用于网络节点验证的方法、系统和计算机可读介质技术方案

公开了用于网络节点验证的方法、系统和计算机可读介质。一种方法在第一网络节点处发生。该方法包括：从第二网络节点接收与移动订户相关联的第一消息；由第一网络节点向第二网络节点发送查询，该查询请求标识移动订户的移动通信装备的标识信息；由第一网络节点从第二网络节点接收对查询的响应，其中响应包括标识信息；从响应中提取标识信息；比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息；以及响应于标识信息与经验证的标识信息匹配，将第二网络节点识别为被授权发送第一消息和处理第一消息。授权发送第一消息和处理第一消息。授权发送第一消息和处理第一消息。

【技术实现步骤摘要】
【国外来华专利技术】用于网络节点验证的方法、系统和计算机可读介质
[0001]优先权要求
[0002]本申请要求于2018年6月29日提交的美国专利申请序列No.16/024,422的优先权权益，其全部公开内容通过引用并入本文。


[0003]本文描述的主题涉及用于网络安全的方法和系统。更具体地，本文描述的主题涉及用于网络节点验证的方法、系统和计算机可读介质。

技术介绍

[0004]恶意行为者可能会出于例如经济收益、间谍活动或政治目的各种原因而将通信网络作为攻击目标。例如，与7号信令系统(signaling system number 7,SS7)网络和Diameter网络相关联的漏洞使得一些实体能够进行收入欺诈、执行未经授权的呼叫拦截或呼叫窃听、和/或窃取个人订户信息。当发生此类问题时，许多时候无辜的一方被认为有责任纠正和/或抑制损害。虽然网络运营商通常使用安全装置、防火墙和/或其它设备来帮助防止未经授权地访问其网络和客户，但是由于与它们的网络中使用的协议和/或过程相关联的固有安全性问题，这些网络中仍然存在许多问题。

技术实现思路

[0005]公开了用于网络节点验证的方法、系统和计算机可读介质。一种方法在第一网络节点处发生。该方法包括从第二网络节点接收与移动订户相关联的第一消息；由第一网络节点向第二网络节点发送查询，该查询请求标识移动订户的移动通信装备的标识信息；由第一网络节点从第二网络节点接收对查询的响应，其中响应包括该标识信息；从响应中提取标识信息；比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息，其中经验证的标识信息来自与第二网络节点分离的可信源；响应于从响应中提取的标识信息与经验证的标识信息匹配，将第二网络节点识别为被授权发送第一消息和处理第一消息；以及响应于从响应中提取的标识信息与经验证的标识信息不匹配，将第二网络节点识别为未被授权发送第一消息，并将第一消息标识为网络安全威胁。
[0006]一个系统包括第一网络节点。第一网络节点包括至少一个处理器和存储器。第一网络节点被配置为：从第二网络节点接收与移动订户相关联的第一消息；由第一网络节点向第二网络节点发送查询，该查询请求标识移动订户的移动通信装备的标识信息；由第一网络节点从第二网络节点接收对查询的响应，其中响应包括该标识信息；从响应中提取标识信息；比较从响应中提取的标识信息和标识移动订户的移动通信装备的经验证的标识信息，其中经验证的标识信息来自与第二网络节点分离的可信源；响应于从响应中提取的标识信息与经验证的标识信息匹配，将第二网络节点识别为被授权发送第一消息和处理第一消息；以及响应于从响应中提取的标识信息与经验证的标识信息不匹配，将第二网络节点识别为未被授权发送第一消息，并将第一消息标识为网络安全威胁。
[0007]本文描述的主题可以结合硬件和/或固件在软件中实现。例如，本文描述的主题可以在由处理器执行的软件中实现。在一个示例实施方式中，本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现，所述计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文描述的主题的示例计算机可读介质包括非瞬态设备，诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外，实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布在多个设备或计算平台上。
[0008]如本文所使用的，术语“节点”是指包括一个或多个处理器和存储器的至少一个物理计算平台。
[0009]如本文所使用的，术语“函数”或“模块”可以指为了实现本文描述的特征而与硬件和/或固件结合的软件。
附图说明
[0010]现在将参考附图解释本文描述的主题，其中：
[0011]图1是图示用于网络节点验证的示例通信环境的图；
[0012]图2是图示用于网络节点验证的另一个示例通信环境的图；
[0013]图3是图示用于网络节点验证的示例节点的图；
[0014]图4是图示与网络节点验证相关联的示例移动应用部分(mobile application part，MAP)消息的图；
[0015]图5是图示与选择性网络节点验证相关联的示例MAP消息的图；
[0016]图6是图示与网络节点验证相关联的示例Diameter消息的图；
[0017]图7是图示与选择性网络节点验证相关联的示例Diameter消息的图；以及
[0018]图8是图示用于网络节点验证的示例处理的图。
具体实施方式
[0019]本文描述的主题涉及用于网络节点验证的方法、系统和计算机可读介质。在包括移动通信网络的各种通信网络中存在漏洞。例如，恶意网络节点可以被编程或以其它方式配置为生成欺诈性移动性管理消息(例如，更新位置消息)并将其发送到一个或多个订户的归属网络(home network)。在这个示例中，欺诈消息可能包括移动订户和/或用户设备标识符(例如，国际移动订户身份(IMSI)或移动台国际订户目录号码(MSISDN))，并且可以提供指示移动订户正在其网络中漫游的位置信息。由于此类网络可能无法验证其中的移动性管理消息或位置信息，因此归属网络或其中的节点可能会通过向恶意网络节点提供订户数据(例如，移动订户简档)而对欺诈性的移动性管理消息做出反应，这些订户数据可能被利用以进行收入欺诈、执行电话拦截、窃取订户简档详细信息和/或其它恶意活动。
[0020]根据本文描述的主题的一些方面，公开了用于网络节点验证的技术、方法、系统或机制。例如，归属网络节点可以使用网络节点验证算法来确定外部网络节点(例如，看起来是移动性管理元件(MME)、访客位置寄存器(VLR)、移动交换中心(MSC)的节点)是否有效。在一些实施例中，网络节点验证算法可以涉及从要验证的网络节点获得订户相关信息或标识信息(例如，国际移动装备身份(IMEI)、装备标识符、加密密钥或与移动订户相关的安全
值)，并确定来自要验证的网络节点的标识信息是否与存储在验证数据存储库中的可信的或经核实的订户相关信息匹配。在一些实施例中，如果来自网络节点的订户相关信息与来自验证数据存储库的订户相关信息不匹配，那么确定该网络节点无效或可能无效，并且可以执行一个或多个抑制动作(mitigation action)，诸如将清除MS消息(purge MS message)发送到归属位置寄存器(HLR)、丢弃该消息、向网络运营商通知潜在的恶意活动，或其它抑制动作。在一些实施例中，如果来自要验证的网络节点的订户相关信息与来自验证数据存储库的订户相关信息确实匹配，那么确定该网络节点有效或可能有效，并且可以执行一个或多个动作，诸如处理该消息和/或向HLR继续发送该消息。
[0021]有利的是，通过从意图与移动订户联系的网络节点获得订户相关信息(例如，唯一和/或半私有标识信息，诸如IMEI)，归属网络节点(例如，信号传输点)可以验证(例如，来自外部网络的)网络节点并在此类网络节点看起来无效(例如，欺诈性)时执行一个或多个抑制动作，从而本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于验证网络节点的方法，所述方法包括：在第一网络节点处：从第二网络节点接收与移动订户相关联的第一消息；由第一网络节点向第二网络节点发送查询，所述查询请求标识所述移动订户的移动通信装备的标识信息；由第一网络节点从第二网络节点接收对所述查询的响应，其中所述响应包括所述标识信息；从所述响应中提取所述标识信息；比较从所述响应中提取的所述标识信息和标识所述移动订户的所述移动通信装备的经验证的标识信息，其中所述经验证的标识信息来自与第二网络节点分离的可信源；响应于从所述响应中提取的所述标识信息与所述经验证的标识信息匹配，将第二网络节点识别为被授权发送第一消息和处理第一消息；以及响应于从所述响应中提取的所述标识信息与所述经验证的标识信息不匹配，将第二网络节点识别为未被授权发送第一消息，并将第一消息标识为网络安全威胁。2.如权利要求1所述的方法，其中，第一消息包括Diameter消息、Diameter更新位置请求(ULR)消息、Diameter通知请求(NOR)消息、移动应用部分(MAP)消息、MAP更新位置消息、或位置验证请求消息。3.如权利要求1或权利要求2所述的方法，其中，所述标识信息包括国际移动装备身份(IMEI)、装备标识符、加密密钥或与移动订户相关的安全值。4.如前述权利要求中的任一项所述的方法，其中，所述查询包括移动应用部分(MAP)提供订户信息(PSI)请求消息，MAP随时询问(ATI)请求消息、或Diameter提供订户位置(PSL)请求消息，并且其中，所述响应包括MAP PSI响应消息、MAP ATI响应消息或Diameter更新位置请求(ULR)消息。5.如前述权利要求中的任一项所述的方法，其中，所述经验证的标识信息是通过使用与所述移动订户相关联的移动订户标识符查询验证数据存储库以获得与所述移动订户相关联的IMEI而获得的，其中，所述验证数据存储库包含按移动订户标识符索引的IMEI。6.如前述权利要求中的任一项所述的方法，其中，所述可信源包括归属网络节点、数据存储库或先前经验证的网络节点。7.如前述权利要求中的任一项所述的方法，其中，处理第一消息包括将第一消息转发到位置寄存器、向节点发送指示第二网络节点有效的消息、或者复制或存储第一消息的一部分。8.如前述权利要求中的任一项所述的方法，包括：响应于将第一消息标识为网络安全威胁，发送移动应用部分(MAP)清除MS消息、发送Diameter清除请求消息、丢弃第一消息、阻止第一消息到达位置寄存器、向节点发送指示第二网络节点无效的消息、或者复制或存储第一消息的一部分。9.如前述权利要求中的任一项所述的方法，其中，第一网络节点包括Diameter节点、Diameter路由代理、Diameter信令路由器、网关、信令路由器、信号传输点(STP)、信令网关(SG)、7号信令系统(SS7)节点或信令节点，并且其中，第二网络节点包括移动性管理元件(MME)、访客位置寄存器(VLR)、移动交换中心(MSC)、拜访网络中的节点、外部网络节点、服
务通用分组无线电服务(GPRS)支持节点(SGSN)、或网关。10.一种用于验证网络节点的系统，所述系统包括：第一网络节点，包括：至少一个处理器；以及存储器，其中第一网络节点被配置为：从第二网络节点接收与移动订户相关联的第一消息；由第一网络节点向第二网络节点发送查询，所述查询请求标识所述移动订户的移动通信装备的标识信息；由第一网络节点从第二网络节点接收对所述查询的响应，其中所述响应包括所述标识信息；从所述响应中提取所述标识信息；比较从所述响应中提取的所述标识信息和标识所述移动订户的所述移动通信装备的经验证的标识信息，其中所述经验证的标识信息来自与第二网络节点分离的可信源；响应于从所述响应中提取的所述标识信息与所述经验证的标识信息匹配，将第二网络节点识别为被授权发送...

【专利技术属性】
技术研发人员：V，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：