KR20180074742A - 과금 사기에 대한 검출 방법 - Google Patents

과금 사기에 대한 검출 방법 Download PDF

Info

Publication number
KR20180074742A
KR20180074742A KR1020187014462A KR20187014462A KR20180074742A KR 20180074742 A KR20180074742 A KR 20180074742A KR 1020187014462 A KR1020187014462 A KR 1020187014462A KR 20187014462 A KR20187014462 A KR 20187014462A KR 20180074742 A KR20180074742 A KR 20180074742A
Authority
KR
South Korea
Prior art keywords
address
request
subscriber
fraud prevention
billing
Prior art date
Application number
KR1020187014462A
Other languages
English (en)
Other versions
KR102146925B1 (ko
Inventor
실케 홀트만스
게랄드 괴르머
Original Assignee
노키아 솔루션스 앤드 네트웍스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 솔루션스 앤드 네트웍스 오와이 filed Critical 노키아 솔루션스 앤드 네트웍스 오와이
Publication of KR20180074742A publication Critical patent/KR20180074742A/ko
Application granted granted Critical
Publication of KR102146925B1 publication Critical patent/KR102146925B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1453Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network
    • H04L12/1457Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network using an account
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/44Augmented, consolidated or itemized billing statement or bill presentation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

요청이 수신되는지 모니터링하는 단계 ― 요청은 과금 시스템의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청하고, 제1 어드레스는 제2 어드레스와 상이하고, 과금 시스템은 가입자의 주 계좌를 제어하는 것으로 가정됨 ― ; 요청이 수신되면, 요청이 악성일 수 있음을 통지하는 단계를 포함하는 방법이 제공된다.

Description

과금 사기에 대한 검출 방법
본 발명은 사기 검출과 관련된 장치, 방법 및 컴퓨터 프로그램 제품에 관한 것이다. 더 구체적으로, 본 발명은 모바일 통신 네트워크에서의 사기의 검출 및 선택적으로 사기에 대한 보호와 관련된 장치, 방법 및 컴퓨터 프로그램 제품에 관한 것이다.
약어들
3GPP 3rd Generation Partnership Project
5G 5th generation
AAA Authentication, Authorization, and Accounting
AVP Attribute Value Pair
CC Charging Characteristics
CCA Credit-Control Answer
CCR Credit-Control Request
CDR Call Data Record
CGF Charging Gateway Function
DRA Diameter Routing Agent
EAP AKA Extensible Authentication Protocol Authentication and Key Agreement
EPC Evolved Packet Core
GMSC Gateway MSC
GPRS General Packet Radio System
GSM Global System for Mobile Communication
GSMA GSM Association
HPLMN Home PLMN
HSS Home Subscriber Server
IDA Insert Subscriber Data Answer
IDR Insert Subscriber Data Request
IMSI International Mobile Subscriber Identity
IoT Internet of Things
IP Internet Protocol
IPSec IP Security
ISDN Integrated Services Digital Network
IWF Interworking Function
LTE Long Term Evolution
MAP Mobile Application Part
MME Mobility Management Entity
MSISDN Mobile Station ISDN number
MSC Mobile Services Switching Centre
NDS Network Domain Security
OCS Online Charging System
OFCS OFfline Charging System
PLMN Public Land Mobile Network
PS Packet Switched
RFC Request For Comments
SC Service Center
SGSN Serving GPRS Support Node
SM Short Message
SMS Short Message Service
SMSC Short Message Service Center
SRI Send Routing Information
SS7 Signalling System 7
TLS Transport Layer Security
TS Technical Specification
VPLMN Visited PLMN
WLAN Wireless Local Area Network
본 출원의 기술 분야는 LTE 및 5G 네트워크 및 더 일반적 LTE/5G 네트워크 보안에서의 과금이다. 운영자들은 이제 잠재적 공격들에 대해 자신들의 네트워크들을 강화(harden)하기 위한 단계들을 취하며, 특히, 이들은 과금 오용(사기)에 대한 보호를 찾는다. 이것은, 많은 수의 디바이스들이 무인 loT 디바이스들인 것으로 예상되고, 빌링(billing)과 같은 프로세스들이 운영자와 IoT 소유자들 사이에서 자동화되고 그에 따라서 잠재적 공격 발견이 즉각적이지 않을 수 있는 5G 네트워크들에 있어서 아주 중요해졌다.
3GPP(3rd Generation Partnership Project)는 5G의 기술적 프레임워크를 정의한다.
https://en.wikipedia.org/wiki/5G에 따라, 차세대 모바일 네트워크 연합(Next Generation Mobile Networks Alliance)은 현재 표준화 단계에 있는 5G 네트워크들에 대한 다음 요건들을 정의한다:
·초당 수십 메가비트의 데이터 레이트들이 수만명의 사용자들에 대해 지원되어야 한다
·초당 1 기가비트가 동일한 사무실 층의 수십명의 직원들에게 동시에 제공되어야 한다
·수십만개의 동시 연결들이 대규모의 센서 배치들을 위해 지원되어야 한다
·스펙트럼 효율성이 4G에 비해 크게 향상되어야 한다
·커버리지가 개선되어야 한다
·시그널링 효율성이 향상되어야 한다
·레이턴시가 LTE에 비해 크게 감소해야 한다
노드들 사이의 가입, 이동성 및 관리 정보를 전송하기 위해, 5G에서, 다이어미터(Diameter) 프로토콜이 사용될 가능성이 있을 것이다. 다이어미터는 컴퓨터 네트워크들에 대한 AAA(authentication, authorization, and accounting) 프로토콜로서 시작되었다. 다이어미터 베이스 프로토콜은 RFC 6733에 의해 정의되며, AAA 프로토콜에 대한 최소 요건들을 정의한다. 다양한 다이어미터 애플리케이션들은 새로운 커맨드들, 속성들 또는 이들 둘 모두를 부가함으로써 베이스 프로토콜을 확장한다. 그러한 다이어미터 애플리케이션들은, 예컨대, 3GPP에 의해 상이한 문서들에 설명된다. 다이어미터 보안은 IPSec 또는 TLS를 배치함으로써 제공될 수 있다.
통신 네트워크는 몇몇 다이어미터 애플리케이션 프로토콜들을 활용한다. 하나의 아주 공통적인 것은 S6a/S6d라 칭해지는, HSS와 MME 사이의 통신 프로토콜에 대한 다이어미터 애플리케이션이다. 다이어미터 프로토콜의 IDR(Insert-Subscriber-Data-Request) 커맨드는 HSS로부터 MME 또는 SGSN으로 전송된다(인터페이스들 S6a/S6d). IDR(Insert Subscriber Data Request)을 수신할 때, MME 또는 SGSN은 (예컨대, IMSI에 의해 식별된) 가입자 아이덴티티가 알려져 있는지 여부를 검사할 것이다. HSS는 이러한 프로시저를 사용하여 MME 또는 SGSN에 저장된 사용자 데이터(= 가입자 데이터 또는 가입 데이터)의 특정 부분을 전송된 데이터로 대체 또는 업데이트하거나, 또는 MME 또는 SGSN에 저장된 데이터에 사용자 데이터의 특정 부분을 부가할 수 있다. 특히, 사용자(가입자)가 MME 또는 SGSN 내에 로케이팅되는 동안(즉, 사용자에게 가입이 주어졌고 가입이 변경된 경우) 삽입 가입자 데이터 프로시저는 특히 HSS에서 사용자 데이터의 관리 변경들로 인해 MME 또는 SGSN에서 특정 사용자 데이터를 업데이트하기 위해 HSS와 MME 사이에서 그리고 HSS와 SGSN 사이에서 사용될 수 있다. 사용자 데이터는 가입자가 과금을 청구받는(charged) 계좌(account)를 제어하는 OFCS 및/또는 OCS의 어드레스를 포함할 수 있다.
보안 연구원들은 작년에 상당한 보안 취약성들을 발견하였다([1] 내지 [3] 참조). 모바일 네트워크 운영자들은 그들의 트래픽을 모니터링하여 그러한 취약성들이 공격자들에 의해 실제로 사용되고 "평범한 날"에 수천 건의 그러한 공격들이 발생한다고 언급하였다. 사기 및 다른 허가되지 않은 메시지들은 심지어 수개월들 동안 수백만 개의 메시지들에 이르렀다. 운영자들은 이제 사기꾼들 및 허가되지 않은 네트워크 액세스에 대한 액션들을 취하며, 필터링 메커니즘을 도입한다. 반응적 조치 운영자(reactive measure operator)들은 알려진 SS7 기반 공격들에 대해 보호가 어떻게 발생할 수 있는지를 출원인 자료(applicant material)와 함께 개발하였다. 일부 보안 연구원들은 이제 LTE 및 5G 로밍, 특히 다이어미터 보안을 살펴보기 시작한다.
운영자 협회 GSMA는 현재, 알려진 공격들을 방지하기 위해 아주 세밀한(fine grained) 메커니즘들을 개발하고 있다. 다이어미터 사기 공격들은 아직 보이지 않지만, 공격자에게 엄청난 잠재적 이득이 존재한다. 그에 따라서, 본 발명은 사용자 프로파일 정보를 조작하려고 시도하는 공격자들로부터 사용자들 및 네트워크를 보호하는 것에 집중한다.
포지티브 기술 보안은 과금을 회피하기 위해 MAP을 사용하는 공격을 설명하지만[4], 거기에서 어떠한 대책도 제안되지 않는다. 이전의 네트워크 타입들에 대한 공격들(SS7/MAP, 참조 문서들 [1], [3] 및 [4] 참조)이 존재하지만, 거기에서의 보호 조치들은 상이한 프로토콜들 및 메시지들로 인해 LTE 및 5G 네트워크들과 상이하다.
참조 문서들
[1] Engel, Tobias, 31st Chaos Computer Club Conference (31C3), "SS7: Locate. Track. Manipulate", (December 2014), http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2553/original/31c3-ss7-locate-track-manipulate.pdf
[2] Puzankov, Sergey, Kurbatov, Dimitry, PHDays 2014, "How to Intercept a Conversation Held on the Other Side of the Planet" (May 2014), http://www.slideshare.net/phdays/phd4-pres-callinterception119
[3] Karsten Nohl. (December 2014). "Mobile self-defense" Available FTP: http://tinyurl.com/n85sxyl
[4] Positive Technologies (PT), "Signaling System 7 (SS7) security report" (December 2014), http://www.ptsecurity.com/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf
종래 기술을 개선하는 것이 본 발명의 목적이다.
본 발명의 제1 양상에 따라, 요청이 수신되는지 모니터링하도록 적응된 모니터링 수단 ― 요청은 과금 시스템의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청하고, 제1 어드레스는 제2 어드레스와 상이하고, 과금 시스템은 가입자의 주 계좌를 제어하는 것으로 가정됨 ― ; 요청이 수신되면, 요청이 악성일 수 있음을 통지하도록 적응된 통지 수단을 포함하는 장치가 제공된다.
장치는 요청이 수신되면, 가입자에 사기 방지 프로시저를 적용시키도록 적응된 사기 방지 수단을 더 포함할 수 있다.
장치는, 요청이 수신되면, 제2 어드레스가 과금 시스템들의 사전 결정된 리스트의 어드레스들에 포함된 어드레스와 매칭하는지 여부를 검사하도록 적응된 검사 수단; 및 제2 어드레스가 사전 결정된 리스트에 포함된 어드레스들 중 하나와 매칭하면, 사기 방지 프로시저를 수행하는 것을 금지하도록 적응된 금지 수단을 더 포함할 수 있다.
본 발명의 제2 양상에 따라, 요청이 수신되는지 모니터링하도록 구성된 모니터링 회로 ― 요청은 과금 시스템의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청하고, 제1 어드레스는 제2 어드레스와 상이하고, 과금 시스템은 가입자의 주 계좌를 제어하도록 가정됨 ― ; 요청이 수신되면, 요청이 악성일 수 있음을 통지하도록 구성된 통지 회로를 포함하는 장치가 제공된다.
장치는 요청이 수신되면, 가입자에 사기 방지 프로시저를 적용시키도록 구성된 사기 방지 회로를 더 포함할 수 있다.
장치는, 요청이 수신되면, 제2 어드레스가 과금 시스템들의 사전 결정된 리스트의 어드레스들에 포함된 어드레스와 매칭하는지 여부를 검사하도록 구성된 검사 회로; 및 제2 어드레스가 사전 결정된 리스트에 포함된 어드레스들 중 하나와 매칭하면, 사기 방지 프로시저를 수행하는 것을 금지하도록 구성된 금지 회로를 더 포함할 수 있다.
본 발명의 제3 양상에 따라, 요청이 수신되는지 모니터링하는 단계 ― 요청은 과금 시스템의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청하고, 제1 어드레스는 제2 어드레스와 상이하고, 과금 시스템은 가입자의 주 계좌를 제어하도록 가정됨 ― ; 요청이 수신되면, 요청이 악성일 수 있음을 통지하는 단계를 포함하는 방법이 제공된다.
방법은 요청이 수신되면, 가입자에 사기 방지 프로시저를 적용시키는 단계를 더 포함할 수 있다.
방법은, 요청이 수신되면, 제2 어드레스가 과금 시스템들의 사전 결정된 리스트의 어드레스들에 포함된 어드레스와 매칭하는지 여부를 검사하는 단계; 및 제2 어드레스가 사전 결정된 리스트에 포함된 어드레스들 중 하나와 매칭하면, 사기 방지 프로시저를 수행하는 것을 금지하는 단계를 더 포함할 수 있다.
방법은 사기 방지 방법일 수 있다.
제1 양상 및 제2 양상 중 임의의 양상에 따른 장치 및 제3 양상에 따른 방법에서, 사기 방지 프로시저는, 다음의 단계들 중 하나 또는 그 초과의 것들을 포함할 수 있다.
― 가입자의 주 계좌의 크레딧(credit) 제어를 실행하도록 트리거링하는 것;
― 제1 어드레스를 제2 어드레스로 대체하는 것을 금지하는 것;
― 과금 시스템에서 가입자의 백업 계좌를 활성화하는 것 ― 백업 계좌는 주 계좌에 대응함 ― ; 및 가입자의 과금 이벤트들에 대해 백업 계좌를 과금하는 것;
― 요청에 따라 제1 어드레스가 제2 어드레스로 대체된 것처럼 요청의 소스를 스푸핑하는 것;
― 요청의 소스 어드레스를 블랙리스팅하는 것;
― 가입자의 주 계좌를 로킹(lock)하는 것; 및
― 사일런트 알람(silent alarm)을 생성하는 것.
본 발명의 제4 양상에 따라, 장치 상에서 실행되는 경우, 장치로 하여금, 제3 양상에 따라 방법을 수행하게 하도록 구성되는 명령들의 세트를 포함하는 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 프로그램 제품은 컴퓨터 판독가능한 매체로서 구현될 수 있거나, 또는 컴퓨터로 직접적으로 로딩가능할 수 있다.
본 발명의 일부 예시적 실시예들에 따라, 다음의 기술 효과들 중 적어도 하나가 제공된다:
― 사기는 일찍 검출된다;
― 사기는 방지될 수 있다;
― IPsec 또는 TLS가 구현되는지 아닌지와 관계 없이 사기 방지는 달성될 수 있다.
위의 수정들이 대안들을 배제하는 것으로 명시적으로 서술되지 않는 한, 위의 수정들 중 임의의 수정이 개별적으로 또는 그들이 참조하는 각각의 양상들과 조합하여 적용될 수 있다는 것이 이해될 것이다.
추가 세부사항들, 특징들, 목적들 및 이점들은 첨부되는 도면들과 함께 살펴볼 본 발명의 예시적 실시예들의 다음의 상세한 설명으로부터 명백해진다.
도 1은 사기 시도의 메시지 흐름을 도시한다.
도 2는 사기 시도의 메시지 흐름을 도시한다.
도 3은 사기 시도의 메시지 흐름을 도시한다.
도 4는 사기 시도의 메시지 흐름을 도시한다.
도 5는 사기 시도의 메시지 흐름을 도시한다.
도 6은 사기 시도의 메시지 흐름을 도시한다.
도 7은 사기 시도의 메시지 흐름을 도시한다.
도 8은 사기 시도의 메시지 흐름을 도시한다.
도 9는 본 발명의 예시적 실시예에 따른 장치를 도시한다.
도 10은 본 발명의 예시적 실시예에 따른 방법을 도시한다.
도 11은 본 발명의 예시적 실시예에 따른 장치를 도시한다.
본원의 아래에서, 본 발명의 특정 예시적 실시예들은 첨부하는 도면들을 참조하여 상세하게 설명되고, 예시적 실시예들의 특징들은 달리 설명되지 않는 한 서로 자유롭게 조합될 수 있다. 그러나, 특정 실시예들의 설명은 단지 예시로서 주어지고, 그것이 본 발명을 개시되는 세부사항들로 제한하는 것으로 이해되도록 어떠한 방식으로도 의도되는 것이 아니라는 것이 명백하게 이해될 것이다.
더욱이, 일부 경우들에서, 단지 장치 또는 단지 방법만이 설명되지만, 장치는 대응하는 방법을 수행하도록 구성된다는 것이 이해될 것이다.
우리의 연구에서, 우리는 다이어미터 프로토콜을 사기 방식으로 이용하는 3가지 방식들을 발견하였다:
― 공격자가 선불 계좌에 대한 과금을 회피한다;
― 공격자가 후불 계좌에 대한 과금을 회피한다; 그리고
― 공격자가 과금을 회피하기 위해 선불 계좌를 변환할 수 있다.
본 발명의 일부 실시예들은 그 3가지 공격들에 대한 대책들을 제공한다.
본 발명의 일부 실시예들에 따라, 운영자 네트워크 보호에 대한 다음의 가정들이 이루어진다. 그러나, 이 가정들은 본 발명의 실시예들에 대한 강제 조건들이 아니다. 운영자들 및 보안 회사들과의 논의들, 운영자 네트워킹 자료에서의 조사들 등은, 그러한 가정들이 대부분 네트워크 운영자에게 매우 현실적이며(모든 운영자들이 문서화된 것은 아님), 비공식 통신들에서 구두로 확인되었다는 것을 나타내었다. 큰 잠재적인 재정적 영향들로 인해, 임의의 운영자 또는 상호연결 제공자는 거의 공식적으로 취약성을 명시할 수 없을 것이다.
·IPSec는 종종 사용되지 않는다(특히, 상호연결들의 경우). 3GPP TS 33.210에 따른 NDS/IP 네트워크 계층 보안은 로밍 인터페이스 상에서 종종 사용되지 않는다. 다른 보안 프로토콜들, 예컨대, TLS가 거의 사용되지 않는다. 기술적으로, 이것은 다음의 것들을 의미할 수 있다:
― 데이터가 평문으로 완전히 전달된다;
― 제로-키가 사용된다;
·어떠한 필터링도 상호연결에 대해 이루어지지 않는다
― IP 어드레스 필터링이 없다(화이트/블랙리스트);
― 파트너 어드레스 북 또는 하드 코딩된 리턴 어드레스들이 없다;
― 어떠한 액세스 제어 리스트도 사용되지 않다(이러한 가정은 공격들 중 하나에 대해서만 유용(helpful)하다는 점이 주목됨).
·다이어미터 라우팅 에이전트(Diameter Routing Agent)는 자기 자신의 헤더를 부가하며, 수신된 메시지들을 정확한 노드로 포워딩한다.
그러한 보안 방법들이 배치되는 경우에도, 아래에서 설명되는 공격들 중 일부가 여전히 가능하다는 점이 주목되어야 한다. 단지, 위의 가정들이 네트워크에 대해 유지된다면, 매우 취약한 것으로 고려될 수 있다. 운영자가 위의 방법들 중 하나 또는 그 초과를 배치하면, 공격은 더 어려워진다. 위의 가정들 중 다수는 인터넷 환경에서 나오는 전문가들을 믿기 어렵지만, 전기 통신 네트워크들이 어떠한 부가적 보안 요건들도 없는 최근까지 폐쇄된 SS7 시스템이었으며, 이제 천천히 진화하고 있다는 것이 고려되어야 한다.
일반적으로, 식별된 사기 방식들은 다음과 같이 식별된다:
― 공격자가 선불 계좌에 대한 과금을 회피한다;
― 공격자가 후불 계좌에 대한 과금을 회피한다;
― 공격자가 과금을 회피하기 위해 선불 계좌를 변환할 수 있다.
위의 이러한 공격들은 다음과 같이 작동한다:
― 공격자는 유효 OCS 어드레스를 의사 OCS 어드레스(예컨대, 대안적 로밍 제공자(Alternative Roaming Provider) OCS 어드레스)로 대체하며, 따라서, 자신의 계좌가 충분한 금액을 가지고 있지 않는 경우에도 가입자들이 계좌를 소유하면 서비스가 시작되게 할 수 있다. EU(European Union)에서, 이러한 사기는 EU 로밍 규정들에 의해 제한된다;
― 유효 OFCS 어드레스의 무효 OFCS 어드레스와의 교환은 무효 과금 시스템으로의 과금 데이터의 어그리게이션(aggregation)으로 이어진다. 빌링 시스템에서의 재구성 노력은 더 고가이다. 그에 따라서, 사용 과금 요청은 특정 시간 동안 무시될 수 있다;
―유효 OCS 어드레스의 OFCS 어드레스와의 교환은 무효 과금 시스템으로의 과금 데이터의 어그리게이션으로 이어진다. 빌링 시스템에서의 수집은 월별(monthly) 교차 검사 어그리게이션 동안 오용을 발견할 것이다.
일부 경우들에서, 공격자는 유효 OCS 또는 OFCS 어드레스를 획득하고, 정확한 OCS 어드레스 또는 OFCS를 유효(그러나, 부정확한) OCS 어드레스 또는 OFCS로 대체하여 다른 계좌 소유자가 서비스 사용에 대해 과금을 청구받을 수 있게 하는 방식을 알아낼 수 있다. 유효 OCS 어드레스로 대체하는 경우, 사기는 요구된 계좌 소유자에 의해 실시간으로 관측되며, 따라서 즉시 중지될 수 있다. 유효 OFCS 어드레스로의 대체는 더 긴 수명을 가질 수 있는데, 그 이유는 잘못된 요청들이 빌링 시스템에서 월별 사후-어그리게이션 동안의 서비스 사용 이후에만 식별될 것이기 때문이다. 그에 따라서, 가짜(cheated) 사용자 계좌에서는 사기가 보상되게 하는 능력이 제한된다.
3가지 잠재적 공격들 모두는 동일할 수 있는 정보 수집 단계(단계 I라 칭해짐)를 가진다(도 1 참조).
도 1에 도시되는 바와 같이, 공격자(1a)는 SMS GMSC로서 동작한다. 이것을 위해, 공격자(1a)는 사용자의 MSISDN 및 DRA(2)의 어드레스를 알아야 한다(선택적, 아래 참조). 공격자(1a)는 DRA로의 SM 요청에 대한 SC(SMSC)의 어드레스 및 MSISDN을 포함하는 다이어미터 SRI(Send Routing Info)를 전송(SMS GMSC인 것으로 스푸핑)한다(101). SC의 어드레스는 임의적이고 실제 SC의 어드레스일 필요는 없을 수 있다. 클라우드(8)는, DRA(2)가 SMSC와 같은 다이어미터 외부 엔티티들에 대한 게이트웨이인, 운영자의 도메인을 표시한다. DRA(2)는 SRI(Send Routing Info)를 HSS(3)로 포워딩한다(102).
SRI(Send Routing Info)(102)에 대한 응답으로, HSS(3)는, DRA(2)를 통해, 결과 코드 DIAMETER_SUCCESSFUL를 가지는 다음의 정보(메시지들(103, 104))를 (SMS GMSC인 것으로 스푸핑하는) 공격자(1a)에게 제공한다: IMSI; MSISDN; 및 사용자가 등록되는 하나의 서빙 노드(예컨대, MSC, SGSN 또는 MME)의 아이덴티티. 이하, SGSN(4)은 서빙 노드의 일 예로서 취해지지만, 본 발명의 실시예들은 다른 종류들의 서빙 노드들에도 또한 적용된다.
따라서, 공격자는, MSISDN 및 DRA(2)의 어드레스 이외에, IMSI, HSS 어드레스, 가입자의 적어도 하나의 서빙 노드의 아이덴티티를 학습한다.
이러한 정보는 다음의 공격들 중 적어도 하나를 수행하기에 충분하다.
공격자가 이러한 정보 또는 그 부분들을 획득하는 다른 옵션들이 존재한다. 예컨대:
― 거짓 기지국을 사용하여 IMSI를 포착한다;
― WLAN 액세스 포인트를 사용하여 EAP_AKA를 실행시킨다;
― MAP 메시지들 SRI_SM 또는 SRI 또는 SRI_GPRS를 IWF(interworking function)로 전송한다;
― GSMA IR.21 데이터베이스와 같은, 운영자들 사이의 로밍 동의들에 대한 정보를 포함하는 데이터베이스를 해킹한다;
― 폰으로의 물리적 액세스를 획득하고, 사용자 인터페이스로부터 IMSI를 요청한다; 그리고
― IMSI 리스트를 스마트 카드 회사들로부터 직접적으로 또는 그들이 정보를 운영자에게 전달하는 동안 훔친다.
첫 번째 공격은 OFCS 어드레스를 리셋함으로써 빌링을 방지하고 있다(도 2 참조). 이러한 공격에서, 공격자(1b)는 HSS로서 동작한다. 즉, 도 1의 공격자(1a)는 SMS GMSC로부터 HSS로의 자신의 역할을 변경하였으며, 이제 공격자(1b)로 지정된다. 이러한 맥락에서, SMS GMSC로서 또는 HSS로서의 공격자의 역할은 단지, 공격자가 대응하는 네트워크 엘리먼트에 대해 예상되는 바와 같이, 메시지들을 DRA(2)에 제공하는 것을 요구한다는 점이 주목된다. 공격자가 SMS GMSC 또는 HSS의 내부 기능을 제공할 필요도 없으며, 공격자가 인터페이스를 DRA(2) 외의 다른 네트워크 엔티티들에 제공할 필요도 없다.
위의 설명에 따라, 공격자(1a)는 공격자(1b)와 동일하다. 그러나, 요구되는 정보가 공격자(1a)로부터 공격자(1b)로 전달되면, 이들은 서로 다를 수 있다.
도 2에 도시되는 바와 같이, HSS인 것으로 스푸핑하는 공격자(1b)는 IMSI를 가지는 IDR(Insert Data Request)(111)을 서빙 노드에, 예컨대, SGSN(4)에 전송한다. IMSI 및 서빙 노드의 아이덴티티는 도 1의 메시지들(103, 104)로부터 알게 될 수 있다. IDR(111)은 오프라인 과금에 대한 OFCS의 어드레스와 같은 적어도 3GPP CC(Charging Characteristics)를 포함하는 가입 데이터를 포함한다. IDR(111)에 의해, 공격자(1b)는 서빙 노드(SGSN(4))에 저장된 OFCS의 어드레스를 공격자 서버의 어드레스와 같은 위조(fake) 어드레스로 세팅하도록 요청한다.
이에 대한 응답으로, SGSN(4)은 결과 코드: DIAMETER_SUCCESS를 가지는 확인응답(IDA(112))을 전송할 수 있다.
위조 어드레스에서의 서버(예컨대, 공격자(1b))는 또한, OFCS인 것으로 스푸핑하기 위해 인터페이스를 SGSN(4)에 제공한다. 따라서, SGSN(4)의 관점에서, 위조 어드레스에서의 서버는 유효 OFCS이지만, 위조 어드레스에서의 서버는 인터페이스 외의 OFCS의 임의의 다른 기능을 제공하지 않을 수 있다. 예컨대, 그것은 수신된 CDR들을 단순히 폐기할 수 있다. 결과로서, SGSN(4)에서의 데이터가 리셋될 때까지 MSISDN(및 IMSI)의 사용자는 이제 무료 서비스 사용을 가진다.
두 번째 및 세 번째 공격들은 무료 서비스를 선불 사용자들에게 제공하려고 시도한다.
도 3은 (HSS인 것으로 스푸핑하는) 공격자(1b)가 도 1의 공격자(1a)(공격자(1b)와 동일하거나 또는 그와 상이할 수 있음)에 의해 획득된 정보에 기반하여 수행할 수 있는 두 번째 공격을 도시한다. 이러한 공격에서, OCS 어드레스는 서빙 노드(예컨대, SGSN(4))에서 리셋된다.
도 3에 도시되는 바와 같이, HSS인 것으로 스푸핑하는 공격자(1b)는 IMSI를 가지는 IDR(Insert Data Request)(121)을 서빙 노드에, 예컨대, SGSN(4)에 전송한다. IMSI 및 서빙 노드의 아이덴티티는 도 1의 메시지들(103, 104)로부터 알게 될 수 있다. IDR(121)은 온라인 과금에 대한 OCS의 어드레스와 같은 적어도 3GPP CC를 포함하는 가입 데이터를 포함한다. IDR(121)에 의해, 공격자(1b)는 서빙 노드(SGSN(4))에 저장된 OCS의 어드레스를 공격자 서버의 어드레스와 같은 위조 어드레스로 세팅하도록 요청한다.
이에 대한 응답으로, SGSN(4)은 결과 코드: DIAMETER_SUCCESS를 가지는 확인응답(IDA(122))을 전송할 수 있다.
위조 어드레스에서의 서버(예컨대, 공격자(1b))는 또한, OCS인 것으로 스푸핑하기 위해 인터페이스를 SGSN(4)에 제공한다. 특히, 위조 어드레스에서의 서버는 사용자가 자신의 계좌에 충분한 크레딧을 가지고 있음을 SGSN(4)에 확인한다. 따라서, 사용자는 사기가 검출될 때까지 무료로 서비스들을 사용할 수 있다.
두 번째 공격은 신속하게 검출될 수 있다. 그에 따라서, 세 번째 공격은 선불 사용자들에게 더 유리할 수 있다.
도 4는 (HSS인 것으로 스푸핑하는) 공격자(1b)가 도 1의 공격자(1a)(공격자(1b)와 동일하거나 또는 그와 상이할 수 있음)에 의해 획득된 정보에 기반하여 수행할 수 있는 세 번째 공격을 도시한다. 이러한 공격에서, OCS 어드레스는 서빙 노드(예컨대, SGSN(4))에서 리셋된다.
도 4에 도시되는 바와 같이, HSS인 것으로 스푸핑하는 공격자(1b)는 IMSI를 가지는 IDR(Insert Data Request)(131)을 서빙 노드에, 예컨대, SGSN(4)에 전송한다. IMSI 및 서빙 노드의 아이덴티티는 도 1의 메시지들(103, 104)로부터 알게 될 수 있다. IDR(131)은 적어도 3GPP CC를 포함하는 가입 데이터를 포함한다. 세 번째 공격에서, IDR은 단지 OFCS의 어드레스를 포함하며, OCS의 어드레스를 포함하지 않는다. 따라서, MSISDN을 가지는 선불 사용자는 SGSN(4)의 관점에서는 후불 사용자가 된다. 세 번째 공격에서, IDR(131)에 의해 제공되는 OFCS의 어드레스는 공격자(1b)의 어드레스와 같은 위조 어드레스이다.
이에 대한 응답으로, SGSN(4)은 결과 코드: DIAMETER_SUCCESS를 가지는 확인응답(IDA(132))을 전송할 수 있다.
사용자는 SGSN에서의 데이터가 리셋될 때까지 과금을 청구받지 않고 서비스들을 사용할 수 있다.
잠재적으로, 오퍼레이터는, 예컨대, 가입자에 대한 청구서(bill)의 월별 생성 동안 공격들을 검출할 수 있다.
즉, 통상적으로, 예컨대, 운영자-간 어카운팅에 대한 레코드들을 로밍하는 다른 기록된 레코드들, 특히, 비용 관련 레코드들에 대한 교차 검사를 통해 가입자에 대한 청구서의 월별 생성 동안 일부 실행들이 존재한다.
OFCS 어드레스가 위조 IP 어드레스를 가지는 공격자로 대체되면, 다이어미터를 통한 CDR들의 분산식(decentralized) 수집의 경우, 모든 과금 이벤트들은 즉각적 영향 없이 위조 어드레스에서의 서버로 재지향될 것이다.
중앙 집중식 수집이 배치되면, 모든 과금 이벤트들은 결과적 CDR들을 사후-프로세싱 시스템으로 포워딩하는 CGF(Charging Gateway Function)에 의해 어그리게이팅되고 레코드들로 상관될 것이다.
CGF에 연결된 네트워크 엘리먼트에 대한 공격의 경우, CGF는 유효하지 않은 OFCS IP 어드레스로 인해 CDR들을 과금 시스템으로 포워딩하지 않는다. 따라서, 에러가 발생하고, 장애 관리 시스템(Fault Management System)은, 예컨대, 가입자 계좌를 차단하기 위해 결과로서 수반될 수 있다. 이것은 빌링 시스템에 의한 청구서에 대한 월별 실행과 동시에 발생한다.
CDR들의 비중앙 집중식 수집의 경우, "실제" 가입자의 계좌에 대해 어떠한 CDR들도 직접적으로 생성되지 않는다. 그러나, 다른 서비스 노드들에 의해 생성되는 다른 CDR들, 예컨대, 게이트웨이 레코드들 또는 애플리케이션 서버 레코드들이 존재한다. 이러한 CDR들은 일관성을 위해 생성되며, 예컨대, 모바일 네트워크 운영자와 서비스 제공자 사이에서 분할된 비용의 경우, 교차 검사를 위해 사용될 수 있다. 통상적으로, 반드시 그런 것은 아니지만, 그러한 일관성 검사는 월말에 실행될 수 있다. 그러한 일관성 검사에 의해, 공격이 검출될 수 있고, 에러가 발생할 수 있다. 그 결과, 장애 관리 시스템은, 예컨대, 가입자의 계좌를 제외함으로써 또는 가입을 삭제함으로써 시스템으로부터 가입자를 드롭시킬 수 있다.
위에서 설명된 바와 같이, 위조된 OFCS 어드레스는, 비중앙 집중식 구성의 경우 다이어미터 어카운팅 애플리케이션에 의해 과금 이벤트들을 재지향하는 것으로, 또는 CGF에서의 무효 과금 시스템에 대한 중앙 집중식 구성의 경우 GTP 레코드들을 어그리게이팅하는 것으로 이어질 수 있다. 프로토콜들이 단지 한 방향으로만, 즉, 수집을 위해서만 동작하기 때문에 빌링 시스템에서의 사기 관측의 지연이 보장된다.
위조된 OCS 어드레스의 경우, 과금 방법은 양방향으로 그리고 실시간으로 상호작용하는 다른 사용되는 다이어미터 크레딧-제어 애플리케이션으로 인해 더 민감하다. 그에 따라서, 다른 온라인 과금 다이얼로그들이 동시에 진행 중인 경우에도 임의의 조작이 네트워크에서 관측될 수 있다. 즉, 공격들이 즉각적으로 식별될 수 있고, 이에 따라 장애 관리 시스템이 작동할 수 있다.
OCS 어드레스를 위조된 어드레스("해커-OCS")로 대체하는 경우, 가입자는, 해커-OCS가 수신된 다이어미터 CCR(Credit-Control Request) 메시지에서 대응하는 레이팅 그룹에 의해 식별된 요청된 서비스에 대한 충분한 GSU(Granted Service Units)로 유효 다이어미터 CCA(Credit-Control Answer) 메시지에 응답할 수 있으면, 무료로 서비스를 이용할 수 있다. 즉, 해커-OCS는 수신된 다이어미터 CCR 메시지들을 분석하고, 적절한 다이어미터 CCA 메시지의 모든 세부사항들을 다시 서비스 노드로 변환할 수 있어야 한다. 이것은, 다른 관련 서비스 노드가 서비스 요청 시 GSU를 요청하지 않거나 또는 빌링 시스템에 대한 통계 및 교차 검사를 위해 서비스 사용 이후에 대응하는 CDR을 제출하지 않는 한, 작동할 수 있다.
OCS 어드레스가 유효 IP 어드레스이면, 예컨대, 로밍 규정의 경우, 로밍 서비스 노드는 로밍 서비스 노드에서 GSU의 일관성을 검사할 것이다(예컨대, 통상적으로 휴가 중인 가입자가 특정량의 통화 시간, SMS 또는 데이터 볼륨을 가지며, 무한(endless) 통화 시간, 무한 수의 SMS 또는 데이터 볼륨을 가지지 않음). 따라서, 빌링 시스템은, 생성된 로밍 CDR들을 통해, 운영자-간 어카운팅에 대한 월별 교차 검사 동안 사기를 식별할 가능성이 있을 것이다.
NDS/IP에 따른 IPSec의 사용은 화이트 및 블랙리스팅과 같이 일부 보호를 제공한다(오늘날 실제 구현들에서, 그것은, 대부분의 운영자들이 로밍 홉들의 서비스를 사용하고 다이어미터가 홉별(hop-by-hop) 보안을 가지며, 단지 첫 번째 레그만이 보장되기 때문에, 통상적으로 도움이 되지 않음). 공격자가 로밍 허브 뒤에 "숨어있을" 때 IP 화이트/블랙리스팅에 대한 유사한 문제가 발생한다.
그러나, 그러한 조치들을 이용하더라도 소스 어드레스 스푸핑이 여전히 가능하고, 공격들이 여전히 가능하다. 비-LTE/5G 운영자들을 지원할 필요성은 운영자들이, IWF(Inter-Working Functions)를 배치해야 함을 요구할 수 있고, 이는 IWF를 사용하여 제시된 공격들이 가능하다는 결과를 초래할 것이다.
그러한 공격은 로밍 어레인지먼트들에 영향을 미치지 않고 충분히 방지될 수 없기 때문에, 본 발명의 일부 실시예들은, 예컨대, 후불(OFCS) 또는 선불(OCS) 사용자들에 대한 과금 시스템 또는 빌링 시스템 어드레스 리셋 및 선불로부터 후불로 과금 방법의 변경의 경우, 운영자 구성에 대한 위반의 영향을 감소시키는 것과 관련된다.
본 발명의 일부 실시예들은 다음의 공격들 중 적어도 하나의 공격의 잠재적 방지를 제공한다:
― 선불 고객에 대한 빌링 회피의 방지
― 후불 고객에 대한 빌링 회피의 방지
― 선불 고객을 후불 고객으로의 "업그레이딩"
그러한 공격들의 예들은 위에서 상세하게 설명된다.
일반적으로, 임의의 공격 관측은 공격자에게 통지되어서는 안되는 것이 바람직하다. 그것은 단지 변경의 위장(pretend)일 수 있고 그리고/또는 사일런트 알람을 전송할 수 있는 상이한 레벨들에 대한 활동들을 트리거링할 수 있다.
IDR 커맨드가 수신될 때, 초기 검사는, 그것이 OFCS/OCS 어드레스의 업데이트 또는 OCS의 OFCS 어드레스로의 대체를 요청하는 경우 이루어지고, 이는 공격자가 IR.21 GSMA 데이터베이스를 해킹하여 획득할 수 있다. 그러한 활동이 검출되면, 본 발명의 일부 실시예들에 따라, IDR 메시지의 신뢰성에 대한 스코어를 획득하기 위해 다음 검사들 중 적어도 하나가 발생할 수 있다:
― 전송 IP가 정확한 노드 타입(예컨대, SGSN, MME, HLR 등)을 가지는지에 대한 확인(즉, 단지 특정 노드 타입들만이 IDR 커맨드를 전송하도록 허용되고, 이러한 검사는 올바른 노드 타입이 IDR 커맨드를 전송하였는지를 확인). 메시지는 어떤 노드 타입, 예컨대, MME, SGSN이 메시지의 전송자인지를 포함한다는 점이 주목된다. 이러한 타입의 검사는 공격자가 그것이 메시지에 "정확한" 노드 타입을 제공하도록 위조된 어드레스에서의 서버를 구성한 경우 유용하지 않을 수 있다.
― OFCS 어드레스는 업데이트될 수 있거나, 또는 OCS 어드레스는 IDR 커맨드에 의해 요청되는 바와 같이 변경될 수 있고, 동일한 타입에서, 백업 계좌가 폴백(fall-back)을 목적으로 생성된다. 백업 계좌는 MSISDN의 사용자의 계좌("주 계좌")에 대응한다. 이어서, 모든 과금 이벤트들은 백업 계좌로 과금될 것이어서 백업 계좌는 정확하게 된다.
― 선불 테스트 OCS 과금은 해당 사용자에게 수행될 수 있고, IDR에 표시된 OCS 어드레스 및 크레딧-제어 실행이 이루어진다(계좌는 이벤트 기반 잔액 검사로 검사될 수 있음). 크레딧-제어 실행이 성공적이지 않으면, IP 어드레스가 기재된다(잠재적으로 블랙리스팅되는 것으로 기록됨). OCS 어드레스의 대체에 기반하는 크레딧 제어 실행은 상당히 중요한 단계이다. 이것은, 크레딧 제어가 통상적으로 단지 월말에만 발생할 것이기 때문에 추가적인 실행이다.
― 또한, 공격자가 예상한 바와 같이, 공격자에 대한 응답들이 수행될 수 있다.
― 잠재적 매칭 공격에 대한 기존 사기 데이터베이스를 이용하는 교차 검사가 수행될 수 있다.
― 요청 IP 어드레스(공격자의 IP 어드레스)가 블랙리스트에 부가될 수 있다.
― 선불 계좌가 로킹될 수 있다.
― OCS 어드레스의 비 성공적 테스트 이외에, 공격자의 IP 어드레스는 검증을 위해 하나 또는 그 초과의 블랙리스트 파트너들로 포워딩될 수 있다(파트너의 노드가 단지 해킹되었을 수 있음). 그 공격과 관련된 정보, 즉, 기술적 시그니처 및 거동은, 예컨대, 다른 파트너들이 최신 시그니처 파일을 다운로드할 수 있는 GSMA에 의해 유지되는 사기 데이터베이스로 자동으로 업로드될 수 있다.
― 사기 관리 시스템에 대한 (사일런트) 알람이 생성될 수 있다.
본 발명의 일부 실시예들에 따라, OCS 변경 또는 OFCS 변경은 사일런트 알람을 트리거링할 수 있고, 새로운 어드레스는 유효 OCS 어드레스들 또는 OFCS 어드레스들의 리스트에 대해 유효화될 수 있다. 변경된 OCS 어드레스 또는 OFCS가 유효 어드레스들의 엔트리에 매칭하지 않으면, 사기 방지 프로세스들은 시작할 수 있다. 그렇지 않으면, 매칭이 존재하는 경우, 사기 방지 프로세스들이 시작될 필요가 없도록 IDR 메시지가 사기가 아니었다고 가정될 수 있다.
바람직하게, 본 발명의 일부 실시예들에 따른 거동은 3GPP에 의해 표준화될 수 있다. 3GPP TS 23.060 섹션 6.11.1.1의 EPC 노드들(예컨대, SGSN)에서 IDR(Insert Subscriber Data Request)을 수신하기 위한 설명. "IDS 프로시저"는 확장을 허용하지 않는다. 따라서, 표준화를 위한 올바른 장소는 3GPP TS 29.272 섹션 5.2.2.1 "IDS 구조" 및 7.3.2 "가입 데이터(3GPP-CHCA)"일 수 있다. 새로운 방법들이 기존 규격들에서 앵커링될(anchored) 예가 아래에서 도시된다. 부가된 부분은 기울임 꼴로 기재된다.
5.2.2.1 삽입 가입자 데이터
5.2.2.1.1 일반적 사항
삽입 가입자 데이터 프로시저는 다음의 상황들에서 MME 또는 SGSN의 특정 사용자 데이터를 업데이트 및/또는 요청하기 위해 HSS와 MME 사이에서 그리고 HSS와 SGSN 사이에서 사용될 것이다:
HSS에서의 사용자 데이터의 관리 변경들로 인해, 사용자는 이제 MME 또는 SGSN에 로케이팅되고, 즉, 사용자에게 가입이 주어지고 가입이 변경된 경우;
5.2.2.1.2 MME 및 SGSN의 상세한 거동
IDR(Insert Subscriber Data request)을 수신할 때, MME 또는 SGSN은 IMSI가 알려져 있는지 여부를 검사할 것이다.
규격의 이러한 점에서, OCS 어드레스 변경을 가진 ISD 메시지의 경우 필수적 크레딧 제어 실행이 요구될 수 있다.
5.2.2.1.4 MME 및 SGSN의 특별한 트리거의 경우의 상세한 거동
IDR(Insert Subscriber Data request)을 수신할 때, 정규 식별된 상황들 외에 MME 또는 SGSN에 사기 방지 프로시저가 적용될 수 있다.
3GPP-과금 특성 AVP가 이전 요청에서 수신된 저장된 컨텐츠와 상이한 가입-데이터 AVP에 존재하면, MME 또는 SGSN은 변경을 무시하지만, 에러 표시 없이 응답하고, 성공적 대체를 스푸핑할 것이다. 부가적으로, 사일런트 알람이 동시에 추가 액션들에 대한 사기 관리를 통지할 수 있다.
부가적 조치로서, OCS의 CCR[Event(BalanceCheck)]을 외부 통지와 링크시키기 위해 3GPP TS 32.296/3GPP TS 32.299가 규정될 수 있다.
도 5는 본 발명의 예시적 실시예에 따른 장치를 도시한다. 장치는 SGSN, MSC, MME와 같은 서빙 노드, 또는 그 엘리먼트일 수 있다. 도 6은 본 발명의 예시적 실시예에 따른 방법을 도시한다. 도 5에 따른 장치는 도 6의 방법을 수행할 수 있지만, 이러한 방법으로 제한되는 것은 아니다. 도 6의 방법은 도 5의 장치에 의해 수행될 수 있지만, 이러한 장치에 의해 수행되는 것으로 제한되는 것은 아니다.
장치는 모니터링 수단(10) 및 통지 수단(20)을 포함한다. 모니터링 수단(10) 및 통지 수단(20)은 각각 모니터링 회로 및 통지 회로일 수 있다.
모니터링 수단(10)은 요청이 수신되는지를 모니터링한다(S10). 요청은 과금 시스템의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청한다. 저장된 제1 어드레스는 제2 어드레스와 상이하다. 과금 시스템은 가입자의 주 계좌를 제어하는 것으로 가정된다. 요청은, 예컨대, IDR 메시지일 수 있다.
요청이 수신되면(S10 = "예"), 통지 수단(20)은 요청이 악성(사기)일 수 있음을 통지한다(S20).
도 7은 본 발명의 예시적 실시예에 따른 장치를 도시한다. 장치는 적어도 하나의 프로세서(610), 및 컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리(620)를 포함하고, 적어도 하나의 프로세서(610)는, 적어도 하나의 메모리(620) 및 컴퓨터 프로그램 코드와 함께, 장치로 하여금, 적어도 도 6 및 관련 설명에 따른 방법을 적어도 수행하게 하도록 배열된다.
다이어미터 프로토콜 대신에, 본 발명의 일부 실시예들에서, RADIUS와 같은 가입 정보를 제출 및 대체할 수 있는 다른 프로토콜이 사용될 수 있다. IMSI 대신에, 다른 가입자 식별, 예컨대, T-IMSI 또는 MSISDN이 사용될 수 있다.
IDR 메시지가 잠재적으로 악성인지에 대한 검사가 IDR 메시지가 통과하게 하는 중간 노드(예컨대, DRA)에서의 IDR 요청(예컨대, MME 또는 SGSN)의 수신인에서 수행될 수 있거나, 또는 그것은 네트워크 트래픽(IDR 메시지와 같은 제어 메시지들 중 적어도 일부 또는 전부)을 감독하기 위한 별개의 디바이스에서 수행될 수 있다.
정보의 하나의 피스는 하나의 엔티티로부터 또 다른 엔티티로 하나 또는 복수의 메시지들에서 송신될 수 있다. 이 메시지들 각각은 정보의 추가적(상이한) 피스들을 포함할 수 있다.
네트워크 엘리먼트들, 프로토콜들, 및 방법들의 명칭들은 현재 표준들에 기초한다. 다른 버전들 또는 다른 기술들에서, 이 네트워크 엘리먼트들 및/또는 프로토콜들 및/또는 방법들의 명칭들은 그들이 대응하는 기능을 제공하는 한 상이할 수 있다.
달리 서술되지 않거나 또는 달리 문맥상 분명하지 않다면, 2개의 엔티티들이 상이하다는 서술문은 그들이 상이한 기능들을 수행한다는 것을 의미한다. 그것은 그들이 상이한 하드웨어에 기초한다는 것을 반드시 의미하는 것은 아니다. 즉, 본 설명에서 설명되는 엔티티들 각각은 상이한 하드웨어에 기초할 수 있거나, 또는 엔티티들 전부 또는 그 일부는 동일한 하드웨어에 기초할 수 있다. 그것은 그들이 상이한 소프트웨어에 기초한다는 것을 반드시 의미하는 것은 아니다. 즉, 본 설명에서 설명되는 엔티티들 각각은 상이한 소프트웨어에 기초할 수 있거나, 또는 엔티티들 전부 또는 그 일부는 동일한 소프트웨어에 기초할 수 있다.
본 발명의 일부 실시예들은 위에서 설명된 바와 같이, 3GPP 네트워크(예컨대, LTE, LTE-A 또는 5G 네트워크)에 적용될 수 있다. 그러나, 본 발명의 일부 예시적 실시예들은 3GPP CC 데이터가 가입자에게 서비스하는 노드에 저장되는 임의의 종류의 네트워크에 적용될 수 있다.
도 1 내지 도 4에서, DRA(2)가 도시된다. 그러나, DRA(2)는 선택적이다. 개개의 메시지들은 DRA(2)에 의해 중계되지 않고 통신 파트너들 사이에서 직접적으로 교환될 수 있다. 따라서, DRA(2)가 이용가능하지 않거나 또는 바이-패싱되면, 개개의 공격자(1a 내지 1d)는 개개의 메시지의 (최종) 수신인의 어드레스를 알 필요가 있다.
단말은 개개의 네트워크에 부착할 수 있는 임의의 종류의 단말일 수 있다. 예컨대, 단말은 UE, 머신-타입 통신의 디바이스, 랩탑, 스마트폰, 모바일 폰 등일 수 있다.
따라서, 위의 설명에 따라, 본 발명의 예시적 실시예들이, 예컨대, MME 또는 SGSN 또는 DRA와 같은 네트워크 노드 또는 그 컴포넌트, 이들을 구현하는 장치, 이들을 제어하고 그리고/또는 동작시키기 위한 방법, 및 이들을 제어하고 그리고/또는 동작시키는 컴퓨터 프로그램(들)뿐만 아니라 이러한 컴퓨터 프로그램(들)을 반송하고, 컴퓨터 프로그램 제품(들)을 형성하는 매체들을 제공한다는 것이 명백해야 한다. 따라서, 위의 설명에 따라, 본 발명의 예시적 실시예들이, 예컨대, 네트워크 트래픽 감독 디바이스 또는 그 컴포넌트, 이들을 구현하는 장치, 이들을 제어하고 그리고/또는 동작시키기 위한 방법, 및 이들을 제어하고 그리고/또는 동작시키는 컴퓨터 프로그램(들)뿐만 아니라 이러한 컴퓨터 프로그램(들)을 반송하고, 컴퓨터 프로그램 제품(들)을 형성하는 매체들을 제공한다는 것이 명백해야 한다.
위에서 설명된 블록들, 장치들, 시스템들, 기법들, 수단, 엔티티들, 유닛들, 디바이스들 또는 방법들 중 임의의 것의 구현들은, 비-제한적 예들로서, 하드웨어, 소프트웨어, 펌웨어, 특수 목적 회로들 또는 로직, 범용 하드웨어 또는 제어기, 또는 다른 컴퓨팅 디바이스들, 가상 머신 또는 이들의 임의의 조합으로서의 구현들을 포함한다.
실시예들의 설명은 단지 예로서 주어지고, 본 발명의 범위를 벗어나지 않으면서 첨부된 청구항들에 의해 정의되는 것으로서 다양한 수정들이 이루어질 수 있다는 점이 주목되어야 한다.

Claims (18)

  1. 장치로서,
    요청이 수신되는지 모니터링하도록 적응된 모니터링 수단 ― 상기 요청은 과금 시스템(charging system)의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청하고, 상기 제1 어드레스는 상기 제2 어드레스와 상이하고, 그리고 상기 과금 시스템은 가입자의 주 계좌(primary account)를 제어하는 것으로 가정됨 ― ; 및
    상기 요청이 수신되면, 상기 요청이 악성일 수 있음을 통지하도록 적응된 통지 수단을 포함하는, 장치.
  2. 제1 항에 있어서,
    상기 요청이 수신되면, 상기 가입자에 사기 방지 프로시저를 적용시키도록 적응된 사기 방지 수단을 더 포함하는, 장치.
  3. 제2 항에 있어서,
    상기 사기 방지 프로시저는 상기 가입자의 주 계좌의 크레딧(credit) 제어를 실행하도록 트리거링하는 것을 포함하는, 장치.
  4. 제2 항 또는 제3 항에 있어서,
    상기 사기 방지 프로시저는 상기 제1 어드레스를 상기 제2 어드레스로 대체하는 것을 금지하는 것을 포함하는, 장치.
  5. 제2 항 또는 제3 항에 있어서,
    상기 사기 방지 프로시저는,
    상기 과금 시스템에서 상기 가입자의 백업 계좌를 활성화하는 것 ― 상기 백업 계좌는 상기 주 계좌에 대응함 ― ; 및
    상기 가입자의 과금 이벤트들에 대해 상기 백업 계좌에 과금하는 것
    을 포함하는, 장치.
  6. 제4 항 또는 제5 항에 있어서,
    상기 사기 방지 프로시저는 상기 요청에 따라 상기 제1 어드레스가 상기 제2 어드레스로 대체된 것처럼 상기 요청의 소스를 스푸핑(spoof)하는 것을 포함하는, 장치.
  7. 제2 항 내지 제6 항 중 어느 한 항에 있어서,
    상기 사기 방지 프로시저는,
    상기 요청의 소스 어드레스를 블랙리스팅(blacklist)하는 것;
    상기 가입자의 주 계좌를 로킹(lock)하는 것; 및
    사일런트 알람(silent alarm)을 생성하는 것
    중 적어도 하나를 포함하는, 장치.
  8. 제2 항 내지 제7 항 중 어느 한 항에 있어서,
    상기 요청이 수신되면, 상기 제2 어드레스가 과금 시스템들의 어드레스들의 사전 결정된 리스트에 포함된 어드레스와 매칭하는지 여부를 검사하도록 적응된 검사 수단; 및
    상기 제2 어드레스가 상기 사전 결정된 리스트에 포함된 어드레스들 중 하나와 매칭하면, 상기 사기 방지 프로시저를 수행하는 것을 금지하도록 적응된 금지 수단을 더 포함하는, 장치.
  9. 방법으로서,
    요청이 수신되는지 모니터링하는 단계 ― 상기 요청은 과금 시스템의 저장된 제1 어드레스를 제2 어드레스로 대체하도록 요청하고, 상기 제1 어드레스는 상기 제2 어드레스와 상이하고, 그리고 상기 과금 시스템은 가입자의 주 계좌를 제어하는 것으로 가정됨 ― ;
    상기 요청이 수신되면, 상기 요청이 악성일 수 있음을 통지하는 단계를 포함하는, 방법.
  10. 제9 항에 있어서,
    상기 요청이 수신되면, 상기 가입자에 사기 방지 프로시저를 적용시키는 단계를 더 포함하는, 방법.
  11. 제10 항에 있어서,
    상기 사기 방지 프로시저는 상기 가입자의 주 계좌의 크레딧 제어를 실행하도록 트리거링하는 것을 포함하는, 방법.
  12. 제10 항 또는 제11 항에 있어서,
    상기 사기 방지 프로시저는 상기 제1 어드레스를 상기 제2 어드레스로 대체하는 것을 금지하는 것을 포함하는, 방법.
  13. 제10 항 또는 제11 항에 있어서,
    상기 사기 방지 프로시저는,
    상기 과금 시스템에서 상기 가입자의 백업 계좌를 활성화하는 것 ― 상기 백업 계좌는 상기 주 계좌에 대응함 ― ; 및
    상기 가입자의 과금 이벤트들에 대해 상기 백업 계좌에 과금하는 것
    을 포함하는, 방법.
  14. 제12 항 또는 제13 항에 있어서,
    상기 사기 방지 프로시저는 상기 요청에 따라 상기 제1 어드레스가 상기 제2 어드레스로 대체된 것처럼 상기 요청의 소스를 스푸핑하는 것을 포함하는, 방법.
  15. 제10 항 내지 제14 항 중 어느 한 항에 있어서,
    상기 사기 방지 프로시저는,
    상기 요청의 소스 어드레스를 블랙리스팅하는 것;
    상기 가입자의 주 계좌를 로킹하는 것; 및
    사일런트 알람을 생성하는 것
    중 적어도 하나를 포함하는, 방법.
  16. 제10 항 내지 제15 항 중 어느 한 항에 있어서,
    상기 요청이 수신되면, 상기 제2 어드레스가 과금 시스템들의 어드레스들의 사전 결정된 리스트에 포함된 어드레스와 매칭하는지 여부를 검사하는 단계; 및
    상기 제2 어드레스가 상기 사전 결정된 리스트에 포함된 어드레스들 중 하나와 매칭하면, 상기 사기 방지 프로시저를 수행하는 것을 금지하는 단계를 더 포함하는, 방법.
  17. 컴퓨터 프로그램 제품으로서,
    장치 상에서 실행되는 경우, 상기 장치로 하여금, 제9 항 내지 제16 항 중 어느 한 항에 따른 방법을 수행하게 하도록 구성되는 명령들의 세트를 포함하는, 컴퓨터 프로그램 제품.
  18. 제17 항에 있어서,
    컴퓨터 판독가능한 매체로서 구현되거나, 또는 컴퓨터에 직접적으로 로딩가능한, 컴퓨터 프로그램 제품.
KR1020187014462A 2015-10-21 2015-10-21 과금 사기에 대한 검출 방법 KR102146925B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/074356 WO2017067588A1 (en) 2015-10-21 2015-10-21 Detection method against charging fraud

Publications (2)

Publication Number Publication Date
KR20180074742A true KR20180074742A (ko) 2018-07-03
KR102146925B1 KR102146925B1 (ko) 2020-08-21

Family

ID=54364288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187014462A KR102146925B1 (ko) 2015-10-21 2015-10-21 과금 사기에 대한 검출 방법

Country Status (6)

Country Link
US (1) US10349281B2 (ko)
EP (1) EP3366017B1 (ko)
JP (1) JP6567181B2 (ko)
KR (1) KR102146925B1 (ko)
CN (1) CN108370371B (ko)
WO (1) WO2017067588A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102116307B1 (ko) * 2019-11-26 2020-05-29 한국인터넷진흥원 이동 통신망에서의 diameter 프로토콜 idr 메시지 스푸핑 공격 탐지 방법 및 그 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022203662A1 (en) * 2021-03-24 2022-09-29 Syniverse Technologies, Llc Interworking function for enabling volte roaming
WO2023059230A1 (en) * 2021-10-04 2023-04-13 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for internal fraud control based on volume and time constraints of rejected call records

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010024950A1 (en) * 2000-03-21 2001-09-27 Hakala Harri Tapani Transmission of call detail records in a telecommunications system
US20040153663A1 (en) * 2002-11-01 2004-08-05 Clark Robert T. System, method and computer program product for assessing risk of identity theft
US8695097B1 (en) * 2007-08-28 2014-04-08 Wells Fargo Bank, N.A. System and method for detection and prevention of computer fraud

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3996030B2 (ja) * 2002-10-04 2007-10-24 三菱電機株式会社 コンテンツ利用権管理装置
JP2006025374A (ja) * 2004-07-09 2006-01-26 Fujitsu Ltd ワイヤレス通信不正使用検証システム
CN101277202B (zh) * 2007-03-29 2012-06-27 华为技术有限公司 计费方法以及计费系统
US8813168B2 (en) * 2008-06-05 2014-08-19 Tekelec, Inc. Methods, systems, and computer readable media for providing nested policy configuration in a communications network
WO2010062986A2 (en) * 2008-11-26 2010-06-03 Ringcentral, Inc. Fraud prevention techniques
US8712374B2 (en) * 2010-11-24 2014-04-29 Alcatel Lucent Method and apparatus for providing charging status information to subscriber of communication service
IN2014DN08971A (ko) * 2012-05-09 2015-05-22 Ericsson Telefon Ab L M

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010024950A1 (en) * 2000-03-21 2001-09-27 Hakala Harri Tapani Transmission of call detail records in a telecommunications system
US20040153663A1 (en) * 2002-11-01 2004-08-05 Clark Robert T. System, method and computer program product for assessing risk of identity theft
US8695097B1 (en) * 2007-08-28 2014-04-08 Wells Fargo Bank, N.A. System and method for detection and prevention of computer fraud

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102116307B1 (ko) * 2019-11-26 2020-05-29 한국인터넷진흥원 이동 통신망에서의 diameter 프로토콜 idr 메시지 스푸핑 공격 탐지 방법 및 그 장치
US10945117B1 (en) 2019-11-26 2021-03-09 Korea Internet & Security Agency Method and apparatus for detecting diameter protocol IDR message spoofing attack in mobile communication network

Also Published As

Publication number Publication date
US10349281B2 (en) 2019-07-09
CN108370371B (zh) 2021-08-03
CN108370371A (zh) 2018-08-03
US20180310182A1 (en) 2018-10-25
EP3366017B1 (en) 2022-03-23
EP3366017A1 (en) 2018-08-29
KR102146925B1 (ko) 2020-08-21
JP2018533303A (ja) 2018-11-08
JP6567181B2 (ja) 2019-08-28
WO2017067588A1 (en) 2017-04-27

Similar Documents

Publication Publication Date Title
EP2918094B1 (en) Network monitoring of user equipment events
US10237721B2 (en) Methods, systems, and computer readable media for validating a redirect address in a diameter message
Norrman et al. Protecting IMSI and user privacy in 5G networks
CN101479989B (zh) 通过在用户终端实施通信量计数对漫游移动物体进行gprs通信量计费
EP1771031A2 (en) Tracking roaming cellular telephony calls for anti-fraud
US9294923B2 (en) Detection of potentially fraudulent activity by users of mobile communications networks
Rao et al. Unblocking stolen mobile devices using SS7-MAP vulnerabilities: Exploiting the relationship between IMEI and IMSI for EIR access
KR102146925B1 (ko) 과금 사기에 대한 검출 방법
EP2661109B1 (en) Gateway location register
Rao et al. Privacy in LTE networks
CN110999270B (zh) 适用于发送服务验证消息的用户设备
US11108914B2 (en) Method and system for revenue maximization in a communication network
CN108270808B (zh) 一种实现应用检测与控制的方法、装置和系统
Apostol et al. Improving LTE EPS-AKA using the security request vector
Singh Signaling security in LTE roaming
Holtmanns et al. Mobile data interception in 4g via diameter interconnection
Cai et al. Online charging in the roaming EPC/LTE network
Thanh et al. Security in Mobile networks: A Novel challenge and Sollution

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right