用DIAMETER边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质

摘要

一种方法包括：从位于非归属网络中的MME接收与移动订户相关的入口Diameter消息；向移动订户的归属网络中的HSS发送包含移动订户标识符的RIR消息；接收识别归属网络中执行了移动订户的最近附着的MME的标识信息；利用标识信息向识别出的MME发送包含移动订户标识符的IDR消息；接收包含与移动订户在归属网络中的最近附着对应的附着时间戳数据的IDA消息；使用UE附着时间戳数据和与入口Diameter消息对应的时间戳信息确定渡越时间；以及分析渡越时间以确定是否将入口Diameter消息指定为可疑入口消息。

说明书

优先权要求

本申请要求于2018年8月9日提交的美国专利申请序列No.16/100,172的优先权权益，该申请的公开内容通过引用整体并入本文。

技术领域

本文描述的主题涉及移动通信网络中的欺诈预防。更具体地，本文描述的主题涉及用于使用Diameter边缘代理(DEA)为出站漫游订户(outbound roaming subscriber)执行时间距离安全对策(time distance security countermeasure)的方法、系统和计算机可读介质。

背景技术

移动通信网络正在扩展，并利用多种技术和互连来承载用于在网络上建立通信的信令消息。核心网络的归属网络元素(homenetworkelement)通常不连接到外部或拜访网络(visited network)。相反，互连网络被用于在归属网络和其它网络之间转发信令。当前，网络运营商可以利用与时间和距离相关的安全对策来确定移动订户是否实际上/物理上能够在特定渡越时间(transit time)内从一个网络(或国家)旅行到另一个网络(或另一个国家)。虽然网络运营商当前正在使用这种安全对策，但是这些措施只能在移动订户在两个不同的非归属网络之间移动(即，不是离开移动订户的归属网络到非归属网络)而无需拦截归属网络核心信令的场景中使用。DEA通常能够通过使用与从位于两个相应的拜访非归属网络中的MME接收的两个更新位置请求消息对应的时间戳来确定移动订户的渡越时间。值得注意的是，当订户最初从归属网络移动到拜访网络时，DEA无法应用时间和/或距离安全对策，因为DEA不知道或没有记录与在归属网络中发起的最后更新位置相关联的时间戳。更具体而言，源自归属网络并且被定向到归属网络中的归属订户服务器(HSS)的Diameter认证信息请求(AIR)消息或更新位置请求(ULR)消息从未被DEA接收。

因此，需要用于使用DEA为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质。

发明内容

本文描述的主题包括用于使用Diameter边缘代理(DEA)为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质。一种方法包括：由DEA从位于非归属网络中的移动性管理实体(MME)接收与移动订户相关的入口Diameter消息(ingressDiametermessage)，其中入口Diameter消息是认证信息请求(AIR)消息或Diameter更新位置请求(ULR)消息；以及将包含与移动订户相关联的移动订户标识符的路由信息请求(RIR)消息发送到移动订户的归属网络中的归属订户服务器(HSS)。该方法还包括：接收标识信息，所述标识信息识别归属网络中执行了移动订户在归属网络中的最近(recent)附着(attachment)的移动性管理实体(MME)；以及利用标识信息向识别出的MME发送插入订户数据请求(IDR)消息，其包含移动订户标识符。该方法还包括：从MME接收插入订户数据确认(IDA)消息，其包含与移动订户在归属网络中的最近附着对应的用户装备(UE)附着时间戳数据；使用UE附着时间戳数据和与入口Diameter消息对应的时间戳信息确定渡越时间；以及分析渡越时间以确定是否将入口Diameter消息指定为可疑入口消息。

在一个示例中，渡越时间被确定为等于在与入口Diameter消息对应的时间戳信息和与最近附着对应的UE附着时间戳数据之间存在的计算出的时间差。

在一个示例中，分析渡越时间包括将该时间差与由DEA托管的渡越时间数据库中存储的预定义的最小渡越值进行比较，并且确定预定义的最小渡越值超过渡越时间。

在一个示例中，该方法还包括：响应于确定最小渡越时间值被确定为大于渡越时间，由DEA拒绝入口Diameter消息。

在一个示例中，该方法还包括响应于确定最小渡越时间值被确定为大于渡越时间，由DEA向网络运营商发送警报消息。

在一个示例中，该方法包括从入口Diameter消息中包括的国际移动订户身份(IMSI)中提取移动国家代码(MCC)标识符，以识别与非归属网络相关联的国家。

在一个示例中，DEA包括Diameter路由代理(DRA)，该Diameter路由代理用于在移动订户的归属网络的边缘处工作。

一种用于使用Diameter边缘代理为出站漫游订户执行时间距离安全对策的系统包括具有至少一个处理器的DEA。该系统还包括在DEA本地的用于存储与一对国家相关的最小渡越时间的渡越时间数据库，以及在DEA本地并使用至少一个处理器实现的安全引擎，该安全引擎用于从位于非归属网络中的移动性管理实体(MME)接收与移动订户相关的入口Diameter消息，其中入口Diameter消息是认证信息请求(AIR)消息或Diameter更新位置请求(ULR)消息。安全引擎还被配置为向移动订户的归属网络中的归属订户服务器(HSS)发送包含与移动订户相关联的移动订户标识符的路由信息请求(RIR)消息；接收识别归属网络中执行了移动订户在归属网络中的最近附着的移动性管理实体(MME)的标识信息；以及利用该标识信息将包含移动订户标识符的插入订户数据请求(IDR)消息发送到识别出的MME。安全引擎还被配置为从MME接收包含与移动订户在归属网络中的最近附着对应的用户装备(UE)附着时间戳数据的插入订户数据确认(IDA)消息；使用UE附着时间戳数据和与入口Diameter消息对应的时间戳信息来确定渡越时间；以及分析渡越时间以确定是否将入口Diameter消息指定为可疑入口消息。

在该系统的一个示例中，渡越时间被确定为等于在与入口Diameter消息对应的时间戳信息和与最近附着对应的UE附着时间戳数据之间存在的计算出的时间差。

在该系统的一个示例中，安全引擎还被配置为将该时间差与渡越时间数据库中存储的预定义的最小渡越值进行比较，并且确定预定义的最小渡越值超过渡越时间。

在该系统的一个示例中，安全引擎还被配置为响应于确定最小渡越时间值被确定为大于渡越时间，拒绝入口Diameter消息。

在该系统的一个示例中，安全引擎还被配置为响应于确定最小渡越时间值被确定为大于渡越时间，向网络运营商发送警报消息。

在该系统的一个示例中，安全引擎还被配置为从入口Diameter消息中包括的国际移动订户身份(IMSI)中提取移动国家代码(MCC)标识符，以识别与非归属网络相关联的国家。

在该系统的一个示例中，DEA包括Diameter路由代理(DRA)，该Diameter路由代理用于在移动订户的归属网络的边缘处工作。

以下术语用于描述本文描述的用于使用DEA为出站漫游订户执行时间距离安全对策的主题：

·出站漫游订户：在非归属网络(例如，拜访或外部网络)中漫游的归属网络订户。

·入站漫游订户：漫游到MNO的归属网络中的非归属网络移动订户。

·归属网络：由移动订户具有与其的订户订阅协议的移动网络运营商运营的网络。

·拜访网络：来访的移动订户正在其中漫游的外部网络。

·Diameter边缘代理(DEA)：DEA是部署在移动网络运营商(MNO)信令核心网络的外围或边缘的Diameter网络节点。DEA将MNO的归属网络元素连接到其它互连元素(即，将归属网络元素连接到其它MNO网络元素或连接到支持移动订户漫游的IPX提供商的节点)。DEA的其它功能包括漫游业务的安全筛选、拓扑隐藏和拥塞控制，以保护归属网络免受过多的漫游业务载荷。

·更新位置请求(ULR)：用于更新HSS中订户的位置的Diameter消息。

·认证信息请求(AIR)：用于使用HSS信息对订户进行认证的Diameter消息。

·国际移动订户身份(IMSI)：订户的唯一身份。

·时间戳信息：记录事件(例如，附着事件或特定入口信令消息的接收)的日期和时间的任何数据。

本文描述的主题可以用硬件、软件、固件或其任何组合来实现。由此，如本文所使用的术语“功能”、“节点”或“引擎”是指硬件，其也可以包括软件和/或固件部件，用于实现所描述的特征。在一个示例性实施方式中，本文描述的主题可以使用其上存储有计算机可执行指令的非暂态计算机可读介质来实现，该计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适于实现本文所述主题的示例性计算机可读介质包括非暂态计算机可读介质，诸如盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。此外，实现本文所述主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布在多个设备或计算平台上。

附图说明

图1是图示根据本文描述的主题的实施例的用于使用DEA为出站漫游订户执行时间距离安全对策的示例性网络的框图；

图2是信令图，该信令图图示用于使用DEA为在非归属网络之间漫游的移动订户执行时间距离安全对策的消息通信；

图3A和图3B描绘了信令图，该信令图图示了根据本文描述的主题的实施例的用于使用DEA为从归属网络漫游到非归属网络的出站移动订户执行时间距离安全对策的消息通信；

图4是根据本文描述的主题的实施例的用于使用DEA为出站漫游订户执行时间距离安全对策的时间渡越数据库表的框图；以及

图5是图示根据本文描述的主题的实施例的使用DEA为出站漫游订户执行时间距离安全对策的示例性处理的流程图。

具体实施方式

公开了用于使用DEA为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质。具体地，所公开的主题提出了一种方法和系统，当移动订户首次漫游到归属网络之外并进入拜访的非归属网络时，该方法和系统实现在DEA处实现的时间距离检查安全对策。值得注意的是，所公开的系统和方法在DEA处实现时间距离检查安全对策，而无需拦截任何核心网络Diameter信令业务来试图获知发生在归属网络中的移动订户的最后一次附着。

如本文所述，时间距离检查包括Diameter安全对策，该Diameter安全对策用于减轻当属于移动订户的用户装备从第一国家(或网络)漫游到第二国家(或网络)时发生欺诈攻击。如上面提到的，时间距离检查是安全对策，它检测移动订户物理上是否能够在确立的渡越时间(即，预定义的已确立为大概或可能的旅行时间量)内从(包括移动订户的归属网络的)第一国家移动或漫游到第二国家。具体地，安全对策适用于离开归属网络的出站漫游移动订户，并且被配置为将当前位置与移动订户的先前位置进行比较，并确定移动订户物理上是否有可能在该时间量内从先前位置移动到当前位置。在一些实施例中，可以通过维护数据库来实现该确定，该数据库记录每个VPLMN标识符或与VPLMN标识符对应的MCC之间的预定义的最小渡越时间。具体地，如果移动订户从第一国家移动到第二国家，并且最后更新位置过程与当前更新位置过程之间的时间差(例如，归属网络中的最后附着时间与拜访/外部网络中接收到的当前AIR/ULR消息之间的时间差)未超过预定义的最小渡越时间，那么DEA将检测并把来自拜访网络的当前入口AIR/ULR消息标记为是潜在可疑的。

图1是图示示例性通信网络100的框图，该示例性通信网络100被配置为促进其网络节点之间的Diameter信令消息的通信。如图1中所示，通信网络100包括归属网络101和非归属网络102(例如，“拜访网络”或“外部网络”)。例如，归属网络101包括用户装备(UE)112、eNodeB103、MME A 104、HSS 106和DEA 108。

在一些实施例中，用户装备112可以包括移动订户最终用户直接用来接收或传输数据的任何设备，诸如手持式智能电话、GSM移动站、配备有移动宽带适配器的膝上型计算机，或任何其它类似设备。在一些实施例中，用户装备112在归属网络101中漫游，并且经由eNodeB 103通信地连接(例如，附着)到MME A 104。例如，用户装备112可以利用无线电接口来建立与eNodeB 103的无线连接，该eNodeB 103又连接到MME A 104。

在一些实施例中，MME A 104用作用于长期演进(LTE)接入网络(例如，归属网络101)的控制节点。MME A 104用于监视和管理承载者(bearer)激活/停用处理，并且负责在初始附着时以及在LTE内切换(handover)期间选择服务于用户装备112的信令网关(SGW)(未示出)。MME A 104还负责认证与用户装备112相关联的移动订户(例如，通过与HSS交互)。具体而言，MME A 104通信地耦合到HSS 106，HSS 106包括用于订户用户的归属网络101的主订户数据库。HSS 106具体地维护注册到归属网络101的用户装备的记录。在一些实施例中，HSS 106用作在IP多媒体子系统(IMS)网络内使用的主要订户数据库，并且被配置为向通信网络100内的其它实体提供移动订户详细信息。使用HSS 106允许网络根据移动订户的状态来授予或拒绝用户对不同服务的访问。

在一些实施例中，MME A 104和HSS 106二者都通信地连接到DEA 108。DEA 108可以包括被配置为中继进入或离开归属网络101的Diameter消息的路由器设备或元素(例如，Diameter路由代理)。值得注意的是，DEA 108被配置为接收Diameter认证信息请求(AIR)和更新位置请求(ULR)消息。同样，DEA 108还被配置为响应于接收到的AIR和ULR消息而发送Diameter认证信息应答(AIA)和更新位置应答(ULA)消息。

图1进一步描绘了非归属网络102，其包括MME Y 110和eNodeB 115。MME Y 110在形式和结构上与MME A 104类似(除了服务非归属网络102而不是归属网络101之外)。同样，eNodeB 115在形式和功能上与eNodeB 103类似，并且被配置为与漫游到非归属网络102的UE建立无线连接。

如本文所使用的，术语“更新位置请求消息”是指用于更新移动订户在电信网络中的位置的基于Diameter的信令消息。“更新位置请求消息”旨在包括DiameterULR消息或用于向网络更新电信网络订户的位置的任何其它消息。在一些实施例中，ULR消息是在MME(和/或服务GPRS支持节点(SGSN))与HSS之间使用的S6a/d接口消息，用于更新移动订户的用户装备112在归属网络101内的位置。响应于用户装备112在非归属网络102中漫游，MME Y110可以类似地将ULR消息定向到DEA 108。

同样，AIR消息旨在包括Diameter认证信息请求信息消息或用于认证移动订户的任何其它消息。在一些实施例中，AIR消息是在MME(和/或SGSN)与DEA 108之间使用的S6a/d接口消息，用于在移动订户的用户装备112被激活或进入非归属网络102时对移动订户的用户装备112进行认证。

值得注意的是，ULR消息和AIR消息中的每一者包括识别用户装备112的标识符，诸如IMSI、MSISDN和/或IMEI。ULR消息和AIR消息还可以包括拜访公共和移动网络(VPLMN)标识符，其识别消息发送者的移动网络运营商(MNO)。此外，DEA 108可以从ULR或AIR消息中包括的VLPMN标识符中提取识别与消息发送者相关联的国家的移动国家代码(MCC)标识符。在一些实施例中，ULR消息和AIR消息还可以包括移动网络代码(MNC)标识符。

如图1中所示，DEA 108可以包括一个或多个处理器114，诸如中央处理单元(例如，单核心或多个处理核心)、微处理器、微控制器、网络处理器、专用集成电路(ASIC)等。DEA108还可以包括存储器116。存储器116可以包括随机存取存储器(RAM)、闪存、磁盘存储驱动器等。在一些实施例中，存储器116可以被配置为存储安全引擎118和渡越时间数据库120。值得注意地，当由一个或多个处理器114执行时，存储器116中的安全引擎118可以为DEA108执行各种监视、管理和/或补救功能。

在一些实施例中，安全引擎118可以包括软件组件，该软件组件负责执行将时间距离检查安全对策操作应用于由DEA 108接收的ULR消息和/或AIR消息。如下面更详细描述的，响应于用户装备112进入非归属网络102或在非归属网络102中被激活，DEA 108可以从MME Y 110接收入口Diameter消息(即，ULR消息或AIR消息)。为了该示例的目的，应该理解的是，用户装备112在进入非归属网络102之前的某个时间被附着到了归属网络101。在一些实施例中，MME Y 110经由DiameterS6a/d接口将AIR或ULR消息传送到DEA 108。响应于接收到ULR或AIR消息，DEA 108发起安全引擎118，其被配置为记录接收到的ULR/AIR消息的时间戳。具体地，该时间戳用作时间记录，该时间记录记载了与DEA 108从非归属网络中的MME Y110接收到的Diameter ULR或AIR消息相关的时间和其它元数据。

除了记录时间戳信息之外，安全引擎118还被配置为识别包括在接收到的入口Diameter消息中的IMSI。值得注意的是，IMSI可以包括用户装备所属的归属网络的MCC-MNC。此外，安全引擎118可以被配置为随后从(例如，包含在AIR和ULR消息中的)IMSI提取MNC标识符和/或VPLMN标识符中的一个或多个。具体地，安全引擎118可以检查IMSI的MCC以便识别UE属于归属网络。另外，安全引擎118可以被配置为从VPLMN标识符提取MCC标识符，以便识别非归属网络(例如，拜访网络)的MCC。一旦从入口Diameter消息中提取出标识符，安全引擎118就将该标识数据和时间戳信息记录在本地存储装置中或缓冲存储器中。此外，安全引擎118可以检测用户装备112何时从归属网络101漫游到非归属网络102。例如，安全引擎118可以确定不存在与用户装备112及其归属网络101对应的与存储/记录的时间戳相关的记录。在这种情况下，安全引擎118被配置为生成RIR消息并将其发送到HSS 106。值得注意的是，安全引擎118可以通过从入口Diameter消息中的IMSI获得移动订户的归属网络标识符来确定HSS 106的身份。值得注意的是，IMSI中的归属网络标识符可以交叉引用到本地数据库，该本地数据库将网络标识符映射到HSS地址。在一些实施例中，定向到HSS 106的RIR消息包含与移动订户或用户装备112相关联的IMSI和/或一些其它标识符。响应于接收到RIR消息，HSS 106在归属网络101中定位与负责建立用户装备112的最后一个附着(例如，通过响应于用户装备112在归属网络101内发送附着请求而由MME A 104向HSS 106发送ULR消息所触发的附着)的MME对应的标识信息。随后，HSS 106将包含MME A 104的标识信息的RIA消息定向到DEA 108，DEA 108通过生成并向识别出的MME(即，MME A 104)发送包含移动订户的标识信息(例如，IMSI)的IDR消息(例如，S6a/d Diameter IDR消息)来进行响应。

响应于IDR消息，MME A 104访问本地时间戳记录数据库(未示出)以定位与移动订户和/或用户装备112对应的最后更新位置请求时间戳数据(或最后附着时间)。然后，MME A104将包含最近更新位置请求时间戳数据的Diameter IDA消息发送回DEA 108和/或安全引擎118。在接收到该时间戳信息之后，安全引擎118被配置为计算用户装备112从归属网络101行进到非归属网络102所经历的渡越时间。例如，安全引擎118可以通过计算归属网络101中的最后一次附着的最后一个时间戳(例如，最后更新位置请求时间戳)与DEA 108从MME Y 110接收到AIR或ULR消息时的时间之间的时间差来确定渡越时间。一旦计算出渡越时间，安全引擎118就可以访问渡越时间数据库120来定位与归属网络101和非归属网络102对应的最小渡越时间值。在下面描述并在图4中描绘了渡越时间数据库120的示例。如果安全引擎118确定渡越时间小于渡越时间数据库120中预定义的最小渡越时间值，那么安全引擎118可以将从110接收到的Diameter消息指定或标记为是潜在可疑的。在一些实施例中，渡越时间数据库120可以本地存在于DEA 108中，如图1中所示。替代地，渡越时间数据库120可以被包含在数据库主机中，该数据库主机可以由DEA 108访问，但是与DEA 108分离并且与DEA 108不同。

图2是信令图，该信令图图示用于使用DEA为在非归属网络之间漫游的移动订户执行时间距离安全对策的消息通信。参考图2的框210，用户装备进入国家“X”(或网络“X”)或在其中被激活。作为响应，用户装备经由eNodeB向MME X202发送附着请求消息(参见框210)。在接收到附着请求之后，拜访的MME X202生成ULR消息212并向DEA206发送ULR消息212。在接收到ULR消息212之后，DEA206记录接收到的ULR消息212的时间戳(参见框214)。

在接收到ULR消息212之后的某个时间点，用户装备进入第二国家(例如，国家“Y”)，如框216中所示。此时，用户装备同样经由eNodeB(未示出)向拜访的MME Y 110发送附着请求消息。响应于接收到附着请求，拜访的MME Y 110将Diameter请求消息218(例如，AIR消息或ULR消息)发送到DEA206。在接收到AIR消息或ULR消息之后，DEA206记录接收到的Diameter请求消息218的时间戳(参见框220)。在框222中，DEA206进一步利用先前记录的(例如，在框214和框220中记录的)与用户装备相关联的时间戳信息来确定渡越时间。DEA206还可以利用该渡越时间信息来确定接收到的AIR或ULR消息是否与可疑活动相关联。值得注意的是，图2图示了DEA 206从拜访网络中的MME接收ULR消息或AIR消息的场景。更具体而言，应该注意的是，在这个示例中，用户装备没有旅行到或漫游到或旅行自或漫游自移动订户的归属网络。

图3A和3B描绘了信令图，该信令图图示了根据本文描述的主题的实施例的用于使用DEA为从归属网络漫游到非归属网络的出站移动订户执行时间距离安全对策的消息通信。参考图3A，用户装备可以进入相关联的移动订户的归属网络或在其中被激活。作为响应，用户装备经由eNodeB向归属网络MME A 104发送附着请求消息(参见框302)。在接收到附着请求消息之后，归属网络MME A 104生成ULR消息304并向归属网络中的HSS 106发送ULR消息304。值得注意的是，DEA 108在该阶段未从MME A 104或HSS 106接收任何Diameter消息。在将ULR消息304发送到HSS 106之后，MME A 104记录何时发送了该ULR消息304和/或UE的附着的时间戳(参见框306)。类似地，HSS106生成指示MME104成为服务于该附着的用户装备的MME的记录(即，存储映射到用户装备标识符的MME标识信息和/或地址信息)。随后，HSS 106响应于ULR消息304而发送ULA消息308。

在用户装备附着到归属网络之后的某个较晚的时间点，用户装备进入第二国家(例如，国家Y)。例如，移动订户漫游到与远离移动订户的(例如，在国家“X”中的)归属网络的国家Y相关联的拜访网络中。以上述类似的方式，用户装备经由eNodeB(未示出)向拜访的MME Y 110发送附着请求消息。响应于接收到附着请求消息，拜访的MME Y 110(也可以被实施为MME/SGSN)生成AIR和/或ULR消息，作为认证和更新位置过程的一部分。此外，拜访的MME Y 110将生成的Diameter入口消息(例如，AIR消息或ULR消息)310发送给DEA 108。在接收到AIR消息或ULR消息之后，DEA 108记录接收到的入口Diameter消息310的时间戳(参见框312)，用于以后进行时间戳比较。

在框314中，DEA 108检测到用户装备已经从归属网络漫游到拜访网络“Y”。由于DEA 108不会从归属网络元素接收任何ULR消息或相关的信令消息，因此DEA 108显然不具有与用户装备在归属网络中的最后一次附着(或最后更新位置请求何时被发送到HSS)相关的任何信息。因此，DEA 108被配置为发起RIR消息316并将其发送到HSS 106。在一些实施例中，DEA 108通过从接收到的入口Diameter消息310(例如，AIR或ULR消息)中提取数据来获得与HSS 106相关的地址或标识信息。在接收到RIR消息316之后，HSS 106利用包括在RIR消息316中的移动订户标识(例如，IMSI)信息来定位所存储的与进行服务的MME104相关联的标识信息或地址信息(参见框317)。然后，HSS 106可以经由RIA消息318向DEA 108提供与MMEA 104相关的标识信息或地址信息(例如，MME/SGSN身份)。在这种场景中，DEA 108在其与HSS 106的通信中用作网关移动位置中心(GLMC)节点。

参考图3B，响应于接收到RIA消息318，DEA 108可以提取MME标识信息(参见框319)并且向识别出的MME(即，MME A 104)发送标识数据请求(IDR)消息320。值得注意的是，IDR消息320可以包括移动订户标识符(例如，IMSI)。在一些实施例中，IDR消息320是s6a/d接口IDR消息，其用作检索最后更新位置时间戳的请求。在接收到IDR消息320后，MME A 104用IDA消息322进行响应。IDA消息322包括与识别出的移动订户和/或用户装备对应的最后更新位置请求时间戳(或者替代地，在归属网络中的最后附着时间)。在一些实施例中，DEA108和/或安全引擎通过在IDR消息320中设置“EPS位置信息请求”IDR标志位来从归属网络MME A 104请求位置信息(其还包括最后归属网络附着时间戳)。MMEA 104将使用嵌入在IDA消息322的“MME-位置信息/SGSN-位置信息AVP”中的“位置信息年龄”属性值对(AVP)来包括最后更新位置时间戳。

在框324中，DEA 108(和/或其安全引擎)被配置为提取并记录IDA消息322中包括的最后更新位置请求时间(和/或最后附着时间)。例如，DEA 108和/或其安全引擎可以被配置为将归属网络最后更新位置时间戳信息存储在本地数据库中，以供将来分析。例如，在框324中，DEA 108可以通过获取消息322中指示的最后更新位置请求时间(和/或归属网络中的最后附着时间)与从先前接收到的AIR或ULR消息中记录的时间戳信息(参见框312)之间的时间差来计算与用户装备对应的渡越时间。DEA 108还可以利用该渡越时间来确定接收到的Diameter入口消息(例如，AIR或ULR消息)310是否与可疑活动相关联。在一些实施例中，DEA 108将框324中计算出的渡越时间与最小渡越时间表中记录的最小渡越时间进行比较。如果在框324中计算出的渡越时间没有超过最小渡越时间，那么DEA 108被配置为将接收到的Diameter入口消息310指定为可疑的。作为响应，DEA 108可以被配置为丢弃或拒绝消息310。此外，DEA108还可以被配置为向网络运营商或某个其它安全措施网络元素发送警报消息。

图4描绘了示例性渡越时间数据库表400(与图1中描绘的渡越时间数据库120不是不同的)，其可以被安全引擎118使用和引用。如图4中所示的数据库表400被描绘为包括多个条目，这些条目包含与三个国家相关联的最小渡越时间。虽然数据库表400中仅示出了三个国家，但是可以表示附加的国家而不脱离公开主题的范围。如图4中所示，数据库表400中的每个条目指示国家X、国家Y和国家Z中的两个之间的预定义的最小渡越时间。例如，数据库表400指示将国家X和国家Y之间的最小渡越时间定义为10个小时。同样，将国家X与国家Z之间的最小渡越时间定义为4.5小时，并将国家Y与国家Z之间的最小渡越时间定义为12小时。在一些实施例中，安全引擎118被配置为通过使用两个国家标识符(例如，MCC标识符)访问数据库表400来确定这两个国家之间的相关最小渡越时间，以用于其时间距离安全对策，如本文所描述的。虽然数据库表400填充有表示不同国家的MCC标识符，但是数据库表400可以被配置为替代地利用MNO标识符(例如，VPLMN标识符)，而不脱离公开主题的范围。

图5是图示根据本文描述的主题的实施例的用于使用DEA为出站漫游订户执行时间距离安全对策的示例性处理或方法500的流程图。在一些实施例中，图5中所绘出的方法500是存储在存储器中的算法，当该算法由硬件处理器执行时，执行步骤502-514。在框502中，从位于非归属网络中的MME接收与移动订户相关的入口Diameter消息。在一些实施例中，从MME接收的入口Diameter消息是AIR消息或ULR消息。

在框504中，将包含与移动订户相关联的移动订户标识符的RIR消息发送到位于移动订户的归属网络中的HSS。在一些实施例中，DEA访问内部数据库以确定服务于该移动订户的HSS。DEA可以通过从接收自非归属网络MME的入口Diameter消息中提取移动订户标识符(诸如IMSI)来确定HSS的身份的地址。然后，DEA可以生成RIR消息，诸如包含移动订户标识符的Diameter SLh接口RIR消息。DEA还可以利用移动订户标识符来确定HSS的身份或地址。借助该地址信息，DEA可以将RIR消息定向到移动订户的归属网络中的HSS。

在框506中，接收识别执行了移动订户在归属网络中的最近附着的MME的标识信息。例如，从DEA响应接收RIR消息的HSS用确认消息(其包含负责执行移动订户UE的最后一次附着的MME的身份)进行响应。在一些实施例中，DEA接收的应答消息是DiameterSLh接口请求信息确认(RIA)消息。

在框508中，识别MME的标识信息被用于向识别出的MME发送包含移动订户标识符的IDR消息。例如，安全引擎可以引用将MME身份映射到对应网络地址的本地数据库。由此，DEA可以使用在框506中获得的MME标识符来获得识别出的MME的网络地址。在一些实施例中，DEA中的安全引擎还被配置为将移动订户的IMSI插入到被定向到识别出的MME的IDR消息中。

在框510中，DEA从归属网络中的MME接收包含附着时间戳数据的IDA消息。具体而言，该附着时间戳数据用作移动订户在归属网络中的最后或最新近的附着的记录。

在框512中，使用UE附着时间戳数据和与入口Diameter消息对应的时间戳信息来确定渡越时间。例如，DEA中的安全引擎被配置为计算渡越时间，该渡越时间包括归属网络MME提供的最新近附着时间戳数据与由DEA在从拜访网络MME接收到入口Diameter消息时生成的时间戳信息之间的时间差。

在框514中，分析渡越时间以确定入口Diameter消息是否将被指定为可疑入口消息。在一些实施例中，DEA中的安全引擎被配置为将渡越时间与本地最小渡越时间数据库中的条目进行比较。具体地，最小渡越时间数据库包括指定一对国家或替代地一对网络之间存在的最小渡越时间的条目。在安全引擎确定渡越时间小于渡越时间数据库中指示的最小渡越时间的情况下，安全引擎会将从拜访的敌方(enemy)接收到的入口Diameter消息标记或指定为可疑入口消息。如果入口Diameter消息被指定为可疑入口消息，那么DEA中的安全引擎可以拒绝该Diameter入口消息，从而防止潜在的欺诈活动。此外，在入口Diameter消息被指定为可疑入口消息的情况下，安全引擎还可以向网络运营商发出警报信号或消息。

本文描述的主题的优点包括能够在作为网络运营商的Diameter边缘代理部署的Diameter信令路由器(DSR)或Diameter路由代理处进行部署和操作。在DEA处部署时间距离检查安全对策方法使DEA能够以不需要DEA拦截归属网络核心信令的方式来实现所描述的时间距离检查安全对策。由此，DEA被配置为以能够识别可疑消息传递和/或防止欺诈性攻击而无需连续地从服务多个移动订户的多个MME中请求和接收附着信息的方式来执行时间距离检查安全对策。值得注意的是，网络中传送的信令量和由DEA托管的必要存储空间明显减少。由此，被配置为执行如本文描述的时间距离检查安全对策的DEA通过以更高效的方式减少计算机网络上的欺诈和其它类型的信令攻击的可能性而改善了计算机网络安全的技术领域。

将理解的是，在不脱离本公开主题的范围的情况下，可以改变本公开主题的各种细节。此外，前述描述仅出于说明的目的，而非出于限制的目的。