或其与移动订户(以及相关的移动装备)的关系。在这个示例中,在接收到请求与移动订户相关联的IMEI的MAP PSI消息之后,VLR/MSC 400可以提供与移动订户相关联的IMEI。在另一个示例中,在接收到请求IMEI的MAP PSI消息之后,VLR/MSC 400可以不响应或者可以提供不与移动订户相关联的IMEI。
在步骤808中,可以从响应中提取标识信息。
在步骤810中,可以比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息。在一些实施例中,经验证的标识信息来自与第二网络节点分离的可信源。例如,NN 108可以将从VLR/MSC 400接收到的与移动订户相关联的IMEI与存储在VDS 118中的与移动订户相关联的经核实的或已知的IMEI进行比较。在这个示例中,如果从VLR/MSC 400接收到的IMEI与存储在VDS 118中的IMEI匹配,那么可以认为该网络节点有效或通过验证,并且如果从VLR/MSC 400接收到的IMEI与存储在VDS 118中的IMEI不匹配,那么可以认为该网络节点无效或未通过验证。
在一些实施例中,可以通过使用与移动订户相关联的移动订户标识符来查询验证数据存储库以获得与移动订户相关联的IMEI来获得经验证的标识信息,其中验证数据存储库(例如,VDS 118)包含按移动订户标识符索引的IMEI。
在一些实施例中,用于提供经验证的标识信息的可信源包括归属网络节点、数据存储库或先前经验证的网络节点。例如,当从MME 600接收到Diameter ULR消息时,NN 108可以使用网络节点标识符(例如,始发URI)和白名单来确定网络节点是否可信。在这个示例中,如果MME 600是可信的,那么NN 108可以请求与特定订户相关联的IMEI和/或其它订户相关信息,并且一旦从MME 600接收到该信息,就可以将该信息存储在VDS 118中。
在步骤812中,响应于从响应中提取的标识信息与经验证的标识信息匹配,第二网络节点可以被识别为被授权发送第一消息,并且第一消息可以被处理。
在一些实施例中,处理第一消息可以包括将第一消息转发到位置寄存器、向节点发送指示该网络节点或来自该网络节点的位置信息有效的消息、或者复制或存储第一消息的一部分。
在步骤814中,响应于从响应中提取的标识信息与经验证的标识信息不匹配,第二网络节点可以被识别为未被授权发送第一消息,并且可以将第一消息标识为网络安全威胁。
在一些实施例中,响应于将第一消息标识为网络安全威胁,第一网络节点可以发送MAP清除MS消息、发送Diameter清除请求消息、丢弃第一消息、阻止第一消息到达位置寄存器、向节点发送指示该网络节点或来自该网络节点的位置信息无效的消息、或者复制或存储第一条消息的一部分。
在一些实施例中,位置寄存器可以包括HLR或HSS。
在一些实施例中,第一网络节点(例如,NN 108、节点300或包括VE 304的网络节点)可以包括Diameter节点、Diameter路由代理、Diameter信令路由器、网关、信令路由器、STP、信令网关(SG)、7号信令系统(SS7)节点或信令节点。
在一些实施例中,第二网络节点(例如,发送MAP UL消息或Diameter ULR消息的网络节点)可以包括MME、VLR、MSC、拜访网络中的节点、外部网络节点、SGSN或网关。
将认识到的是,虽然已经参考基于SS7和基于Diameter的移动网络(例如,2G、3G、4G、LTE、EPC/EPS)讨论了本文描述的主题的一些方面,但是各种其它网络可以利用本文描述的主题的一些方面。例如,利用消息和/或包括消息路由节点的任何网络都可以使用本文描述的特征、机制和技术来验证网络节点或从中抑制(例如,筛选或过滤)消息。
应当注意的是,本文描述的NN 108、节点300和/或功能可以构成专用计算设备。此外,本文描述的NN 108、节点300和/或功能可以改善网络安全和/或防止欺诈的技术领域。例如,通过验证网络节点(例如,看起来是VLR/MSC或MME的节点)并在此类网络节点看起来无效(例如,欺诈性)时执行一个或多个抑制动作,可以避免和/或预防恶意活动及其负面后果(例如,收入欺诈)。
将理解的是,在不脱离本文描述的主题的范围的情况下,可以改变本文描述的主题的各种细节。此外,前述描述仅出于说明的目的,而非出于限制的目的。
Claims (28)
1.一种用于验证网络节点的方法,所述方法包括:
在第一网络节点处:
从第二网络节点接收与移动订户相关联的第一消息;
由第一网络节点向第二网络节点发送查询,所述查询请求标识所述移动订户的移动通信装备的标识信息,其中第二网络节点与所述移动订户的所述移动通信装备分离;
由第一网络节点从第二网络节点接收对所述查询的响应,其中所述响应包括所述标识信息,其中所述标识信息包括第一国际移动装备身份IMEI;
从所述响应中提取所述标识信息;
比较从所述响应中提取的所述标识信息和标识所述移动订户的所述移动通信装备的经验证的标识信息,其中所述经验证的标识信息包括第二IMEI并且来自与第二网络节点分离的可信源;
响应于从所述响应中提取的所述标识信息与所述经验证的标识信息匹配,将第二网络节点识别为被授权发送第一消息和处理第一消息;
响应于从所述响应中提取的所述标识信息与所述经验证的标识信息不匹配,将第二网络节点识别为未被授权发送第一消息,并将第一消息标识为网络安全威胁;以及
响应于将第一消息标识为网络安全威胁,发送移动应用部分(MAP)清除MS消息、发送Diameter清除请求消息、丢弃第一消息、阻止第一消息到达位置寄存器、向节点发送指示第二网络节点无效的消息、或者复制或存储第一消息的一部分。
2.如权利要求1所述的方法,其中,第一消息包括Diameter消息、Diameter更新位置请求(ULR)消息、Diameter通知请求(NOR)消息、移动应用部分(MAP)消息、MAP更新位置消息、或位置验证请求消息。
3.如权利要求1或权利要求2所述的方法,其中,所述标识信息还包括装备标识符、加密密钥或与移动订户相关的安全值。
4.如权利要求1或权利要求2所述的方法,其中,所述查询包括移动应用部分(MAP)提供订户信息(PSI)请求消息、MAP随时询问(ATI)请求消息、或Diameter提供订户位置(PSL)请求消息,并且其中,所述响应包括MAP PSI响应消息、MAP ATI响应消息或Diameter更新位置请求(ULR)消息。
5.如权利要求1或权利要求2所述的方法,其中,所述经验证的标识信息是通过使用与所述移动订户相关联的移动订户标识符查询验证数据存储库以获得与所述移动订户相关联的第二IMEI而获得的,其中,所述验证数据存储库包含按移动订户标识符索引的IMEI。
6.如权利要求1或权利要求2所述的方法,其中,所述可信源包括归属网络节点、数据存储库或先前经验证的网络节点。
7.如权利要求1或权利要求2所述的方法,其中,处理第一消息包括将第一消息转发到位置寄存器、向节点发送指示第二网络节点有效的消息、或者复制或存储第一消息的一部分。
8.如权利要求1或权利要求2所述的方法,其中,第一网络节点包括网关、信令路由器、信号传输点(STP)、或信令节点,并且其中,第二网络节点包括移动性管理元件(MME)、访客位置寄存器(VLR)、移动交换中心(MSC)、拜访网络中的节点、外部网络节点、服务通用分组无线电服务(GPRS)支持节点(SGSN)、或网关。
9.如权利要求8所述的方法,其中,第一网络节点是以下之一:Diameter节点、Diameter路由代理、Diameter信令路由器、信令网关(SG)、7号信令系统(SS7)节点。
10.一种用于验证网络节点的系统,所述系统包括:
第一网络节点,包括:
至少一个处理器;以及
存储器,
其中第一网络节点被配置为:
从第二网络节点接收与移动订户相关联的第一消息;
由第一网络节点向第二网络节点发送查询,所述查询请求标识所述移动订户的移动通信装备的标识信息,其中第二网络节点与所述移动订户的所述移动通信装备分离;
由第一网络节点从第二网络节点接收对所述查询的响应,其中所述响应包括所述标识信息,其中所述标识信息包括第一国际移动装备身份IMEI;
从所述响应中提取所述标识信息;
比较从所述响应中提取的所述标识信息和标识所述移动订户的所述移动通信装备的经验证的标识信息,其中所述经验证的标识信息包括第二IMEI并且来自与第二网络节点分离的可信源;
响应于从所述响应中提取的所述标识信息与所述经验证的标识信息匹配,将第二网络节点识别为被授权发送第一消息和处理第一消息;
响应于从所述响应中提取的所述标识信息与所述经验证的标识信息不匹配,将第二网络节点识别为未被授权发送第一消息,并将第一消息标识为网络安全威胁;以及
响应于将第一消息标识为网络安全威胁,发送移动应用部分(MAP)清除MS消息、发送Diameter清除请求消息、丢弃第一消息、阻止第一消息到达位置寄存器、向节点发送指示第二网络节点无效的消息、或者复制或存储第一消息的一部分。
11.如权利要求10所述的系统,其中,第一消息包括Diameter消息、Diameter更新位置请求(ULR)消息、Diameter通知请求(NOR)消息、移动应用部分(MAP)消息、MAP更新位置消息、或位置验证请求消息。
12.如权利要求10或权利要求11所述的系统,其中,所述标识信息还包括装备标识符、加密密钥或与移动订户相关的安全值。
13.如权利要求10或权利要求11所述的系统,其中,所述查询包括移动应用部分(MAP)提供订户信息(PSI)请求消息、MAP随时询问(ATI)请求消息、或Diameter提供订户位置(PSL)请求消息,并且其中,所述响应包括MAP PSI响应消息、MAP ATI响应消息或Diameter更新位置请求(ULR)消息。
14.如权利要求10或权利要求11所述的系统,其中,所述经验证的标识信息是通过使用与所述移动订户相关联的移动订户标识符查询验证数据存储库以获得与所述移动订户相关联的第二IMEI而获得的,其中,所述验证数据存储库包含按移动订户标识符索引的IMEI。
15.如权利要求10或权利要求11所述的系统,其中,所述可信源包括归属网络节点、数据存储库或先前经验证的网络节点。
16.如权利要求10或权利要求11所述的系统,其中,处理第一消息包括将第一消息转发到位置寄存器、向节点发送指示第二网络节点有效的消息、或者复制或存储第一消息的一部分。
17.如权利要求10或权利要求11所述的系统,其中,第一网络节点包括网关、信令路由器、信号传输点(STP)、或信令节点,并且其中,第二网络节点包括移动性管理元件(MME)、访客位置寄存器(VLR)、移动交换中心(MSC)、拜访网络中的节点、外部网络节点、服务通用分组无线电服务(GPRS)支持节点(SGSN)、或网关。
18.如权利要求17所述的系统,其中,第一网络节点是以下之一:Diameter节点、Diameter路由代理、Diameter信令路由器、信令网关(SG)、7号信令系统(SS7)节点。
19.一种非暂态计算机可读介质,包括实施在所述非暂态计算机可读介质中的计算机可执行指令,所述计算机可执行指令当由至少一个计算机的至少一个处理器执行时,使所述至少一个计算机执行包括以下各项的步骤:
在第一网络节点处:
从第二网络节点接收与移动订户相关联的第一消息;
由第一网络节点向第二网络节点发送查询,所述查询请求标识所述移动订户的移动通信装备的标识信息,其中第二网络节点与所述移动订户的所述移动通信装备分离;
由第一网络节点从第二网络节点接收对所述查询的响应,其中所述响应包括所述标识信息,其中所述标识信息包括第一国际移动装备身份IMEI;
从所述响应中提取所述标识信息;
比较从所述响应中提取的所述标识信息和标识所述移动订户的所述移动通信装备的经验证的标识信息,其中所述经验证的标识信息包括第二IMEI并且来自与第二网络节点分离的可信源;
响应于从所述响应中提取的所述标识信息与所述经验证的标识信息匹配,将第二网络节点识别为被授权发送第一消息和处理第一消息;
响应于从所述响应中提取的所述标识信息与所述经验证的标识信息不匹配,将第二网络节点识别为未被授权发送第一消息,并将第一消息标识为网络安全威胁;以及
响应于将第一消息标识为网络安全威胁,发送移动应用部分(MAP)清除MS消息、发送Diameter清除请求消息、丢弃第一消息、阻止第一消息到达位置寄存器、向节点发送指示第二网络节点无效的消息、或者复制或存储第一消息的一部分。
20.如权利要求19所述的非暂态计算机可读介质,其中,第一消息包括Diameter消息、Diameter更新位置请求(ULR)消息、移动应用部分(MAP)消息、MAP更新位置消息、或位置验证请求消息。
21.如权利要求19或权利要求20所述的非暂态计算机可读介质,其中,所述标识信息还包括装备标识符、加密密钥或与移动订户相关的安全值。
22.如权利要求19或权利要求20所述的非暂态计算机可读介质,其中,所述查询包括移动应用部分(MAP)提供订户信息(PSI)请求消息、MAP随时询问(ATI)请求消息、或Diameter提供订户位置(PSL)请求消息,并且其中,所述响应包括MAP PSI响应消息、MAP ATI响应消息或Diameter更新位置请求(ULR)消息。
23.如权利要求19或权利要求20所述的非暂态计算机可读介质,其中,所述经验证的标识信息是通过使用与所述移动订户相关联的移动订户标识符查询验证数据存储库以获得与所述移动订户相关联的第二IMEI而获得的,其中,所述验证数据存储库包含按移动订户标识符索引的IMEI。
24.如权利要求19或权利要求20所述的非暂态计算机可读介质,其中,所述可信源包括归属网络节点、数据存储库或先前经验证的网络节点。
25.如权利要求19或权利要求20所述的非暂态计算机可读介质,其中,处理第一消息包括将第一消息转发到位置寄存器、向节点发送指示第二网络节点有效的消息、或者复制或存储第一消息的一部分。
26.如权利要求19或权利要求20所述的非暂态计算机可读介质,其中,第一网络节点包括网关、信令路由器、信号传输点(STP)、或信令节点,并且其中,第二网络节点包括移动性管理元件(MME)、访客位置寄存器(VLR)、移动交换中心(MSC)、拜访网络中的节点、外部网络节点、服务通用分组无线电服务(GPRS)支持节点(SGSN)、或网关。
27.如权利要求26所述的非暂态计算机可读介质,其中,第一网络节点是以下之一:Diameter节点、Diameter路由代理、Diameter信令路由器、信令网关(SG)、7号信令系统(SS7)节点。
28.一种包括用于执行如权利要求1-9中任一项所述的方法的部件的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/024,422 | 2018-06-29 | ||
| US16/024,422 US10931668B2 (en) | 2018-06-29 | 2018-06-29 | Methods, systems, and computer readable media for network node validation |
| PCT/US2019/028814 WO2020005374A1 (en) | 2018-06-29 | 2019-04-23 | Methods, systems, and computer readable media for network node validation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112335271A CN112335271A (zh) | 2021-02-05 |
| CN112335271B true CN112335271B (zh) | 2024-04-30 |
Family
ID=66857963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980043959.4A Active CN112335271B (zh) | 2018-06-29 | 2019-04-23 | 用于网络节点验证的方法、系统和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10931668B2 (zh) |
| EP (1) | EP3815415A1 (zh) |
| JP (1) | JP7246418B2 (zh) |
| CN (1) | CN112335271B (zh) |
| WO (1) | WO2020005374A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
| US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
| US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
| GB2586223A (en) * | 2019-08-05 | 2021-02-17 | British Telecomm | Conditional message routing in a telecommunications network |
| US11411925B2 (en) * | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11310653B1 (en) | 2020-10-15 | 2022-04-19 | Hewlett Packard Enterprise Development Lp | Visitor location register registration handling |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| US11792633B2 (en) * | 2021-05-25 | 2023-10-17 | T-Mobile Usa, Inc. | Device authentication verification for device registration |
| US20230232232A1 (en) * | 2022-01-19 | 2023-07-20 | Oracle International Corporation | Methods, systems, and computer readable media for providing call intelligence to a signaling firewall in a communications network |
| CN115333946B (zh) * | 2022-07-28 | 2024-03-08 | 深圳海星智驾科技有限公司 | 一种机器人操作系统的节点查询方法、装置和设备 |
| JP7343729B1 (ja) | 2023-06-08 | 2023-09-12 | 株式会社インターネットイニシアティブ | モバイル通信システムおよび通信制御方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917698A (zh) * | 2010-08-20 | 2010-12-15 | 北京瑞格特软件技术有限公司 | 与3gpp协议兼容的提供移动设备用户信息的方法及系统 |
| CN107925863A (zh) * | 2015-11-10 | 2018-04-17 | 日本电气株式会社 | 通信系统 |
Family Cites Families (94)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE508514C2 (sv) | 1997-02-14 | 1998-10-12 | Ericsson Telefon Ab L M | Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem |
| US6151503A (en) * | 1997-12-17 | 2000-11-21 | Lucent Technologies Inc. | Subscriber activated wireless telephone call rerouting system |
| US6308075B1 (en) | 1998-05-04 | 2001-10-23 | Adc Telecommunications, Inc. | Method and apparatus for routing short messages |
| JP3049056B1 (ja) * | 1998-07-02 | 2000-06-05 | 日本電気通信システム株式会社 | 移動体通信網の加入者デ―タ制御方法 |
| US6343215B1 (en) * | 1998-11-10 | 2002-01-29 | Lucent Technologies, Inc | ANSI 41 dialed number validation |
| US6292666B1 (en) | 1999-05-06 | 2001-09-18 | Ericsson Inc. | System and method for displaying country on mobile stations within satellite systems |
| CA2312012A1 (en) | 1999-06-30 | 2000-12-30 | Lucent Technologies Inc. | Transaction notification system and method |
| DE59912688D1 (de) | 1999-11-17 | 2005-11-24 | Swisscom Mobile Ag | Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz |
| FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
| US6990347B2 (en) | 2000-03-07 | 2006-01-24 | Tekelec | Methods and systems for mobile application part (MAP) screening |
| EP1213931A3 (de) | 2000-12-05 | 2003-03-19 | Siemens Aktiengesellschaft | Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz |
| AUPR441401A0 (en) | 2001-04-12 | 2001-05-17 | Gladwin, Paul | Utility usage rate monitor |
| EP1304897A1 (en) | 2001-10-22 | 2003-04-23 | Agilent Technologies, Inc. (a Delaware corporation) | Methods and apparatus for providing data for enabling location of a mobile communications device |
| US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
| US7068999B2 (en) | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
| US20100240361A1 (en) | 2002-08-05 | 2010-09-23 | Roamware Inc. | Anti-inbound traffic redirection system |
| US7729686B2 (en) | 2003-04-02 | 2010-06-01 | Qualcomm Incorporated | Security methods for use in a wireless communications system |
| US7043754B2 (en) | 2003-06-12 | 2006-05-09 | Michael Arnouse | Method of secure personal identification, information processing, and precise point of contact location and timing |
| US8121594B2 (en) | 2004-02-18 | 2012-02-21 | Roamware, Inc. | Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register |
| US7567661B1 (en) * | 2003-12-31 | 2009-07-28 | Nortel-Networks Limited | Telephony service information management system |
| GB0406119D0 (en) | 2004-03-18 | 2004-04-21 | Telsis Holdings Ltd | Telecommunications services apparatus and method |
| WO2005101872A1 (en) | 2004-04-14 | 2005-10-27 | Nooren Consulting B.V. | Method for preventing the delivery of short message service message spam |
| US7403537B2 (en) | 2004-04-14 | 2008-07-22 | Tekelec | Methods and systems for mobile application part (MAP) screening in transit networks |
| US7319857B2 (en) | 2004-09-13 | 2008-01-15 | Tekelec | Methods, systems, and computer program products for delivering messaging service messages |
| IES20040693A2 (en) | 2004-10-14 | 2006-04-19 | Anam Mobile Ltd | A messaging system and method |
| US7870201B2 (en) | 2004-12-03 | 2011-01-11 | Clairmail Inc. | Apparatus for executing an application function using a mail link and methods therefor |
| US20060211406A1 (en) | 2005-03-17 | 2006-09-21 | Nokia Corporation | Providing security for network subscribers |
| US8867575B2 (en) | 2005-04-29 | 2014-10-21 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
| WO2007004224A1 (en) | 2005-07-05 | 2007-01-11 | Mconfirm Ltd. | Improved location based authentication system |
| US20070174082A1 (en) | 2005-12-12 | 2007-07-26 | Sapphire Mobile Systems, Inc. | Payment authorization using location data |
| US20070168432A1 (en) | 2006-01-17 | 2007-07-19 | Cibernet Corporation | Use of service identifiers to authenticate the originator of an electronic message |
| US8121624B2 (en) | 2006-07-25 | 2012-02-21 | Alcatel Lucent | Message spoofing detection via validation of originating switch |
| JP4174535B2 (ja) | 2006-08-22 | 2008-11-05 | Necインフロンティア株式会社 | 無線端末を認証する認証システム及び認証方法 |
| WO2008037638A1 (en) | 2006-09-27 | 2008-04-03 | Nokia Siemens Networks Gmbh & Co. Kg | Intelligent location tracking based on predictive modelling |
| US8014755B2 (en) | 2007-01-05 | 2011-09-06 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
| US20080207181A1 (en) | 2007-02-28 | 2008-08-28 | Roamware | Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication |
| EP1983787B1 (en) | 2007-04-19 | 2012-11-28 | Nokia Siemens Networks Oy | Transmission and distribution of position- and/or network-related information from access networks |
| WO2008138440A2 (en) | 2007-05-16 | 2008-11-20 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
| US20090045251A1 (en) | 2007-08-14 | 2009-02-19 | Peeyush Jaiswal | Restricting bank card access based upon use authorization data |
| US8255090B2 (en) | 2008-02-01 | 2012-08-28 | Energyhub | System and method for home energy monitor and control |
| US20110063126A1 (en) | 2008-02-01 | 2011-03-17 | Energyhub | Communications hub for resource consumption management |
| CN101471797B (zh) | 2008-03-31 | 2012-05-30 | 华为技术有限公司 | 决策方法及系统和策略决策单元 |
| WO2009134265A1 (en) | 2008-05-01 | 2009-11-05 | Lucent Technologies Inc | Message restriction for diameter servers |
| US8326265B2 (en) | 2008-10-17 | 2012-12-04 | Tekelec Netherlands Group, B.V. | Methods, systems, and computer readable media for detection of an unauthorized service message in a network |
| US9038171B2 (en) | 2008-10-20 | 2015-05-19 | International Business Machines Corporation | Visual display of website trustworthiness to a user |
| CN101742445A (zh) | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
| US9344438B2 (en) | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
| WO2010105099A2 (en) | 2009-03-11 | 2010-09-16 | Tekelec | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
| US8615217B2 (en) | 2009-06-25 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
| JP5424314B2 (ja) | 2009-07-21 | 2014-02-26 | 日本電気株式会社 | フェムトセル用基地局、ゲートウェイシステム、mapgw装置、通信システム、方法および装置のプログラム |
| US9818121B2 (en) | 2009-07-31 | 2017-11-14 | Visa International Space Association | Mobile communications message verification of financial transactions |
| CA2777154C (en) | 2009-10-09 | 2015-07-21 | Consert Inc. | Apparatus and method for controlling communications to and from utility service points |
| CN102656845B (zh) | 2009-10-16 | 2015-04-01 | 泰克莱克股份有限公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| KR20110055888A (ko) | 2009-11-20 | 2011-05-26 | 삼성전자주식회사 | 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템 |
| US20110173122A1 (en) | 2010-01-09 | 2011-07-14 | Tara Chand Singhal | Systems and methods of bank security in online commerce |
| US8505081B2 (en) | 2010-01-29 | 2013-08-06 | Qualcomm Incorporated | Method and apparatus for identity reuse for communications devices |
| US9185510B2 (en) | 2010-03-03 | 2015-11-10 | Tekelec, Inc. | Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers |
| US20110225091A1 (en) | 2010-03-12 | 2011-09-15 | Franco Plastina | Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information |
| US20110307381A1 (en) | 2010-06-10 | 2011-12-15 | Paul Kim | Methods and systems for third party authentication and fraud detection for a payment transaction |
| US8620263B2 (en) | 2010-10-20 | 2013-12-31 | Tekelec, Inc. | Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control |
| US20120203663A1 (en) | 2011-02-07 | 2012-08-09 | Carpadium Consulting Pty. Ltd. | Method and apparatus for authentication utilizing location |
| US8693423B2 (en) | 2011-02-16 | 2014-04-08 | Tekelec, Inc. | Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery |
| WO2012158854A1 (en) | 2011-05-16 | 2012-11-22 | F5 Networks, Inc. | A method for load balancing of requests' processing of diameter servers |
| US9713053B2 (en) | 2011-07-06 | 2017-07-18 | Mobileum, Inc. | Network traffic redirection (NTR) in long term evolution (LTE) |
| US9060263B1 (en) | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
| CN103179504B (zh) | 2011-12-23 | 2015-10-21 | 中兴通讯股份有限公司 | 用户合法性判断方法及装置、用户接入信箱的方法和系统 |
| US20130171988A1 (en) | 2012-01-04 | 2013-07-04 | Alcatel-Lucent Canada Inc. | Imsi mcc-mnc best matching searching |
| EP2675203B1 (en) | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
| US9015808B1 (en) | 2012-07-11 | 2015-04-21 | Sprint Communications Company L.P. | Restricting mobile device services between an occurrence of an account change and acquisition of a security code |
| US9774552B2 (en) | 2013-03-14 | 2017-09-26 | Qualcomm Incorporated | Methods, servers and systems for verifying reported locations of computing devices |
| EP2979462B1 (en) | 2013-03-29 | 2019-05-22 | Mobileum Inc. | Method and system for facilitating lte roaming between home and visited operators |
| US10115135B2 (en) | 2013-07-03 | 2018-10-30 | Oracle International Corporation | System and method to support diameter credit control session redirection using SCIM/service broker |
| US9191803B2 (en) | 2013-09-04 | 2015-11-17 | Cellco Partnership | Connection state-based long term evolution steering of roaming |
| EP2854462B1 (en) * | 2013-09-27 | 2016-03-30 | Telefonaktiebolaget LM Ericsson (publ) | Handling of subscriber deregistration |
| EP2887761B1 (en) | 2013-12-19 | 2018-10-03 | Vodafone Holding GmbH | Verification method for the verification of a Connection Request from a Roaming Mobile Entity |
| US9686343B2 (en) | 2013-12-31 | 2017-06-20 | Amadeus S.A.S. | Metasearch redirection system and method |
| GB2545869A (en) | 2014-09-22 | 2017-06-28 | Globetouch Inc | Trading exchange for local data services |
| WO2016060640A1 (en) | 2014-10-13 | 2016-04-21 | Empire Technology Development Llc | Verification location determination for entity presence confirmation of online purchases |
| DE102014117713B4 (de) | 2014-12-02 | 2016-12-01 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle |
| KR20170122794A (ko) | 2015-03-10 | 2017-11-06 | 어펌드 네트웍스, 인크. | 정책 서버로부터의 향상된 리다이렉션 핸들링 |
| CN106332067B (zh) | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| US9538335B1 (en) | 2015-07-22 | 2017-01-03 | International Business Machines Corporation | Inferring device theft based on historical location data |
| US10292038B2 (en) | 2015-11-09 | 2019-05-14 | Lg Electronics Inc. | Method for acquiring business operator network identification number of visited network |
| US9628994B1 (en) | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
| US20170345006A1 (en) | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and methods for location data verification |
| US11395092B2 (en) | 2016-07-18 | 2022-07-19 | Here Global B.V. | Device location verification for updated map data |
| CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
| US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
| US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
| US10212538B2 (en) | 2017-06-28 | 2019-02-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating user equipment (UE) location |
| US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
| US10021738B1 (en) | 2017-09-05 | 2018-07-10 | Syniverse Technologies, Llc | Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks |
| US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
| US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
-
2018
- 2018-06-29 US US16/024,422 patent/US10931668B2/en active Active
-
2019
- 2019-04-23 CN CN201980043959.4A patent/CN112335271B/zh active Active
- 2019-04-23 EP EP19730571.7A patent/EP3815415A1/en active Pending
- 2019-04-23 JP JP2020572898A patent/JP7246418B2/ja active Active
- 2019-04-23 WO PCT/US2019/028814 patent/WO2020005374A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917698A (zh) * | 2010-08-20 | 2010-12-15 | 北京瑞格特软件技术有限公司 | 与3gpp协议兼容的提供移动设备用户信息的方法及系统 |
| CN107925863A (zh) * | 2015-11-10 | 2018-04-17 | 日本电气株式会社 | 通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7246418B2 (ja) | 2023-03-27 |
| EP3815415A1 (en) | 2021-05-05 |
| US10931668B2 (en) | 2021-02-23 |
| JP2021529475A (ja) | 2021-10-28 |
| WO2020005374A1 (en) | 2020-01-02 |
| US20200007538A1 (en) | 2020-01-02 |
| CN112335271A (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112335271B (zh) | 用于网络节点验证的方法、系统和计算机可读介质 | |
| US10470154B2 (en) | Methods, systems, and computer readable media for validating subscriber location information | |
| CN110800267B (zh) | 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 | |
| CN112425190B (zh) | 用于使用7号信令系统ss7信号传输点stp验证访客位置寄存器vlr的方法、系统和计算机可读介质 | |
| US11622255B2 (en) | Methods, systems, and computer readable media for validating a session management function (SMF) registration request | |
| US11770694B2 (en) | Methods, systems, and computer readable media for validating location update messages | |
| US11700510B2 (en) | Methods, systems, and computer readable media for short message delivery status report validation | |
| Holtmanns et al. | User location tracking attacks for LTE networks using the interworking functionality | |
| US8428553B2 (en) | Method and apparatus for protecting a core network | |
| EP3404888B1 (en) | Privacy protection capabilities | |
| EP3488627B1 (en) | Proof-of-presence indicator | |
| FI130228B (en) | AUTOMATED SCAM DETECTION | |
| KR102440411B1 (ko) | 비정상 로밍 요청 탐지 방법 및 장치 | |
| CN112567779A (zh) | 用diameter边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |