CN114902714B - 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 - Google Patents
使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN114902714B CN114902714B CN202080091056.6A CN202080091056A CN114902714B CN 114902714 B CN114902714 B CN 114902714B CN 202080091056 A CN202080091056 A CN 202080091056A CN 114902714 B CN114902714 B CN 114902714B
- Authority
- CN
- China
- Prior art keywords
- message
- gtp
- ccr
- imsi
- extracted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 99
- 230000011664 signaling Effects 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000005641 tunneling Effects 0.000 title claims description 6
- 235000019832 sodium triphosphate Nutrition 0.000 title description 6
- 238000004578 scanning tunneling potentiometry Methods 0.000 title description 5
- 230000004044 response Effects 0.000 claims abstract description 43
- 238000012216 screening Methods 0.000 claims description 16
- 238000012546 transfer Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W64/00—Locating users or terminals or network equipment for network management purposes, e.g. mobility management
- H04W64/003—Locating users or terminals or network equipment for network management purposes, e.g. mobility management locating network equipment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于实现间接的GTP防火墙过滤的方法包括:使用信令消息路由节点,利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的IMSI和VPLMN ID来动态地填充间接GTP核心GTP‑C防火墙过滤数据库。该方法还包括接收响应于GTP‑C消息而生成的信用控制请求初始CCR‑I消息。该方法还包括从CCR‑I消息中提取IMSI和VPLMN ID。该方法还包括使用从CCR‑I消息中提取的IMSI来访问间接GTP‑C防火墙过滤数据库。该方法还包括确定间接GTP‑C防火墙过滤数据库中存在与IMSI对应的记录。该方法还包括确定记录中的VPLMN ID与从CCR‑I消息中提取的VPLMN ID不匹配。该方法还包括响应于确定记录中的VPLMN ID与从CCR‑I消息中提取的VPLMN ID不匹配,拒绝CCR‑I消息。
Description
优先权要求
本申请要求于2019年12月31日提交的美国专利申请序列No.16/732,098的优先权权益,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及为GTP核心(GTP-C)信令流量实现防火墙功能。更具体地,本文描述的主题涉及用于实现间接的GTP防火墙过滤以使用一个或多个Diameter代理和STP来防止基于欺诈的攻击而不拦截GTP-C漫游信令的方法、系统和计算机可读介质。
背景技术
GTP是一组基于IP的通信协议,用于在全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和5G网络内承载GPRS流量。GTP-C在演进分组核心(EPC)网络内被用于服务网关(SGW)和分组网关(PGW)之间的信令。GTP-C控制平面消息在SGW和PGW之间交换,以将服务网关能力信息传送给PGW、创建更新和删除GTP隧道,以及用于路径管理。
由于PGW被用于互联网流量,因此它可能会受到来自于冒充为出站漫游订户(outbound roaming subscriber)提供服务的SGW的节点的基于欺诈的攻击。出站漫游订户是服务提供商网络的、正在另一个服务提供商的网络中漫游的订户。出站漫游订户可以与入站漫游订户区分开来,在入站漫游订户中,另一个网络的订户正在服务提供商的归属网络中漫游。与出站移动订户相关的信令尤其容易受到基于欺诈的攻击,因为冒充为特定订户提供服务的服务网关或移动性管理实体(MME)的攻击者可能使用该订户的国际移动订户身份(IMSI)来冒充订户,该国际移动订户身份(IMSI)可能不难获得。通过使用真实订户的IMSI,攻击者可以与分组网关建立GTP会话,并至少拒绝向真实订户提供服务。攻击者还可以从订户的归属网络(home network)获得订户信息。防范此类攻击的一种可能方式是在归属网络的PGW上实现GTP-C防火墙功能。然而,考虑到可能部署在网络上的PGW的数量以及PGW的处理资源,在PGW处实现GTP-C防火墙功能可能对网络运营商来说是一种负担。例如,如果PGW被配备为对GTP-C消息进行筛查(screening),那么PGW可能必须联系归属订户服务器(HSS)来核实订户是否正在外漫游,然后确定是否允许来自该漫游网络的特定MME或服务网关(SGW)的GTP-C会话。这样的处理对PGW和HSS二者来说都是负担。PGW将需要拦截GTP-C信令、查询HSS、接收来自HSS的响应,并基于该响应来确定是否允许GTP会话。这将是非标准的PGW行为,因为在PGW和HSS之间不存在现有的标准所定义的接口。HSS需要处理来自网络中每个PGW的针对每个GTP-C会话的查询和响应。
因此,需要在不拦截GTP-C漫游信令的情况下以减少核心网络节点上的处理负担的方式来实现GTP防火墙功能。
发明内容
一种用于实现间接的GTP防火墙过滤的方法包括:使用信令消息路由节点,利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的IMSI和VPLMN ID,来动态地填充间接GTP-C防火墙过滤数据库。该方法还包括接收响应于GTP-C消息而生成的CCR-I消息。该方法还包括从CCR-I消息中提取IMSI和VPLMN ID。该方法还包括使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库。该方法还包括确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中。该方法还包括确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配。该方法还包括,响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配,拒绝CCR-I消息。
根据本文描述的主题的另一方面,使用信令消息路由节点来动态地填充间接GTP-C防火墙过滤数据库包括:在信令消息路由节点处,接收Diameter更新位置请求(ULR)消息、从Diameter ULR消息中提取IMSI和VPLMN ID、临时地存储从Diameter ULR消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的,以及响应于确定对订户的位置的更新是成功的,在间接GTP-C防火墙过滤数据库中将从Diameter ULR消息中提取的VPLMN ID与从Diameter ULR消息中提取的IMSI相关联。
根据本文描述的主题的又一方面,信令消息路由节点包括Diameter边缘代理(DEA)。
根据本文描述的主题的又一方面,信令消息路由节点包括Diameter中继代理(DRA)。
根据本文描述的主题的又一方面,动态地填充间接GTP-C防火墙过滤数据库包括:在信令消息路由节点处,接收移动应用部分(MAP)更新位置请求消息、从MAP更新位置请求消息中提取IMSI和VPLMN ID、临时地存储从MAP更新位置请求消息中提取的IMSI和VPLMNID、确定对订户的位置的更新是成功的,以及响应于确定对订户的位置的更新是成功的,在间接GTP-C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID相关联。
根据本文描述的主题的又一方面,信令消息路由节点包括信号传输点(STP)。
根据本文描述的主题的又一方面,间接GTP-C防火墙过滤数据库在与信令消息路由节点分开的计算平台上实现。
根据本文描述的主题的又一方面,间接GTP-C防火墙过滤数据库与信令消息路由节点共置(co-located)。
根据本文描述的主题的又一方面,间接GTP-C防火墙过滤数据库位于与信令消息路由节点以及归属位置寄存器(HLR)或归属订户服务器(HSS)分开的计算平台上。
根据本文描述的主题的又一方面,用于间接GTP-C防火墙过滤的方法包括:利用从移动性管理信令消息中提取的国际移动装备标识符(IMEI)来动态地填充GTP-C防火墙过滤数据库、从CCR-I消息中提取IMEI值,以及使用GTP-C防火墙过滤数据库中的IMEI来筛查CCR-I消息。
根据本文描述的主题的又一方面,一种用于实现间接通用分组无线电服务(GPRS)隧道协议(GTP)防火墙过滤的系统。该系统包括间接GTP核心(GTP-C)防火墙过滤数据库。该系统还包括至少一个信令消息路由节点,其被配置为:使用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符(IMSI)和访问的公共陆地移动网络标识符(visited public land mobile network identifier,VPLMN ID)来动态地填充间接GTP-C防火墙过滤数据库、接收响应于GTP-C消息而生成的信用控制请求初始(creditcontrol request-initial,CCR-I)消息、从CCR-I消息中提取IMSI和VPLMN ID、使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库、确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中、确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配,以及响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配而拒绝CCR-I消息。
根据本文描述的主题的又一方面,至少一个信令消息路由节点被配置为通过以下操作来动态地填充间接GTP-C防火墙过滤数据库:接收Diameter更新位置请求(ULR)消息、从Diameter ULR消息中提取IMSI和VPLMN ID、临时地存储从Diameter ULR消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的,以及响应于确定对订户的位置的更新是成功的,在间接GTP-C防火墙过滤数据库中将从Diameter ULR消息中提取的VPLMN ID与从Diameter ULR消息中提取的IMSI相关联。
根据本文描述的主题的又一方面,至少一个信令消息路由节点包括Diameter边缘代理(DEA)。
根据本文描述的主题的又一方面,至少一个信令消息路由节点包括Diameter中继代理(DRA)。
根据本文描述的主题的又一方面,至少一个信令消息路由节点被配置为通过以下操作来动态地填充间接GTP-C防火墙过滤数据库:接收移动应用部分(MAP)更新位置请求消息、从MAP更新位置请求消息中提取IMSI和VPLMN ID、临时地存储从MAP更新位置请求消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的,以及响应于确定对订户的位置的更新是成功的,在间接GTP-C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID相关联。
根据本文描述的主题的又一方面,至少一个信令消息路由节点包括用于动态地填充GTP-C防火墙过滤数据库的信号传输点(STP)和Diameter代理,用于接收响应于GTP-C消息而生成的CCR-I消息、从CCR-I消息中提取IMSI和VPLMN ID、使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库、确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中、确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配,以及响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配而拒绝CCR-I消息。
根据本文描述的主题的又一方面,间接GTP-C防火墙过滤数据库与信令消息路由节点共置。
根据本文描述的主题的又一方面,间接GTP-C防火墙过滤数据库位于与信令消息路由节点以及归属位置寄存器(HLR)或归属订户服务器(HSS)分开的计算平台上。
根据本文描述的主题的又一方面,至少一个信令消息路由节点被配置为使用从移动性管理信令消息中提取的国际移动装备标识符(IMEI)来动态地填充GTP-C防火墙过滤数据库、从CCR-I消息中提取IMEI值,以及使用GTP-C防火墙过滤数据库中的IMEI来筛查CCR-I消息。
根据本文描述的主题的又一方面,提供了一种非暂态计算机可读介质,其上存储有可执行指令,该指令在由计算机的处理器执行时,控制计算机执行步骤。这些步骤包括:使用信令消息路由节点,利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符(IMSI)和访问的公共陆地移动网络标识符(VPLMN ID),来动态地填充间接通用分组无线电服务(GPRS)隧道协议核心(GTP-C)防火墙过滤数据库。这些步骤还包括接收响应于GTP-C消息而生成的信用控制请求初始(CCR-I)消息。这些步骤还包括从CCR-I消息中提取IMSI和VPLMN ID。这些步骤还包括使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库。这些步骤还包括确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中。这些步骤还包括确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMNID不匹配。这些步骤还包括:响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMNID不匹配而拒绝CCR-I消息。
本文描述的主题可以用硬件、软件、固件或其任何组合来实现。由此,如本文使用的术语“功能”、“节点”或“模块”是指硬件,其还可以包括软件和/或固件组件,用于实现所描述的特征。在一个示例性实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,该指令在由计算机的处理器执行时,控制计算机执行步骤。适用于实现本文描述的主题的示例性计算机可读介质包括非暂态计算机可读介质,诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
图1是图示出站漫游订户在4G网络中与归属网络执行更新位置过程的示例性消息传递的网络图;
图2是图示用于在4G网络中为出站漫游订户验证GTP-C创建会话请求的示例性消息传递的网络图;
图3是图示与在第二代/第三代(2G/3G)网络中的出站漫游订户与归属网络执行更新位置过程相关联的示例性消息传递的网络图;
图4是图示与验证2G/3G网络中的出站漫游订户的GTP PDP上下文创建请求相关联的示例性消息传递的网络图;
图5是图示DEA/DRA/STP节点的示例性体系架构的框图,该节点用于创建GTP-C筛查数据库并用于使用该数据库来实现GTP-C防火墙功能而不拦截GTP-C信令;
图6是图示用于动态地将条目填充到GTP-C筛查数据库的示例性过程的流程图;以及
图7是图示用于在不拦截GTP-C漫游信令的情况下实现GTP-C防火墙功能的示例性过程的流程图。
具体实施方式
本文描述的主题使用由DEA、DRA和/或STP填充的间接GTP-C防火墙过滤数据库并使用该数据库来筛查GTP-C流量而不拦截GTP-C漫游信令,从而实现GTP-C防火墙功能。当攻击者试图伪装成服务于合法出站漫游订户的节点时,这样的数据库提供基于GTP-C信令的欺诈检测。由于该解决方案不需要拦截GTP-C漫游信令流量,因此简化了PGW的实现。本文描述的解决方案提供了基于响应于GTP-C漫游信令流量而发送到DEA和DRA的Diameter消息来间接地检测DEA和DRA处的欺诈性GTP-C漫游信令流量的能力。DEA和DRA可以接收响应于攻击者发送的GTP-C会话创建请求而生成的创建连接请求消息。DEA和DRA可以利用订户PLMN信息,该订户PLMN信息是从Diameter位置更新信令事务所获得的并在间接GTP-C防火墙过滤数据库中维护,或是从SS7信号消息传递流量获得的订户漫游信息中所获得的并由STP存储在间接GTP-C防火墙过滤数据库中。
如上所述,GTP-C流量被用于会话管理、信息管理和位置管理,其使得UE能够访问互联网。通过为此类流量提供高效的筛查机制,核心网络安全性得以增强,并且是以比基于GTP-C流量在PGW处实现此类筛查更加高效的方式。
图1是图示与执行更新位置过程的出站漫游订户相关联的示例性网络节点和消息传递的网络图。参考图1,当订户漫游到所访问的网络时,移动性管理实体(MME)或服务GPRS支持节点(SGSN)100将发起与核心网络的Diameter更新位置事务。在所示示例中,MME/SGSN100向订户的归属网络发送更新位置请求。该更新位置请求旨在通过归属网络中的归属订户服务器(HSS)102来更新订户的位置。具体地,根据第三代合作伙伴计划(3GPP)TS29.272,更新位置过程在MME和HSS之间以及SGSN和HSS之间被使用,以更新HSS中的位置信息。下面所示的表1图示了可以包括在更新位置请求消息中的示例性参数。
/>
/>
表1:更新位置请求AVP
在表1中可以看出,更新位置请求消息包括作为强制性参数的订户的IMSI和访问的PLMN标识符。这些参数可以被用于执行间接GTP-C防火墙过滤,如下文将详细描述的。另一个可能是可以被用于执行间接GTP-C防火墙过滤的更多信息元素的参数是IMEI。
DEA 104从MME/SGSN 100接收更新位置请求消息,并且可以临时地存储IMSI、访问的PLMN(VPLMN)ID和IMEI,直到该信息被HSS验证。DEA 104初始地可能不会将这些参数存储在其间接GTP-C防火墙过滤数据库中的一个原因是更新位置请求消息可能是由攻击者发起的。只有在HSS成功验证之后,DEA 104才会将标识出站漫游订户的位置的这些参数存储在其GTP-C筛查数据库中。
在呼叫流程图的步骤2中,DEA 104将ULR消息转发到核心Diameter中继代理(DRA)106。在步骤3中,核心DRA 106将S6A ULA消息转发到HSS 102。
HSS 102可以验证ULR消息,并且,如果验证成功,那么更新在HSS 102维护的数据库中的订户的位置。在步骤4中,HSS 102向核心DRA 106发送指示成功更新订户位置的更新位置应答(ULA)消息。在步骤5中,核心DRA 106将此S6A ULA消息转发到DEA 104。在步骤6中,DEA 104用先前从ULR消息中提取的IMSI、VPLMN ID(以及可选地,IMEI)来更新间接GTP-C防火墙过滤数据库108。如下文将更详细描述的,间接GTP-C防火墙过滤数据库108中的记录将被用于筛查GTP-C流量而不需要拦截GTP-C流量。在步骤7中,DEA 104将ULA消息转发到MME/SGSN 100。
还应该注意的是,图1还包括STP 110。STP 110也可以利用从SS7信令消息中获得的订户位置信息来动态地填充间接GTP-C防火墙过滤数据库108。
下面所示的表2图示了在图2中所示的呼叫流程之后可以在间接GTP-C防火墙过滤数据库108中填充的条目的示例。
IMSI | VPLMN ID | IMEI |
IMSI_1 | 访问的网络X | IMEI_1 |
表2:间接GTP-C防火墙过滤数据库记录示例
在表2中,该记录包括出站漫游订户的IMSI、访问的网络的身份(即,VPLMN ID)和IMEI。
一旦利用订户信息填充了数据库,该数据库就可以被用于筛查GTP-C消息。图2是图示使用间接GTP-C防火墙过滤数据库108来间接筛查GTP-C消息的网络和消息流程图。参考图2,在步骤1中,攻击者伪装成为虚构的出站移动订户提供服务的服务网关。这种攻击的目的可能是在攻击者和核心网络节点(诸如分组网关202之类)之间创建会话以将攻击流量发送到核心网络。攻击者通过发送带有IMSI和服务网络的VPLMN ID的GTP-C创建会话请求消息来发起攻击。在一个示例中,IMSI可以是在网络中实际供给的订户的IMSI,并且VPLMNID可以是与攻击者对应的虚假网络而不是当前服务于该出站漫游订户的网络。作为分组数据网络会话建立过程的一部分,GTP-C创建会话请求被发送到归属网络分组网关202。GTP-C创建会话请求可以包括存储有VPLMN ID的用户位置信息元素。如果GTP-C创建连接请求是来自真实出站漫游订户的合法创建连接请求,那么该VPLMN ID可以是订户正在其中漫游的VPLMN的ID。然而,如果GTP-C创建连接请求源自攻击者,那么VPLMN ID可能是标识攻击者所位于的网络的VPLMN。GTP-C创建连接请求中可能包含的附加信息元素是IMSI,IMSI包含UE的15位标识符。在这个示例中,假设攻击者已经获得真实出站漫游订户的IMSI,并在GTP-C创建会话请求中插入虚假VPLMN ID。
在消息流程图的步骤2中,PGW 202接收GTP-C创建会话请求,并且作为响应,制定并发送信用控制请求初始(CCR-I)消息,该CCR-I消息寻址到策略和计费规则功能(PCRF)204。CCR-I消息从PGW发送到PCRF,以便为承载者请求策略和计费控制规则,并供给IP流移动性路由规则。CCR-I消息包含订阅ID属性值对(ADP),其存储订户的IMSI。CCR-I消息还包括3GPP-location-info AVP,其存储对订户的当前位置的指示,诸如为订户服务的网络的VPLMN ID。在这个示例中,VPLMN ID可以是由SGW 200插入的VPLMN ID,而不是为订户服务的实际VPLMN ID。
在消息流程图的步骤3中,DRA 106使用在CCR-I消息中接收到的IMSI来在间接GTP-C防火墙过滤数据库108中执行查找。在这个示例中,假设记录存在于间接GTP-C防火墙过滤数据库108中并且VPLMN ID存在于该记录中。相应地,DRA 106从间接GTP-C防火墙过滤数据库108检索出与该IMSI对应的VPLMN ID。在消息流程图的步骤4中,DRA 106将从数据库记录中提取的VPLMN ID与在CCR-I消息中接收到的VPLMN ID进行比较。在这个示例中,假设在数据库108中为该IMSI所存储的VPLMN ID与在CCR-I消息中接收到的VPLMN ID不同。因此,在步骤5中,DRA 108向PGW 202发送指示与VPLMN ID不相匹配的消息,或者,替代地,如果数据库108中不存在与IMSI对应的记录,那么发送指示未找到记录的消息。从核心DRA106到PGW 202的消息可以是信用控制应答初始(CCA-I)消息,其具有指示应该拒绝该GTP-C创建会话请求的结果代码。在消息流程图的步骤6中,PGW 202创建并向SGW 200发送GTP-C创建会话响应,其具有指示APN访问被拒绝-未订阅的错误代码。
因此,通过使用图2中的步骤,从Diameter更新位置事务获得的订户漫游数据被用于间接地筛查欺诈性GTP-C流量。这种方法比直接在PGW 202处实现筛查(要求PGW 202询问HLR或HSS以获得订户的位置或将订户的位置本地存储在PGW处)更优。在这样的示例中,DEA和/或DRA可以在不拦截GTP消息的情况下执行基于GTP的欺诈检测。图1和图2中所示的解决方案避免了移动网络运营商对专用GTP防火墙的需求。相反,DEA 104和/或DRA 106通过对响应于GTP-C创建会话请求流量而生成的创建连接请求流量进行阻止来间接地实现GTP防火墙。
虽然在图1和图2中所示的示例中,DEA使用订户的当前位置来动态地填充间接GTP-C防火墙过滤数据库108,并且DRA 106使用数据库108中的记录来执行GTP-C防火墙功能,但是本文描述的主题不限于这样的实施方式。在替代实施方式中,DEA 104可以用从更新位置事务中获得的订户位置信息来动态地填充间接GTP-C防火墙过滤数据库108,并且DEA 104可以使用存储在数据库108中的这些记录来筛查创建连接流量。
在又一个替代实施方式中,可以使用由信号传输点(诸如STP 110)所获得的订户位置信息来填充数据库108。图3是图示与使用由STP 110获得的订户位置信息来填充间接GTP-C防火墙过滤数据库108相关联的示例性消息传递的网络图。参考图3,在消息流程图的第1行中,当订户漫游到所访问的2G或3G网络中时,为访问的网络中的漫游订户提供服务的访问者位置寄存器(VLR)300向该订户的归属网络中的归属位置寄存器(HLR)302发送移动应用部分(MAP)更新位置请求。该map更新位置请求消息包括订户的IMSI和标识订户当前正在漫游的访问的网络x的VPLMN ID。STP 110接收该map更新位置请求,并临时地存储用于此事务的该IMSI和VPLMN ID。在消息流程图的第2行中,STP 110将MAP更新位置请求转发到HLR 302。HLR 302验证该更新位置请求,并且如果得到验证,则在其本地位置数据库中更新该订户的位置。
在消息流程图的第3行中,HLR 302向VLR 300发送指示订户位置成功更新的MAP更新位置响应。HLR 302将更新位置响应转发到STP 110。
在消息流程图的步骤4中,响应于接收到map更新位置请求,STP 110利用由STP110先前存储的IMSI和VPLMN ID来更新间接GTP-C防火墙过滤数据库108。更新间接GTP-C防火墙过滤数据库108可以包括确定是否存在与该IMSI对应的记录。如果存在与该IMSI对应的记录,那么STP 110可以利用在map更新位置请求消息中接收到的VPLMN ID来更新记录中的VPLMN ID。如果数据库108不包括与IMSI对应的记录,那么STP 110可以在数据库中创建新记录,该新记录将该IMSI映射到在更新位置请求消息中接收到的VPLMN ID。STP 110也可以将IMEI存储在记录中。在被更新或被新创建后,记录可能会如上表1中所示。
与图1中所示的示例类似,STP 110仅在从HLR接收到更新位置事务已成功的确认后才用VPLMN ID和IMSI之间的映射来填充数据库108。等待直到接收到更新位置事务成功的确认的原因是降低攻击者可能冒充VLR 300并用订户的虚假位置信息填充数据库108的可能性。
此外,在图3中所示的示例中,数据库108是由STP填充的。可以理解,数据库108可以由物理或虚拟STP填充而不脱离本文描述的主题的范围。这种STP可以是驻留在服务提供商的网络中的物理现场部署节点,或者是驻留在由服务提供商或云服务提供商托管的网络云中的虚拟STP。
图4是图示用于为2G/3G网络中的出站漫游订户筛查GTP-C流量的示例性消息传递的网络和消息流程图。参考图4,攻击者伪装成为2G或3G访问的网络中的出站移动订户提供服务的SGSN 400。攻击者在步骤1中通过向位于订户的归属网络中的GGSN 402发送GTP-C创建PDP上下文请求消息来开始攻击。该GTP-C创建PDP上下文请求包括IMSI以及在本示例中标识攻击者的网络的VPLMN ID,而不是当前对与该IMSI对应的订户进行服务的VPLMN ID。
GGSN 402接收GTP-C创建PDP上下文请求消息,并制定CCR-I消息并将该CCR-I消息发送给PCRF 204。CCR-I消息包括来自GTP-C消息的IMSI、VPLMN ID和IMEI。GGSN 402将CCR-I消息转发到DRA 106。
在消息流程图的步骤4中,DRA 106将存储在间接GTP-C防火墙过滤数据库108中的与该IMSI对应的VPLMN ID与从CCR-I消息中提取的VPLMN ID进行比较。在本示例中,假设IMSI和VPLMN ID之间不匹配。因此,在第5行,DRA 106通过向GGSN 402发送具有5XXX响应代码的CCA-I消息来拒绝该CCR-I消息。响应于接收到具有该拒绝响应代码的CCA-I消息,GGSN402向攻击者400发送指示APN访问被拒绝-未订阅的创建PDP上下文响应。因此,通过使用图4中所示的步骤,由STP填充的数据库可以被用来筛查在访问的2G或3G网络中伪装成SGSN的攻击者。
图5是图示用于实现上文关于图1至图4描述的主题的DEA/DRA/STP 104、106或110的示例性内部体系架构的框图。在图5中所示的示例中,DEA/DRA/STP 104、106或110包括Diameter路由以及SS7路由能力。可以理解,这些功能可以在同一真实或虚拟网络节点中实现,或者可以在分开的网络节点中实现。参考图5中所示的体系架构,DEA/DRA/STP 104、106或110包括多个消息处理器(MP)500、502、504和506。每个消息处理器500、502、504和506包括至少一个处理器508和存储器510。每个消息处理器500、502、504和506可以使用印刷电路板和用于互连安装在电路板上的部件的对应迹线来实现。消息处理器500、502、504和506可以使用内部通信介质512相互通信,该内部通信介质在一个示例中是以太网通信介质。
消息处理器500实现DEA和/或DRA功能。因此,消息处理器500包括实现diameter连接和路由功能的Diameter协议栈514。因此,Diameter栈514可以发起或响应与Diameter对等方的Diameter连接,并基于消息中的Diameter层信息来对消息进行路由。
消息处理器502实现SS7路由功能。因此,消息处理器502包括SS7协议栈516,用于基于消息中的消息传输部分(MTP)级别3信息来对SS7消息进行路由。SS7栈516还可以实现用于在IP网络上携带SS7消息的SIGTRAN协议。
消息处理器504和506各自使用间接GTP-C防火墙过滤数据库108来实现GTP-C防火墙功能。在所示示例中,消息处理器504和506可以相同地供给有GTP防火墙数据库108的副本,并且消息处理器500和502可以在消息处理器500和506之间对需要GTP-C防火墙筛查的消息进行负载平衡。此外,每个消息处理器504和506包括间接GTP-C防火墙过滤数据库控制器/筛查器518,用于使用填充在数据库108中的订户位置信息来对创建连接请求消息进行筛查,以及用于使用从漫游订户的Diameter或SS7更新位置信息接收到的信息来动态地填充数据库108。
图6是图示用于动态地填充间接GTP-C防火墙过滤数据库的示例性过程的流程图。参考图6,在步骤600中,接收到用于更新出站漫游订户的位置的移动性管理。例如,如果网络使用Diameter来更新订户的位置,那么该移动性管理消息可以是来自为漫游移动订户服务的MME或SGSN的用于更新存储在HSS中的订户位置的更新位置请求消息。如果网络使用SS7消息传递来更新订户位置,那么该移动性管理消息可以是来自VLR的用于向HLR更新订户位置的MAP更新位置请求。
在步骤602中,该过程包括从消息中提取VPLMN ID和IMSI并临时地存储它们。例如,DEA 104、DRA 106或STP 110可以将从Diameter或SS7更新位置请求中提取出的订户的IMSI和VPLMN ID临时地存储在DEA 104、DRA 106或STP 110本地的存储器中。在步骤604中,确定更新位置是否成功。例如,DEA 104、DRA 106或STP 110可以从HLR或HSS接收更新位置应答或响应消息,该更新位置应答或响应消息指示成功地或不成功地向HLR或HSS更新订户位置。如果更新位置应答或请求消息指示对订户位置的更新是不成功的,那么控制进行到步骤606,在该步骤中,在步骤602中存储的IMSI和VPLMN ID被丢弃。
如果在步骤604中确定更新位置事务是成功的,那么控制进行到步骤608,在该步骤中,使用IMSI来访问间接GTP-C防火墙过滤数据库。例如,DEA 104、DRA 106或STP 110可以使用从更新位置消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库108。
在步骤610处,确定数据库中是否存在记录。如果数据库中存在记录,那么控制进行到步骤612,在该步骤中,用来自消息的VPLMN ID来更新记录。如果不存在记录,那么控制进行到步骤614,在该步骤中,新记录被添加,该新纪录将IMSI映射到来自消息的VPLMN ID。
图7图示了使用动态填充的间接GTP-C防火墙过滤数据库来实现GTP-C欺诈检测和筛查的示例性过程。参考图7,在步骤700中,接收到响应于GTP-C创建上下文请求消息而生成的CCR-I消息。例如,DEA 104或DRA 106可能从合法订户或从攻击者接收到与GTP-C创建上下文请求相关的CCR-I消息。
在步骤702中,该过程包括从消息中提取IMSI、VPLMN ID和IMEI。在步骤704中,使用该IMSI来访问间接GTP-C防火墙过滤数据库。
在步骤706中,如果存在记录,那么控制进行到步骤708,在该步骤中,确定来自消息的VPLMN ID是否与数据库记录中的VPLMN ID匹配。如果VPLMN ID与数据库记录中的VPLMN ID不匹配,那么控制进行到步骤710,在该步骤中,该CCR-I消息被拒绝。如果消息中的VPLMN ID与数据库中为IMSI存储的VPLMN ID匹配,那么控制进行到步骤712,在该步骤中,将CCR-I消息转发到PCRF。例如,DEA 104或DRA 106可以将CCR-I消息转发到PCRF 204。PCRF 204可以为会话确定适当的策略,并利用指示会话成功建立的信用控制请求-应答(CCR-A)消息来进行响应。DEA 104或DRA 106可以将该CCR-A消息转发到发送了该CCR-I消息的网关GPRS支持节点(GGSN)。该GGSN可以对GTP-C消息进行响应,指示成功创建PDP上下文。
因此,通过使用本文描述的过程,动态填充的间接GTP-C防火墙过滤数据库可以被DRA、DEA和/或STP访问,并且被用于间接实现GTP-C防火墙。这样的实施方式不需要拦截GTP-C信令流量或由PGW实现GTP-C筛查功能。此外,由于间接GTP-C防火墙过滤数据库是基于从订户的归属HLR或HSS接收到的应答消息而动态供给的,因此与手动填充方法相比,填充数据库所需的工作减少。
以下每个参考文献的公开内容通过引用整体并入本文:
参考文献
1.3GPP TS 29.002,“Technical Specification Group Core Network andTerminals;Mobile Application Part(MAP)specification,”(Release 15)V15.5.0(2019-06).
2.3GPP TS 29.212,“Technical Specification Group Core Network andTerminals;Policy and Charging Control(PCC);Reference points,”(Release 16)V16.1.0(2019-09).
3.3GPP TS 29.272,“Technical Specification Group Core Network andTerminals;Evolved Packet System(EPS);Mobility Management Entity(MME)andServing GPRS Support Node(SGSN)related interfaces based on Diameterprotocol,”(Release 16)V16.0.0(2019-09).
应该理解的是,可以改变当前公开的主题的各种细节而不脱离当前公开的主题的范围。此外,以上描述仅用于说明目的,并非用于限制。
Claims (20)
1.一种用于实现间接的通用分组无线电服务GPRS隧道协议GTP防火墙过滤的方法,所述方法包括:
使用信令消息路由节点,利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMNID来动态地填充间接GTP核心GTP-C防火墙过滤数据库,其中使用信令消息路由节点动态地填充间接GTP-C防火墙过滤数据库包括:
从移动性管理信令消息中提取IMSI和VPLMNID;
临时地存储从所述移动性管理信令消息中提取的IMSI和VPLMNID;
确定向订户的归属网络更新订户的位置是成功的;以及
响应于确定对订户的位置的更新是成功的,在所述间接GTP-C防火墙过滤数据库的记录中,将从所述移动性管理信令消息中提取的VPLMN ID与从所述移动性管理信令消息中提取的IMSI进行关联;
接收响应于GTP-C消息而生成的信用控制请求初始CCR-I消息;从所述CCR-I消息中提取IMSI和VPLMNID;
使用从所述CCR-I消息中提取的IMSI来访问所述间接GTP-C防火墙过滤数据库;
确定所述间接GTP-C防火墙过滤数据库中存在与所述IMSI对应的记录;
确定所述记录中的VPLMN ID与从所述CCR-I消息中提取的VPLMNID不匹配;以及
响应于确定所述记录中的VPLMN ID与从所述CCR-I消息中提取的VPLMNID不匹配,拒绝所述CCR-I消息。
2.如权利要求1所述的方法,其中,所述移动性管理信令消息包括Diameter更新位置请求ULR消息。
3.如前述任一项权利要求所述的方法,其中,所述信令消息路由节点包括Diameter边缘代理。
4.如权利要求1-2中的任一项所述的方法,其中,所述信令消息路由节点包括Diameter中继代理DRA。
5.如权利要求1所述的方法,其中,所述移动性管理信令消息包括移动应用部分MAP更新位置请求消息。
6.如权利要求1或5所述的方法,其中,所述信令消息路由节点包括信号传输点STP。
7.如权利要求1、2或5中的任一项所述的方法,其中,所述间接GTP-C防火墙过滤数据库驻留在与所述信令消息路由节点分开的计算平台上。
8.如权利要求1、2或5中的任一项所述的方法,其中,所述间接GTP-C防火墙过滤数据库与所述信令消息路由节点共置。
9.如权利要求1、2或5中的任一项所述的方法,其中,所述间接GTP-C防火墙过滤数据库位于与所述信令消息路由节点分开并且与归属位置寄存器HLR或归属订户服务器HSS分开的计算平台上。
10.如权利要求1、2或5中的任一项所述的方法,还包括:
利用从移动性管理信令消息中提取的国际移动装备标识符IMEI动态地填充所述GTP-C防火墙过滤数据库;
从所述CCR-I消息中提取IMEI值;以及
使用所述GTP-C防火墙过滤数据库中的所述IMEI来筛查所述CCR-I消息。
11.一种用于实现间接通用分组无线电服务GPRS隧道协议GTP防火墙过滤的系统,所述系统包括:
间接GTP核心GTP-C防火墙过滤数据库;以及
至少一个信令消息路由节点,被配置为:利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMN ID来动态地填充所述间接GTP核心GTP-C防火墙过滤数据库;接收响应于GTP-C消息而生成的信用控制请求初始CCR-I消息;从所述CCR-I消息中提取IMSI和VPLMNID;使用从所述CCR-I消息中提取的IMSI来访问所述间接GTP-C防火墙过滤数据库;确定所述间接GTP-C防火墙过滤数据库中存在与所述IMSI对应的记录;确定所述记录中的VPLMNID与从所述CCR-I消息中提取的VPLMNID不匹配;以及,响应于确定所述记录中的VPLMN ID与从所述CCR-I消息中提取的VPLMNID不匹配,拒绝所述CCR-I消息;
其中,所述至少一个信令消息路由节点被配置为通过以下方式动态地填充所述间接GTP-C防火墙过滤数据库:
从移动性管理信令消息中提取IMSI和VPLMNID;
临时地存储从所述移动性管理信令消息中提取的IMSI和VPLMNID;
确定向订户的归属网络更新订户的位置是成功的;以及
响应于确定对订户的位置的更新是成功的,在所述间接GTP-C防火墙过滤数据库的记录中,将从所述移动性管理信令消息中提取的VPLMN ID与从所述移动性管理信令消息中提取的IMSI进行关联。
12.如权利要求11所述的系统,其中,所述移动性管理信令消息包括Diameter更新位置请求ULR消息。
13.如权利要求12所述的系统,其中,所述至少一个信令消息路由节点包括Diameter边缘代理。
14.如权利要求11至13中的任一项所述的系统,其中,所述至少一个信令消息路由节点包括Diameter中继代理DRA。
15.如权利要求11所述的系统,其中,所述移动性管理信令消息包括移动应用部分MAP更新位置请求消息。
16.如权利要求11或15所述的系统,其中,所述至少一个信令消息路由节点包括用于动态地填充所述GTP-C防火墙过滤数据库的信号传输点STP和Diameter代理,其用于:接收响应于所述GTP-C消息而生成的所述CCR-I消息;从所述CCR-I消息中提取IMSI和VPLMNID;使用从所述CCR-I消息中提取的IMSI来访问所述间接GTP-C防火墙过滤数据库;确定所述间接GTP-C防火墙过滤数据库中存在与所述IMSI对应的记录;确定所述记录中的VPLMNID与从所述CCR-I消息中提取的VPLMN ID不匹配;以及响应于确定所述记录中的VPLMNID与从所述CCR-I消息中提取的VPLMNID不匹配,拒绝所述CCR-I消息。
17.如权利要求11-13或15中的任一项所述的系统,其中,所述间接GTP-C防火墙过滤数据库与所述至少一个信令消息路由节点共置。
18.如权利要求11-13或15中的任一项所述的系统,其中,所述间接GTP-C防火墙过滤数据库位于与所述至少一个信令消息路由节点分开并且与归属位置寄存器HLR或归属订户服务器HSS分开的计算平台上。
19.如权利要求11-13或15中的任一项所述的系统,其中,所述至少一个信令消息路由节点被配置为:
利用从移动性管理信令消息中提取的国际移动装备标识符IMEI来动态地填充所述GTP-C防火墙过滤数据库;
从所述CCR-I消息中提取IMEI值;以及
使用所述GTP-C防火墙过滤数据库中的所述IMEI来筛查所述CCR-I消息。
20.一种非暂态计算机可读介质,其上存储有可执行指令,所述可执行指令在由计算机的处理器执行时,控制所述计算机执行包括以下各项的步骤:
使用信令消息路由节点,利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMN ID来动态地填充间接GTP核心GTP-C防火墙过滤数据库,其中使用信令消息路由节点动态地填充间接GTP-C防火墙过滤数据库包括:
从所述移动性管理信令消息中提取IMSI和VPLMNID;
临时地存储从所述移动性管理信令消息中提取的IMSI和VPLMNID;
确定向订户的归属网络更新订户的位置是成功的;以及
响应于确定对订户的位置的更新是成功的,在所述间接GTP-C防火墙过滤数据库的记录中,将从所述移动性管理信令消息中提取的VPLMN ID与从所述移动性管理信令消息中提取的IMSI进行关联;
接收响应于GTP-C消息而生成的信用控制请求初始CCR-I消息;从所述CCR-I消息中提取IMSI和VPLMNID;
防火墙过滤数据库;
确定所述间接GTP-C防火墙过滤数据库中存在与所述IMSI对应的记录;
确定所述记录中的VPLMN ID与从所述CCR-I消息中提取的VPLMNID不匹配;以及
响应于确定所述记录中的VPLMN ID与从所述CCR-I消息中提取的VPLMNID不匹配,拒绝所述CCR-I消息。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/732,098 US11411925B2 (en) | 2019-12-31 | 2019-12-31 | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
US16/732,098 | 2019-12-31 | ||
PCT/US2020/065763 WO2021138072A1 (en) | 2019-12-31 | 2020-12-17 | Methods, systems, and computer readable media for implementing indirect general packet radio service (gprs) tunneling protocol (gtp) firewall filtering using diameter agent and signal transfer point (stp) |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114902714A CN114902714A (zh) | 2022-08-12 |
CN114902714B true CN114902714B (zh) | 2023-11-24 |
Family
ID=74186922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080091056.6A Active CN114902714B (zh) | 2019-12-31 | 2020-12-17 | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11411925B2 (zh) |
EP (1) | EP4085676B1 (zh) |
JP (1) | JP2023508567A (zh) |
CN (1) | CN114902714B (zh) |
WO (1) | WO2021138072A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11658957B2 (en) * | 2020-10-23 | 2023-05-23 | Salesforce.Com, Inc. | Methods and apparatuses for temporary session authentication and governor limits management |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11689912B2 (en) * | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
EP4120726A1 (en) * | 2021-07-15 | 2023-01-18 | Deutsche Telekom AG | Method for traffic management in a wireless network system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103444212A (zh) * | 2011-02-04 | 2013-12-11 | 泰科来股份有限公司 | 用于提供直径绑定储存库的方法、系统和计算机可读介质 |
CN103493522A (zh) * | 2011-03-03 | 2014-01-01 | 泰科来股份有限公司 | 用于丰富Diameter信令消息的方法、系统和计算机可读介质 |
CN108307385A (zh) * | 2016-08-31 | 2018-07-20 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
Family Cites Families (185)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE508514C2 (sv) | 1997-02-14 | 1998-10-12 | Ericsson Telefon Ab L M | Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem |
US6151503A (en) | 1997-12-17 | 2000-11-21 | Lucent Technologies Inc. | Subscriber activated wireless telephone call rerouting system |
US6308075B1 (en) | 1998-05-04 | 2001-10-23 | Adc Telecommunications, Inc. | Method and apparatus for routing short messages |
JP3049056B1 (ja) | 1998-07-02 | 2000-06-05 | 日本電気通信システム株式会社 | 移動体通信網の加入者デ―タ制御方法 |
US6343215B1 (en) | 1998-11-10 | 2002-01-29 | Lucent Technologies, Inc | ANSI 41 dialed number validation |
US6292666B1 (en) | 1999-05-06 | 2001-09-18 | Ericsson Inc. | System and method for displaying country on mobile stations within satellite systems |
CA2312012A1 (en) | 1999-06-30 | 2000-12-30 | Lucent Technologies Inc. | Transaction notification system and method |
AU1026000A (en) | 1999-11-17 | 2001-05-30 | Swisscom Mobile Ag | Method and system for preparing and transmitting sms messages in a mobile radio network |
FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
WO2001067781A2 (en) | 2000-03-07 | 2001-09-13 | Tekelec | Screening of mobile application part (map) |
TW589855B (en) | 2000-05-15 | 2004-06-01 | Ntt Docomo Inc | Authentication system and method |
EP1213931A3 (de) | 2000-12-05 | 2003-03-19 | Siemens Aktiengesellschaft | Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz |
US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
AUPR441401A0 (en) | 2001-04-12 | 2001-05-17 | Gladwin, Paul | Utility usage rate monitor |
EP1304897A1 (en) | 2001-10-22 | 2003-04-23 | Agilent Technologies, Inc. (a Delaware corporation) | Methods and apparatus for providing data for enabling location of a mobile communications device |
US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
US7068999B2 (en) | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
US20100240361A1 (en) | 2002-08-05 | 2010-09-23 | Roamware Inc. | Anti-inbound traffic redirection system |
US7729686B2 (en) | 2003-04-02 | 2010-06-01 | Qualcomm Incorporated | Security methods for use in a wireless communications system |
US7043754B2 (en) | 2003-06-12 | 2006-05-09 | Michael Arnouse | Method of secure personal identification, information processing, and precise point of contact location and timing |
US8121594B2 (en) | 2004-02-18 | 2012-02-21 | Roamware, Inc. | Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register |
US7567661B1 (en) | 2003-12-31 | 2009-07-28 | Nortel-Networks Limited | Telephony service information management system |
GB0406119D0 (en) | 2004-03-18 | 2004-04-21 | Telsis Holdings Ltd | Telecommunications services apparatus and method |
US7403537B2 (en) | 2004-04-14 | 2008-07-22 | Tekelec | Methods and systems for mobile application part (MAP) screening in transit networks |
EP1736016B1 (en) | 2004-04-14 | 2015-06-24 | MBalance Research B.V. | Method for preventing the delivery of short message service message spam |
US7319857B2 (en) | 2004-09-13 | 2008-01-15 | Tekelec | Methods, systems, and computer program products for delivering messaging service messages |
IES20040693A2 (en) | 2004-10-14 | 2006-04-19 | Anam Mobile Ltd | A messaging system and method |
US7870201B2 (en) | 2004-12-03 | 2011-01-11 | Clairmail Inc. | Apparatus for executing an application function using a mail link and methods therefor |
US20060211406A1 (en) | 2005-03-17 | 2006-09-21 | Nokia Corporation | Providing security for network subscribers |
US8867575B2 (en) | 2005-04-29 | 2014-10-21 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
US8285639B2 (en) | 2005-07-05 | 2012-10-09 | mConfirm, Ltd. | Location based authentication system |
US20070174082A1 (en) | 2005-12-12 | 2007-07-26 | Sapphire Mobile Systems, Inc. | Payment authorization using location data |
US7817550B2 (en) | 2006-01-13 | 2010-10-19 | Futurewei Technologies, Inc. | System for rate-control of aggregate-rate communication services |
US7881192B2 (en) | 2006-01-13 | 2011-02-01 | Futurewei Technologies, Inc. | System for providing aggregate-rate communication services |
US20070168432A1 (en) | 2006-01-17 | 2007-07-19 | Cibernet Corporation | Use of service identifiers to authenticate the originator of an electronic message |
EP1835686B1 (en) | 2006-03-13 | 2015-12-23 | Vodafone Group PLC | Method of providing access to an IP multimedia subsystem based on provided access network data. |
US7539133B2 (en) | 2006-03-23 | 2009-05-26 | Alcatel-Lucent Usa Inc. | Method and apparatus for preventing congestion in load-balancing networks |
US8121624B2 (en) | 2006-07-25 | 2012-02-21 | Alcatel Lucent | Message spoofing detection via validation of originating switch |
JP4174535B2 (ja) | 2006-08-22 | 2008-11-05 | Necインフロンティア株式会社 | 無線端末を認証する認証システム及び認証方法 |
US8145234B1 (en) | 2006-09-13 | 2012-03-27 | At&T Mobility Ii Llc | Secure user plane location (SUPL) roaming |
EP2074854B1 (en) | 2006-09-27 | 2011-11-02 | Nokia Siemens Networks GmbH & Co. KG | Method for tracking a mobile station, corresponding telecommunications network, network node and prediction database |
EP2080673B1 (en) | 2006-11-02 | 2014-03-12 | Panasonic Corporation | Vehicle power supply device |
US8073424B2 (en) | 2007-01-05 | 2011-12-06 | Macronix International Co., Ltd. | System and method of managing contactless payment transactions using a mobile communication device as a stored value device |
US20080207181A1 (en) | 2007-02-28 | 2008-08-28 | Roamware | Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication |
WO2011014837A1 (en) | 2009-07-31 | 2011-02-03 | Finsphere Corporation | Mobile communications message verification of financial transactions |
EP1983787B1 (en) | 2007-04-19 | 2012-11-28 | Nokia Siemens Networks Oy | Transmission and distribution of position- and/or network-related information from access networks |
US7916718B2 (en) | 2007-04-19 | 2011-03-29 | Fulcrum Microsystems, Inc. | Flow and congestion control in switch architectures for multi-hop, memory efficient fabrics |
EP2156636A2 (en) | 2007-05-16 | 2010-02-24 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
US20090045251A1 (en) | 2007-08-14 | 2009-02-19 | Peeyush Jaiswal | Restricting bank card access based upon use authorization data |
HUE025946T2 (en) | 2007-10-09 | 2016-05-30 | ERICSSON TELEFON AB L M (publ) | Technique to provide support for a multitude of mobility protocols |
US8036660B2 (en) | 2008-01-24 | 2011-10-11 | Avaya Inc. | Call-handling for an off-premises, telecommunications terminal with an installed subscriber identity module |
US20110063126A1 (en) | 2008-02-01 | 2011-03-17 | Energyhub | Communications hub for resource consumption management |
US8255090B2 (en) | 2008-02-01 | 2012-08-28 | Energyhub | System and method for home energy monitor and control |
CN101471797B (zh) | 2008-03-31 | 2012-05-30 | 华为技术有限公司 | 决策方法及系统和策略决策单元 |
US8509074B1 (en) | 2008-03-31 | 2013-08-13 | Saisei Networks Pte Ltd | System, method, and computer program product for controlling the rate of a network flow and groups of network flows |
US9240946B2 (en) | 2008-05-01 | 2016-01-19 | Alcatel Lucent | Message restriction for diameter servers |
CN101277541B (zh) | 2008-05-22 | 2012-02-08 | 中兴通讯股份有限公司 | 一种Diameter路由实体转发消息的方法 |
US8255994B2 (en) | 2008-08-20 | 2012-08-28 | Sprint Communications Company L.P. | Detection and suppression of short message service denial of service attacks |
CN101355561B (zh) | 2008-08-29 | 2012-09-05 | 中兴通讯股份有限公司 | Dra的会话消息管理方法和系统 |
US9928379B1 (en) * | 2008-09-08 | 2018-03-27 | Steven Miles Hoffer | Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor |
US8326265B2 (en) | 2008-10-17 | 2012-12-04 | Tekelec Netherlands Group, B.V. | Methods, systems, and computer readable media for detection of an unauthorized service message in a network |
US9038171B2 (en) | 2008-10-20 | 2015-05-19 | International Business Machines Corporation | Visual display of website trustworthiness to a user |
US8494364B2 (en) | 2008-10-21 | 2013-07-23 | Broadcom Corporation | Supporting multi-dwelling units in passive optical networks |
CN101742445A (zh) | 2008-11-06 | 2010-06-16 | 华为技术有限公司 | 消息识别方法、装置及系统 |
US9344438B2 (en) | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
US20100235911A1 (en) | 2009-03-11 | 2010-09-16 | Eloy Johan Lambertus Nooren | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
US8615217B2 (en) | 2009-06-25 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices |
US8965324B2 (en) * | 2009-07-08 | 2015-02-24 | At&T Mobility Ii Llc | E911 services using distributed nodes |
MX2012004186A (es) | 2009-10-09 | 2012-07-17 | Consert Inc | Aparatos y metodos para controlar comunicaciones a y de puntos de servicio de una compañía de electricidad. |
CN102656845B (zh) | 2009-10-16 | 2015-04-01 | 泰克莱克股份有限公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
KR20110055888A (ko) | 2009-11-20 | 2011-05-26 | 삼성전자주식회사 | 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템 |
KR20120112662A (ko) | 2009-12-30 | 2012-10-11 | 쓰리엠 이노베이티브 프로퍼티즈 컴파니 | 유기 미립자 로딩된 폴리싱 패드 및 이를 제조 및 사용하는 방법 |
US8787174B2 (en) * | 2009-12-31 | 2014-07-22 | Tekelec, Inc. | Methods, systems, and computer readable media for condition-triggered policies |
US20110173122A1 (en) | 2010-01-09 | 2011-07-14 | Tara Chand Singhal | Systems and methods of bank security in online commerce |
US8505081B2 (en) | 2010-01-29 | 2013-08-06 | Qualcomm Incorporated | Method and apparatus for identity reuse for communications devices |
US9185510B2 (en) | 2010-03-03 | 2015-11-10 | Tekelec, Inc. | Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers |
US20110225091A1 (en) | 2010-03-12 | 2011-09-15 | Franco Plastina | Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information |
US20110307381A1 (en) | 2010-06-10 | 2011-12-15 | Paul Kim | Methods and systems for third party authentication and fraud detection for a payment transaction |
CN101917698B (zh) | 2010-08-20 | 2013-03-27 | 北京瑞格特软件技术有限公司 | 与3gpp协议兼容的提供移动设备用户信息的方法及系统 |
US8620263B2 (en) | 2010-10-20 | 2013-12-31 | Tekelec, Inc. | Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control |
US8396485B2 (en) | 2010-11-09 | 2013-03-12 | Apple Inc. | Beacon-based geofencing |
US20120203663A1 (en) | 2011-02-07 | 2012-08-09 | Carpadium Consulting Pty. Ltd. | Method and apparatus for authentication utilizing location |
US8693423B2 (en) | 2011-02-16 | 2014-04-08 | Tekelec, Inc. | Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery |
EP2695351B1 (en) | 2011-04-04 | 2015-12-16 | Telefonaktiebolaget L M Ericsson (publ) | A method of and a support node for requesting registration of stationary user equipment in a cellular telecommunication system |
WO2012158854A1 (en) | 2011-05-16 | 2012-11-22 | F5 Networks, Inc. | A method for load balancing of requests' processing of diameter servers |
ES2698556T3 (es) | 2011-07-06 | 2019-02-05 | Mobileum Inc | Redireccionamiento del tráfico de red (NTR) en Evolución a Largo Plazo (LTE) |
US9860390B2 (en) | 2011-08-10 | 2018-01-02 | Tekelec, Inc. | Methods, systems, and computer readable media for policy event record generation |
US9060263B1 (en) | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
CN103179504B (zh) | 2011-12-23 | 2015-10-21 | 中兴通讯股份有限公司 | 用户合法性判断方法及装置、用户接入信箱的方法和系统 |
US20130171988A1 (en) | 2012-01-04 | 2013-07-04 | Alcatel-Lucent Canada Inc. | Imsi mcc-mnc best matching searching |
CN103209402B (zh) | 2012-01-17 | 2018-03-23 | 中兴通讯股份有限公司 | 终端组可及性确定方法及系统 |
EP2675203B1 (en) | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
US9882950B2 (en) * | 2012-06-13 | 2018-01-30 | All Purpose Networks LLC | Methods and systems of an all purpose broadband network |
US9107094B2 (en) * | 2012-06-13 | 2015-08-11 | All Purpose Networks LLC | Methods and systems of an all purpose broadband network |
US9015808B1 (en) | 2012-07-11 | 2015-04-21 | Sprint Communications Company L.P. | Restricting mobile device services between an occurrence of an account change and acquisition of a security code |
US9106428B2 (en) | 2012-10-04 | 2015-08-11 | Broadcom Corporation | Multicast switching for distributed devices |
JPWO2014080994A1 (ja) | 2012-11-22 | 2017-01-05 | 日本電気株式会社 | 輻輳制御システム、制御装置、輻輳制御方法およびプログラム |
US9258257B2 (en) | 2013-01-10 | 2016-02-09 | Qualcomm Incorporated | Direct memory access rate limiting in a communication device |
US9462515B2 (en) | 2013-01-17 | 2016-10-04 | Broadcom Corporation | Wireless communication system utilizing enhanced air-interface |
US20140259012A1 (en) * | 2013-03-06 | 2014-09-11 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual machine mobility with evolved packet core |
US9774552B2 (en) | 2013-03-14 | 2017-09-26 | Qualcomm Incorporated | Methods, servers and systems for verifying reported locations of computing devices |
EP2979462B1 (en) | 2013-03-29 | 2019-05-22 | Mobileum Inc. | Method and system for facilitating lte roaming between home and visited operators |
US10115135B2 (en) | 2013-07-03 | 2018-10-30 | Oracle International Corporation | System and method to support diameter credit control session redirection using SCIM/service broker |
US9191803B2 (en) | 2013-09-04 | 2015-11-17 | Cellco Partnership | Connection state-based long term evolution steering of roaming |
EP2854462B1 (en) | 2013-09-27 | 2016-03-30 | Telefonaktiebolaget LM Ericsson (publ) | Handling of subscriber deregistration |
US9485099B2 (en) | 2013-10-25 | 2016-11-01 | Cliqr Technologies, Inc. | Apparatus, systems and methods for agile enablement of secure communications for cloud based applications |
EP2887761B1 (en) | 2013-12-19 | 2018-10-03 | Vodafone Holding GmbH | Verification method for the verification of a Connection Request from a Roaming Mobile Entity |
US9686343B2 (en) | 2013-12-31 | 2017-06-20 | Amadeus S.A.S. | Metasearch redirection system and method |
WO2015174702A1 (ko) | 2014-05-11 | 2015-11-19 | 엘지전자 주식회사 | 무선 통신 시스템에서 hss/mme의 신호 송수신 방법 및 장치 |
US9450947B2 (en) | 2014-05-20 | 2016-09-20 | Motorola Solutions, Inc. | Apparatus and method for securing a debugging session |
JP6168415B2 (ja) | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
US20160088461A1 (en) | 2014-09-22 | 2016-03-24 | Globetouch, Inc. | Communication exchange for local data services |
WO2016060640A1 (en) | 2014-10-13 | 2016-04-21 | Empire Technology Development Llc | Verification location determination for entity presence confirmation of online purchases |
US9693219B2 (en) | 2014-10-24 | 2017-06-27 | Ibasis, Inc. | User profile conversion to support roaming |
DE102014117713B4 (de) | 2014-12-02 | 2016-12-01 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle |
US9445360B2 (en) * | 2014-12-17 | 2016-09-13 | Verizon Patent And Licensing Inc. | Method and system for providing global multiline roaming |
ES2793016T3 (es) | 2015-03-10 | 2020-11-12 | Microsoft Technology Licensing Llc | Manejo de redireccionamiento mejorado del servidor de políticas |
SG11201802931XA (en) | 2015-03-25 | 2018-05-30 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
US10284376B2 (en) | 2015-06-10 | 2019-05-07 | Arris Enterprises Llc | Code signing system with machine to machine interaction |
CN106332067B (zh) | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
US9538335B1 (en) | 2015-07-22 | 2017-01-03 | International Business Machines Corporation | Inferring device theft based on historical location data |
US9912486B1 (en) | 2015-08-27 | 2018-03-06 | Amazon Technologies, Inc. | Countersigned certificates |
EP3166345B1 (en) | 2015-11-06 | 2022-03-30 | Alcatel Lucent | Support of mobile-terminated short message delivery for a user equipment in extended idle mode drx |
WO2017082532A1 (ko) | 2015-11-09 | 2017-05-18 | 엘지전자 주식회사 | 방문 네트워크의 사업자 네트워크 식별번호 획득 방법 |
US10009751B2 (en) * | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
US9628994B1 (en) | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
US10085067B2 (en) | 2016-01-12 | 2018-09-25 | Ppc Broadband, Inc. | Network interface device with dynamic noise conditioning |
GB2547472A (en) | 2016-02-19 | 2017-08-23 | Intercede Ltd | Method and system for authentication |
US10382948B2 (en) * | 2016-02-22 | 2019-08-13 | Cisco Technology, Inc. | Consolidated control plane routing agent |
US9788325B2 (en) | 2016-03-01 | 2017-10-10 | Wipro Limited | Methods and systems for radio carriers management in a wireless broadband network |
US10218625B2 (en) | 2016-03-30 | 2019-02-26 | New York University | Methods and apparatus for alleviating congestion at a switch, such as a shallow buffered switch |
US10893069B2 (en) | 2016-04-06 | 2021-01-12 | Nokia Technologies Oy | Diameter edge agent attack detection |
US20170345006A1 (en) | 2016-05-27 | 2017-11-30 | Mastercard International Incorporated | Systems and methods for location data verification |
US11395092B2 (en) | 2016-07-18 | 2022-07-19 | Here Global B.V. | Device location verification for updated map data |
CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
GB2553765A (en) | 2016-09-07 | 2018-03-21 | Evolved Intelligence Ltd | Mobile device roaming |
US10764376B2 (en) * | 2016-10-18 | 2020-09-01 | Cisco Technology, Inc. | System and method for node selection based on mid-session and end-session event information |
US10470154B2 (en) * | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
US10341411B2 (en) | 2017-03-29 | 2019-07-02 | Oracle International Corporation | Methods, systems, and computer readable media for providing message encode/decode as a service |
US10868893B2 (en) | 2017-03-31 | 2020-12-15 | Xilinx, Inc. | Network interface device |
WO2018202284A1 (en) | 2017-05-03 | 2018-11-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorizing access to user data |
US10212538B2 (en) | 2017-06-28 | 2019-02-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating user equipment (UE) location |
US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
US10021738B1 (en) | 2017-09-05 | 2018-07-10 | Syniverse Technologies, Llc | Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks |
CN110035433B (zh) | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
US10548004B2 (en) | 2018-02-15 | 2020-01-28 | Nokia Technologies Oy | Security management in communication systems between security edge protection proxy elements |
US10791118B2 (en) | 2018-03-29 | 2020-09-29 | Mcafee, Llc | Authenticating network services provided by a network |
EP3547757A1 (en) | 2018-03-30 | 2019-10-02 | InterDigital CE Patent Holdings | Wireless access point and method for providing backup network connections |
US10992580B2 (en) | 2018-05-07 | 2021-04-27 | Cisco Technology, Inc. | Ingress rate limiting in order to reduce or prevent egress congestion |
US20210250186A1 (en) | 2018-05-09 | 2021-08-12 | Nokia Technologies Oy | Security management for edge proxies on an inter-network interface in a communication system |
US20210203643A1 (en) | 2018-05-21 | 2021-07-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Message Transmission between Core Network Domains |
WO2019228832A1 (en) | 2018-06-01 | 2019-12-05 | Nokia Technologies Oy | A method for message filtering in an edge node based on data analytics |
US10931668B2 (en) * | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
JP7078850B2 (ja) | 2018-07-23 | 2022-06-01 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
US20210234706A1 (en) | 2018-08-10 | 2021-07-29 | Nokia Technologies Oy | Network function authentication based on public key binding in access token in a communication system |
US11632734B2 (en) | 2018-08-13 | 2023-04-18 | Apple Inc. | Use of user equipment (UE) identifiers for registration in fifth generation (5G) systems |
US10511998B1 (en) | 2018-08-29 | 2019-12-17 | Syniverse Technologies, Llc | System and method for identifying false short message service (SMS) delivery reports |
US10834591B2 (en) * | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
EP3847782A4 (en) | 2018-09-06 | 2022-05-04 | Nokia Technologies Oy | AUTOMATED ROAMING QoS OF SERVICE ARRANGEMENTS BETWEEN NETWORK OPERATORS VIA SECURITY EDGE PROTECTION PROXIES IN A COMMUNICATION SYSTEMS ENVIRONMENT |
CN116801423A (zh) | 2018-09-19 | 2023-09-22 | 华为技术有限公司 | 策略控制方法、设备及系统 |
EP4060963A1 (en) | 2018-11-05 | 2022-09-21 | Telefonaktiebolaget LM Ericsson (publ) | Fully qualified domain name handling for service interactions in 5g |
US10680964B1 (en) | 2018-11-26 | 2020-06-09 | Mellanox Technologies Tlv Ltd. | Rate limiting in a multi-chassis environment by exchanging information between peer network elements |
US11134430B2 (en) * | 2018-12-10 | 2021-09-28 | At&T Intellectual Property I, L.P. | System and method for detecting and acting upon a violation of terms of service |
US20200259896A1 (en) * | 2019-02-13 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Industrial Automation with 5G and Beyond |
EP3925182A1 (en) | 2019-02-13 | 2021-12-22 | Telefonaktiebolaget LM Ericsson (publ) | Methods and apparatuses for alternative data over non-access stratum, donas, data delivery in a roaming scenario |
US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
WO2020221956A1 (en) | 2019-04-27 | 2020-11-05 | Nokia Technologies Oy | Service authorization for indirect communication in a communication system |
US11018971B2 (en) | 2019-10-14 | 2021-05-25 | Oracle International Corporation | Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing |
US11256655B2 (en) | 2019-11-19 | 2022-02-22 | Oracle International Corporation | System and method for providing bandwidth congestion control in a private fabric in a high performance computing environment |
US11503052B2 (en) | 2019-12-19 | 2022-11-15 | Radware, Ltd. | Baselining techniques for detecting anomalous HTTPS traffic behavior |
US11539628B2 (en) | 2020-06-23 | 2022-12-27 | Arista Networks, Inc. | Automated configuration of policer parameters |
DE102020116791A1 (de) | 2020-06-25 | 2021-12-30 | Technische Universität Dresden | Vorrichtung und Verfahren zum computergestützten Verarbeiten von Daten |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11368412B2 (en) | 2020-07-31 | 2022-06-21 | Avago Technologies International Sales Pte. Limited | Power throttle for network switches |
US11790113B2 (en) | 2020-08-12 | 2023-10-17 | Apple Inc. | Secure storage and retrieval of sensitive information |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
-
2019
- 2019-12-31 US US16/732,098 patent/US11411925B2/en active Active
-
2020
- 2020-12-17 CN CN202080091056.6A patent/CN114902714B/zh active Active
- 2020-12-17 EP EP20842462.2A patent/EP4085676B1/en active Active
- 2020-12-17 JP JP2022540480A patent/JP2023508567A/ja active Pending
- 2020-12-17 WO PCT/US2020/065763 patent/WO2021138072A1/en unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103444212A (zh) * | 2011-02-04 | 2013-12-11 | 泰科来股份有限公司 | 用于提供直径绑定储存库的方法、系统和计算机可读介质 |
CN103493522A (zh) * | 2011-03-03 | 2014-01-01 | 泰科来股份有限公司 | 用于丰富Diameter信令消息的方法、系统和计算机可读介质 |
CN108307385A (zh) * | 2016-08-31 | 2018-07-20 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2021138072A1 (en) | 2021-07-08 |
JP2023508567A (ja) | 2023-03-02 |
CN114902714A (zh) | 2022-08-12 |
EP4085676B1 (en) | 2024-02-14 |
US11411925B2 (en) | 2022-08-09 |
EP4085676A1 (en) | 2022-11-09 |
US20210203636A1 (en) | 2021-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114902714B (zh) | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 | |
CN110800267B (zh) | 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质 | |
US10931668B2 (en) | Methods, systems, and computer readable media for network node validation | |
EP3821630B1 (en) | Method, system, and computer readable medium for validating a visitor location register (vlr) using a signaling system no. 7 (ss7) signal transfer point (stp) | |
EP3646630B1 (en) | Methods, systems, and computer readable media for validating user equipment (ue) location | |
US11818570B2 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks | |
CN112567779B (zh) | 用diameter边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质 | |
US10237721B2 (en) | Methods, systems, and computer readable media for validating a redirect address in a diameter message | |
US11700510B2 (en) | Methods, systems, and computer readable media for short message delivery status report validation | |
EP2827625B1 (en) | Methods, systems, and computer readable media for supporting local breakout | |
Holtmanns et al. | User location tracking attacks for LTE networks using the interworking functionality | |
EP3466129B1 (en) | Method, system, and computer readable medium for providing end-to-end priority service in long term evolution (lte) or subsequent generation networks | |
US20240147238A1 (en) | Diameter spoofing detection and post-spoofing attack prevention | |
WO2017205116A1 (en) | Methods, systems, and computer readable media for providing end-to-end priority service in long term evolution (lte) or subsequent generation networks | |
Holtmanns et al. | Mobile data interception in 4g via diameter interconnection | |
CN116471591A (zh) | 用于提供呼叫智能的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |