KR20230018457A - 모바일 네트워크들에서의 보안 제어 및 사용자 플레인 분리 - Google Patents

모바일 네트워크들에서의 보안 제어 및 사용자 플레인 분리 Download PDF

Info

Publication number
KR20230018457A
KR20230018457A KR1020227045998A KR20227045998A KR20230018457A KR 20230018457 A KR20230018457 A KR 20230018457A KR 1020227045998 A KR1020227045998 A KR 1020227045998A KR 20227045998 A KR20227045998 A KR 20227045998A KR 20230018457 A KR20230018457 A KR 20230018457A
Authority
KR
South Korea
Prior art keywords
network
security
pfcp
user plane
platform
Prior art date
Application number
KR1020227045998A
Other languages
English (en)
Inventor
레오니드 부라코브스키
사친 버마
펭글리앙 후
이-춘 첸
하우 텅 임
Original Assignee
팔로 알토 네트웍스, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 팔로 알토 네트웍스, 인크. filed Critical 팔로 알토 네트웍스, 인크.
Publication of KR20230018457A publication Critical patent/KR20230018457A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

모바일 네트워크들(예컨대, 4G/5G 네트워크들과 같은 모바일 가입자들용 서비스 제공자 네트워크들)에서 제어 및 사용자 플레인 분리를 확보하기 위한 기술들이 개시된다. 일부 실시예들에서, 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 시스템/프로세스/컴퓨터 프로그램 제품은 새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서, 4G 네트워크 또는 5G 네트워크를 포함하는 모바일 네트워크 상의 네트워크 트래픽을 모니터링하는 것; 상기 보안 플랫폼에서 상기 PFCP 메시지로부터 복수의 파라미터들을 추출하는 것; 및 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 하나 이상의 상기 복수의 파라미터들에 기초하여 상기 새로운 세션 상의 상기 보안 플랫폼에서 보안 정책을 시행하는 것을 포함한다.

Description

모바일 네트워크들에서의 보안 제어 및 사용자 플레인 분리
방화벽은 일반적으로 승인된 통신들이 방화벽을 통과하도록 허용하면서 승인되지 않은 액세스로부터 네트워크를 보호한다. 방화벽은 통상적으로 네트워크 액세스에 대한 방화벽 기능을 제공하는 컴퓨터와 같은 디바이스에서 실행되는 소프트웨어, 디바이스 또는 디바이스들의 세트이다. 예를 들어, 방화벽들은 디바이스들(예컨대, 컴퓨터들, 스마트폰들, 또는 다른 유형들의 네트워크 통신 가능 디바이스들)의 운영 시스템들에 통합될 수 있다. 방화벽들은 또한 컴퓨터 서버들, 게이트웨이들, 네트워크/라우팅 디바이스들(예컨대, 네트워크 라우터들), 또는 데이터 어플라이언스들(예컨대, 보안 어플라이언스들 또는 다른 유형들의 특수 목적 디바이스들)에 통합되거나 소프트웨어로서 이것들에서 실행될 수 있다.
방화벽들은 통상적으로 규칙들의 세트에 기초하여 네트워크 전송을 거부하거나 허용한다. 규칙들의 이들 세트들은 종종 정책들로서 불린다. 예를 들어, 방화벽은 규칙들의 세트 또는 정책들을 적용하여 인바운드 트래픽을 필터링할 수 있다. 방화벽은 또한 규칙들의 세트 또는 정책들을 적용하여 아웃바운드 트래픽을 필터링할 수 있다. 방화벽들은 또한 기본적인 라우팅 기능들을 수행할 수 있다.
본 발명의 다양한 실시예들이 다음의 상세한 설명 및 첨부 도면들에 개시되어 있다.
도 1은 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 5G 무선 네트워크의 아키텍처의 블록도이다.
도 2a는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 블록도이다.
도 2b는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 또 다른 블록도이다.
도 2c는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 또 다른 블록도이다.
도 2d는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 또 다른 블록도이다.
도 3a는 PFCP 세션 확립 절차에 대한 프로토콜 시퀀스 다이어그램이다.
도 3b는 PFCP 세션 수정 절차에 대한 프로토콜 시퀀스 다이어그램이다.
도 3c는 PFCP 세션 해제 절차에 대한 프로토콜 시퀀스 다이어그램이다.
도 4는 일부 실시예에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 네트워크 디바이스의 하드웨어 구성요소들의 기능 다이어그램이다.
도 5는 일부 실시예에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 네트워크 디바이스의 논리적 구성요소들의 기능 다이어그램이다.
도 6은 일부 실시예에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 프로세스의 흐름도이다.
도 7은 일부 실시예에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 프로세스의 또 다른 흐름도이다.
본 발명은 프로세스로서, 장치; 시스템; 조성물; 컴퓨터 판독 가능 저장 매체에 구현된 컴퓨터 프로그램 제품; 및/또는 프로세서, 예를 들어 프로세서에 결합된 메모리에 저장 및/또는 메모리에 의해 제공되는 명령들을 실행하도록 구성된 프로세서를 포함하는, 여러 방식들로 구현될 수 있다. 이 명세서에서, 이들 구현들, 또는 본 발명이 취할 수 있는 임의의 다른 형태는 기술들로 지칭될 수 있다. 일반적으로, 개시된 프로세스들의 단계들의 순서는 본 발명의 범위 내에서 변경될 수 있다. 달리 언급되지 않는다면, 태스크를 수행하도록 구성되는 것처럼 기재된 프로세서 또는 메모리와 같은 구성요소는 주어진 시간에 태스크를 수행하도록 임시로 구성되는 일반 구성요소 또는 태스크를 수행하도록 제조되는 특정 구성요소로서 구현될 수 있다. 본원에 사용된 것과 같이, 용어 '프로세서'는 컴퓨터 프로그램 명령들과 같은 데이터를 처리하도록 구성된 하나 이상의 디바이스들, 회로들, 및/또는 프로세싱 코어들을 지칭한다.
본 발명의 원리들을 설명하는 첨부 도면들과 함께 본 발명의 하나 이상의 실시예들의 상세한 설명이 이하에 제공된다. 본 발명은 그와 같은 실시예들과 관련하여 기재되지만, 본 발명은 어떤 실시예로도 제한되지 않는다. 본 발명의 범위는 청구범위에 의해서만 제한되고 본 발명은 수 많은 대안들, 수정들 및 등가물들을 포함한다. 본 발명의 완전한 이해를 제공하기 위해 다음의 설명에 다수의 구체적인 상세들이 설명된다. 이러한 상세들은 예시의 목적으로 제공되고 본 발명은 이러한 구체적인 상세들의 일부 또는 전부 없이 청구범위에 따라 실시될 수 있다. 명확성을 위해, 본 발명과 관련된 기술 분야들에서 알려진 기술 자료는 본 발명이 불필요하게 모호해지지 않도록 상세히 기재되지 않았다.
방화벽은 일반적으로 승인된 통신들이 방화벽을 통과하도록 허용하면서 네트워크들을 승인되지 않은 액세스로부터 보호한다. 방화벽은 통상적으로 네트워크 액세스에 대한 방화벽 기능을 제공하는 디바이스에서 실행되는 소프트웨어, 디바이스, 또는 디바이스들의 세트이다. 예를 들어, 방화벽은 디바이스들(예컨대, 컴퓨터들, 스마트폰들, 또는 다른 유형들의 네트워크 통신 가능 디바이스들)의 운영 시스템들에 통합될 수 있다. 방화벽은 또한 다양한 유형들의 디바이스들 또는 보안 디바이스들, 예컨대 컴퓨터 서버들, 게이트웨이들, 네트워크/라우팅 디바이스들(예컨대, 네트워크 라우터들), 또는 데이터 어플라이언스들(예컨대, 보안 어플라이언스들 또는 다른 유형들의 특수 목적 디바이스들)에 통합되거나 소프트웨어 애플리케이션들로서 이것들에서 실행될 수 있다.
방화벽들은 통상적으로 규칙들의 세트에 기초하여 네트워크 전송을 거부하거나 허용한다. 규칙들의 이들 세트는 종종 정책들(예컨대, 네트워크 정책들 또는 네트워크 보안 정책들)로서 불린다. 예를 들어, 방화벽은 원치 않는 외부 트래픽이 보호된 디바이스들에 도달하는 것을 방지하기 위해 규칙들의 세트 또는 정책들을 적용하여 인바운드 트래픽을 필터링할 수 있다. 방화벽은 또한 규칙들의 세트 또는 정책들을 적용하여 아웃바운드 트래픽을 필터링할 수 있다(예컨대, 허용, 차단, 모니터링, 통지 또는 기록, 및/또는 다른 액션들은 예를 들어 본원에 기재된 것과 같이, 다양한 기준들에 기초하여 트리거될 수 있는 방화벽/보안 규칙들 또는 방화벽/보안 정책들로 특정될 수 있다). 방화벽들은 또한 규칙들의 세트 또는 정책들을 적용하여 안티-바이러스 보호, 맬웨어 탐지/방지 또는 침입 방지를 적용할 수도 있다.
보안 디바이스들(예컨대, 보안 어플라이언스들, 보안 게이트웨이들, 보안 서비스들, 및/또는 다른 보안 디바이스들)은 다양한 보안 기능들(예컨대, 방화벽, 안티-맬웨어, 침입 방지/탐지, 프록시, 및/또는 다른 보안 기능들), 네트워킹 기능들(예컨대, 라우팅, QoS(Quality of Service), 네트워크 관련 리소스들의 워크로드 밸런싱, 및/또는 기타 네트워킹 기능들), 및/또는 기타 기능들을 포함할 수 있다. 예를 들어, 라우팅 기능들은 소스 정보(예컨대, 소스 IP 어드레스 및 포트), 목적지 정보(예컨대, 목적지 IP 어드레스 및 포트), 및 프로토콜 정보에 기초할 수 있다.
기본 패킷 필터링 방화벽은 네트워크를 통해 전송되는 개개의 패킷들을 검사하여 네트워크 통신 트래픽을 필터링한다(예컨대, 스테이트리스 패킷 필터링 방화벽들인 패킷 필터링 방화벽들 또는 1세대 방화벽들). 스테이트리스 패킷 필터링 방화벽들은 통상적으로 개개의 패킷들 자체들을 검사하고 검사된 패킷들에 기초하여(예컨대, 패킷의 소스 및 목적지 어드레스 정보, 프로토콜 정보, 및 포트 번호의 조합을 사용하여) 규칙들을 적용한다.
애플리케이션 방화벽들은 또한 애플리케이션 계층 필터링을 수행할 수 있다(예컨대, TCP/IP 스택의 애플리케이션 레벨에서 작동하는 애플리케이션 계층 필터링 방화벽들 또는 2세대 방화벽들을 이용하여). 애플리케이션 계층 필터링 방화벽들 또는 애플리케이션 방화벽들은 일반적으로 특정 애플리케이션들 및 프로토콜들(예컨대, HTTP(HyperText Transfer Protocol)를 사용하는 웹 브라우징, DNS(Domain Name System) 요청, FTP(File Transfer Protocol)를 사용하는 파일 전송, 및 여러 다른 유형들의 애플리케이션들 및 기타 프로토콜들, 예컨대 텔넷(Telnet), DHCP, TCP, UDP, 및 TFTP(GSS))을 식별할 수 있다. 예를 들어, 애플리케이션 방화벽들은 표준 포트를 통해 통신을 시도하는 승인되지 않은 프로토콜들(예컨대, 프로토콜이 일반적으로 애플리케이션 방화벽들을 사용하여 식별될 수 있는 비표준 포트를 사용하여 몰래 시도하는 승인되지 않은/정책을 벗어난 프로토콜)을 차단할 수 있다.
스테이트풀 방화벽들은 또한 각 패킷이 해당 패킷들의 네트워크 전송의 흐름/패킷 흐름과 연관된 일련의 패킷들의 컨텍스트 내에서 검사되는 스테이트풀 기반 패킷 검사를 수행할 수 있다(예컨대, 스테이트풀 방화벽들 또는 3세대 방화벽들). 이 방화벽 기술은 그것이 방화벽을 통과하는 모든 연결들의 기록들을 유지하고 패킷이 새로운 연결의 시작인지, 기존 연결의 일부인지, 또는 무효 패킷인지를 결정할 수 있기 때문에 일반적으로 스테이트풀 패킷 검사로서 불린다. 예를 들어, 연결의 상태 자체는 정책 내에서 규칙을 트리거하는 기준들 중 하나일 수 있다.
진보된 또는 차세대 방화벽들은 위에서 논의된 것과 같이 스테이트리스 및 스테이트풀 패킷 필터링 및 애플리케이션 계층 필터링을 수행할 수 있다. 차세대 방화벽들은 또한 추가의 방화벽 기술들을 수행할 수 있다. 예를 들어, 진보된 또는 차세대 방화벽들로서 때때로 불리는 특정의 더 새로운 방화벽들도 사용자들 및 컨텐트를 식별할 수 있다. 특히, 특정 차세대 방화벽들은 이러한 방화벽들이 자동으로 식별할 수 있는 애플리케이션들의 리스트를 수천개의 애플리케이션들로 확장하고 있다. 그러한 차세대 방화벽들의 예들은 팔로 알토 네트웍스, 인크.(예컨대, 팔로 알토 네트웍스의 PA 시리즈 차세대 방화벽들 및 팔로 알토 네트웍스의 VM 시리즈 가상화된 차세대 방화벽들)로부터 상업적으로 이용 가능하다.
예를 들어, 팔로 알토 네트웍스의 차세대 방화벽들은 기업들 및 서비스 제공자들이 다양한 식별 기술들, 예컨대 다음과 같은 것: 정확한 애플리케이션 식별을 위한 App-IDTM(예컨대, App ID), 사용자 식별을 위한 User-IDTM(예컨대, 사용자 ID)(예컨대, 사용자 또는 사용자 그룹에 의한), 및 실시간 컨텐트 스캐닝을 위한 컨텐트-IDTM(예컨대, 컨텐트 ID)(예컨대, 웹 서핑을 제어하고 데이터 및 파일 전송들을 제한)을 사용하여 애플리케이션들, 사용자들, 및 컨텐트 - 단지 포트들, IP 어드레스들, 및 패킷들이 아님 - 를 식별 및 제어할 수 있게 한다. 이러한 식별 기술들은 전통적인 포트 차단 방화벽들에 의해 제공되는 전통적인 접근방식을 따르는 대신 비즈니스 관련 개념들을 사용하여 기업들이 안전하게 애플리케이션을 사용할 수 있게 한다. 또, 예를 들어 전송 어플라이언들로서 구현되는 차세대 방화벽들을 위한 특수 목적 하드웨어는 일반적으로 범용 하드웨어(예컨대, 팔로 알토 네트웍스의 PA 시리즈 차세대 방화벽들에 대한 대기 시간을 최소화하면서 네트워크 스루풋을 최대화하기 위해 단일 패스 소프트웨어 엔진과 긴밀하게 통합되는 기능별 전용 처리를 이용하는 팔로 알토 네트웍스, 인크.에 의해 제공되는 보안 어플라이언스들과 같은)에서 실행되는 소프트웨어보다 애플리케이션 검사에 대해 더 높은 성능 레벨들을 제공한다.
서비스 제공자들을 위한 오늘날의 모바일 네트워크들에서의 기술 및 보안 문제들
전 세계 수렴형(모바일 및 고정) 네트워크 운영자들은 현재 독립형 5G 모바일 네트워크 기술을 전개하는 과정에 있다. 5G 모바일 네트워크들에서, 기업 고객들은 제어 및 사용자 플레인 분리(CUPS)를 사용하여 연결을 제공받을 것이다. 따라서, 5G 모바일 네트워크들의 제어 네트워크 기능들(예컨대, 중앙 패킷 코어/클라우드 패킷 코어에 위치된 SMF(Session Management Function(s)) 및 고객 구내/액세스 사이트/분배 사이트에 위치된 UPF(User Plane Function(s))간의 통신을 보호하고 검증하는 것이 중요할 것이다.
따라서, 서비스 제공자 네트워크들의 기술 및 보안 문제들은 모바일 네트워크들의 디바이스들에 대해 존재한다. 따라서, 필요한 것은 그러한 서비스 제공자 네트워크 환경들(예컨대, 모바일 네트워크들)에서 디바이스들에 대한 새롭고 향상된 보안 기술들이다. 구체적으로, 필요한 것은 그러한 네트워크 트래픽을 모니터링하고 서비스 제공자 네트워크들에서 통신하는 디바이스들에 대한 보안 정책들(예컨대, 방화벽 정책들)을 적용하기 위한 새롭고 향상된 솔루션들이다.
모바일 네트워크들에서의 제어 및 사용자 플레인 분리를 확보하기 위한 기술의 개요
서비스 제공자 네트워크들의 기술 및 보안 문제들은 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위해 존재한다. 구체적으로, 필요한 것은 모바일 네트워크 환경들(예컨대, 4G 및/또는 5G 모바일 네트워크들)에서 제어 및 사용자 플레인 분리를 확보하기 위한 새롭고 향상된 기술들이다. 보다 구체적으로, 모바일 네트워크 트래픽을 모니터링하고 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 정책들(예컨대, 보안/방화벽 정책들)을 적용하기 위한 새롭고 향상된 솔루션들이 필요하다.
이하에 더 기술되는 것과 같이, PFCP는 제어 플레인과 사용자 플레인 기능(예컨대, LTE에 대한 3GPP 기술 사양(TS) 29.244 v15.7에 지정됨; 5G; 제어 플레인과 사용자 플레인 노드들 사이의 인터페이스(예컨대, 및 이후 릴리스들/버전들)) 사이의 Sx/N4 인터페이스들에 사용되는 3GPP 프로토콜이다.
일부 실시예들에서, 보안 플랫폼에 의해 수행될 수 있는 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 PFCP(Packet Forwarding Control Protocol) 스테이트풀 검사를 위한 새롭고 향상된 기술들이 이하에 더 기재되는 것과 같이 개시된다.
예를 들어, 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 PFCP 스테이트풀 검사를 위한 새롭고 향상된 기술들은 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출하기 위해 SMF(Session Management Function)와 UPF(User Plane Function) 사이의 N4 인터페이스의 PFCP 메시지들을 파싱하여 5G 기술 기반 모바일 네트워크(예컨대, 5G 모바일 네트워크)에서 보안 플랫폼에 의해 수행될 수 있다.
다른 예로서, 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 PFCP 스테이트풀 검사를 위한 새롭고 향상된 기술들은 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출하기 위해 SG(Serving Gateway)-C와 SG-U 사이의 Sxa 인터페이스, PDN(Packet Data Network) 게이트웨이-C와 PDN 게이트웨이-U 사이의 Sxb 인터페이스, 및 TDF(Traffic Detection Function)-C 및 a TDF-U 사이의 Sxc 인터페이스에서 PFCP 메시지들을 파싱하여 4G 기술 기반 모바일 네트워크(예컨대, 4G 모바일 네트워크)에서 보안 플랫폼에 의해 수행될 수 있다.
따라서, PFCP 트래픽 상의 모바일 네트워크(예컨대, 4G/5G 모바일 네트워크)에서 보안 플랫폼(예컨대, 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소)을 사용하여 보안(예컨대, 네트워크 기반 보안)을 적용하는 것을 가능하게 하는 새롭고 향상된 보안 솔루션들이 일부 실시예들에 따라 개시된다. 예를 들어, 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 개시된 기술들은 DoS(Denial of Service), SEID(Session Endpoint Identifier) 스푸핑, 및 로컬 에어리어 데이터 네트워크, 코어 네트워크, 다중 액세스 분산 에지 위치, 로컬 UPF(User Plane Function)을 갖는 기업 네트워크, 및/또는 여러 기타 4G/5G 네트워크 위치들을 포함하는 여러 4G/5G 네트워크 위치들에서 PFCP(Packet Forwarding Control Protocol)에 대한 SEID 추측을 포함하는 공격들의 식별 및 방지를 제공할 수 있다.
이하에 더 기재되는 것과 같이, 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 여러 기술들이 개시된다. 일부 실시예들에서, 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 시스템/프로세스/컴퓨터 프로그램 제품은 새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하고, 모바일 네트워크는 4G 네트워크 또는 5G 네트워크를 포함하고; 보안 플랫폼에서 PFCP 메시지로부터 복수의 파라미터들(예컨대, 이하에 더 기재되는 것과 같이 PFCP 연결과 관련된 5-튜플 + 노드 ID(선택적))을 추출하고; 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 하나 이상의 복수의 파라미터들에 기초하여 새로운 세션 상의 보안 플랫폼에서 보안 정책을 시행하는 것을 포함한다.
예를 들어, 보안 플랫폼은 PFCP 메시지를 파싱하여 다음의 파라미터들: 소스 IP 어드레스, SEID 1, 목적지 IP 어드레스, SEID 2, 및 PFCP 연결과 관련된 사용 중인 프로토콜을 추출한다. 다른 예로서, 보안 플랫폼은 PFCP 메시지를 파싱하여 PFCP 연결와 관련된 노드 ID를 추출한다.
예시적인 구현에서, 보안 플랫폼은 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 DoS(Denial of Service) 공격들의 탐지 및 방지를 수행하는 보안 정책으로 구성된다.
다른 예시적인 구현에서, 보안 플랫폼은 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 SEID(Session Endpoint Identifier) 스푸핑 공격들을 탐지 및 방지를 수행하는 보안 정책으로 구성된다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 개시된 기술들은 여러 확보된 모바일 네트워크 솔루션들을 가능하게 하기 위해 적용될 수 있다. 예로서, 모바일 네트워크 운영자들은 개시된 기술을 사용하여 클라우드 기반 제어 인프라스트럭처와 분산된 에지 위치 사이의 통신을 보호할 수 있다. 다른 예로서, 사설 4G/5G 연결을 가진 기업 고객들은 개시된 기술들을 사용하여 로컬 UPF(User Plane Function)와 클라우드 기반 제어 인프라스트럭처 사이의 통신을 보호할 수 있다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 이들 및 다른 실시예들 및 예들이 이하에 더 기재될 것이다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 예시적인 시스템 아키텍처들
일반적으로, 5G는 모바일 통신 시스템의 5세대이다. 3GPP(3rd Generation Partnership Project)는 7개의 통신 표준 개발 조직들(즉, ARIB, ATIS, CCSA, ETSI, TSDSI, TTA 및 TTC)을 포함한다. 이 3GPP는 무선 액세스, 코어 전송 네트워크 및 서비스 능력들을 포함한 셀룰러 통신 네트워크 기술들을 다룬다. 사양들은 또한 코어 네트워크에 대한 비무선 액세스 및 Wi-Fi 네트워크들 및 5G 표준들을 개발 중인 ITU, IETF 및 ETSI를 포함한 기타 조직들과의 연동을 위한 후크들(hooks)을 제공한다. 새로운 5G 네트워크 표준들의 개선사항들 중 일부는 예를 들어 다중 에지 컴퓨팅, 낮은 대기 시간(예컨대, 대략 10밀리초(MS) 미만), 높은 처리량(예컨대, 수 Gbps), 분산, 네트워크 기능 가상화 인프라스트럭처, 및 오케스트레이션, 분석들, 및 자동화를 포함한다.
5G 아키텍처는 3GPP TS 23.501 v16.4.0(예컨대, 서비스 기반으로서 https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144)(예컨대, 및 이후 릴리스들/버전들)에서 이용 가능한)에 정의되어 있고, 네트워크 기능들(NFs) 간의 상호작용은 2개의 방식들: (1) 서비스 기반 표현 - 여기서 제어 플레인(CP) 내의 NF들은 기타 승인된 네트워크 기능들이 이들의 서비스들을 액세스 가능하게 하고 - 및 (2) 기준점 표현 - 임의의 2개의 네트워크 기능들 간의 점 대 점 기준점들에 의해 정의된 NF들의 쌍들 간의 상호작용들에 대해 중점을 둔 - 으로 표현된다.
5G 아키텍처에서, N3 인터페이스(예컨대, 무선 액세스 네트워크(RAN)와 UPF 요소 사이)를 통한 백본 네트워크를 통한 액세스 네트워크와 코어 사이의 사용자 플레인 프로토콜 스택은 UDP 프로토콜을 통한 GTP-U(GPRS Tunnel Protocol User Plane)에 기초할 것이고, 또 N4 인터페이스(예컨대, UPF 요소와 SMF 요소 사이)를 통해서는 UDP 프로토콜을 통한 PFCP(Packet Forwarding Control Protocol)에 기초할 것이다. 5G 시스템 아키텍처의 제어 플레인(NFs)은 서비스 기반 아키텍처에 기초해야 할 것이다. HTTP/2는 서비스 기반 인터페이스들을 통해 사용되는 프로토콜일 것이다. 5G 액세스 네트워크 프로토콜은 SCTP(Stream Control Transmisiion Protocol)에 기초할 것이다.
따라서, 일부 실시예들에서, 개시된 기술들은 이하에 더 기재되는 것과 같이 모니터링된 GTP-U 터널 세션들과 새로운 HTTP/2 기반 TCP 세션들 간의 상관 관계, 및 다른 예로서, 모니터링된 GTP-U 터널들(예컨대, N3 인터페이스)과 PFCP 세션들(예컨대, N4/Sx 인터페이스) 간의 상관 관계를 가능하게 하는 예를 들어 GTP-U 세션들과 새로운 HTTP/2 기반 TCP 세션들의 DPI 능력들(예컨대, 스테이트풀 검사를 포함)을 제공하도록 구성된 보안 플랫폼을 제공하는 것을 포함한다(예컨대, 보안 기능(들)/플랫폼(들)은 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 팔로 알토 네트웍스, 인크.로부터 상업적으로 이용 가능한 가상/물리적 NGFW 솔루션에서 실행하는 PANOS 또는 또 다른 보안 플랫폼/NFGW과 같은 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소를 사용하여 구현될 수 있다).
일부 실시예들에서, 보안 플랫폼은 다음의 DPI 능력들을 제공하도록 구성된다: N3 GTP-U 터널들 및/또는 N4 GTP-U 터널들의 스테이트풀 검사; N3 GTP-U 터널들의 콘텐트 검사(예컨대, N3 GTP-U 터널들의 내부 IP 세션들의 콘텐트를 검사하기 위해) 및/또는 N4/Sx PFCP 세션들(예컨대, N4/Sx PFCP 세션들의 콘텐트를 검사하기 위해); 5G 시스템이 5G 셀룰러 기술을 지원하기 위한 절차들을 위한 3GPP 기술 사양(TS) 29.274 v15.3.0 릴리스 15(예컨대, 및 이후 릴리스들/버전들) 지원; GTP-U 프로토콜에 대한 3GPP 기술 사양(TS) 29.281 v15.4.0 릴리스 14(예컨대, 및 이후 릴리스들/버전들) 지원.
도 1은 일부 실시예에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 5G 무선 네트워크의 아키텍처의 블록도이다. 구체적으로, 도 1은 이하에 더 기재되는 것과 같이, 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼들(102a, 102b)(예컨대, 보안 기능(들)/플랫폼(들)은 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소를 사용하여 구현될 수 있음)을 포함하는 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 예시적인 5G 모바일 네트워크 환경이다. 도시된 것과 같이, 5G 모바일 네트워크 환경은 또한 104로 나타낸 고정/유선 액세스, 106으로 나타낸 Wi-Fi 액세스와 같은 Non-3GPP 액세스, 108로 나타낸 5G 무선 액세스 네트워크(RAN) 액세스, 110으로 나타낸 4G RAN 액세스, 및/또는 가입자들이 다양한 애플리케이션들, 웹 서비스들, 컨텐트 호스트들 등을 액세스하기 위한 중앙 데이터 네트워크(예컨대, 인터넷)(120) 및/또는 다른 네트워크들을 통한 것을 포함하는 데이터 통신들을(예컨대, UE(User Equipment), 예컨대 스마트폰들, 랩톱들, 컴퓨터들(고정된 위치에 있을 수 있음)), 및/또는 다른 셀룰러 가능 컴퓨팅 디바이스들/장비, 예컨대 CIoT 디바이스들, 또는 다른 네트워크 통신 가능 디바이스들을 사용하여) 가능하게 하는 다른 네트워크들(도 1에 도시되지 않음)를 포함할 수 있다. 도 1에 도시된 것과 같이, 5G 네트워크 액세스 메커니즘들(104, 106, 108, 110)의 각각은 5G 사용자 플레인 기능들(112a, 112b)과 각각 통신하도록 보안 플랫폼들(102a, 102b)을 통과하는, 5G 사용자 플레인 기능들(112a, 112b)과 (예컨대, S1-U 인터페이스를 통해)통신한다.
도 1에도 도시된 것과 같이, 도시된 N4 인터페이스들은 각각 UDP를 통한 PFCP를 통해 SMF(Session Management Function)(130)을 포함하는 5G 코어 제어/시그널링 기능들과 UPF들(112a/b) 사이의 인터페이스를 제공한다. 코어 네트워크(140)는 중앙 데이터 네트워크(120)와 통신하는 5G 사용자 플레인 기능(132)과 통신하는 SMF(130)를 포함한다.
도 1을 참조하면, 네트워크 트래픽 통신들은 보안 플랫폼들(102a, 102b)을 사용하여 모니터링된다. 도시된 것과 같이, 네트워크 트래픽 통신들은 유사하게 위에 기재된 것과 같이 그리고 이하에 더 기재되는 것과 같이 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위한 개시된 기술들을 수행하도록 구성되는 보안 플랫폼들(102a, 102b)(예컨대, 방화벽(FW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 또 다른 디바이스/구성요소를 각각 포함하는 (가상) 디바이스들/어플라이언스들)을 사용하여 5G 네트워크에서 모니터링되고/필터링된다.
또한, 보안 플랫폼들(102a, 102b)은 또한 예를 들어 인터넷을 통해 클라우드 보안 서비스(122)(예컨대, 맬웨어 샘플들의 자동화된 보안 분석뿐만 아니라 보안 전문가 분석을 포함하는, 팔로 알토 네트웍스, 인크.에 의해 제공되는 상업적으로 이용 가능한 클라우드 보안 서비스인 WildFireTM 클라우드 기반 맬웨어 분석 환경과 같은 상업적으로 이용 가능한 클라우드 기반 보안 서비스, 또는 다른 벤더에 의해 제공되는 유사한 솔루션이 이용될 수 있음)와 네트워크 통신할 수 있다. 예를 들어, 클라우드 보안 서비스(122)는 맬웨어, DNS, URL들, CNC 맬웨어, 및/또는 기타 맬웨어에 대한 동적 방지 서명들을 보안 플랫폼들에 제공하고 추가 보안 분석을 위한 맬웨어 샘플들을 수신하는데 이용될 수 있다.
도 1을 참조하면, 보안 플랫폼들(102a, 102b)은 아래에 더 기재되는 같이 UPF들(112a, 112b)과 SMF(130) 사이의 N4 인터페이스들 상의 PFCP 메시지들(예컨대, UDP를 통한 PFCP)을 각각 파싱하고 이 예시적인 5G 모바일 네트워크 환경에서 PFCP 스테이트풀 검사를 수행하여 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출한다.
이제 명백해지는 바와 같이, 네트워크 트래픽 통신들은 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하는 것을 가능하게 하기 위해 5G 네트워크(예컨대, 5G 네트워크 또는 수렴형 5G 네트워크) 내의 여러 위치들에서 네트워크 트래픽 통신들을 위한 하나 이상의 보안 플랫폼들을 사용하여 모니터링/필터링될 수 있다.
도 2a는 일부 실시에들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 블록도이다. 구체적으로, 도 2a는 이하에 더 기재되는 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼들(202a, 202b)(예컨대, 보안 기능(들)/플랫폼(들)은 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소)을 포함하는 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 예시적인 4G 모바일 네트워크 환경이다. 4G 모바일 네트워크 환경은 또한 고정/유선 액세스(도 2a에 도시되지 않음), Non-3GPP 액세스 예를 들어 Wi-Fi 액세스(도 2a에 도시되지 않음), 204로 나타낸 4G 무선 액세스 네트워크(RAN) 액세스, 및/또는 가입자들이 중앙 데이터 네트워크(예컨대, 인터넷)(220)를 통해 다양한 애플리케이션들, 웹 서비스들, 컨텐트 호스트들 등, 및/또는 다른 네트워크들(도 2a에 도시되지 않음)을 액세스하는 것을 포함하는, 데이터 통신들을(예컨대, UE(User Equipment), 예를 들어 스마트폰들, 랩톱들, 컴퓨터들(고정된 위치에 있을 수 있음), 및/또는 다른 셀룰러 가능 컴퓨팅 디바이스들/장비, 예를 들어 CIoT 디바이스들, 또는 다른 네트워크 통신 가능 디바이스들을 사용하여) 가능하게 하는 다른 네트워크들(도 2a에 도시되지 않음)을 포함할 수 있다.
도 2a에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들 eNodeB(204)는 SGW-U + PGW-U(206)와 통신하기 위해 보안 플랫폼(202a)을 통과하는, SGW-U + PGW-U(206)로서 나타낸 사용자 플레인 트래픽을 위한 PGW(Packet Gateway) 및 결합된 SGW(서빙 게이트웨이)를 포함하는 사용자 플레인 네트워크 요소들과 통신한다.
도 2a에 또한 도시된 것과 같이, 코어 네트워크(210)는 PGW-U(216)와 통신하기 위해 보안 플랫폼(202b)을 통과하는, SGW-C + PGW-C(214)로서 나타낸 제어 플레인 트래픽을 위한 PDN(Packet Data Network) 게이트웨이(PGW) 및 결합된 SGW(서빙 게이트웨이)을 포함하는 제어 플레인 네트워크 요소들을 포함한다. 코어 네트워크(210)는 중앙 데이터 네트워크(220)에 대한 액세스를 가능하게 하기 위해 사용자 플레인 트래픽을 위한 PGW-U(216)를 포함한다. 구체적으로, Sxa 인터페이스는 UDP를 통한 PFCP를 통해 SGW-C(214)와 SGW-U(206) 사이에 인터페이스를 제공하고, Sxb 인터페이스는 UDP를 통한 PFCP를 통해 PGW-C(214)와 PGW-U(216) 사이에 인터페이스를 제공한다.
또한 도시된 것과 같이, 보안 플랫폼(202a)(예컨대, 및 다른 보안 플랫폼들은 유사하게 보안 클라우드 서비스와 통신할 수 있음)은 또한 예를 들어 맬웨어, DNS, URL, 커맨드 및 컨트롤(C&C), 및/또는 여러 기타 보안 업데이트들 및/또는 클라우드 맬웨어 샘플들 분석에 대한 동적 방지 서명들을 위한 보안 서비스(222)(예컨대, 맬웨어 샘플들의 자동화된 보안 분석뿐만 아니라 보안 전문가 분석을 포함하는, 팔로 알토 네트웍스, 인크.에 의해 제공되는 상업적으로 이용 가능한 클라우드 보안 서비스인 WildFireTM(WF) 클라우드 기반 맬웨어 분석 환경과 같은 상업적으로 이용 가능한 클라우드 기반 보안 서비스, 또는 다른 벤더에 의해 제공되는 유사한 솔루션이 이용될 수 있음)와 네트워크 통신한다.
도 2a를 참조하면, 네트워크 트래픽 통신들은 도 1에 대해 위에 유사하게 기재되고 이하에 더 기재되는 것과 같은 보안 플랫폼들(202a, 202b)(예컨대, Sxa, Sxb, 및/또는 기타 통신들을 모니터링하기 위해 여러 위치들에 위치될 수 있음)을 사용하여 모니터링될 수 있다. 이 예시적인 구현에서, 보안 플랫폼들(202a, 202b)은 이하에 더 기재되는 것과 같이 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출하기 위해 214로 나타낸 서빙 게이트웨이-C 및 206으로 나타낸 서빙 게이트웨이-U 사이의 Sxa 인터페이스 및 214로 나타낸 PDN 게이트웨이-C와 216으로 나타낸 PDN 게이트웨이-U 사이의 Sxb 인터페이스에서 PFCP 메시지들(예컨대, UDP를 통한 PFCP)을 모니터링 및 파싱하기 위한 이 예시적인 4G 모바일 네트워크 환경에 위치될 수 있다.
도 2b는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 또 다른 블록도이다. 구체적으로, 도 2b는 이하에 더 기재되는 것과 같이 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼들(202a, 202b, 202c)(예컨대, 보안 기능(들)/플랫폼(들)은 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소를 사용하여 구현될 수 있음)을 포함하는 모바일 네트워크들에서 제어 및 사용자 플레이 분리를 확보하기 위한 예시적인 4G 모바일 네트워크 환경이다. 4G 모바일 네트워크 환경은 또한 고정/유선 액세스(도 2b에 도시되지 않음), Non-3GPP 액세스 예를 들어 Wi-Fi 액세스(도 2b에 도시되지 않음), 204로 나타낸 4G 무선 액세스 네트워크(RAN) 액세스, 및/또는 가입자들이 중앙 데이터 네트워크(예컨대, 인터넷)(220)를 통해 다양한 애플리케이션들, 웹 서비스들, 컨텐트 호스트들 등 및/또는 다른 네트워크들을 액세스하는 것을 포함하는, 데이터 통신들(예컨대, UE(User Equipment), 예를 들어 스마트폰들, 랩톱들, 컴퓨터들(고정된 위치에 있을 수 있음), 및/또는 다른 셀룰러 가능 컴퓨팅 디바이스들/장비, 예를 들어 CIoT 디바이스들, 또는 다른 네트워크 통신 가능 디바이스들을 사용하여)을 가능하게 하는 다른 네트워크들(도 2b에 도시되지 않은)을 포함할 수 있다.
도 2b에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들(204)은 SGW-U + PGW-U(206)와 통신하기 위해 보안 플랫폼(202a)을 통과하는, SGW-U + PGW-U(206)로서 나타낸 사용자 플레인 트래픽을 위한 PGW(Packet Gateway) 및 SGW(Serving Gateway)를 포함하는 조합된 사용자 플레인 네트워크 요소와 통신한다.
또한 도 2a에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들(204)은 코어 네트워크(210)를 액세스하기 위해 보안 플랫폼(202a)을 통과하는 코어 네트워크(210)와 통신(예컨대, Sxa/Sxb 인터페이스를 통해)한다. 코어 네트워크(210)는 SGW-C + PGW-C(214)로서 나타낸 제어 플레인 트래픽을 위한 PDN(Packet Data Network) 게이트웨이(PGW) 및 SGW(Serving Gateway)를 포함하는 조합된 제어 플레인 네트워크 요소들을 포함한다. 코어 네트워크(210)는 또한 PGW-U(216)를 통해 중앙 데이터 네트워크(220)를 액세스하기 위힌 보안 플랫폼(202b)을 통과하는, 중앙 데이터 네트워크(220)에 대한 액세스를 가능하게 하기 위해 사용자 플레인 트래픽을 위한 PGW-U(216) 및 TDF-U(224)으로서 나타낸 사용자 플레인 트래픽을 위한 TDF(Traffic Detection Function)를 포함한다. 구체적으로, Sxa 인터페이스는 UDP를 통한 PFCP를 통해 SGW-C(214)와 SGW-U(206) 사이의 인터페이스를 제공하고, Sxb 인터페이스는 UDP를 통한 PFCP를 통해 PGW-C(214)와 PGW-U(216) 사이의 인터페이스를 제공한다. 코어 네트워크(210)는 또한 TDF-C(226)로서 나타낸 제어 플레인 트래픽을 위한 TDF(Traffic Detection Function)를 포함하고, TDF-C(226)와 TDF-U(224) 사이의 Sxc 인터페이스를 통한 네트워크 트래픽은 보안 플랫폼(202c)을 통과한다.
또한 도시된 것과 같이, 보안 플랫폼(202a)(예컨대, 및 다른 보안 플랫폼들은 유사하게 보안 클라우드 서비스와 통신할 수 있음)은 또한 예를 들어 맬웨어, DNS, URL, 커맨드 및 컨트롤(C&C), 및/또는 여러 기타 보안 업데이트들 및/또는 클라우드 맬웨어 샘플들 분석에 대한 동적 방지 서명들을 위한 보안 서비스(222)(예컨대, 맬웨어 샘플들의 자동화된 보안 분석뿐만 아니라 보안 전문가 분석을 포함하는, 팔로 알토 네트웍스, 인크.에 의해 제공되는 상업적으로 이용 가능한 클라우드 보안 서비스인 WildFireTM(WF) 클라우드 기반 맬웨어 분석 환경과 같은 상업적으로 이용 가능한 클라우드 기반 보안 서비스, 또는 다른 벤더에 의해 제공되는 유사한 솔루션이 이용될 수 있음))와 네트워크 통신한다.
도 2b를 참조하면, 네트워크 트래픽 통신들은 도 2a에 대해 위에 유사하게 기재되고 이하에 더 기재되는 것과 같이 보안 플랫폼들(202a, 202b, 202c)(예컨대, Sxa, Sxb, Sxc, 및/또는 기타 통신들을 모니터링하기 위해 여러 위치들에 위치될 수 있음)을 사용하여 모니터링될 수 있다. 이 예시적인 구현에서, 보안 플랫폼들(202a, 202b, 202c)은 이하게 더 기재되는 것과 같이 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출하기 위해 214로 나타낸 서빙 게이트웨이-C와 206으로 나타낸 서빙 게이트웨이-U 사이의 Sxa 인터페이스, 214로 나타낸 PDN 게이트웨이-C와 206으로 나타낸 PDN 게이트웨이-U 사이의 Sxb 인터페이스, 및 226으로 나타낸 TDF-C와 224로 나타낸 TDF-U 사이의 Sxc 인터페이스에서 PFCP 메시지들(예컨대, UDP를 통한 PFCP)을 모니터링 및 파싱하기 위해 이 예시적인 4G 모바일 네트워크 환경에 위치된다.
도 2c는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 또 다른 블록도이다. 구체적으로, 도 2c는 이하에 더 기재되는 것과 같이 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼들(202)(예컨대, 보안 기능(들)/플랫폼(들)은 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소를 사용하여 구현될 수 있음)을 포함하는 모바일 네트워크들에서 제어 및 사용자 플레이 분리를 확보하기 위한 예시적인 4G 모바일 네트워크 환경이다. 4G 모바일 네트워크 환경은 또한 고정/유선 액세스(도 2b에 도시되지 않음), Non-3GPP 액세스 예를 들어 Wi-Fi 액세스(도 2c에 도시되지 않음), 204로 나타낸 4G 무선 액세스 네트워크(RAN) 액세스, 및/또는 가입자들이 다른 네트워크들을 다양한 애플리케이션들, 웹 서비스들, 컨텐트 호스트들 등 및/또는 다른 네트워크들을 액세스하기 위한 데이터 통신들을(예컨대, UE(User Equipment), 예를 들어 스마트폰들, 랩톱들, 컴퓨터들(고정된 위치에 있을 수 있음), 및/또는 다른 셀룰러 가능 컴퓨팅 디바이스들/장비, 예를 들어 CIoT 디바이스들, 또는 다른 네트워크 통신 가능 디바이스들을 사용하여) 가능하게 하는 다른 네트워크들(도 2c에 도시되지 않음)을 포함할 수 있다.
도 2c에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들(204)은 SGW-U + PGW-U(206)와 통신하기 위해 보안 플랫폼(202)을 통과하는, SGW-U + PGW-U(206)로서 도시된 사용자 플레인 트래픽을 위한 PGW(Packet Gateway) 및 SGW(Serving Gateway)를 포함하는 조합된 사용자 플레인 네트워크 요소들과 통신한다.
도 2c에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들(204)은 코어 네트워크(210)를 액세스하기 위해 보안 플랫폼(202)을 통과하는, 코어 네트워크(210)와 통신(예컨대, Sxa/Sxb 인터페이스를 통해)한다. 코어 네트워크(210)는 SGW-C + PGW-C(214)로서 나타낸 제어 플레인 트래픽을 위한 PDN(Packet Data Network) 게이트웨이(PGW) 및 SGW(Serving Gateway)를 포함하는 조합된 제어 플레인 네트워크 요소들을 포함한다. 구체적으로, Sxa 인터페이스는 UDP를 통한 PFCP를 통해 SGW-C(214)와 SGW-U(206) 사이의 인터페이스를 제공하고, Sxb 인터페이스는 UDP를 통한 PFCP를 통해 PGW-C(214)와 PGW-U(206) 사이의 인터페이스를 제공한다.
또한 도시된 것과 같이, 보안 플랫폼(202)은 또한 예를 들어 맬웨어, DNS, URL, 커맨드 및 컨트롤(C&C), 및/또는 여러 기타 보안 업데이트들 및/또는 클라우드 맬웨어 샘플들 분석에 대한 동적 방지 서명들을 위한 보안 서비스(222)(예컨대, 맬웨어 샘플들의 자동화된 보안 분석뿐만 아니라 보안 전문가 분석을 포함하는, 팔로 알토 네트웍스, 인크.에 의해 제공되는 상업적으로 이용 가능한 클라우드 보안 서비스인 WildFireTM(WF) 클라우드 기반 맬웨어 분석 환경과 같은 상업적으로 이용 가능한 클라우드 기반 보안 서비스, 또는 다른 벤더에 의해 제공되는 유사한 솔루션이 사용될 수 있음)와 네트워크 통신한다.
도 2c를 참조하면, 네트워크 트래픽 통신들은 도 2a-b에 대해 위에 유사하게 기재되고 이하에 더 기재되는 것과 같이 보안 플랫폼(202)(예컨대, Sxa, Sxb, 및/또는 기타 통신들을 모니터링하기 위해 여러 위치들에 위치될 수 있음)을 사용하여 모니터링될 수 있다. 이 예시적인 구현에서, 보안 플랫폼(202)은 이하에 더 기재되는 것과 같이 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출하기 위해 214로 나타낸 서빙 게이트웨이-C와 206로 나타낸 서빙 게이트웨이-U 사이의 Sxa 인터페이스, 214로 나타낸 PDN 게이트웨이-C와 206로 나타낸 PDN 게이트웨이-U 사이의 Sxb 인터페이스에서 PFCP 메시지들(예컨대, UDP를 통한 PFCP)을 모니터링 및 파싱하기 위해 이 예시적인 4G 모바일 네트워크 환경에 위치된다.
도 2d는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼을 갖는 4G 무선 네트워크의 아키텍처의 또 다른 블록도이다. 구체적으로, 도 2d는 이하에 더 기재되는 것과 같이 제어 및 사용자 플레인 분리를 확보하기 위한 보안 플랫폼들(202a, 202b)(예컨대, 보안 기능(들)/플랫폼(들)은 방화벽(FW)/차세대 방화벽(NGFW), 방화벽 대신 작동하는 네트워크 센서, 또는 개시된 기술들을 사용하여 보안 정책들을 구현할 수 있는 다른 (가상) 디바이스/구성요소를 사용하여 구현될 수 있음)을 포함하는 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 예시적인 4G 모바일 네트워크 환경이다. 4G 모바일 네트워크 환경은 또한 고정/유선 액세스(도 2d에 도시되지 않음), Non-3GPP 액세스 예를 들어 Wi-Fi 액세스(도 2d에 도시되지 않음), 204로 나타낸 4G 무선 액세스 네트워크(RAN) 액세스, 및/또는 가입자들이 다양한 애플리케이션들, 웹 서비스들, 컨텐트 호스트들 등 및/또는 다른 네트워크들을 액세스하기 위한 데이터 통신들을(예컨대, UE(User Equipment), 예를 들어 스마트폰들, 랩톱들, 컴퓨터들(고정된 위치에 있을 수 있음), 및/또는 다른 셀룰러 가능 컴퓨팅 디바이스들/장비, 예를 들어 CIoT 디바이스들, 또는 다른 네트워크 통신 가능 디바이스들을 사용하여) 가능하게 하기 위한 다른 네트워크들(도 2d에 도시되지 않음)을 포함할 수 있다.
도 2d에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들(204)은 SGW-U(208) 및 PGW-U(206)로서 각각 나타낸 사용자 플레인 트래픽을 위한 PGW(Packet Gateway) 및 SGW(Serving Gateway)를 포함하는 사용자 플레인 네트워크 요소들과 통신한다. 보안 플랫폼(202b)은 TDF-U(224)와 통신하기 위해 보안 플랫폼(202b)을 통과하는 TDF-U(224)로서 나타낸 사용자 플레인 트래픽을 위한 트래픽 검출 기능과 PGW-U(206) 사이에 위치된다.
또한 도 2d에 도시된 것과 같이, 4G 네트워크 액세스 메커니즘들(204)은 제어 플레인 트래픽을 위한 코어 네트워크(210)를 액세스하기 위해 보안 플랫폼(202a)을 통과하는 코어 네트워크(210)와 통신(예컨대, Sxa/Sxb 인터페이스들을 통해)한다. 코어 네트워크(210)는 SGW-C(218) 및 PGW-C(216)로 각각 나타낸 제어 플레인 트래픽을 위한 PDN(Packet Data Network) 게이트웨이(PGW) 및 SGW(Serving Gateway)를 포함하는 제어 플레인 네트워크 요소들을 포함한다. 코어 네트워크(210)는 또한 도시된 것과 같이 보안 플랫폼(202b)을 통과하는, TDF-C(234)로서 나타낸 제어 플레인 트래픽을 위한 트랙픽 검출 기능을 포함한다. 구체적으로, Sxa 인터페이스는 UDP를 통한 PFCP를 통해 PGW-C(216)와 PGW-U(206) 사이의 인터페이스를 제공하고, Sxb 인터페이스는 UDP를 통한 PFCP를 통해 SGW-C(218)와 SGW-U(208) 사이의 인터페이스를 제공한다. 또한 도시된 것과 같이, Sxc 인터페이스는 UDP를 통한 PFCP를 통해 TDF-C(234)와 TDF-U(224) 사이의 인터페이스를 제공한다.
또한 도시된 것과 같이, 보안 플랫폼(202a)(예컨대, 및 다른 보안 플랫폼들은 보안 클라우드 서비스와 유사하게 통신할 수 있음)은 또한 예를 들어 맬웨어, DNS, URL, 커맨드 및 컨트롤(C&C), 및/또는 여러 기타 보안 업데이트들 및/또는 클라우드 맬웨어 샘플들 분석을 위한 동적 방지 서명들을 위한 보안 서비스(222)(예컨대, 상업적으로 이용 가능한 클라우드 기반 보안 서비스, 예를 들어 맬웨어 샘플들의 자동화된 보안 분석뿐만 아니라 보안 전문가 분석을 포함하는, 팔로 알토 네트웍스, 인크.에 의해 제공되는 상업적으로 이용 가능한 클라우드 보안 서비스인 WildFireTM(WF) 클라우드 기반 맬웨어 분석 환경, 또는 다른 벤더에 의해 제공되는 유사한 솔루션이 사용될 수 있음)와 네트워크 통신한다.
도 2d를 참조하면, 네트워크 트래픽 통신들은 도 2a-c에 대해 위에 유사하게 기재되고 이하에 더 기재되는 것과 같이 보안 플랫폼들(202a, 202b)(예컨대, Sxa, Sxb, Sxc, 및/또는 기타 통신들을 모너터링하기 위해 여러 위치들에 위치될 수 있음)을 사용하여 모니터링될 수 있다. 이 예시적인 구현에서, 보안 플랫폼들(202a, 202b)은 이하에 더 기재되는 것과 같이 PFCF 세션들을 셋업하고 제어 메시지 흐름의 추적을 유지하는데 사용되는 소정 정보를 추출하기 위해 216d로 나타낸 PDN 게이트웨이-C와 206으로 나타낸 PDN 게이트웨이-U 사이의 Sxa 인터페이스, 218로 나타낸 서빙 게이트웨이-C와 208로 나타낸 서빙 게이트웨이-U 사이의 Sxb 인터페이스, 및 234로 나타낸 TDF-C와 224로 나타낸 TDF-U 사이의 Sxc 인터페이스에서 PFCP 메시지들(예컨대, UDP를 통한 PFCP)을 모니터링 및 파싱하기 위해 이 예시적인 4G 모바일 네트워크 환경에 위치된다.
이제 명백해지는 바와 같이, 네트워크 트래픽 통신들은 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하는 것을 가능하게 하기 위해 4G 네트워크 및/또는 5G 네트워크(예컨대, 5G 네트워크 또는 수렴형 5G 네트워크) 내의 여러 위치들에서 네트워크 트래픽 통신들을 위한 하나 이상의 보안 플랫폼들을 사용하여 모니터링/필터링될 수 있다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 PFCP 트래픽 모니터링에 기초한 예시적인 보안 메커니즘들
위에서 유사하게 논의된 것과 같이, PFCP는 LTE에 대한 3GPP 기술 사양(TS) 29.244 v15.7에 명시된 바와 같이 제어 평면과 사용자 플레인 기능들 사이의 인터페이스; 제어 플레인과 사용자 플레인 노드들 간의 인터페이스(예: 이후 릴리스들/버전들)에서 사용될 것이다.
도 3a는 PFCP 세션 확립 절차를 위한 프로토콜 시퀀스 다이어그램이다. 도 3a를 참조하면, SMF(304)는 새로운 PDU 세션을 확립하거나 확립된 PDU 세션에 대한 UPF를 변경하라는 트리거를 수신한다. 310에서, SMF(304)는 N4 세션 확립 요청 메시지를 UPF(302)에 송신한다. 320에서, UPF(302)는 N4 세션 확립 응답 메시지로 응답한다. SMF(304)는 이 절차(예컨대 5G 코어 AMF(Access and Mobility Management Function) 또는 PCF(Policy Control Function))를 트리거한 네트워크 기능과 상호작용한다.
도 3b는 PFCP 세션 수정 절차를 위한 프로토콜 시퀀스 다이어그램이다. 도 3b를 참조하면, SMF(304)는 기존 PDU 세션을 수정하라는 트리거를 수신한다. 330에서, SMF(304)는 N4 세션 수정 요청 메시지를 UPF(302)에 송신한다. 340에서, UPF(302)는 N4 세션 수정 응답 메시지로 응답한다. SMF(304)는 이 절차(예컨대 AMF 또는 PCF)를 트리거한 네트워크 기능과 상호작용한다.
도 3c는 PFCP 세션 해제 절차를 위한 프로토콜 시퀀스 다이어그램이다. 도 3c를 참조하면, SMF(304)는 PDU 세션을 위한 N4 세션 컨텍스트를 제거하라는 트리거를 수신한다. 350에서, SMF(304)는 N4 세션 해제 요청 메시지를 UPF(302)에 송신한다. UPF(302)는 N4 세션 ID에 의해 제거될 N4 세션 컨텍스트를 식별하고 전체 세션 컨텍스트를 제거한다. 360에서, UPF(302)는 N4 세션 해제 응답 메시지(예컨대, UPF가 SMF에 제공해야 하는 임의의 정보를 포함)로 응답한다. SMF(304)는 이 절차(예컨대 AMF 또는 PCF)를 트리거한 네트워크 기능과 상호작용한다.
예시적인 구현에서, 다중-액세스 분산 에지 4G/5G 네트워크 또는 기업 사설 LTE 네트워크(예컨대, 도 1 및 또한 도 2a-d에 도시된 예를 들어 보안 플랫폼들 배치들)의 보안 플랫폼들 배치 토폴로지에 기초하여, PFCF 스테이트풀 검사는 이하에 기재된 것과 같이 수행될 수 있다.
먼저, 보안 플랫폼을 사용하여 PFCP 트래픽을 모니터링하면, 이하에 더 기재되는 것과 같이 보안 플랫폼은 PFCP 연결과 관련된 5-튜플 + 노드 ID(선택적)에 기초하여 세션들을 자동으로 구축한다(예컨대, 5-튜플은 다음의 파라미터들: 소스 IP 어드레스, SEID 1, 목적지 IP 어드레스, SEID 2, 및 사용 중인 프로토콜(이 예에서는 PFCP임)을 포함할 수 있음).
둘째, 보안 플랫폼은 기존 PFCP 연결에 대응하는 'ACTIVE' 세션과 일치하는 제어 플레인(CP) 또는 사용자 플레인(UP) 기능으로부터의 PFCP 세션 관련 메시지들만을 허용하는 보안 정책으로 구성된다.
셋째, 보안 플랫폼을 사용하여 PFCP 트래픽을 모니터링하면, 도 3a-c에 대해 이하에 더 기재되는 것과 같이, 보안 플랫폼은 다음 상태들: 5-튜플(예컨대, 5-튜플은 다음의 파라미터들: 소스 IP 어드레스, SEID 1, 목적지 IP 어드레스, SEID 2, 및 사용 중인 프로토콜(이 예에서는 PFCP임)에 기초한 PFCP 세션들의 생성, 업데이트, 및 해제를 추적하기 위해 PFCP 세션 상태 머신을 자동으로 구축할 수 있다.
넷째, 보안 플랫폼은 시퀀스 번호 체크를 수행하기 위한 보안 정책으로 구성된다. 예를 들어, 보안 플랫폼은 PFCP 요청 및 응답 메시지들에서 시퀀스 번호를 체크할 수 있다. 이 예에서, 보안 플랫폼은 PCFP 요청 메시지들와 일치하는 시퀀스 번호들을 갖는 PCFP 응답 메시지들만을 허용하는 보안 정책으로 구성된다(예컨대, 섹션 6.4의 3GPP TS 29.244 v15.7.0에 특정되고 - PCFP 요청 및 그것의 응답 메시지는 동일한 시퀀스 번호값을 가짐).
보안 플랫폼은 PFCP 트래픽의 모니터일에 기초하여 추가의 보안 메커니즘들을 수행하도록 구성될 수 있다. PFCP 트래픽의 모니터링에 기초한 그러한 추가의 보안 메커니즘들의 다양한 예들이 이제 기재될 것이다.
예를 들어, 보안 플랫폼은 사용자 플레인 IP 리소스 정보 체크를 수행하는 보안 정책으로 구성될 수 있다. 구체적으로, CUPS 인터페이스에 대한 추가의 보안은 UP(User Plane)와 CP(Control Plane) 기능 사이에서 교환되는 '사용자 플레인 IP 리소스 정보'를 체킹하여 적용될 수 있다. PFCP 연결 셋업 절차 중에, 'PFCP 연결 셋업 요청' 메시지는 CP 기능이 PFCP 연결 셋업 중에 UP 기능에 GTP-U F-TEID를 할당하기 위해 사용되어야 하는 TEID 범위와 함께 IPv4 및/또는 IPv6 어드레스를 포함해야 하는 '사용자 플레인 IP 리소스 정보'에 대한 IE(information element)를 선택적으로 포함할 수 있다. 이 예에서, 보안 플랫폼은 이 정보를 저장하는 보안 정책으로 구성될 수 있고 PFCP 연결 셋업 중 이전에 교환된 정확한 IPv4 및/또는 IPv6 어드레스를 사용하여 GTP-U F-TEID의 유효 범위와 일치하는 GTP-U 터널들의 셋업만을 허용한다.
다른 예로서, 보안 플랫폼은 과부하 방지 - PFCP 메시지들의 속도 제한 - 를 수행하는 보안 정책으로 구성될 수 있다. 구체적으로, 보안 플랫폼은, UPF, PGW-U, 및/또는 4G/5G 네트워크의 다른 네트워크 기능들과 같은 4G/5G 네트워크의 다양한 네트워크 기능들의 리소스들을 보호하기 위해 보안 플랫폼이 적용될 수 있는, 예를 들어 도 3a-c에 대해 위에서 기재된 PFCP 연결 셋업 요청, PFCP 세션 확립 요청, 및 PFCP 세션 삭제 요청을 모니터링하는 보안 정책으로 구성될 수 있다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 강화된 보안의 예시적인 사용 사례들
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 것을 포함하는, 보정 정책 강화를 위한 보안 플랫폼을 사용하여 4G/5G 모바일/서비스 제공자 네트워크들에 대한 강화된 보안을 제공하기 위한 개시된 기술들은 환경들에 대해 강화된 보안을 가능하게 하기 위한 다양한 추가의 예시적인 사용 사례 시나리오들에 적용될 수 있다.
예시적인 사용 사례 시나리오에서, PFCP 프로토콜은 UDP를 통해 실행되고 본질적으로 안정한 설계가 부족하다. 따라서, 모바일 네트워크는 공격들, 예를 들어 DoS(Denial of Service) 및/또는 스푸핑 공격들을 받을 수 있다.
예시적인 잠재적인 공격은 SEID(Session Endpoint Identifier) 브루트 포싱(예컨대, 0 또는 페이크 SEID)을 위해 PFCP 메시지들을 수신하는 SMF 네트워크 기능들 및/또는 UDF를 포함하는 하나 이상의 네트워크 기능들을 목표로 할 수 있다.
또 다른 예시적인 잠재적인 공격은 페이크 PFCP 세션 수정 요청 및/또는 PFCP 세션 삭제 요청과 함께 스푸핑된 PFCP 메시지들을 수신하는 SMF 네트워크 기능들 및/또는 UPF를 포함하는 네트워크 기능들을 목표로 할 수 있다.
더욱 또 다른 예시적인 잠재적인 공격은 Sxa/Sxb/N4 인터페이스(예컨대, 또는 다른 인터페이스들)를 액세스하는 공격자가 유효 PFCP 메시지들을 네트워크 기능(NF)에 송신하고 NF에 대한 유용한 정보를 갖는 응답 메시지를 수신하는 PFCP 노드 발견을 목표로 할 수 있다(예컨대, 그러한 정보는 이때 4G/5G 모바일 네트워크에 대한 공격을 시작하기 위해 공격자에 의해 사용될 수 있다).
개시된 잠재적인 공격 예들은 이하에 기재되는 것과 같이 개시된 기술들을 사용하여 탐지 및/또는 방지될 수 있다.
브루트 포스 0 또는 페이크 SEID 사용한 UPF 및/또는 SMF에 대한 DoS 공격들은 위에서 유사하게 기재된 것과 같은 보안 플랫폼에 의해 수행되는 PFCP 스테이트풀 검사를 사용하여 탐지 및 방지될 수 있다. UPF 및/또는 SMF에 대한 DoS 공격들 및/또는 스푸핑 공격들은 또한 위에서 유사하게 기재된 보안 플랫폼에 의해 시행되는 보안 정책에서 PFCP 메시지들을 속도 제한하는 적절한 임계값들을 구성하여 탐지 및 방지될 수 있다.
페이크 PFCP 세션 수정 요청들 및/또는 PFCP 세션 삭제 요청들을 사용한 UPF 및/또는 SMF에 대한 스푸핑 및/또는 세션/연관 하이재킹 공격들은 PFCP 스테이트풀 검사를 사용하여 탐지 및 방지될 수 있다. 구체적으로, 보안 플랫폼이 PFCP 연결 상태를 유지하기 때문에, 방화벽 테이블에서 기존 PFCP 연결과 일치하는 유효 PFCP 연결 메시지들만이 위에서 유사하게 기재된 것과 같은 보안 플랫폼에 의해 시행되는 보안 정책에 기초하여 허용될 수 있다. 유사하게, 보안 플랫폼은 PFCP 세션 상태를 유지하기 때문에, 방화벽 테이블의 기존 PFCP 세션과 일치하는 유효 PFCP 세션 메시지들만이 위에서 유사하게 기재된 것과 같은 보안 플랫폼에 의해 시행되는 보안 정책에 기초하여 허용될 수 있다.
끝으로, 네트워크 기능 정보를 수집하기 위해 PFCP 메시지들을 사용하는 정찰 공격들은 위에서 유사하게 기재된 것과 같이 보안 플랫폼에 의해 시행되는 보안 정책에 기초한 PFCP 스테이트풀 검사 및 PFCP 메시지 속도 제한을 모두 사용하여 탐지 및 방지될 수 있다.
당업자에게 명백한 바와 같이, 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 것을 포함하는, 보안 정책 시행을 위한 보안 플랫폼을 사용하는 4G/5G 모바일/서비스 제공자 네트워크들을 위한 강화된 보안을 제공하기 위한 개시된 기술들이 4G/5G 모바일/서비스 제공자 네트워크 환경들에 대한 강화된 보안을 가능하게 하기 위한 이들 및 다른 유형들의 공격들을 탐지/방지하기 위해 다양한 추가의 예시적인 사용 사례 시나리오들에 적용될 수 있다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 네트워크 디바이스의 예시적인 하드웨어 구성요소들
도 4는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 네트워크 디바이스의 하드웨어 구성요소들의 기능 다이어드램이다. 도시된 예는 네트워크 디바이스(400)에 포함될 수 있는 물리적/하드웨어 구성요소들(예컨대, 어플라이언스, 게이트웨이, 또는 본원에 개시된 보안 플랫폼을 구현할 수 있는 서버)의 표현이다. 구체적으로, 네트워크 디바이스(400)는 고성능 멀티-코어 CPU(402) 및 RAM(404)을 포함한다. 네트워크 디바이스(400)는 또한 정책 및 다른 구성 정보 뿐만 아니라 서명들을 저장하는데 사용될 수 있는 스토리지(410)(예컨대, 하나 이상의 하드 디스크들 또는 솔리드 스테이트 스토리지 유닛들)를 포함할 수 있다. 일 실시예에서, 스토리지(410)는 도 1-3c에 대해 위에서 유사하게 기재된 것과 같이 보안 플랫폼(들)을 사용하여 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 개시된 보안 정책 시행 기술들을 구현하기 위해 모니터링되는 여러 인터페이스들을 통해 PFCP 트래픽으로부터 추출되는 소정 정보(예컨대, PFCP 연결과 관련된 5-튜플 + 노드 ID(선택적), 다음 상태들: 5-튜플 + SEID에 기초한 PFCP 세션들의 생성, 업데이트, 및 해제를 추적하기 위한 PFCP 세션 상태 정보, PFCP 요청 및 응답 메시지들의 시퀀스 번호들 등)를 저장한다. 네트워크 디바이스(400)는 또한 하나 이상의 선택적 하드웨어 가속기들를 포함할 수 있다. 예를 들어, 네트워크 디바이스(400)는 암호화 및 암호해독 동작들을 수행하도록 구성된 암호화 엔진(406), 및 서명 매칭을 수행하고, 네트워크 프로세서들로서 작용하고, 및/또는 다른 태스크들을 수행하도록 구성된 하나 이상의 FPGA들(408)을 포함할 수 있다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 네트워크 디바이스의 예시적인 논리적 구성요소들
도 5는 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 네트워크 디바이스의 하드웨어 구성요소들의 기능 다이어드램이다. 도시된 예는 네트워크 디바이스(500)(예컨대, 개시된 보안 기능/플랫폼을구현하고 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 개시된 기술들을 수행할 수 있는 데이터 어플라이언스)에 포함될 수 있는 논리적 구성요소들의 표현이다. 도시된 것과 같이, 네트워크 디바이스(500)는 관리 플레인(502) 및 데이터 플레인(504)을 포함한다. 일 실시예에서, 관리 플레인은 예를 들어 정책들을 구성하고 로그 데이터를 보기 위한 사용자 인터페이스를 제공함으로써 사용자 상호작용들을 관리할 책임이 있다. 데이터 플레인은 예를 들어 패킷 처리 및 세션 핸들링을 수행함으로써 데이터를 관리한 책임이 있다.
모바일 디바이스가 암호화된 세션 프로토콜, 예를 들어 SSL을 사용하여 리소스(예컨대, 원격 웹 사이트/서버, MEC 서비스, IoT 디바이스 예를 들어 CIoT 디바이스, 또는 또 다른 리소스)를 액세스를 시도한다고 가정한다. 네트워크 프로세서(506)는 모바일 디바이스로부터 패킷들을 모니터링하고, 처리를 위해 패킷들을 데이터 플레인(504)에 제공하도록 구성된다. 흐름(508)은 새로운 세션의 부분으로서 패킷들을 식별하고 새로운 세션 흐름을 생성한다. 후속 패킷들은 흐름 조회에 기초하여 세션에 속하는 것으로 식별될 것이다. 적용 가능한 경우, SSL 암호해독은 본원에 기재된 여러 기술들을 사용하여 SSL 암호해독 엔진(510)에 의해 적용된다. 그렇지 않으면, SSL 암호해독 엔진(510)에 의한 처리는 생략된다. 애플리케이션 식별(APP ID) 모듈(512)은 세션이 수반하는 트래픽의 유형(예컨대, 도 1-3c에 대해 위에서 유사하게 기재된 것과 같이 여러 모니터링된 인터페이스들 사이의 UDP 트래픽을 통한 PFCP)을 결정하고 트래픽 흐름과 연관된 사용자를 식별하도록(예컨대 본원에 기재된 것과 같이 애플리케이션-ID를 식별하도록) 구성된다. 예를 들어, APP ID(512)는 수신된 데이터에서 GET 요청을 인식하고 세션이 HTTP 디코더(514)를 필요로 한다는 결론을 내일 수 있다. 다른 예로서, APP ID(512)는 PFCP 세션 확립/수정/해제 메시지들(예컨대, 예를 들어 도 3a-c에 대해 위에 유사하게 기재된 것과 같은 N4 세션 확립 요청/응답 메시지들)을 인식하고 세션이 PFCP 디코더(예컨대, 예를 들어 도 1-3c에 대해 위에서 유사하게 기재된 다양한 파라미터들을 포함하는 N4 세션 확립 관련 메시지들에서 교환된 정보를 추출하기 위해)를 필요로 한다는 결론을 내릴 수 있다. 각 유형의 프로토콜에 대해 대응하는 디코더(514)가 존재한다. 일 실시예에서, 애플리케이션 식별은 애플리케이션 식별 모듈(예컨대, APP ID 컴포넌트/엔진)에 의해 수행되고, 사용자 식별은 다른 컴포넌트/엔진에 의해 수행된다. APP ID(512)에 의해 이루어진 결정에 기초하여, 패킷들은 적절한 디코더(514)로 송신된다. 디코더(514)는 패킷들(예컨대, 순서 없이 수신될 수 있음)을 정확한 순서로 조립하고, 토큰화를 수행하고, 정보를 추출하도록(예컨대, 위에서 유사하게 기재되고 이하에 더 기재된 것과 같이 N4/Sxa/Sxb/Sxc/다른 인터페이스들을 통해 N4 세션 확립 관련 메시지들 및/또는 다양한 PFCP 메시지들에서 교환된 다양한 정보를 추출하기 위해) 구성된다. 디코더(514)는 또한 패킷에 발생해야 하는 것이 무엇인지를 결정하기 위해 서명 매칭을 수행한다. SSL 암호화 엔진(516)은 본원에 기재된 여러 기술들을 사용하여 암호화를 수행하고 이후 패킷들은 도시된 포워드 컴포넌트(618)를 사용하여 포워딩된다. 또한 도시된 것과 같이, 정책들(520)은 관리 플레인(502)에 수신되어 저장된다. 일 실시예에서, 정책 시행(예컨대, 정책들은 도메인 및/또는 호스트/서버 이름들을 사용하여 특정될 수 있는 하나 이상의 규칙들을 포함할 수 있고, 규칙들은 예를 들어 모니터링된 HTTP/2 메시지들 및/또는 모니터링된 PFCP의 DPI 및/또는 본원에 기재된 다른 프로토콜(들) 트래픽으로부터의 다양한 추출된 파라미터들/정보에 기초하여 서비스 제공자 네트워크들에서 가입자들/IP 흐름들에 대한 보안 정책 시행을 위해, 하나 이상의 서명들 또는 다른 매칭 기준들 또는 휴리스틱스들을 적용할 수 있음)이 모니터링되고, 암호화되고, 식별되고, 디코딩된 세션 트래픽 흐름들에 기초하여 다양한 실시예들에 대해 본원에 기재된 것과 같이 적용된다.
도 5에 또한 도시된 것과 같이, 인터페이스(I/F) 커뮤니케이터(522)가 또한 보안 플랫폼 관리 통신들(예컨대, (REST) API들, 메시지들, 또는 네트워크 프로토콜 통신들 또는 기타 통신 메커니즘들을 통한)을 위해 제공된다. 일부 경우들에서, 서비스 제공자 네트워크 상의 다른 네트워크 요소들의 네트워크 통신들은 네트워크 디바이스(500)를 사용하여 모니터링되고, 데이터 플레인(504)은 그러한 통신들의 디코딩을 지원한다(예컨대, I/F 커뮤니케이터(522) 및 디코더(514)를 포함하는 네트워크 디바이스(500)는 예를 들어, 기준점 인터페이스들 예를 들어 N4, Sxa, Sxb, Sxc, 및/또는 유선 및 무선 네트워크 트래픽 흐름이 존재하는 다른 인터페이스들)을 모니터링 및/또는 통신하도록 구성될 수 있다). 따라서, I/F 커뮤니케이터(522)를 포함하는 네트워크 디바이스(500)는 위에 기재되고 이하에 더 기재되는 것과 같이, MEC 서비스들 보안을 포함하는, 모바일/서비스 제공자 네트워크 환경들에 대한 보안 정책 시행을 위한 개시된 기술들을 구현하는데 사용될 수 있다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 이한 개시된 기술들을 위한 추가의 예시적인 프로세스들이 기재될 것이다.
모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 예시적인 프로세스들
도 6은 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 평면 분리를 확보하기 위한 프로세스의 흐름도이다. 일부 실시예들에서, 도 6에 도시된 프로세스(600)는 도 1-5에 대해 위에 기재된 실시예들을 포함하는, 위에 유사하게 기재된 보안 플랫폼 및 기술들에 의해 수행된다. 일 실시예에서, 프로세스(600)는 도 4에 대해 위에 기재된 데이터 어플라이언스(400), 도 5에 대해 위에 기재된 네트워크 디바이스(500), 가상 어플라이언스, SDN 보안 솔루션, 클라우드 보안 서비스, 및/또는 본원에 기재된 전술한 것들의 조합들 또는 혼합 구현들에 의해 수행된다.
프로세스는 602에서 시작한다. 602에서, 새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하는 것이 수행되고, 여기서 모바일 네트워크는 4G 네트워크 또는 5G 네트워크를 포함한다. 예를 들어, 보안 플랫폼(예컨대, 방화벽, 방화벽 대신 작동하는 네트워크 센서, 또는 보안 정책들을 구현할 수 있는 또 다른 디바이스/구성요소)은 일부 경우들에서 모바일 네트워크 상의 다양한 프로토콜들, 예를 들어 PFCP 트래픽 및/또는 기타 프로토콜들을 모니터링할 수 있고, 보다 구체적으로, 개시된 기술들을 수행함으로써, 위에 유사하게 기재된 것과 같은 여러 인터페이스들, 예를 들어 N4, Sxa, Sxb, 및 Sxc 인터페이스들을 모니터링할 수 있다.
604에서, 보안 플랫폼에서 PFCP로부터 복수의 파라미터들을 추출하는 것이 수행된다. 예를 들어, 보안 플랫폼은 위에 유사하게 기재된 것과 같이 소스 IP 어드레스, SEID 1, 목적지 IP 어드레스, SEID 2, 및 PFCP 연결과 관련된 사용 중인 프로토콜을 추출하기 위해 PFCP를 파싱할 수 있다. 다른 예로서, 보안 플랫폼은 위에 유사하게 기재된 것과 같이 PFCP 연결과 관련된 노드 ID를 추출하기 위해 PFCP 메시지를 파싱할 수 있다.
606에서, 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 하나 이상의 복수의 파라미터들에 기초하여 새로운 세션 상의 보안 플랫폼에서 보안 정책을 시행하는 것이 수행된다. 예를 들어, 4G/5G 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 DoS(Denial of Service) 공격들의 탐지 및 방지가 위에 유사하게 기재된 것과 같은 보안 플랫폼에 의해 수행될 수 있다. 다른 예로서, 4G/5G 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 SEID(Session Endpoint Identifier) 스푸핑 공격들의 탐지 및 방지가 위에 유사하게 기재된 것과 같은 보안 플랫폼에 의해 수행될 수 있다.
도 7은 일부 실시예들에 따라 모바일 네트워크들에서 제어 및 사용자 평면 분리를 확보하기 위한 프로세스의 또 다른 흐름도이다. 일부 실시예들에서, 도 7에 도시된 프로세스(700)는 도 1-5에 대해 위에 기재된 실시예들을 포함하는 위에 유사하게 기재된 것과 같은 보안 플랫폼 및 기술들에 의해 수행된다. 일 실시예에서, 프로세스(700)는 도 4에 대해 위에 기재된 것과 같은 데이터 어플라이언스(400), 도 5에 대해 위에 기재된 것과 같은 네트워크 디바이스(500), SDN 보안 솔루션, 클라우드 보안 서비스, 및/또는 본원의 앞에 기재된 것들의 조합들 또는 혼합 구현들에 의해 수행된다.
702에서, 새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하는 것이 수행되고, 여기서 모바일 네트워크는 4G 네트워크 또는 5G 네트워크를 포함한다. 예를 들어, 보안 플랫폼(예컨대, 방화벽, 방화벽 대신 작동하는 네트워크 센서, 또는 보안 정책들을 구현할 수 있는 또 다른 디바이스/구성요소)은 일부 경우들에서, 모바일 네트워크 상의 다양한 프로토콜들, 예를 들어 PFCP 트래픽 및/또는 기타 프로토콜들을 모니터링할 수 있고, 보다 구체적으로, 개시된 기술들을 수행함으로써, 위에 유사하게 기재된 것과 같은 여러 인터페이스들, 예를 들어 N4, Sxa, Sxb, 및 Sxc 인터페이스들을 모니터링할 수 있다.
704에서, 보안 플랫폼에서 PFCP 연결과 관련된 5-튜플 + 노드 ID(선택적)(예컨대, 5-튜플은 다음의 파라미터들: 소스 IP 어드레스, SEID 1, 목적지 IP 어드레스, SEID 2, 및 사용 중인 프로토콜(이 예에서는 PFCP임)에 기초하여 세션들을 구축하기 위해 모니터터링된 PCFP 트래픽으로부터 파라미터들을 추출하는 것이 예를 들어 위에 유사하게 기재된 것과 같이 수행된다.
706에서, 보안 플랫폼에서 PFCP 세션 상태 머신을 구축하기 위해 모니터링된 PCFP 트래픽으로부터 파라미터들을 추출하는 것이 수행된다. 예를 들어, 보안 플랫폼은 위에서 유사하게 기재된 것과 같이 다음 상태들: 5-튜플 + SEID에 기초하여 PFCP 세션들의 생성, 업데이트, 및 릴리스를 추적할 수 있다.
708에서, 기존 PFCP 연결에 대응하는 'ACTIVE' 세션과 일치하는 CP(Control Plane) 또는 UP(User Plane) 기능으로부터 PFCP 세션 관련 메시지들만을 허용하기 위해 보안 플랫폼에서 보안 정책을 시행하는 것이 위에 유사하게 기재된 것과 같이 수행된다.
710에서, 시퀀스 번호 체크를 수행하기 위해 보안 플랫폼에서 보안 정책을 시행하는 것이 수행된다. 예를 들어, 보안 플랫폼은 요청 및 응답 메시지들에서 시퀀스 번호를 체크할 수 있다. 이 예에서, 보안 플랫폼은 위에 유사하게 기재된 것과 같이 PCFP 요청 메시지들과 일치하는 시퀀스 번호들(예컨대, 섹션 6.4의 3GPP TS 29.244 v15.7.0에 특정되고 - PCFP 요청 및 그것의 응답 메시지는 동일한 시퀀스 번호값을 가짐)을 갖는 PFCP 응답 메시지들만을 허용하는 보안 정책으로 구성된다.
개시된 실시예들의 관점에서 명백해지는 것과 같이, 네트워크 서비스 제공자/모바일 운영자(예컨대, 셀룰러 서비스 제공자 엔터티), 디바이스 제조자(예컨대, 자동차 엔터티, IoT 디바이스 엔터티, 및/또는 다른 디바이스 제조자), 및/또는 시스템 통합자들은 4G 네트워크들 및 5G 네트워크들을 포함하는 모바일 네트워크들에서 제어 및 사용자 플레인 분리를 확보하기 위한 상기 및 다른 기술적 네트워크 보안 문제들을 해결하기 위해 개시된 기술들을 사용하여 보안 플랫폼에 의해 시행될 수 있는 그러한 보안 정책을 특정할 수 있다.
전술한 실시예들은 명확한 이해를 위해 일부 상세하게 기술되었지만, 본 발명은 제공된 상세들에 제한되지 않는다. 본 발명을 구현하는 많은 대안적인 방법들이 있다. 개시된 실시예들은 예시적인 것이며 제한적이지 않다.

Claims (20)

  1. 시스템에 있어서:
    프로세서로서,
    새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하고, 상기 모바일 네트워크는 4G 네트워크 또는 5G 네트워크를 포함하고;
    상기 보안 플랫폼에서 상기 PFCP 메시지로부터 복수의 파라미터들을 추출하고;
    상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 하나 이상의 상기 복수의 파라미터들에 기초하여 상기 새로운 세션 상의 상기 보안 플랫폼에서 보안 정책을 시행하도록 구성된, 상기 프로세서; 및
    상기 프로세서에 결합되고 상기 프로세서에 명령들을 제공하도록 구성된 메모리를 포함하는, 시스템.
  2. 제 1 항에 있어서,
    상기 보안 플랫폼에서 상기 PFCP 메시지로부터 추출된 상기 복수의 파라미터들은 소스 IP 어드레스, SEID(Session Endpoint Identifier) 1, 목적지 IP 어드레스, SEID 2, 및 사용 중인 프로토콜을 포함하는, 시스템.
  3. 제 1 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 복수의 보안 정책들로 구성되는, 시스템.
  4. 제 1 항에 있어서,
    상기 프로세서는:
    소스 IP 어드레스, SEID(Sessio Endpoint Identifier) 1, 목적지 IP 어드레스, SEID 2, 및 PFCP 연결과 관련된 사용 중인 프로토콜을 추출하기 위해 상기 PFCP 메시지를 파싱하도록 추가로 구성되는, 시스템.
  5. 제 1 항에 있어서,
    상기 프로세서는:
    PFCP 연결과 관련된 노드 ID를 추출하기 위해 상기 PFCP 메시지를 파싱하도록 추가로 구성되는, 시스템.
  6. 제 1 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 5G 네트워크에 대한 코어 네트워크에 대한 및/또는 코어 네트워크에서 네트워크 트래픽을 모니터링하는, 시스템.
  7. 제 1 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 DoS(Denial of Service) 공격들의 탐지 및 방지를 수행하도록 구성되는, 시스템.
  8. 제 1 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 SEID(Session Endpoint Identifier) 스푸핑(Spoofing) 공격들의 탐지 및 방지를 수행하도록 구성되는, 시스템.
  9. 제 1 항에 있어서,
    상기 프로세서는 상기 보안 정책에 기초하여 새로운 세션이 리소스를 액세스하는 것을 차단하도록 추가로 구성되는, 시스템.
  10. 제 1 항에 있어서,
    상기 프로세서는 상기 보안 정책에 기초하여 상기 새로운 세션이 리소스를 액세스하는 것을 허용하도록 추가로 구성되는, 시스템.
  11. 방법에 있어서,
    새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하는 단계로서, 상기 모바일 네트워크는 4G 네트워크 또는 5G 네트워크를 포함하는, 상기 네트워크 트래픽을 모니터링하는 단계;
    상기 보안 플랫폼에서 상기 PFCP 메시지로부터 복수의 파라미터들을 추출하는 단계; 및
    상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 하나 이상의 상기 복수의 파라미터들에 기초하여 상기 새로운 세션 상의 상기 보안 플랫폼에서 보안 정책을 시행하는 단계를 포함하는, 방법.
  12. 제 11 항에 있어서,
    상기 보안 플랫폼에서 상기 PFCP 메시지로부터 추출된 상기 복수의 파라미터들은 소스 IP 어드레스, SEID(Session Endpoint Identifier) 1, 목적지 IP 어드레스, SEID 2, 및 사용 중인 프로토콜을 포함하는, 방법.
  13. 제 11 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 복수의 보안 정책들로 구성되는, 방법.
  14. 제 11 항에 있어서,
    소스 IP 어드레스, SEID(Sessio Endpoint Identifier) 1, 목적지 IP 어드레스, SEID 2, 및 PFCP 연결과 관련된 사용 중인 프로토콜을 추출하기 위해 상기 PFCP 메시지를 파싱하는 단계를 추가로 포함하는, 방법.
  15. 제 11 항에 있어서,
    PFCP 연결과 관련된 노드 ID를 추출하도록 상기 PFCP 메시지를 파싱하는 단계를 추가로 포함하는, 방법.
  16. 제 11 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 5G 네트워크에 대한 코어 네트워크에 대한 및/또는 코어 네트워크에서 네트워크 트래픽을 모니터링하는, 방법.
  17. 제 11 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 DoS(Denial of Service) 공격들의 탐지 및 방지를 수행하도록 구성되는, 방법.
  18. 제 11 항에 있어서,
    상기 보안 플랫폼은 상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 SEID(Session Endpoint Identifier) 스푸핑 공격들의 탐지 및 방지를 수행하도록 구성되는, 방법.
  19. 제 11 항에 있어서,
    상기 보안 정책에 기초하여 상기 새로운 세션이 리소스를 액세스하는 것을 허용하거나 차단하는 단계를 더 포함하는, 방법.
  20. 비일시적 컴퓨터 판독 가능 저장 매체로 구현되고 컴퓨터 명령들을 포함하는 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 명령들은:
    새로운 세션과 연관된 PFCP(Packet Forwarding Control Protocol) 메시지를 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하고, 상기 모바일 네트워크는 4G 네트워크 또는 5G 네트워크를 포함하고;
    상기 보안 플랫폼에서 상기 PFCP 메시지로부터 복수의 파라미터들을 추출하고;
    상기 모바일 네트워크에서 제어 및 사용자 플레인 분리를 확보하기 위해 하나 이상의 상기 복수의 파라미터들에 기초하여 상기 새로운 세션 상의 상기 보안 플랫폼에서 보안 정책을 시행하기 위한 것인, 컴퓨터 프로그램 제품.
KR1020227045998A 2020-06-30 2021-06-16 모바일 네트워크들에서의 보안 제어 및 사용자 플레인 분리 KR20230018457A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/917,490 2020-06-30
US16/917,490 US11689502B2 (en) 2020-06-30 2020-06-30 Securing control and user plane separation in mobile networks
PCT/US2021/037590 WO2022005748A1 (en) 2020-06-30 2021-06-16 Securing control and user plane separation in mobile networks

Publications (1)

Publication Number Publication Date
KR20230018457A true KR20230018457A (ko) 2023-02-07

Family

ID=79030576

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227045998A KR20230018457A (ko) 2020-06-30 2021-06-16 모바일 네트워크들에서의 보안 제어 및 사용자 플레인 분리

Country Status (6)

Country Link
US (2) US11689502B2 (ko)
EP (1) EP4173338A1 (ko)
JP (1) JP2023532924A (ko)
KR (1) KR20230018457A (ko)
CN (1) CN115989661A (ko)
WO (1) WO2022005748A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11343285B2 (en) * 2020-01-31 2022-05-24 Palo Alto Networks, Inc. Multi-access edge computing services security in mobile networks by parsing application programming interfaces
US11546368B2 (en) * 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US20220225174A1 (en) * 2021-01-08 2022-07-14 Motojeannie, Inc. Experience-driven network (edn)
US11895537B2 (en) * 2021-05-11 2024-02-06 Verizon Patent And Licensing Inc. Systems and methods for supporting multi-access edge computing using application-based quality of service flows
US20230396639A1 (en) * 2022-06-02 2023-12-07 Booz Allen Hamilton Inc. System and method using genetic algorithms for anomaly detection in a mobile network
US20240073698A1 (en) * 2022-08-31 2024-02-29 Palo Alto Networks, Inc. Applying subscriber-id based security, equipment-id based security, and/or network slice-id based security with user-id and syslog messages in mobile networks

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8973088B1 (en) 2011-05-24 2015-03-03 Palo Alto Networks, Inc. Policy enforcement using host information profile
US9100236B1 (en) * 2012-09-30 2015-08-04 Juniper Networks, Inc. TCP proxying of network sessions mid-flow
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
US10193863B2 (en) 2016-10-07 2019-01-29 Microsoft Technology Licensing, Llc Enforcing network security policy using pre-classification
US10855656B2 (en) 2017-09-15 2020-12-01 Palo Alto Networks, Inc. Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
EP3756384A1 (en) 2018-02-20 2020-12-30 Microsoft Technology Licensing, LLC Dynamic selection of network elements
US10506506B2 (en) * 2018-04-30 2019-12-10 Ofinno, Llc 5G policy control for restricted local operator services
US10574670B1 (en) 2018-09-27 2020-02-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
US11184953B2 (en) * 2019-10-30 2021-11-23 Verizon Patent And Licensing Inc. Systems and methods for providing low latency services via an evolved packet core network

Also Published As

Publication number Publication date
US20230412566A1 (en) 2023-12-21
JP2023532924A (ja) 2023-08-01
CN115989661A (zh) 2023-04-18
WO2022005748A1 (en) 2022-01-06
EP4173338A1 (en) 2023-05-03
US20210409375A1 (en) 2021-12-30
US11689502B2 (en) 2023-06-27

Similar Documents

Publication Publication Date Title
US11792235B2 (en) Network slice-based security in mobile networks
US11019077B2 (en) Multi-access distributed edge security in mobile networks
CA3088359C (en) Multi-access distributed edge security in mobile networks
US11343285B2 (en) Multi-access edge computing services security in mobile networks by parsing application programming interfaces
US10812971B2 (en) Service-based security per data network name in mobile networks
US11689502B2 (en) Securing control and user plane separation in mobile networks
US10812972B2 (en) Service-based security per user location in mobile networks
JP7410343B2 (ja) モバイルネットワークにおけるネットワークスライスベースのセキュリティ
US10531305B1 (en) Service-based security per subscription and/or equipment identifiers in mobile networks
US11799914B2 (en) Cellular internet of things battery drain prevention in mobile networks