CN109691158A - 移动流量重定向系统 - Google Patents
移动流量重定向系统 Download PDFInfo
- Publication number
- CN109691158A CN109691158A CN201780043299.0A CN201780043299A CN109691158A CN 109691158 A CN109691158 A CN 109691158A CN 201780043299 A CN201780043299 A CN 201780043299A CN 109691158 A CN109691158 A CN 109691158A
- Authority
- CN
- China
- Prior art keywords
- mobile
- identity
- spi
- infected
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
Abstract
本文讨论的系统、设备和方法涉及将受感染的移动设备或用户设备(UE)的移动流量重定向到为UE提供安全动作的安全网络节点。移动会话管理节点可基于在智能重定向节点处维护的数据库或从UE接收的安全状况指示符来将UE标识为受感染设备。然后,移动管理实体可以采用安全网络节点创建会话,其将受感染的UE的移动流量重定向到安全网络节点,并为UE提供安全动作。
Description
相关申请的交叉引用
本专利申请要求2017年4月4日提交的、序列号为15/479,031的美国实用专利申请的优先权,所述专利申请是2016年7月13日提交的、序列号为62/361,689、标题为“智能移动重定向系统(INTELLIGENT MOBILE REDIRECTION SYSTEM)”的美国临时专利申请的非临时申请并要求其优先权和权益。序列号为15/479,031和62/361,689的申请通过引用完全并入本文。
背景技术
现代电信系统可以包括第二代、第三代、第四代和第五代(2G、3G、4G和5G)蜂窝无线接入技术的异构混合,这些蜂窝无线接入技术可相互兼容且可以共同操作以提供数据通信服务。全球移动系统(Global Systems for Mobile,GSM)是2G电信技术的示例;通用移动电信系统(Universal Mobile Telecommunication System,UMTS)是3G电信技术的示例;长期演进(Long Term Evolution,LTE)(包括高级LTE、未许可频谱中的LTE(LTE-U)、许可辅助接入(Licensed Assisted Access,LAA)和演进式高速分组接入(High-Speed PacketAccess,HSPA+))是4G电信技术的示例。5G电信技术是下一代移动网络,其被设计为结合现有LTE/LTE-A移动网络的演进和革新,以提供更高的连接性、更大的吞吐量、更低的延迟和超高的可靠性以支持新的用例和应用程序。
移动设备(诸如智能手机和平板电脑)的增长和广泛采用,以及使用这些移动设备访问互联网,使移动设备面临被各种恶意软件和恶意应用程序感染的威胁,这些恶意软件和恶意应用程序可能无意中不知不觉被下载到移动设备。这些受感染的移动设备可能通过潜在地攻击移动运营商网络、受感染的移动设备、感染其他移动设备、窃取移动设备用户的身份证明和其他信息等,对移动设备的用户和移动运营商两者构成威胁。日益增加的威胁已导致部署安全设备的移动运营商检测和阻止受感染的移动设备攻击移动运营商网络或其他移动用户,然而,为数百万移动用户提供对移动流量的全面覆盖和保护措施是既困难且昂贵的。
附图说明
参考附图阐述了具体实施方式。在附图中,参考标号的最左边的数字标识参考标号首次出现的图。在不同的图中使用相同的参考标号指示相似或相同的项或特征。
图1示出了受感染的用户设备(UE)的移动流量可以被重定向的示例环境。
图2示出了移动管理实体用于将受感染的UE的移动流量重定向到安全网络节点的示例流程图过程。
图3示出了详细说明图2的框之一的第一示例过程,用于基于身份响应将UE标识为受感染的设备。
图4示出了详细说明图2的框之一的第二示例过程,用于基于身份响应将UE标识为受感染的设备。
图5示出了详细说明图2的框之一的第三示例过程,用于基于身份响应将UE标识为受感染的设备。
图6示出了详细说明图2的框之一的第四示例过程,用于基于身份响应将UE标识为受感染的设备。
图7示出了用于重定向恶意移动流量的第一示例时序图。
图8示出了用于重定向恶意移动流量的第二示例时序图。
图9示出了用于重定向恶意移动流量的第三示例时序图。
图10示出了用于重定向恶意移动流量的第四示例时序图。
图11示出了移动流量重定向系统的示例框图。
具体实施方式
这里讨论的系统、设备和方法涉及将受感染移动设备或用户设备(UE)的移动流量重定向到安全网络节点,所述安全网络节点为UE提供安全动作。移动会话管理节点,例如用于LTE网络的移动管理实体(MME)、负责订户身份认证、漫游以及到其他网络的切换,可以基于在智能重定向节点(IRN)处维护的数据库或者从UE接收的安全状况指示符(SPI)将UE标识为受感染设备。然后,MME可以与安全网络节点(SNN)创建会话,将受感染的UE的移动流量重定向到SNN并且为UE提供安全动作。
图1示出了其中受感染的用户设备(UE)102的移动流量可被重定向的示例环境100。
UE 102可以是便携式通信设备,例如蜂窝电话、平板电脑或膝上型计算机、全球定位系统(GPS)设备、游戏设备等,其能够与移动网络运营商(MNO)的移动网络104通信。UE102可以经由接入点(如具有移动网络104的演进节点B(eNodeB)110的4G/LTE基站108)访问MNO的核心网络106。UE可以通过移动网络104经由S1-MME接口114与核心网106的移动管理实体112建立通信。MME 112耦合到智能重定向节点(IRN)116,其能够确定UE 102是否被感染。核心网络106还可以包括多个分组数据网络网关(PGW)和服务网关(SGW),其中示出四个PGW/SGW 118、120、122和124。每个PGW/SGW可以经由SGi接口128、130、132和134连接到分组数据网络,例如因特网126。PGW/SGW之一,例如PGW/SGW 120,可以包括安全系统136,并且PGW/SGW 120和安全系统136的组合可称为安全网络节点(SNN)138。如果IRN 116确定UE102被感染,则IRN 116可以指示MME 112将UE 102的移动流量重定向到SNN 138。UE102的移动流量可以经由S1-U接口140重定向到SNN 138,其中SNN 138可以针对UE102提供安全动作。MME 112亦可以连接到归属订户服务器(HSS)142和域名系统(DNS)144。
图2示出了MME 112将受感染的UE102的移动流量重定向到SNN 128的示例流程图过程200。
在框202中,MME 112从UE 102接收附接请求,并且在框204中向UE 102发送身份请求作为响应。然后,在框206中,MME 112从UE 102接收身份响应以响应身份请求。在框208中,根据身份响应,MME 112对UE102进行身份认证,并将UE102标识为受感染设备。在框210中,MME 112与SNN 138创建会话,并且在框212中,受感染的UE102的移动流量将被重定向至SNN 138。在框214中,SNN 138为受感染的UE 102提供安全动作,或MME 112使SNN 138为受感染的UE 102提供安全动作。
SNN 138为受感染的UE 102提供的安全动作可以包括检查UE 102的移动流量是否存在恶意流量并标识包括在来自UE 102的移动流量中已知的恶意网站目的地,或针对僵尸网络设计的恶意流量、分布式阻断服务攻击(DDoS)、恶意软件等。SNN 138还可以监视这些以网站或其他UE为目的地的这种恶意流量。
SNN 138为受感染的UE 102提供的安全动作还可以包括补救动作,例如隔离UE102的移动流量、阻断UE 102的移动流量、提供在UE 102上运行安全应用的通知以移除感染,以及自动在UE 102上运行安全应用程序以移除诸如恶意软件之类的感染。SNN 138还可以通过如下操作来提供对已采取的补救动作的通知:发送提供给UE 102的补救动作通知,藉由文本、电子邮件、用户账户的状态更新等,发送向与UE 102相关联的用户提供的补救动作的通知,以及为UE102的移动网络运营商创建提供给UE 102的补救动作的报告。
图3示出了第一示例过程300,详细说明图2的框208,用于基于身份响应将UE 102标识为受感染设备。
在框302中,MME 112分析从UE 102所接收的身份响应中包括的安全状态指示符(SPI)。在框304中,如果SPI指示UE 102未被感染,则在框306中,所述过程终止而不需要重定向UE 102的移动流量。在框304中,如果SPI指示UE102被感染,则过程行进到框210,将UE102被标识为被感染。
图4示出了第二示例过程400,其详述了图2的框208,基于身份响应将UE 102标识为受感染设备。
在框402中,MME 112向智能重定向节点(IRN)116发送包括移动身份的UE安全检查,移动身份包括身份响应中所接收的UE 102国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个。在框404中,IRN 116确定UE 102的IMSI/IMEI是否被包括在IRN116处维护的已知受感染的UE的列表中。如果UE 102的IMSI/IMEI未包括在列表中,则在框406中SPI未包括UE 102被感染的指示,不需要重定向UE 102的移动流量。然而,如果UE 102的IMSI/IMEI包括在列表中,则SPI包括UE 102被感染的指示。在框408中,MME 112从IRN116接收UE安全检查响应,该安全检查响应包括指示UE 102被感染的SPI。
图5示出了第三示例过程500,其详述了图2的框208,基于身份响应将UE 102标识为受感染设备。
在框502中,MME 112向DNS 144发送一个SGW和PGW(S/PGW)选择请求,请求包括在身份响应中接收的UE 102的IMSI/IMEI,并在框504中,使DNS 144发送包括UE的IMSI/IMEI的UE安全检查到IRN 116。在框506中,IRN 116确定UE 102的IMSI/IMEI是否被包括在IRN116处维护的已知受感染的UE的列表中。如果UE 102的IMSI/IMEI未包括在列表中,则在框508中SPI包括UE 102未被感染的指示,而不需要重定向UE 102的移动流量。然而,如果UE102的IMSI/IMEI包括在列表中,则SPI包括UE 102被感染的指示。在框510中,IRN 116向DNS144发送包括指示UE 102被感染的SPI的UE安全检查响应。在框512中,DNS 144向MME 112发送包括SPI的S/PGW选择响应。
图6示出了第四示例过程600,其详述了图2的框208,基于身份响应将UE 102标识为受感染设备。
在框602,MME 112向HSS 142发送包括在身份响应中所接收到的UE 102的IMSI/IMEI的更新位置请求,并在框604,使HSS 142向IRN 116发送包括UE的IMSI/IMEI的UE安全检查。在框606中,IRN 116确定UE 102的IMSI/IMEI是否包括在IRN 116处维护的已知受感染的UE的列表中。如果UE 102的IMSI/IMEI未包括在列表中,则在框608中,SPI包括UE 102未被感染的指示,而不需要重定向UE 102的移动流量。然而,如果UE 102的IMSI/IMEI包括在列表中,则SPI包括UE 102被感染的指示,并且在框610中,IRN 116向HSS 142发送包括指示UE 102被感染的SPI的UE安全检查响应。在框612中,HSS 142向MME 112发送包括SPI的更新位置响应。
如上所述,针对恶意流量的移动流量重定向的若干过程,可基于各种配置来实践。
图7示出了用于重定向恶意移动流量的第一示例的时序图700。
在702处,UE102向MME 112发送附接请求,并且在框704处,响应于附接请求,MME112向UE102发送身份请求。在706处,响应于身份请求,UE 102向MME 112发送身份响应,包括指示UE 102被感染的SPI。MME 112基于身份响应对UE 102进行身份认证,并基于SPI选择SNN 138以重定向UE 102的流量。在708,MME 112向SNN 138发送包括SPI的创建会话请求。在710,SNN 138向MME 112发送创建会话响应以作为响应,并且在712将UE 102的恶意流量重定向到SNN 138。
SNN 138可以为受感染的UE 102提供安全动作,例如检查UE 102的移动流量是否有恶意流量并标识包括在来自UE 102的移动流量中已知的恶意网站目的地,或者为僵尸网络设计的恶意流量、分布式阻断服务攻击(DDoS)、恶意软件等。SNN 138为受感染的UE 102提供的安全动作还包括补救动作,例如隔离UE 102的移动流量、阻断UE 102的移动流量、提供在UE 102上运行安全应用的通知以移除感染,并自动运行UE 102上的安全应用程序以移除诸如恶意软件之类的感染。SNN 138还可以通过以下操作来提供对已采取的补救动作的通知:发送提供给UE 102的补救动作通知,藉由文本、电子邮件、用户账户的状态更新等,发送向与UE 102相关联的用户提供的补救动作的通知,以及为UE102的移动网络运营商创建提供给UE102的补救动作的报告。
图8示出了用于重定向恶意移动流量的第二示例的时序图800。
在802,UE 102向MME 112发送附接请求,并响应于附接请求,在804,MME 112向UE102发送身份请求。在806,响应于身份请求,UE 102向MME 112发送包括UE102的IMSI/IMEI的身份响应。在808,MME 112向IRN 116发送包括UE 102的IMSI/IMEI的UE安全检查。然后,IRN 116确定UE 102的IMSI/IMEI是否包括在IRN 116处维护的已知感染UE的列表中。若UE102的IMSI/IMEI未包括在列表中,则SPI不包括UE 102被感染的指示,而不需要重定向UE102的移动流量。然而,如果UE 102的IMSI/IMEI被包括在列表中,则SPI包括UE 102被感染的指示,并且在810,IRN 116向MME 112发送包括指示UE 102被感染的SPI的UE安全检查响应。
MME 112基于UE安全响应来对UE 102进行身份认证,并且基于指示UE 102被感染的SPI选择SNN 138用于重定向UE 102的流量。在812,MME 112向SNN 138发送包括SPI的创建会话请求。作为响应,在814,SNN 138向MME 112发送创建会话响应,并在816将UE 102的恶意流量重定向到SNN 138。SNN 138可以提供类似上面关于图7所讨论的安全动作、补救动作和通知。
图9示出了用于重定向恶意移动流量的第三示例的时序图900。
在902,UE 102向MME 112发送附接请求,作为响应于附接请求,在904,MME 112向UE 102发送身份请求。在906,UE 102向MME 112发送包括UE 102的IMSI/IMEI身份响应以响应身份请求。在908,UE 102还与HSS 142进行认证过程。
在910,MME 112将包括UE 102的IMSI/IMEI的更新位置请求发送给HSS 142。然后,在912,HSS142向IRN 116发送包括UE 102的IMSI/IMEI的UE安全检查。然后,IRN 116判断UE102的IMSI/IMEI是否包括在IRN116处维护的已知感染UE的列表中。如果UE 102的IMSI/IMEI未包括在列表中,则SPI包括UE 102未被感染的指示,而不需要重定向UE 102的移动流量。然而,如果UE 102的IMSI/IMEI包括在列表中,则SPI包括UE 102被感染的指示。在914,IRN 116向HSS 142发送包括指示UE 102被感染的SPI的UE安全检查响应。然后,在916,HSS142向MME发送包括SPI和安全S/PGW的选择(即SNN 138)的更新位置响应。在918,MME 112向SNN 138发送包括SPI的创建会话请求。作为响应,在920,SNN 138向MME 112发送创建会话响应,并在922将UE 102的恶意流量重定向到SNN 138。SNN 138可以提供类似上面关于图7所讨论的安全动作、补救动作和通知。
图10示出了用于重定向恶意移动流量的第四示例的时序图1000。
在1002,UE 102向MME 112发送附接请求,响应于附接请求,在1004,MME 112向UE102发送身份请求。在1006,UE 102向MME 112发送包括UE 102的IMSI/IMEI身份响应以响应身份请求。在1008,UE102还与HSS 142进行认证过程。
在1010,MME 112将包括UE 102的IMSI/IMEI的S/PGW选择请求发送到DNS 144。然后,在1012,DNS 144向IRN 116发送包括UE 102的IMSI/IMEI的UE安全检查。然后,IRN 116判断UE 102的IMSI/IMEI是否包括在IRN 116处维护的已知感染UE的列表中。如果UE 102的IMSI/IMEI未包括在列表中,则SPI包括UE 102未被感染的指示,而不需要重定向UE 102的移动流量。然而,如果UE 102的IMSI/IMEI包括在列表中,则SPI包括UE 102被感染的指示。在1014,IRN 116向DNS 144发送包括指示UE 102被感染的SPI的UE安全检查响应。然后,在1016,DNS 144向MME发送包括SPI和安全S/PGW的选择(即SNN 138)的S/PGW选择响应。在1018,MME 112向SNN 138发送包括SPI的创建会话请求。作为响应,在1020,SNN 138向MME112发送创建会话响应,并在1022将UE 102的恶意流量重定向到SNN 138。SNN 138可以提供类似上面关于图7所讨论的安全动作、补救动作和通知。
上述方法的部分或全部操作可以通过执行存储在计算机存储介质上的计算机可读指令来执行,如下面所定义。在说明书和权利要求中使用的术语“计算机可读指令”包括例程、应用程序、应用程序模块、程序模块、程序、组件、数据结构和运算法则等。计算机可读指令可以在各种系统配置上实现,包括单处理器或多处理器系统、小型计算机、大型计算机、个人计算机、手持计算设备,基于微处理器的、可编程的消费电子产品及其组合等。
计算机存储介质可以包括易失性存储器(诸如随机存取存储器(RAM))和/或非易失性存储器(诸如只读存储器(ROM)、闪存等)。计算机存储介质还可以包括额外的可移除存储和/或不可移除存储,包括但不限于闪存、磁存储、光存储和/或磁带存储,这些存储可以提供计算机可读指令、数据结构、程序模块等的非易失性存储。
计算机存储介质是计算机可读介质的示例。计算机可读介质包括至少两种类型的计算机可读介质,即计算机存储介质和通信介质。计算机存储介质包括易失性和非易失性、可移除和不可移除介质,在任何过程或技术中被实施用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息。计算机存储介质包括但不限于相变存储器(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、光盘只读存储器(CD-ROM)、数字通用光盘(DVD)或其他光学存储器、磁带盒、磁带、磁盘存储器或其他磁存储设备,或可用于存储信息以供计算设备访问的任何其他非传输介质。反之,通信介质可以体现计算机可读指令、数据结构、程序模块或调制数据信号中的其他数据,例如载波或其他传输机制。如这里所定义的,计算机存储介质不包括通信介质。
存储在一个或更多个计算机存储介质上的计算机可读指令,当由一个或更多个处理器执行时,执行上方图2-10所描述的操作。通常,计算机可读指令包括执行特定功能或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。描述操作的顺序不旨在被解释为限制,任意数量的所述操作可以按任何顺序和/或并行地进行组合以实现所述进程。
图11示出了移动流量重定向系统1002的示例框图1100。
移动流量重定向系统1102可以包括移动管理实体,如MME 112、可通信地耦合到MME 112的智能重定向节点(例如IRN 116),以及可通信地耦合到MME 112的安全网络节点(例如SNN 138)。如上面参考图2、4、6、8和9所述,MME 112被配置为响应从UE 102所接收附接请求,并向UE 102的用户设备(UE)(如UE 102)发送身份请求。MME 112还被配置为响应发送身份请求从UE 102接收身份响应,身份响应包括UE 102的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中至少一个。
IRN 116被配置为从MME112接收包括UE 102的IMSI/IMEI的UE安全检查,并发送包括安全状态指示符(SPI)的UE安全检查响应至MME 112,安全检查响应包括基于确定UE 102的IMSI/IMEI被包括在IRN 116处维护的已知受感染的UE的列表中而指示UE 102被感染,如上面参考图2、4、6、8和9所述。
SNN 138可以包括至少一个PGW或SGN,例如PGN/SGW 120,以及一安全系统,例如安全系统136。SNN 138可以通过SGi接口(例如SGi 130)连接到分组数据网络(例如因特网126)。SNN 138被配置为从MME 112接收包括指示UE 102被感染的SPI的创建会话请求,并发送创建会话响应至MME 112,将UE 102的移动流量重定向到SNN 138,并且如上面参考图2、4、6、8和9所述,为UE 102的移动流量提供安全动作。
SNN 138可为受感染的UE 102提供安全动作,例如检查UE 102的移动流量是否存在恶意流量并标识包括在来自UE 102的移动流量中的已知恶意网站目的地、或者被设计为僵尸网络、分布式阻断服务攻击(DDoS)、恶意软件等的恶意流量。SNN 138为受感染的UE102提供的安全动作还可以包括补救动作,例如隔离UE 102的移动流量、阻断UE 102的移动流量、提供在UE 102上运行安全应用以移除感染的通知,并在UE 102上自动运行安全应用程序以移除诸如恶意软件之类的感染。SNN 138还可以通过以下操作来提供对已采取补救动作的通知:发送对提供给UE 102的补救动作的通知,藉由文本、电子邮件、用户账户的状态更新等,发送向与UE 102相关联的用户提供的补救动作的通知,并且为UE 102的移动网络运营商创建提供给UE 102的补救动作的报告。
移动流量重定向系统1102的IRN 116还可以包括归属订户服务器(HSS),例如HSS142。HSS 142可被配置为认证UE 102,从MME 112接收包括UE 102的IMSI/IMEI更新位置请求,发送包括UW102的IMSI/IMEI的UE安全检查至IRN 116,从IRN 116接收包括SPI的UE安全检查响应,并发送包括SPI和SNN信息的更新位置给MME 112。SNN信息包括具有安全系统(如SNN 138)的特定PGW/SGW的选择。
MME 112、IRN 116、SNNN 138以及HSS 142中的每一个可包括一个或更多个处理器以及一个或更多个内存,并且能够执行以上所描述的计算机可读指令。
结论
虽然主题内容是以特定于结构特征和/或方法动作的语言描述的,但应理解的是,所附权利要求书中定义的主题内容不必限于所描述的具体特征或动作。而是,所披露的特定特征和动作为实现权利要求的示例性形式。
Claims (20)
1.一种用于重定向移动流量的移动会话管理节点中的方法,所述方法包括:
响应于从用户设备(UE)接收到附接请求,向所述UE发送身份请求;
从所述UE接收身份响应;
基于所述身份响应将所述UE标识为受感染的设备;
采用安全网络节点(SNN)创建会话;
将所述UE的移动流量重定向到所述SNN,以及
使所述SNN为所述UE提供安全动作。
2.根据权利要求1所述的方法,其中针对所述UE的所述安全动作包括:
检查所述UE的所述移动流量是否存在恶意流量;
提供补救动作中的至少一个,所述补救动作包括:
隔离所述UE的所述移动流量,
阻断所述UE的所述移动流量,
提供通知以在所述UE上运行安全应用程序以消除所述感染,以及
使所述UE在所述UE上运行所述安全应用程序以消除所述感染;或
提供所述补救动作的通知,包括以下中的至少一个:
向所述UE发送所提供的所述补救动作的通知,
向与所述UE相关联的用户发送所提供的所述补救动作的通知,或
为所述UE的移动网络提供商创建提供给所述UE的所述补救动作的报告。
3.根据权利要求2所述的方法,其中检查所述UE的所述移动流量是否存在恶意流量,包括:
标识包括在来自所述UE的所述移动流量中的已知的恶意网站目的地。
4.根据权利要求2所述的方法,其中基于所述身份响应将所述UE标识为受感染的设备,包括:
分析安全状况指示符(SPI),所述SPI包括在指示所述UE被感染的所述身份响应中,所述指示由在所述UE上运行的所述安全应用程序生成。
5.根据权利要求2所述的方法,其中基于所述身份响应将所述UE标识为受感染的设备,包括:
向智能重定向节点(IRN)发送UE安全检查,所述UE安全检查包括所述UE的移动身份,所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;
基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中,在所述RN处确定所述UE被感染;以及
接收包括安全状况指示符(SPI)的UE安全检查响应,所述SPI指示所述UE被感染。
6.根据权利要求2所述的方法,其中基于所述身份响应将所述UE标识为受感染的设备,包括:
向域名服务器(DNS)发送服务网关(SGW)和分组数据网络网关(PGW)(S/PGW)选择请求,所述请求包括所述UE的移动身份,所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;
使得所述DNS:
向智能重定向节点(IRN)发送包括所述UE的所述移动身份的UE安全检查,以及
从所述RN接收包括安全状况指示符(SPI)的UE安全检查响应,所述SPI基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中指示所述UE被感染,以及
从所述DNS接收包括所述SPI的S/PGW选择响应。
7.根据权利要求2所述的方法,其中将所述UE标识为受感染的设备,包括:
向归属订户服务器(HSS)发送包括所述UE的移动身份的更新位置请求,所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;
使所述HSS向智能重定向节点(IRN)发送包括所述UE的所述移动身份的UE安全检查,并从所述RN接收包括安全状况指示符(SPI)的UE安全检查响应,所述安全状况指示符(SPI)基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中来指示所述UE被感染;以及
从所述HSS接收包括所述SPI的更新位置响应。
8.根据权利要求2所述的方法,其中所述SNN是分组数据网络网关(PGW)或服务网关(SGW)中的至少一个。
9.一种非暂时性计算机存储介质,被配置为由计算机存储计算机可读指令,其当被执行时,使得所述计算机执行操作,所述操作包括:
响应于从用户设备(UE)接收到附接请求,向所述UE发送身份请求;
从所述UE接收身份响应;
基于所述身份响应将所述UE标识为受感染的设备;
采用安全网络节点(SNN)创建会话;
将所述UE的移动流量重定向到所述SNN,以及
使所述SNN为所述UE提供安全动作。
10.根据权利要求9所述的非暂时性计算机存储介质,其中用于所述UE的所述安全动作包括:
检查所述UE的所述移动流量是否存在恶意流量;以及
提供补救动作中的至少一个,所述补救动作包括:
隔离所述UE的所述移动流量,
阻断所述UE的所述移动流量,
提供通知以在所述UE上运行安全应用程序以消除所述感染,或
使所述UE在所述UE上运行安全应用程序以消除所述感染;以及
提供所述补救动作的通知,包括以下中的至少一个:
向所述UE发送所提供的所述补救动作的通知,
向与所述UE相关联的用户发送所提供的所述补救动作的通知,或
为所述UE的移动网络提供商创建提供给所述UE的所述补救动作的报告。
11.根据权利要求10所述的非暂时性计算机存储介质,其中检查所述UE的所述移动流量是否存在恶意流量包括:
标识包括在来自所述UE的所述移动流量中的已知恶意网站目的地。
12.根据权利要求10所述的非暂时性计算机存储介质,其中基于所述身份响应将所述UE标识为受感染的设备,包括:
分析安全状况指示符(SPI),所述SPI包括在所述UE被感染的指示的所述身份响应中,所述指示由在所述UE上运行的所述安全应用程序生成。
13.根据权利要求10所述的非暂时性计算机存储介质,其中基于所述身份响应将所述UE标识为受感染的设备,包括:
向智能重定向节点(IRN)发送UE安全检查,所述UE安全检查包括所述UE的移动身份,所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;以及
基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中,在所述RN处确定所述UE被感染;以及
接收包括安全状况指示符(SPI)的UE安全检查响应,所述SPI指示所述UE被感染。
14.根据权利要求10所述的非暂时性计算机存储介质,其中将所述UE标识为受感染的设备,包括:
向域名服务器(DNS)发送服务网关(SGW)和分组数据网络网关(PGW)(S/PGW)选择请求以及所述UE的移动身份,所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;
使得所述DNS:
向智能重定向节点(IRN)发送包括所述UE的所述移动身份的UE安全检查,以及
从所述RN接收包括安全状况指示符(SPI)的UE安全检查响应,所述SPI基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中来指示所述UE被感染,以及
从所述DNS接收包括所述SPI的S/PGW选择响应。
15.根据权利要求10所述的非暂时性计算机存储介质,其中将所述UE标识为受感染的设备,包括:
向归属订户服务器(HSS)发送更新位置请求以及所述UE的移动身份,所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;
使所述HSS向智能重定向节点(IRN)发送包括所述UE的所述移动身份的UE安全检查,并从所述RN接收包括安全状况指示符(SPI)的UE安全检查响应,所述安全状况指示符(SPI)基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中来指示所述UE被感染;以及
从所述HSS接收包括所述SPI的更新位置响应。
16.一种移动流量重定向系统,包括:
移动会话管理节点,被配置为响应于从用户设备(UE)接收到附接请求,向所述UE发送身份请求,所述移动会话管理节点进一步被配置为响应于发送所述身份请求从所述UE接收身份响应,所述身份响应包括移动身份,所述移动身份包括所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个;
智能重定向节点(IRN),通信地耦接到所述移动会话管理节点,所述IRN被配置为:
从所述移动会话管理节点接收包括所述移动身份的UE安全检查,以及
向所述移动会话管理节点发送包括安全状况指示符(SPI)的UE安全检查响应,所述SPI包括基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中的所述UE被感染的指示,以及
安全网络节点(SNN),通信地耦接到所述移动会话管理节点和所述UE,所述SNN被配置为:
从所述移动会话管理节点接收包括所述SPI的创建会话请求,
向所述移动会话管理节点发送创建会话响应,
将所述UE的移动流量重定向到所述SNN,以及
为所述UE的所述移动流量提供安全动作。
17.根据权利要求16所述的移动流量重定向系统,其中用于所述UE的所述移动流量的所述安全动作包括:
检查所述UE的所述移动流量是否存在恶意流量;
提供补救动作中的至少一个,所述补救动作包括:
隔离所述UE的所述移动流量,
阻断所述UE的所述移动流量,
提供通知以在所述UE上运行安全应用程序以消除所述感染,以及
使所述UE在所述UE上运行所述安全应用程序以消除所述感染;以及
提供所述补救动作的通知,包括以下中的至少一个:
向所述UE发送所提供的所述补救动作的通知;
向与所述UE相关联的用户发送所提供的所述补救动作的通知;
为所述UE的移动网络提供商创建提供给所述UE的所述补救动作的报告。
18.根据权利要求17所述的移动流量重定向系统,其中检查所述UE的移动流量是否存在恶意流量,包括:
标识包括在来自所述UE的所述移动流量中的已知恶意网站目的地。
19.根据权利要求17所述的移动流量重定向系统,其中所述IRN包括归属订户服务器(HSS),所述HSS被配置为:
认证所述UE,
从所述移动会话管理节点接收包括所述移动身份的更新位置请求,
向所述IRN发送包括所述移动身份的所述UE安全检查,
从所述IRN接收包括SPI的所述UE安全检查响应,以及
向所述移动会话管理节点发送包括所述SPI和SNN信息的更新位置响应。
20.根据权利要求17所述的移动流量重定向系统,其中所述SNN是分组数据网络网关(PGW)或服务网关(SGW)中的至少一个。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662361689P | 2016-07-13 | 2016-07-13 | |
| US62/361,689 | 2016-07-13 | ||
| US15/479,031 | 2017-04-04 | ||
| US15/479,031 US10887768B2 (en) | 2016-07-13 | 2017-04-04 | Mobile traffic redirection system |
| PCT/US2017/040669 WO2018013386A1 (en) | 2016-07-13 | 2017-07-05 | Mobile traffic redirection system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109691158A true CN109691158A (zh) | 2019-04-26 |
Family
ID=60941594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780043299.0A Pending CN109691158A (zh) | 2016-07-13 | 2017-07-05 | 移动流量重定向系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10887768B2 (zh) |
| EP (1) | EP3485670A4 (zh) |
| CN (1) | CN109691158A (zh) |
| WO (1) | WO2018013386A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10517021B2 (en) | 2016-06-30 | 2019-12-24 | Evolve Cellular Inc. | Long term evolution-primary WiFi (LTE-PW) |
| US10834201B2 (en) * | 2018-11-27 | 2020-11-10 | International Business Machines Corporation | Device identification and reconfiguration in a network |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050273850A1 (en) * | 2004-06-07 | 2005-12-08 | Check Point Software Technologies, Inc. | Security System with Methodology Providing Verified Secured Individual End Points |
| US20060174028A1 (en) * | 2005-01-31 | 2006-08-03 | Shouyu Zhu | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
| US20070169169A1 (en) * | 2004-12-28 | 2007-07-19 | Huawei Technologies Co., Ltd. | Method, System and Apparatus for Implementing Data Service Security in Mobile Communication System |
| US20100251329A1 (en) * | 2009-03-31 | 2010-09-30 | Yottaa, Inc | System and method for access management and security protection for network accessible computer services |
| WO2011050235A1 (en) * | 2009-10-23 | 2011-04-28 | Interdigital Patent Holdings, Inc. | Protection against unsolicited communication |
| US8065712B1 (en) * | 2005-02-16 | 2011-11-22 | Cisco Technology, Inc. | Methods and devices for qualifying a client machine to access a network |
| US20130091534A1 (en) * | 2005-01-26 | 2013-04-11 | Lockdown Networks, Inc. | Network appliance for customizable quarantining of a node on a network |
| US20130097329A1 (en) * | 2011-10-13 | 2013-04-18 | Arun C. Alex | Systems and methods for ip reachability in a communications network |
| US20130265954A1 (en) * | 2012-04-05 | 2013-10-10 | Teliasonera Ab | Network selection in a shared network environment |
| US20140237545A1 (en) * | 2013-02-19 | 2014-08-21 | Marble Security | Hierarchical risk assessment and remediation of threats in mobile networking environment |
| US20150111533A1 (en) * | 2012-04-13 | 2015-04-23 | Nokia Solutions And Networks Oy | Monitoring suspicious events in a cellular network |
| WO2016081837A1 (en) * | 2014-11-21 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Using security posture information to determine access to services |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60223725T2 (de) * | 2002-04-12 | 2008-10-30 | Nokia Corp. | Überwachung auf infektionsbasis eines teilnehmers in einem kommunikationsnetzwerk |
| US20070097976A1 (en) | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
| US7496348B2 (en) | 2005-06-07 | 2009-02-24 | Motorola, Inc. | Wireless communication network security method and system |
| MX359065B (es) | 2014-05-30 | 2018-09-13 | Nec Corp | Aparato, sistema y metodo para red de nucleo dedicada. |
| EP3371942A1 (en) * | 2015-11-06 | 2018-09-12 | Intel IP Corporation | User plane resource allocation |
| US9692791B1 (en) * | 2016-03-22 | 2017-06-27 | Verizon Patent And Licensing Inc. | Network-based security services for software applications |
-
2017
- 2017-04-04 US US15/479,031 patent/US10887768B2/en active Active
- 2017-07-05 CN CN201780043299.0A patent/CN109691158A/zh active Pending
- 2017-07-05 WO PCT/US2017/040669 patent/WO2018013386A1/en unknown
- 2017-07-05 EP EP17828188.7A patent/EP3485670A4/en not_active Withdrawn
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050273850A1 (en) * | 2004-06-07 | 2005-12-08 | Check Point Software Technologies, Inc. | Security System with Methodology Providing Verified Secured Individual End Points |
| US20070169169A1 (en) * | 2004-12-28 | 2007-07-19 | Huawei Technologies Co., Ltd. | Method, System and Apparatus for Implementing Data Service Security in Mobile Communication System |
| US20130091534A1 (en) * | 2005-01-26 | 2013-04-11 | Lockdown Networks, Inc. | Network appliance for customizable quarantining of a node on a network |
| US20060174028A1 (en) * | 2005-01-31 | 2006-08-03 | Shouyu Zhu | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
| US8065712B1 (en) * | 2005-02-16 | 2011-11-22 | Cisco Technology, Inc. | Methods and devices for qualifying a client machine to access a network |
| US20100251329A1 (en) * | 2009-03-31 | 2010-09-30 | Yottaa, Inc | System and method for access management and security protection for network accessible computer services |
| WO2011050235A1 (en) * | 2009-10-23 | 2011-04-28 | Interdigital Patent Holdings, Inc. | Protection against unsolicited communication |
| US20130097329A1 (en) * | 2011-10-13 | 2013-04-18 | Arun C. Alex | Systems and methods for ip reachability in a communications network |
| US20130265954A1 (en) * | 2012-04-05 | 2013-10-10 | Teliasonera Ab | Network selection in a shared network environment |
| US20150111533A1 (en) * | 2012-04-13 | 2015-04-23 | Nokia Solutions And Networks Oy | Monitoring suspicious events in a cellular network |
| US20140237545A1 (en) * | 2013-02-19 | 2014-08-21 | Marble Security | Hierarchical risk assessment and remediation of threats in mobile networking environment |
| WO2016081837A1 (en) * | 2014-11-21 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Using security posture information to determine access to services |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180020355A1 (en) | 2018-01-18 |
| WO2018013386A1 (en) | 2018-01-18 |
| EP3485670A4 (en) | 2019-11-20 |
| US10887768B2 (en) | 2021-01-05 |
| EP3485670A1 (en) | 2019-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10097561B2 (en) | Data loss prevention for mobile computing devices | |
| US9479450B2 (en) | Resolving communication collisions in a heterogeneous network | |
| US9730075B1 (en) | Systems and methods for detecting illegitimate devices on wireless networks | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| ES2768049T3 (es) | Procedimientos y sistemas para asegurar y proteger repositorios y directorios | |
| WO2016184380A1 (zh) | 接入网络的处理方法及装置 | |
| Li et al. | Transparent AAA security design for low-latency MEC-integrated cellular networks | |
| CN104767713A (zh) | 账号绑定的方法、服务器及系统 | |
| US20230354039A1 (en) | Network cyber-security platform | |
| US9742769B2 (en) | Method and system for determining trusted wireless access points | |
| CN109691158A (zh) | 移动流量重定向系统 | |
| CN106101075B (zh) | 一种实现安全访问的方法与设备 | |
| JP2014155095A (ja) | 通信制御装置、プログラム及び通信制御方法 | |
| Park et al. | Vestiges of past generation: Threats to 5G core network | |
| KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 | |
| Miatra et al. | Security Issues With Fog Computing | |
| EP3275148A1 (en) | Optimizing data detection in communications | |
| US10270621B2 (en) | Network system | |
| Hung et al. | Security Threats to xApps Access Control and E2 Interface in O-RAN | |
| Kim et al. | Beyond PS-LTE: Security model design framework for PPDR operational environment | |
| CN107979844A (zh) | 用于接入网络的方法与设备 | |
| EP2950591B1 (en) | Method, system and computer program product for determining trusted wireless access points | |
| KR101447685B1 (ko) | 전송패킷 내용정보 기반 감염 이동단말의 탐지 및 제어 장치 | |
| Chen et al. | 4G Access Network Protection and Compliance Detection Based on Man-in-the-Middle Model | |
| Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190426 |
|
| WD01 | Invention patent application deemed withdrawn after publication |