用于使用7号信令系统SS7信号传输点STP验证访客位置寄存器VLR的方法、系统和计算机可读介质
文献发布时间:2023-06-19 10:00:31
优先权要求
本申请要求于2018年7月13日提交的美国专利申请序列No.16/035,008的优先权权益,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及增强电信网络安全性。更特别地,本文描述的主题涉及用于使用SS7信号传输点来验证VLR的方法、系统和计算机可读介质。
背景技术
像大多数计算机网络一样,电信信令网络也具有一定的攻击漏洞。例如,在移动通信网络中,如果欺骗者(即,欺骗或伪装实体)获得由归属位置寄存器(HLR)维护的订户信息的访问,那么该欺骗者可以使用该信息来窃听涉及订户的文本消息和语音对话。因此,期望保护由HLR维护的订户信息。
保护HLR维护的订户信息可能很困难,因为订户信息是根据位置更新过程通过网络传输的,并且没有对这些过程的发起者进行认证或核实。例如,当订户的用户装备(UE)附接到网络时,SS7网络中的附接点(例如,移动交换中心/访客位置寄存器(MSC/VLR))将消息发送给HLR以向HLR更新UE的位置。HLR利用有关订户的订户信息进行响应。订户信息可能被欺骗者用来窃听或以其它方式影响与UE之间的通信。
如果欺骗者伪装成服务UE的有效网络元件,但替代地充当订阅信息的拦截点,那么欺骗者可以使用位置更新过程来获得订阅信息。例如,欺骗者可以向订户的归属网络中的HLR发送伪造的位置更新(LU)消息。HLR会用订户的订阅信息来响应欺骗者,就好像该欺骗者是UE当前在其中注册的有效MSC/VLR一样。订阅信息在位置更新响应消息中被传输到欺骗者。一旦欺骗者获得订阅信息,欺骗者就可以窃听涉及订户的通信和/或进行其它欺诈活动。
因此,需要用于使用SS7信号传输点来验证VLR的方法、系统和计算机可读介质。
发明内容
公开了用于使用SS7信号传输点来验证VLR的方法、系统和计算机可读介质。一种使用SS7信号传输点验证VLR的方法包括维护可由SS7信号传输点(STP)访问的访客位置寄存器验证数据库,并由STP接收移动应用部分(MAP)发送认证信息(SAI)请求信息。该方法还包括由STP确定MAP SAI请求消息包括未记录在可由STP访问的VLR验证数据库中的VLR标识符,以及将VLR标识符记录在可由STP访问的VLR验证数据库中。该方法还包括在STP处接收第一MAP位置更新(LU)请求消息,并在第一MAP LU请求消息中检测VLR标识符,并确定从第一MAP LU请求消息中读取的VLR标识符与STP可访问的VLR验证数据库中为订户记录的VLR标识符不匹配。该方法还包括响应于确定VLR标识符与STP可访问的VLR验证数据库中为订户记录的VLR标识符不匹配,拒绝第一MAP LU请求消息。
根据本文描述的主题的一个方面,VLR验证数据库也可由第二SS7 STP访问,该第二SS7 STP用作SS7 STP的配对物(mate)。
根据本文描述的主题的一个方面,接收MAP SAI请求消息包括:接收具有国际移动订户身份(IMSI)的MAP SAI请求消息,该IMSI未记录在STP可访问的VLR验证数据库中,并且其中在STP可访问的VLR验证数据库中记录来自SAI请求消息的VLR标识符包括在SLR可访问的VLR验证数据库中为IMSI和VLR标识符创建新记录。
根据本文描述的主题的一个方面,接收MAP SAI请求消息包括:接收包括记录在STP可访问的VLR验证数据库中的国际移动订户身份(IMSI)的MAP SAI请求消息,其中在STP可访问的VLR验证数据库中记录来自SAI请求消息的VLR标识符包括在STP可访问的VLR验证数据库中创建与IMSI对应的记录,并将来自MAP SAI请求消息的VLR标识符存储在该记录中。
根据本文描述的主题的一个方面,该方法还包括:将SAI请求消息转发到归属位置寄存器(HLR);从HLR接收具有成功结果代码的SAI确认消息;以及响应于从HLR接收到SAI确认消息,启动记录到期计时器。
根据本文描述的主题的一个方面,响应于记录到期计时器达到到期值,从STP可访问的VLR验证数据库中删除记录。
根据本文描述的主题的一个方面,该方法包括接收第二MAP LU请求消息,该第二MAP LU请求消息包括与在VLR验证数据库中为订户记录的VLR标识符匹配的VLR标识符。
根据本文描述的主题的一个方面,该方法包括将第二MAP LU请求消息转发到归属位置寄存器。
根据本文描述的主题的一个方面,该方法包括更新STP可访问的VLR验证数据库中的记录条目,以指示第二MAP LU请求消息的接收,并且在记录中存储第二MAP LU请求消息中的呼叫方地址(CgPA)参数作为VLR标识符。
根据本文描述的主题的一个方面,该方法包括:响应于确定第一LU请求消息中的VLR标识符与VLR验证数据库中为订户记录的VLR标识符不匹配,将第一LU请求消息指定为可疑。
根据本文描述的主题的又一个方面,公开了一种用于使用SS7信号传输点来验证VLR的系统。该系统包括SS7信号传输点(STP),该SS7信号传输点(STP)包括至少一个处理器;以及在STP本地的用于存储用于认证多个VLR的记录的访客位置寄存器(VLR)验证数据库。该系统还包括在STP本地并且使用至少一个处理器实现的验证引擎,用于接收移动应用部分(MAP)发送认证信息(SAI)请求消息、确定MAP SAI请求消息包括未记录的VLR标识符、将VLR标识符记录在STP可访问的VLR验证数据库中、接收第一MAP位置更新(LU)请求消息,并在第一MAP LU请求消息中检测VLR标识符。验证引擎还被配置用于确定从第一MAP LU请求消息中读取的VLR标识符与STP可访问的VLR验证数据库中为订户记录的VLR标识符不匹配,并响应于确定VLR标识符与STP可访问的VLR验证数据库中为订户记录的VLR标识符不匹配,拒绝第一MAP LU请求消息。
本文描述的主题可以以硬件、软件、固件或其任何组合来实现。照此,如本文所使用的术语“功能”、“节点”或“模块”是指硬件,其也可以包括软件和/或固件部件,用于实现所描述的特征。在一个示例性实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,该计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文所述主题的示例性计算机可读介质包括非暂态计算机可读介质,诸如盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。此外,实现本文所述主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
现在将参考附图解释本文所述的主题:
图1是图示用于使用SS7信号传输点来验证VLR的系统的框图;
图2是消息流程图,其图示了用于出站漫游订户的网络实体之间交换的示例性消息;
图3A是图示由SS7 STP在处理MAP SAI请求消息以进行VLR验证以减少位置更新交易中的欺诈时执行的示例性处理的流程图;
图3B是图示由SS7 STP在处理具有匹配的IMSI的MAP位置更新请求消息以进行VLR验证以减少位置更新交易中的欺诈时执行的示例性处理的流程图;
图3C是图示由SS7 STP在处理没有匹配的IMSI的MAP SAI请求或位置更新请求消息以进行VLR验证以减少欺诈和位置更新交易时执行的示例性处理的流程图;
图3D是图示由SS7 STP在处理取消位置请求(CLR)消息以进行VLR验证以减少位置更新交易中的欺诈时执行的示例性处理的流程图;以及
图4是图示用于VLR验证以减少更新位置交易中的欺诈的示例性消息传送的消息流程图。
具体实施方式
本文描述的主题涉及用于使用SS7信号传输点来验证VLR的方法、系统和非暂态计算机可读介质。图1是图示示例性通信网络100的框图,该示例性通信网络被配置为促进SS7信令消息在其网络节点之间的通信。例如,网络100包括用户装备(UE)102、拜访位置寄存器(VLR)104、配对的成对STP 106和108、数据库主机130以及归属位置寄存器(HLR)118。用户装备102可以包括由订户最终用户直接用来接收或传输数据的任何设备,诸如手持蜂窝电话、GSM移动台、配备有移动宽带适配器的膝上型计算机或任何其它类似设备。在一些实施例中,用户装备102在拜访网络中漫游,并且通信地连接(例如,附接到)到MSC/VLR 104。例如,用户装备102可以利用无线电接口来建立与基站Node B或eNodeB(未示出)的无线连接,该基站又连接到MSC/VLR 104(在下文中称为“VLR104”)。在一些实施例中,VLR 104用作位于拜访网络(其被定义为订户的用户装备102正在漫游的网络)中的MSC的本地订阅数据库。类似地,HLR 118是主订阅数据库,其位于订户用户的归属网络中,并维护注册到归属网络的用户装备设备的记录。
STP 106和108中的每一个可以包括被配置为在信令端点(SEP)和其它信令传输点(STP)(未示出)之间中继SS7消息的路由器设备或元件。在一些实施例中,SEP包括服务交换点(SSP)和服务控制点(SCP)。虽然未显示,但STP 106和STP 108中的每一个都可以经由信令链路连接到相邻的SEP和STP。基于STP接收到的SS7消息的地址字段,STP将SS7消息路由到适当的传出信令链路。如图1中所示,出于可靠性目的,可以将STP 106和STP 108部署为配对的成对。虽然配对的成对STP不一定彼此共享信息,但是STP可以链接在一起。例如,STP106和STP 108可以经由交叉链接(即,“C”链接)链接在一起(未示出)。这些链接特别重要,因为接收到的SS7请求消息(例如,MAP SAI请求消息和MAP位置更新请求消息)的消息路径可以遍历属于配对的成对的不同STP节点。例如,STP 106可以接收SAI请求消息,并且STP108可以接收后续的位置更新请求消息。如本文所使用的,术语“位置更新(LU)请求消息”是指用于更新电信网络中的移动订户的位置的信令消息。“位置更新请求消息”旨在包括SS7移动应用部分(MAP)位置更新请求消息或用于用网络更新电信网络订户的位置的任何其它消息。值得注意的是,位置更新请求消息包括识别用户装备的标识符,诸如IMSI、MSISDN和/或IMEI。位置更新消息可以包括在SS7消息的移动应用部分(MAP)中携带的临时标准41(IS-41)消息,该消息也包含服务订户的MSC/VLR的标识符以及MSC/VLR的SS7点码。
由于配对的STP对中的不同STP可以提供不同的消息路径,因此在SS7网络体系架构中验证和/或关联相关的SS7请求消息可能会出现问题。更具体而言,由配对的成对的不同STP接收的MAP SAI请求消息和相关的MAP位置更新请求消息不能总是彼此相关。由此,网络100已被配置为采用可由配对的成对的两个STP(例如,主要STP 106和次要STP 108)访问的共享的验证数据库132的使用。在一些实施例中,共享的验证数据库132可以驻留在数据库主机130中,该数据库主机可以被STP 106和STP 108两者访问,但是与STP 106和STP 108两者是分开的且不同的。在其它实施例中,验证数据库132可以本地驻留在一个STP(例如,STP 106)上,但是可以由配对的成对的另一个STP(例如,STP 108)访问。在一些实施例中,每个STP与数据库主机130之间存在的信令链路(例如,链路120和链路122)可以包括“C”链路。STP 106和STP 108中的每一个可以包括记录到期计时器116,其可以使用基于硬件和/或软件的时钟机制来实现。如将在下面详细解释的,记录到期计时器116可以由验证引擎114在从HLR 118接收到SAI确认消息时发起。验证引擎114可以利用从数据库主机130获得的到期超时时段值136和记录到期计时器116来监视在从VLR接收到SAI确认消息和随后的位置更新请求消息之间流逝的时间量。
如图1所示,数据库主机130可以包括网络元件(例如,应用服务器),其负责托管和维护配对的STP对可访问的VLR验证数据库132。值得注意的是,数据库主机130经由交叉链接120-122可通信地连接到STP 106和STP 108中的每一个,该交叉链接分别提供对共享的验证数据库132的访问。在一些实施例中,验证数据库132包括与多个拜访网络VLR对应的多个数据库记录条目134。具体而言,每个数据库记录条目134可以包括IMSI和与特定VLR相关联的验证元组。例如,数据库记录条目的验证元组部分可以包含拜访的VLR标识信息、SAI请求标志和位置更新请求标志(例如,
在一些实施例中,验证数据库132还可以被配置为存储到期超时时段值136,其可由验证引擎114访问和/或读取。特别地,验证引擎114可以将由到期超时时段值136指定的值用作由记录到期计时器116监视的预定义阈值。在一个实施例中,默认到期超时时段值136可以被设置为21,600秒。值得注意的是,STP 106可以使用记录到期计时器116来监视从服务出站漫游订户的外部网络接收到入口SS7信令消息的时间。在订户从一个漫游网络移动到另一个漫游网络的情况下,STP 106可以利用验证引擎114和计时器116来验证VLR在SAI请求消息之后发送位置更新请求消息。即,验证引擎114可以被配置为确保SAI请求消息和随后的位置更新请求消息在由记录到期计时器116测量的预定义时间段内源自相同的VLR。由于合法的VLR可能会在接近的时间发送位置更新请求和SAI请求消息,因此所公开的方法系统通过检测消息的时间差和(一个或多个)来源来确保这些消息是从单个来源及时发送的,以防止潜在的漫游欺诈。
图2描绘了消息流程图,其图示了示例性SS7/MAP信令消息,该消息可以被欺骗,以进行欺诈性漫游目的。在图2中,订户的用户装备(未示出)可能正在其归属网络之外漫游,并且特别地位于拜访网络内(即,该用户装备不具有归属网络无线电接入)。例如,订户的用户装备可以被注册和/或附连到拜访网络VLR 104(例如,由MSC托管),该拜访网络VLR 104被配置为利用用户装备的当前位置信息(例如,当前小区位置)来更新归属网络HLR 118。在使用用户装备的当前位置更新HLR 118之前,拜访VLR 104向HLR 118发送MAP发送认证信息请求消息210。SAI请求消息210包含识别拜访网络VLR和订户的用户装备(例如,移动设备)的信息。响应于接收到SAI请求消息210,HLR 118将MAP SAI确认消息212发送到VLR 104。
在接收到SAI确认消息212之后,拜访VLR 104向HLR 118发送位置更新请求消息214,以更新订户用户装备的当前位置。响应于接收和处理位置更新请求消息214,HLR 118将位置更新响应消息(例如,插入订户数据消息216)发送到拜访网络VLR 104。显然,位置更新响应消息包含用户标识数据,该用户标识数据允许向订户用户提供服务,并允许根据订户用户装备当前所在的拜访网络的规则和/或策略进行计费。
在用户装备设备在外部网络中漫游并且位置更新请求消息214源自有效的VLR的情况下,图2中描绘的信令场景不涉及任何欺诈活动。但是,由欺骗者托管的欺诈性系统可以伪装或充当拜访网络VLR 104,并向HLR 118发送伪造的位置更新请求消息,以将为订户用户装备存储的位置数据更新到欺骗者的欺诈性网络。用订户用户装备的位置信息更新HLR可能会使欺骗者拦截来自订户的后续通信,因为存储在HLR中的记录条目将指向欺骗者网络的位置,而不是订户用户装备(和/或托管VLR)的实际位置。
在一些情况下,欺骗者在欺骗者网络中伪装成真实的MSC和/或VLR。伪装成真实的MSC/VLR包括生成有效消息,诸如基于MAP的位置更新请求消息,并将这些消息转发到其它网络,以试图从那些网络中获得订户信息。欺骗者可以是具有通过网络进行通信并生成MAP位置更新消息传送(诸如,SS7位置更新消息传送)的能力的计算平台。如果欺骗者可以生成位置更新消息并可以访问有效的用户标识符,诸如国际移动台标识符(IMSI)、移动订户集成服务数字网络(MSISDN)号码和/或国际移动装备标识符(IMEI),那么欺骗者可以使用位置更新消息产生攻击,以从移动订户的HLR中获得识别出的订户的订阅信息。
在一些情况下,欺骗者可以位于与拜访网络分离的欺骗者网络中,并伪装成MSC/VLR。在图2中,欺骗者可以向HLR 118发送MAP位置更新请求消息214。基于SS7的信令攻击可以通过来自漫游网络的互连信令流量被引入。攻击的一些示例包括订户拒绝服务(DoS)攻击、位置跟踪攻击和欺诈攻击。这些攻击可以通过欺骗或模仿外部网络元件的身份来执行。例如,可以在传入的SS7和/或MAP请求消息中欺骗用于服务拜访位置寄存器(VLR)的标识符,诸如从拜访网络VLR(和/或托管MSC)发送的MAP SAI请求消息和MAP位置更新请求消息。值得注意的是,所公开的主题提出了一种系统和方法,该系统和方法利用STP来验证/认证将S7信令流量引向驻留在拜访网络中漫游的订户的归属网络中的HLR的外部网络VLR。值得注意的是,图2所示的系统需要一种有效的机制来核实SAI请求消息和位置更新请求消息均是在预定义的时间段内从同一拜访VLR(例如,VLR 104)接收到的。
在一些实施例中,STP 106可以被配置为从外部网络接收传入的消息,并且对包括VLR标识信息的SS7和/或MAP信令消息执行筛选和认证处理。值得注意的是,STP可以被配置为通过验证正在向归属网络发送SAI请求消息和位置更新请求消息的VLR的身份,用作归属网络的网守。在一些实施例中,STP还可以被配置为核实SAI请求消息和位置更新请求消息都是在预定义的时间段内从相同的来源(例如,VLR和/或MSC)发送的。STP可以被配置为在STP可访问的验证数据库中维护订户用户装备的IMSI和拜访VLR的
在一些实施例中,如果仅在经由源自同一VLR的SAI请求消息的成功认证之后才接收到位置更新请求消息,那么验证引擎可以验证位置更新请求消息。在一些实施例中,验证引擎可以在验证之后将消息转发到HLR或VLR(例如,如果包含在接收到的请求消息中的VLR标识符与存储在VLR验证数据库中的VLR标识符匹配)。
在一些实施例中,出于从VLR验证数据库删除记录的目的,STP 106可以被配置为维护记录到期计时器116。例如,可以将记录删除的默认到期超时值设置为操作员定义的值(例如,10,000秒)。当计时器到期时,可以从VLR验证数据库中删除该记录。
图3A-图3D图示了用于处理与出站漫游订户相关的消息并防止漫游相关的欺诈的示例性方法。例如,图3A图示了针对在匹配的IMSI被存储在可由STP访问的验证数据库中的情况下由STP接收到的SAI请求消息和SAI确认消息执行的示例性处理(方法300)。在一些实施例中,图3中描述的方法300是存储在存储器中的算法,该算法在由硬件处理器执行时,执行步骤301-步骤310。在图3A的方框301中,STP接收由拜访网络VLR发送的SAI请求消息。在方框302中,确定SAI请求消息是否包括匹配的VLR标识符。该步骤可以由验证引擎114使用验证数据库132来执行。验证数据库132中是否存在匹配的VLR标识符的确定可以包括从SAI请求消息中提取IMSI。更具体而言,验证引擎114可以从SAI请求消息中提取VLR标识符,并将提取的VLR标识符与存储在验证数据库132中的VLR标识符(如果有的话)进行比较。如果数据库记录条目中的VLR标识符与最初包含在接收到的SAI请求消息中的标识符不匹配,那么方法300进行到方框304,其中请求消息被转发到订户的归属网络中的HLR。如果没有找到匹配的VLR标识符,那么该方法进行到方框312,其中SAI请求消息被转发到HLR(并且方法300进行到方框308,如下所述)。
在方框306中,生成新的数据库记录条目并将其添加到验证数据库132。对于先前存储的IMSI,验证数据库132中的新数据库记录条目可以包含:i)从SAI请求消息中提取的新VLR标识符,ii)设置为“1”的SAI标志,其指示已接收到SAI请求消息,以及iii)设置为“0”的LU请求标志,其指示尚未接收到针对特定VLR标识符的位置更新请求消息。
在方框308中,当STP从HLR接收到匹配的SAI确认消息时,发起记录到期超时时段。SAI确认消息用作HLR成功接收并处理请求消息的指示。
在方框310中,SAI确认消息被转发到发送原始SAI请求消息的VLR(和/或MSC)。
图3B图示了示例性方法350,其包括由验证引擎114执行的步骤,该步骤用于在更新位置请求消息包含当前存储在验证数据库132中的IMSI时处理位置更新请求消息。在方框351中,接收到MAP位置更新请求消息。位置更新请求消息可以源自订户正在漫游的拜访网络中的合法VLR。替代地,位置更新请求消息可以源自欺骗者和/或攻击者。在方框352中,确定从位置更新请求消息中提取的VLR标识符是否与在验证数据库132中为IMSI存储的VLR标识符匹配。例如,(方框352)中的这种确定可以由验证引擎114使用验证数据库132来执行。如果从位置更新请求消息中提取的VLR标识符与验证数据库132中存储的数据库记录条目中包含的VLR标识符匹配,那么方法350进行到方框354,其中更新IMSI的数据库记录条目:i)将LU请求标志设置为等于“1”(其指示位置更新请求消息的接收);并且ii)将VLR标识符设置为在位置更新请求消息中接收的呼叫方地址(CgPA)参数(例如,信令客户端控制协议(SCCP)CgPA)。方法350然后进行到方框356,其中位置更新请求消息被转发到HLR,并且跟踪记录的记录到期超时时段的计时器被重置和/或重启。
返回到方框352,如果位置更新请求消息中的VLR标识符与IMSI的验证数据库132中存储的任何VLR标识符都不匹配,那么该消息被标记为可能源自攻击者和/或欺骗者实体。方法350进行到方框358,其中位置更新请求消息被验证引擎114拒绝。值得注意的是,被拒绝的位置更新请求消息被阻止转发到订户的归属网络中的HLR。在方框360中,验证引擎将拒绝的位置更新请求消息标记为可疑消息,并将其转发到分析平台。分析平台可以被配置为向网络运营商提供警告通知和/或执行或触发与欺诈检测和预防相关的其它动作。
图3C图示了示例性方法400,其包括由验证引擎在处理与匹配的IMSI不对应(即,当前没有存储在验证数据库132中用于IMSI的数据库记录条目)的接收到的SAI请求消息或位置更新请求消息时执行的步骤。在方框401中,接收到没有匹配的IMSI的SAI请求消息或位置更新请求消息。例如,验证引擎114可以通过从接收到的请求消息中提取IMSI并使用所提取的IMSI在验证数据库132中执行查找查询来确定接收到的请求消息是否包括匹配的IMSI。如果在数据库132中不存在包含匹配的IMSI的数据库记录条目,那么将进行图3C中所示的处理。
如果接收到的请求消息是SAI请求消息,那么方法400进行到方框402,在此将SAI请求消息转发到归属网络中的HLR。在方框404中,将(从SAI请求消息中提取的)IMSI映射到VLR标识符(并且包括SAI标志和LU请求标志)的数据库记录条目添加到验证数据库132。
在方框406中,HLR利用SAI确认消息进行响应。如果响应消息指示该SAI请求已被HLR成功接收并处理,那么方法400进行到方框408,其中验证引擎发起记录到期超时时段(例如,经由计时器116)。验证引擎还可以将SAI确认消息转发到外部/拜访网络中的VLR(和/或MSC)。如果响应指示未成功接收到SAI请求,那么方法400继续到方框410,其中从验证数据库132中删除记录条目,并将确认消息转发到外部VLR(和/MSC)。
返回到方框401,如果接收到的请求消息是位置更新请求消息,并且在验证数据库中没有匹配的IMSI,那么该方法继续到方框412,其中请求消息被标记为可疑。值得注意的是,验证引擎拒绝该可疑消息,并阻止其被转发到订户归属网络中的HLR。
图3D图示了当STP从归属网络中的HLR接收到取消位置请求消息时可以由验证引擎114执行的示例性方法450。在方框451中,STP从订户的归属网络中的HLR接收到取消位置请求消息。值得注意的是,取消位置请求消息可以被定向到先前注册了订户的用户装备的拜访VLR(和/或MSC)。
在方框452中,在验证数据库132中执行查找查询。在一些实施例中,验证引擎可以通过使用包含在取消位置请求消息中的IMSI并且将目的地主机标识符与针对认证的位置更新请求消息而记录的VLR标识符进行比较来执行查找查询。
在方框454中,验证引擎确定是否在VLR验证数据库132中找到数据库记录条目,其中包括在取消位置请求消息中的IMSI与记录的IMSI匹配。如果在验证数据库132中没有找到匹配的条目,那么方法450进行到方框458,其中取消位置请求消息被验证引擎转发到拜访网络中的VLR(和/或MSC)。相反,如果在方框454中找到匹配,那么方法450继续到方框456,并且验证引擎删除与取消位置请求消息对应的数据库记录条目。之后,该方法进行到方框458,其中取消位置请求消息被转发到拜访网络中的VLR(和/或MSC)。
图4图示了信令流程图,该信令流程图图示了为了识别和处理与漫游订户相关的信令消息而与STP 106交换的示例性消息。参考图4,拜访VLR 104将MAP SAI请求消息461定向到STP 106。SAI请求消息461可以由合法的VLR和/或MSC响应于订户的UE附接到网络而生成。替代地,请求消息461可以包括由伪装成有效的VLR或MSC的欺骗者生成的欺诈消息。STP106可以通过使用位置检查和HLR信息(其必须被获取)来验证VLR发送消息461,例如,在接收到SAI请求消息461之后,STP 106被配置为获取IMSI和VLR标识符(最初包含在请求消息461中),随后将该信息记录在STP 106可访问的映射数据库(例如,图1中的验证数据库132)中。在存储IMSI和VLR标识符信息之后,STP 106将请求消息(例如,示为SAI请求消息462)转发到HLR 118。
响应于接收到请求消息462,HLR 118被配置为生成SAI确认消息463。如果确认消息463指示未接收到SAI请求消息462(即,不成功的交易),那么删除所创建的存储的数据库记录条目。替代地,如果确认消息463指示成功接收到SAI请求消息462,那么在验证数据库中维护数据库记录条目。之后,确认消息被转发到VLR 104(作为SAI确认消息464)。此外,在发送成功的SAI确认消息464之后,STP 106(经由计时器机制)发起记录条目的到期超时时段。
在一些实施例中,拜访VLR 104被配置为向STP 106发送位置更新请求消息465。在接收到消息465之后,STP 106用与SAI请求消息461的发送者对应的VLR标识符来验证与位置更新请求消息465的发送者对应的VLR标识符。如果验证成功(即,VLR标识符相同且彼此匹配),并且在到期计时器监视的预定时间段阈值(例如,到期超时时段)内接收到消息465,那么位置更新请求消息被转发到HLR 118(作为位置更新请求消息466)。如果由于任何原因验证未成功,那么位置更新请求消息不会转发到HLR 118,而是可以定向到分析平台进行欺诈处理。
如果位置更新请求消息被确定为有效,那么位置更新请求消息465被转发到HLR118。响应于接收到有效的位置更新请求消息466,HLR 118向STP 106发送插入订户数据消息467。然后,STP 106将插入订户数据消息467定向到拜访VLR 104(显示为插入订户数据消息468)。
HLR 118还可以被配置为随后向STP 106发送取消位置请求消息469。响应于接收到取消位置请求消息469,STP 106可以从验证数据库132中去除包含IMSI和VLR ID信息的数据库记录条目。在去除数据库记录条目之后,STP 106可以将取消位置请求消息(显示为取消位置请求消息480)转发到拜访VLR 104。
本文描述的主题的优点包括在SS7 STP处部署和操作的能力。值得注意的是,本文描述的欺诈检测方法可以由移动网络运营商以及互连运营商来部署。互连运营商可以代表可通信地连接到该互连运营商的所有移动网络运营商来添加并执行本文所述的VLR认证处理。因此,利用本文描述的主题的互连运营商可以使多个移动网络运营商的SAI请求消息和基于MAP的位置更新请求消息相关,并保护每个移动网络运营商的HLR。
在STP而不是SS7端节点(例如,HLR或VLR)处部署本文描述的主题的另一个优点在于,可以减少STP与HLR之间的消息传送。例如,如果由HLR执行位置更新请求消息的认证,那么在确定是否可以将位置更新请求消息转发给HLR之前,对于接收到的每个位置更新请求消息,可能需要在STP和HLR之间进行认证消息传送。这样的附加认证消息传送可能导致运营商网络中不必要的流量。本文描述的主题通过使用STP可访问的认证数据库在STP处进行VLR认证来避免这种附加的消息传送。
如本文所述,被配置为执行VLR认证的STP通过减少欺诈和其它可能危害计算机网络的信令攻击的可能性改善了计算机网络安全性的技术领域。另外,这里描述的主题通过在STP处高速缓存来自SAI请求消息的信息来减少执行VLR认证所需的信令量,从而提高了通信网络效率。因此,减少了在STP和HLR之间来回信令进行认证的需要。
将理解的是,在不脱离本公开主题的范围的情况下,可以改变本公开主题的各种细节。此外,前述描述仅出于说明的目的,而非出于限制的目的。
- 用于使用7号信令系统SS7信号传输点STP验证访客位置寄存器VLR的方法、系统和计算机可读介质
- 用于使用认证验证时间段的方法、系统和计算机可读介质