CN114500308B - 移动网络中的多接入分布式边缘安全性 - Google Patents
移动网络中的多接入分布式边缘安全性 Download PDFInfo
- Publication number
- CN114500308B CN114500308B CN202210277492.3A CN202210277492A CN114500308B CN 114500308 B CN114500308 B CN 114500308B CN 202210277492 A CN202210277492 A CN 202210277492A CN 114500308 B CN114500308 B CN 114500308B
- Authority
- CN
- China
- Prior art keywords
- network
- security
- subscription
- information
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 220
- 238000012544 monitoring process Methods 0.000 claims abstract description 31
- 230000004044 response Effects 0.000 claims description 23
- 208000037550 Primary familial polycythemia Diseases 0.000 claims 6
- 208000017693 primary familial polycythemia due to EPO receptor mutation Diseases 0.000 claims 6
- 230000008569 process Effects 0.000 abstract description 71
- 238000004590 computer program Methods 0.000 abstract description 26
- 230000006870 function Effects 0.000 description 62
- 238000004891 communication Methods 0.000 description 39
- 238000001914 filtration Methods 0.000 description 34
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 30
- 238000010586 diagram Methods 0.000 description 26
- 230000001413 cellular effect Effects 0.000 description 25
- 238000001514 detection method Methods 0.000 description 24
- 230000007123 defense Effects 0.000 description 23
- 230000009471 action Effects 0.000 description 21
- 238000004458 analytical method Methods 0.000 description 21
- 238000007726 management method Methods 0.000 description 20
- 238000005516 engineering process Methods 0.000 description 18
- 239000000284 extract Substances 0.000 description 15
- 239000000243 solution Substances 0.000 description 14
- 230000009131 signaling function Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 230000011664 signaling Effects 0.000 description 9
- 238000007689 inspection Methods 0.000 description 7
- 230000006835 compression Effects 0.000 description 6
- 238000007906 compression Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 5
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 101150119040 Nsmf gene Proteins 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000004557 technical material Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种用于在移动网络(例如,移动订户的服务提供商网络,诸如5G网络的服务提供商网络)中提供多接入分布式边缘安全性的技术。在一些实施例中,根据一些实施例的用于移动网络中多接入分布式边缘安全性的***/处理/计算机程序产品包括:在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中所述服务提供商网络包括5G网络或融合的5G网络;在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息;以及基于所述订阅和/或设备标识符信息,确定要在安全平台处应用于新的会话的安全策略。
Description
技术领域
相关申请的交叉引用
本申请是如下两个美国专利申请的部分延续:于2018年9月27日提交的题为“NETWORK SLICE-BASED SECURITY IN MOBILE NETWORKS(移动网络中基于网络切片的安全性)”的共同未决美国专利申请序列号No.16/144,143,该美国专利申请出于所有目的通过引用并入本文中;以及于2018年9月27日提交的题为“SERVICE-BASED SECURITY PERSUBSCRIPTION AND/OR EQUIPMENT IDENTIFIERS IN MOBILE NETWORKS (移动网络中根据订阅和/或设备标识符的基于服务的安全性)”的美国专利申请序列号NO.16/144,147,该美国专利申请出于所有目的通过引用并入本文中。
背景技术
防火墙通常保护网络免受未经授权的接入,同时准许经授权的通信通过防火墙。防火墙典型地是为网络接入提供防火墙功能的一个或一组设备,或者在设备(诸如计算机)上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其它类型的支持网络通信的设备)的操作***中。防火墙也可以集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装置(例如,安全装置或其它类型的专用设备)中,或者在其上作为软件执行。
防火墙典型地基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用规则集或策略来过滤入站流量。防火墙还可以通过应用规则集或策略来过滤出站流量。防火墙还可以是能够执行基本的路由功能的。
附图说明
在以下详细描述和随附附图中公开了本发明的各种实施例;
图1A是根据一些实施例的具有用于在移动网络中提供5G多接入安全性的安全平台的5G无线网络的框图;
图1B是根据一些实施例的具有用于在移动网络中提供5G多边缘安全性的安全平台的5G无线网络的框图;
图1C是根据一些实施例的具有用于在移动网络中提供5G漫游安全性-归属路由场景的安全平台的5G无线网络的框图;
图1D是根据一些实施例的具有用于在移动网络中提供5G漫游安全性-本地疏导场景的安全平台的5G无线网络的框图;
图1E是根据一些实施例的具有用于在移动网络中提供5G多接入分布式边缘安全性的安全平台的5G无线网络的框图;
图2A是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游建立UE请求的PDU会话的示例流程;
图2B是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游建立和修改/更新UE请求的PDU会话的示例流程;
图2C是根据一些实施例的在5G网络中使用N26接口的从EPS到5GS空闲模式的移动或切换的示例流程;
图2D是根据一些实施例的在5G网络中在不使用N26接口的情况下从EPS到5GS的移动过程的示例流程;
图2E是根据一些实施例的在5G网络中将PDU会话在3GPP接入和非3GPP接入之间切换的示例流程,其中目标AMF不知道由源AMF使用的SM上下文的SMF资源标识符;
图2F是根据一些实施例的在5G网络中将PDU会话从3GPP接入切换到利用HPLMN(归属路由漫游)中的N3IWF的不信任的非3GPP接入的示例流程;
图2G是根据一些实施例的在5G网络中从EPS到5GC-N3IWF的切换的示例流程;
图2H是根据一些实施例的在5G网络中从EPC/ePDG到5GS的切换的示例流程;
图2I是根据一些实施例的在5G网络中针对归属路由漫游场景建立UE请求的PDU会话的示例流程;
图2J是根据一些实施例的在5G网络中针对归属路由漫游场景建立和修改/更新UE请求的PDU会话的示例流程;
图2K是根据一些实施例的在5G网络中在5G用户平面功能(UPF)和5G核心控制/信令功能(SMF)之间的N4接口上建立协议数据单元(PDU)会话的示例流程;
图3是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的硬件组件的功能图;
图4是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的逻辑组件的功能图;
图5是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的流程图;
图6是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的另一流程图;
图7是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的另一流程图;
图8是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的另一流程图;
图9是根据一些实施例的用于为服务提供商的5G移动网络执行多接入分布式边缘安全性的分组转发控制协议(PFCP)会话建立请求分组捕获(pcap)的快照的屏幕截图;
图10是根据一些实施例的用于针对服务提供商的5G网络执行多接入分布式边缘安全性的处理的流程图;
图11是根据一些实施例的用于为服务提供商的5G网络执行多接入分布式边缘安全性的处理的另一流程图。
具体实施方式
本发明可以以多种方式实现,包括作为一种处理;装置;***;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由该存储器提供的指令的处理器。在本说明书中,这些实现或者本发明可以采取的任何其它形式可以被称为技术。通常,在本发明的范围内,所公开的处理的步骤的顺序可以变化。除非另外声明,否则被描述为被配置为执行任务的诸如处理器或存储器的组件可以被实现为被临时配置为在给定时间执行任务的通用组件或者被制造为执行任务的特定组件。如这里所使用的,术语“处理器”指代被配置为处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核。
下面提供了对本发明的一个或多个实施例的详细描述以及说明本发明原理的随附附图。结合这样的实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限定,并且本发明涵盖许多替代、修改和等同物。为了提供对本发明的透彻理解,在以下描述中阐述了许多具体细节。这些细节是出于示例的目的而提供的,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求实践本发明。为了清楚起见,在与本发明相关的技术领域中已知的技术材料没有被详细描述,以便本发明不会被不必要地模糊。
防火墙通常保护网络免受未经授权的接入,同时允许经授权的通信通过防火墙。防火墙典型地是为网络接入提供防火墙功能的一个或一组设备或在设备上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其它类型的支持网络通信的设备)的操作***中。防火墙也可以集成到各种类型的设备或安全设备中或在其上作为软件应用来执行,所述设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其它类型的专用设备)。
防火墙典型地根据规则集来拒绝或准许网络传输。这些规则集通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则集或策略来过滤入站流量,以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则集或策略(例如,允许、阻止、监控、通知或记录,和/或可以在防火墙/安全规则或防火墙/安全策略中指定其它动作,这些动作可以基于各种准则来触发,诸如本文中所描述的)来过滤出站流量。防火墙还可以通过应用规则集或策略来应用防病毒保护、恶意软件检测/防御或入侵保护。
安全设备(例如,安全装置、安全网关、安全服务和/或其它安全设备)可以包括各种安全功能(例如,防火墙、反恶意软件、入侵防御/检测、代理和/或其它安全功能)、网络功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其它网络功能)和/或其它功能。例如,路由功能可以基于源信息(例如,源IP地址和端口)、目的地信息(例如,目的地IP地址和端口)和协议信息。
基本分组过滤防火墙通过检查通过网络传输的单个分组来过滤网络通信流量(例如分组过滤防火墙或第一代防火墙,它们是无状态分组过滤防火墙)。无状态分组过滤防火墙典型地检查单个分组本身,并基于所检查的分组来应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,它们在TCP/IP堆栈的应用级上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(HTTP)的网页浏览、域名***(DNS)请求、使用文件传输协议(FTP)的文件传输以及各种其它类型的应用和其它协议,诸如Telnet(远程登录)、DHCP、TCP、UDP和TFTP (GSS))。例如,应用防火墙可以阻止试图通过标准端口进行通信的未授权协议(例如,阻止试图通过使用非标准端口来偷偷通过的未授权/不符合策略的协议,因为该协议通常可以使用应用防火墙来标识)。
状态防火墙还可以执行基于状态的分组检查,其中在与该网络传输的(多个)分组的流/分组流相关联的一系列分组的上下文中审查每个分组(例如,状态防火墙或第三代防火墙)。这种防火墙技术通常被称为有状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接的状态本身可以是触发策略中的规则的准则之一。
高级的或下一代防火墙可以执行无状态和有状态的分组过滤和应用层过滤,如上所述。下一代防火墙还可以执行附加的防火墙技术。例如,某些较新的防火墙(有时称为高级或下一代防火墙)还可以标识用户和内容。特别是,某些下一代防火墙正在将这些防火墙可以自动标识的应用列表扩展到成千上万个应用。这样的下一代防火墙的示例可以从PaloAlto(帕洛阿尔托)网络公司购得(例如,Palo Alto网络公司的PA系列下一代防火墙和PaloAlto网络公司的虚拟机系列虚拟化下一代防火墙)。
例如,Palo Alto网络公司的下一代防火墙使企业和服务提供商能够使用各种标识技术来标识和控制应用、用户和内容,而不仅仅是端口、IP地址和分组,所述标识技术诸如:用于准确的应用标识的App-IDTM(例如,App-ID),用于用户标识(例如,按用户或用户组)的User-IDTM(例如,用户ID),以及用于实时内容扫描(例如,控制网页浏览并且限制数据和文件传输)的Content-IDTM(例如,内容ID)。这些标识技术允许企业使用与业务相关的概念安全地启用应用的使用,而不是遵循由传统的端口阻挡防火墙提供的传统方法。此外,例如被实现为专用装置的用于下一代防火墙的专用硬件通常比在通用硬件上执行的软件提供更高的应用检查性能水平(例如,诸如由Palo Alto网络公司提供的安全装置,其利用与单程软件引擎紧密集成的专用、功能特定的处理,以最大化网络吞吐量,同时最小化PaloAlto网络公司的PA系列下一代防火墙的延时)。
当今的服务提供商移动网络中的技术和安全挑战
在当今的服务提供商网络环境中,服务提供商典型地只能为在服务提供商的无线网络上通信的无线设备实现静态安全策略(例如,服务提供商不能为在服务提供商的无线网络上通信的无线设备在每个端点和/或每个流的基础上定义安全/防火墙策略),并且任何改变通常都需要网络基础设施更新。
因此,移动网络中的设备存在关于服务提供商网络的技术和安全挑战。照此,在这样的服务提供商网络环境(例如,移动网络)中,需要的是新的和改进的设备安全技术。具体而言,需要的是用于监控服务提供商网络流量并为在服务提供商网络上通信的设备应用安全策略(例如,防火墙策略)的新的且改进的解决方案。
移动网络中用于基于网络切片的安全性的技术的概述
因此,公开了用于服务提供商网络环境中增强的安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种***架构和提供安全平台的各种处理,所述各种***架构和处理可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于网络切片的安全性。更具体地,公开了用于在服务提供商网络环境中为了服务提供商(诸如5G蜂窝网络)的移动网络中基于网络切片的安全性而实现安全平台的各种***架构和提供安全平台的各种处理。
在一些实施例中,公开了用于应用基于网络切片的安全性的各种技术,所述基于网络切片的安全性可以使用安全平台通过解析HTTP/2消息以提取网络切片信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体来说,如IETF RFC 7540(例如,可在https://tools.ietf.org/html/rfc7540处获得)中所描述的HTTP/2是一种二进制协议,其支持经由单个连接的多路复用的多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用IETF RFC 793中描述的TCP(例如,可在https://tools.ietf.org/html/rfc793处获得)作为传输协议。网络切片是公共陆地移动网络(PLMN)内的逻辑网络,其包括核心网络控制平面和用户平面网络功能,并且为PLMN提供NG无线电接入网络或到非3GPP接入网络的非3GPP互通功能(N3IWF)中的至少一个。
更具体地说,网络切片由单个网络切片选择辅助信息(S-NSSAI)来标识。一个S-NSSAI由如下各项组成:(1)切片/服务类型(SST)——它指代在功能和服务方面的预期网络切片行为;以及(2)切片区分器(SD)(例如,在同一SST的多个网络切片之间进行区分的可选信息)。
进一步地,S-NSSAI可以具有标准或非标准值。下面提供了由3GPP定义的标准化SST值:
。
在一些实施例中,基于给定5G网络中的安全平台部署拓扑,可以使用在下面进一步描述的两个选项中的一个或多个来提取S-NSSAI信息。作为第一选项,在“创建SM上下文请求(Create SM Context Request)”服务操作期间,安全平台在从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据(SmContextCreateData)”(例如,可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspxspecificationId=3340处获得的3GPP TS29.502中定义的)中提取S-NSSAI信息。“创建SM上下文请求”服务操作(例如,在3GPP TS29.502中定义的)将在以下示例过程中使用,以在SMF中或在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组***(EPS)到5G***空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换。
作为第二选项,在创建服务操作期间,安全平台在从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据(PduSessionCreateData)”(例如,在3GPP TS 29.502中定义的)中提取S-NSSAI信息。创建服务操作(例如,在3GPP TS29.502中定义的)将在以下示例过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1) UE请求的PDU会话建立;(2)使用N26接口从EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;(6)从EPC/ePDG到5GS的切换。
在一些实施例中,一种用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品,包括使用网络切片标识符(S-NSSAI)来为具有多个订户、移动订户和订户设备的客户应用安全性,如下面关于各种实施例和示例进一步描述的。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供安全性,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁检测,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁防御,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行使用网络切片标识符(S-NSSAI)为具有多个订户、移动订户和订户设备的客户应用统一资源定位符(URL)过滤,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供安全性,所述安全策略可以根据5G网络中的SST来应用。
在一个实施例中,一种用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁检测,所述安全策略可以根据5G网络中的SST来应用。
在一个实施例中,一种用于在移动网络中提供基于网络切片的安全性的***/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁防御,所述安全策略可以根据5G网络中的SST来应用。
例如,所公开的技术可以允许5G融合运营商向具有多个订户、用户和/或物联网(IoT)设备(例如,蜂窝IoT(CIoT)设备)的任何客户提供基于网络切片的安全性,所述订户、用户和/或物联网设备使用5G无线电接入技术以及从5G切换到非5G接入技术/切换到5G接入技术来连接到他们的网络。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的且增强的安全服务包括如下中的一项或多项:(1)基于网络切片的防火墙服务;(2)针对已知威胁的基于网络切片的基本威胁检测服务;(3)针对未知威胁的基于网络切片的高级威胁检测服务;(4)针对已知威胁的基于网络切片的基本威胁防御服务;(5)针对未知威胁的基于网络切片的高级威胁防御服务;(6)基于网络切片的URL过滤服务;(7)基于网络切片的应用DoS检测服务;(8)基于网络切片的应用DoS防御服务;以及(9)NGFW中的URL过滤,上述各项可以根据5G网络中的SST来进行。
下面将进一步描述用于在移动网络中提供基于网络切片的安全性的这些和其它实施例和示例。
服务提供商的移动网络中根据订阅标识符和/或设备标识符的基于服务的安全性的技术概述
根据订阅永久标识符(SUPI)的基于服务的安全性
因此,公开了用于服务提供商网络环境中增强的安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商的网络环境中实现安全平台的各种***架构和提供安全平台的各种处理,所述各种***架构和处理可以在服务提供商的移动网络(诸如5G蜂窝网络)中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种***架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的订阅永久标识符(SUPI)信息来应用。
在一些实施例中,公开了用于应用根据订阅永久标识符(SUPI)的基于服务的安全性的各种技术,所述根据订阅永久标识符(SUPI)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取SUPI信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体地,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是二进制协议,它支持在单个连接上多路复用多个流,报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,SUPI是全球唯一的5G订阅标识符,其应分配给5G***中的每个订户,并预先分配在通用数据管理(UDM)/通用数据仓库(UDR)中。在3GPP***内部使用SUPI。SUPI可以包括以下信息:(1)如在可从https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspxspecificationId=729处获得的3GPP TS23.003中定义的IMSI,或者(2)如在可从https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx/>specificationId=729处获得的3GPP TS23.003中定义的、用于专用网络的网络特定标识符。在一些情况下,对于基于IMSI的或不基于IMSI的(例如,当在非3GPP接入技术上使用或用于专用网络时)网络接入标识符(NAI),SUPI可以采用使用如在3GPP TS 23.003中定义的基于NAI RFC 7542的用户标识的NAI的形式。为了与演进分组核心(EPC)互通,分配给3GPP用户设备(UE)的SUPI将总是基于IMSI的,以使得UE能够向EPC呈现IMSI。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取SUPI信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取SUPI信息。例如,“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组***(EPS)到5G***空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取SUPI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1) 建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据订阅永久标识符(SUPI)的基于服务的安全性的***/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的SUPI信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的且增强的安全服务包括以下中的一个或多个:(1)可以根据SUPI信息应用于基于SUPI的防火墙服务的安全策略;(2)针对已知威胁的基于SUPI的威胁检测服务;(3)针对未知威胁的基于SUPI的高级威胁检测服务;(4)针对已知威胁的基于SUPI的基本威胁防御服务;(5)针对未知威胁的基于SUPI的高级威胁防御服务;(6)基于SUPI的URL过滤服务;(7)基于SUPI的应用DoS检测服务;和(8)基于SUPI的应用DoS防御服务。
根据永久设备标识符(PEI)的基于服务的安全性
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种***架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种***架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的永久设备标识符(PEI)信息来应用。
在一些实施例中,公开了用于应用根据永久设备标识符(PEI)的基于服务的安全性的各种技术,所述根据永久设备标识符(PEI)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取PEI信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体来说,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,其支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,PEI是为接入5G***的3GPP UE定义的永久设备标识符。对于不同的UE类型和用例,PEI可以采取不同的格式。UE应与网络共享PEI,以及对正在使用的PEI格式的指示。如果该UE支持至少一种3GPP接入技术,则该UE被分配国际移动设备标识符(IMEI)格式的PEI。例如,PEI可以包括以下信息:如在3GPP TS 23.003中定义的IMEI或IMEISV,可从以下网址获得:http://portal.3GPP.org/desktopmodules/specificationdetails.aspxspecificationId=729。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取PEI信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取PEI信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组***(EPS)到5G***空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取PEI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1) 建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据永久设备标识符(PEI)的基于服务的安全性的***/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的PEI信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)可以根据PEI信息应用于基于PEI的防火墙服务的安全策略;(2)针对已知威胁的基于PEI的威胁检测服务;(3)针对未知威胁的基于PEI的高级威胁检测服务;(4)针对已知威胁的基于PEI的基本威胁防御服务;(5)针对未知威胁的基于PEI的高级威胁防御服务;(6)基于PEI的URL过滤服务;(7)基于PEI的应用DoS检测服务;和(8)基于PEI的应用DoS防御服务。
根据通用公共订阅标识符(GPSI)的基于服务的安全性
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种***架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种***架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的通用公共订阅标识符(GPSI)信息来应用。
在一些实施例中,公开了用于应用根据通用公共订阅标识符(GPSI)的基于服务的安全性的各种技术,所述根据通用公共订阅标识符(GPSI)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取GPSI信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体来说,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,它支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,GPSI用于在3GPP***之外的不同数据网络中寻址3GPP订阅。3GPP***在订阅数据中存储GPSI和对应的SUPI之间的关联。GPSI是在3GPP***内部和外部均使用的公共标识符。GPSI是MSISDN或者外部标识符(例如,在TS 23.003中定义的)。如果订阅数据中包含了MSISDN,则在5GS和EPS这两者中都支持相同的MSISDN值应是可能的。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取GPSI信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取GPSI信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组***(EPS)到5G***空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取GPSI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1) 建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据通用公共订阅标识符(GPSI)的基于服务的安全性的***/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行为移动订户和订户的设备提供安全性,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的GPSI信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)可以根据GPSI信息应用于基于GPSI的防火墙服务的安全策略;(2)针对已知威胁的基于GPSI的威胁检测服务;(3)针对未知威胁的基于GPSI的高级威胁检测服务;(4)针对已知威胁的基于GPSI的基本威胁防御服务;(5)针对未知威胁的基于GPSI的高级威胁防御服务;(6)基于GPSI的URL过滤服务;(7)基于GPSI的应用DoS检测服务;和(8)基于GPSI的应用DoS防御服务。
下面将进一步描述用于在移动网络中提供根据订阅标识符和/或设备标识符的基于服务的安全性的这些和其它实施例和示例。
服务提供商移动网络中根据数据网络名称的基于服务的安全性的技术概述
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种***架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种***架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的数据网络名称(DNN)信息来应用。
在一些实施例中,公开了用于应用根据数据网络名称(DNN)的基于服务的安全性的各种技术,所述根据数据网络名称(DNN)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取DNN信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体地,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,它支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,DNN等同于如在TS 23.003中定义的接入点名称(APN),TS 23.003可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspxspecificationId=729处获得。这两种标识符具有等同的含义,并且携带相同的信息。例如,DNN可以用于:(1)选择一个SMF和(一个或多个)UPF以用于进行PDU会话;或者(2)确定应用于该PDU会话的策略。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取DNN信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取DNN信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组***(EPS)到5G***空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取DNN信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1) 建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据数据网络名称(DNN)的基于服务的安全性的***/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的DNN信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)可以根据DNN信息应用于基于DNN的防火墙服务的安全策略;(2)针对已知威胁的基于DNN的威胁检测服务;(3)针对未知威胁的基于DNN的高级威胁检测服务;(4)针对已知威胁的基于DNN的基本威胁防御服务;(5)针对未知威胁的基于DNN的高级威胁防御服务;(6)基于DNN的URL过滤服务;(7)基于DNN的应用DoS检测服务;和(8)基于DNN的应用DoS防御服务。
下面将进一步描述用于在移动网络中提供根据网络名称的基于服务的安全性的这些和其它实施例和示例。
服务提供商移动网络中根据用户位置的基于服务的安全性的技术概述
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种***架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种***架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的用户位置信息来应用。
在一些实施例中,公开了用于应用根据用户位置的基于服务的安全性的各种技术,所述根据用户位置的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取用户位置信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体地,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,它支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,如根据3GPP T.S 29.571,用户位置被定义为Eutra位置(EutraLocation)、NR位置(NRLocation)和N3ga位置(N3gaLocation),3GPP T.S 29.571可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspxspecificationId=3347处获得。例如,在用户位置中应出现它们中的至少一个。在某些情况下,它们中的几个可以存在,诸如下面的示例所示出的:
Eutra位置=跟踪区域标识(TAI) + ECGI(Eutra小区标识)
NR位置= TAI +NR小区标识(NCGI)
N3ga位置 - IPv4地址,IPv6地址,Uinteger类型
TAI = PLMN标识(PlmnID)+跟踪区域码(TAC)
ECGI = PlmnId + EUTRA小区标识(EutrCellId)
NCGI =PlmnId+NR小区标识(NRCellId)。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取用户位置信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取用户位置信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组***(EPS)到5G***空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取用户位置信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1) 建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据用户位置的基于服务的安全性的***/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的用户位置信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)针对基于用户位置的防火墙服务的可以根据用户位置(例如,Eutra位置或NR位置)信息来应用的安全策略;(2)根据用户位置(例如,Eutra位置或NR位置)执行的针对已知威胁的威胁检测服务;(3)根据用户位置(例如,Eutra位置或NR位置)执行的针对未知威胁的高级威胁检测服务;(4)根据用户位置(例如,Eutra位置或NR位置)执行的针对已知威胁的基本威胁防御服务;(5)根据用户位置(例如,Eutra位置或NR位置)执行的针对未知威胁的高级威胁防御服务;(6)根据用户位置(例如,Eutra位置或NR位置)执行的URL过滤服务;(7)根据用户位置(例如,Eutra位置或NR位置)执行的DoS检测服务;以及(8)根据用户位置(例如,Eutra位置或NR位置)执行的应用DoS防御服务。
下面将进一步描述用于在移动网络中提供根据用户位置的基于服务的安全性的这些和其它实施例和示例。
移动网络中多接入分布式边缘安全性的技术概述
在5G移动网络(例如,5G网络)中,可以利用多接入边缘计算(MEC)来降低高级优质服务的延时,诸如托管应用、物联网(IoT)数据分析(例如,使用MEC作为物联网数据的聚合点)和/或其它服务。然而,考虑到控制平面和用户平面在5G网络中是分离的,在技术上难以在具有相同安全平台的MEC站点上根据订户和设备级别应用安全性。
因此,针对移动网络中的多接入分布式边缘安全性,服务提供商网络存在技术和安全性挑战。照此,在这样的服务提供商网络环境(例如,5G移动网络)中,需要的是用于多接入分布式边缘安全性的新的和改进的安全技术。具体而言,需要的是用于在服务提供商网络中为了多接入分布式边缘安全性而监控服务提供商网络流量并且应用安全策略(例如,防火墙策略)的新的和改进的解决方案。
公开了用于在移动网络(例如,移动订户的服务提供商网络,诸如5G网络)中提供多接入分布式边缘安全性的技术。在一些实施例中,根据一些实施例的用于移动网络中的多接入分布式边缘安全性的***/处理/计算机程序产品包括在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息;以及基于订阅和/或设备标识符信息,确定要在安全平台处应用于新的会话的安全策略。
例如,移动运营商通常将5G移动网络中的多接入边缘计算(MEC)视为有利于促进其高级优质服务(诸如托管应用、物联网(IoT)数据分析(例如,使用MEC作为IoT数据的聚合点)和/或其它服务)的更低延时。许多移动运营商正在计划在其5G网络内的边缘计算站点(例如,边缘站点)处托管第三方5G应用以及他们自己的服务。
一般来说,MEC和控制平面/用户平面的分离可以促进5G网络中的更多分布。例如,美国一家Tier 1(一级)移动运营商的几十个核心站点可以转换成几十个核心站点,外加部署在5G网络中的100到1000个分布式本地MEC站点。
因此,公开了在服务提供商网络环境中用于增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术,所述增强型安全平台用于在移动网络(例如,移动订户的服务提供商网络,诸如5G网络)中提供多接入分布式边缘安全性。具体而言,公开了用于在服务提供商网络环境中实现安全平台的各种***架构和提供安全平台各种处理,所述安全平台可以在移动网络中为服务提供商提供多接入分布式边缘安全性。更具体地,公开了在服务提供商网络环境中为了在服务提供商的移动网络中提供多接入分布式边缘安全性而实现安全平台的各种***架构和提供安全平台的各种处理。
在一些实施例中,基于给定5G网络中的安全平台部署拓扑,使用基于5G技术的移动网络中的安全平台来执行5G MEC安全性(例如,使用部署在不同位置的一个或多个安全平台来监控例如5G网络中的N4接口,诸如在下面关于图1E进一步描述的)。安全平台通过会话管理功能(SMF)组件/元件和用户平面功能(UPF)组件/元件之间的N4接口解析分组转发控制协议(PFCP)消息。安全平台被配置为从解析的PFCP消息中提取例如订阅相关信息和/或设备标识符相关信息。如5G标准/规范中所规定的,PFCP消息被用在5G网络中的控制平面和用户平面功能之间的接口上(例如,如可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspxspecificationId=3111获得的3GPP TS29.244 V15.3中所规定的)。
在示例实现中,基于多接入分布式边缘5G网络中的安全平台部署拓扑,可以如下文进一步描述的那样提取订阅和设备标识符。由控制平面(CP)功能(例如,5G核心控制/信令功能,诸如图1E中所示)通过N4接口发送PFCP会话建立请求,以在用户平面(UP)功能(UPF)(例如,5G用户平面功能,诸如图1E中所示)中建立新的PFCP会话上下文。该消息可以包括可选的信息元素(IE)“用户ID”(例如,“用户ID”IE可以被包括在N4会话建立请求中,诸如图2K中所示),其可以基于运营商策略(例如,并且基于3GPP TS 29.244 V15.3规范,仅当UP功能位于受信任的环境中时才发送)来呈现。“用户ID”IE可以包括以下信息/参数:国际移动订阅标识(IMSI)(例如,IMSI是唯一的,不超过15位数字,将如3GPP TS 23.003中规定的那样分配给每个移动订户)、国际移动设备标识符(IMEI)(例如,IMEI是如3GPP TS23.003中规定的那样的15或16位数字的唯一设备标识)、移动订户ISDN (MSISDN)(例如,在3GPP TS 23.003中规定MSISDN)、和/或网络接入标识符(NAI)(例如,NAI是在网络接入认证期间由客户端提交的用户标识,并且对于漫游而言,NAI可以用于标识用户以及协助认证请求的路由,并且它还用于如在3GPP TS 23.003中规定的专用网络)。
在一个实施例中,安全平台解析分组转发控制协议(PFCP)会话建立请求和PFCP会话建立响应消息,以提取订阅和/或设备标识符信息,并且其中订阅和/或设备标识符信息由与国际移动订阅标识(IMSI)、国际移动设备标识符(IMEI)和/或移动订户ISDN(MSISDN)相关的信息来标识。
在一个实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括基于安全策略阻止新的会话访问资源。
在一个实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品包括在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;在安全平台处提取与新的会话相关联的用户流量的网络接入标识符信息;以及基于所述网络接入标识符信息确定在安全平台处应用于新的会话的安全策略。
在一个实施例中,网络接入标识符由网络接入标识符(NAI)相关信息来标识,其中NAI与在网络接入认证期间由客户端提交的用户标识相关联。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括在5G网络中提供根据国际移动订阅标识(IMSI)的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行)。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括在5G网络中提供根据网络接入标识符(NAI)的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行)。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括在5G网络中提供根据国际移动设备标识符(IMEI)的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行)。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括在5G网络中提供根据移动订户ISDN(MSISDN)的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行)。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括提供根据IMSI、IMEI、MSISDN和/或NAI的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行),以在5G网络中的多接入分布式边缘位置处提供威胁标识和防御(例如,针对具有多个订户、移动订户和订户设备的客户)。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括提供根据IMSI、IMEI、MSISDN和/或NAI的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行),以在5G网络中的多接入分布式边缘位置提供应用标识(APP ID)和控制(例如,针对具有多个订户、移动订户和订户设备的客户)。
在一些实施例中,用于在移动网络中提供多接入分布式边缘安全性的***/处理/计算机程序产品进一步包括提供根据IMSI、IMEI、MSISDN和/或NAI的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行),以在5G网络中的多接入分布式边缘位置处提供统一资源定位符(URL)过滤(例如,针对具有多个订户、移动订户和订户设备的客户)。
作为示例,移动网络运营商可以使用所公开的安全平台和技术来保护5G网络中的基于多接入分布式边缘的网络。
作为另一个示例,移动网络运营商可以使用所公开的安全平台和技术,利用5G网络中的边缘计算解决方案来向垂直行业提供各种安全服务,诸如工厂/仓库、机场、中转站、购物中心、内容提供商、连接的车辆和/或各种物联网(IoT)设备(例如,使用5G无线电接入技术和从/到5G到非5G接入技术的切换来连接到网络的蜂窝IoT (CIoT)设备)。
下面将进一步描述用于在移动网络中提供多接入分布式边缘安全性的这些和其它实施例和示例。
为服务提供商的5G网络实现增强的安全性的示例***架构
一般来说,5G是第五代移动通信***。第三代合作伙伴计划(3GPP)(例如,3GPP包括七个电信标准开发组织(ARIB、ATIS、CCSA、ETSI、TSDSI、TTA、TTC)。该项目覆盖蜂窝电信网络技术,包括无线电接入、核心传输网络和服务能力。该规范还为核心网络的非无线电接入以及与无线网络的互通提供了挂钩),以及包括ITU、IETF和ETSI的其它组织正在开发5G标准。新的5G网络标准中的一些改进包括,例如,低延时(例如,近似地小于10毫秒(MS))、高吞吐量(例如,多Gbps)、分发、网络功能虚拟化基础设施以及编排、分析和自动化。
5G架构在3GPP TS 23.501 v15.3.0(例如,可在https://portal.3GPP.org/desktopmodules/specificationdetails.aspxspecificationId=3144获得)中被定义为是基于服务的,并且网络功能(NF)之间的交互以两种方式表示:(1)基于服务的表示,其中控制平面(CP)内的NF使得其它经授权的网络功能能够访问它们的服务;和(2)参考点表示,集中于由任意两个网络功能之间的点到点参考点定义的成对NF之间的交互。
在5G架构中,在接入网和骨干网上的核心之间的在N3接口上的用户平面协议栈(例如,在无线电接入网(RAN)和UPF元件之间)将基于在UDP协议上的GPRS隧道协议用户平面(GTP-U)(例如,诸如在下面进一步描述的图1E中所示),并且在N4接口上的用户平面协议栈(例如,在UPF元件和SMF元件之间)将基于在UDP协议上的分组转发控制协议(PFCP)(例如,诸如在下面进一步描述的图1E中所示)。5G***架构中的控制平面NF应基于基于服务的架构。HTTP/2将是在基于服务的接口上使用的协议。新的5G接入网络协议将基于流控制传输协议(SCTP)。
因此,在一些实施例中,所公开的技术包括提供安全平台(例如,在可从Palo Alto网络公司购得的NGFW上执行的PANOS或另外的安全平台/NFGW),所述安全平台被配置为提供例如GTP-U会话和新的基于HTTP/2的TCP会话的DPI能力(例如,包括状态检查),这促进了如下面进一步描述的受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,并且作为另一个示例,促进了受监控的GTP-U隧道(例如,在N3接口上)和PFCP会话(例如,在N4接口上)之间的关联。
在一些实施例中,安全平台(例如,在可从Palo Alto网络公司购得的NGFW上执行的PANOS或另外的安全平台/NFGW)被配置为提供以下DPI能力:N3 GTP-U隧道和/或N4 GTP-U隧道的状态检查;N3 GTP-U隧道的内容检查(例如,用以检查N3 GTP-U隧道的内部IP会话的内容)和/或N4 PFCP会话的内容检查(例如,用以检查N4 PFCP会话的内容);支持5G***的程序的3GPP技术规范(TS) 29.274 V15.3.0版本15(例如,以及之后的版本),以支持5G蜂窝技术;以及支持GTP-U协议的3GPP技术规范(TS) 29.281 V15.4.0版本14(例如,以及之后的版本)。
图1A是根据一些实施例的具有用于在移动网络中提供5G多接入安全性的安全平台的5G无线网络的框图。图1A是用于多接入5G网络架构的示例服务提供商网络环境,该网络架构包括控制平面/信令网络中的安全平台102a和安全平台102b(例如,安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器或可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G多接入安全性,如在下面进一步描述的。如所示出的,5G网络还可以包括如104处所示的固定/有线接入、如106处所示的诸如Wi-Fi接入之类的非3GPP接入、如108处所示的5G无线电接入网络(RAN)接入、如110处所示的4G RAN接入和/或其它网络(在图1A中未示出),以促进订户的数据通信(例如,使用用户设备(UE),诸如智能电话、膝上型电脑、计算机(其可以在固定位置),和/或其它支持蜂窝的计算设备/装备,诸如CIoT设备或支持网络通信的其它设备),所述数据通信包括通过本地数据网络(例如,企业网络)112和数据网络(例如,互联网)120来访问各种应用、网络服务、内容主机等,和/或其它网络。如图1A中所示,5G网络接入机制104、106、108和110中的每个都通过安全平台102a与5G用户平面功能114a通信,并且5G用户平面功能114a与5G用户平面功能114b通信。如所示出的,4G RAN 110和5G RAN 108与5G核心控制/信令功能118通信,5G核心控制/信令功能118与5G用户平面功能114b通信。
参考图1A,使用安全平台102a和102b监控网络流量通信。例如,安全平台102a还可以与安全平台102b通信,以促进所公开的技术,诸如用于提供受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下面进一步描述的。如所示出的,在5G网络中,使用安全平台102a和102b(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102 a和102 b被配置为执行如下面进一步描述的所公开的安全技术。此外,安全平台102a和/或102b还可以诸如经由互联网与云安全服务122(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由PaloAlto网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其它恶意软件的动态防御签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G多接入安全性。
图1B是根据一些实施例的具有用于在移动网络中提供5G多边缘安全性的安全平台的5G无线网络的框图。图1B是用于多边缘5G网络架构的示例服务提供商网络环境,所述多边缘5G网络架构包括:在5G网络边缘上的各个位置处的安全平台,如102a、102b、102c和102d处所示,用于监控到5G用户平面功能114a-c和本地数据网络112a-b的通信;以及安全平台102e,用于监控到核心网络116中的5G核心控制/信令功能118的通信(例如,安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G多边缘安全性,如下面进一步描述的。
参考图1B,使用安全平台102a-e来监控网络流量通信。例如,安全平台102a和102b也可以与安全平台102e通信,以促进所公开的技术,诸如用于提供受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下面进一步描述的。如所示出的,在5G网络中使用安全平台102a-e(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102 a-e被配置为执行所公开的安全技术,如下面进一步描述的。如以上关于图1A类似地描述的,安全平台102a-e中的一个或多个还可以诸如经由互联网与云安全服务122(在图1B中未示出)(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由Palo Alto网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其它恶意软件的动态防御签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G多边缘安全性。
图1C是根据一些实施例的具有用于在移动网络中提供5G漫游安全-归属路由场景的安全平台的5G无线网络的框图。图1C是用于漫游5G网络架构的示例服务提供商网络环境,所述5G漫游网络架构包括用于监控到5G用户平面功能114-b和漫游/对等网络124的通信以及用于监控到5G核心控制/信令功能118的通信的安全平台(例如,所述安全平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G漫游安全性,如下面进一步描述的。
参考图1C,使用安全平台102a监控网络流量通信。具体地,在该漫游安全性-归属路由场景中,单个防火墙监控控制平面(HTTP/2)流量和用户平面(GTP-U)流量这两者(例如,N32接口承载控制平面流量,N9接口承载GTP-U流量,如图1C中所示)。例如,安全平台102a可以促进所公开的技术,诸如用于提供受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下面进一步描述的。如所示出的,在5G网络中使用安全平台102a(例如,(虚拟)设备/装置,其包括防火墙(FW)、代表防火墙行动的网络传感器或可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102a被配置为执行所公开的安全技术,如下面进一步描述的。如以上关于图1A类似地描述的,安全平台102a还可以诸如经由互联网与云安全服务122(在图1C中未示出)(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由Palo Alto网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其它恶意软件的动态防御签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G漫游安全性。
图1D是根据一些实施例的具有用于在移动网络中提供5G漫游安全性-本地疏导场景的安全平台的5G无线网络的框图。图1D是用于漫游5G网络架构的示例服务提供商网络环境,所述漫游5G网络架构包括5G网络边缘上的各种位置处的安全平台,所述安全平台包括用于监控到5G用户平面功能114a-b和本地数据网络112以及漫游/对等网络124的通信的安全平台102a,以及用于监控到5G核心控制/信令功能118的通信的安全平台102b(例如,安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G漫游安全性,如下文进一步描述的。
参考图1D,使用安全平台102a和102b监控网络流量通信。具体来说,在该漫游安全性-本地疏导场景中,N32接口承载控制平面流量,并且N3接口是在5G RAN和承载GTP-U流量的用户平面功能之间的接口。例如,安全平台102a也可以与安全平台102b通信,以促进所公开的技术,例如用于提供被监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下文进一步描述的。如所示出的,在5G网络中,使用安全平台102a和102b(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102a和102 b被配置为执行所公开的安全技术,如下文进一步描述的。如上面关于图1A类似地描述的,安全平台102a和102b中的一个或多个还可以诸如经由互联网与云安全服务122(在图1D中未示出)(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由Palo Alto网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其它恶意软件的动态防御签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G漫游安全性。
图1E是根据一些实施例的具有用于在移动网络中提供5G多接入分布式边缘安全性的安全平台的5G无线网络的框图。图1E是用于多接入分布式边缘5G网络架构的示例服务提供商网络环境,该网络架构包括不同位置处的安全平台102a和安全平台102b,所述安全平台102a和安全平台102b用于监控到5G用户平面功能114a-c和本地数据网络112a-b的通信以及到核心网络116中的5G核心控制/信令功能118的通信(例如,所述安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器,或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现)以用于提供5G多接入安全性,如下文进一步描述的。如所示出的,5G网络还可以包括如104处所示的固定/有线接入、如106处所示的诸如Wi-Fi接入之类的非3GPP接入、如108处所示的5G无线电接入网络(RAN)接入、如110处所示的4G RAN接入和/或其它网络(在图1E中未示出),以促进订户的数据通信(例如,使用用户设备(UE),诸如智能电话、膝上型电脑、计算机(其可以在固定位置),和/或其它支持蜂窝的计算设备/装备,诸如CIoT设备或其它支持网络通信的设备),所述数据通信包括通过如在112a和112b处示出的本地数据网络(例如,企业网络)和中央数据网络(例如,互联网)120来访问各种应用、网络服务、内容主机等,和/或其它网络。如图1E中所示,5G网络接入机制104、106、108和110中的每个都通过安全平台(例如,NGFW)102a与5G用户平面功能114a通信,并且通过安全平台(例如,NGFW)102b与5G用户平面功能114b通信。如所示出的,4G RAN 110和5G RAN 108与5G核心控制/信令功能118通信,5G核心控制/信令功能118与5G用户平面功能114c通信。
参考图1E,使用安全平台102a和/或102b监控网络流量通信。例如,安全平台102a和/或102b可以被配置为促进所公开的技术(例如,并且可选地,可以与彼此、与云安全性122(如关于安全平台102a所示)和/或与其它安全平台(未示出)通信),诸如用于提供受监控的GTP-U隧道(例如,在N3接口上)和PFCP会话(例如,在N4接口上)之间的关联,如下面进一步描述的。如所示出的,在5G网络中,使用安全平台102a和/或102b(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102 a和/或102b被配置为执行所公开的安全技术,如下文进一步描述的。此外,安全平台102a和/或102b还可以诸如经由互联网与云安全服务122(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由Palo Alto网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其它恶意软件的动态防御签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G多接入分布式边缘(例如,MEC)安全性。
因此,这些和各种其它示例网络架构可以利用所公开的用于5G移动网络环境的安全技术,在5G移动网络环境中,可以提供一个或多个安全平台来执行流量监控和过滤,以基于信令和DPI信息为服务提供商的5G移动网络提供新的和增强的5G相关安全技术,包括增强的5G相关MEC安全技术,如下文进一步描述的。鉴于所公开的实施例,现在对于本领域普通技术人员而言应当显而易见的是,一个或多个安全平台可以类似地被提供在这些网络架构内的各种其它位置中(例如,诸如由图1A-E中所示的安全平台所示的和/或被实现为代理或虚拟机(VM)实例的内联的、直通的NGFW,其可以在服务提供商的网络中的现有设备上执行,诸如在图1A-E中所示的在5G用户平面功能和/或5G核心控制/信令功能内的实体上执行)以及各种无线网络环境中,以执行下面进一步描述的所公开的安全技术。
5G网络中基于网络切片的安全性
网络切片是公共陆地移动网络(PLMN)中的逻辑网络,它可以提供完整网络的功能,包括无线电接入网络(RAN)功能、核心网络控制平面和用户平面功能。一个网络可以支持一个或几个网络片。通常,网络切片允许运营商(例如,5G网络的服务提供商)提供定制的网络。例如,对功能(例如,优先级、计费、策略控制、安全性和移动性)可能存在不同的要求,在性能要求(例如,延时、移动性、可用性、可靠性和数据速率)方面可能存在差异,或者它们只能服务于特定用户(例如,MPS用户、公共安全用户、公司客户、漫游者或托管移动虚拟网络运营商(MVNO))。
网络切片由S-NSSAI(单个网络切片选择辅助信息)来标识。在一个示例5G标准实现中,S-NSSAI包括切片/服务类型(SST)(8位),以及切片区分器(SD)和可选信息(24位)。如本文中进一步描述的,根据一些实施例,为了在5G网络中应用安全性,可以监控和提取网络切片信息。
在一些实施例中,通过解析HTTP/2消息以提取网络切片信息,使用位于5G移动网络中的安全平台来执行基于网络切片的安全性。在一个示例实现中,如在3GPP TS 29.500V15.1.0中所规定的,在基于服务的接口中使用HTTP/2。基于5G网络中的安全平台部署拓扑,可以从如下两个服务操作控制消息中提取网络切片信息:
(1)Nsmf_PDU会话_创建SM上下文请求(Nsmf_PDUSession_CreateSMContextRequest):它被用在如3GPP TS 29.502 V15.3.0中定义的创建SM上下文服务操作中,以在SMF中或在HR漫游场景的V-SMF中针对给定的PDU会话创建单独的SM上下文。
(2)Nsmf_PDU会话_创建请求(Nsmf_PDUSession_Create Request):它被用在如3GPP TS 29.502 V15.3.0中定义的创建服务操作中,以在HR漫游场景的H-SMF中创建单独的PDU会话。
具体而言,Nsmf_PDU会话_创建SM上下文请求在以下过程中使用:
(1)在非漫游中以及在具有3GPP TS 23.502 V15.3.0中的子条款4.3.2中定义的本地疏导情况的漫游中,UE请求的PDU会话建立过程。如在下面参考图2A进一步描述的,从AMF向SMF发送NSmf_PDU会话_创建SM上下文请求。
图2A是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游的UE请求的PDU会话建立的示例流程。参考图2A,从AMF 206发送到SMF 210的第一消息是如202处所示的Nsmf_PDU会话_创建SM上下文请求消息。在3GPP TS 29.502 V15.3.0中定义的创建SM上下文服务操作中,使用Nsmf_PDU会话_创建SM上下文请求消息以在SMF中或在HR漫游场景的V-SMF中针对给定的PDU会话创建单独的SM上下文。作为响应,如204处所示,从SMF 210向AMF 206发送Nsmf_PDU会话_创建SM上下文响应(Nsmf_PDUSession_CreateSMContextResponse)消息。
图2B是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游的UE请求的PDU会话建立和修改/更新的示例流程。参考图2B,如212处所示,从AMF 206向SMF 210发送Nsmf_PDU会话_更新SM上下文请求(Nsmf_PDUSession_UpdateSMContext Request)消息。作为响应,如214处所示,从AMF 206向SMF 210发送Nsmf_PDU会话_更新SM上下文响应(Nsmf_PDUSession_UpdateSMContext Response)消息。
图2C是根据一些实施例的在5G网络中使用N26接口从EPS到5GS空闲模式的移动或切换的示例流程。例如,在3GPP TS 23.502 V15.2.0的子条款4.11中定义了使用N26接口从EPS到5GS空闲模式的移动或切换的情况。从V-SMF向H-SMF发送Nsmf_PDU会话_创建请求。从AMF向SMF+PGW-C发送Nsmf_PDU会话_创建SM上下文请求。在归属路由场景的情况下,从AMF向V-SMF发送Nsmf_PDU会话_创建SM上下文请求。参考图2C,从MME 220发送到SMF+PGW-C222的第一消息是如224处所示的NSmf_PDU会话_创建SM上下文请求消息。作为响应,如226处所示,从SMF+PGW-C 222向MME 220发送Nsmf_PDU会话_创建SM上下文响应消息。
图2D是根据一些实施例的在5G网络中在不使用N26接口的情况下从EPS到5GS的移动过程的示例流程。例如,在3GPP TS 23.502 V15.2.0中的子条款4.11.2.3中定义的在没有N26接口的情况下从EPS到5GS的移动。从V-SMF向H-SMF发送Nsmf_PDU会话_创建请求。从新的AMF 230向SMF+PGW-C 232发送Nsmf_PDU会话_创建SM上下文请求。参考图2D,如234处所示,在UE请求的PDU会话建立过程期间,交换Nsmf_PDU会话_创建SM上下文请求消息。
图2E是根据一些实施例的在5G网络中PDU会话在3GPP接入和非3GPP接入之间的切换的示例流程,其中目标AMF不知道由源AMF使用的SM上下文的SMF资源标识符。一个示例是在5G网络中PDU会话在3GPP接入和非3GPP接入之间的切换,其中诸如当目标AMF不在如3GPPTS 23.502 V15.2.0中的子条款4.9.2.3.2所定义的N3IWF的PLMN中时,目标AMF不知道由源AMF使用的SM上下文的SMF资源标识符。从AMF 236向V-SMF 238发送Nsmf_PDU会话_创建SM上下文请求。参考图2E,如240处所示,在UE请求的UE会话建立过程期间,交换Nsmf_PDU会话_创建SM上下文请求消息。
图2F是根据一些实施例的在5G网络中将PDU会话从3GPP接入切换到利用HPLMN(归属路由漫游)中的N3IWF的不信任的非3GPP接入的示例流程。例如,该示例解决了当UE正在漫游并且所选择的N3IWF在如3GPP TS 23.502的子条款4.9.2.4.2中所定义的HPLMN中时的用例场景。从V-SMF向H-SMF发送Nsmf_PDU会话_创建请求。从AMF 242向H-SMF 244发送Nsmf_PDU会话_创建SM上下文请求。参考图2F,如246处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_创建SM上下文请求消息。
图2G是根据一些实施例的在5G网络中从EPS到5GC-N3IWF的切换的示例流程。例如,该示例解决了如在3GPP TS 23.502的子条款4.11.3.1中定义的从EPS到5GC-N3IWF的切换的用例场景。从AMF 248向PGW+SMF/UPF 250发送Nsmf_PDU会话_ 创建SM上下文请求。参考图2G,如252处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_ 创建SM上下文请求消息。
图2H是根据一些实施例的在5G网络中从EPC/ePDG到5GS的切换的示例流程。例如,该示例解决了如3GPP TS 23.502的子条款4.11.4.1中所定义的从EPC/ePDG到5GS的切换的用例场景。从AMF 254向PGW+SMF/UPF发送Nsmf_PDU会话_创建SM上下文请求。参考图2H,如258处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_创建SM上下文请求消息。
图2I是根据一些实施例的在5G网络中针对归属路由漫游场景的UE请求的PDU会话建立的示例流程。例如,该示例解决了如在3GPP TS 23.502的子条款4.3.2.2.2中定义的UE请求的PDU会话建立的用例场景。从V-SMF 260向H-SMF 262发送Nsmf_PDU会话_创建请求。参考图2I,如264处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_创建请求消息。
图2J是根据一些实施例的针对5G网络中的归属路由漫游场景的UE请求的PDU会话建立和修改/更新的示例流程。参考图2J,如图2J所示,在如图2J所示的PDU会话建立过程期间,在AMF 266和SMF 268之间交换Nsmf_PDU会话_更新SM上下文请求(Nsmf_PDUSession_UpdateSMContextRequest)消息,如270所示。
在一个实施例中,安全平台监控这些消息,例如上面参考图2A-2J所描述的,以基于安全策略提取包括在这些消息中的网络切片相关信息和/或其它参数/信息,例如这里所描述的(例如,使用位于5G核心网络中的各种实体之间的直通防火墙/NGFW或者使用实现为在5G核心网络中的各种实体上执行的虚拟机实例或代理的防火墙/NGFW来监控Nsmf_PDU会话_创建SM上下文请求和/或其它消息)。例如,安全平台可以监控这些消息,并提取Nsmf_PDU会话_创建SM上下文请求消息和/或其它消息,以获得网络切片信息(例如,S-NSSAI,其包括切片/服务类型(SST)、8位和切片区分器(SD)、以及可选信息(24位),如下面进一步描述的。
在一个实施例中,所公开的技术执行对在服务提供商网络中的诸如HTTP/2流量之类的信令/控制流量的检查,以及对在服务提供商网络中的诸如GTP-U流量之类的隧道用户流量(例如,包括在RAN和UPF之间的N3 GTP-U隧道,或者在UPF之间的N9 GTP-U隧道)的检查(例如,使用安全平台,诸如使用能够执行DPI以识别APP ID、用户ID、内容ID、执行URL过滤的NGFW来实现,和/或使用用于安全性/威胁检测/防御的其它防火墙/安全策略来实现)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量的检查,诸如执行对HTTP/2流量的检查,以提取在HTTP/2流量中交换的信息(例如,参数,诸如网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息,诸如下面进一步描述的)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量的检查,诸如执行对HTTP/2流量的检查,以提取在HTTP/2流量中交换的信息(例如,参数,诸如上面描述的和下面进一步描述的)以及监控服务提供商网络中的隧道用户流量(例如,使用DPI,诸如上面描述的和下面进一步描述的),以用于在基于所述提取的信息和/或结合DPI应用安全策略中使用,诸如下面进一步描述的。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其它DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其它技术。
5G网络中根据数据网络名称的基于服务的安全性
根据一些实施例,还公开了用于根据数据网络名称的基于服务的安全性的技术。在5G网络中,数据网络名称(DNN)通常等同于接入点名称(APN)(例如,APN指的是PGW/GGSN,并且它标识接入到另一个网络(诸如互联网)的形式,并且由两部分组成:(1) APN网络标识符(必填);和(2)如TS 23.003 V15.3.0中定义的APN运营商标识符(可选)。这两个标识符具有等同的含义并携带相同的信息。例如,DNN可以被用于:(1)为PDU会话选择SMF和(一个或多个)UPF;(2)为PDU会话选择到数据网络的接口(N6);和/或(3)确定应用于该PDU会话的策略。
在一些实施例中,通过解析HTTP/2消息以提取DNN信息,使用5G网络中的安全平台来应用根据数据网络名称(DNN)的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两个服务操作控制消息中提取网络切片信息:(1)Nsmf_PDU会话_创建SMC上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其它DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其它技术。
5G网络中根据订阅永久标识符的基于服务的安全性
根据一些实施例,还公开了用于根据订阅永久标识符的基于服务的安全性的技术。在5G网络中,订阅永久标识符(SUPI)是分配给5G***中每个订户的全球唯一的5G订阅标识符。它仅在3GPP***内部,并在3GPP TS 23.501 V15.3.0的子条款5.9.2中定义。
例如,SUPI可以包括以下内容:(1)如在3GPP TS 23.003 V15.3.0中所定义的IMSI(例如,IMSI是分配给GSM/UMTS/EPS***中每个移动订户的唯一的15位数字);以及(2)网络特定标识符(例如,NAI是在网络接入认证期间由客户端提交的用户身份。在漫游中,NAI的目的是标识用户以及协助认证请求的路由),用于如在3GPP TS 23.003 V15.3.0中定义的专用网络。
在一些实施例中,根据订阅永久标识符的基于服务的安全性(SUPI)是使用5G网络中的安全平台通过解析HTTP/2消息以提取SUPI信息来应用的。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两个服务操作控制消息中提取网络切片信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其它DPI和/或NGFW技术)在服务提供商的5G网络中提供增强的安全性的这些和其它技术。
5G网络中根据永久设备标识符的基于服务的安全性
根据一些实施例,还公开了用于根据永久设备标识符的基于服务的安全性的技术。在5G网络中,永久设备标识符(PEI)是针对接入5G***的3GPP UE定义的。对于不同的UE类型和用例,PEI可以采用不同的格式。
例如,如果UE支持至少一种3GPP接入技术,则该UE必须被分配以IMEI格式的PEI(例如,IMEI是分配给每个移动站设备的唯一的15或16位数字)。如根据最新发布的标准,PEI参数仅有的支持的格式是IMEI和IMEISV,如在TS 23.003 V15.3.0中所定义的。
在一些实施例中,使用5G网络中的安全平台通过解析HTTP/2消息以提取PEI信息,来应用根据永久设备标识符(PEI)的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两个服务操作控制消息中提取PEI信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其它DPI和/或NGFW技术)在服务提供商的5G网络中提供增强的安全性的这些和其它技术。
5G网络中根据通用公共订阅标识符的基于服务的安全性
根据一些实施例,还公开了用于根据通用公共订阅标识符的基于服务的安全性的技术。通常,通用公共订阅标识符(GPSI)是在3GPP***内部和外部这两者中均使用的公共标识符。
例如,GPSI用于在3GPP***之外的不同数据网络中寻址3GPP订阅。具体来说,GPSI是一个MSISDN(例如,MS国际ISDN号码是根据ITU-T建议E.164编号计划分配的,该编号计划包括移动台注册所在国家的国家码(CC),随后是:国内(有效)移动号码,包括国内目的地码(NDC)和订户号码(SN))或外部标识符,如3GPP TS 23.003 V15.3.0中所规定的。
在一些实施例中,使用5G网络中的安全平台通过解析HTTP/2消息以提取GPSI信息来应用根据通用公共订阅标识符(GPSI)的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两种服务操作控制消息中提取GPSI信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其它DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其它技术。
5G网络中根据用户位置的基于服务的安全性
根据一些实施例,还公开了根据用户位置的基于服务的安全性的技术。
在一些实施例中,使用5G网络中的安全平台通过解析HTTP/2消息以提取用户位置信息来应用根据用户位置的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两种服务操作控制消息中提取用户位置信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用标识、用户标识、内容标识、网址过滤等其它DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其它技术。
5G网络中的N4会话建立过程
图2K是根据一些实施例的在5G网络中在5G用户平面功能(UPF)和5G核心控制/信令会话管理功能(SMF)之间的N4接口上的协议数据单元(PDU)会话建立的示例流程。参考图2K,如272处所示,SMF 282接收用以建立新的PDU会话或改变/重新定位用于所建立的PDU会话的UPF 280的触发。在274处,SMF 282向UPF 280发送N4会话建立请求消息。在276处,UPF280利用N4会话建立响应消息进行响应。SMF 282与触发该过程的网络功能(例如,接入和移动管理功能(AMF)或策略控制功能(PCF))进行交互。下面还参照图9进一步描述会话建立请求和会话建立响应消息的信息元素和格式。
5G网络中的多接入分布式边缘安全性
在一个实施例中,安全平台监控诸如在上面参考图2K所描述的这些N4会话建立相关消息,以诸如本文中所描述的那样基于安全策略提取被包括在这些消息中的各种信息和/或其它参数/信息(例如,使用位于5G核心网络中各种实体之间的直通防火墙/NGFW,或者使用被实现为在5G核心网络中各种实体上执行的VM实例或代理的防火墙/NGFW,来监控N4会话建立请求/响应消息和/或其它消息)。例如,安全平台可以监控这些消息,并提取监控N4会话建立请求和监控N4会话建立响应消息和/或其它消息,以获得各种信息和/或其它参数/信息,如下面进一步描述的。
在一个实施例中,所公开的技术执行对服务提供商网络中的诸如N4会话建立相关流量之类的信令/控制流量的检查,以及对服务提供商网络中的所监控的通道用户流量(例如,包括RAN和UPF之间的N3 GTP-U隧道)和所监控的PFCP会话(例如,在N4接口上,包括UPF和SMF之间或UPF和另外的UPF之间)之间的相关性的检查,诸如对GTP-U流量的检查(例如,使用安全平台,诸如使用能够执行DPI以标识APP ID、用户ID、内容ID、执行URL过滤和/或用于安全性/威胁检测/防御的其它防火墙/安全策略的NGFW来实现)。在一个实施例中,所公开的技术执行对服务提供商网络中的的信令/控制流量的检查,诸如对N4会话建立相关流量(例如,包括PFCP会话)的检查,以提取在N4会话建立相关流量中交换的信息(例如,参数,诸如国际移动订阅标识(IMSI)、国际移动设备标识符(IMEI)、移动订户ISDN(MSISDN)、和/或网络接入标识符(NAI)相关信息,诸如下面进一步描述的),以用于提供根据IMSI、IMEI、MSISDN和/或NAI的基于服务的安全性(例如,使用由可以应用的安全平台实现的安全策略来执行),以在5G网络中的多接入分布式边缘位置处提供增强的安全性。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量的检查,诸如对N4会话建立相关流量(例如,包括PFCP会话)的检查,以提取在N4会话建立相关流量中交换的信息(例如,参数,诸如在上面描述的和在下面进一步描述的)以及监控服务提供商网络中的隧道用户流量(例如,使用DPI,诸如在上面描述的和在下面进一步描述的),从而用于基于所述提取的信息和/或结合DPI来应用安全策略,以用于促进针对5G移动/服务提供商网络环境的多接入分布式边缘安全性,诸如在下面进一步描述的。
将在下面进一步描述用于在服务提供商的5G网络中基于IMSI、IMEI、MSISDN和/或NAI(例如,和/或结合其它DPI和/或NGFW技术,诸如应用ID、用户ID、内容ID、URL过滤等)提供多接入分布式边缘安全性的这些和其它技术。
针对服务提供商的5G网络的增强安全性的示例用例
所公开的用于使用用于安全策略实施的安全平台为5G移动/服务提供商网络提供增强的安全性的技术可以被应用在各种附加的示例用例场景中,以用于促进5G移动/服务提供商网络环境的增强的、更灵活的和动态的安全性。将在下面进一步描述附加的示例用例场景。
作为第一示例用例场景,假设移动和融合网络运营商向IoT/M2M客户提供包括窄带IoT和LTE-M在内的无线IoT技术(例如,CIoT设备),所述IoT/M2M客户诸如公用设施(例如,燃气、水、电等)、水表管理公司、车队跟踪公司和/或其它类型的客户。大多数CIoT设备不具有提供安全功能的计算能力和资源,并且典型地没有被安全地编码。因此,这为移动和融合网络运营商创建了向这些客户提供基于网络的安全服务的机会,所述基于网络的安全服务可以使用所公开的技术来提供,所公开的技术使用用于安全策略实施的安全平台(例如,使用如本文中所述的N3和接口上的检查和安全能力)来用于在移动/服务提供商网络中的CIoT的增强的安全性。
作为第二示例用例场景,假设移动和融合网络运营商向IoT/M2M客户提供包括窄带IoT和LTE-M在内的无线IoT技术(例如,CIoT设备),所述IoT/M2M客户诸如公用设施(例如,燃气、水、电等)、水表管理公司、车队跟踪公司和/或其它类型的客户。大多数CIoT设备不具有提供安全功能的计算能力和资源,并且典型地没有被安全地编码。因此,这可能导致CIoT设备对其所连接的移动网络(例如,以及MEC***)发起攻击。如本文中类似地描述的,可以执行所公开的用于使用用于安全策略实施的安全平台来用于移动/服务提供商网络中CIoT的增强的安全性的技术,以保护移动网络的关键网络元件免受CIoT设备的攻击,所述用于安全策略实施的安全平台包括S11-U接口上的检查和安全能力。
IoT威胁的示例
示例智能家居漏洞包括Belkin Wemo UPnP远程命令执行漏洞。示例路由器漏洞包括以下漏洞:(1)Quanta LTE路由器RCE漏洞;(2) Netgear ProSAFE远程命令执行漏洞;(3)ZTE ZXV10路由器命令执行漏洞;(4)Netgear Firmadyne命令注入漏洞;(5)SierraWireless未经认证的命令注入漏洞;和(6) D-Link路由器远程命令执行漏洞。相机漏洞,包括Beward IP相机远程命令执行漏洞和Axis相机远程命令执行漏洞。可以执行用于在服务提供商网络中应用基于DNN、IMEI和/或应用ID的安全实施的上述技术来响应这样的示例路由器漏洞。作为示例,对于一个DNN,移动运营商可以针对所有路由器相关的远程代码执行漏洞定义动作块(例如,以丢弃和记录)。对于另一个DNN,移动运营商可以选择针对所有路由器相关的远程代码执行漏洞定义动作警报(例如,以允许和记录)。作为另一个示例,对于一个类型分配码(TAC)(TAC是用于标识设备制造商和型号的IMEI的前8位数字,所述设备包括例如IoT设备、移动电话、平板设备、可穿戴设备、调制解调器、WLAN路由器),移动运营商可以针对所有路由器相关的远程代码执行漏洞定义动作块(例如,以丢弃和记录)。对于另一组IMEI,移动运营商可以选择针对所有路由器相关的远程代码执行漏洞定义动作警报(例如,以允许和记录)。
Mirai(恶意软件)僵尸网络攻击是僵尸网络攻击的一个示例,其主要瞄准在线消费设备,诸如IP相机和家庭路由器。作为一个DNN的示例,移动运营商可以使用反间谍软件签名威胁ID:13999和13974 https://threatvault.paloaltonetworks.com/针对所有Mirai命令和控制流量定义动作块(例如,以丢弃和记录)。对于另一个APN,移动运营商可以选择针对所有Mirai命令和控制流量定义动作警报(例如,以允许和记录)。作为由前缀或范围定义的一个IMSI组的另一个示例,移动运营商可以使用反间谍软件签名威胁ID:13999和13974 https://threatvault.paloaltonetworks.com/针对所有Mirai命令和控制流量定义动作块(例如,以丢弃和记录)。对于由前缀或范围定义的另一个IMSI组,移动运营商可以选择针对所有Mirai命令和控制流量定义动作警报(例如,以允许和记录)。
鉴于所公开的实施例,现在应当显而易见的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、CIoT设备实体和/或其它设备制造商)和/或***集成商可以指定这样的安全策略,所述安全策略可以由安全平台使用所公开的技术来实施,以解决这些和其它技术网络安全挑战,包括用于为5G移动/服务提供商网络环境提供多接入分布式边缘安全性的技术网络安全挑战。
用于为服务提供商的5G移动网络执行增强的安全性的网络设备的示例硬件组件
图3是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的硬件组件的功能图。所示出的示例是可以被包括在网络设备300(例如,可以实现本文中公开的安全平台的装置、网关或服务器)中的物理/硬件组件的表示。具体地,网络设备300包括高性能多核CPU 302和RAM 304。网络设备300还包括存储器装置310(例如,一个或多个硬盘或固态存储单元),其可用于存储策略和其它配置信息以及签名。在一个实施例中,存储装置310存储IMSI、IMEI、MSISDN、NAI、网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和/或用户位置信息,以及相关联的IP地址和可能的其它信息(例如,应用ID、内容ID、用户ID、URL和/或其它信息),所述信息被监控以用于使用安全平台/防火墙设备来实现所公开的安全策略实施技术。网络设备300还可以包括一个或多个可选的硬件加速器。例如,网络设备300可以包括被配置为执行加密和解密操作的密码引擎306,以及被配置为执行签名匹配、充当网络处理器和/或执行其它任务的一个或多个FPGA 308。
用于为服务提供商的5G移动网络执行增强的安全性的网络设备的示例逻辑组件
图4是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的逻辑组件的功能图。所示出的示例是可以被包括在网络设备400(例如,可以实现所公开的安全平台并执行所公开的技术的数据装置)中的逻辑组件的表示。如所示出的,网络设备400包括管理平面402和数据平面404。在一个实施例中,管理平面负责诸如通过提供用于配置策略和查看日志数据的用户界面来管理用户交互。数据平面负责诸如通过执行分组处理和会话处置来管理数据。
假设移动设备试图使用加密会话协议(诸如,SSL)来访问资源(例如,远程网站/服务器、诸如CIoT设备之类的IoT设备或另外的资源)。网络处理器406被配置为监控来自移动设备的分组,并将分组提供给数据平面404以用于进行处理。流408将分组标识为新的会话的一部分,并创建新的会话流。基于流查找,后续分组将被标识为属于该会话。如果适用,则SSL解密由SSL解密引擎410使用本文中描述的各种技术来应用。否则,省略由SSL解密引擎410进行的处理。应用标识(APP ID)模块412被配置为确定会话涉及什么类型的流量,并标识与该流量相关联的用户(例如,以标识如本文中所述的应用ID)。例如,APP ID 412可以识别接收到的数据中的GET(获取)请求,并推断出会话需要HTTP解码器414。作为另一个示例,APP ID 412可以识别GTP-U消息(例如,N4会话建立请求/响应消息,诸如上面关于图2K所描述的,并且推断出会话需要GTP解码器)(例如,以提取在包括各种参数的N4会话建立相关消息中交换的信息,所述参数诸如国际移动订阅标识(IMSI)、国际移动设备标识符(IMEI)、移动订户ISDN(MSISDN)和/或网络接入标识符(NAI)相关信息,诸如在上面关于图2K所描述的),并且推断出会话需要GTP解码器。对于每种类型的协议,存在对应的解码器414。在一个实施例中,应用标识由应用标识模块(例如,APP ID组件/引擎)执行,用户标识由另外的组件/引擎执行。基于APP ID 412做出的确定,分组被发送到适当的解码器414。解码器414被配置为将分组(例如,可能无序地接收的分组)组装成正确的顺序,执行令牌化,并提取出信息(诸如,如上所述,以提取在N4会话建立相关消息中交换的各种信息,如在上面类似地描述的以及在下面参考图9进一步描述的)。解码器414还执行签名匹配以确定分组应该发生什么。SSL加密引擎416使用如本文中所述的各种技术来执行SSL加密,并且然后使用如所示出的转发组件418来转发分组。如还示出的,策略420被接收并存储在管理平面402中。在一个实施例中,策略实施(例如,策略可以包括一个或多个规则,其可以使用域名和/或主机/服务器名称来指定,并且所述规则可以应用一个或多个签名或其它匹配准则或试探法,诸如以用于服务提供商网络上的订户/IP流的安全策略实施,所述安全策略实施如本文中所公开的基于从受监控的GTP-U流量的受监控的HTTP/2消息和/或DPI中提取的各种参数/信息)如本文中关于基于受监控的、解密的、标识的和解码的会话流量的各种实施例所描述的那样被应用。
如图4中还示出的,还提供了接口(I/F)通信器422以用于安全平台管理器通信(例如,经由(REST) API、消息、或网络协议通信或其它通信机制)。在一些情况下,使用网络设备400监控服务提供商网络上的其它网络元件的网络通信,并且数据平面404支持对这样的通信的解码(例如,网络设备400,包括I/F通信器422和解码器414,可以被配置为监控例如基于服务的接口(诸如Nsmf、Nnef)和参考点接口(诸如N3、N4、N9)和/或其中存在有线和无线网络流量的其它接口,和/或在所述接口上通信,如本文中类似地描述的)。照此,包括I/F通信器422的网络设备400可以用于实现所公开的用于在移动/服务提供商网络环境上的安全策略实施的技术,如在上面描述并且将在下面进一步描述的。
现在将描述所公开的用于在移动/服务提供商网络环境中为CIoT执行增强的安全性的技术的附加示例处理。
用于服务提供商5G网络的增强的安全性的示例处理
图5是根据一些实施例的用于为服务提供商的5G网络执行增强的安全性的处理的流程图。在一些实施例中,如图5中所示的处理500由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理500由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于502。在502处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在504处,执行在安全平台处提取与新的会话相关联的用户流量的网络切片信息。例如,安全平台可以解析HTTP/2消息以使用如上所述的基于DPI的防火墙技术来提取网络切片信息,其中网络切片由单个网络切片选择辅助信息(S-NSSAI)进行标识。
在506处,执行基于网络切片信息来确定要在安全平台应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其它基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在508处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其它实施动作)可以使用如在上面类似地描述的安全平台来执行。
图6是根据一些实施例的用于为服务提供商的5 G网络执行增强的安全性的处理的另一流程图。在一些实施例中,如图6中示出的处理600由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理600由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于602。在602处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在604处,执行在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息。例如,安全平台可以解析HTTP/2消息以使用如在上面类似地描述的基于DPI的防火墙技术来提取订阅和/或设备标识符信息,其中订阅和/或设备标识符信息由订阅永久标识符(SUPI)、通用公共订阅标识符(GPSI)和/或永久设备标识符(PEI)进行标识。
在606处,执行基于订阅和/或设备标识符信息来确定要在安全平台处应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其它基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在608处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其它实施动作)可以使用如在上面类似地描述的安全平台来执行。
图7是根据一些实施例的用于为服务提供商的5G网络执行增强的安全性的处理的另一流程图。在一些实施例中,如图7中示出的处理700由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理700由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于702。在702处,执行在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在704处,执行在安全平台处提取与新的会话相关联的用户流量的网络名称信息。例如,安全平台可以解析HTTP/2消息以使用如在上面类似地描述的基于DPI的防火墙技术来提取网络名称信息,其中网络名称信息由数据网络名称(DNN)进行标识。
在706处,执行基于网络名称信息来确定在安全平台处应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其它基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在708处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其它实施动作)可以使用如在上面类似地描述的安全平台来执行。
图8是根据一些实施例的用于为服务提供商的5G网络执行增强的安全性的处理的另一流程图。在一些实施例中,如图8中所示的处理800由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理800由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于802。在802处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在804处,执行在安全平台处提取与新的会话相关联的用户流量的用户位置信息。例如,安全平台可以解析HTTP/2消息以使用如在上面类似地描述的基于DPI的防火墙技术来提取用户位置信息,其中用户位置信息由Eutra位置(例如,跟踪区域标识(TAI)和ECGI(EUTRA小区标识))和/或NR位置(例如,跟踪区域标识(TAI)和NR小区标识(NCGI))进行标识。
在806处,执行基于用户位置信息确定要在安全平台处应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其它基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在808处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其它实施动作)可以使用如在上面类似地描述的安全平台来执行。
鉴于所公开的实施例,现在应当显而易见的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、IoT设备实体和/或其它设备制造商)和/或***集成商可以指定这样的安全策略,所述安全策略可以由安全平台使用所公开的技术来实施,以解决包括5G网络在内的移动网络上的这些和其它技术网络安全挑战。
现在将描述所公开的为服务提供商的5G移动网络执行多接入分布式边缘安全性的技术的附加示例处理。
为服务提供商的5G移动网络多接入分布式边缘安全性的示例处理
图9是根据一些实施例的用于为服务提供商的5G网络执行多接入分布式边缘安全性的分组转发控制协议(PFCP)会话建立请求分组捕获(pcap)的快照的屏幕截图。参考图9,在902处示出了PFCP会话建立请求的pcap。如3GPP TS 29.244 V15.3中所规定的(例如,参见第7.5.2节),PFCP会话建立请求将由控制平面(CP)功能通过Sxa、Sxb、Sxc和N4接口发送,以在用户平面(UP)功能中建立新的PFCP会话上下文。如3GPP TS 29.244 V15.3中所规定的(例如,参见第7.5.3节),PFCP会话建立响应将由UP功能通过Sxa、Sxb、Sxc和N4接口发送给CP功能,作为对PFCP会话建立请求的回复。在3GPP TS 29.244 V15.3中规定了会话建立请求和会话建立响应消息的信息元素和格式(例如,参见第7.5.2节“PFCP会话建立请求”消息细节的包括信息元素的细节,以及参见第7.5.3节“PFCP会话建立响应”消息细节的包括信息元素的细节)。
图10是根据一些实施例的用于为服务提供商的5G网络执行多接入分布式边缘安全性的处理的流程图。在一些实施例中,如图10中所示的处理1000由如在上面类似地描述的包括在上面关于图1A-5和9所述的实施例的安全平台和技术来执行。在一个实施例中,处理1000由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于1002。在1002处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U流量,如在上面类似地描述的。
在1004处,执行在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息。例如,安全平台可以解析分组转发控制协议(PFCP)会话建立请求和PFCP会话建立响应消息,以使用如在上面类似地描述的基于DPI的防火墙技术来提取订阅和/或设备标识符信息(例如,订阅和/或设备标识符信息由国际移动订阅标识(IMSI)、国际移动设备标识符(IMEI)和/或移动订户ISDN(MSISDN)相关信息来标识)。
在1006处,执行基于订阅和/或设备标识符信息来确定要在安全平台处应用于新的会话的安全策略。例如,可以基于国际移动订阅标识(IMSI)、国际移动设备标识符(IMEI)和/或移动订户ISDN(MSISDN)相关信息的各种组合来确定和/或实施安全策略,例如在上面类似地描述的(例如,和/或结合其它基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤、网络接入标识符(NAI)等)。
在1008处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其它实施动作)可以使用如在上面类似地描述的安全平台来执行。
图11是根据一些实施例的用于为服务提供商的5G网络执行多接入分布式边缘安全性的处理的另一流程图。在一些实施例中,如图11中所示的处理1100由如在上面类似地描述的包括在上面关于图1A-5和9所述的实施例的安全平台和技术来执行。在一个实施例中,处理1100由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于1102。在1102处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U流量,如在上面类似地描述的。
在1104处,执行在安全平台处提取与新的会话相关联的用户流量的网络接入标识符信息。例如,安全平台可以解析分组转发控制协议(PFCP)会话建立请求和PFCP会话建立响应消息,以使用如在上面类似地描述的基于DPI的防火墙技术来提取网络接入标识符(NAI)相关信息,其中NAI与客户端在网络接入认证期间提交的用户标识相关联。
在1106处,执行基于网络接入标识符信息来确定要在安全平台处应用于新的会话的安全策略。例如,可以基于网络接入标识符(NAI)以及其它信息的各种组合来确定和/或实施安全策略,所述信息可以从这样的PFCP会话建立请求/响应消息中提取,包括国际移动订阅标识(IMSI)、国际移动设备标识符(IMEI)和/或移动订户ISDN(MSISDN)相关信息,诸如在上面类似地描述的(例如,和/或结合其它基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在1108处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其它实施动作)可以使用如在上面类似地描述的安全平台来执行。
鉴于所公开的实施例,现在应当显而易见的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、IoT设备实体和/或其它设备制造商)和/或***集成商可以指定这样的安全策略,所述安全策略可以由安全平台使用所公开的技术来实施,以解决用于在包括5G网络的移动网络上提供多接入分布式边缘安全性的这些和其它技术网络安全挑战。
尽管为了清楚理解的目的,已经以一些细节描述了前述实施例,但是本发明不限于所提供的细节。存在许多实现本发明的替代方式。所公开的实施例是说明性的而非限制性的。
Claims (21)
1.一种用于在移动网络中提供增强的安全性的***,包括:
处理器,被配置为:
在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中所述安全平台监控包括用于5G网络的移动核心网络中的控制协议和用户数据流量的多个接口的无线接口,以向5G网络提供多接入分布式边缘安全性,并且其中所述服务提供商网络包括5G网络或融合的5G网络;
在安全平台处提取与新的会话相关联的用户流量的订阅和设备标识符信息,其中所述订阅和设备标识符信息由订阅永久标识符SUPI和通用公共订阅标识符GPSI,或者订阅永久标识符SUPI和永久设备标识符PEI来标识;
基于所述订阅和设备标识符信息,确定要在安全平台处应用于新的会话的安全策略,其中安全策略是至少部分地基于GPSI和PEI之一与SUPI的组合实施的;和
基于所述安全策略阻止新的会话访问资源;
以及
存储器,被耦合到所述处理器并被配置为向所述处理器提供指令。
2.根据权利要求1所述的***,其中
所述订阅和设备标识符信息进一步由国际移动订阅标识IMSI、国际移动设备标识符IMEI和/或移动订户ISDN即MSISDN相关信息来标识。
3.根据权利要求1所述的***,其中所述安全平台解析分组转发控制协议PFCP会话建立请求和PFCP会话建立响应消息,以提取订阅和设备标识符信息,并且其中所述订阅和设备标识符信息进一步由国际移动订阅标识IMSI、国际移动设备标识符IMEI和/或移动订户ISDN即MSISDN相关信息来标识。
4.根据权利要求1所述的***,其中所述处理器进一步被配置为:
在所述安全平台处提取与新的会话相关联的用户流量的网络切片信息;和
基于所述网络切片信息确定要在安全平台处应用于新的会话的安全策略。
5.根据权利要求1所述的***,其中对网络流量的监控包括:
标识网络流量中的数据类型SM上下文创建数据和/或数据类型PDU会话创建数据。
6.根据权利要求1所述的***,其中对所述订阅和设备标识符信息的提取包括:
从数据类型SM上下文创建数据和/或数据类型PDU会话创建数据中提取订阅和设备标识符信息。
7.一种用于在移动网络中提供增强的安全性的方法,包括:
在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中所述安全平台监控包括用于5G网络的移动核心网络中的控制协议和用户数据流量的多个接口的无线接口,以向5G网络提供多接入分布式边缘安全性,并且其中所述服务提供商网络包括5G网络或融合的5G网络;
在安全平台处提取与新的会话相关联的用户流量的订阅和设备标识符信息,其中所述订阅和设备标识符信息由订阅永久标识符SUPI和通用公共订阅标识符GPSI,或者订阅永久标识符SUPI和永久设备标识符PEI来标识;
基于所述订阅和设备标识符信息,确定要在安全平台处应用于新的会话的安全策略,其中安全策略是至少部分地基于GPSI和PEI之一与SUPI的组合实施的;和
基于所述安全策略阻止新的会话访问资源。
8.根据权利要求7所述的方法,
其中所述订阅和设备标识符信息进一步由国际移动订阅标识IMSI、国际移动设备标识符IMEI和/或移动订户ISDN即MSISDN相关信息来标识。
9.根据权利要求7所述的方法,其中所述安全平台解析分组转发控制协议PFCP会话建立请求和PFCP会话建立响应消息,以提取订阅和设备标识符信息,并且其中所述订阅和设备标识符信息进一步由国际移动订阅标识IMSI、国际移动设备标识符IMEI和/或移动订户ISDN即MSISDN相关信息来标识。
10.根据权利要求7所述的方法,其中对网络流量的监控包括:
标识网络流量中的数据类型SM上下文创建数据和/或数据类型PDU会话创建数据。
11.根据权利要求7所述的方法,其中对所述订阅和设备标识符信息的提取包括:
从数据类型SM上下文创建数据和/或数据类型PDU会话创建数据中提取订阅和设备标识符信息。
12.根据权利要求7所述的方法,进一步包括:
在所述安全平台处提取与新的会话相关联的用户流量的网络切片信息;和
基于所述网络切片信息确定要在安全平台处应用于新的会话的安全策略。
13.一种有形的计算机可读存储介质,包括用于以下内容的计算机指令:
在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中所述安全平台监控包括用于5G网络的移动核心网络中的控制协议和用户数据流量的多个接口的无线接口,以向5G网络提供多接入分布式边缘安全性,并且其中所述服务提供商网络包括5G网络或融合的5G网络;
在所述安全平台处提取与新的会话相关联的用户流量的订阅和设备标识符信息,其中所述订阅和设备标识符信息由订阅永久标识符SUPI和通用公共订阅标识符GPSI,或者订阅永久标识符SUPI和永久设备标识符PEI来标识;
基于所述订阅和设备标识符信息,确定要在安全平台处应用于新的会话的安全策略,其中安全策略是至少部分地基于GPSI和PEI之一与SUPI的组合实施的;以及
基于所述安全策略阻止新的会话访问资源。
14.根据权利要求13所述计算机可读存储介质,其中所述订阅和设备标识符信息进一步由国际移动订阅标识IMSI、国际移动设备标识符IMEI和/或移动订户ISDN即MSISDN相关信息来标识。
15.根据权利要求13所述的计算机可读存储介质,其中所述安全平台解析分组转发控制协议PFCP会话建立请求和PFCP会话建立响应消息,以提取订阅和设备标识符信息,并且其中所述订阅和设备标识符信息进一步由国际移动订阅标识IMSI、国际移动设备标识符IMEI和/或移动订户ISDN即MSISDN相关信息来标识。
16.根据权利要求13所述的计算机可读存储介质,其中对网络流量的监控包括:
标识网络流量中的数据类型SM上下文创建数据和/或数据类型PDU会话创建数据。
17.根据权利要求13所述的计算机可读存储介质,其中对所述订阅和设备标识符信息的提取包括:
从数据类型SM上下文创建数据和/或数据类型PDU会话创建数据中提取订阅和设备标识符信息。
18.根据权利要求13所述的计算机可读存储介质,进一步包括用于以下内容的计算机指令:
在所述安全平台处提取与新的会话相关联的用户流量的网络切片信息;和
基于所述网络切片信息确定要在安全平台处应用于新的会话的安全策略。
19.一种用于在移动网络中提供增强的安全性的***,包括:
处理器,被配置为:
在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中所述安全平台监控包括用于5G网络的移动核心网络中的控制协议和用户数据流量的多个接口的无线接口,以向5G网络提供多接入分布式边缘安全性,并且其中所述服务提供商网络包括5G网络或融合的5G网络;
在所述安全平台处提取与新的会话相关联的用户流量的网络接入标识符信息,其中所述网络接入标识符信息由网络接入标识符NAI相关信息来标识,其中所述NAI与客户端在网络接入认证期间提交的用户标识相关联;
基于所述网络接入标识符信息,确定要在安全平台处应用于新的会话的安全策略,其中安全策略是至少部分地基于NAI相关信息实施的;和
基于所述安全策略阻止新的会话访问资源;
以及
存储器,被耦合到所述处理器并被配置为向所述处理器提供指令。
20.一种用于在移动网络中提供增强的安全性的方法,包括:
在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中所述安全平台监控包括用于5G网络的移动核心网络中的控制协议和用户数据流量的多个接口的无线接口,以向5G网络提供多接入分布式边缘安全性,并且其中所述服务提供商网络包括5G网络或融合的5G网络;
在所述安全平台处提取与新的会话相关联的用户流量的网络接入标识符信息,其中所述网络接入标识符信息由网络接入标识符NAI相关信息来标识,其中所述NAI与客户端在网络接入认证期间提交的用户标识相关联;
基于所述网络接入标识符信息,确定要在安全平台处应用于新的会话的安全策略,其中安全策略是至少部分地基于NAI相关信息实施的;和
基于所述安全策略阻止新的会话访问资源。
21.一种有形的计算机可读存储介质包括用于以下内容的计算机指令:
在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中所述安全平台监控包括用于5G网络的移动核心网络中的控制协议和用户数据流量的多个接口的无线接口,以向5G网络提供多接入分布式边缘安全性,并且其中所述服务提供商网络包括5G网络或融合的5G网络;
在所述安全平台处提取与新的会话相关联的用户流量的网络接入标识符信息,其中所述网络接入标识符信息由网络接入标识符NAI相关信息来标识,其中所述NAI与客户端在网络接入认证期间提交的用户标识相关联;
基于所述网络接入标识符信息,确定要在安全平台处应用于新的会话的安全策略,其中安全策略是至少部分地基于NAI相关信息实施的;和
基于所述安全策略阻止新的会话访问资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210277492.3A CN114500308B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/368,759 US10574670B1 (en) | 2018-09-27 | 2019-03-28 | Multi-access distributed edge security in mobile networks |
| US16/368759 | 2019-03-28 | ||
| CN202080001401.2A CN112020851B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
| PCT/US2020/024281 WO2020198157A1 (en) | 2019-03-28 | 2020-03-23 | Multi-access distributed edge security in mobile networks |
| CN202210277492.3A CN114500308B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080001401.2A Division CN112020851B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114500308A CN114500308A (zh) | 2022-05-13 |
| CN114500308B true CN114500308B (zh) | 2024-03-08 |
Family
ID=71409355
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210277492.3A Active CN114500308B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
| CN202080001401.2A Active CN112020851B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080001401.2A Active CN112020851B (zh) | 2019-03-28 | 2020-03-23 | 移动网络中的多接入分布式边缘安全性 |
Country Status (6)
| Country | Link |
|---|---|
| EP (2) | EP3735770B1 (zh) |
| JP (3) | JP6974622B2 (zh) |
| CN (2) | CN114500308B (zh) |
| AU (2) | AU2020204346B2 (zh) |
| CA (1) | CA3088359C (zh) |
| WO (1) | WO2020198157A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615000A (zh) * | 2020-12-04 | 2022-06-10 | ***通信有限公司研究院 | 边缘计算app的安全防护方法、装置及*** |
| CN112929987B (zh) * | 2021-01-25 | 2021-12-14 | 广州爱浦路网络技术有限公司 | 会话管理信令转换装置、通信网络会话实现和通信网络 |
| CN112688822B (zh) * | 2021-02-07 | 2022-07-19 | 浙江御安信息技术有限公司 | 基于多点协同的边缘计算故障或安全威胁监测***与方法 |
| CN113015164B (zh) * | 2021-02-24 | 2022-09-30 | 中国联合网络通信集团有限公司 | 应用程序认证方法及装置 |
| CN112926059B (zh) * | 2021-04-07 | 2024-04-23 | 恒安嘉新(北京)科技股份公司 | 一种数据处理方法、装置、设备及存储介质 |
| CN112887435B (zh) * | 2021-04-13 | 2022-05-20 | 中南大学 | 一种提高边缘计算中任务卸载合作率的方法 |
| CN115604222A (zh) * | 2021-06-28 | 2023-01-13 | 中国电信股份有限公司(Cn) | 移动网络边缘应用访问授权方法、***以及介质 |
| US11991525B2 (en) | 2021-12-02 | 2024-05-21 | T-Mobile Usa, Inc. | Wireless device access and subsidy control |
| CN114466054A (zh) * | 2022-01-12 | 2022-05-10 | 深圳市联洲国际技术有限公司 | 数据处理方法、装置、设备,及计算机可读存储介质 |
| DE202022104059U1 (de) | 2022-07-19 | 2022-08-18 | Jaydip Kumar | Auf maschinellem Lernen basierendes intelligentes System für 5G-Netzsicherheit |
| US20240073698A1 (en) * | 2022-08-31 | 2024-02-29 | Palo Alto Networks, Inc. | Applying subscriber-id based security, equipment-id based security, and/or network slice-id based security with user-id and syslog messages in mobile networks |
| CN116806023B (zh) * | 2023-06-25 | 2024-02-09 | 之江实验室 | 一种异构网络架构下业务合法性校验的方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109074346A (zh) * | 2016-02-25 | 2018-12-21 | 阿克斯美国股份有限公司 | 用于在移动边缘进行计算的平台 |
| US10462653B1 (en) * | 2018-09-27 | 2019-10-29 | Palo Alto Networks, Inc. | Service-based security per data network name in mobile networks |
| US10477390B1 (en) * | 2018-09-27 | 2019-11-12 | Palo Alto Networks, Inc. | Service-based security per user location in mobile networks |
| US10531305B1 (en) * | 2018-09-27 | 2020-01-07 | Palo Alto Networks, Inc. | Service-based security per subscription and/or equipment identifiers in mobile networks |
| US10574670B1 (en) * | 2018-09-27 | 2020-02-25 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014081890A1 (en) * | 2012-11-21 | 2014-05-30 | Apple Inc. | Policy-based techniques for managing access control |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| US10721275B2 (en) * | 2017-01-23 | 2020-07-21 | Fireeye, Inc. | Automated enforcement of security policies in cloud and hybrid infrastructure environments |
| US10812532B2 (en) * | 2017-06-15 | 2020-10-20 | Palo Alto Networks, Inc. | Security for cellular internet of things in mobile networks |
| US10834136B2 (en) * | 2017-06-15 | 2020-11-10 | Palo Alto Networks, Inc. | Access point name and application identity based security enforcement in service provider networks |
| US10708306B2 (en) * | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
| US10721272B2 (en) * | 2017-06-15 | 2020-07-21 | Palo Alto Networks, Inc. | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks |
| US10693918B2 (en) * | 2017-06-15 | 2020-06-23 | Palo Alto Networks, Inc. | Radio access technology based security in service provider networks |
| US11050789B2 (en) * | 2017-06-15 | 2021-06-29 | Palo Alto Networks, Inc. | Location based security in service provider networks |
| US20190007500A1 (en) * | 2017-07-03 | 2019-01-03 | Electronics And Telecommunications Research Institute | Method for protocol data unit (pdu) session anchor relocation and 5g network registration |
| EP3846508A1 (en) * | 2017-10-09 | 2021-07-07 | Comcast Cable Communications LLC | Policy control for ethernet packet data |
| JP7233525B2 (ja) * | 2018-09-27 | 2023-03-06 | パロ アルト ネットワークス,インコーポレイテッド | モバイルネットワークにおけるネットワークスライスベースのセキュリティ |
| US10884814B2 (en) * | 2018-09-28 | 2021-01-05 | Intel Corporation | Mobile edge-cloud security infrastructure |
-
2020
- 2020-03-23 WO PCT/US2020/024281 patent/WO2020198157A1/en unknown
- 2020-03-23 CN CN202210277492.3A patent/CN114500308B/zh active Active
- 2020-03-23 CN CN202080001401.2A patent/CN112020851B/zh active Active
- 2020-03-23 JP JP2020543784A patent/JP6974622B2/ja active Active
- 2020-03-23 EP EP20732718.0A patent/EP3735770B1/en active Active
- 2020-03-23 AU AU2020204346A patent/AU2020204346B2/en active Active
- 2020-03-23 CA CA3088359A patent/CA3088359C/en active Active
- 2020-03-23 EP EP21178275.0A patent/EP3902226B1/en active Active
-
2021
- 2021-11-04 JP JP2021180103A patent/JP7280332B2/ja active Active
- 2021-11-29 AU AU2021277595A patent/AU2021277595B2/en active Active
-
2023
- 2023-03-10 JP JP2023037389A patent/JP2023072002A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109074346A (zh) * | 2016-02-25 | 2018-12-21 | 阿克斯美国股份有限公司 | 用于在移动边缘进行计算的平台 |
| US10462653B1 (en) * | 2018-09-27 | 2019-10-29 | Palo Alto Networks, Inc. | Service-based security per data network name in mobile networks |
| US10477390B1 (en) * | 2018-09-27 | 2019-11-12 | Palo Alto Networks, Inc. | Service-based security per user location in mobile networks |
| US10477391B1 (en) * | 2018-09-27 | 2019-11-12 | Palo Alto Networks, Inc. | Service-based security per user location in mobile networks |
| US10531305B1 (en) * | 2018-09-27 | 2020-01-07 | Palo Alto Networks, Inc. | Service-based security per subscription and/or equipment identifiers in mobile networks |
| US10574670B1 (en) * | 2018-09-27 | 2020-02-25 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3735770A1 (en) | 2020-11-11 |
| CN112020851B (zh) | 2022-03-25 |
| AU2021277595A1 (en) | 2021-12-23 |
| JP2022020748A (ja) | 2022-02-01 |
| WO2020198157A1 (en) | 2020-10-01 |
| AU2020204346A1 (en) | 2020-10-15 |
| JP6974622B2 (ja) | 2021-12-01 |
| JP2023072002A (ja) | 2023-05-23 |
| JP2021513299A (ja) | 2021-05-20 |
| EP3735770A4 (en) | 2020-12-23 |
| CN114500308A (zh) | 2022-05-13 |
| AU2021277595B2 (en) | 2023-05-11 |
| CN112020851A (zh) | 2020-12-01 |
| JP7280332B2 (ja) | 2023-05-23 |
| EP3902226B1 (en) | 2022-12-07 |
| CA3088359A1 (en) | 2020-09-28 |
| EP3902226A1 (en) | 2021-10-27 |
| EP3735770B1 (en) | 2021-07-21 |
| AU2020204346B2 (en) | 2021-09-30 |
| CA3088359C (en) | 2021-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11019077B2 (en) | Multi-access distributed edge security in mobile networks | |
| US11792235B2 (en) | Network slice-based security in mobile networks | |
| CN114500308B (zh) | 移动网络中的多接入分布式边缘安全性 | |
| US10812971B2 (en) | Service-based security per data network name in mobile networks | |
| US10812972B2 (en) | Service-based security per user location in mobile networks | |
| JP7410342B2 (ja) | モバイルネットワークにおけるネットワークスライスベースのセキュリティ | |
| US10531305B1 (en) | Service-based security per subscription and/or equipment identifiers in mobile networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |