服务提供商网络中的基于位置的安全性的制作方法

文档序号:20118812发布日期:2020-03-17 20:42阅读:318来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
服务提供商网络中的基于位置的安全性的制作方法



背景技术:

防火墙通常保护网络免受未授权的访问,同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备或设备的集合或在设备(诸如计算机)上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)中或作为软件在计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)上执行。

防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量。防火墙还可以通过应用规则的集合或策略来过滤出站流量。防火墙还可以能够执行基本路由功能。

附图说明

在以下详细描述和附图中公开了本发明的各种实施例。

图1a是根据一些实施例的具有用于提供增强安全性的安全平台的3g无线网络的框图。

图1b是根据一些实施例的具有用于提供增强安全性的安全平台的4g/lte无线网络的框图。

图2a是根据一些实施例的在3g网络中的sgsn和ggsn之间交换的gtpv1-c消息的示例。

图2b是根据一些实施例的在4g/lte网络中的包括mme、sgw和pgw的实体之间交换的gtpv2-c消息的示例。

图3a是根据一些实施例的在3g网络中的sgsn和ggsn之间的gtpv1-c消息流的另一示例。

图3b是根据一些实施例的在4g/lte网络中的mme、sgw和pgw之间的gtpv2-c消息流的另一示例。

图4a是根据一些实施例的在3g网络中为漫游接入提供增强安全性的示例用例。

图4b是根据一些实施例的在4g/lte网络中为漫游接入提供增强安全性的示例用例。

图4c是根据一些实施例的在混合的3g和4g/lte网络中为漫游接入提供增强安全性的示例用例。

图4d是根据一些实施例的在4g/lte网络中为移动接入提供增强安全性的示例用例。

图4e是根据一些实施例的在4g/lte网络中为非3gpp接入提供增强安全性的示例用例。

图4f是根据一些实施例的在4g/lte网络中使用核心防火墙为移动接入提供增强安全性的示例用例。

图4g是根据一些实施例的在3g网络中使用核心防火墙为移动接入提供增强安全性的示例用例。

图5是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的硬件组件的功能图。

图6是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的逻辑组件的功能图。

图7是根据一些实施例的用于在服务提供商的移动网络中执行基于位置的安全性的过程的流程图。

图8是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动设备标识和/或iot设备标识和应用标识的安全实施的过程的流程图。

图9是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动用户标识和/或基于sim的iot标识和应用标识的安全实施的过程的流程图。

图10是根据一些实施例的用于在服务提供商的移动网络中执行基于无线电接入技术(rat)的安全性的过程的流程图。

具体实施方式

本发明可以以多种方式来实现,包括作为过程;装置;系统;物质的组成物;在计算机可读存储介质上实现的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或者本发明可以采取的任何其他形式可以被称为技术。通常,可以在本发明的范围内改变所公开的过程的步骤的顺序。除非另有说明,否则被描述为被配置成执行任务的诸如处理器或存储器的组件可以被实现为被暂时配置成在给定时间时执行任务的通用组件或者被制造成执行任务的特定组件。如本文中所使用的,术语‘处理器’指的是被配置成处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核心。

下面连同说明本发明的原理的附图提供了本发明的一个或多个实施例的详细描述。结合这样的实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明包含多个替代、修改和等同物。在以下描述中阐述了多个具体细节,以便提供对本发明的透彻理解。这些细节被提供用于示例的目的,并且本发明可以根据权利要求来实施,而没有这些具体细节中的一些或全部。为了清楚的目的,尚未详细描述与本发明相关的技术领域中已知的技术材料,使得不会不必要地模糊本发明。

防火墙通常保护网络免受未授权的访问,同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备、设备的集合或在设备上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行,所述各种类型的设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)。

防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量,以防止不需要的外部流量到达受保护的设备。防火墙还可以通过应用规则的集合或策略来过滤出站流量(例如,允许、阻止、监视、通知或日志记录,和/或可以在防火墙/安全规则或防火墙/安全策略中指定其他动作,其可以基于各种标准来触发,诸如本文中描述的那样)。防火墙还可以通过应用规则的集合或策略来应用防病毒保护、恶意软件检测/预防或入侵保护。

安全设备(例如,安全装备、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如,防火墙、防恶意软件、入侵预防/检测、代理和/或其他安全功能)、联网功能(例如,路由、服务质量(qos)、网络相关资源的工作负载平衡和/或其他联网功能)和/或其他功能。例如,路由功能可以基于源信息(例如,源ip地址和端口)、目的地信息(例如,目的地ip地址和端口)和协议信息。

基本分组过滤防火墙通过检查通过网络传输的各个分组来过滤网络通信流量(例如,分组过滤防火墙或第一代防火墙,其是无状态分组过滤防火墙)。无状态分组过滤防火墙通常检查各个分组本身,并基于检查的分组应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。

应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,其在tcp/ip堆栈的应用层上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(http)的web浏览、域名系统(dns)请求、使用文件传输协议(ftp)的文件传输以及各种其他类型的应用和其他协议,诸如telnet、dhcp、tcp、udp和tftp(gss))。例如,应用防火墙可以阻止尝试通过标准端口通信的未授权协议(例如,通常可以使用应用防火墙来标识尝试通过使用针对该协议的非标准端口偷偷通过的未授权/超出策略协议)。

状态防火墙还可以执行基于状态的分组检查,其中在与多个分组流/一个分组流的该网络传输的流相关联的一系列分组的上下文中检查每个分组(例如,状态防火墙或第三代防火墙)。该防火墙技术通常被称为状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接的状态其本身可以是触发策略中的规则的标准之一。

高级或下一代防火墙可以执行无状态和状态分组过滤和应用层过滤,如上面讨论的那样。下一代防火墙还可以执行附加的防火墙技术。例如,有时被称为高级或下一代防火墙的某些较新的防火墙还可以标识用户和内容。特别地,某些下一代防火墙正在将这些防火墙可以自动标识的应用的列表扩展到数千个应用。这样的下一代防火墙的示例是从paloalto网络公司商业上可获得的(例如,paloalto网络的pa系列下一代防火墙和paloalto网络的vm系列虚拟化下一代防火墙)。

例如,paloalto网络的下一代防火墙使得企业和服务提供商能够使用各种标识技术来标识和控制应用、用户和内容——不仅仅是端口、ip地址和分组,诸如以下各项:用于准确的应用标识的app-idtm(例如,appid)、(例如,用户id)用于用户标识的(例如,通过用户或用户组)的user-idtm以及用于实时内容扫描(例如,控制web冲浪并限制数据和文件传输)的content-idtm(例如,内容id)。这些标识技术允许企业使用业务相关的概念安全地使能应用使用,而不是遵循由传统端口阻挡防火墙提供的传统方法。此外,实现为例如专用装备的用于下一代防火墙的专用硬件通常比在通用硬件上执行的软件提供更高的应用检查的性能水平(例如,诸如由paloalto网络公司提供的安全装备,其利用与单程(single-pass)软件引擎紧密集成的专用功能特定处理来最大化网络吞吐量,同时最小化paloalto网络的pa系列下一代防火墙的延迟)。

当今的服务提供商的移动网络中的技术和安全挑战

在当今的服务提供商网络环境中,服务提供商通常只能为通过服务提供商的无线网络通信的无线设备实施静态安全策略(例如,服务提供商无法为通过服务提供商的无线网络通信的无线设备在每个端点的基础上和/或每个流的基础上定义安全/防火墙策略),并且任何改变通常需要网络基础设施更新。此外,在当今的服务提供商网络环境中,服务提供商通常无法为通过服务提供商的无线网络通信的无线设备实现基于与无线设备相关联的硬件属性或位置信息的安全策略(例如,服务提供商无法实现基于与无线设备相关联的各种其他相关参数的安全策略,所述参数诸如通过无线网络通信的设备的唯一硬件标识符和/或物理位置)。

因此,存在对于服务提供商网络的技术和安全挑战。这样,所需要的是用于这样的服务提供商网络环境的新的和改进的安全技术。具体地,所需要的是用于监视服务提供商网络流量并在服务提供商网络上应用安全策略(例如防火墙策略)的新的和改进的解决方案。

用于服务提供商的移动网络中的增强安全性的技术的概述

因此,公开了用于服务提供商网络环境中的增强安全性平台的技术。具体地,公开了用于实现的各种系统架构和用于在服务提供商网络环境中提供可以监视gprs隧道协议(gtp)的安全平台的各种过程。更具体地,公开了用于实现的各种系统架构和用于在服务提供商网络环境中提供可以监视gprs隧道协议(gtp)的安全平台的各种过程,gprs隧道协议(gtp)包括例如用于网关gprs支持节点(ggsn)和服务gprs支持节点(sgsn)之间的信令的gtp-c,以及用于gprs/移动核心网内以及无线电接入网(ran)和gprs/移动核心网之间的用户数据的gtp-u。例如,所公开的技术使用服务提供商网络上的下一代防火墙的促进应用基于应用、ip地址、内容id、订户位置、唯一设备标识符(例如,用于通常唯一的3gpp设备标识符的国际移动设备标识符(imei),诸如用于全球移动通信系统(gsm)网络的移动电话)、唯一订户标识符(例如,用于唯一标识gsm订户的国际移动订户标识(imsi))、无线电接入技术(rat)(例如,用于标识移动设备的相关联的rat),和/或其任何组合的安全策略,诸如下面进一步描述的那样。

当移动设备附着到网络(例如,3gpp/lteepc网络)时,锚网关(例如,3gpp/lteepc网络中的分组数据网络(pdn)网关或pgw)通常将通过gx接口查询策略计费功能和控制(pcrf)实体,以确定针对该订户的策略。pcrf实体将向pgw发送回关于例如qos、过滤和/或被存储在针对该订户的pcrf实体中的其他策略相关信息的信息,其将针对该订户来应用(例如,pcrf实体通常被用于管理/控制无线网络上的带宽和qos;并且aaa服务器通常被用于无线网络上的认证目的)。

在一个实施例中,安全平台被配置成监视移动核心网中的sgsn和ggsn之间的gtp通信(例如,下一代防火墙,其可以监视创建pdp请求和/或为激活、更新和/或解激活服务提供商的网络中的gtp会话而交换的各种其他gtp-c消息,如下面进一步描述的那样),以及安全平台(例如,防火墙(fw)、代表防火墙起作用的网络传感器或者可以使用所公开的技术实现安全策略的另一个设备/组件)被配置成使用从gtp-c消息中提取的一个或多个参数来应用安全策略,如下面进一步描述的那样。因此,服务提供商、iot设备提供商和/或系统集成商可以使用所公开的技术以使用从gtp-c消息中提取的一个或多个参数来配置和实施增强的安全策略,如下面进一步描述的那样。

在一个实施例中,安全平台被配置成监视移动核心网中的sgsn和ggsn之间的gtp通信(例如,下一代防火墙,其可以监视服务提供商的网络中gtp会话期间的gtp-u流量,如下面进一步描述的那样),以及安全平台(例如,防火墙(fw)、代表防火墙起作用的网络传感器或者可以使用所公开的技术实现安全策略的另一个设备/组件)被配置成使用从gtp-c消息中提取的一个或多个参数并基于在gtp会话期间由安全平台监视的用户会话流量(例如,appid、内容id、url过滤和/或在gtp会话期间从用户流量中提取的其他状态分组检查)来应用安全策略,如下面进一步描述的那样。因此,服务提供商、iot设备提供商和/或系统集成商可以使用所公开的技术以使用从gtp-c消息中提取的一个或多个参数和从gtp会话中的用户流量中提取的信息来配置和实施增强的安全策略,如下面进一步描述的那样。

例如,服务提供商、iot设备提供商和/或系统集成商可以应用基于imei、imsi、位置和/或rat的不同的安全策略。作为另一个示例,服务提供商、iot设备提供商和/或系统集成商可以基于gtp会话期间监视的用户流量应用基于imei、imsi、位置和/或rat的不同的安全策略。

在一个实施例中,安全平台(例如,防火墙、代表防火墙起作用的网络传感器或者可以实现安全策略的另一个设备/组件)被配置成在数据呼叫被建立和/或使用所公开的技术修改/更新时使用现有的3gpp来动态地应用安全策略(例如,粒度安全策略,其可以实时地根据订户(例如,imsi)/ip、实时地根据移动设备(例如,imei)/ip、实时地根据订户位置/ip、实时地根据rat/ip和/或其任何组合来应用),诸如下面进一步描述的那样。例如,安全平台可以被配置成针对无线设备根据ip流来动态地应用安全策略。

在一个实施例中,移动核心/服务提供商的核心网中的信令消息(例如,为激活、更新和解激活隧道会话而交换的消息)是如在当前3gppepc(例如,gtp-c消息,诸如用于3g网络的gtpv1-c和用于4g网络的gtpv2-c)和/或其他无线网络环境中使用的现有的和/或标准消息,并且安全平台被配置成监视这样的消息,以从这些消息中提取可被用于应用安全策略的一个或多个参数,如下面将进一步描述的那样。

在一个实施例中,安全平台被配置成监视去往/来自服务提供商网络上的各种网络元件(诸如sgsn和ggsn)的gtp-c消息(例如,创建pdp请求消息和创建pdp响应、更新pdp请求和更新pdp响应和/或删除pdp请求和删除pdp响应),诸如下面进一步描述的那样。

在一个实施例中,安全平台被配置成监视移动核心/服务提供商的核心网中的隧道会话中的用户会话流量(例如,gtp-u流量),以执行深度分组检查(dpi)安全监视技术,该技术可被用于基于用户会话流量来应用安全策略,如下面将进一步描述的那样。

在一个实施例中,安全平台被配置成监视去往/来自服务提供商网络中的各种网络元件的gtp-u会话,如下面将进一步描述的那样。

在一个实施例中,安全平台被配置成监视去往/来自服务提供商网络上的各种网络元件(诸如sgsn和ggsn)的信令消息(例如,为激活、更新和解激活gtp隧道而交换的消息,诸如gtp-c消息)(例如,创建pdp请求消息和创建pdp响应、更新pdp请求和更新pdp响应和/或删除pdp请求和删除pdp响应),并且还被配置成监视移动核心/服务提供商的核心网中的隧道会话中的用户会话流量(例如,gtp-u流量),以执行深度分组检查(dpi)安全监视技术,该技术可被用于基于从信令消息和/或用户会话流量中提取的信息来应用安全策略,如下面将进一步描述的那样。

在一个实施例中,订户/ip地址与安全策略相关联(例如,映射到安全策略),以促进使用安全平台(例如,下一代防火墙(ngfw))根据ip流的安全策略实施。例如,安全平台可以基于从信令消息和/或用户会话流量中提取的信息来应用粒度安全策略,如下面将进一步描述的那样。

用于服务提供商的移动网络中实现增强的安全性的示例系统架构

图1a是根据一些实施例的具有用于提供增强的安全性的安全平台的3g无线网络的框图。图1a是用于3g网络架构的示例服务提供商网络环境,其包括3g网络(例如,并且还可以包括有线、wi-fi、4g、5g和/或其他网络(图1a中未示出))以促进订户通过因特网和/或其他网络进行数据通信。如图1a中所示,无线电接入网(ran)130与移动核心网120通信。ran130可以包括无线网络中的(一个或多个)宏小区142,以及无线网络中的小小区,诸如(一个或多个)3g微小区144、(一个或多个)3g微微小区146和3g毫微微小区148。如所示,各种用户设备(ue)132、134和136可以使用ran130中的各种小区进行通信。

还如图1a中所示,示出为(一个或多个)3g微小区144、(一个或多个)3g微微小区146和(一个或多个)3g毫微微小区148的小小区通过ip宽带无线网络140与家庭节点b网关(hnbgw)108网络通信,并且在该示例中,使用被配置成执行所公开的安全技术的安全平台102(例如,包括防火墙(fw)的(虚拟)设备/装备、代表网络的起作用的网络传感器或可以使用所公开的技术来实现安全策略的另一设备/组件)来监视/过滤流量,如下面进一步描述的那样。还如所示,(一个或多个)宏小区(nodeb)142与无线电网络控制器(rnc)110进行网络通信,并且使用被配置成执行所公开的安全技术的安全平台102(例如,防火墙(fw)、代表防火墙起作用的网络传感器或者可以使用所公开的技术来实现安全策略的另一设备/组件)来监视/过滤流量,如下面进一步描述的那样。

还如图1a中所示,hnbgw108和rnc110各自经由移动(3g)核心网120的服务gprs支持节点(sgsn)112和网关gprs支持节点(ggsn)114与分组数据网络(pdn)122通信,并经由移动核心网120的移动交换中心(msc)116与公共交换电话网络(pstn)124通信。如所示,使用被配置成执行所公开的安全技术的安全平台102(例如,防火墙(fw)、代表防火墙起作用的网络传感器或者可以使用所公开的技术来实现安全策略的另一设备/组件)来监视/过滤通过移动核心网120的sgsn112和ggsn114之间的移动核心网的流量,如下面进一步描述的那样。

例如,各种ue,诸如132、134和136处所示的ue,可以包括可以通过ran130通信以访问pdn122的移动和/或固定无线网络使能设备,诸如安全相机(例如,其可以在固定位置中)、手表、移动/智能电话、平板计算机、膝上型计算机、计算机/pc或其他计算设备(其可以是移动的或在固定位置处)、汽车、婴儿监视器、恒温器和/或各种其他网络使能计算设备(例如,与物联网(iot)相关联的任何设备)。下面将进一步描述将所公开的安全技术应用于无线网络使能设备以促进新的和增强的安全性的各种用例场景。

因此,在该示例中,提供了用于执行用于3g网络实现的所公开的安全技术的网络架构,其中可以提供(一个或多个)安全平台来执行流量监视和过滤,以提供基于信令和dpi信息的新的和增强的安全技术,如下面进一步描述的那样。鉴于所公开的实施例,如现在对本领域普通技术人员来说将显而易见的是,可以类似地在网络架构内的各种其他位置(例如,内联的(inline)、直通的ngfw,诸如由fw102所示,和/或被实现为代理或虚拟机(vm)实例,其可以在服务提供商的网络中的现有设备(诸如sgsn112和/或ggsn114)上执行)中和在各种无线网络环境(诸如3g、4g、5g和/或其他无线网络环境)中提供(一个或多个)安全平台,以执行所公开的安全技术,如下面进一步描述的那样。还如下面进一步描述的,所公开的安全技术可以类似地被应用于连接到无线网络环境的移动核心的漫游设备。

图1b是根据一些实施例的具有用于提供增强安全性的安全平台的4g/lte无线网络的框图。图1b是用于4g/长期演进(lte)演进分组核心(epc)网络架构的示例服务提供商网络环境,其包括4g/lte网络(例如,并且还可以包括有线、wi-fi、3g、5g和/或其他网络),以促进订户通过因特网和/或其他网络进行数据通信。如图1b中所示,无线电接入网(ran)180与演进分组核心(epc)网络170通信。ran180可以包括无线网络中的(一个或多个)lte宏小区192,以及无线网络中的小小区,诸如(一个或多个)lte微小区194、(一个或多个)lte微微小区196和lte毫微微小区198。如所示,各种用户设备(ue)182、184和186可以使用ran180中的各种小区进行通信。

还如图1b中所示,(一个或多个)毫微微蜂窝198通过ip宽带无线网络190与家庭节点b网关(henbgw)158进行网络通信,并且在该示例中,使用被配置成执行所公开的安全技术的安全平台156e(例如,包括防火墙(fw)的(虚拟)设备/装备、代表防火墙起作用的网络传感器或者可以使用所公开的技术来实现安全策略的另一设备/组件)来监视/过滤流量,如下面进一步描述的那样。还如所示,(一个或多个)宏小区192与移动性管理实体(mme)160和服务网关(sgw)162进行网络通信,并且使用fw156d来监视/过滤流量,并且在该示例中,使用被配置成执行所公开的安全技术的安全平台(例如,包括防火墙(fw)的(虚拟)设备/装备、代表防火墙起作用的网络传感器或者可以使用所公开的技术来实现安全策略的另一设备/组件)来监视/过滤流量,如下面进一步描述的那样。

还如图1b中所示,henbgw158经由演进分组核心(epc)网络170的sgw162和pdn网关(pgw)164与分组数据网络(pdn)172通信。如所示,使用被配置成执行所公开的安全技术的安全平台152(例如,包括防火墙(fw)的(虚拟)设备/装备、代表防火墙起作用的网络传感器或者可以使用所公开的技术来实现安全策略的另一设备/组件)来监视/过滤通过epc170的sgw162和ggsn/pgw164之间的移动核心网的流量,如下面进一步描述的那样。

例如,各种ue,诸如在174、176、182、184和186处所示的ue,可以包括可以通过ran180、不受信任的非3gppwi-fi接入177和/或受信任的3gppwi-fi接入178以经由epc170访问pdn172的移动和/或固定无线网络使能设备,其中可以使用安全平台152、156a、156b、156c、156d、156e、156f和/或156g来监视这样的通信,如图1b中所示(例如,安全平台可以位于如图1b中所示的epc170内的各种位置/接口处)并且如下面进一步描述的那样。示例ue可以包括安全相机(例如,其可以在固定位置中)、手表、移动/智能电话、平板计算机、膝上型计算机、计算机/pc或其他计算设备(其可以是移动的或在固定位置处)、汽车、婴儿监视器、恒温器和/或各种其他网络使能计算设备(例如,与物联网(iot)相关联的任何设备)。下面将进一步描述将所公开的安全技术应用于无线网络使能设备以促进新的和增强的安全性的各种用例场景。

因此,在该示例中,提供了用于执行用于4g/lteepc网络实现的所公开的安全技术的网络架构,其中可以提供(一个或多个)安全平台来执行流量监视和过滤,以提供基于信令和dpi信息的新的和增强的安全技术,如下面进一步描述的那样。鉴于所公开的实施例,如现在对本领域普通技术人员来说将显而易见的是,可以类似地在网络架构内的各种其他位置(例如,内联的、直通的ngfw,诸如由fw152所示,和/或被实现为代理或虚拟机(vm)实例,其可以在服务提供商的网络中的现有设备(诸如sgw162和/或pgw164)上执行)中和在各种无线网络环境(诸如3g、4g、5g和/或其他无线网络环境)中提供(一个或多个)安全平台,以执行所公开的安全技术,如下面进一步描述的那样。还如下面进一步描述的,所公开的安全技术可以类似地被应用于连接到无线网络环境的移动核心的漫游设备。

图2a是根据一些实施例的在3g网络中的sgsn和ggsn之间交换的gtpv1-c消息的示例。具体地,图2a示出了使用gn/gp接口在3g网络中的sgsn212和ggsn214之间为激活、更新和解激活gtp会话而交换的gtpv1-c消息。gtp是基于用户数据报协议(udp)的标准化协议。

参考图2a,从sgsn212发送到ggsn214的第一消息是创建pdp上下文请求消息,如220处所示。创建pdp上下文请求消息是用于为3g网络中的移动设备的新网络通信访问请求分配控制和数据信道的消息(例如,将被提供有用于用户ip分组的隧道以便通过移动服务提供商的网络进行网络通信)。例如,创建pdp上下文请求消息可以在针对移动设备的新网络通信访问请求中包括位置、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat)信息。

在一个实施例中,安全平台监视移动核心中的gtp-c消息,以基于安全策略提取包括在gtp-c消息中的某些信息(例如,使用位于诸如图1a中所示的移动核心中的sgsn和ggsn之间和/或诸如图1b中所示的移动核心/epc中的各种其他元件/实体之间的直通防火墙/ngfw,或者使用实现为在sgsn、ggsn、sgw、pgw和/或移动核心网/epc中的其他实体上执行的vm实例或代理的防火墙/ngfw来监视gtpv1-c消息)。例如,安全平台可以监视gtp-c消息,并从创建pdp请求消息中提取位置、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat),诸如下面进一步描述的那样。

如图2a中所示,ggsn214向sgsn212发送如222处所示的创建pdp上下文响应消息,以指示是否针对移动设备准许了创建pdp上下文请求(例如,是否针对移动设备允许移动核心网中的隧道用户数据流量)。使用端口2123上的udp通信发送的创建pdp上下文请求和创建pdp上下文响应消息被用于创建pdp上下文,如图2a中所示。

还如图2a中所示,在sgsn和ggsn之间交换在224处所示的更新pdp上下文请求消息和在226处所示的更新pdp上下文响应消息。例如,使用端口2123上的udp通信发送的更新pdp上下文请求/响应消息可被用于更新用于连接/会话的一个或多个参数。

参考图2a,在该示例中,允许对移动服务提供商的网络上的移动设备的网络通信访问的请求,并且sgsn发送228处所示的(一个或多个)t-pdu消息。例如,(一个或多个)tpdu消息可被用于隧道内的移动用户网络通信(例如,ip分组)(例如,控制/信令消息通常使用gtp-c协议在端口2123上传送,而用户数据消息通常使用gtp-u协议在端口2152上传送)。如230处所示,t-pdu消息通常包括gtp报头、ip报头、tcp报头和http净荷。

还如图2a中所示,在完成用户数据会话之后,删除pdp上下文。具体地,在用户数据的传输完成之后,删除pdp上下文,并且sgsn和ggsn交换如232处所示的删除pdp上下文请求消息和如234处所示的删除pdp上下文响应消息。使用端口2123上的udp通信发送的删除pdp上下文请求和删除pdp上下文响应消息被用于删除pdp上下文,还如图2a中所示。

在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量(诸如gtp-c流量)的检查,以及对服务提供商网络中的隧道用户流量(诸如gtp-u流量)的检查(例如,使用安全平台,诸如使用能够执行dpi以标识appid、用户id、内容id,执行url过滤和/或用于安全/威胁检测/预防的其他防火墙/安全策略的ngfw来实现)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量(诸如gtp-c流量)的检查,以提取在gtp-c流量中交换的信息(例如,参数,诸如与订户/移动设备相关联的位置信息、设备id/imei、订户信息/imsi和/或rat,诸如下面进一步描述的那样)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量(诸如gtp-c流量)的检查,以提取在gtp-c流量中交换的信息(例如,参数,诸如上面描述和下面进一步描述的那样),以及监视服务提供商网络中的隧道用户流量(例如,使用dpi,诸如上面描述和下面进一步描述的那样)。

在示例实现中,安全平台被配置成监视sgsn和ggsn的相应接口,以监视控制/信令流量(例如,gtp-c消息)和隧道用户流量(gtp-u),以实现具有gtp监视能力的安全平台,该安全平台实现安全策略,该安全策略可以使用例如与订户/移动设备相关联的位置信息、设备id/imei、订户信息/imsi和/或rat,诸如下面进一步描述的那样,其可以从控制/信令流量(例如,gtp-c消息)中提取,以及对隧道内的ip分组(例如,tpdu)执行dpi,如下面进一步描述的那样。如上面描述的那样,位置信息/参数、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat),诸如下面进一步描述的那样,可以由安全平台从创建pdp请求消息中提取,其可以被存储(例如,高速缓存为与ip流相关联),以用于在基于该提取的信息和/或与dpi结合应用安全策略时使用,诸如下面进一步描述的那样。

图2b是根据一些实施例的在4g/lte网络中的包括mme、sgw和pgw的实体之间交换的gtpv2-c消息的示例。具体地,图2b示出了在4g/lte网络中为lte附着过程交换的gtpv2-c消息,其具有在mme252、sgw254和pdn-gw(pgw)256(例如,在图1b中示出为ggsn/pgw)之间交换的gtpv2-c消息的细节。如上面讨论的那样,gtp是基于用户数据报协议(udp)的标准化协议。

参考图2b,创建会话请求消息从mme252被发送到sgw254,如260处所示,并且然后从sgw254被发送到pgw256,如262处所示。创建会话请求消息是用于为4g/lte网络中的移动设备的新的网络通信访问请求分配控制和数据信道的消息(例如,将被提供有用于用户ip分组的隧道以便通过移动服务提供商的网络进行网络通信)。例如,gtp创建会话请求消息可以在针对移动设备的新网络通信访问请求中包括位置、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat)信息。

在一个实施例中,安全平台监视mme、sgw和pgw之间的gtp-c消息,以基于安全策略提取gtp-c消息中包括的某些信息(例如,使用位于mme、sgw和pgw之间的直通防火墙/ngfw监视gtpv2-c消息,或者使用实现为在mme、sgw和pgw和/或移动核心网中的其他实体上执行的vm实例或代理的防火墙/ngfw)。例如,安全平台可以监视gtp-c消息,并从创建会话请求消息中提取位置、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat),诸如下面进一步描述的那样。

如图2b中所示,在如264处所示的会话建立之后,如266处所示,pgw256向sgw254发送创建会话响应消息,并且然后如268处所示从sgw254向mme252发送创建会话响应消息,以指示是否针对移动设备准许了创建会话请求(例如,是否针对移动设备允许移动核心网中的隧道用户数据流量)。使用端口2123上的udp通信发送的创建会话请求和创建会话响应消息被用于创建会话的初始设置上下文,如图2b中所示。

还如图2b中所示,在sgw和mme之间交换在270处所示的修改承载请求消息和在272处所示的修改承载响应消息。例如,使用端口2123上的udp通信发送的修改承载请求/响应消息可以被用于更新连接/会话的一个或多个参数。

在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量(诸如gtp-c流量)的检查,以及对服务提供商网络中的隧道用户流量(诸如gtp-u流量)的检查(例如,使用安全平台,诸如使用能够执行dpi以标识appid、用户id、内容id,执行url过滤和/或用于安全/威胁检测/预防的其他防火墙/安全策略的ngfw来实现)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量(诸如gtp-c流量)的检查,以提取在gtp-c流量中交换的信息(例如,参数,诸如与订户/移动设备相关联的位置信息、设备id/imei、订户信息/imsi和/或rat,诸如下面进一步描述的那样)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量(诸如gtp-c流量)的检查,以提取在gtp-c流量中交换的信息(例如,参数,诸如上面描述和下面进一步描述的那样),以及监视服务提供商网络中的隧道用户流量(例如,使用dpi,诸如上面描述和下面进一步描述的那样)。

在示例实现中,安全平台被配置成监视mme、sgw和pgw的相应接口,以监视控制/信令流量(例如,gtp-c消息)和隧道用户流量(gtp-u),以实现具有gtp监视能力的安全平台,该安全平台实现安全策略,该安全策略可以使用例如参数,诸如可以从控制/信令流量(例如,gtp-c消息)中提取的与订户/移动设备相关联的位置信息、设备id/imei、订户信息/imsi和/或rat和/或任何其他参数/信息,以及对隧道内的ip分组执行dpi,如下面进一步描述的那样。如上面描述的那样,位置信息/参数、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat)可以由安全平台从创建会话请求消息中提取,其可以被存储(例如,高速缓存为与ip流相关联),以用于在基于该提取的信息和/或与dpi结合应用安全策略时使用,诸如下面进一步描述的那样。

所公开的技术在本文中是关于使用gtpv2-c和gtp-u协议在3g移动分组核心(mpc)中和在4g演进分组核心(epc)中执行对于gtpv1-c和gtp-u流量的网络流量检查来说明和一般地描述的,和/或可以类似地在其他移动核心网中/使用其他移动网络协议(例如诸如针对5g核心网或其他移动网络/协议)来实现,所述移动网络协议包括位置、设备、订户和/或rat参数/信息(例如位置信息、硬件标识、订户标识符信息、rat类型信息和/或相应协议中的其他用户/设备/网络特定参数)和/或用于移动设备通信的服务提供商网络上的隧道用户流量。

图3a是根据一些实施例的在3g网络中的sgsn和ggsn之间的gtpv1-c消息流的另一个示例。具体地,图3a示出了在3g网络中的sgsn302和ggsn304之间针对gtpv1-c创建pdp消息流交换的gtpv1-c消息。

参考图3a,使用gn/gp接口从sgsn302向ggsn304发送创建pdp请求消息,如310处所示。使用gn/gp接口从ggsn304向sgsn302发送创建pdp响应消息,如312处所示。

图3b是根据一些实施例的在4g/lte网络中的mme、sgw和pgw之间的gtpv2-c消息流的另一个示例。具体地,图3b示出了在4g/lte网络中的mme322、sgw324和pdn-gw(pgw)326(例如,在图1b中示出为ggsn/pgw)之间针对gtpv2-c创建会话消息流交换的gtpv2-c消息。

参考图3b,使用s11接口从mme322向sgw324发送创建会话请求消息,如330处所示,并且然后使用s5/s8接口从sgw324向pgw326发送创建会话请求消息,如332处所示。使用s5/s8接口从pgw326向sgw324发送创建会话响应消息,如334处所示,并且然后使用s11接口从sgw324向mme322发送创建会话响应消息,如336处所示。

如现在将在下面进一步描述的那样,可以从由安全平台监视的控制/信令流量(例如,gtpv1-c创建pdp请求消息、gtpv2-c创建会话请求消息和/或移动核心网中的其他控制/信令协议/消息)中提取各种信息/参数,诸如位置、硬件标识(例如,imei)、订户标识(例如,imsi)和/或无线电接入技术(rat),所述信息/参数可以被存储(例如,高速缓存为与ip流相关联),以用于在基于该提取的信息和/或结合由安全平台对隧道用户数据流量(例如,移动核心网中的gtp-u流量和/或其他隧道用户数据协议)执行的dpi来应用安全策略时使用。

用于服务提供商的移动网络中的基于位置的安全性的技术

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括在服务提供商的移动网络中提供基于位置的安全性。例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或iot的服务提供商、安全服务提供商或提供与使用移动网络相关联的设备/服务的其他实体)可以应用所公开的技术来向使用3g、4g或5g无线电接入技术(rat)连接到它们的移动网络的用户设备(例如,订户的移动设备)和/或iot设备提供基于位置的安全性。

在一个实施例中,移动服务提供商可以应用所公开的技术来提供新的和增强的基于位置的安全服务。例如,移动服务提供商可以应用所公开的技术来提供基于位置的防火墙服务。作为另一个示例,移动服务提供商可以应用所公开的技术来提供基于位置的威胁检测服务(例如,基于位置的针对已知威胁的基本威胁检测服务、基于位置的针对未知威胁的高级威胁检测服务和/或可以利用基于位置的信息来应用安全策略的其他威胁检测服务)。作为又一示例,移动服务提供商可以应用所公开的技术来提供基于位置的针对已知威胁的威胁预防服务(例如,基于位置的针对已知威胁的基本威胁预防服务、基于位置的针对未知威胁的高级威胁预防服务和/或可以利用基于位置的信息来应用安全策略的其他威胁预防服务)。作为附加示例,移动服务提供商可以应用所公开的技术来提供基于位置的url过滤服务。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用可以基于位置信息实现安全策略的安全平台在移动网络中执行基于位置的安全性。例如,安全平台可以监视移动网络中的gtp-c流量,并处理(例如,解析)gtp-c消息以提取位置信息(例如,位置信息可以从创建pdp请求消息中提取,所述创建pdp请求消息在移动核心网中从sgsn被发送到ggsn)。

如上面类似描述的那样,gprs隧道协议(gtp)是在全球移动通信系统(gsm)、通用移动电信系统(umts)和长期演进(lte)网络内的各种接口上使用的一组基于ip的通信协议。gtpv1-c和gtpv2-c被用于当今的移动网络中(例如,gtpv1-c和gtpv2-c通常分别被用于当今的3g和4g/lte移动网络中)。

在一个实施例中,安全平台被配置成从gtpv1-c创建pdp请求(例如,在3g移动网络中)中提取用户位置信息。在一个实施例中,安全平台被配置成从gtpv2-c创建会话(例如,在4g移动网络中)中提取用户位置信息。

例如,这样的请求消息通常可以由移动网络中的各种网络元件(例如,服务网关(sgw)、移动性管理实体(mme)和/或移动网络中的其他网络元件)发送。此外,这样的请求消息通常可以在各种接口(例如,s11、s5/s8、s4和/或移动网络中的其他接口,作为许多过程的部分,所述过程诸如e-utran初始附着、ue请求的pdn连接、pdp内容激活、从受信任的或不受信任的非3gppip接入到e-utran的切换和/或其他过程)上发送。用户位置信息元素(ie)通常存在于如在3gppts29.274中指定的gtpv2-c创建会话请求消息中。

在一个实施例中,安全平台可以提取位置标识符(例如,位置ie)(例如,由gtpv1-c、gtpv2-c或其他网络协议支持),所述位置标识符可以被用于在服务提供商的移动网络中应用安全性。由gtpv2-c支持的可被用于在服务提供商的移动网络中应用安全性的示例位置标识符包括以下各项:cgi(小区全球标识符)、sai(服务区域标识符)、rai(路由区域标识符)、tai(跟踪区域标识符)、ecgi(e-utran小区全球标识符)、lac(位置区域标识符)和/或其他位置标识符或其组合。具体地,cgi(小区全球标识符)通常提供包括以下参数的位置信息:mcc(移动国家代码)、mnc(移动网络代码)、lac(位置区域代码)和ci(小区标识)(例如,ci通常是基站内几百米的区域)。sai(服务区域标识符)通常提供包括以下参数的位置信息:mcc、mnc、lac和sac(服务区域代码)。rai(路由区域标识符)通常提供包括以下参数的位置信息:mcc、mnc、lac和rac(路由区域代码)。tai(跟踪区域标识符)通常提供包括以下参数的位置信息:mcc、mnc和tac(跟踪区域代码)。ecgi(e-utran小区全球标识符)通常提供与mcc、mnc和eci(e-utran小区标识符)相对应的位置信息。lac(位置区域标识符)通常提供包括以下参数的位置信息:mcc、mnc和lac。

例如,安全平台可以监视gtpv2-c创建会话请求消息,以提取这样的位置参数。具体地,cgi、sai、rai、taiecgi和lac作为参数而被包括,所述参数可以从gtpv2-c创建会话请求消息中被提取。在一些情况下,gtpv2-c创建会话请求消息可以包括两个或更多个的这样的位置参数(例如,cgi和sai)。下面进一步描述可以使用这样的位置信息在服务提供商的移动网络上执行的增强安全性的示例用例场景(例如,使用位置信息来限制飞行无人机在火灾紧急旁/附近的特定区域中被使用的火灾紧急用例场景,如下面进一步描述的那样)。

作为另一个示例,安全平台可以从gtpv1-c创建pdp请求消息中提取用户位置信息,该消息通常作为gprspdp上下文激活过程的一部分从sgsn节点发送到ggsn节点,如本文中关于图2a类似描述的那样。用户位置信息元素(ie)通常存在于如3gppts29.060中指定的gtpv1-c创建pdp上下文请求消息中。由gtpv1-c支持的可被用于在服务提供商的移动网络中应用安全性的示例位置标识符包括以下各项:cgi(小区全球标识符)、sai(服务区域标识符)和rai(路由区域标识符)和/或其他位置标识符或其组合。具体地,cgi(小区全球标识符)通常提供包括以下参数的位置信息:mcc(移动国家代码)、mnc(移动网络代码)、lac(位置区域代码)和ci(小区标识)(例如,ci通常是基站内几百米的区域)。sai(服务区域标识符)通常提供包括以下参数的位置信息:mcc、mnc、lac和sac(服务区域代码)。rai(路由区域标识符)通常提供包括以下参数的位置信息:mcc、mnc、lac和rac(路由区域代码)。

因此,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用可以基于位置信息实现安全策略的安全平台在移动网络中执行基于位置的安全性。

在一个实施例中,安全平台可以提取位置信息,以基于安全策略来执行安全性,该安全策略可以基于位置信息(例如,移动网络中的每个cgi、sai、rai、tai、ecgi和/或lac)来应用。在一个实施例中,安全平台可以提取位置信息,以基于安全策略来执行威胁检测,该安全策略可以基于位置信息(例如,移动网络中的每个cgi、sai、rai、tai、ecgi和/或lac)来应用。

在一个实施例中,安全平台可以提取位置信息,以基于安全策略来执行威胁预防,该安全策略可以基于位置信息(例如,移动网络中的每个cgi、sai、rai、tai、ecgi和/或lac)来应用。

在一个实施例中,安全平台可以提取位置信息,以基于安全策略来执行url过滤,该安全策略可以基于位置信息(例如,移动网络中的每个cgi、sai、rai、tai、ecgi和/或lac)来应用。

在一个实施例中,安全平台可以提取位置信息,以基于安全策略来执行威胁检测、威胁预防、url过滤和/或其他安全技术(例如,包括使用来自监视的隧道用户流量的基于dpi的安全技术),该安全策略可以基于位置信息(例如,移动网络中的每个cgi、sai、rai、tai、ecgi和/或lac)来应用。

如现在对本领域普通技术人员来说将显而易见的是,移动服务提供商(例如,移动网络的服务提供商、移动设备或iot的服务提供商、安全服务提供商或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于位置的防火墙服务中的每个或其组合以及各种其他基于位置的服务。此外,移动服务提供商可以应用所公开的技术以结合各种其他增强安全服务来提供这样的基于位置的防火墙服务,诸如基于订户/用户标识、基于硬件标识、基于rat和/或其组合,如下面进一步描述的那样。

下面将进一步描述用于基于位置信息(例如,和/或结合其他dpi和/或ngfw技术,诸如应用id、用户id、内容id、url过滤等)在服务提供商的移动网络中提供增强安全性的这些和其他技术。

用于服务提供商的移动网络中的基于移动设备标识和/或iot设备标识的安全实施的技术

如上面讨论的那样,国际移动设备标识(imei)是唯一标识符(例如,16或15位代码),其通常被用于向移动网络(例如,gsm或umts网络)标识移动设备(例如,硬件设备)。例如,imei可以为移动设备/站提供唯一的硬件标识符(id),所述移动设备/站包括移动/智能电话、膝上型计算机、平板计算机或其他计算设备、或iot设备或具有订户标识模块(sim)卡或嵌入式sim/嵌入式通用集成电路卡(euicc)并在移动网络或任何其他设备(例如,gsm或umts网络)上通信的任何其他设备。在示例实现中,本文中进一步描述了如3gppts23.003中定义的移动设备标识/imei和/或iot设备标识(例如,imei或imeisv)以及基于应用id的安全性,该基于应用id的安全性可以通过解析gtp-c消息以得到imei/imeisv信息和检查隧道流量(例如,gtp-u流量的dpi)来使用ngfw实现。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括在服务提供商的移动网络中提供基于移动设备标识符的安全性。例如,移动服务提供商可以应用所公开的技术来向使用3g、4g或5g无线电接入技术(rat)连接到它们的移动网络的用户设备(例如,订户的移动设备)和/或iot设备提供基于移动设备标识符的安全性(例如,使用ngfw结合应用id)。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用移动设备标识符和应用id在服务提供商的移动网络中提供增强安全性。例如,移动服务提供商可以应用所公开的技术来基于移动设备标识符和应用id(例如,应用id可以由监视隧道用户流量的安全平台来确定,所述隧道用户流量使用由ngfw实现的dpi技术来检查,如下面进一步描述的那样)向使用3g、4g或5g无线电接入技术(rat)连接到它们的移动网络的用户设备(例如,订户的移动设备)和/或iot设备提供增强安全性。

在一个实施例中,移动服务提供商可以应用所公开的技术来使用移动设备标识符和/或使用移动设备标识符和应用id来提供新的和增强的安全服务。例如,移动服务提供商可以应用所公开的技术来使用移动设备标识符和应用id来提供防火墙服务。作为另一示例,移动服务提供商可以应用所公开的技术来使用移动设备标识符和应用id来提供威胁检测服务(例如,基于移动设备标识符的针对已知威胁的基本威胁检测服务、基于移动设备标识符的针对未知威胁的高级威胁检测服务和/或可以利用基于移动设备标识符的信息来应用安全策略的其他威胁检测服务)。作为又一示例,移动服务提供商可以应用所公开的技术来使用移动设备标识符和应用id来提供针对已知威胁的威胁预防服务(例如,基于移动设备标识符的针对已知威胁的基本威胁预防服务、基于移动设备标识符的针对未知威胁的高级威胁预防服务和/或可以利用基于移动设备标识符的信息来应用安全策略的其他威胁预防服务)。作为附加示例,移动服务提供商可以应用所公开的技术来使用移动设备标识符和应用id来提供url过滤服务。作为进一步的示例,移动服务提供商可以应用所公开的技术来使用移动设备标识符和应用id针对dos攻击提供应用拒绝服务(denialofservice)(dos)检测服务。作为另一示例,移动服务提供商可以应用所公开的技术来使用移动设备标识符和应用id针对dos攻击提供应用拒绝服务(dos)预防服务。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用可以基于移动设备标识符信息实现安全策略的安全平台在移动网络中执行基于移动设备标识符的安全性。例如,安全平台可以监视移动网络中的gtp-c流量,并处理(例如,解析)gtp-c消息以提取移动设备标识符信息(例如,可以从3g移动网络中的创建pdp请求消息或4g移动网络中的创建会话请求消息中提取移动设备标识符信息,诸如imei)。

如上面类似描述的那样,gprs隧道协议(gtp)是在全球移动通信系统(gsm)、通用移动电信系统(umts)和长期演进(lte)网络内的各种接口上使用的一组基于ip的通信协议。gtpv1-c和gtpv2-c被用于当今的移动网络中(例如,gtpv1-c和gtpv2-c通常分别被用于当今的3g和4g/lte移动网络中)。

在一个实施例中,安全平台被配置成从gtpv1-c创建pdp请求(例如,在3g移动网络中)提取移动设备标识符信息(例如,imei或imeisv)。在一个实施例中,安全平台被配置成从gtpv2-c创建会话(例如,在4g移动网络中)提取移动设备标识符信息(例如,imei或imeisv)。

例如,gtpv2-c创建会话请求消息通常可以由移动网络中的各种网络元件(例如,服务网关(sgw)、移动性管理实体(mme)和/或移动网络中的其他网络元件)发送,如本文中关于图2b类似描述的那样。此外,这样的创建会话请求消息通常可以在各种接口(例如,s11、s5/s8、s4和/或移动网络中的其他接口,作为许多过程的部分,所述过程诸如e-utran初始附着、ue请求的pdn连接、pdp内容激活、从受信任的或不受信任的非3gppip接入到e-utran的切换和/或其他过程)上发送。imei信息元素(ie)通常存在于如在3gppts29.274中指定的gtpv2-c创建会话请求消息中。

作为另一个示例,安全平台可以从gtpv1-c创建pdp请求消息中提取移动设备标识符信息(例如,imei或imeisv),该消息通常作为gprspdp上下文激活过程的一部分从sgsn节点发送到ggsn节点,如本文中关于图2a类似描述的那样。

因此,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用安全平台在移动网络中执行安全性,该安全平台可以基于imei和应用id来实现安全策略(例如,针对移动网络的用户/订户)。此外,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用安全平台在移动网络中执行安全性,该安全平台可以基于imei和应用id来实现安全策略(例如,针对移动设备和/或iot设备)。

在一个实施例中,安全平台可以提取移动设备标识符信息(例如,imei或imeisv),以基于安全策略来执行安全性,所述安全策略可以基于移动设备标识符信息来应用。在一个实施例中,安全平台可以提取移动设备标识符信息(例如,imei或imeisv)并执行dpi以标识应用id,以基于安全策略来执行安全性,所述安全策略可以基于移动设备标识符信息和应用id来应用。

在一个实施例中,安全平台可以提取移动设备标识符信息(例如,imei或imeisv),并执行dpi以标识应用id,以基于安全策略来执行安全性,所述安全策略可以基于移动设备标识符信息和应用id来应用。例如,安全平台可以通过使用所公开的技术在移动和融合网络中根据imei和应用id应用安全策略来执行威胁检测。作为另一个示例,安全平台可以通过使用所公开的技术在移动和融合网络中根据imei和应用id应用安全策略来执行威胁预防。作为又一个示例,安全平台可以通过使用所公开的技术在移动和融合网络中根据imei和应用id应用安全策略来执行url过滤。下面进一步描述可以使用这样的移动设备标识符信息(例如,imei或imeisv)和应用id在服务提供商的移动网络上执行的增强安全性的示例用例场景(例如,服务提供商可以限制对网络使能恒温器的远程访问,该恒温器被确定为受到损害,如下面进一步描述的那样)。

如现在对本领域普通技术人员来说将显而易见的是,移动服务提供商(例如,移动网络的服务提供商、移动设备或iot的服务提供商、安全服务提供商或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于移动设备标识符的防火墙服务中的每个或其组合以及各种其他基于移动设备标识符的服务。此外,移动服务提供商可以应用所公开的技术以结合各种其他增强安全服务来提供这样的使用基于移动设备标识符的防火墙服务,诸如基于位置、基于订户/用户标识、基于rat和/或其组合,如下面进一步描述的那样。

下面将进一步描述用于基于移动设备标识符信息和应用id(例如,和/或其他dpi和/或ngfw技术,诸如用户id、内容id、url过滤等)在服务提供商的移动网络中提供增强安全性的这些和其他技术。

用于服务提供商的移动网络中的基于移动用户标识和/或基于sim的iot标识和应用标识的安全实施的技术

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括在服务提供商的移动网络中提供基于移动用户标识和/或基于sim的iot标识的安全性。例如,移动服务提供商可以应用所公开的技术来向使用3g、4g或5g无线电接入技术(rat)连接到它们的移动网络的用户设备(例如,包括订户标识模块(sim)卡或嵌入式sim/嵌入式通用集成电路卡(euicc)的订户的移动设备)提供基于移动用户标识和/或基于sim的iot标识的安全性(例如,使用ngfw结合应用id)。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用移动用户标识和应用id在服务提供商的移动网络中提供增强安全性。例如,移动服务提供商可以应用所公开的技术来基于移动用户标识和/或基于sim的iot标识(例如,国际移动订户标识(imsi)或其他移动用户标识符)和应用id(例如,应用id可以由监视隧道用户流量的安全平台来确定,所述隧道用户流量使用由ngfw实现的dpi技术来检查,如下面进一步描述的那样)向使用3g、4g或5g无线电接入技术(rat)连接到它们的移动网络的用户设备(例如,订户的移动设备)和/或iot设备提供增强安全性。

在一个实施例中,移动服务提供商可以应用所公开的技术来使用移动用户标识和/或使用移动用户标识和应用id来提供新的和增强的安全服务。例如,移动服务提供商可以应用所公开的技术来使用移动用户标识(例如,imsi或其他移动用户标识)和应用id来提供防火墙服务。作为另一示例,移动服务提供商可以应用所公开的技术来使用移动用户标识和应用id来提供威胁检测服务(例如,基于移动用户标识的针对已知威胁的基本威胁检测服务、基于移动用户标识的针对未知威胁的高级威胁检测服务和/或可以利用基于移动用户标识的信息来应用安全策略的其他威胁检测服务)。作为又一示例,移动服务提供商可以应用所公开的技术来使用移动用户标识和应用id来提供针对已知威胁的威胁预防服务(例如,基于移动用户标识的针对已知威胁的基本威胁预防服务、基于移动用户标识的针对未知威胁的高级威胁预防服务和/或可以利用基于移动用户标识的信息来应用安全策略的其他威胁预防服务)。作为附加示例,移动服务提供商可以应用所公开的技术来使用移动用户标识和应用id来提供url过滤服务。作为进一步的示例,移动服务提供商可以应用所公开的技术来使用移动用户标识和应用id针对dos攻击提供应用拒绝服务(dos)检测服务。作为另一示例,移动服务提供商可以应用所公开的技术来使用移动用户标识和应用id针对dos攻击提供应用拒绝服务(dos)预防服务。

如上面类似描述的那样,gprs隧道协议(gtp)是在全球移动通信系统(gsm)、通用移动电信系统(umts)和长期演进(lte)网络内的各种接口上使用的一组基于ip的通信协议。gtpv1-c和gtpv2-c被用于当今的移动网络中(例如,gtpv1-c和gtpv2-c通常分别被用于当今的3g和4g/lte移动网络中)。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用可以基于移动用户标识和/或基于sim的iot标识信息和应用id实现安全策略的安全平台在移动网络中执行基于移动用户标识和/或基于sim的iot标识的安全性。例如,安全平台可以监视移动网络中的gtp-c流量,并处理(例如,解析)gtp-c消息以提取移动用户标识和/或基于sim的iot标识(例如,可以从3g移动网络中的创建pdp请求消息或4g移动网络中的创建会话请求消息中提取移动用户标识符信息,诸如imsi)。

在一个实施例中,安全平台被配置成从gtpv1-c创建pdp请求(例如,在3g移动网络中)提取移动用户标识信息(例如,imsi)。在一个实施例中,安全平台被配置成从gtpv2-c创建会话(例如,在4g移动网络中)提取移动用户标识信息(例如,imsi)。

例如,gtpv2-c创建会话请求消息通常可以由移动网络中的各种网络元件(例如,服务网关(sgw)、移动性管理实体(mme)和/或移动网络中的其他网络元件)发送,如本文中关于图2b类似描述的那样。此外,这样的请求消息通常可以在各种接口(例如,s11、s5/s8、s4和/或移动网络中的其他接口,作为许多过程的部分,所述过程诸如e-utran初始附着、ue请求的pdn连接、pdp内容激活、从受信任的或不受信任的非3gppip接入到e-utran的切换和/或其他过程)上发送。imsi信息元素(ie)通常存在于如在3gppts29.274中指定的gtpv2-c创建会话请求消息中。

作为另一个示例,安全平台可以从gtpv1-c创建pdp请求消息中提取移动用户标识信息(例如,imsi),该消息通常作为gprspdp上下文激活过程的一部分从sgsn节点发送到ggsn节点,如本文中关于图2a类似描述的那样。

因此,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用安全平台在移动网络中执行安全性,该安全平台可以基于imsi和应用id来实现安全策略(例如,针对移动网络的用户/订户)。此外,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用安全平台在移动网络中执行安全性,该安全平台可以基于imsi和应用id来实现安全策略(例如,针对包括sim或嵌入式sim的移动设备和/或iot设备)。

在一个实施例中,安全平台可以提取移动用户标识信息(例如,imsi),以基于安全策略来执行安全性,所述安全策略可以基于移动用户标识信息来应用。在一个实施例中,安全平台可以提取移动用户标识信息(例如,imsi)并执行dpi以标识应用id,以基于安全策略来执行安全性,所述安全策略可以基于移动用户标识信息和应用id来应用。

在一个实施例中,安全平台可以提取移动用户标识信息(例如,imsi),并执行dpi以标识应用id,以基于安全策略来执行安全性,所述安全策略可以基于移动用户标识信息和应用id来应用。例如,安全平台可以通过使用所公开的技术在移动和融合网络中根据imsi和应用id应用安全策略来执行威胁检测。作为另一个示例,安全平台可以通过使用所公开的技术在移动和融合网络中根据imsi和应用id应用安全策略来执行威胁预防。作为又一个示例,安全平台可以通过使用所公开的技术在移动和融合网络中根据imsi和应用id应用安全策略来执行url过滤。下面进一步描述可以使用这样的移动用户标识信息(例如,imsi)和应用id在服务提供商的移动网络上执行的增强安全性的示例用例场景(例如,服务提供商可以基于移动用户标识信息来阻止对资源(诸如设备或设备的应用)的访问,如下面进一步描述的那样)。

如现在对本领域普通技术人员来说将显而易见的是,移动服务提供商(例如,移动网络的服务提供商、移动设备或iot的服务提供商、安全服务提供商或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于移动用户标识的防火墙服务中的每个或其组合以及各种其他基于移动用户标识的服务。此外,移动服务提供商可以应用所公开的技术以结合各种其他增强安全服务来提供这样的使用基于移动用户标识的防火墙服务,诸如基于位置、基于移动设备标识符、基于rat和/或其组合,如下面进一步描述的那样。

下面将进一步描述用于基于移动用户标识信息和应用id(例如,和/或其他dpi和/或ngfw技术,诸如用户id、内容id、url过滤等)在服务提供商的移动网络中提供增强安全性的这些和其他技术。

用于服务提供商的移动网络中的基于无线电接入技术的安全实施的技术

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括在服务提供商的移动网络中提供基于无线电接入技术(rat)的安全性。例如,移动服务提供商可以应用所公开的技术来向使用3g、4g或5g无线电接入技术(rat)连接到它们的移动网络的用户设备提供基于rat的安全性(例如,使用ngfw结合应用id)。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括在服务提供商的移动网络中提供基于rat的安全性。例如,移动服务提供商可以应用所公开的技术来向使用3gpprat或非3gpprat连接到它们的移动网络的用户设备(例如,订户的移动设备)和/或iot设备提供基于rat的安全性。

在一个实施例中,移动服务提供商可以应用所公开的技术来提供基于rat的新的和增强的安全服务。例如,移动服务提供商可以应用所公开的技术来提供基于rat的防火墙服务。作为另一示例,移动服务提供商可以应用所公开的技术来使用rat信息来提供威胁检测服务(例如,基于rat的针对已知威胁的基本威胁检测服务、基于rat的针对未知威胁的高级威胁检测服务和/或可以利用基于rat的信息来应用安全策略的其他威胁检测服务)。作为又一示例,移动服务提供商可以应用所公开的技术来使用rat信息来提供针对已知威胁的威胁预防服务(例如,基于rat的针对已知威胁的基本威胁预防服务、基于rat的针对未知威胁的高级威胁预防服务和/或可以利用基于rat的信息来应用安全策略的其他威胁预防服务)。作为附加示例,移动服务提供商可以应用所公开的技术来使用rat信息来提供url过滤服务。

如上面类似描述的那样,gprs隧道协议(gtp)是在全球移动通信系统(gsm)、通用移动电信系统(umts)和长期演进(lte)网络内的各种接口上使用的一组基于ip的通信协议。gtpv1-c和gtpv2-c被用于当今的移动网络中(例如,gtpv1-c和gtpv2-c通常分别被用于当今的3g和4g/lte移动网络中)。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用可以基于rat信息实现安全策略的安全平台在移动网络中执行基于rat的安全性。例如,安全平台可以监视移动网络中的gtp-c流量,并处理(例如,解析)gtp-c消息以提取rat信息。

在一个实施例中,安全平台被配置成从gtpv2-c创建会话(例如,在4g移动网络中)提取rat信息。例如,gtpv2-c创建会话请求消息通常可以由移动网络中的各种网络元件(例如,服务网关(sgw)、移动性管理实体(mme)和/或移动网络中的其他网络元件)发送,如本文中关于图2b类似描述的那样。此外,这样的创建会话请求消息通常可以在各种接口(例如,s11、s5/s8、s4和/或移动网络中的其他接口,作为许多过程的部分,所述过程诸如e-utran初始附着、ue请求的pdn连接、pdp内容激活、从受信任的或不受信任的非3gppip接入到e-utran的切换和/或其他过程)上发送。rat信息元素(ie)通常存在于如在3gppts29.274中指定的gtpv2-c创建会话请求消息中。例如,可以将ratie设置为用户设备(ue)正在使用来附着到移动网络的3gpp接入或非3gpp接入。

在一个实施例中,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用安全平台在移动网络中执行基于rat的安全性,该安全平台可以基于rat信息(例如,由gtpv2-c支持的rat类型)来实现安全策略。由gtpv2-c支持的示例rat类型包括以下各项:utran(例如rat类型值=1)、geran(例如rat类型值=2)、wlan(例如rat类型值=3)、gan(例如rat类型值=4)、hspa演进(例如rat类型值=5)、eutran(wb-e-utran)(例如rat类型值=6)、虚拟(例如rat类型值=7)和eutran-nb-iot(例如rat类型值=8)。

在一个实施例中,安全平台被配置成从gtpv1-c创建pdp请求消息(例如,在3g移动网络中)中提取rat信息。例如,安全平台可以从gtpv1-c创建pdp请求消息中提取rat信息,该消息通常作为gprspdp上下文激活过程的一部分从sgsn节点发送到ggsn节点,如本文中关于图2a类似描述的那样。

因此,用于服务提供商的移动网络中的增强安全性的所公开的技术包括使用可以基于rat信息来实现安全策略的安全平台在移动网络中执行安全性。在一个实施例中,安全平台可以提取rat信息,以基于安全策略来执行安全性,所述安全策略可以基于rat信息来应用。例如,安全平台可以通过使用所公开的技术在移动和融合网络中根据rat类型应用安全策略来执行威胁检测。作为另一个示例,安全平台可以通过使用所公开的技术在移动和融合网络中根据rat类型应用安全策略来执行威胁预防。作为又一个示例,安全平台可以通过使用所公开的技术在移动和融合网络中根据rat类型应用安全策略来执行url过滤。下面进一步描述可以使用rat信息在服务提供商的移动网络上执行的增强安全性的示例用例场景(例如,将3g(而不是4g)蜂窝/移动网络接入租赁给第2层服务提供商的第1层蜂窝/移动服务提供商可以配置所公开的安全平台以利用rat信息来针对第2层蜂窝/移动服务提供商的用户/订户允许访问它们的3g网络,但是针对这样的用户/订户限制/不允许访问它们的4g网络,诸如下面进一步描述的那样)。

如现在对本领域普通技术人员来说将显而易见的是,移动服务提供商(例如,移动网络的服务提供商、移动设备或iot的服务提供商、安全服务提供商或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于rat的防火墙服务中的每个或其组合以及各种其他基于rat的服务。此外,移动服务提供商可以应用所公开的技术以结合各种其他增强安全服务来提供这样的使用基于rat的防火墙服务,诸如基于位置、基于移动设备标识符、基于移动用户标识符和/或其组合,如下面进一步描述的那样。

下面将进一步描述用于基于rat信息(例如,和/或结合各种dpi和/或ngfw技术,诸如应用id、用户id、内容id、url过滤等)在服务提供商的移动网络中提供增强安全性的这些和其他技术。

使用用于安全策略实施的安全平台的移动/服务提供商网络的增强安全性的示例用例

图4a是根据一些实施例的在3g网络中为漫游接入提供增强安全性的示例用例。具体地,图4a示出了在3g网络中的ggsn404和sgsn406之间的安全平台的网络布局,安全平台被示出为漫游防火墙402。

参考图4a,可以使用漫游防火墙402来监视使用gp接口和gtpv1-c协议从sgsn406发送到ggsn404的针对漫游订户(示出为漫游订户408)的创建pdp请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示。例如,可以由漫游防火墙402使用所公开的技术基于从这样的gtpv1-c消息和/或gtp-u流量中的用户数据通信提取的参数/信息来实施各种安全策略(例如,漫游订户通常可以具有不同于针对非漫游订户实施的安全策略的实施的不同安全策略,漫游订户可以具有基于rat类型来限制的访问,漫游订户可以具有基于rat类型和应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来限制的访问,和/或可以实施各种其他安全策略)。

图4b是根据一些实施例的在4g/lte网络中为漫游接入提供增强安全性的示例用例。具体地,图4b示出了在4g/lte网络中的pgw412和sgw414以及mme416之间的安全平台的网络布局,安全平台被示出为漫游防火墙410。

参考图4b,可以使用漫游防火墙410来监视使用s11接口从mme416发送到sgw414并且然后使用s8接口和gtpv2-c协议发送到pgw412的针对漫游订户(示出为漫游订户418)的创建会话请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示。例如,可以由漫游防火墙410使用所公开的技术基于从这样的gtpv2-c消息和/或gtp-u流量中的用户数据通信提取的参数/信息来实施各种安全策略(例如,漫游订户通常可以具有不同于针对非漫游订户实施的安全策略的实施的不同安全策略,漫游订户可以具有基于rat类型来限制的访问,漫游订户可以具有基于rat类型和应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来限制的访问,和/或可以实施各种其他安全策略)。

图4c是根据一些实施例的在混合的3g和4g/lte网络中为漫游接入提供增强安全性的示例用例。具体地,图4c示出了在3g网络中的ggsn422和sgsn424之间的安全平台的网络布局,安全平台被示出为漫游防火墙420。图4c还示出了在4g/lte网络中的pgw426和sgw428之间的漫游防火墙420的网络布局。

参考图4c,可以使用漫游防火墙420来监视使用gp/s8接口和gtpv1-c/gtpv2-c协议发送的针对漫游订户(示出为漫游订户430)的创建会话/pdp请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示和如上面类似描述的那样。例如,可以由漫游防火墙420使用所公开的技术基于从这样的gtpv1-c/gtpv2-c消息和/或gtp-u流量中的用户数据通信提取的参数/信息来实施各种安全策略(例如,漫游订户通常可以具有不同于针对非漫游订户实施的安全策略的实施的不同安全策略,漫游订户可以具有基于rat类型来限制的访问(诸如漫游用户可以被限制为仅访问h-plmn(归属网络)中的3g网络,如图4c中所示),漫游订户可以具有基于rat类型和应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来限制的访问,和/或可以实施各种其他安全策略)。

图4d是根据一些实施例的在4g/lte网络中为移动接入提供增强安全性的示例用例。具体地,图4d示出了在4g/lte网络中的sgw434和mme436之间的安全平台的网络布局,安全平台被示出为ran防火墙432。

参考图4d,可以使用ran防火墙432来监视使用s11接口从mme436发送到sgw434的针对归属网络中的移动订户(示出为移动订户440)的创建会话请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示。例如,可以由ran防火墙432使用所公开的技术基于从这样的gtpv2-c消息和/或gtp-u流量中的用户数据通信中提取的参数/信息来实施各种安全策略(例如,移动订户通常可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat来实施的不同的安全策略,移动订户通常还可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat结合应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来实施的不同的安全策略,和/或可以实施各种其他安全策略)。

图4e是根据一些实施例的在4g/lte网络中为非3gpp接入提供增强安全性的示例用例。具体地,图4e示出了在4g/lte网络中的pgw444和演进分组数据网关(epdg)446和受信任的wi-fi接入网关(twag)448之间的安全平台的网络布局,安全平台被示出为非3gpp接入防火墙442。

参考图4e,可以使用非3gpp接入防火墙442来监视针对不受信任的非3gpp接入网络中的移动订户或来自受信任的3gpp接入网络中的移动订户的创建会话请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示。例如,可以由非3gpp接入防火墙442使用所公开的技术基于从这样的gtpv2-c消息和/或gtp-u流量中的用户数据通信中提取的参数/信息来实施各种安全策略(例如,移动订户通常可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat来实施的不同的安全策略,移动订户通常还可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat结合应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来实施的不同的安全策略,和/或可以实施各种其他安全策略)。

图4f是根据一些实施例的在4g/lte网络中使用核心防火墙为移动接入提供增强安全性的示例用例。具体地,图4f示出了在4g/lte网络中的sgw454和pgw456之间之间的安全平台的网络布局,安全平台被示出为核心防火墙452。

参考图4f,可以使用核心防火墙452来监视针对移动订户的创建会话请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示。例如,可以由核心防火墙452使用所公开的技术基于从这样的gtpv2-c消息和/或gtp-u流量中的用户数据通信中提取的参数/信息来实施各种安全策略(例如,移动订户通常可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat来实施的不同的安全策略,移动订户通常还可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat结合应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来实施的不同的安全策略,和/或可以实施各种其他安全策略)。

图4g是根据一些实施例的在3g网络中使用核心防火墙为移动接入提供增强安全性的示例用例。具体地,图4g示出了在3g网络中的sgsn464和ggsn466之间之间的安全平台的网络布局,安全平台被示出为核心防火墙462。

参考图4g,可以使用核心防火墙462来监视针对移动订户的创建会话请求消息(例如,和/或其他控制/信令消息)(例如,和/或使用gtp-u协议的隧道用户数据通信),如所示。例如,可以由核心防火墙462使用所公开的技术基于从这样的gtpv2-c消息和/或gtp-u流量中的用户数据通信中提取的参数/信息来实施各种安全策略(例如,移动订户通常可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat来实施的不同的安全策略,移动订户通常还可以具有基于位置、设备标识符、订户标识和/或与移动订户相关联的rat结合应用id(和/或其他dpi确定的信息,诸如内容id、用户id、url等)来实施的不同的安全策略,和/或可以实施各种其他安全策略)。

使用用于安全策略实施的安全平台的移动/服务提供商网络的增强安全性的附加示例用例场景

用于使用用于安全策略实施的安全平台为移动/服务提供商网络提供增强安全性的所公开的技术可以被应用于多种附加示例用例场景中,以用于促进移动/服务提供商网络环境中的增强的和更灵活的和动态的安全性。下面将进一步描述附加示例用例场景。

作为第一个示例用例场景,假设订户alice通过她的移动网络服务提供商(例如,at&t®、t-mobile®、verizon®或另一服务提供商)签约(signup)了增强安全性,并且安全平台基于alice的订户标识(imsi)和/或alice的设备标识符(例如,与alice的移动电话或她的(一个或多个)其他设备相关联的imei)动态地应用新的安全策略。此外,针对在由alice的服务提供商控制/管理的移动网络上的与alice和/或她的设备相关联的会话实现的这样的安全策略实施可以包括基于其他信息/参数的安全策略实施,诸如位置和/或rat、基于威胁检测/预防、url过滤、应用id、内容id和/或其他基于dpi的安全策略检查/实施,如上面类似描的那样。

作为第二个示例用例场景,假设汽车内的一个或多个应用的控制(例如,无线电应用、加速控制、方向盘控制、制动器控制)被未授权的用户/实体劫持(hijack)。在该场景中,所公开的技术可以通过对每辆汽车(例如,基于与损害/感染(infect)的汽车相关联的imei)、每个用户(例如,基于imsi)、每个位置和/或每个应用(例如,基于应用id)实施安全策略来应用。具体地,服务提供商可以使用实现所公开的技术的安全平台来阻止针对每个用户(例如,imsi)和/或每个汽车的标识符(例如,imei)的特定应用的攻击/控制。例如,安全平台可以诸如基于检测命令和控制(c&c)流量(例如,使用基于dpi的防火墙技术(诸如通过监视来自汽车的dns请求),和/或使用其他基于dpi的防火墙技术)来检测汽车被感染。作为另一个示例,安全平台可以检测引导朝向汽车的恶意软件流量(例如,使用基于dpi的防火墙技术(诸如通过执行url过滤、标识内容id),和/或使用其他基于dpi的防火墙技术)。防火墙可以被配置成生成警报、阻止/丢弃分组或执行包括阻止特定应用的其他动作(例如,基于汽车的应用id和imei,包括加速、转向和制动应用,但是可以允许无线电应用具有因特网访问,这可以被配置成阻止应用/将应用列入白名单和/或当检测到可疑/恶意软件行为时修改访问权限)。作为又一个示例,如果黑客硬件标识(imei)被确定为攻击/瞄准汽车,那么可以阻止/丢弃所有gtp-c创建pdp/会话消息,以不允许来自这样的未授权实体(例如,黑客/被黑客利用的设备)的任何通信。

作为第三个示例用例场景,假设网络可访问的恒温器(例如iot恒温器)被未授权的用户/实体劫持。在该场景中,所公开的技术可以通过对每个恒温器(例如,基于与损害/感染的恒温器相关联的imei)、每个用户(例如,基于imsi)、每个位置和/或每个应用(例如,基于应用id)实施安全策略来应用。具体地,服务提供商可以使用实现所公开的技术的安全平台来阻止针对每个用户(例如,imsi)和/或每个恒温器的标识符(例如,imei)的特定应用的攻击/控制。例如,安全平台可以诸如基于检测命令和控制(c&c)流量(例如,使用基于dpi的防火墙技术(诸如通过监视来自汽车的dns请求),和/或使用其他基于dpi的防火墙技术)来检测恒温器被感染。作为另一个示例,安全平台可以检测引导朝向恒温器的恶意软件流量(例如,使用基于dpi的防火墙技术(诸如通过执行url过滤、标识内容id),和/或使用其他基于dpi的防火墙技术)。防火墙可以被配置成生成警报、阻止/丢弃分组或执行包括阻止特定应用的其他动作(例如,基于恒温器的应用id和imei,包括诸如经由因特网接入的温度的远程控制,使得用户只能在恒温器设备仪表盘(dial)本身上手动改变,而不能经由因特网改变,这可以被配置成阻止应用和/或在检测到可疑/恶意软件行为时修改访问权限)。作为又一个示例,如果黑客硬件标识(imei)被确定为攻击/瞄准恒温器,那么可以阻止/丢弃所有gtp-c创建pdp/会话消息,以不允许来自这样的未授权实体(例如,黑客/被黑客利用的设备)的任何通信。

作为第四个示例用例场景,假设给定位置遭受紧急森林火灾事件,则实现所公开的技术的安全平台可以被配置成基于该地理区域中的(一个或多个)位置信息/参数来阻止所有gtp-c创建pd/会话消息。例如,在紧急森林火灾事件的地理区域中阻止这样的新的gtp会话可以被用于防止未授权/非紧急人员驾驶无人机,该无人机可能干扰紧急森林火灾事件的地理区域中的灭火努力(例如,这样可能干扰直升机或飞机灭火的使用,或者以其他方式将紧急人员/其他人置于进一步的风险处)。

在示例实现中,移动网络服务提供商和/或其他服务提供商可以使用(一个或多个)表(例如,存储在安全平台设备的数据平面中,诸如下面进一步描述的那样)以在各种用例场景中实现这样的安全策略,该表可以包括imei、imsi和ip地址的相关性。例如,对于具有与用户的家庭或办公室网络的给定ip地址相关联的多个iot设备的家庭或办公室,用户可以针对他们的iot设备中的每个输入相应的imsi。在该示例中,可以根据imsi实现安全策略(例如,除了根据ip地址之外,这样将影响用户的家庭或办公室iot设备中的每个,因为它们每个都使用nat与该用户的相同家庭ip地址相关联)。这样,移动网络或其他服务提供商可以使用该表以使用上面描述的技术来执行安全策略。

作为第五个示例用例场景,假设网络服务提供商(例如,小小区公司,其是第2层或第3层移动运营商公司)从另一个网络服务提供商(例如,大小区公司,诸如at&t或verizon,其是第1层移动运营商公司)租赁网络接入,那么大小区公司可以利用执行所公开的技术的安全平台以基于对应于大小区公司和小小区公司之间的租赁协议的安全策略来允许rat和/或阻止rat(例如,大小区公司可能只已经租赁3g网络而不是4g网络给小小区公司)。作为另一个示例,大小区公司可能只已经将对iot的rat接入租赁给小小区公司(例如,可以针对iot访问指定安全策略,其中在安全策略中指定可以在iot上使用的应用和协议(列入白名单),使得其他协议/应用可以被阻止/过滤为不允许(列入黑名单))。

鉴于所公开的实施例,如现在将显而易见的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、iot设备实体和/或其他设备制造商)和/或系统集成商可以指定这样的安全策略,该安全策略可以由安全平台使用所公开的技术来实施,以解决这些和其他技术网络安全挑战。

用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的示例硬件组件

图5是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的硬件组件的功能图。所示的示例是可以被包括在网络设备500中的物理/硬件组件的表示(例如,可以实现本文中公开的安全平台的装备、网关或服务器)。具体地,网络设备500包括高性能多核cpu502和ram504。网络设备500还包括存储设备510(例如,一个或多个硬盘或固态存储单元),其可被用于存储策略和其他配置信息以及签名。在一个实施例中,存储设备510存储位置信息、硬件标识符信息、订户标识信息和/或rat信息以及相关联的ip地址和可能其他信息(例如,应用id、内容id、用户id、url和/或其他信息),所述信息被监视以用于使用安全平台/防火墙设备来实现所公开的安全策略实施技术。网络设备500还可以包括一个或多个可选的硬件加速器。例如,网络设备500可以包括被配置成执行加密和解密操作的密码引擎506,以及被配置成执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个fpga508。

用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的示例逻辑组件

图6是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的逻辑组件的功能图。所示的示例是可以被包括在网络设备600中的逻辑组件的表示(例如,数据装备,其可以实现所公开的安全平台并执行所公开的技术)。如所示,网络设备600包括管理平面602和数据平面604。在一个实施例中,管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户接口。数据平面负责管理数据,诸如通过执行分组处理和会话处置。

假设移动设备尝试使用加密会话协议(诸如ssl)访问资源(例如,远程web站点/服务器、iot设备或其他资源)。网络处理器606被配置成监视来自移动设备的分组,并将分组提供给数据平面604以进行处理。流608将分组标识为是新会话的部分,并创建新的会话流。后续分组基于流查找将被标识为属于该会话。如果适用,则由ssl解密引擎610使用如本文中描述的各种技术来应用ssl解密。否则,省略ssl解密引擎610的处理。应用标识(appid)模块612被配置成确定会话涉及什么类型的流量并标识与流量流相关联的用户(例如,标识如本文中描述的应用id)。例如,appid612可以识别接收到的数据中的get请求,并得出会话需要http解码器的结论。作为另一个示例,appid612可以识别接收到的数据中的创建会话请求或创建pdp请求,并且得出会话需要gtp解码器的结论。对于每个类型的协议,存在相应的解码器614。在一个实施例中,应用标识由应用标识模块(例如,app-id组件/引擎)执行,并且用户标识由另一组件/引擎执行。基于由appid612做出的确定,分组被发送到适当的解码器614。解码器614被配置成将分组(例如,其可能被无序接收)组装成正确的顺序,执行令牌化,并提取出信息。解码器614还执行签名匹配,以确定对于该分组应该发生什么。ssl加密引擎616使用如本文中描述的各种技术执行ssl加密,并且然后使用转发组件618转发分组,如所示的那样。还如所示的那样,策略620被接收并存储在管理平面602中。在一个实施例中,如本文中基于监视、解密、标识和解码的会话流量流关于各种实施例描述的那样来应用策略实施(例如,策略可以包括一个或多个规则,所述规则可以使用域和/或主机/服务器名称来指定,并且规则可以应用一个或多个签名或其他匹配标准或试探法(heuristics),诸如用于基于来自如本文中公开的监视的gtp-c消息和/或监视的gtp-u流量的dpi的各种提取的参数/信息在服务提供商网络上的针对订户/ip流的安全策略实施)。

还如图6中所示,还提供接口(i/f)通信器622用于安全平台管理器通信(例如,经由(rest)api、消息或网络协议通信或其他通信机制)。在一些情况下,使用网络设备600来监视服务提供商网络上的其他网络元件的网络通信,并且数据平面604支持这样的通信的解码(例如,网络设备600,包括i/f通信器622和解码器614,可以被配置成监视例如gn、gp、sgi、gi、s1、s5、s8、s11和/或其中有线和无线网络流量流存在的其他接口,和/或在例如gn、gp、sgi、gi、s1、s5、s8、s11和/或其中有线和无线网络流量流存在的其他接口上通信,如本文中类似描述的那样)。这样,包括i/f通信器622的网络设备600可以被用于实现所公开的技术,以用于移动/服务提供商网络环境上的安全策略实施,如上面描述以及如下面将进一步描述的那样。

现在将描述用于在移动/服务提供商网络环境上执行安全策略实施的所公开的技术的附加示例过程。

用于服务提供商的移动网络中的基于位置的安全性的示例过程

图7是根据一些实施例的用于在服务提供商的移动网络中执行基于位置的安全性的过程的流程图。在一些实施例中,如图7中所示的过程700由安全平台和如上面类似描述的技术(包括上面关于图1a-6描述的实施例)来执行。在一个实施例中,过程700由如上面关于图5描述的数据装备500、如上面关于图6描述的网络设备600、虚拟装备、sdn安全解决方案、云安全服务和/或如本文中描述的上述各项的组合或混合实现来执行。

过程在702处开始。在702处,执行在安全平台处监视服务提供商网络上的网络流量以标识新会话的位置。例如,安全平台(例如防火墙、代表防火墙起作用的网络传感器或可以实现安全策略的另一设备/组件)可以从移动核心网上的gtp-c流量中提取位置信息/参数,如上面类似描述的那样。

在704处,执行在安全平台处将该位置与新会话相关联。例如,安全平台可以标识新的ip会话(例如,数据呼叫或其他会话),并将位置和分配的ip地址与新的流相关联(例如,高速缓存/存储在安全平台的数据平面中的表中),如上面类似描述的那样。

在706处,执行基于位置来确定要在安全平台处应用于新会话的安全策略。例如,可以基于位置、硬件标识符、订户标识和rat信息的各种组合和/或基于使用基于dpi的防火墙技术检测/确定的信息来确定和/或实施安全策略,诸如通过执行url过滤、标识应用id、标识内容id和/或使用其他基于dpi的防火墙技术,如上面类似描述的那样。

在708处,执行使用安全平台在新会话上实施安全策略。例如,可以使用安全平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、加标签、监视、日志记录、调节(throttle)、限制访问和/或其他实施动作),如上面类似描述的那样。

用于服务提供商的移动网络中的基于移动设备标识和/或iot设备标识和应用标识的安全实施的示例过程

图8是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动设备标识和/或iot设备标识和应用标识的安全实施的过程的流程图。在一些实施例中,如图8中所示的过程800通过安全平台和如上面类似描述的技术(包括上面关于图1a-6描述的实施例)来执行。在一个实施例中,过程800由如上面关于图5描述的数据装备500、如上面关于图6描述的网络设备600、虚拟装备、sdn安全解决方案、云安全服务和/或如本文中描述的上述各项的组合或混合实现来执行。

过程在802处开始。在802处,执行在安全平台处监视服务提供商网络上的网络流量以标识新会话的移动设备标识和/或iot设备标识。例如,安全平台(例如防火墙、代表防火墙起作用的网络传感器或可以实现安全策略的另一设备/组件)可以从移动核心网上的gtp-c流量中提取移动设备标识和/或iot设备标识信息/参数(例如imei),如上面类似描述的那样。

在804处,执行在安全平台处确定与新会话相关联的用户流量的应用标识(例如,应用标识符)。例如,可以通过使用基于dpi的防火墙技术监视gtp-u流量来标识应用标识符(例如,应用id),如上面类似描述的那样。

在806处,执行基于移动设备标识和/或iot设备标识和应用标识来确定要在安全平台处应用于新会话的安全策略。例如,可以基于位置、硬件标识符、订户标识和rat信息的各种组合和/或基于使用基于dpi的防火墙技术检测/确定的信息来确定和/或实施安全策略,诸如通过执行url过滤、标识应用id、标识内容id和/或使用其他基于dpi的防火墙技术,如上面类似描述的那样。

在808处,执行使用安全平台在新会话上实施安全策略。例如,可以使用安全平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、加标签、监视、日志记录、调节、限制访问和/或其他实施动作),如上面类似描述的那样。

用于服务提供商的移动网络中的基于移动用户标识和/或基于sim的iot标识和应用标识的安全实施的示例处理

图9是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动用户标识和/或基于sim的iot标识和应用标识的安全实施的过程的流程图。在一些实施例中,如图9中所示的过程900通过安全平台和如上面类似描述的技术(包括上面关于图1a-6描述的实施例)来执行。在一个实施例中,过程900由如上面关于图5描述的数据装备500、如上面关于图6描述的网络设备600、虚拟装备、sdn安全解决方案、云安全服务和/或如本文中描述的上述各项的组合或混合实现来执行。

过程在902处开始。在902处,执行在安全平台处监视服务提供商网络上的网络流量以标识新会话的订户标识和/或基于sim的iot标识。例如,安全平台(例如防火墙、代表防火墙起作用的网络传感器或可以实现安全策略的另一设备/组件)可以从移动核心网上的gtp-c流量中提取移动用户标识和/或基于sim的iot标识信息/参数(例如imsi),如上面类似描述的那样。

在904处,执行在安全平台处确定与新会话相关联的用户流量的应用标识(例如,应用标识符)。例如,可以通过使用基于dpi的防火墙技术监视gtp-u流量来标识应用标识符(例如,应用id),如上面类似描述的那样。

在906处,执行基于订户标识和应用标识符来确定要在安全平台处应用于新会话的安全策略。例如,可以基于位置、硬件标识符、订户标识和rat信息的各种组合和/或基于使用基于dpi的防火墙技术检测/确定的信息来确定和/或实施安全策略,诸如通过执行url过滤、标识应用id、标识内容id和/或使用其他基于dpi的防火墙技术,如上面类似描述的那样。

在908处,执行使用安全平台在新会话上实施安全策略。例如,可以使用安全平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、加标签、监视、日志记录、调节、限制访问和/或其他实施动作),如上面类似描述的那样。

用于服务提供商的移动网络中的基于无线电接入技术的安全实施的示例过程

图10是根据一些实施例的用于在服务提供商的移动网络中执行基于无线电接入技术(rat)的安全性的过程的流程图。在一些实施例中,如图10中所示的过程1000通过安全平台和如上面类似描述的技术(包括上面关于图1a-6描述的实施例)来执行。在一个实施例中,过程1000由如上面关于图5描述的数据装备500、如上面关于图6描述的网络设备600、虚拟装备、sdn安全解决方案、云安全服务和/或如本文中描述的上述各项的组合或混合实现来执行。

过程在1002处开始。在1002处,执行在安全平台处监视服务提供商网络上的网络流量以标识新会话的rat。例如,安全平台(例如防火墙、代表防火墙起作用的网络传感器或可以实现安全策略的另一设备/组件)可以从移动核心网上的gtp-c流量中提取rat信息/参数,如上面类似描述的那样。

在1004,执行在安全平台处将rat与新会话相关联。例如,安全平台可以标识新会话(例如,数据呼叫或其他会话),并将rat和分配的ip地址与新的流相关联(例如,高速缓存/存储在安全平台的数据平面中的表中),如上面类似描述的那样。

在1006处,执行基于rat来确定要在安全平台处应用于新会话的安全策略。例如,可以基于位置、硬件标识符、订户标识和rat信息的各种组合和/或基于使用基于dpi的防火墙技术检测/确定的信息来确定和/或实施安全策略,诸如通过执行url过滤、标识应用id、标识内容id和/或使用其他基于dpi的防火墙技术,如上面类似描述的那样。

在1008处,执行使用安全平台在新会话上实施安全策略。例如,可以使用安全平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、加标签、监视、日志记录、调节、限制访问和/或其他实施动作),如上面类似描述的那样。

尽管为了理解的清楚的目的,已经相当详细地描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的而不是限制性的。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:S.韦尔马;L.布拉科夫斯基;J.书;C.李;L.常;I-C.陈
  • 技术所有人:帕洛阿尔托网络公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2