Телеком 5 хв читання

MNP та маршрутизація: архітектурні виклики перенесення номерів у 5G

Перехід від монолітних BSS/OSS до API-first архітектур є критичним для швидкості MNP-роутингу, захисту сигнальних стиків та запобігання телеком-фроду в 5G-мережах.

Еволюція телекомунікаційних мереж у напрямку хмароорієнтованих архітектур та впровадження 5G Standalone (SA) докорінно змінюють принципи управління абонентськими даними. Одним із найбільш критичних та технологічно складних процесів у цьому контексті залишається перенесення мобільних номерів (Mobile Number Portability, MNP). Те, що на рівні користувацького інтерфейсу виглядає як проста зміна оператора зі збереженням префікса, на рівні enterprise-інфраструктури перетворюється на складне завдання координації сигнального трафіку, синхронізації розподілених баз даних та захисту від фроду.

Сучасний телеком стикається з високою операційною складністю інтеграції застарілих сигнальних протоколів (SS7/Diameter) із сучасними сервісними архітектурами. Затримка в оновленні маршрутної інформації навіть на кілька хвилин може призвести до втрати сигнального трафіку, некоректної тарифікації та створення вразливостей, які експлуатуються зловмисниками.

Анатомія MNP-роутингу: чому перенесення номерів створює асиметрію

Історично телекомунікаційні мережі будувалися на принципі операторської прив'язки номерів, де певний код (NDC) жорстко закріплювався за оператором. Поява MNP зруйнувала цю статичну парадигму. Тепер для кожного виклику мережа повинна виконати процедуру визначення фактичного володаря номера (Query on Request) перед тим, як маршрутизувати трафік.

Існує два основні методи маршрутизації в умовах MNP:

  • Пряма маршрутизація (Direct Routing): мережа, в якій здійснюється виклик, самостійно звертається до локальної бази даних перенесених номерів (LDB), отримує маршрутний номер (Routing Number, RN) і спрямовує виклик безпосередньо до мережі отримувача. Це найефективніший метод, що мінімізує час встановлення з'єднання.
  • Непряма маршрутизація (Indirect Routing): мережа відправника спрямовує виклик до первинного оператора-донора на основі префікса. Донор робить запит до своєї бази, з'ясовує, що номер перенесено, і перенаправляє виклик далі. Це створює явище «тромбонінгу» (кільцевого маршруту), що збільшує затримку. На практиці до 53.7% затримок у налаштуванні викликів у гібридних мережах можуть бути спричинені трансляцією сигнальних протоколів на стику з застарілими MNP-базами донорів.

Головний виклик полягає в тому, що всі локальні бази даних операторів мають бути синхронізовані з центральною базою (CRDB) у режимі, наближеному до реального часу.

Спадщина SS7/Diameter та виклики 5G SBA

Сучасні телеком-оператори змушені підтримувати гібридне середовище. З одного боку, ядро мережі за стандартами 3GPP (5G Standalone) базується на сервісній архітектурі (SBA). З іншого — частина голосового трафіку та SMS все ще залежать від протоколів SS7 (MAP) та Diameter, від яких неможливо відмовитися миттєво.

Згідно зі звітом ENISA Threat Landscape 2025, експлуатація застарілих сигнальних протоколів (зокрема SS7 та Diameter) залишається стійким ризиком безпеки для мобільних мереж. Зловмисники можуть використовувати підроблені сигнальні повідомлення для несанкціонованого отримання маршрутної інформації або перехоплення SMS-трафіку (наприклад, OTP-паролів). Орієнтовно 27.7% інцидентів безпеки сигналізації в транскордонному роумінгу можуть бути пов'язані з маніпуляціями маршрутними даними.

Фінансовий вимір: фрод із підписками та підміна ідентифікаторів

Повільна синхронізація баз даних MNP — це значне джерело фінансових втрат. За даними дослідження CFCA Global Fraud Loss Survey 2025, глобальні втрати від телекомунікаційного фроду у 2025 році оцінюються приблизно в $41,82 млрд (зростання порівняно з $38,95 млрд у 2023 році). Фрод із підписками (Subscription fraud), який може бути безпосередньо пов'язаний з ідентифікацією користувачів при портуванні номерів, завдає збитків на суму близько $5,31 млрд щорічно.

Шахраї використовують «сіре вікно» — проміжок часу між моментом фактичного перенесення номера та його оновленням у білінгових системах, експлуатуючи затримки для перехоплення доступу або організації bypass-маршрутизації.

Перехід до TM Forum ODA: як API-first вирішує проблему MNP

Для подолання цих викликів концепція Open Digital Architecture (ODA) від TM Forum пропонує заміну монолітних BSS/OSS на компонентну архітектуру, де домени взаємодіють через стандартизовані Open APIs.

Перехід до ODA означає відмову від пакетного оновлення баз даних (batch processing) на користь подійно-орієнтованої архітектури. Коли CRDB підтверджує перенесення номера, подія негайно публікується в шині даних. Компоненти BSS та OSS підписуються на ці події та миттєво оновлюють свої локальні кеші, що ізолює сигнальне ядро від важких баз даних і забезпечує єдину модель безпеки.

Модернізація BSS/OSS: практичні кроки та інструменти

Модернізація legacy-систем BSS/OSS та побудова інтеграційного шару для MNP-маршрутизації може бути реалізована на базі платформи UnityBase — спільної розробки компаній консорціуму Intecracy Group. Завдяки єдиній моделі Domain metadata, платформа дозволяє генерувати REST API та синхронізувати абонентські дані між різними СУБД (Oracle, PostgreSQL, MS SQL) без накопичення технічного боргу.

Для телеком-інфраструктур Tier-1/2 операторів критичною є швидкість обробки транзакцій, яку забезпечує асинхронний non-blocking сервер на базі рушія SpiderMonkey. Крім того, для проєктів із високими навантаженнями комерційні редакції платформи (Enterprise/Defence) надають розширені механізми безпеки: рольовий та рядковий контроль доступу (RBAC/RLS), глибокий аудит дій (audit trail) та можливість ізоляції сигнального трафіку від прямих звернень до ядра.

Важливо розуміти, що впровадження хмарних платформ не ліквідує всі загрози автоматично. Необхідно налаштовувати сигнальні фаєрволи (Signaling Firewalls), які в реальному часі зіставлятимуть вхідні запити SRI/LUR із актуальним статусом номера в локальній базі MNP.

Порівняльний аналіз архітектурних підходів до MNP-маршрутизації
Параметр порівнянняМонолітний legacy BSS/OSSХмароорієнтований API-first (ODA/3GPP)
Швидкість синхронізаціїПакетне оновлення (batch), затримки до кількох годинСинхронізація в реальному часі (Event-driven API)
Обробка сигнальних стиківПряма трансляція адрес (GT), ризик експлуатації SS7Ізоляція сигнального ядра, перевірка через безпеку SBA
Масштабованість баз MNPВертикальна (залежність від апаратного забезпечення)Горизонтальна масштабованість, мікросервіси
Стійкість до фродуНизька (повільна верифікація статусу портування)Висока (миттєвий доступ до реєстрів через API)

Модернізація MNP-маршрутизації є необхідністю для збереження цілісності мережі. Перехід від застарілих монолітів до гнучких API-first архітектур дозволяє надійно захистити сигнальне ядро оператора від сучасних методів телеком-фроду та гарантувати стабільність сервісів у 5G-середовищі.

Поширені питання

Як впливає перехід на 5G Standalone на роботу локальних баз даних MNP?

У мережах 5G Standalone (за стандартами 3GPP) традиційні сигнальні протоколи замінюються сервіс-орієнтованою архітектурою (SBA). Локальні бази MNP повинні підтримувати сучасні API-інтерфейси для миттєвої маршрутизації викликів без затримок, які були характерні для трансляції застарілих протоколів.

Які основні вразливості в SS7 та Diameter використовуються шахраями?

Згідно з даними ENISA, головною проблемою є експлуатація застарілих сигнальних протоколів через відсутність надійної криптографічної верифікації. Зловмисники ініціюють підроблені запити маршрутизації під час затримок у синхронізації MNP-баз для перехоплення SMS або перенаправлення трафіку.

Чому ODA є ефективнішою за традиційні монолітні BSS/OSS системи?

TM Forum Open Digital Architecture (ODA) замінює моноліти на компонентовану, API-first архітектуру. Це дозволяє перейти від повільного пакетного оновлення до подійно-орієнтованої моделі, де інформація про портування синхронізується між усіма доменами оператора миттєво.

Джерела даних