JP2021529475A - ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体 - Google Patents

ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体 Download PDF

Info

Publication number
JP2021529475A
JP2021529475A JP2020572898A JP2020572898A JP2021529475A JP 2021529475 A JP2021529475 A JP 2021529475A JP 2020572898 A JP2020572898 A JP 2020572898A JP 2020572898 A JP2020572898 A JP 2020572898A JP 2021529475 A JP2021529475 A JP 2021529475A
Authority
JP
Japan
Prior art keywords
message
network node
identification information
response
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020572898A
Other languages
English (en)
Other versions
JP7246418B2 (ja
JP2021529475A5 (ja
Inventor
メータ,ビクラム
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2021529475A publication Critical patent/JP2021529475A/ja
Publication of JP2021529475A5 publication Critical patent/JP2021529475A5/ja
Application granted granted Critical
Publication of JP7246418B2 publication Critical patent/JP7246418B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体を開示する。一方法は、第1ネットワークノードにおいて実行される。方法は、携帯電話加入者に対応付けられた第1メッセージを第2ネットワークノードから受信するステップと、携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを第1ネットワークノードが第2ネットワークノードに送信するステップと、クエリに対する第2ネットワークノードからの応答を第1ネットワークノードが受信するステップとを含み、当該応答は、識別情報を含み、方法は、さらに、応答から識別情報を抽出するステップと、応答から抽出された識別情報と、携帯電話加入者の移動通信機器を識別する検証済み識別情報とを比較するステップと、識別情報が検証済みの識別情報に一致することに応答して、第1メッセージを送信する承認を受けていると第2ネットワークノードを認識し、第1メッセージを処理するステップとを含む。

Description

優先権の主張
本願は、2018年6月29日に出願された米国特許出願第16/024,422号の優先権の利益を主張するものであり、そのすべての開示内容を引用により本明細書に援用する。
技術分野
本明細書において説明する発明の主題は、ネットワークセキュリティのための方法およびシステムに関する。より特定的には、本明細書において説明する発明の主題は、ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体に関する。
背景
通信ネットワークは、金銭的な利益、スパイ行為、または政治目的など、様々な理由で悪意のある行為者のターゲットにされる可能性がある。たとえば、No.7共通線信号方式(SS7)ネットワークおよびDiameterネットワークに関連する脆弱性によって、エンティティによっては、歳入詐欺を犯したり、通話の不正傍受もしくは通話の盗聴を行ったり、および/または個人の加入者情報を盗み取ったりすることができるようになる。このような問題が生じた場合、罪のない当事者が是正および/または損害を軽減させる責任を負わされる場合が多い。ネットワーク事業者は、一般に、セキュリティ機器、ファイアウォール、および/または事業者のネットワークおよび顧客への不正アクセスを防止するのに役立つその他のデバイスを利用しているが、これらのネットワークで使われるプロトコルおよび/またはプロシージャに関連する本質的なセキュリティ上の問題のため、ネットワーク内に依然として多くの問題が存在している可能性がある。
概要
ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体を開示する。一方法は、第1ネットワークノードにおいて生じる。この方法は、携帯電話加入者に対応付けられた第1メッセージを第2ネットワークノードから受信するステップと、前記携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを前記第1ネットワークノードが前記第2ネットワークノードに送信するステップと、前記クエリに対する応答を前記第1ネットワークノードが前記第2ネットワークノードから受信するステップとを含み、前記応答は、前記識別情報を含み、前記方法は、さらに、前記応答から前記識別情報を抽出するステップと、前記応答から抽出された前記識別情報と、前記携帯電話加入者の前記移動通信機器を識別する検証済み識別情報とを比較するステップとを含み、前記検証済み識別情報は、前記第2ネットワークノードとは別の信頼できるソースからの識別情報であり、前記応答から抽出された前記識別情報が前記検証済み識別情報に一致することに応答して、前記第1メッセージを送信する承認を受けていると前記第2ネットワークノードを認識し、前記第1メッセージを処理するステップと、前記応答から抽出された前記識別情報が前記検証済み識別情報に一致しないことに応答して、前記第1メッセージを送信する承認を受けていないと前記第2ネットワークノードを認識し、前記第1メッセージをネットワークセキュリティ脅威として識別するステップとを含む。
一システムは、第1ネットワークノードを備える。第1ネットワークノードは、少なくとも、1つのプロセッサと、1つのメモリとを含む。第1ネットワークノードは、携帯電話加入者に対応付けられた第1メッセージを第2ネットワークノードから受信し、前記携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを前記第1ネットワークノードが前記第2ネットワークノードに送信し、前記クエリに対する応答を前記第1ネットワークノードが前記第2ネットワークノードから受信するために構成され、前記応答は、前記識別情報を含み、前記第1ネットワークノードは、さらに、前記応答から前記識別情報を抽出し、前記応答から抽出された前記識別情報と、前記携帯電話加入者の前記移動通信機器を識別する検証済み識別情報とを比較するように構成され、前記検証済み識別情報は、前記第2ネットワークノードとは別の信頼できるソースからの識別情報であり、前記第1ネットワークノードは、さらに、前記応答から抽出された前記識別情報が前記検証済み識別情報に一致することに応答して、前記第1メッセージを送信する承認を受けていると前記第2ネットワークノードを認識して前記第1メッセージを処理し、前記応答から抽出された前記識別情報が前記検証済み識別情報に一致しないことに応答して、前記第1メッセージを送信する承認を受けていないと前記第2ネットワークノードを認識して前記第1メッセージをネットワークセキュリティ脅威として識別するように構成される。
本明細書において説明する発明の主題は、ハードウェアおよび/またはファームウェアと組み合わせたソフトウェアで実現することができる。たとえば、本明細書において説明する発明の主題は、プロセッサによって実行されるソフトウェアで実現することができる。一例示的な実施態様において、本明細書において説明する発明の主題は、コンピュータにより実行可能な命令を格納したコンピュータ読み取り可能な媒体を用いて実現されてもよい。当該命令は、コンピュータのプロセッサによって実行されると、ステップを実行するようにコンピュータを制御する。本明細書において説明する発明の主題を実現するのに適したコンピュータ読み取り可能な媒体として、ディスク記憶装置、チップ記憶装置、プログラム可能な論理回路、および特定用途向け集積回路など、非一時的なデバイスなどが挙げられる。これに加えて、本明細書において説明する発明の主題を実現するコンピュータ読み取り可能な媒体は、1つのデバイスまたは1つのコンピューティングプラットフォーム上に位置してもよいし、複数のデバイスまたは複数のコンピューティングプラットフォーム間に分散されてもよい。
本明細書において使用するとき、「ノード」という用語は、1つ以上のプロセッサ、およびメモリを含む、少なくとも1つの物理コンピューティングプラットフォームを指す。
本明細書において使用するとき、「機能」または「モジュール」という用語は、本明細書において説明する特徴を実現するためのハードウェアおよび/またはファームウェアと組み合わせたソフトウェアを指す。
ここで、本明細書において説明する発明の主題を、添付の図面を参照して説明する。
ネットワークノード検証のための例示的な通信環境を示す図である。 ネットワークノード検証のための別の例示的な通信環境を示す図である。 ネットワークノード検証のための例示的なノードを示す図である。 ネットワークノード検証に関連する例示的なMAP(Mobile Application Part)メッセージを示す図である。 個別のネットワークノード検証に関連する例示的なMAPメッセージを示す図である。 ネットワークノード検証に関連する例示的なDiameterメッセージを示す図である。 個別のネットワークノード検証に関連する例示的なDiameterメッセージを示す図である。 ネットワークノード検証のための例示的な工程を示す図である。
詳細な説明
本明細書において説明する発明の主題は、ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体に関する。移動通信ネットワークを含む様々な通信ネットワークに脆弱性が存在する。たとえば、悪意のあるネットワークノードは、詐欺的なモビリティ管理メッセージ(たとえば、位置更新メッセージ)を生成して、1人以上の加入者からなるホームネットワークに送るようにプログラムされたり、構成されたりする場合がある。この例では、詐欺メッセージは、携帯電話加入者および/またはユーザデバイス識別子(たとえば、IMSI(International Mobile Subscriber Identity)またはMSISDN(Mobile Station International Subscriber Directory Number))を含んでもよく、携帯電話加入者がそのネットワークでローミング中であることを示す位置情報を提供し得る。このようなネットワークは、ネットワーク内のモビリティ管理メッセージや位置情報を検証していない可能性があるので、歳入詐欺を犯したり、通話を傍受したり、加入者プロファイルの詳細を盗んだり、および/またはその他の悪意のある行為を犯したりするために利用され得る加入者データ(たとえば、携帯電話加入者プロファイル)を悪意のあるネットワークノードに提供することによって、ホームネットワークまたはそこに含まれるノードは、詐欺的なモビリティ管理メッセージに基づいて行動してしまう可能性がある。
本明細書において説明する発明の主題のいくつかの態様によると、ネットワークノード検証のための技術、方法、システム、または仕組みを開示する。たとえば、ホームネットワークノードは、外部のネットワークノード、たとえば、MME(Mobility Management Element)、VLR(Visitor Location Register)、MSC(Mobile Switching Center)であると思われるMME(Mobility Management Element)、VLR(Visitor Location Register)、MSC(Mobile Switching Center)であると思われるノードが有効であるかどうかを判断するためのネットワークノード検証アルゴリズムを使用してもよい。いくつかの実施の形態では、ネットワークノード検証アルゴリズムは、加入者関連情報もしくは識別情報(たとえば、IMEI(International Mobile Subscriber Identity)、機器識別子、暗号化キー、または携帯電話加入者に関するセキュリティ価値)を検証するネットワークノードから取得するステップと、検証するネットワークノードからの識別情報が、検証データストアに格納された信頼できるまたは確認済みの加入者関連情報と一致するかどうかを判断するステップとを含んでもよい。いくつかの実施の形態では、ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを無効であるまたは無効である可能性があると判断し、HLR(Home Location Register)にパージMSメッセージを送る、メッセージを破棄する、ネットワーク事業者に悪意がある可能性のある行為を通知する、またはその他の緩和措置など、1つ以上の緩和措置を行ってもよい。いくつかの実施の形態では、検証するネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードが有効であるまたは有効である可能性があると判断し、メッセージを処理するおよび/またはメッセージを直接HLRに送るなど、1つ以上の動作を行ってもよい。
有利には、携帯電話加入者と接触していると思われるネットワークノードから加入者関連情報(たとえば、IMEIなど、一意および/またはセミプライベートな識別情報)を取得することによって、ホームネットワークノード(たとえば、信号中継局)は、(たとえば、外部ネットワークからの)ネットワークノードを検証し、このようなネットワークノードが無効(たとえば、不正)であると思われる場合、1つ以上の緩和措置を行うことにより、悪意のある行為とそれらの否定的な結果(たとえば、歳入詐欺)を防ぐまたは軽減させる。
ここで、本明細書において説明する発明の主題の様々な実施の形態を詳細に説明する。実施の形態の例を、添付の図面に示す。可能な限り、図面全体で、同じ参照番号を同じまたは同一の部品に付す。
図1は、ネットワークノード検証のための例示的な通信環境100を示す図である。図1は、ローミングが可能、または通信環境100の中の異なる部分間の移動が可能なUE102(たとえば、モバイル機器、コンピュータ、タブレット端末コンピューティングプラットフォーム、またはスマートフォン)を含む。いくつかの実施の形態では、通信環境100は、第3世代(3G)ネットワークおよび/または第2世代(2G)ネットワークに対応付けられた1つ以上のノードを含んでもよい。
通信環境100は、ホームネットワーク、たとえば、HPLMN(Home Public Land Mobile Network)、および移動先ネットワーク、たとえば、VPLMN(Visited Public Land Mobile Network)を含んでもよい。ホームネットワークは、UE102に対応付けられ、UEのデフォルトネットワークであってもよく、移動先ネットワークは、ホームネットワークのカバーエリア外でローミング中にUE102が利用する、利用を試みる、または利用していると思われるネットワークであってもよい。いくつかの実施の形態では、ホームネットワークおよび移動先ネットワークは、インターネット116など、外部ネットワークと通信するためのノードを含んでもよい。
ホームネットワークは、様々なノード、たとえば、GGSN((GPRS)Gateway General Packet Radio Service)Support Node)114、ネットワークノード(NN)108、1つ以上のHLR(複数可)110、および/または検証データストア(VDS)118を含んでもよい。いくつかの実施の形態では、ホームネットワークは、携帯電話加入者のデフォルトローミングプロバイダとして構成されてもよい。いくつかの実施の形態では、ホームネットワークは、たとえば、特定または指定された期間、携帯電話加入者にローミングプロバイダを変更させるように構成されてもよい。
いくつかの実施の形態では、ホームネットワークおよび/またはその関連するノードは、たとえば、その加入者が音声サービスに移動先ネットワークを利用している場合であっても、データサービス(たとえば、インターネットアクセス)を処理するように構成されてもよい。たとえば、移動先ネットワークが同じサービスをより速くかつ安く提供できるかどうかに関わらず、ホームネットワークは、データフローサービス要求をそのネットワークを経由させることによって、ローミング中の加入者のためのデータサービスを処理してもよい。
いくつかの実施の形態では、ホームネットワークおよび/またはその関連するノードは、ホームネットワークの事業者またはサービスプロバイダ(本明細書においてARPと称する)とは異なるネットワーク事業者またはサービスプロバイダに、データサービス(たとえば、インターネットアクセス)を提供させるように構成されてもよい。たとえば、ARPは、携帯電話加入者のホームネットワークよりも低速でデータサービスを提供してもよく、また、何人かの加入者のIPトラフィックを処理することによって携帯電話加入者のホームネットワークのネットワーク負荷または輻輳を軽減させるのを手伝ってもよい。
GGSN114は、インターネット116またはその他のデータネットワーク、たとえば、インターネットアクセスポイントへのアクセスを提供するための任意の適切なエンティティであってもよい。いくつかの実施の形態では、ローミング中の加入者がARPを経由してデータサービスを受信できないことを示す信号メッセージをSGSN(Serving GPRS Support Node)106が受信した場合、SGSN106は、インターネット116行きのIPトラフィックおよび/または関連メッセージを、ホームネットワークのGGSN114を経由させてもよい。
HLR(複数可)110は、1つ以上のSDM(Subscriber Data Management)機能またはCRM(Customer Relationship Management)機能を管理および/または提供するための任意の適切な1つのエンティティまたは複数のエンティティを表してもよい。HLR(複数可)110は、ユーザ識別情報、ユーザの認証および認可のための制御情報、位置情報、およびユーザプロファイルデータなど、加入者関連情報を保持してもよい。たとえば、HLR(複数可)110は、UE102に対応付けられた携帯SIM(Subscriber Identity Module)カードについての詳細、UE102が利用可能なサービス、およびUE102の現在地(たとえば、現在のサービングノード)を含んだデータベースを含んでもよい。
いくつかの実施の形態では、HLR(複数可)110が複数のノードを含む場合、各ノードは、一部の加入者、たとえば、何十万〜何百万人もの加入者についての情報を保持してもよく、通信環境100の様々なノードは、特定の加入者の情報について、適切なノードを識別して考慮するように構成されてもよい。
いくつかの実施の形態では、HLR(複数可)110は、MAPメッセージまたはその他のメッセージを受信することに応答して、モビリティ管理プロシージャを実行してもよい。モビリティ管理メッセージは、通信環境100のSGSN106またはその他のノードから受信してもよい。
NN108は、メッセージを受信、処理、ルーティング、および/または転送するための任意の適切なエンティティ(たとえば、1つ以上のコンピューティングプラットフォームまたは1つ以上のデバイス)であってもよい。いくつかの実施の形態では、NN108は、ゲートウェイ、信号ルータ、信号プラットフォーム、STP(Signal Transfer Point)、No.7共通線信号方式(SS7)ノード、または信号ノードを含んでもよい。
いくつかの実施の形態では、NN108は、ホームネットワークのノード間の通信および移動先ネットワークのノード間の通信を容易にするための機能を含んでもよい。たとえば、モビリティ管理メッセージおよび/または登録関連メッセージを、NN108を経由してSGSN106からHLR(複数可)110に送信してもよい。通信環境100には1つのSPしか示されていないが、通信環境100のノード間の通信を容易にするために複数のSPを利用してもよいことがわかるであろう。
いくつかの実施の形態では、NN108は、メッセージをフィルタ処理および/または検証するための機能、および/またはGTT(Global Title Translation)を実行するための機能を含んでもよい。たとえば、NN108は、信号メッセージのヘッダ情報を分析してもよく、信号メッセージをどのように処理またはルーティングするかを判断してもよい。この例では、フィルタ処理によっては、信号メッセージが適切なノードに宛てたものかどうか、または適切なパラメータもしくはその他の情報を含むかどうかを判断することを含んでもよい。GTTは、(たとえば、グローバルタイトル情報に基づいて)信号メッセージの適切な宛先を識別するステップと、識別された宛先に信号メッセージをルーティングするステップとを含んでもよい。
いくつかの実施の形態では、NN108は、ローミング中の加入者からのモビリティ管理メッセージなど、加入者位置情報を含んだメッセージを識別するための機能を含んでもよい。たとえば、NN108は、外部ネットワーク(たとえば、移動先ネットワーク)からの関連性のあるメッセージ(たとえば、MAP ULRメッセージ)を識別するためのSCCP(Signaling Connection Control Part)SSN(Subsystem Number)またはMAPオペレーションコード(オペコード)に対応付けられたフィルタなど、GTT機能を使うように構成されてもよい。この例では、VLR(たとえば、発信側(CgPN)SSN=「6」)、および/またはHLR(複数可)110(たとえば、着信側(CdPN)SSN=「149」)に対応付けられた信号メッセージをフィルタ処理することによって、および/またはオペコードを用いた特定の種類の信号メッセージ(たとえば、MAP ISDメッセージが、オペコード値「7」に対応付けられてもよい)をフィルタ処理することによって、NN108は関連性のあるメッセージを識別してもよい。
いくつかの実施の形態では、位置情報は、UEまたは関連する加入者の位置を特定するために使用できる任意の情報を含んでもよい。たとえば、位置情報は、MCC(Mobile Country Code)、MNC(Mobile Network Code)、LAC(Location Area Code)、ネットワーク識別子、CGI(Cell Global Identifier)、BSID(Base Station Identifier)、アクセスノード識別子、CI(Cell Identity)、SAC(Service Area Code)、RAI(Routing Area Identity)、RAC(Routing Area Code)、TAI(Tracking Area Identity)、TAC(Tracking Area Code)、EGCI(eUTRAN CGI)、位置座標(たとえば、GPS(Global Positioning System)情報)、および相対的位置情報を含んでもよい。
いくつかの実施の形態では、NN108は、ネットワークノードに対応付けられた信頼度(たとえば、信頼性評価基準)を判断するための機能を含んでもよく、この判断に基づいて様々な動作を行ってもよい。たとえば、NN108は、1つ以上のデータ構造(たとえば、ホワイトリストおよびブラックリスト)を利用して、ネットワークノードが信頼できる、信頼できない、または不明であるかを識別してもよく、この信頼度判断に基づいてその他の動作を行ってもよい。この例では、ネットワークノードが不明である場合、NN108は、ネットワークノード検証を行ってもよい。ネットワークノードが信頼できない場合、このネットワークノードからのすべてのメッセージをブロックまたは破棄してもよい。ネットワークノードが信頼できる場合、信頼できる加入者関連情報を用いてその他のネットワークノードが検証できるよう、ネットワークノードに加入者関連情報を要求し、(たとえば、検証データストアまたはその他のメモリに)格納してもよい。
いくつかの実施の形態では、NN108は、ネットワークノード検証を行うための機能を含んでもよい。たとえば、NN108は、移動先または外部のネットワークノード、たとえば、VLRまたはMSCであると思われるノードが有効であるかどうかを判断するためのネットワークノード検証アルゴリズムを利用してもよい。いくつかの実施の形態では、ネットワークノード検証アルゴリズムは、加入者関連情報(たとえば、IMEI(International Mobile Subscriber Identity)、機器識別子、暗号化キー、または携帯電話加入者に関するセキュリティ価値)を検証するネットワークノードから取得するステップと、検証するネットワークノードからの識別情報が、検証データストアに格納された信頼できるまたは確認済みの加入者関連情報と一致するかどうかを判断するステップとを含んでもよい。たとえば、ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを無効であるまたは無効である可能性があると判断してもよい。ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを有効であるまたは有効である可能性があると判断してもよい。
いくつかの実施の形態では、NN108は、ネットワークノード検証の分析または関連する判断に基づいて1つ以上の動作を行うように構成されてもよい。たとえば、ネットワークノードが有効であると判断することに応答して、NN108は、関連メッセージをロケーションレジスタ(たとえば、HLR(複数可)110または別のロケーションレジスタ)に転送してもよく、ネットワークノードもしくはネットワークノードからの位置情報が有効であることを示すメッセージをノード(たとえば、ネットワーク事業者管理センター)に送信してもよく、および/またはメッセージの一部を複製もしくは格納してもよい。別の例では、ネットワークノードが無効であると判断することに応答して、NN108は、関連メッセージを選別、フィルタ処理、もしくは破棄してもよく、パージMSメッセージをHLR(複数可)110に送信してもよく、関連メッセージがロケーションレジスタに届かないようにしてもよく、ネットワークノードもしくはネットワークノードからの位置情報が無効であることを示すメッセージをノードに送信してもよく、および/またはメッセージの一部を複製もしくは格納してもよい。
VDS118は、加入者関連情報のためのリポジトリを管理および/または提供するための任意の適切なエンティティを表してもよい。いくつかの実施の形態では、VDS118は、EIR(Equipment Identity Register)機能または関連データを含んでもよい。たとえば、VDS118は、ホームネットワークに対応付けられた加入者デバイスのIMEIとその他のデータとを含んだデータベースまたはその他のデータストアを含んでもよい。この例では、IMEIは、IMSIまたはその他の加入者識別子によって索引付けされてもよい。いくつかの実施の形態では、携帯電話加入者に対応付けられたIMEI、IMSI、またはその他の情報を判断するために、VDS118が通信環境100のその他のノードによって問い合わせされてもよい。
いくつかの実施の形態では、VDS118は、多くのソース、たとえば、MSC、VLR、CSCF(Call/Setup Control Function)、NN108、HLR(複数可)110、SGSN106、GGSN114、V−GGSN112、および/またはその他のノードから、加入者関連情報を受信してもよい。いくつかの実施の形態では、このような情報を含んだメッセージを受信または傍受することに応答して、たとえば、このようなメッセージが信頼できるソース(たとえば、ホームネットワークノード、または以前に検証済みのその他のネットワークからのネットワークノード)からのメッセージであった場合に通信環境100のNN108および/またはその他のSPが加入者関連情報をVDS118に送るように構成されてもよい。
移動先ネットワークは、アクセスネットワーク104、VLRおよび/またはMSC(VLR/MSC)105、SGSN106、ならびにV−GGSN(Visitor GGSN)112を含んでもよい。アクセスネットワーク104は、無線アクセスネットワークを表してもよく、通信環境100内のUE102および要素と通信するための様々なノードを含んでもよい。アクセスネットワーク104のノードとして、NB(NodeB)、無線ネットワークコントローラ、基地局、またはその他のトランシーバノードなどが挙げられ得、これらは、無線アクセス機能を実行してもよい。アクセスネットワーク104、またはそのノードは、移動先ネットワークまたは通信環境100におけるUE102とノードとの通信に利用されてもよい。たとえば、NBまたはその他のノード(たとえば、ゲートウェイ)は、SGSN106またはその他のノードにUE関連メッセージ(たとえば、認証またはモビリティ関連メッセージ)を伝達してもよい。
VLR/MSC105は、UE102の追跡などの1つ以上のモビリティ管理機能を実行するための任意の適切な1つのエンティティまたは複数のエンティティを表してもよい。いくつかの実施の形態では、VLR/MSC105は、通信環境100のその他のノードに情報(たとえば、モビリティ関連情報)を伝達してもよい。たとえば、VLR/MSC105は、アクセスネットワーク104のトランシーバノードから登録要求を受け付けてもよく、ならびに認証を行うためおよび/または携帯電話加入者の現在地を更新するためのHLR(複数可)110と通信してもよい。また、VLR/MSC105は、ローミング中の加入者の位置情報を保持または格納してもよい。これに加えて、VLR/MSC105は、様々なその他のノードと通信し、様々なその他の機能を実行してもよい。
SGSN106は、その他のノード(たとえば、V−GGSN112)またはネットワークとアクセスネットワーク104との通信を容易にするためのノードまたはゲートウェイを表す。いくつかの実施の形態では、SGSN106は、通信環境100のその他のノードにユーザトラフィックを伝達してもよい。また、いくつかの実施の形態では、SGSN106は、1つ以上のモビリティ管理機能を実行してもよい。
V−GGSN112は、インターネット116またはその他のデータネットワーク、たとえば、インターネットアクセスポイントへのアクセスを提供するための任意の適切なエンティティであってもよい。いくつかの実施の形態では、ローミング中の加入者がARPを経由してデータサービスを受信できることを示す信号メッセージをSGSN106が受信した場合、SGSN106は、インターネット116行きのIPトラフィックおよび/または関連メッセージを、移動先ネットワークのV−GGSN112を経由させてもよい。いくつかの実施の形態では、ローミング中の加入者がARPを経由してデータサービスを受信できないことを示す信号メッセージをSGSN106が受信した場合、SGSN106は、インターネット116行きのIPトラフィックおよび/または関連メッセージを、V−GGSN112を経由させる代わりにホームネットワークのGGSN114を経由させてもよい。
図1は例示であり、図1に関して上述した様々なノードおよび/もしくはモジュール、ロケーション、ならびに/または機能は、変更、修正、追加、または削除される場合があることがわかるであろう。
図2は、ネットワークノード検証のための別の例示的な通信環境200を示す図である。図2は、ローミングが可能、または通信環境200の中の異なる部分間の移動が可能なUE102(たとえば、モバイル機器、タブレット端末コンピューティングプラットフォーム、またはスマートフォン)を含む。いくつかの実施の形態では、通信環境200は、第4世代(4G)ネットワーク、LTE(Long Term Evolution)ネットワーク、LTE−advancedネットワーク、および/またはEPC(Evolved Packet Core)ネットワークに対応付けられた1つ以上のノードを含んでもよい。
通信環境200は、ホームネットワーク(たとえば、HPLMN)および移動先ネットワーク(たとえば、VPLMN)を含んでもよい。ホームネットワークは、UE102に対応付けられ、UEのデフォルトネットワークであってもよく、移動先ネットワークは、ホームネットワークのカバーエリア外でローミング中にUE102が利用するまたは利用を試みるネットワークであってもよい。いくつかの実施の形態では、ホームネットワークおよび移動先ネットワークは、インターネット116など、外部ネットワークと通信するためのノードを含んでもよい。
ホームネットワークは、様々なノード、たとえば、PGW(Packet Gateway)214、NN108、1つ以上のHSS(Home Subscriber Server)210、および/またはVDS118を含んでもよい。いくつかの実施の形態では、ホームネットワークは、携帯電話加入者のデフォルトローミングプロバイダとして構成されてもよい。いくつかの実施の形態では、ホームネットワークは、たとえば、特定または指定された期間、携帯電話加入者にローミングプロバイダを変更させるように構成されてもよい。
いくつかの実施の形態では、ホームネットワークおよび/またはその関連するノードは、たとえば、その加入者が音声サービスに移動先ネットワークを利用している場合であっても、データサービス(たとえば、インターネットアクセス)を処理するように構成されてもよい。たとえば、移動先ネットワークが同じサービスをより速くかつ安く提供できるかどうかに関わらず、ホームネットワークは、データフローサービス要求をそのネットワークを経由させることによって、ローミング中の加入者のためのデータサービスを処理してもよい。
いくつかの実施の形態では、ホームネットワークおよび/またはその関連するノードは、ホームネットワークの事業者またはサービスプロバイダ(本明細書においてARPと称する)とは異なるネットワーク事業者またはサービスプロバイダに、データサービス(たとえば、インターネットアクセス)を提供させるように構成されてもよい。たとえば、ARPは、携帯電話加入者のホームネットワークよりも低速でデータサービスを提供してもよく、また、何人かの加入者のIPトラフィックを処理することによって携帯電話加入者のホームネットワークのネットワーク負荷または輻輳を軽減させるのを手伝ってもよい。
PGW214は、インターネット116またはその他のデータネットワーク、たとえば、インターネットアクセスポイントへのアクセスを提供するための任意の適切なエンティティであってもよい。たとえば、SGW(Serving Gateway)204は、PGW214と通信してインターネットアクセスを提供してもよい。いくつかの実施の形態では、ローミング中の加入者がARPを経由してデータサービスを受信できないことを示す信号メッセージをSGW204が受信した場合、SGW204は、インターネット116行きのIPトラフィックおよび/または関連メッセージを、ホームネットワークのPGW214を経由させてもよい。
HSS(複数可)210は、1つ以上のSDM機能またはCRM機能を管理および/または提供するための任意の適切な1つのエンティティまたは複数のエンティティを表してもよい。HSS(複数可)210は、ユーザ識別情報、ユーザの認証および認可のための制御情報、位置情報、およびユーザプロファイルデータなど、加入者関連情報を保持してもよい。たとえば、HSS(複数可)210は、UE102に対応付けられた携帯SIM(Subscriber Identity Module)カードについての詳細、UE102が利用可能なサービス、およびUE102の現在地(たとえば、現在のサービングノード)を含んだデータベースを含んでもよい。
いくつかの実施の形態では、HSS(複数可)210が複数のノードを含む場合、各ノードは、一部の加入者、たとえば、何十万〜何百万人もの加入者についての情報を保持してもよく、通信環境100の様々なノードは、特定の加入者の情報について、適切なノードを識別して考慮するように構成されてもよい。
いくつかの実施の形態では、HSS(複数可)210は、Diameterメッセージまたはその他のメッセージを受信することに応答して、モビリティ管理プロシージャを実行してもよい。モビリティ管理メッセージは、通信環境200のMME(Mobility Management Entity)206またはその他のノードから受信してもよい。
NN108は、メッセージを受信、処理、ルーティング、および/または転送するための任意の適切なエンティティ(たとえば、1つ以上のコンピューティングプラットフォームまたは1つ以上のデバイス)であってもよい。いくつかの実施の形態では、通信環境200のNN108は、通信環境100のNN108の機能と同様の機能を含んでもよい。いくつかの実施の形態では、NN108は、DRAおよび/またはDSR(Diameter Relay Agent/Diameter Signaling Router)を含んでもよい。たとえば、NN108は、通信環境200のノード間で様々なDiameterメッセージをルーティングおよび/または転送してもよい。
いくつかの実施の形態では、NN108は、ホームネットワークのノード間の通信および移動先ネットワークのノード間の通信を容易にするための機能を含んでもよい。たとえば、モビリティ管理メッセージおよび/または登録関連メッセージを、NN108を経由してMME206からHSS(複数可)210に送信してもよい。通信環境200には1つのSPしか示されていないが、通信環境200のノード間の通信を容易にするために複数のSPを利用してもよいことがわかるであろう。
いくつかの実施の形態では、NN108は、メッセージをフィルタ処理および/または検証するための機能を含んでもよい。たとえば、NN108は、Diameter信号メッセージのAVP(Attribute Value Pair)情報を分析してもよく、信号メッセージをどのように処理またはルーティングするかを判断してもよい。
いくつかの実施の形態では、NN108は、ローミング中の加入者からのモビリティ管理メッセージなど、加入者位置情報を含んだメッセージを識別するためのフィルタ処理を用いてもよい。たとえば、NN108は、アプリケーション識別子に対応付けられたフィルタ(たとえば、Application−ID=「16777251」は、HSS(複数可)210とMME206との間のS6aインターフェースメッセージを示してもよい)および/または命令コード(たとえば、DiameterIDR(Insert−Subscriber−Data−Request)メッセージを命令コード「319」と対応付けてもよく、DiameterULR(Update Location Request)メッセージを命令コード「316」と対応付けてもよい)を使用するように構成されてもよい。この例では、NN108は、このようなフィルタに基づいて関連性のあるメッセージを識別するように構成されてもよい。
いくつかの実施の形態では、位置情報は、UEまたは関連する加入者の位置を特定するために使用できる任意の情報を含んでもよい。たとえば、位置情報は、MCC、MNC、LAC、ネットワーク識別子、CGI、BSID、アクセスノード識別子、CI、SAC、RAI、RAC、TAI、TAC、EGCI、位置座標(たとえば、GPS情報)、および相対的位置情報を含んでもよい。
いくつかの実施の形態では、NN108は、ネットワークノードに対応付けられた信頼度(たとえば、信頼性評価基準)を判断するための機能を含んでもよく、この判断に基づいて様々な動作を行ってもよい。たとえば、NN108は、1つ以上のデータ構造(たとえば、ホワイトリストおよびブラックリスト)を利用して、ネットワークノードが信頼できる、信頼できない、または不明であるかを識別してもよく、この信頼度判断に基づいてその他の動作を行ってもよい。この例では、ネットワークノードが不明である場合、NN108は、ネットワークノード検証を行ってもよい。ネットワークノードが信頼できない場合、このネットワークノードからのすべてのメッセージをブロックまたは破棄してもよい。ネットワークノードが信頼できる場合、信頼できる加入者関連情報を用いてその他のネットワークノードが検証できるよう、ネットワークノードに加入者関連情報を要求し、(たとえば、検証データストアまたはその他のメモリに)格納してもよい。
いくつかの実施の形態では、NN108は、ネットワークノード検証を行うための機能を含んでもよい。たとえば、NN108は、移動先または外部のネットワークノード、たとえば、MMEであると思われるノードが有効であるかどうかを判断するためのネットワークノード検証アルゴリズムを利用してもよい。いくつかの実施の形態では、ネットワークノード検証アルゴリズムは、検証するネットワークノードから加入者関連情報(たとえば、IMEI、機器識別子、暗号化キー、または携帯電話加入者に関するセキュリティ価値)を取得するステップと、検証するネットワークノードからの識別情報が、検証データストアに格納された信頼できるまたは確認済みの加入者関連情報と一致するかどうかを判断するステップとを含んでもよい。たとえば、ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを無効であるまたは無効である可能性があると判断してもよい。ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを有効であるまたは有効である可能性があると判断してもよい。
いくつかの実施の形態では、NN108は、ネットワークノード検証の分析または関連する判断に基づいて1つ以上の動作を行うように構成されてもよい。たとえば、ネットワークノードが有効であると判断することに応答して、NN108は、関連メッセージをロケーションレジスタ(たとえば、HSS(複数可)210または別のロケーションレジスタ)に転送してもよく、ネットワークノードもしくはネットワークノードからの位置情報が有効であることを示すメッセージをノード(たとえば、ネットワーク事業者管理センター)に送信してもよく、および/またはメッセージの一部を複製もしくは格納してもよい。別の例では、ネットワークノードが無効であると判断することに応答して、NN108は、関連メッセージを選別、フィルタ処理、もしくは破棄してもよく、パージMSメッセージをHSS(複数可)210に送信してもよく、関連メッセージがロケーションレジスタに届かないようにしてもよく、ネットワークノードもしくはネットワークノードからの位置情報が無効であることを示すメッセージをノードに送信してもよく、および/またはメッセージの一部を複製もしくは格納してもよい。
VDS118は、加入者関連情報のためのリポジトリを管理および/または提供するための任意の適切なエンティティを表してもよい。いくつかの実施の形態では、VDS118は、EIR(Equipment Identity Register)機能または関連データを含んでもよい。たとえば、VDS118は、ホームネットワークに対応付けられた加入者デバイスのIMEIとその他のデータとを含んだデータベースまたはその他のデータストアを含んでもよい。この例では、IMEIは、IMSIまたはその他の加入者識別子によって索引付けされてもよい。いくつかの実施の形態では、携帯電話加入者に対応付けられたIMEI、IMSI、またはその他の情報を判断するために、VDS118が通信環境100のその他のノードによって問い合わせされてもよい。
いくつかの実施の形態では、VDS118は、多くのソース、たとえば、NN108、HSS(複数可)210、SGW204、PGW214、V−PGW212、および/またはその他のノードから、加入者関連情報を受信してもよい。いくつかの実施の形態では、このような情報を含んだメッセージを受信または傍受することに応答して、たとえば、このようなメッセージが信頼できるソース(たとえば、ホームネットワークノード、または以前に検証済みのその他のネットワークからのネットワークノード)からのメッセージであった場合に通信環境200のNN108および/またはその他のノードが加入者関連情報をVDS118に送るように構成されてもよい。
移動先ネットワークは、アクセスネットワーク202、MME206、SGW204、およびV−PGW(Visitor PGW)212を含んでもよい。アクセスネットワーク202は、無線アクセスネットワークを表してもよく、通信環境200内のUE102および要素と通信するための様々なノードを含んでもよい。アクセスネットワーク202のノードとして、eNB(evolved Node B)またはその他のトランシーバノードなどが挙げられ得、これらは、無線アクセス機能を実行してもよい。アクセスネットワーク202、またはそのノードは、移動先ネットワークまたは通信環境200におけるUE102とノードとの通信に利用されてもよい。たとえば、eNBまたはその他のノード(たとえば、SGW204)は、MME206またはその他のノードにUE関連メッセージ(たとえば、認証またはモビリティ関連メッセージ)を伝達してもよい。
SGW204は、その他のノード(たとえば、V−PGW212)またはネットワークとアクセスネットワーク202との通信を容易にするためのノードまたはゲートウェイを表す。いくつかの実施の形態では、SGW204は、通信環境200のその他のノードにユーザトラフィックを伝達してもよい。
MME206は、UE102の追跡などの1つ以上のモビリティ管理機能を実行するための任意の適切なエンティティを表してもよい。いくつかの実施の形態では、SGW204は、通信環境200のその他のノードに情報(たとえば、モビリティ関連情報)を伝達してもよい。たとえば、MME206は、アクセスネットワーク202のトランシーバノードから登録要求を受け付けてもよく、ならびに認証を行うためおよび/または携帯電話加入者の現在地を更新するためのHSS(複数可)210と通信してもよい。これに加えて、MME206は、様々なその他のノードと通信し、様々なその他の機能を実行してもよい。
V−PGW212は、インターネット116またはその他のデータネットワーク、たとえば、インターネットアクセスポイントへのアクセスを提供するための任意の適切なエンティティであってもよい。いくつかの実施の形態では、ローミング中の加入者がARPを経由してデータサービスを受信できることを示す信号メッセージをSGW204が受信した場合、SGW204は、インターネット116行きのIPトラフィックおよび/または関連メッセージを、移動先ネットワークのV−PGW212を経由させてもよい。いくつかの実施の形態では、ローミング中の加入者がARPを経由してデータサービスを受信できないことを示す信号メッセージをSGW204が受信した場合、SGW204は、インターネット116行きのIPトラフィックおよび/または関連メッセージを、V−PGW212を経由させる代わりにホームネットワークのPGW214を経由させてもよい。
図2は例示であり、図2に関して上述した様々なノードおよび/もしくはモジュール、ロケーション、ならびに/または機能は、変更、修正、追加、または削除される場合があることがわかるであろう。
図3は、ネットワークノード検証のための例示的なノード300を示す図である。ノード300は、加入者位置情報を検証する態様を行うための任意の適切な1つのエンティティまたは複数のエンティティを表してもよい。いくつかの実施の形態では、ノード300は、NN108を表してもよい。
図3を参照すると、ノード300は、(たとえば、SS7インターフェース、またはDiameterインターフェース、またはその他のインターフェースを経由して)メッセージを伝達するための1つ以上の通信インターフェース(複数可)302を含んでもよい。いくつかの実施の形態では、通信インターフェース(複数可)302は、HLR(複数可)110と通信するための第1通信インターフェースと、HSS(複数可)210と通信するための第2通信インターフェースとを含んでもよい。
いくつかの実施の形態では、通信インターフェース(複数可)302は、通信環境100または通信環境200においてメッセージを傍受および/または複製するための1つ以上のタップ(たとえば、コンピューティングプラットフォームまたはデバイス)に対応付けられてもよい。
ノード300は、検証エンジン(VE:Validation Engine)304を備えてもよい。VE304は、NN108に関して上述したネットワークノード検証または機能の1つ以上の態様を実行するための任意の適切なエンティティ(たとえば、少なくとも1つのプロセッサ上で実行されるソフトウェア)であってもよい。いくつかの実施の形態では、VE304は、ローミング中の加入者からのモビリティ管理メッセージなど、加入者位置情報を含んだメッセージを識別するための機能を含んでもよい。たとえば、VE304は、ヘッダデータおよび/またはペイロードデータに基づいてメッセージをフィルタ処理することによって、関連性のあるメッセージを識別してもよい。
いくつかの実施の形態では、VE304は、ネットワークノードに対応付けられた信頼度(たとえば、信頼性評価基準)を判断するための機能を含んでもよく、この判断に基づいて様々な動作を行ってもよい。たとえば、VE304は、1つ以上のデータ構造(たとえば、ホワイトリストおよびブラックリスト)を利用して、ネットワークノードが信頼できる、信頼できない、または不明であるかを識別してもよく、この信頼度判断に基づいてその他の動作を行ってもよい。この例では、ネットワークノードが不明である場合、VE304は、ネットワークノード検証を行ってもよい。ネットワークノードが信頼できない場合、このネットワークノードからのすべてのメッセージをブロックまたは破棄してもよい。ネットワークノードが信頼できる場合、信頼できる加入者関連情報を用いてその他のネットワークノードが検証できるよう、ネットワークノードに加入者関連情報を要求し、(たとえば、検証データストアまたはその他のメモリに)格納してもよい。
いくつかの実施の形態では、VE304は、ネットワークノード検証を行うための機能を含んでもよい。たとえば、VE304は、移動先または外部のネットワークノード、たとえば、VLRまたはMSCであると思われるノードが有効であるかどうかを判断するためのネットワークノード検証アルゴリズムを利用してもよい。いくつかの実施の形態では、ネットワークノード検証アルゴリズムは、加入者関連情報(たとえば、IMEI(International Mobile Subscriber Identity)、機器識別子、暗号化キー、または携帯電話加入者に関するセキュリティ価値)を検証するネットワークノードから取得するステップと、検証するネットワークノードからの識別情報が、検証データストアに格納された信頼できるまたは確認済みの加入者関連情報と一致するかどうかを判断するステップとを含んでもよい。たとえば、ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを無効であるまたは無効である可能性があると判断してもよい。ネットワークノードからの加入者関連情報が検証データストアからの加入者関連情報と一致しない場合、ネットワークノードを有効であるまたは有効である可能性があると判断してもよい。
いくつかの実施の形態では、VE304は、ネットワークノード検証の分析または関連する判断に基づいて1つ以上の動作を行うように構成されてもよい。たとえば、ネットワークノードが有効であると判断することに応答して、VE304は、関連メッセージをロケーションレジスタ(たとえば、HLR(複数可)110または別のロケーションレジスタ)に転送してもよく、ネットワークノードもしくはネットワークノードからの位置情報が有効であることを示すメッセージをノード(たとえば、ネットワーク事業者管理センター)に送信してもよく、および/またはメッセージの一部を複製もしくは格納してもよい。別の例では、ネットワークノードが無効であると判断することに応答して、VE304は、関連メッセージを選別、フィルタ処理、もしくは破棄してもよく、パージMSメッセージをHLR(複数可)110に送信してもよく、関連メッセージがロケーションレジスタに届かないようにしてもよく、ネットワークノードもしくはネットワークノードからの位置情報が無効であることを示すメッセージをノードに送信してもよく、および/またはメッセージの一部を複製もしくは格納してもよい。
ノード300またはそれに含まれるVE304は、VDS118またはその他のデータストレージにアクセスしてもよい(たとえば、情報の読み出しおよび/または書き込み)。VDS118またはその他のデータストレージは、加入者関連情報および/またはその他のデータを格納するための任意の適切なエンティティ(たとえば、コンピュータ読み取り可能な媒体またはメモリ)であってもよい。いくつかの実施の形態では、VDS118またはその他のデータストレージは、1人以上の加入者に対応付けられたIMSI、IMEI、および/またはその他のデータを含んでもよい。VDS118またはその他のデータストレージは、加入者位置が有効であるか無効であるかを判断するための情報を含んでもよい。
いくつかの実施の形態では、VDS118またはその他のデータストレージは、信頼できるネットワークノード、信頼できないネットワークノード、および不明なネットワークノードを判断するための1つ以上のデータ構造を含んでもよい。たとえば、VDS118またはその他のデータストレージは、信頼できるまたは良性のネットワークノードのURIまたはその他のネットワークノード識別子を含んだホワイトリストと、信頼できないまたは悪意のあるネットワークノードのURIまたはその他のネットワークノード識別子を含んだブラックリストとを含んでもよい。この例では、VE304は、ネットワークノードに対応付けられた識別子を用いてホワイトリストおよびブラックリストを検査し、いずれのリストにも見つからなかった場合、VE304は、当該ネットワークノードを、検証すべき不明ネットワークノードとして扱ってもよい。
図3およびその関連する記載は例示であり、ノード300は、追加のおよび/または異なるモジュール、構成要素、または機能を含んでもよいことがわかるであろう。
図4は、ネットワークノード検証に関連する例示的なMAPメッセージを示す図である。いくつかの実施の形態では、加入者位置情報は、VLR/MSC400によって提供または設定されてもよい。VLR/MSC400は、悪意のある行為者によって制御されたり制御されなかったり、および/または悪意のある行為(たとえば、歳入詐欺および/または通話の傍受)のために使われたり使われなかったりする。いくつかの実施の形態では、NN108は、ネットワークノードが有効であるかどうかを判断してもよく、この判断に基づいて様々な動作を行ってもよい。いくつかの実施の形態では、NN108は、VE304を含んでもよく、移動先ネットワークであると思われるネットワーク(たとえば、VLR/MSC400)のノードに加入者関連情報(たとえば、IMEI)を要求するように構成されてもよい。
図4を参照すると、ステップ401において、MAP ULメッセージをVLR/MSC400からNN108に送信してもよい。MAP ULメッセージは、UE102の現在地を更新するための情報を含んでもよく、HLR(複数可)110行きのメッセージであってもよい。
いくつかの実施の形態では、NN108は、受信したMAP ULメッセージに関連するVLR/MSC400または別のネットワークノードを検証すべきと判断してもよい。たとえば、VLR/MSC400からMAP ULメッセージを受信した後、VLR/MSC400が不明であった場合、NN108は、ネットワークノード検証を行ってもよい。ネットワークノード検証は、VLR/MSC400にいくつかの加入者関連情報を要求するステップと、それをVDS118または別の信頼できるソースからの既知または確認済みの情報と比較するステップとを含んでもよい。
ステップ402において、MAP PSI(Provide Subscriber Information)またはATI(Any Time Interrogation)メッセージをNN108からVLR/MSC400に送信してもよい。MAP PSIまたはATIメッセージは、どのような加入者関連情報(たとえば、UE102に対応付けられたIMEI)がNN108によって要求されているかを示してもよい。
ステップ403において、MAP PSIまたはATI肯定応答メッセージをVLR/MSC400からNN108に送信してもよい。MAP PSIまたはATI肯定応答メッセージは、要求された加入者関連情報、たとえば、UE102に対応付けられたIMEIを含んでもよい。
ステップ404において、VDS118に含まれるデータを用いてVLR/MSC400から受信した加入者関連情報を確認することによって、ネットワークノード検証を行ってもよい。たとえば、NN108は、VLR/MSC400から受信した、携帯電話加入者に対応付けられたIMEIを、VDS118に格納された携帯電話加入者に対応付けられた確認済みまたは既知のIMEIと比較してもよい。この例では、VLR/MSC400から受信したIMEIがVDS118に格納されたIMEIと一致した場合、ネットワークノードは、有効または検証済みであるとみなされてもよい。VLR/MSC400から受信したIMEIがVDS118に格納されたIMEIと一致しなかった場合、ネットワークノードは、無効または無効化されているとみなされてもよい。
ステップ405において、データ確認チェック(ステップ404)に基づいて少なくとも1つの動作を行ってもよい。たとえば、VLR/MSC400が有効であると判断することに応答して、NN108は、MAP ULメッセージをHLR(複数可)110または別のロケーションレジスタに転送してもよく、VLR/MSC400もしくはVLR/MSC400からの位置情報が有効である(有効である可能性がある)ことを示すメッセージをノードに送信してもよく、またはメッセージの一部を複製もしくは格納してもよい。別の例では、VLR/MSC400が無効(または無効である可能性がある)であると判断することに応答して、NN108は、MAPパージMSメッセージをHLR(複数可)110もしくは別のロケーションレジスタに送信してもよく、MAP ULメッセージを破棄してもよく、MAP ULメッセージがロケーションレジスタに届かないようにしてもよく、VLR/MSC400もしくはVLR/MSC400からの位置情報が無効(たとえば、不正)であることを示すメッセージをノードに送信してもよく、または、メッセージの一部を複製もしくは格納してもよい。
いくつかの実施の形態では、MAP ULメッセージまたは同様のMAP ULメッセージをNN108からHLR(複数可)110に送信してもよい。たとえば、VLR/MSC400が有効である(有効である可能性がある)と判断した後、NN108は、MAP ULメッセージをHLR(複数可)110に送信してもよく、またはMAP ULメッセージを直接HLR(複数可)110に送信させてもよい。別の例では、VLR/MSC400が無効である(または無効である可能性がある)と判断した後、NN108は、詐欺的行為の可能性を減らすようにHLR(複数可)110が携帯電話加入者を利用不可としてマークするよう、VLR/MSC400に対応付けられた1人以上の携帯電話加入者に対するパージ要求メッセージをHLR(複数可)110に送信してもよい。
図4は例示であり、異なるメッセージおよび/もしくは動作、ならびに/または追加のメッセージおよび/もしくは動作が用いられてもよいことがわかるであろう。また本明細書において説明した様々なメッセージおよび/または動作が異なる順序または順番で生じてもよいことがわかるであろう。
図5は、個別のネットワークノード検証に関連する例示的なMAPメッセージを示す図である。いくつかの実施の形態では、NN108は、ネットワークノードに対応付けられた信頼度(たとえば、信頼性評価基準)を判断してもよく、この判断に基づいて様々な動作を行ってもよい。いくつかの実施の形態では、NN108は、1つ以上のデータ構造(たとえば、ホワイトリストおよびブラックリスト)を利用して、ネットワークノードが信頼できる(たとえば、ホワイトリストに入れられているまたは「緑色」)、信頼できない(たとえば、ブラックリストに入れられているまたは「赤色」」)、または不明(たとえば、グレーリストに入れられているまたは「黄色」)であるかを識別してもよく、この信頼度判断に基づいて、NN108は、ネットワークノード検証を行ってもよく、加入者関連情報をVDS118に格納してもよく、および/またはその他の動作を実行してもよい。
図5を参照すると、ステップ501において、MAP ULメッセージをVLR/MSC400からNN108に送信してもよい。MAP ULメッセージは、UE102の現在地を更新するための情報を含んでもよく、HLR(複数可)110行きのメッセージであってもよい。
ステップ502において、VLR/MSC400の信頼度を判断してもよい。たとえば、NN108および/またはVE304は、1つ以上のデータ構造またはVDS118を問い合わせて、VLR/MSC400のネットワークノード識別子が信頼できるが、信頼できないか、または不明であるかを判断してもよい。この例では、例示のために、各レベルを、色を用いて呼ぶ。たとえば、「赤色」は、悪意がある、無効、または信頼できないと認められるノードを表し、「緑色」は、良性の、有効な、または信頼できると認められるノードを表し、「黄色」は、不明であり信頼度を判断するために検証すべきノードを表す。
ステップ503Aにおいて、VLR/MSC400の信頼度が「緑色」または「黄色」である場合、MAP ULメッセージまたは同様のMAP ULメッセージをNN108からHLR(複数可)110に送信してもよい。たとえば、VLR/MSC400が信頼できるまたはブラックリストに入れられていないと判断した後、NN108は、MAP ULメッセージをHLR(複数可)110に送信してもよく、またはMAP ULメッセージを直接HLR(複数可)110に送信させてもよい。
ステップ503Bにおいて、VLR/MSC400の信頼度が「赤色」である場合、MAP ULメッセージもしくは同様のMAP ULメッセージを破棄してもよく、またはHLR(複数可)110に届かないようにしてもよい。たとえば、VLR/MSC400が信頼できないまたはブラックリストに入れられていると判断した後、NN108は、詐欺的行為の可能性を減らすように、VLR/MSC400からのMAP ULメッセージおよび/もしくはその他のメッセージを破棄またはブロックしてもよい。
いくつかの実施の形態では、たとえば、VLR/MSC400の信頼度が「黄色」である場合、NN108は、受信したMAP ULメッセージに対応付けられたVLR/MSC400を検証すべきと判断してもよい。たとえば、VLR/MSC400からMAP ULメッセージを受信した後、VLR/MSC400が不明である場合、NN108は、ネットワークノード検証を行ってもよい。ネットワークノード検証は、VLR/MSC400にいくつかの加入者関連情報を要求するステップと、それをVDS118または別の信頼できるソースからの既知または確認済みの情報と比較するステップとを含んでもよい。
いくつかの実施の形態では、VLR/MSC400にいくつかの加入者関連情報を要求する前に、NN108は、VDS118または関連データストレージを問い合わせて、関連する加入者についての確認情報が既に存在しているかどうかを判断してもよい。たとえば、VLR/MSC400の信頼度が「黄色」であり、かつ、確認情報(たとえば、関連するIMSI値およびIMEI値)が存在しない、および/もしくは(たとえば、VLR/MSC400からの加入者関連情報を確認できないため)ネットワークノード検証を行うことができないとNN108ならびに/またはVE304が判断した場合、NN108および/またはVE304は、加入者関連情報を要求するのをやめてもよい。別の例では、VLR/MSC400の信頼度が「緑色」であり、かつ、確認情報(たとえば、関連するIMSI値ならびにIMEI値)が存在しないとNN108ならびに/またはVE304が判断した場合、NN108および/またはVE304は、VLR/MSC400に加入者関連情報を要求してもよく、その他のネットワークノードを検証するためにVLR/MSC400からの識別情報をVDS118に格納してもよい。
ステップ504において、MAP PSIまたはATIメッセージをNN108からVLR/MSC400に送信してもよい。MAP PSIまたはATIメッセージは、NN108がどのような加入者関連情報(たとえば、UE102に対応付けられたIMEI)を要求しているかを示してもよい。
ステップ505において、MAP PSIまたはATI肯定応答メッセージをVLR/MSC400からNN108に送信してもよい。MAP PSIまたはATI肯定応答メッセージは、要求された加入者関連情報、たとえば、UE102に対応付けられたIMEIを含んでもよい。
いくつかの実施の形態では、NN108および/またはVE30は、VLR/MSC400の信頼度に応じてネットワークノード検証を行うまたはVDS118を更新するように構成されてもよい。
ステップ506Aにおいて、VLR/MSC400の信頼度が「黄色」である場合、VDS118に含まれるデータを用いてVLR/MSC400から受信した加入者関連情報を確認することによって、ネットワークノード検証を行ってもよい。たとえば、NN108は、VLR/MSC400から受信した、携帯電話加入者に対応付けられたIMEIを、VDS118に格納された携帯電話加入者に対応付けられた確認済みまたは既知のIMEIと比較してもよい。この例では、VLR/MSC400から受信したIMEIがVDS118に格納されたIMEIと一致した場合、ネットワークノードは、有効または検証済みであるとみなされてもよい。VLR/MSC400から受信したIMEIがVDS118に格納されたIMEIと一致しなかった場合、ネットワークノードは、無効または無効化されているとみなされてもよい。
ステップ506Bにおいて、VLR/MSC400の信頼度が「緑色」である場合、VLR/MSC400から受信した加入者関連情報をVDS118に格納してもよい。たとえば、NN108および/またはVE304は、その他のネットワークノードを検証するためにVLR/MSC400からのIMEI、IMSI、および/またはその他の加入者関連情報をVDS118に格納してもよい。
ステップ507において、データ確認チェック(ステップ506A)に基づいて少なくとも1つの動作を行ってもよい。たとえば、VLR/MSC400が有効であると判断することに応答して、NN108は、MAP ULメッセージをHLR(複数可)110もしくは別のロケーションレジスタに転送してもよく、VLR/MSC400もしくはVLR/MSC400からの位置情報が有効である(有効である可能性がある)ことを示すメッセージをノードに送信してもよく、またはメッセージの一部を複製もしくは格納してもよい。別の例では、VLR/MSC400が無効(または無効である可能性がある)であると判断することに応答して、NN108は、MAPパージMSメッセージをHLR(複数可)110もしくは別のロケーションレジスタに送信してもよく、MAP ULメッセージを破棄してもよく、MAP ULメッセージがロケーションレジスタに届かないようにしてもよく、VLR/MSC400もしくはVLR/MSC400からの位置情報が無効(たとえば、不正)であることを示すメッセージをノードに送信してもよく、または、メッセージの一部を複製もしくは格納してもよい。
図5は例示であり、異なるメッセージおよび/もしくは動作、ならびに/または追加のメッセージおよび/もしくは動作が用いられてもよいことがわかるであろう。また本明細書において説明した様々なメッセージおよび/または動作が異なる順序または順番で生じてもよいことがわかるであろう。
図6は、ネットワークノード検証に関連する例示的なDiameterメッセージを示す図である。いくつかの実施の形態では、加入者位置情報は、MME600によって提供または設定されてもよい。MME600は、悪意のある行為者によって制御されたり制御されなかったり、および/または悪意のある行為(たとえば、歳入詐欺および/または通話の傍受)のために使われたり使われなかったりする。いくつかの実施の形態では、NN108は、ネットワークノードが有効であるかどうかを判断してもよく、この判断に基づいて様々な動作を行ってもよい。いくつかの実施の形態では、NN108は、VE304を含んでもよく、移動先ネットワークであると思われるネットワーク(たとえば、MME600)のノードに加入者関連情報(たとえば、IMEI)を要求するように構成されてもよい。
図6を参照すると、ステップ601において、Diameter ULRメッセージをMME600からNN108に送信してもよい。Diameter ULRメッセージは、UE102の現在地を更新するための情報を含んでもよく、HSS(複数可)210行きのメッセージであってもよい。いくつかの実施の形態では、Diameter ULRメッセージは、たとえば「端末情報」AVPまたはその他のAVPに格納されたIMSIおよび/もしくはIMEIを含んでもよい。
いくつかの実施の形態では、NN108に送信または転送されるDiameter NOR(Notification Request)メッセージにIMEIが含まれていてもよい。たとえば、NN108がHSS(複数可)210のうちの1つである場合、MME600は、(たとえば、関連するDiameter ULRメッセージに含まれるIMSIに対応付けられた)IMEIを含んだNORメッセージをS6aインターフェースを介して送信してもよい。この例では、IMEIはAVP、たとえば、「端末情報」AVPに格納されてもよい。
いくつかの実施の形態では、たとえば、受信したDiameter ULRメッセージがIMEIを含んでいない場合、Diameter ULRメッセージに対応付けられたIMEIもしくは関連するIMSIをVDS118から受信または取得してもよい。たとえば、IMSI、またはIMEIではない別の識別子を含んだDiameter ULRメッセージを受信した後、NN108は、対応するIMEIについてVDS118に問い合わせてもよい。
いくつかの実施の形態では、NN108は、MME600または受信したDiameter ULRメッセージに対応付けられた別のネットワークノードを検証すべきと判断してもよい。たとえば、MME600からDiameter ULRメッセージを受信した後、MME600が不明であるまたは信頼できない場合、NN108は、ネットワークノード検証を行ってもよい。ネットワークノード検証は、MME600にいくつかの加入者関連情報を要求するステップと、それをVDS118または別の信頼できるソースからの既知または確認済みの情報と比較するステップとを含んでもよい。
ステップ602において、Diameter PSL要求メッセージをNN108からMME600に送信してもよい。Diameter PSL要求メッセージは、加入者関連情報を要求し、データ検索用のIMEIを含んでもよい。
ステップ603において、Diameter PSL応答メッセージをMME600からNN108に送信してもよい。たとえば、受信した(たとえば、Diameter PSL要求メッセージからの)IMEIをMME600がそのデータストア内に見つけることができた場合、有効な加入者関連情報を含んだDiameter PSL応答メッセージがNN108に送信され、MME600が有効であることを示してもよい。しかし、受信したIMEIをMME600がそのデータストア内に見つけられなかった場合、エラーを示すまたは無効な加入者関連情報を含んだDiameter PSL応答メッセージがNN108に送信され、MME600が無効(たとえば、偽物)であることを示してもよい。
ステップ604において、VDS118に含まれるデータを用いてMME600から受信した加入者関連情報を確認することによって、ネットワークノード検証を行ってもよい。たとえば、NN108は、MME600から受信した、携帯電話加入者に対応付けられたIMEIを、VDS118に格納された携帯電話加入者に対応付けられた確認済みまたは既知のIMEIと比較してもよい。この例では、MME600から受信したIMEIがVDS118に格納されたIMEIと一致した場合、ネットワークノードは、有効または検証済みであるとみなされてもよい。MME600から受信したIMEIがVDS118に格納されたIMEIと一致しなかった場合、ネットワークノードは、無効または無効化されているとみなされてもよい。
ステップ605において、データ確認チェック(ステップ604)に基づいて少なくとも1つの動作を行ってもよい。たとえば、MME600が有効であると判断することに応答して、NN108は、Diameter ULRメッセージをHSS(複数可)210もしくは別のロケーションレジスタに転送してもよく、MME600もしくはMME600からの位置情報が有効である(有効である可能性がある)ことを示すメッセージをノードに送信してもよく、またはメッセージの一部を複製もしくは格納してもよい。別の例では、MME600が無効(または無効である可能性がある)であると判断することに応答して、NN108は、Diameterパージ要求メッセージをHSS(複数可)210もしくは別のロケーションレジスタに送信してもよく、Diameter ULRメッセージを破棄してもよく、Diameter ULRメッセージがロケーションレジスタに届かないようにしてもよく、MME600もしくはMME600からの位置情報が無効(たとえば、不正)であることを示すメッセージをノードに送信してもよく、または、メッセージの一部を複製もしくは格納してもよい。
いくつかの実施の形態では、Diameter ULRメッセージまたは同様のDiameter ULRメッセージをNN108からHSS(複数可)210に送信してもよい。たとえば、MME600が有効である(有効である可能性がある)と判断した後、NN108は、Diameter ULRメッセージをHSS(複数可)210に送信してもよく、またはDiameter ULRメッセージを直接HSS(複数可)210に送信させてもよい。別の例では、MME600が無効である(または無効である可能性がある)と判断した後、NN108は、詐欺的行為の可能性を減らすようにHSS(複数可)210が携帯電話加入者を利用不可としてマークするよう、MME600に対応付けられた1人以上の携帯電話加入者に対するパージ要求メッセージをHSS(複数可)210に送信してもよい。
図6は例示であり、異なるメッセージおよび/もしくは動作、ならびに/または追加のメッセージおよび/もしくは動作が用いられてもよいことがわかるであろう。また本明細書において説明した様々なメッセージおよび/または動作が異なる順序または順番で生じてもよいことがわかるであろう。
図7は、個別のネットワークノード検証に関連する例示的なDiameterメッセージを示す図である。いくつかの実施の形態では、NN108は、ネットワークノードに対応付けられた信頼度(たとえば、信頼性評価基準)を判断してもよく、この判断に基づいて様々な動作を行ってもよい。いくつかの実施の形態では、NN108は、1つ以上のデータ構造(たとえば、ホワイトリストおよびブラックリスト)を利用して、ネットワークノードが信頼できる(たとえば、ホワイトリストに入れられているまたは「緑色」)、信頼できない(たとえば、ブラックリストに入れられているまたは「赤色」」)、または不明(たとえば、グレーリストに入れられているまたは「黄色」)であるかを識別してもよく、この信頼度判断に基づいて、NN108は、ネットワークノード検証を行ってもよく、加入者関連情報をVDS118に格納してもよく、および/またはその他の動作を実行してもよい。
図7を参照すると、ステップ701において、Diameter ULRメッセージをMME600からNN108に送信してもよい。Diameter ULRメッセージは、UE102の現在地を更新するための情報を含んでもよく、HSS(複数可)210行きのメッセージであってもよい。いくつかの実施の形態では、Diameter ULRメッセージは、たとえば「端末情報」AVPまたはその他のAVPに格納されたIMSIおよび/もしくはIMEIを含んでもよい。
いくつかの実施の形態では、NN108に送信または転送されるDiameter NOR(Notification Request)メッセージにIMEIが含まれていてもよい。たとえば、NN108がHSS(複数可)210のうちの1つである場合、MME600は、(たとえば、関連するDiameter ULRメッセージに含まれるIMSIに対応付けられた)IMEIを含んだNORメッセージをS6aインターフェースを介して送信してもよい。この例では、IMEIはAVP、たとえば、「端末情報」AVPに格納されてもよい。
いくつかの実施の形態では、たとえば、受信したDiameter ULRメッセージがIMEIを含んでいない場合、Diameter ULRメッセージに対応付けられたIMEIもしくは関連するIMSIをVDS118から受信または取得してもよい。たとえば、IMSI、またはIMEIではない別の識別子を含んだDiameter ULRメッセージを受信した後、NN108は、対応するIMEIについてVDS118に問い合わせてもよい。
ステップ702において、MME600の信頼度を判断してもよい。たとえば、NN108および/またはVE304は、1つ以上のデータ構造またはVDS118を問い合わせて、MME600のネットワークノード識別子が信頼できるが、信頼できないか、または不明であるかを判断してもよい。この例では、例示のために、各レベルを、色を用いて呼ぶ。たとえば、「赤色」は、悪意がある、無効、または信頼できないと認められるノードを表し、「緑色」は、良性の、有効な、または信頼できると認められるノードを表し、「黄色」は、不明であり信頼度を判断するために検証すべきノードを表す。
ステップ703Aにおいて、MME600の信頼度が「緑色」または「黄色」である場合、Diameter ULRメッセージまたは同様のDiameter ULRメッセージをNN108からHSS(複数可)210に送信してもよい。たとえば、MME600が信頼できるまたはブラックリストに入れられていないと判断した後、NN108は、Diameter ULRメッセージをHSS(複数可)210に送信してもよく、またはDiameter ULRメッセージを直接HSS(複数可)210に送信させてもよい。
ステップ703Bにおいて、MME600の信頼度が「赤色」である場合、Diameter ULRメッセージもしくは同様のDiameter ULRメッセージを破棄してもよく、またはHSS(複数可)210に届かないようにしてもよい。たとえば、MME600が信頼できないまたはブラックリストに入れられていると判断した後、NN108は、詐欺的行為の可能性を減らすように、Diameter ULRメッセージおよび/もしくはMME600からのその他のメッセージを破棄またはブロックしてもよい。
いくつかの実施の形態では、たとえば、MME600の信頼度が「黄色」である場合、NN108は、受信したDiameter ULRメッセージに対応付けられたMME600を検証すべきと判断してもよい。たとえば、MME600からDiameter ULRメッセージを受信した後、MME600が不明であるまたは信頼できない場合、NN108は、ネットワークノード検証を行ってもよい。ネットワークノード検証は、MME600にいくつかの加入者関連情報を要求するステップと、それをVDS118または別の信頼できるソースからの既知または確認済みの情報と比較するステップとを含んでもよい。
いくつかの実施の形態では、MME600にいくつかの加入者関連情報を要求する前に、NN108は、VDS118または関連データストレージを問い合わせて、関連する加入者についての確認情報が既に存在しているかどうかを判断してもよい。たとえば、MME600の信頼度が「黄色」であり、かつ、確認情報(たとえば、関連するIMSI値およびIMEI値)が存在しない、および/もしくは(たとえば、MME600からの加入者関連情報を確認できないため)ネットワークノード検証を行うことができないとNN108および/またはVE304が判断した場合、NN108および/またはVE304は、加入者関連情報を要求するのをやめてもよい。別の例では、MME600の信頼度が「緑色」であり、かつ、確認情報(たとえば、関連するIMSI値ならびにIMEI値)が存在しないとNN108および/またはVE304が判断した場合、NN108および/またはVE304は、MME600に加入者関連情報を要求してもよく、その他のネットワークノードを検証するためにMME600からの識別情報をVDS118に格納してもよい。
ステップ704において、Diameter PSL要求メッセージをNN108からMME600に送信してもよい。Diameter PSL要求メッセージは、加入者関連情報を要求してもよく、データ検索用のIMEIを含んでもよい。
ステップ705において、Diameter PSL応答メッセージをMME600からNN108に送信してもよい。PSL応答メッセージは、要求された加入者関連情報、たとえば、UE102に対応付けられたIMEIを含んでもよい。たとえば、受信した(たとえば、Diameter PSL要求メッセージからの)IMEIをMME600がそのデータストア内に見つけることができた場合、有効な加入者関連情報を含んだDiameter PSL応答メッセージがNN108に送信され、MME600が有効であることを示してもよい。しかし、受信したIMEIをMME600がそのデータストア内に見つけられなかった場合、エラーを示すまたは無効な加入者関連情報を含んだDiameter PSL応答メッセージがNN108に送信され、MME600が無効(たとえば、偽物)であることを示してもよい。
いくつかの実施の形態では、NN108および/またはVE304は、MME600の信頼度に応じてネットワークノード検証を行うまたはVDS118を更新するように構成されてもよい。
ステップ706Aにおいて、MME600の信頼度が「黄色」である場合、VDS118に含まれるデータを用いてMME600から受信した加入者関連情報を確認することによって、ネットワークノード検証を行ってもよい。たとえば、NN108は、MME600から受信した、携帯電話加入者に対応付けられたIMEIを、VDS118に格納された携帯電話加入者に対応付けられた確認済みまたは既知のIMEIと比較してもよい。この例では、MME600から受信したIMEIがVDS118に格納されたIMEIと一致した場合、ネットワークノードは、有効または検証済みであるとみなされてもよい。MME600から受信したIMEIがVDS118に格納されたIMEIと一致しなかった場合、ネットワークノードは、無効または無効化されているとみなされてもよい。
ステップ706Bにおいて、MME600の信頼度が「緑色」である場合、MME600から受信した加入者関連情報をVDS118に格納してもよい。たとえば、NN108および/またはVE304は、その他のネットワークノードを検証するためにMME600からのIMEI、IMSI、および/またはその他の加入者関連情報をVDS118に格納してもよい。
ステップ707において、データ確認チェック(ステップ706A)に基づいて少なくとも1つの動作を行ってもよい。たとえば、MME600が有効であると判断することに応答して、NN108は、Diameter ULRメッセージをHSS(複数可)210もしくは別のロケーションレジスタに転送してもよく、MME600もしくはMME600からの位置情報が有効である(有効である可能性がある)ことを示すメッセージをノードに送信してもよく、またはメッセージの一部を複製もしくは格納してもよい。別の例では、MME600が無効(または無効である可能性がある)であると判断することに応答して、NN108は、Diameterパージ要求メッセージをHSS(複数可)210もしくは別のロケーションレジスタに送信してもよく、Diameter ULRメッセージを破棄してもよく、Diameter ULRメッセージがロケーションレジスタに届かないようにしてもよく、MME600もしくはMME600からの位置情報が無効(たとえば、不正)であることを示すメッセージをノードに送信してもよく、または、メッセージの一部を複製もしくは格納してもよい。
図7は例示であり、異なるメッセージおよび/もしくは動作、ならびに/または追加のメッセージおよび/もしくは動作が用いられてもよいことがわかるであろう。また本明細書において説明した様々なメッセージおよび/または動作が異なる順序または順番で生じてもよいことがわかるであろう。
図8は、ネットワークノード検証のための例示的な工程800を示す図である。いくつかの実施の形態では、本明細書において説明する例示的な工程800またはその一部は、NN108、ノード300、VE304、および/または別のモジュールもしくはノードにおいて、またはそれらによって実行されてもよい。
例示的な工程800を参照すると、ステップ802において、携帯電話加入者に対応付けられた第1メッセージをネットワークノードから受信してもよい。たとえば、NN108は、VLR/MSC400からであると思われるMAP ULメッセージを受信してもよい。
いくつかの実施の形態では、携帯電話加入者に対応付けられた第1メッセージは、Diameterメッセージ、Diameter ULRメッセージ、Diameter NORメッセージ、MAPメッセージ、MAP位置更新メッセージ、または位置検証要求メッセージを含んでもよい。
ステップ804において、携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを第1ネットワークノードによって第2ネットワークノードに送信してもよい。
いくつかの実施の形態では、クエリは、MAP PSI要求メッセージ、MAP ATI要求メッセージ、またはDiameter PSL要求メッセージを含んでもよく、このクエリに対する応答は、MAP PSI応答メッセージ、MAP ATI応答メッセージ、またはDiameter ULRメッセージを含んでもよい。
ステップ806において、クエリに対する第2ネットワークノードからの応答を第1ネットワークノードによって受信してもよく、ここで、応答は、識別情報を含む。たとえば、NN108が携帯電話加入者に対応付けられたMAP ULメッセージをVLR/MSC400から受信した後、VLR/MSC400および/またはその携帯電話加入者(ならびに関連する移動機器)との関係性を検証するように、NN108は、携帯電話加入者に対応付けられたIMEIを要求してもよい。この例では、携帯電話加入者に対応付けられたIMEIを要求するMAP PSIメッセージを受信した後、VLR/MSC400は、携帯電話加入者に対応付けられたIMEIを提供してもよい。別の例では、IMEIを要求するMAP PSIメッセージを受信した後、VLR/MSC400は応答しなくてもよく、または、携帯電話加入者に対応付けられていないIMEIを提供してもよい。
ステップ808において、この応答から識別情報を抽出してもよい。
ステップ810において、応答から抽出された識別情報と、携帯電話加入者の移動通信機器を識別する検証済みの識別情報とを比較してもよい。いくつかの実施の形態では、検証済みの識別情報は、第2ネットワークノードとは別の信頼できるソースからの識別情報である。たとえば、NN108は、VLR/MSC400から受信した携帯電話加入者に対応付けられたIMEIを、VDS118に格納された携帯電話加入者に対応付けられた確認済みまたは既知のIMEIと比較してもよい。この例では、VLR/MSC400から受信したIMEIがVDS118に格納されたIMEIと一致した場合、ネットワークノードは、有効または検証済みであるとみなされてもよい。VLR/MSC400から受信したIMEIがVDS118に格納されたIMEIと一致しない場合、ネットワークノードは、無効または無効化されているとみなされてもよい。
いくつかの実施の形態では、携帯電話加入者に対応付けられた携帯電話加入者識別子を利用して検証データストアに問い合わせて携帯電話加入者に対応付けられたIMEIを取得することによって、検証済み識別情報を取得してもよく、検証データストア(たとえば、VDS118)は、携帯電話加入者識別子によって索引付けされたIMEIを含む。
いくつかの実施の形態では、検証済み識別情報を提供するための信頼できるソースは、ホームネットワークノード、データストア、または以前に検証済みのネットワークノードを含む。たとえば、MME600からDiameter ULRメッセージを受信した場合、NN108は、ネットワークノード識別子(たとえば、ソースURI)と、ネットワークノードが信頼できるかどうかを判断するためのホワイトリストとを利用してもよい。この例では、MME600が信頼できる場合、NN108は、特定の加入者に対応付けられたIMEIおよび/またはその他の加入者関連情報を要求してもよく、当該情報をMME600から受信すると、VDS118に格納してもよい。
ステップ812において、応答から抽出された識別情報が検証済みの識別情報に一致することに応答して、第1メッセージを送信する承認を受けていると第2ネットワークノードを認識し、第1メッセージを処理してもよい。
いくつかの実施の形態では、第1メッセージを処理するステップは、第1メッセージをロケーションレジスタに転送するステップ、ネットワークノードまたはネットワークノードからの位置情報が有効であることを示すメッセージをノードに送信するステップ、または第1メッセージの一部を複製または格納するステップを含んでもよい。
ステップ814において、応答から抽出された識別情報が検証済みの識別情報に一致しないことに応答して、第1メッセージを送信する承認を受けていないと第2ネットワークノードを認識し、第1メッセージをネットワークセキュリティ脅威として識別してもよい。
いくつかの実施の形態では、第1メッセージをネットワークセキュリティ脅威として識別することに応答して、第1ネットワークノードは、MAPパージMSメッセージを送信してもよく、Diameterパージ要求メッセージを送信してもよく、第1メッセージを破棄してもよく、第1メッセージがロケーションレジスタに届かないようにしてもよく、ネットワークノードもしくはネットワークノードからの位置情報が無効であることを示すメッセージをノードに送信してもよく、または、第1メッセージの一部を複製もしくは格納してもよい。
いくつかの実施の形態では、ロケーションレジスタは、HLRまたはHSSを含んでもよい。
いくつかの実施の形態では、第1ネットワークノード(たとえば、NN108、ノード300、またはVE304を含むネットワークノード)は、Diameterノード、Diameterルーティングエージェント、Diameter信号ルータ、ゲートウェイ、信号ルータ、STP、SG(Signaling Gateway)、No.7共通線信号方式(SS7)ノード、または信号ノードを含んでもよい。
いくつかの実施の形態では、第2ネットワークノード(たとえば、MAP ULメッセージまたはDiameter ULRメッセージを送信するネットワークノード)は、MME、VLR、MSC、移動先ネットワークのノード、外部のネットワークノード、SGSN、またはゲートウェイを含んでもよい。
本明細書に記載の発明の主題のいくつかの態様を、SS7およびDiameterをベースとしてモバイルネットワーク(たとえば、2G、3G、4G、LTE、EPC/EPS)を例に説明したが、本明細書に記載の発明の主題のいくつかの態様は、様々なその他のネットワークによって利用されてもよいことがわかるであろう。たとえば、メッセージを利用する任意のネットワークおよび/またはメッセージルーティングノードを含む任意のネットワークは、本明細書に記載の特徴、仕組み、および技術を利用してネットワークノードを検証したり、ネットワークノードのメッセージを軽減(たとえば、選別またはフィルタ処理)したりしてもよい。
なお、本明細書に記載のNN108、ノード300、および/または機能が特殊用途のコンピューティングデバイスを構成してもよい。さらには、本明細書に記載のNN108、ノード300、および/または機能によって、ネットワークセキュリティの技術分野および/または不正防止を改善することができる。たとえば、ネットワークノード(たとえば、VLR/MSCまたはMMEであると思われるノード)を検証し、このようなネットワークノードが無効(たとえば、不正)であると思われる場合に1つ以上の緩和措置を行うことによって、悪意のある行為およびそれによる否定的な結果(たとえば、歳入詐欺)を回避および/または防止することができる。
本明細書に記載の主題の様々な詳細は、本明細書に記載の主題の範囲を逸脱することなく変更されてもよいと理解されるであろう。さらには、上記の説明はあくまで例示にすぎず、限定ではない。

Claims (20)

  1. ネットワークノードを検証するための方法であって、
    第1ネットワークノードにおいて、
    携帯電話加入者に対応付けられた第1メッセージを第2ネットワークノードから受信するステップと、
    前記第1ネットワークノードが、前記携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを前記第2ネットワークノードに送信するステップと、
    前記第1ネットワークノードが、前記クエリに対する応答を前記第2ネットワークノードから受信するステップとを含み、前記応答は、前記識別情報を含み、前記方法は、さらに、
    前記応答から前記識別情報を抽出するステップと、
    前記応答から抽出された前記識別情報と、前記携帯電話加入者の前記移動通信機器を識別する検証済み識別情報とを比較するステップとを含み、前記検証済み識別情報は、前記第2ネットワークノードとは別の信頼できるソースからの識別情報であり、前記方法は、さらに、
    前記応答から抽出された前記識別情報が前記検証済み識別情報に一致することに応答して、前記第1メッセージを送信する承認を受けていると前記第2ネットワークノードを認識し、前記第1メッセージを処理するステップと、
    前記応答から抽出された前記識別情報が前記検証済み識別情報に一致しないことに応答して、前記第1メッセージを送信する承認を受けていないと前記第2ネットワークノードを認識し、前記第1メッセージをネットワークセキュリティ脅威として識別するステップとを含む、方法。
  2. 前記第1メッセージは、Diameterメッセージ、DiameterULR(Update Location Request)メッセージ、DiameterNOR(Notification Request)メッセージ、MAP(Mobile Application Part)メッセージ、MAP位置更新メッセージ、または位置検証要求メッセージを含む、請求項1に記載の方法。
  3. 前記識別情報は、IMEI(International Mobile Equipment Identity)、機器識別子、暗号化キー、または携帯電話加入者に関するセキュリティ価値を含む、請求項1または2に記載の方法。
  4. 前記クエリは、MAP(Mobile Application Part)PSI(Provide Subscriber Information)要求メッセージ、MAP ATI(Any Time Interrogation)要求メッセージ、またはDiameterPSL(Provide Subscriber Location)要求メッセージを含み、前記応答は、MAP PSI応答メッセージ、MAP ATI応答メッセージ、またはDiameterULR(Update Location Request)メッセージを含む、先行する請求項のいずれか1項に記載の方法。
  5. 前記検証済み識別情報は、前記携帯電話加入者に対応付けられた携帯電話加入者識別子を用いて検証データストアに問い合わせて、前記携帯電話加入者に対応付けられたIMEIを取得することによって取得され、前記検証データストアは、携帯電話加入者識別子によって索引付けされたIMEIを含む、先行する請求項のいずれか1項に記載の方法。
  6. 前記信頼できるソースは、ホームネットワークノード、データストア、または以前に検証済みのネットワークノードを含む、先行する請求項のいずれか1項に記載の方法。
  7. 前記第1メッセージを処理するステップは、前記第1メッセージをロケーションレジスタに転送するステップ、前記第2ネットワークノードが有効であることを示すメッセージをノードに送るステップ、または前記第1メッセージの一部を複製または格納するステップを含む、先行する請求項のいずれか1項に記載の方法。
  8. 前記第1メッセージをネットワークセキュリティ脅威として識別することに応答して、MAP(Mobile Application Part)パージMSメッセージを送信するステップ、Diameterパージ要求メッセージを送信するステップ、前記第1メッセージを破棄するステップ、前記第1メッセージがロケーションレジスタに届かないようにするステップ、前記第2ネットワークノードが無効であることを示すメッセージをノードに送るステップ、または前記第1メッセージの一部を複製または格納するステップを含む、先行する請求項のいずれか1項に記載の方法。
  9. 前記第1ネットワークノードは、Diameterノード、Diameterルーティングエージェント、Diameter信号ルータ、ゲートウェイ、信号ルータ、STP(Signal Transfer Point)、SG(Signaling Gateway)、No.7共通線信号方式(SS7)ノード、または信号ノードを含み、前記第2ネットワークノードは、MME(Mobility Management Element)、VLR(Visitor Location Register)、MSC(Mobile Switching Center)、移動先ネットワークにあるノード、外部のネットワークノード、SGSN(Serving GPRS(General Packet Radio Service)Support Node)、またはゲートウェイを含む、先行する請求項のいずれか1項に記載の方法。
  10. ネットワークノードを検証するためのシステムであって、
    第1ネットワークノードを備え、前記第1ネットワークノードは、
    少なくとも1つのプロセッサと、
    メモリとを含み、
    前記第1ネットワークノードは、
    携帯電話加入者に対応付けられた第1メッセージを第2ネットワークノードから受信し、
    前記携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを前記第1ネットワークノードが前記第2ネットワークノードに送信し、
    前記クエリに対する応答を前記第1ネットワークノードが前記第2ネットワークノードから受信するように構成され、前記応答は、前記識別情報を含み、前記第1ネットワークノードは、さらに、
    前記応答から前記識別情報を抽出し、
    前記応答から抽出された前記識別情報と、前記携帯電話加入者の前記移動通信機器を識別する検証済み識別情報とを比較するように構成され、前記検証済み識別情報は、前記第2ネットワークノードとは別の信頼できるソースからの識別情報であり、前記第1ネットワークノードは、さらに、
    前記応答から抽出された前記識別情報が前記検証済み識別情報に一致することに応答して、前記第1メッセージを送信する承認を受けていると前記第2ネットワークノードを認識して前記第1メッセージを処理し、
    前記応答から抽出された前記識別情報が前記検証済み識別情報に一致しないことに応答して、前記第1メッセージを送信する承認を受けていないと前記第2ネットワークノードを認識して前記第1メッセージをネットワークセキュリティ脅威として識別するように構成される、システム。
  11. 前記第1メッセージは、Diameterメッセージ、DiameterULR(Update Location Request)メッセージ、DiameterNOR(Notification Request)メッセージ、MAP(Mobile Application Part)メッセージ、MAP位置更新メッセージ、または位置検証要求メッセージを含む、請求項10に記載のシステム。
  12. 前記識別情報は、IMEI(International Mobile Equipment Identity)、機器識別子、暗号化キー、または携帯電話加入者に関するセキュリティ価値を含む、請求項10または11に記載のシステム。
  13. 前記クエリは、MAP(Mobile Application Part)PSI(Provide Subscriber Information)要求メッセージ、MAP ATI(Any Time Interrogation)要求メッセージ、またはDiameterPSL(Provide Subscriber Location)要求メッセージを含み、前記応答は、MAP PSI応答メッセージ、MAP ATI応答メッセージ、またはDiameterULR(Update Location Request)メッセージを含む、請求項10〜12のいずれか1項に記載のシステム。
  14. 前記検証済み識別情報は、前記携帯電話加入者に対応付けられた携帯電話加入者識別子を用いて検証データストアに問い合わせて、前記携帯電話加入者に対応付けられたIMEIを取得することによって取得され、前記検証データストアは、携帯電話加入者識別子によって索引付けされたIMEIを含む、請求項10〜13のいずれか1項に記載のシステム。
  15. 前記信頼できるソースは、ホームネットワークノード、データストア、または以前に検証済みのネットワークノードを含む、請求項10〜14のいずれか1項に記載のシステム。
  16. 前記第1メッセージを処理することは、前記第1メッセージをロケーションレジスタに転送すること、前記第2ネットワークノードが有効であることを示すメッセージをノードに送ること、または前記第1メッセージの一部を複製または格納することを含む、請求項10〜15のいずれか1項に記載のシステム。
  17. 前記第1ネットワークノードは、
    前記第1メッセージをネットワークセキュリティ脅威として識別することに応答して、MAP(Mobile Application Part)パージMSメッセージを送信すること、Diameterパージ要求メッセージを送信する、前記第1メッセージを破棄する、前記第1メッセージがロケーションレジスタに届かないようにする、前記第2ネットワークノードが無効であることを示すメッセージをノードに送る、または前記第1メッセージの一部を複製または格納するように構成される、請求項10〜16のいずれか1項に記載のシステム。
  18. 前記第1ネットワークノードは、Diameterノード、Diameterルーティングエージェント、Diameter信号ルータ、ゲートウェイ、信号ルータ、STP(Signal Transfer Point)、SG(Signaling Gateway)、No.7共通線信号方式(SS7)ノード、または信号ノードを含み、前記第2ネットワークノードは、MME(Mobility Management Element)、VLR(Visitor Location Register)、MSC(Mobile Switching Center)、移動先ネットワークにあるノード、外部のネットワークノード、SGSN(Serving GPRS(General Packet Radio Service)Support Node)、またはゲートウェイを含む、請求項10〜17のいずれか1項に記載のシステム。
  19. コンピュータにより実行可能な命令を含む非一時的なコンピュータ読み取り可能な媒体であって、前記命令は、少なくとも1つのコンピュータの少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのコンピュータにステップを実行させ、前記ステップは、
    第1ネットワークノードにおいて、
    携帯電話加入者に対応付けられた第1メッセージを第2ネットワークノードから受信するステップと、
    前記携帯電話加入者の移動通信機器を識別する識別情報を要求するクエリを前記第1ネットワークノードが前記第2ネットワークノードに送信するステップと、
    前記クエリに対する応答を前記第1ネットワークノードが前記第2ネットワークノードから受信するステップとを含み、前記応答は、前記識別情報を含み、前記少なくとも1つのコンピュータに実行させる前記ステップは、さらに、
    前記応答から前記識別情報を抽出するステップと、
    前記応答から抽出された前記識別情報と、前記携帯電話加入者の前記移動通信機器を識別する検証済み識別情報とを比較するステップとを含み、前記検証済み識別情報は、前記第2ネットワークノードとは別の信頼できるソースからの識別情報であり、前記少なくとも1つのコンピュータに実行させる前記ステップは、さらに、
    前記応答から抽出された前記識別情報が前記検証済み識別情報に一致することに応答して、前記第1メッセージを送信する承認を受けていると前記第2ネットワークノードを認識し、前記第1メッセージを処理するステップと、
    前記応答から抽出された前記識別情報が前記検証済み識別情報に一致しないことに応答して、前記第1メッセージを送信する承認を受けていないと前記第2ネットワークノードを認識し、前記第1メッセージをネットワークセキュリティ脅威として識別するステップとを含む、非一時的なコンピュータ読み取り可能な媒体。
  20. 前記第1メッセージは、Diameterメッセージ、DiameterULR(Update Location Request)メッセージ、MAP(Mobile Application Part)メッセージ、MAP位置更新メッセージ、または位置検証要求メッセージを含む、請求項19に記載の非一時的なコンピュータ読み取り可能な媒体。
JP2020572898A 2018-06-29 2019-04-23 ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体 Active JP7246418B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/024,422 2018-06-29
US16/024,422 US10931668B2 (en) 2018-06-29 2018-06-29 Methods, systems, and computer readable media for network node validation
PCT/US2019/028814 WO2020005374A1 (en) 2018-06-29 2019-04-23 Methods, systems, and computer readable media for network node validation

Publications (3)

Publication Number Publication Date
JP2021529475A true JP2021529475A (ja) 2021-10-28
JP2021529475A5 JP2021529475A5 (ja) 2021-12-16
JP7246418B2 JP7246418B2 (ja) 2023-03-27

Family

ID=66857963

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020572898A Active JP7246418B2 (ja) 2018-06-29 2019-04-23 ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体

Country Status (5)

Country Link
US (1) US10931668B2 (ja)
EP (1) EP3815415A1 (ja)
JP (1) JP7246418B2 (ja)
CN (1) CN112335271B (ja)
WO (1) WO2020005374A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7343729B1 (ja) 2023-06-08 2023-09-12 株式会社インターネットイニシアティブ モバイル通信システムおよび通信制御方法

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10616200B2 (en) 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
US10952063B2 (en) 2019-04-09 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening
GB2586223A (en) * 2019-08-05 2021-02-17 British Telecomm Conditional message routing in a telecommunications network
US11411925B2 (en) * 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11310653B1 (en) 2020-10-15 2022-04-19 Hewlett Packard Enterprise Development Lp Visitor location register registration handling
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries
US11792633B2 (en) * 2021-05-25 2023-10-17 T-Mobile Usa, Inc. Device authentication verification for device registration
US20230232232A1 (en) * 2022-01-19 2023-07-20 Oracle International Corporation Methods, systems, and computer readable media for providing call intelligence to a signaling firewall in a communications network
CN115333946B (zh) * 2022-07-28 2024-03-08 深圳海星智驾科技有限公司 一种机器人操作系统的节点查询方法、装置和设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011010640A1 (ja) * 2009-07-21 2011-01-27 日本電気株式会社 通信システム
US20180167906A1 (en) * 2016-12-12 2018-06-14 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber location information

Family Cites Families (94)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE508514C2 (sv) 1997-02-14 1998-10-12 Ericsson Telefon Ab L M Förfarande och anordning för överföring av kortmeddelanden i ett telekommunikationssystem innefattande ett mobilkommunikationssystem
US6151503A (en) * 1997-12-17 2000-11-21 Lucent Technologies Inc. Subscriber activated wireless telephone call rerouting system
US6308075B1 (en) 1998-05-04 2001-10-23 Adc Telecommunications, Inc. Method and apparatus for routing short messages
JP3049056B1 (ja) * 1998-07-02 2000-06-05 日本電気通信システム株式会社 移動体通信網の加入者デ―タ制御方法
US6343215B1 (en) * 1998-11-10 2002-01-29 Lucent Technologies, Inc ANSI 41 dialed number validation
US6292666B1 (en) 1999-05-06 2001-09-18 Ericsson Inc. System and method for displaying country on mobile stations within satellite systems
EP1067492A3 (en) 1999-06-30 2001-01-17 Lucent Technologies Inc. Transaction notification system and method
DE59912688D1 (de) 1999-11-17 2005-11-24 Swisscom Mobile Ag Verfahren und system zur ausarbeitung und übermittlung von sms-meldungen in einem mobilfunknetz
FI110975B (fi) 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US6990347B2 (en) 2000-03-07 2006-01-24 Tekelec Methods and systems for mobile application part (MAP) screening
EP1213931A3 (de) 2000-12-05 2003-03-19 Siemens Aktiengesellschaft Verfahren zum Versenden und Empfangen von Kurznachrichten in einem Mobilfunknetz
AUPR441401A0 (en) 2001-04-12 2001-05-17 Gladwin, Paul Utility usage rate monitor
EP1304897A1 (en) 2001-10-22 2003-04-23 Agilent Technologies, Inc. (a Delaware corporation) Methods and apparatus for providing data for enabling location of a mobile communications device
US7644436B2 (en) 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7068999B2 (en) 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US20100240361A1 (en) 2002-08-05 2010-09-23 Roamware Inc. Anti-inbound traffic redirection system
US7729686B2 (en) 2003-04-02 2010-06-01 Qualcomm Incorporated Security methods for use in a wireless communications system
US7043754B2 (en) 2003-06-12 2006-05-09 Michael Arnouse Method of secure personal identification, information processing, and precise point of contact location and timing
US8121594B2 (en) 2004-02-18 2012-02-21 Roamware, Inc. Method and system for providing roaming services to inbound roamers using visited network Gateway Location Register
US7567661B1 (en) * 2003-12-31 2009-07-28 Nortel-Networks Limited Telephony service information management system
GB0406119D0 (en) 2004-03-18 2004-04-21 Telsis Holdings Ltd Telecommunications services apparatus and method
US7403537B2 (en) 2004-04-14 2008-07-22 Tekelec Methods and systems for mobile application part (MAP) screening in transit networks
DK1736016T3 (en) 2004-04-14 2015-09-28 Mbalance Res B V Process for the prevention of delivery of spam via sms
US7319857B2 (en) 2004-09-13 2008-01-15 Tekelec Methods, systems, and computer program products for delivering messaging service messages
IES20040693A2 (en) 2004-10-14 2006-04-19 Anam Mobile Ltd A messaging system and method
US7870201B2 (en) 2004-12-03 2011-01-11 Clairmail Inc. Apparatus for executing an application function using a mail link and methods therefor
US20060211406A1 (en) 2005-03-17 2006-09-21 Nokia Corporation Providing security for network subscribers
US8867575B2 (en) 2005-04-29 2014-10-21 Jasper Technologies, Inc. Method for enabling a wireless device for geographically preferential services
WO2007004224A1 (en) 2005-07-05 2007-01-11 Mconfirm Ltd. Improved location based authentication system
US20070174082A1 (en) 2005-12-12 2007-07-26 Sapphire Mobile Systems, Inc. Payment authorization using location data
US20070168432A1 (en) 2006-01-17 2007-07-19 Cibernet Corporation Use of service identifiers to authenticate the originator of an electronic message
US8121624B2 (en) 2006-07-25 2012-02-21 Alcatel Lucent Message spoofing detection via validation of originating switch
JP4174535B2 (ja) 2006-08-22 2008-11-05 Necインフロンティア株式会社 無線端末を認証する認証システム及び認証方法
ATE532351T1 (de) 2006-09-27 2011-11-15 Nokia Siemens Networks Gmbh Verfahren zum verfolgen einer mobilstation, entsprechendes telekommunikationsnetz, netzknoten und vorhersagedatenbank
US8014755B2 (en) 2007-01-05 2011-09-06 Macronix International Co., Ltd. System and method of managing contactless payment transactions using a mobile communication device as a stored value device
US20080207181A1 (en) 2007-02-28 2008-08-28 Roamware Method and system for applying value added services on messages sent to a subscriber without affecting the subscriber's mobile communication
EP1983787B1 (en) 2007-04-19 2012-11-28 Nokia Siemens Networks Oy Transmission and distribution of position- and/or network-related information from access networks
WO2008138440A2 (en) 2007-05-16 2008-11-20 Panasonic Corporation Methods in mixed network and host-based mobility management
US20090045251A1 (en) 2007-08-14 2009-02-19 Peeyush Jaiswal Restricting bank card access based upon use authorization data
US20110063126A1 (en) 2008-02-01 2011-03-17 Energyhub Communications hub for resource consumption management
US8255090B2 (en) 2008-02-01 2012-08-28 Energyhub System and method for home energy monitor and control
CN101471797B (zh) 2008-03-31 2012-05-30 华为技术有限公司 决策方法及系统和策略决策单元
WO2009134265A1 (en) 2008-05-01 2009-11-05 Lucent Technologies Inc Message restriction for diameter servers
US8326265B2 (en) 2008-10-17 2012-12-04 Tekelec Netherlands Group, B.V. Methods, systems, and computer readable media for detection of an unauthorized service message in a network
US9038171B2 (en) 2008-10-20 2015-05-19 International Business Machines Corporation Visual display of website trustworthiness to a user
CN101742445A (zh) 2008-11-06 2010-06-16 华为技术有限公司 消息识别方法、装置及系统
US9344438B2 (en) 2008-12-22 2016-05-17 Qualcomm Incorporated Secure node identifier assignment in a distributed hash table for peer-to-peer networks
WO2010105099A2 (en) 2009-03-11 2010-09-16 Tekelec Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions
US8615217B2 (en) 2009-06-25 2013-12-24 Tekelec, Inc. Methods, systems, and computer readable media for detecting and mitigating fraud in a distributed monitoring system that includes fixed-location monitoring devices
US9818121B2 (en) 2009-07-31 2017-11-14 Visa International Space Association Mobile communications message verification of financial transactions
MX2012004186A (es) 2009-10-09 2012-07-17 Consert Inc Aparatos y metodos para controlar comunicaciones a y de puntos de servicio de una compañía de electricidad.
WO2011047382A2 (en) 2009-10-16 2011-04-21 Tekelec Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality
KR20110055888A (ko) 2009-11-20 2011-05-26 삼성전자주식회사 복제 단말기 검출 방법과 이를 이용한 이동통신 단말기 및 이동통신 시스템
US20110173122A1 (en) 2010-01-09 2011-07-14 Tara Chand Singhal Systems and methods of bank security in online commerce
US8505081B2 (en) 2010-01-29 2013-08-06 Qualcomm Incorporated Method and apparatus for identity reuse for communications devices
US9185510B2 (en) 2010-03-03 2015-11-10 Tekelec, Inc. Methods, systems, and computer readable media for managing the roaming preferences of mobile subscribers
US20110225091A1 (en) 2010-03-12 2011-09-15 Franco Plastina Methods, systems, and computer readable media for transactional fraud detection using wireless communication network mobility management information
US20110307381A1 (en) 2010-06-10 2011-12-15 Paul Kim Methods and systems for third party authentication and fraud detection for a payment transaction
CN101917698B (zh) * 2010-08-20 2013-03-27 北京瑞格特软件技术有限公司 与3gpp协议兼容的提供移动设备用户信息的方法及系统
US8620263B2 (en) 2010-10-20 2013-12-31 Tekelec, Inc. Methods, systems, and computer readable media for diameter routing agent (DRA) based credit status triggered policy control
US20120203663A1 (en) 2011-02-07 2012-08-09 Carpadium Consulting Pty. Ltd. Method and apparatus for authentication utilizing location
US8693423B2 (en) 2011-02-16 2014-04-08 Tekelec, Inc. Methods, systems, and computer readable media for providing enhanced mobile subscriber location register fault recovery
WO2012158854A1 (en) 2011-05-16 2012-11-22 F5 Networks, Inc. A method for load balancing of requests' processing of diameter servers
US9713053B2 (en) 2011-07-06 2017-07-18 Mobileum, Inc. Network traffic redirection (NTR) in long term evolution (LTE)
US9060263B1 (en) 2011-09-21 2015-06-16 Cellco Partnership Inbound LTE roaming footprint control
CN103179504B (zh) 2011-12-23 2015-10-21 中兴通讯股份有限公司 用户合法性判断方法及装置、用户接入信箱的方法和系统
US20130171988A1 (en) 2012-01-04 2013-07-04 Alcatel-Lucent Canada Inc. Imsi mcc-mnc best matching searching
US9451455B2 (en) 2012-06-11 2016-09-20 Blackberry Limited Enabling multiple authentication applications
US9015808B1 (en) 2012-07-11 2015-04-21 Sprint Communications Company L.P. Restricting mobile device services between an occurrence of an account change and acquisition of a security code
US9774552B2 (en) 2013-03-14 2017-09-26 Qualcomm Incorporated Methods, servers and systems for verifying reported locations of computing devices
ES2745276T3 (es) 2013-03-29 2020-02-28 Mobileum Inc Método y sistema para facilitar itinerancia LTE entre operadoras domésticas y visitadas
US10115135B2 (en) 2013-07-03 2018-10-30 Oracle International Corporation System and method to support diameter credit control session redirection using SCIM/service broker
US9191803B2 (en) 2013-09-04 2015-11-17 Cellco Partnership Connection state-based long term evolution steering of roaming
EP2854462B1 (en) * 2013-09-27 2016-03-30 Telefonaktiebolaget LM Ericsson (publ) Handling of subscriber deregistration
EP2887761B1 (en) 2013-12-19 2018-10-03 Vodafone Holding GmbH Verification method for the verification of a Connection Request from a Roaming Mobile Entity
US9686343B2 (en) 2013-12-31 2017-06-20 Amadeus S.A.S. Metasearch redirection system and method
SG11201702168UA (en) 2014-09-22 2017-04-27 Globetouch Inc Trading exchange for local data services
US20160292687A1 (en) 2014-10-13 2016-10-06 Empire Technology Development Llc Verification location determination for entity presence confirmation of online purchases
DE102014117713B4 (de) 2014-12-02 2016-12-01 GSMK Gesellschaft für sichere mobile Kommunikation mbH Verfahren und eine Vorrichtung zur Sicherung einer Signalisierungssystem- Nr. 7-Schnittstelle
WO2016145177A1 (en) 2015-03-10 2016-09-15 Gundamaraju Krishna Enhanced redirection handling from policy server
CN106332067B (zh) 2015-06-19 2020-02-21 华为技术有限公司 防止无线网络中直径信令攻击的方法、装置和系统
US9538335B1 (en) 2015-07-22 2017-01-03 International Business Machines Corporation Inferring device theft based on historical location data
WO2017082532A1 (ko) 2015-11-09 2017-05-18 엘지전자 주식회사 방문 네트워크의 사업자 네트워크 식별번호 획득 방법
AU2016352522B2 (en) * 2015-11-10 2019-02-14 Nec Corporation Communication system
US9628994B1 (en) 2015-12-30 2017-04-18 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. Statistical system and method for catching a man-in-the-middle attack in 3G networks
US20170345006A1 (en) 2016-05-27 2017-11-30 Mastercard International Incorporated Systems and methods for location data verification
US11395092B2 (en) 2016-07-18 2022-07-19 Here Global B.V. Device location verification for updated map data
CN107800664B (zh) 2016-08-31 2021-06-15 华为技术有限公司 一种防止信令攻击方法及装置
US10237721B2 (en) 2017-01-17 2019-03-19 Oracle International Corporation Methods, systems, and computer readable media for validating a redirect address in a diameter message
US10212538B2 (en) 2017-06-28 2019-02-19 Oracle International Corporation Methods, systems, and computer readable media for validating user equipment (UE) location
US10616200B2 (en) 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10021738B1 (en) 2017-09-05 2018-07-10 Syniverse Technologies, Llc Method of providing data, voice, and SMS services to LTE subscribers roaming in 2G/3G visited networks
US10306459B1 (en) 2018-07-13 2019-05-28 Oracle International Corporation Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP)
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011010640A1 (ja) * 2009-07-21 2011-01-27 日本電気株式会社 通信システム
US20180167906A1 (en) * 2016-12-12 2018-06-14 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber location information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7343729B1 (ja) 2023-06-08 2023-09-12 株式会社インターネットイニシアティブ モバイル通信システムおよび通信制御方法

Also Published As

Publication number Publication date
CN112335271B (zh) 2024-04-30
JP7246418B2 (ja) 2023-03-27
EP3815415A1 (en) 2021-05-05
WO2020005374A1 (en) 2020-01-02
US20200007538A1 (en) 2020-01-02
CN112335271A (zh) 2021-02-05
US10931668B2 (en) 2021-02-23

Similar Documents

Publication Publication Date Title
JP7246418B2 (ja) ネットワークノード検証のための方法、システム、およびコンピュータ読み取り可能な媒体
US10470154B2 (en) Methods, systems, and computer readable media for validating subscriber location information
CN110800267B (zh) 用于使用Diameter边缘代理(DEA)对境外漫游订户进行移动性管理实体(MME)认证的方法、系统和计算机可读介质
CN110800322B (zh) 验证用户设备(ue)位置的方法、系统和计算机可读介质
JP7234342B2 (ja) Diameterエッジエージェントを利用して下りローミング加入者のために時間距離セキュリティ対策を行うための方法、システム、およびコンピュータ読み取り可能な媒体
CN112425190B (zh) 用于使用7号信令系统ss7信号传输点stp验证访客位置寄存器vlr的方法、系统和计算机可读介质
US11622255B2 (en) Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11700510B2 (en) Methods, systems, and computer readable media for short message delivery status report validation
Holtmanns et al. User location tracking attacks for LTE networks using the interworking functionality
KR20230106172A (ko) 위치 업데이트 메시지들을 유효화하기 위한 방법들, 시스템들, 및 컴퓨터 판독가능한 매체들
US11039316B2 (en) Contextual signaling system 7 (SS7) firewall and associated method of use
US10341861B2 (en) Network signalling message verification
FI130228B (en) AUTOMATED SCAM DETECTION
US20230056017A1 (en) Method and apparatus for detecting abnormal roaming request

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211102

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211102

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221025

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230314

R150 Certificate of patent or registration of utility model

Ref document number: 7246418

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150