CN112868248A - 移动网络中基于网络切片的安全性 - Google Patents
移动网络中基于网络切片的安全性 Download PDFInfo
- Publication number
- CN112868248A CN112868248A CN201980070161.9A CN201980070161A CN112868248A CN 112868248 A CN112868248 A CN 112868248A CN 201980070161 A CN201980070161 A CN 201980070161A CN 112868248 A CN112868248 A CN 112868248A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- information
- service
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims description 47
- 238000001914 filtration Methods 0.000 claims description 37
- 238000005516 engineering process Methods 0.000 claims description 32
- 230000002265 prevention Effects 0.000 claims description 31
- 238000000034 method Methods 0.000 abstract description 200
- 230000008569 process Effects 0.000 abstract description 83
- 238000004590 computer program Methods 0.000 abstract description 46
- 101150119040 Nsmf gene Proteins 0.000 description 48
- 230000006870 function Effects 0.000 description 43
- 238000004891 communication Methods 0.000 description 32
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 29
- 230000001413 cellular effect Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 20
- 238000004458 analytical method Methods 0.000 description 17
- 238000007726 management method Methods 0.000 description 17
- 239000000284 extract Substances 0.000 description 13
- 230000009471 action Effects 0.000 description 12
- 238000007689 inspection Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 230000006835 compression Effects 0.000 description 6
- 238000007906 compression Methods 0.000 description 6
- 230000009131 signaling function Effects 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 241001061260 Emmelichthys struhsakeri Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000004557 technical material Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了用于在移动网络(例如,用于移动订户的服务提供商网络)中提供基于网络切片的安全性的技术。在一些实施例中,根据一些实施例的用于移动网络中的基于网络切片的安全性的系统/处理/计算机程序产品包括:在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;在安全平台处提取与新的会话相关联的用户流量的网络切片信息;以及基于网络切片信息来确定要在安全平台处应用于新的会话的安全策略。
Description
背景技术
防火墙通常保护网络免受未经授权的接入,同时准许经授权的通信通过防火墙。防火墙典型地是为网络接入提供防火墙功能的一个或一组设备,或者在设备(诸如计算机)上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的支持网络通信的设备)的操作系统中。防火墙也可以集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)中,或者在其上作为软件执行。
防火墙典型地基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用规则集或策略来过滤入站流量。防火墙还可以通过应用规则集或策略来过滤出站流量。防火墙还可以能够执行基本的路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1A是根据一些实施例的具有用于在移动网络中提供5G多址接入安全性的安全平台的5G无线网络的框图。
图1B是根据一些实施例的具有用于在移动网络中提供5G多边缘安全性的安全平台的5G无线网络的框图。
图1C是根据一些实施例的具有用于在移动网络中提供5G漫游安全性-归属路由场景的安全平台的5G无线网络的框图。
图1D是根据一些实施例的具有用于在移动网络中提供5G漫游安全性-本地疏导场景的安全平台的5G无线网络的框图。
图2A是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游建立UE请求的PDU会话的示例流程。
图2B是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游建立和修改/更新UE请求的PDU会话的示例流程。
图2C是根据一些实施例的在5G网络中使用N26接口的从EPS到5GS空闲模式的移动或切换的示例流程。
图2D是根据一些实施例的在5G网络中在不使用N26接口的情况下从EPS到5GS的移动过程的示例流程。
图2E是根据一些实施例的在5G网络中将PDU会话在3GPP接入和非3GPP接入之间切换的示例流程,其中目标AMF不知道由源AMF使用的SM上下文的SMF资源标识符。
图2F是根据一些实施例的在5G网络中将PDU会话从3GPP接入切换到利用HPLMN(归属路由漫游)中的N3IWF的不信任的非3GPP接入的示例流程。
图2G是根据一些实施例的在5G网络中从EPS到5GC-N3IWF的切换的示例流程。
图2H是根据一些实施例的在5G网络中从EPC/ePDG到5GS的切换的示例流程。
图2I是根据一些实施例的在5G网络中针对归属路由漫游场景建立UE请求的PDU会话的示例流程。
图2J是根据一些实施例的在5G网络中针对归属路由漫游场景建立和修改/更新UE请求的PDU会话的示例流程。
图3是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的硬件组件的功能图。
图4是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的逻辑组件的功能图。
图5是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的流程图。
图6是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的另一流程图。
图7是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的另一流程图。
图8是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的处理的另一流程图。
具体实施方式
本发明可以以多种方式实现,包括作为一种处理;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由该存储器提供的指令的处理器。在本说明书中,这些实现或者本发明可以采取的任何其他形式可以被称为技术。通常,在本发明的范围内,所公开的处理的步骤的顺序可以变化。除非另外声明,否则被描述为被配置为执行任务的诸如处理器或存储器的组件可以被实现为被临时配置为在给定时间执行任务的通用组件或者被制造为执行任务的特定组件。如这里所使用的,术语“处理器”指代被配置为处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核。
下面随图示本发明原理的附图一起提供了对本发明的一个或多个实施例的详细描述。结合这样的实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限定,并且本发明涵盖许多替代、修改和等同物。为了提供对本发明的透彻理解,在以下描述中阐述了许多具体细节。这些细节是出于示例的目的而提供的,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求实践本发明。为了清楚起见,在与本发明相关的技术领域中已知的技术材料没有被详细描述,以免不必要地模糊本发明。
防火墙通常保护网络免受未经授权的接入,同时准许经授权的通信通过防火墙。防火墙典型地是为网络接入提供防火墙功能的一个或一组设备或在设备上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的支持网络通信的设备)的操作系统中。防火墙也可以集成到各种类型的设备或安全设备中或在其上作为软件应用来执行,所述设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)。
防火墙典型地根据规则集来拒绝或准许网络传输。这些规则集通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则集或策略来过滤入站流量,以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则集或策略(例如,允许、阻止、监控、通知或记录,和/或可以在防火墙/安全规则或防火墙/安全策略中指定其他动作,这些动作可以基于各种准则来触发,诸如本文中所描述的)来过滤出站流量。防火墙还可以通过应用规则集或策略来应用防病毒保护、恶意软件检测/预防或入侵保护。
安全设备(例如,安全装置、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如,防火墙、反恶意软件、入侵预防/检测、代理和/或其他安全功能)、网络功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其他网络功能)和/或其他功能。例如,路由功能可以基于源信息(例如,源IP地址和端口)、目的地信息(例如,目的地IP地址和端口)和协议信息。
基本分组过滤防火墙通过检查通过网络传输的单个分组来过滤网络通信流量(例如分组过滤防火墙或第一代防火墙,它们是无状态分组过滤防火墙)。无状态分组过滤防火墙典型地检查单个分组本身,并基于所检查的分组来应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,它们在TCP/IP堆栈的应用级上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(HTTP)的网页浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输以及各种其他类型的应用和其他协议,诸如Telnet(远程登录)、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止试图通过标准端口进行通信的未授权协议(例如,阻止试图通过使用非标准端口潜入的未授权/策略外协议,因为该协议通常可以使用应用防火墙来标识)。
状态防火墙还可以执行基于状态的分组检查,其中在与该网络传输的(多个)分组的流/分组流相关联的一系列分组的上下文中审查每个分组(例如,状态防火墙或第三代防火墙)。这种防火墙技术通常被称为有状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接的状态本身可以是触发策略中的规则的准则之一。
高级的或下一代防火墙可以执行无状态和有状态的分组过滤和应用层过滤,如上所述。下一代防火墙还可以执行附加的防火墙技术。例如,某些较新的防火墙(有时称为高级或下一代防火墙)还可以标识用户和内容。特别是,某些下一代防火墙正在将这些防火墙可以自动标识的应用列表扩展到成千上万个应用。这样的下一代防火墙的示例可以从帕洛阿尔托网络公司(Palo Alto Networks, Inc.)购得(例如,帕洛阿尔托网络公司的PA系列下一代防火墙和帕洛阿尔托网络公司的VM系列虚拟化下一代防火墙)。
例如,帕洛阿尔托网络公司的下一代防火墙使企业和服务提供商能够使用各种标识技术来标识和控制应用、用户和内容,而不仅仅是端口、IP地址和分组,所述标识技术诸如:用于准确的应用标识的App-IDTM(例如,App-ID),用于用户标识(例如,按用户或用户组)的User-IDTM(例如,用户ID),以及用于实时内容扫描(例如,控制网页浏览并且限制数据和文件传输)的Content-IDTM(例如,内容ID)。这些标识技术允许企业使用与业务相关的概念安全地启用应用的使用,而不是遵循由传统的端口阻挡防火墙提供的传统方法。此外,例如被实现为专用装置的用于下一代防火墙的专用硬件通常比在通用硬件上执行的软件提供更高的应用检查性能水平(例如,诸如由帕洛阿尔托网络公司提供的安全装置,其利用与单程软件引擎紧密集成的专用、功能特定的处理,以针对帕洛阿尔托网络公司的PA系列下一代防火墙最大化网络吞吐量同时最小化延时)。
当今的服务提供商移动网络中的技术和安全挑战
在当今的服务提供商网络环境中,服务提供商典型地只能为在服务提供商的无线网络上通信的无线设备实现静态安全策略(例如,服务提供商不能为在服务提供商的无线网络上通信的无线设备在每个端点和/或每个流的基础上定义安全/防火墙策略),并且任何改变通常都需要网络基础设施更新。
因此,移动网络中的设备存在关于服务提供商网络的技术和安全挑战。照此,在这样的服务提供商网络环境(例如,移动网络)中,需要的是新的和改进的设备安全技术。具体而言,需要的是用于监控服务提供商网络流量并为在服务提供商网络上通信的设备应用安全策略(例如,防火墙策略)的新的且改进的解决方案。
移动网络中用于基于网络切片的安全性的技术的概述
因此,公开了用于服务提供商网络环境中增强的安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种系统架构和提供安全平台的各种处理,所述各种系统架构和处理可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于网络切片的安全性。更具体地,公开了用于在服务提供商网络环境中为了服务提供商(诸如5G蜂窝网络)的移动网络中基于网络切片的安全性而实现安全平台的各种系统架构和提供安全平台的各种处理。
在一些实施例中,公开了用于应用基于网络切片的安全性的各种技术,所述基于网络切片的安全性可以使用安全平台通过解析HTTP/2消息以提取网络切片信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体来说,如IETF RFC 7540(例如,可在https://tools.ietf.org/html/rfc7540处获得)中所描述的HTTP/2是一种二进制协议,其支持经由单个连接的多路复用的多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用IETF RFC 793中描述的TCP(例如,可在https://tools.ietf.org/html/rfc793处获得)作为传输协议。网络切片是公共陆地移动网络(PLMN)内的逻辑网络,其包括核心网络控制平面和用户平面网络功能,并且为PLMN提供NG无线电接入网络或到非3GPP接入网络的非3GPP互通功能(N3IWF)中的至少一个。
更具体地说,网络切片由单个网络切片选择辅助信息(S-NSSAI)来标识。一个S-NSSAI由如下各项组成:(1)切片/服务类型(SST)——它指代在功能和服务方面的预期网络切片行为;以及(2)切片区分器(SD)(例如,在同一SST的多个网络切片之间进行区分的可选信息)。
进一步地,S-NSSAI可以具有标准或非标准值。下面提供了由3GPP定义的标准化SST值:
在一些实施例中,基于给定5G网络中的安全平台部署拓扑,可以使用在下面进一步描述的两个选项中的一个或多个来提取S-NSSAI信息。作为第一选项,在“创建SM上下文请求(Create SM Context Request)”服务操作期间,安全平台在从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据(SmContextCreateData)”(例如,可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx
specificationId=3340处获得的3GPP TS29.502中定义的)中提取S-NSSAI信息。“创建SM上下文请求”服务操作(例如,在3GPP TS29.502中定义的)将在以下示例过程中使用,以在SMF中或在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组系统(EPS)到5G系统空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换。
作为第二个选项,在创建服务操作期间,安全平台在从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据(PduSessionCreateData)”(例如,在3GPP TS 29.502中定义的)中提取S-NSSAI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)将在以下示例过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1)UE请求的PDU会话建立;(2)使用N26接口从EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;(6)从EPC/ePDG到5GS的切换。
在一些实施例中,一种用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品,包括使用网络切片标识符(S-NSSAI)来为具有多个订户、移动订户和订户设备的客户应用安全性,如下面关于各种实施例和示例进一步描述的。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供安全性,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁检测,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁预防,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行使用网络切片标识符(S-NSSAI)为具有多个订户、移动订户和订户设备的客户应用统一资源定位符(URL)过滤,所述安全策略可以根据5G网络中的S-NSSAI来应用。
在一个实施例中,用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供安全性,所述安全策略可以根据5G网络中的SST来应用。
在一个实施例中,一种用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁检测,所述安全策略可以根据5G网络中的SST来应用。
在一个实施例中,一种用于在移动网络中提供基于网络切片的安全性的系统/处理/计算机程序产品包括使用由安全平台实现的安全策略来执行为具有多个订户、移动订户和订户设备的客户提供威胁预防,所述安全策略可以根据5G网络中的SST来应用。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络切片信息来提供针对已知威胁的威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络切片信息来提供针对未知威胁的高级威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络切片信息来提供统一资源链接(URL)过滤。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络切片信息来提供应用拒绝服务(DoS)检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络切片信息来提供应用拒绝服务(DoS)预防。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括基于安全策略阻止新的会话访问资源。
例如,所公开的技术可以允许5G融合运营商向具有多个订户、用户和/或物联网(IoT)设备(例如,蜂窝IoT(CIoT)设备)的任何客户提供基于网络切片的安全性,所述订户、用户和/或物联网设备使用5G无线电接入技术以及从5G切换到非5G接入技术/切换到5G接入技术来连接到他们的网络。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的且增强的安全服务包括如下中的一项或多项:(1)基于网络切片的防火墙服务;(2)针对已知威胁的基于网络切片的基本威胁检测服务;(3)针对未知威胁的基于网络切片的高级威胁检测服务;(4)针对已知威胁的基于网络切片的基本威胁预防服务;(5)针对未知威胁的基于网络切片的高级威胁预防服务;(6)基于网络切片的URL过滤服务;(7)基于网络切片的应用DoS检测服务;(8)基于网络切片的应用DoS预防服务;以及(9)NGFW中的URL过滤,上述各项可以根据5G网络中的SST来进行。
下面将进一步描述用于在移动网络中提供基于网络切片的安全性的这些和其他实施例和示例。
服务提供商的移动网络中根据订阅标识符和/或设备标识符的基于服务的安全性的技术概述
根据订阅永久标识符(SUPI)的基于服务的安全性
因此,公开了用于服务提供商网络环境中增强的安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商的网络环境中实现安全平台的各种系统架构和提供安全平台的各种处理,所述各种系统架构和处理可以在服务提供商的移动网络(诸如5G蜂窝网络)中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种系统架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的订阅永久标识符(SUPI)信息来应用。
在一些实施例中,公开了用于应用根据订阅永久标识符(SUPI)的基于服务的安全性的各种技术,所述根据订阅永久标识符(SUPI)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取SUPI信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体地,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是二进制协议,它支持在单个连接上多路复用多个流,报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,SUPI是全球唯一的5G订阅标识符,其应分配给5G系统中的每个订户,并预先分配在通用数据管理(UDM)/通用数据仓库(UDR)中。在3GPP系统内部使用SUPI。SUPI可以包括以下信息:(1)如在可从https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx
specificationId=729处获得的3GPP TS23.003中定义的IMSI,或者(2)如在可从https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx
specificationId=729处获得的3GPP TS23.003中定义的、用于专用网络的网络特定标识符。在一些情况下,对于基于IMSI的或不基于IMSI的(例如,当在非3GPP接入技术上使用或用于专用网络时)网络接入标识符(NAI),SUPI可以采用使用如在3GPP TS 23.003中定义的基于NAI RFC 7542的用户标识的NAI的形式。为了与演进分组核心(EPC)互通,分配给3GPP用户设备(UE)的SUPI将总是基于IMSI的,以使得UE能够向EPC呈现IMSI。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取SUPI信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取SUPI信息。例如,“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组系统(EPS)到5G系统空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取SUPI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1)建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据订阅永久标识符(SUPI)的基于服务的安全性的系统/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的SUPI信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的且增强的安全服务包括以下中的一个或多个:(1)可以根据SUPI信息应用于基于SUPI的防火墙服务的安全策略;(2)针对已知威胁的基于SUPI的威胁检测服务;(3)针对未知威胁的基于SUPI的高级威胁检测服务;(4)针对已知威胁的基于SUPI的基本威胁预防服务;(5)针对未知威胁的基于SUPI的高级威胁预防服务;(6)基于SUPI的URL过滤服务;(7)基于SUPI的应用DoS检测服务;和(8)基于SUPI的应用DoS预防服务。
在一些实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品包括:在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息;以及基于订阅和/或设备标识符信息来确定要在安全平台处应用于新的会话的安全策略。
在一个实施例中,安全平台被配置有基于订阅和/或设备标识符信息的多个安全策略。
在一个实施例中,订阅和/或设备标识符由订阅永久标识符(SUPI)、通用公共订阅标识符(GPSI)和/或永久设备标识符(PEI)来标识。
在一个实施例中,安全平台解析HTTP/2消息以提取订阅和/或设备标识符信息,并且其中订阅和/或设备标识符信息由订阅永久标识符(SUPI)、通用公共订阅标识符(GPSI)和/或永久设备标识符(PEI)来标识。
在一个实施例中,安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口。
在一个实施例中,安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用订阅和/或设备标识符信息来提供防火墙服务。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用订阅和/或设备标识符信息来提供针对已知威胁的威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用订阅和/或设备标识符信息来提供针对未知威胁的高级威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用订阅和/或设备标识符信息来提供统一资源链接(URL)过滤。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用订阅和/或设备标识符信息来提供应用拒绝服务(DoS)检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用订阅和/或设备标识符信息来提供应用拒绝服务(DoS)预防。
在一个实施例中,根据一些实施例的用于移动网络中的根据订阅和/或设备标识符的基于服务的安全性的系统/处理/计算机程序产品进一步包括基于安全策略阻止新的会话访问资源。
根据永久设备标识符(PEI)的基于服务的安全性
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种系统架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种系统架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的永久设备标识符(PEI)信息来应用。
在一些实施例中,公开了用于应用根据永久设备标识符(PEI)的基于服务的安全性的各种技术,所述根据永久设备标识符(PEI)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取PEI信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体来说,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,其支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,PEI是为接入5G系统的3GPP UE定义的永久设备标识符。对于不同的UE类型和用例,PEI可以采取不同的格式。UE应与网络共享PEI,以及对正在使用的PEI格式的指示。如果该UE支持至少一种3GPP接入技术,则该UE被分配国际移动设备标识符(IMEI)格式的PEI。例如,PEI可以包括以下信息:如在3GPP TS 23.003中定义的IMEI或IMEISV,可从以下网址获得:http://portal.3GPP.org/desktop modules/specificationdetails.aspx
specificationId=729。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取PEI信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取PEI信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组系统(EPS)到5G系统空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取PEI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1)建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据永久设备标识符(PEI)的基于服务的安全性的系统/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的PEI信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)可以根据PEI信息应用于基于PEI的防火墙服务的安全策略;(2)针对已知威胁的基于PEI的威胁检测服务;(3)针对未知威胁的基于PEI的高级威胁检测服务;(4)针对已知威胁的基于PEI的基本威胁预防服务;(5)针对未知威胁的基于PEI的高级威胁预防服务;(6)基于PEI的URL过滤服务;(7)基于PEI的应用DoS检测服务;和(8)基于PEI的应用DoS预防服务。
根据通用公共订阅标识符(GPSI)的基于服务的安全性
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种系统架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种系统架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的通用公共订阅标识符(GPSI)信息来应用。
在一些实施例中,公开了用于应用根据通用公共订阅标识符(GPSI)的基于服务的安全性的各种技术,所述根据通用公共订阅标识符(GPSI)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取GPSI信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体来说,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,它支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,GPSI用于在3GPP系统之外的不同数据网络中寻址3GPP订阅。3GPP系统在订阅数据中存储GPSI和对应的SUPI之间的关联。GPSI是在3GPP系统内部和外部均使用的公共标识符。GPSI是MSISDN或者外部标识符(例如,在TS 23.003中定义的)。如果订阅数据中包含了MSISDN,则在5GS和EPS这两者中都支持相同的MSISDN值应是可能的。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取GPSI信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取GPSI信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组系统(EPS)到5G系统空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取GPSI信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1)建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据通用公共订阅标识符(GPSI)的基于服务的安全性的系统/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行为移动订户和订户的设备提供安全性,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的GPSI信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)可以根据GPSI信息应用于基于GPSI的防火墙服务的安全策略;(2)针对已知威胁的基于GPSI的威胁检测服务;(3)针对未知威胁的基于GPSI的高级威胁检测服务;(4)针对已知威胁的基于GPSI的基本威胁预防服务;(5)针对未知威胁的基于GPSI的高级威胁预防服务;(6)基于GPSI的URL过滤服务;(7)基于GPSI的应用DoS检测服务;和(8)基于GPSI的应用DoS预防服务。
下面将进一步描述用于在移动网络中提供根据订阅标识符和/或设备标识符的基于服务的安全性的这些和其他实施例和示例。
服务提供商移动网络中根据数据网络名称的基于服务的安全性的技术概述
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种系统架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种系统架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的数据网络名称(DNN)信息来应用。
在一些实施例中,公开了用于应用根据数据网络名称(DNN)的基于服务的安全性的各种技术,所述根据数据网络名称(DNN)的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取DNN信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体地,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,它支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,DNN等同于如在TS 23.003中定义的接入点名称(APN),TS 23.003可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx
specificationId=729处获得。这两种标识符具有等同的含义,并且携带相同的信息。例如,DNN可以用于:(1)选择一个SMF和(一个或多个)UPF以用于进行PDU会话;或者(2)确定应用于该PDU会话的策略。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取DNN信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取DNN信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组系统(EPS)到5G系统空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取DNN信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1)建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS 5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据数据网络名称(DNN)的基于服务的安全性的系统/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的DNN信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)可以根据DNN信息应用于基于DNN的防火墙服务的安全策略;(2)针对已知威胁的基于DNN的威胁检测服务;(3)针对未知威胁的基于DNN的高级威胁检测服务;(4)针对已知威胁的基于DNN的基本威胁预防服务;(5)针对未知威胁的基于DNN的高级威胁预防服务;(6)基于DNN的URL过滤服务;(7)基于DNN的应用DoS检测服务;和(8)基于DNN的应用DoS预防服务。
在一些实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品包括:在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;在安全平台处提取与新的会话相关联的用户流量的网络名称信息;以及基于网络名称信息来确定要在安全平台处应用于新的会话的安全策略。
在一个实施例中,安全平台被配置有基于网络名称信息的多个安全策略。
在一个实施例中,网络名称由数据网络名称(DNN)来标识。
在一个实施例中,安全平台解析HTTP/2消息以提取网络名称信息,并且其中网络名称由数据网络名称(DNN)来标识。
在一个实施例中,安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口。
在一个实施例中,安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络名称的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络名称信息来提供防火墙服务。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络名称信息来提供针对已知威胁的威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络名称信息来提供针对未知威胁的高级威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络名称信息来提供统一资源链接(URL)过滤。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络名称信息来提供应用拒绝服务(DoS)检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用网络名称信息来提供应用拒绝服务(DoS)预防。
在一个实施例中,根据一些实施例的用于移动网络中的根据数据网络名称的基于服务的安全性的系统/处理/计算机程序产品进一步包括基于安全策略阻止新的会话访问资源。
下面将进一步描述用于在移动网络中提供根据网络名称的基于服务的安全性的这些和其他实施例和示例。
服务提供商移动网络中根据用户位置的基于服务的安全性的技术概述
因此,公开了用于服务提供商网络环境中的增强型安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)的技术。具体地,公开了用于在服务提供商网络环境中实现安全平台的各种系统架构和提供安全平台的各种处理,所述安全平台可以在服务提供商(诸如5G蜂窝网络)的移动网络中提供基于服务的安全性。更具体地,公开了用于在服务提供商网络环境中为了基于服务的安全性而实现安全平台的各种系统架构和提供安全平台的各种处理,所述基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取服务提供商(诸如5G蜂窝网络)的移动网络中的用户位置信息来应用。
在一些实施例中,公开了用于应用根据用户位置的基于服务的安全性的各种技术,所述根据用户位置的基于服务的安全性可以使用安全平台通过解析HTTP/2消息以提取用户位置信息来应用。例如,在5G蜂窝网络中,应在基于服务的接口中使用HTTP/2。
具体地,应在基于服务的接口中使用HTTP/2。如在IETF RFC 7540中描述的HTTP/2是一种二进制协议,它支持在单个连接上多路复用多个流、报头压缩和从服务器到客户端的非请求推送。HTTP/2将使用如在IETF RFC 793中描述的TCP作为传输协议。
更具体地,如根据3GPP T.S 29.571,用户位置被定义为Eutra位置(EutraLocation)、NR位置(NRLocation)和N3ga位置(N3gaLocation),3GPP T.S 29.571可在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx
specificationId=3347处获得。例如,在用户位置中应出现它们中的至少一个。在某些情况下,它们中的几个可以存在,诸如下面的示例所示出的。
• Eutra位置=跟踪区域标识(TAI) + ECGI(Eutra小区标识)
• NR位置= TAI +NR小区标识(NCGI)
• N3ga位置 - IPv4地址,IPv6地址,Uinteger类型
• TAI = PLMN标识(PlmnID)+跟踪区域码(TAC)
• ECGI = PlmnId + EUTRA小区标识(EutrCellId)
• NCGI =PlmnId+NR小区标识(NRCellId)。
在一些实施例中,基于5G网络中的安全平台部署拓扑,可以使用以下两个选项来提取用户位置信息。作为第一个选项,在“创建SM上下文请求”服务操作期间,安全平台从NF服务消费者发送到会话管理功能(SMF)的HTTP/2 POST请求的有效负载中的数据类型“Sm上下文创建数据”(例如,在3GPP TS 29.502中定义的)中提取用户位置信息。“创建SM上下文请求”服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在SMF中或者在用于归属路由(HR)漫游场景的V-SMF中针对给定的协议数据单元(PDU)会话创建单独的会话管理(SM)上下文:(1)UE请求的PDU会话建立;(2)使用N26接口从演进分组系统(EPS)到5G系统空闲模式的移动或切换;(3)在没有N26接口的情况下EPS 5GS的移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF(非3GPP互通功能)的切换;以及(6)从EPC/ePDG(演进分组数据网关)到5GS的切换,其中的每个在下面进一步讨论。
作为第二个选项,在创建服务操作期间,安全平台从NF服务消费者发送到H-SMF的HTTP/2 POST请求的有效负载中的数据类型“Pdu会话创建数据”(例如,在3GPP TS 29.502中定义的)中提取用户位置信息。创建服务操作(例如,在3GPP TS 29.502中定义的)应在以下过程中使用,以在HR漫游场景的H-SMF中创建单独的PDU会话:(1)建立UE请求的PDU会话;(2)使用N26接口的EPS到5GS空闲模式的移动或切换;(3)在没有N26接口的情况下的EPS5GS移动;(4)在某些场景中,PDU会话在3GPP接入和非3GPP接入之间的切换;(5)从EPS到5GC-N3IWF的切换;和(6)从EPC/ePDG到5GS的切换,其中的每个在下面进一步讨论。
在一些实施例中,一种用于在移动网络中提供根据用户位置的基于服务的安全性的系统/处理/计算机程序产品,包括为移动订户和订户的设备提供安全性,并且使用安全策略来执行,所述安全策略可以使用安全平台通过解析HTTP/2消息以提取5G网络中的用户位置信息来应用。
可以使用所公开的技术提供的用于移动网络(例如,用于融合移动网络运营商/服务提供商)的示例性新的和增强的安全服务包括以下中的一个或多个:(1)针对基于用户位置的防火墙服务的可以根据用户位置(例如,Eutra位置或NR位置)信息来应用的安全策略;(2)根据用户位置(例如,Eutra位置或NR位置)执行的针对已知威胁的威胁检测服务;(3)根据用户位置(例如,Eutra位置或NR位置)执行的针对未知威胁的高级威胁检测服务;(4)根据用户位置(例如,Eutra位置或NR位置)执行的针对已知威胁的基本威胁预防服务;(5)根据用户位置(例如,Eutra位置或NR位置)执行的针对未知威胁的高级威胁预防服务;(6)根据用户位置(例如,Eutra位置或NR位置)执行的URL过滤服务;(7)根据用户位置(例如,Eutra位置或NR位置)执行的DoS检测服务;以及(8)根据用户位置(例如,Eutra位置或NR位置)执行的应用DoS预防服务。
在一些实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品包括:在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;在安全平台处提取与新的会话相关联的用户流量的用户位置信息;以及基于用户位置信息来确定要在安全平台处应用于新的会话的安全策略。
在一个实施例中,安全平台解析HTTP/2消息以提取用户位置信息。
在一个实施例中,用户位置信息由Eutra位置来标识,并且其中Eutra位置包括跟踪区域标识(TAI)和ECGI(EUTRA小区标识)。
在一个实施例中,用户位置信息由NR位置来标识,并且其中NR位置包括跟踪区域标识(TAI)和NR小区标识(NCGI)。
在一个实施例中,安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口。
在一个实施例中,安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于用户位置信息的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用用户位置信息来提供防火墙服务。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用用户位置信息来提供针对已知威胁的威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用用户位置信息来提供针对未知威胁的高级威胁检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用用户位置信息来提供统一资源链接(URL)过滤。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用用户位置信息来提供应用拒绝服务(DoS)检测。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括使用用户位置信息来提供应用拒绝服务(DoS)预防。
在一个实施例中,根据一些实施例的用于移动网络中的根据用户位置的基于服务的安全性的系统/处理/计算机程序产品进一步包括基于安全策略阻止新的会话访问资源。
下面将进一步描述用于在移动网络中提供根据用户位置的基于服务的安全性的这些和其他实施例和示例。
为服务提供商的5G网络实现增强的安全性的示例系统架构
一般来说,5G是第五代移动通信系统。第三代合作伙伴计划(3GPP)(例如,3GPP包括七个电信标准开发组织(ARIB、ATIS、CCSA、ETSI、TSDSI、TTA、TTC)。该项目覆盖蜂窝电信网络技术,包括无线电接入、核心传输网络和服务能力。该规范还为核心网络的非无线电接入以及与无线网络的互通提供了挂钩),以及包括ITU、IETF和ETSI的其他组织正在开发5G标准。新的5G网络标准中的一些改进包括,例如,低延时(例如,近似地小于10毫秒(MS))、高吞吐量(例如,多Gbps)、分发、网络功能虚拟化基础设施以及编排、分析和自动化。
5G架构在可在https://portal.3GPP.org/desktop modules/specificationdetails.aspx
specificationId=3144获得3GPP TS 23.501 v15.3.0中被定义为是基于服务的,并且网络功能(NF)之间的交互以两种方式表示:(1)基于服务的表示,其中控制平面(CP)内的NF使得其他经授权的网络功能能够访问它们的服务;和(2)参考点表示,集中于由任意两个网络功能之间的点到点参考点定义的成对NF之间的交互。
在5G架构中,在接入网和骨干网上的核心之间的在N3接口上的用户平面协议栈将基于GPRS隧道协议用户平面(GTP-U)。5G系统架构中的控制平面NF应基于基于服务的架构。HTTP/2将是在基于服务的接口上使用的协议。新的5G接入网络协议将基于流控制传输协议(SCTP)。
因此,在一些实施例中,所公开的技术包括提供安全平台(例如,在可从帕洛阿尔托网络公司购得的NGFW上执行的PANOS或另外的安全平台/NFGW),所述安全平台被配置为提供例如GTP-U会话和新的基于HTTP/2的TCP会话的DPI能力(例如,包括状态检查),这促进了如下面进一步描述的受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联。
在一些实施例中,安全平台(例如,在可从帕洛阿尔托网络公司购得的NGFW上执行的PANOS或另外的安全平台/NFGW)被配置为提供以下DPI能力:N3 GTP-U隧道的状态检查;N3 GTP-U隧道的内容检查(例如,用以检查N3 GTP-U隧道的内部IP会话的内容);支持5G系统的程序的3GPP技术规范(TS)29.274 V15.3.0版本15(例如,以及之后的版本),以支持5G蜂窝技术;以及支持GTP-U协议的3GPP技术规范(TS)29.281 V15.4.0版本14(例如,以及之后的版本)。
图1A是根据一些实施例的具有用于在移动网络中提供5G多址接入安全性的安全平台的5G无线网络的框图。图1A是用于多址接入5G网络架构的示例服务提供商网络环境,该网络架构包括控制平面/信令网络中的安全平台102a和安全平台102b(例如,安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器或可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G多址接入安全性,如在下面进一步描述的。如所示出的,5G网络还可以包括如104处所示的固定/有线接入、如106处所示的诸如Wi-Fi接入之类的非3GPP接入、如108处所示的5G无线电接入网络(RAN)接入、如110处所示的4G RAN接入和/或其他网络(在图1A中未示出),以促进订户的数据通信(例如,使用用户设备(UE),诸如智能电话、膝上型电脑、计算机(其可以在固定位置),和/或其他支持蜂窝的计算设备/装备,诸如CIoT设备或支持网络通信的其他设备),所述数据通信包括通过本地数据网络(例如,企业网络)112和数据网络(例如,互联网)120来访问各种应用、网络服务、内容主机等,和/或其他网络。如图1A中所示,5G网络接入机制104、106、108和110中的每个都通过安全平台102a与5G用户平面功能114a通信,并且5G用户平面功能114a与5G用户平面功能114b通信。如所示出的,4G RAN 110和5G RAN 108与5G核心控制/信令功能118通信,5G核心控制/信令功能118与5G用户平面功能114b通信。
参考图1A,使用安全平台102a和102b监控网络流量通信。例如,安全平台102a还可以与安全平台102b通信,以促进所公开的技术,诸如用于提供受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下面进一步描述的。如所示出的,在5G网络中,使用安全平台102a和102b(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102 a和102 b被配置为执行如下面进一步描述的所公开的安全技术。此外,安全平台102a和/或102b还可以诸如经由互联网与云安全服务122(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由帕洛阿尔托网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其他恶意软件的动态预防签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G多址接入安全性。
图1B是根据一些实施例的具有用于在移动网络中提供5G多边缘安全性的安全平台的5G无线网络的框图。图1B是用于多边缘5G网络架构的示例服务提供商网络环境,所述多边缘5G网络架构包括:在5G网络边缘上的各个位置处的安全平台,如102a、102b、102c和102d处所示,用于监控到5G用户平面功能114a-c和本地数据网络112a-b的通信;以及安全平台102e,用于监控到核心网络116中的5G核心控制/信令功能118的通信(例如,安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G多边缘安全性,如下面进一步描述的。
参考图1B,使用安全平台102a-e来监控网络流量通信。例如,安全平台102a和102b也可以与安全平台102e通信,以促进所公开的技术,诸如用于提供受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下面进一步描述的。如所示出的,在5G网络中使用安全平台102a-e(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102 a-e被配置为执行所公开的安全技术,如下面进一步描述的。如以上关于图1A类似地描述的,安全平台102a-e中的一个或多个还可以诸如经由互联网与云安全服务122(在图1B中未示出)(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由帕洛阿尔托网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其他恶意软件的动态预防签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G多边缘安全性。
图1C是根据一些实施例的具有用于在移动网络中提供5G漫游安全-归属路由场景的安全平台的5G无线网络的框图。图1C是用于漫游5G网络架构的示例服务提供商网络环境,所述5G漫游网络架构包括用于监控到5G用户平面功能114-b和漫游/对等网络124的通信以及用于监控到5G核心控制/信令功能118的通信的安全平台(例如,所述安全平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G漫游安全性,如下面进一步描述的。
参考图1C,使用安全平台102a监控网络流量通信。具体地,在该漫游安全性-归属路由场景中,单个防火墙监控控制平面(HTTP/2)流量和用户平面(GTP-U)流量这两者(例如,N32接口承载控制平面流量,N9接口承载GTP-U流量,如图1C中所示)。例如,安全平台102a可以促进所公开的技术,诸如用于提供受监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下面进一步描述的。如所示出的,在5G网络中使用安全平台102a(例如,(虚拟)设备/装置,其包括防火墙(FW)、代表防火墙行动的网络传感器或可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102a被配置为执行所公开的安全技术,如下面进一步描述的。如以上关于图1A类似地描述的,安全平台102a还可以诸如经由互联网与云安全服务122(在图1C中未示出)(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由帕洛阿尔托网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其他恶意软件的动态预防签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G漫游安全性。
图1D是根据一些实施例的具有用于在移动网络中提供5G漫游安全性-本地疏导场景的安全平台的5G无线网络的框图。图1D是用于漫游5G网络架构的示例服务提供商网络环境,所述漫游5G网络架构包括5G网络边缘上的各种位置处的安全平台,所述安全平台包括用于监控到5G用户平面功能114a-b和本地数据网络112以及漫游/对等网络124的通信的安全平台102a,以及用于监控到5G核心控制/信令功能118的通信的安全平台102b(例如,安全平台中的每个可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙行动的网络传感器或者可以使用所公开的技术实现安全策略的另外的设备/组件来实现),以用于提供5G漫游安全性,如下文进一步描述的。
参考图1D,使用安全平台102a和102b监控网络流量通信。具体来说,在该漫游安全性-本地疏导场景中,N32接口承载控制平面流量,并且N3接口是在5G RAN和承载GTP-U流量的用户平面功能之间的接口。例如,安全平台102a也可以与安全平台102b通信,以促进所公开的技术,例如用于提供被监控的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的关联,如下文进一步描述的。如所示出的,在5G网络中,使用安全平台102a和102b(例如,(虚拟)设备/装置,每个都包括防火墙(FW)、代表防火墙行动的网络传感器、或者可以使用所公开的技术实现安全策略的另外的设备/组件)来监控/过滤网络流量通信,所述安全平台102a和102 b被配置为执行所公开的安全技术,如下文进一步描述的。如上面关于图1A类似地描述的,安全平台102a和102b中的一个或多个还可以诸如经由互联网与云安全服务122(在图1D中未示出)(例如,商业上可获得的基于云的安全服务,诸如WireFireTM基于云的恶意软件分析环境,其是由帕洛阿尔托网络有限公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动安全分析以及安全专家分析;或者可以利用的由另外的厂商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于为安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其他恶意软件的动态预防签名,以及接收恶意软件样本以用于进一步的安全分析。如现在应当显而易见的,可以使用用于5G网络内不同位置处的网络流量通信的一个或多个安全平台来监控/过滤网络流量通信,以促进5G漫游安全性。
因此,这些和各种其他示例网络架构可以利用所公开的用于5G移动网络环境的安全技术,在5G移动网络环境中,可以提供一个或多个安全平台来执行流量监控和过滤,以基于信令和DPI信息为服务提供商的5G移动网络提供新的和增强的5G相关安全技术,如下文进一步描述的。鉴于所公开的实施例,现在对于本领域普通技术人员而言应当显而易见的是,一个或多个安全平台可以类似地被提供在这些网络架构内的各种其他位置中(例如,诸如由图1A-D中所示的安全平台所示的和/或被实现为代理或虚拟机(VM)实例的内联的、直通的NGFW,其可以在服务提供商的网络中的现有设备上执行,诸如在图1A-D中所示的在5G用户平面功能和/或5G核心控制/信令功能内的实体上执行)以及各种无线网络环境中,以执行下面进一步描述的所公开的安全技术。
5G网络中基于网络切片的安全性
网络切片是公共陆地移动网络(PLMN)中的逻辑网络,它可以提供完整网络的功能,包括无线电接入网络(RAN)功能、核心网络控制平面和用户平面功能。一个网络可以支持一个或几个网络片。通常,网络切片允许运营商(例如,5G网络的服务提供商)提供定制的网络。例如,对功能(例如,优先级、计费、策略控制、安全性和移动性)可能存在不同的要求,在性能要求(例如,延时、移动性、可用性、可靠性和数据速率)方面可能存在差异,或者它们只能服务于特定用户(例如,MPS用户、公共安全用户、公司客户、漫游者或托管移动虚拟网络运营商(MVNO))。
网络切片由S-NSSAI(单个网络切片选择辅助信息)来标识。在一个示例5G标准实现中,S-NSSAI包括切片/服务类型(SST)(8位),以及切片区分器(SD)和可选信息(24位)。如本文中进一步描述的,根据一些实施例,为了在5G网络中应用安全性,可以监控和提取网络切片信息。
在一些实施例中,通过解析HTTP/2消息以提取网络切片信息,使用位于5G移动网络中的安全平台来执行基于网络切片的安全性。在一个示例实现中,如在3GPP TS 29.500V15.1.0中所规定的,在基于服务的接口中使用HTTP/2。基于5G网络中的安全平台部署拓扑,可以从如下两个服务操作控制消息中提取网络切片信息:
(1)Nsmf_PDU会话_创建SM上下文请求(Nsmf_PDUSession_CreateSMContextRequest):它被用在如3GPP TS 29.502 V15.3.0中定义的创建SM上下文服务操作中,以在SMF中或在HR漫游场景的V-SMF中针对给定的PDU会话创建单独的SM上下文。
(2)Nsmf_PDU会话_创建请求(Nsmf_PDUSession_Create Request):它被用在如3GPP TS 29.502 V15.3.0中定义的创建服务操作中,以在HR漫游场景的H-SMF中创建单独的PDU会话。
具体而言,Nsmf_PDU会话_创建SM上下文请求在以下过程中使用:
(1)在非漫游中以及在具有3GPP TS 23.502 V15.3.0中的子条款4.3.2中定义的本地疏导情况的漫游中,UE请求的PDU会话建立过程。如在下面参考图2A进一步描述的,从AMF向SMF发送NSmf_PDU会话_创建SM上下文请求。
图2A是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游的UE请求的PDU会话建立的示例流程。参考图2A,从AMF 206发送到SMF 210的第一消息是如202处所示的Nsmf_PDU会话_创建SM上下文请求消息。在3GPP TS 29.502 V15.3.0中定义的创建SM上下文服务操作中,使用Nsmf_PDU会话_创建SM上下文请求消息以在SMF中或在HR漫游场景的V-SMF中针对给定的PDU会话创建单独的SM上下文。作为响应,如204处所示,从SMF 210向AMF 206发送Nsmf_PDU会话_创建SM上下文响应(Nsmf_PDUSession_CreateSMContextResponse)消息。
图2B是根据一些实施例的在5G网络中针对非漫游和具有本地疏导的漫游的UE请求的PDU会话建立和修改/更新的示例流程。参考图2B,如212处所示,从AMF 206向SMF 210发送Nsmf_PDU会话_更新SM上下文请求(Nsmf_PDUSession_UpdateSMContext Request)消息。作为响应,如214处所示,从AMF 206向SMF 210发送Nsmf_PDU会话_更新SM上下文响应(Nsmf_PDUSession_UpdateSMContext Response)消息。
图2C是根据一些实施例的在5G网络中使用N26接口从EPS到5GS空闲模式的移动或切换的示例流程。例如,在3GPP TS 23.502 V15.2.0的子条款4.11中定义了使用N26接口从EPS到5GS空闲模式的移动或切换的情况。从V-SMF向H-SMF发送Nsmf_PDU会话_创建请求。从AMF向SMF+PGW-C发送Nsmf_PDU会话_创建SM上下文请求。在归属路由场景的情况下,从AMF向V-SMF发送Nsmf_PDU会话_创建SM上下文请求。参考图2C,从MME 220发送到SMF+PGW-C222的第一消息是如224处所示的NSmf_PDU会话_创建SM上下文请求消息。作为响应,如226处所示,从SMF+PGW-C 222向MME 220发送Nsmf_PDU会话_创建SM上下文响应消息。
图2D是根据一些实施例的在5G网络中在不使用N26接口的情况下从EPS到5GS的移动过程的示例流程。例如,在3GPP TS 23.502 V15.2.0中的子条款4.11.2.3中定义的在没有N26接口的情况下从EPS到5GS的移动。从V-SMF向H-SMF发送Nsmf_PDU会话_创建请求。从新的AMF 230向SMF+PGW-C 232发送Nsmf_PDU会话_创建SM上下文请求。参考图2D,如234处所示,在UE请求的PDU会话建立过程期间,交换Nsmf_PDU会话_创建SM上下文请求消息。
图2E是根据一些实施例的在5G网络中PDU会话在3GPP接入和非3GPP接入之间的切换的示例流程,其中目标AMF不知道由源AMF使用的SM上下文的SMF资源标识符。一个示例是在5G网络中PDU会话在3GPP接入和非3GPP接入之间的切换,其中诸如当目标AMF不在如3GPPTS 23.502 V15.2.0中的子条款4.9.2.3.2所定义的N3IWF的PLMN中时,目标AMF不知道由源AMF使用的SM上下文的SMF资源标识符。从AMF 236向V-SMF 238发送Nsmf_PDU会话_创建SM上下文请求。参考图2E,如240处所示,在UE请求的UE会话建立过程期间,交换Nsmf_PDU会话_创建SM上下文请求消息。
图2F是根据一些实施例的在5G网络中将PDU会话从3GPP接入切换到利用HPLMN(归属路由漫游)中的N3IWF的不信任的非3GPP接入的示例流程。例如,该示例解决了当UE正在漫游并且所选择的N3IWF在如3GPP TS 23.502的子条款4.9.2.4.2中所定义的HPLMN中时的用例场景。从V-SMF向H-SMF发送Nsmf_PDU会话_创建请求。从AMF 242向H-SMF 244发送Nsmf_PDU会话_创建SM上下文请求。参考图2F,如246处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_创建SM上下文请求消息。
图2G是根据一些实施例的在5G网络中从EPS到5GC-N3IWF的切换的示例流程。例如,该示例解决了如在3GPP TS 23.502的子条款4.11.3.1中定义的从EPS到5GC-N3IWF的切换的用例场景。从AMF 248向PGW+SMF/UPF 250发送Nsmf_PDU会话_ 创建SM上下文请求。参考图2G,如252处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_ 创建SM上下文请求消息。
图2H是根据一些实施例的在5G网络中从EPC/ePDG到5GS的切换的示例流程。例如,该示例解决了如3GPP TS 23.502的子条款4.11.4.1中所定义的从EPC/ePDG到5GS的切换的用例场景。从AMF 254向PGW+SMF/UPF发送Nsmf_PDU会话_创建SM上下文请求。参考图2H,如258处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_创建SM上下文请求消息。
图2I是根据一些实施例的在5G网络中针对归属路由漫游场景的UE请求的PDU会话建立的示例流程。例如,该示例解决了如在3GPP TS 23.502的子条款4.3.2.2.2中定义的UE请求的PDU会话建立的用例场景。从V-SMF 260向H-SMF 262发送Nsmf_PDU会话_创建请求。参考图2I,如264处所示,在PDU会话建立过程期间交换Nsmf_PDU会话_创建请求消息。
图2J是根据一些实施例的针对5G网络中的归属路由漫游场景的UE请求的PDU会话建立和修改/更新的示例流程。参考图2J,如图2J所示,在如图2J所示的PDU会话建立过程期间,在AMF 266和SMF 268之间交换Nsmf_PDU会话_更新SM上下文请求(Nsmf_PDUSession_UpdateSMContextRequest)消息,如270所示。
在一个实施例中,安全平台监控这些消息,例如上面参考图2A-2J所描述的,以基于安全策略提取包括在这些消息中的网络切片相关信息和/或其他参数/信息,例如这里所描述的(例如,使用位于5G核心网络中的各种实体之间的直通防火墙/NGFW或者使用实现为在5G核心网络中的各种实体上执行的虚拟机实例或代理的防火墙/NGFW来监控Nsmf_PDU会话_创建SM上下文请求和/或其他消息)。例如,安全平台可以监控这些消息,并提取Nsmf_PDU会话_创建SM上下文请求消息和/或其他消息,以获得网络切片信息(例如,S-NSSAI,其包括切片/服务类型(SST)、8位和切片区分器(SD)、以及可选信息(24位),如下面进一步描述的。
在一个实施例中,所公开的技术执行对在服务提供商网络中的诸如HTTP/2流量之类的信令/控制流量的检查,以及对在服务提供商网络中的诸如GTP-U流量之类的隧道用户流量(例如,包括在RAN和UPF之间的N3 GTP-U隧道,或者在UPF之间的N9 GTP-U隧道)的检查(例如,使用安全平台,诸如使用能够执行DPI以标识APP ID、用户ID、内容ID、执行URL过滤的NGFW来实现,和/或使用用于安全性/威胁检测/预防的其他防火墙/安全策略来实现)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量的检查,诸如执行对HTTP/2流量的检查,以提取在HTTP/2流量中交换的信息(例如,参数,诸如网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息,诸如下面进一步描述的)。在一个实施例中,所公开的技术执行对服务提供商网络中的信令/控制流量的检查,诸如执行对HTTP/2流量的检查,以提取在HTTP/2流量中交换的信息(例如,参数,诸如上面描述的和下面进一步描述的)以及监控服务提供商网络中的隧道用户流量(例如,使用DPI,诸如上面描述的和下面进一步描述的),以用于在基于所述提取的信息和/或结合DPI应用安全策略中使用,诸如下面进一步描述的。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其他DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其他技术。
5G网络中根据数据网络名称的基于服务的安全性
根据一些实施例,还公开了用于根据数据网络名称的基于服务的安全性的技术。在5G网络中,数据网络名称(DNN)通常等同于接入点名称(APN)(例如,APN指的是PGW/GGSN,并且它标识接入到另一个网络(诸如互联网)的形式,并且由两部分组成:(1)APN网络标识符(必填);和(2)如TS 23.003 V15.3.0中定义的APN运营商标识符(可选)。这两个标识符具有等同的含义并携带相同的信息。例如,DNN可以被用于:(1)为PDU会话选择SMF和(一个或多个)UPF;(2)为PDU会话选择到数据网络的接口(N6);和/或(3)确定应用于该PDU会话的策略。
在一些实施例中,通过解析HTTP/2消息以提取DNN信息,使用5G网络中的安全平台来应用根据数据网络名称(DNN)的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两个服务操作控制消息中提取网络切片信息:(1)Nsmf_PDU会话_创建SMC上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其他DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其他技术。
5G网络中根据订阅永久标识符的基于服务的安全性
根据一些实施例,还公开了用于根据订阅永久标识符的基于服务的安全性的技术。在5G网络中,订阅永久标识符(SUPI)是分配给5G系统中每个订户的全球唯一的5G订阅标识符。它仅在3GPP系统内部,并在3GPP TS 23.501 V15.3.0的子条款5.9.2中定义。
例如,SUPI可以包括以下内容:(1)如在3GPP TS 23.003 V15.3.0中所定义的IMSI(例如,IMSI是分配给GSM/UMTS/EPS系统中每个移动订户的唯一的15位数字);以及(2)网络特定标识符(例如,NAI是在网络接入认证期间由客户端提交的用户身份。在漫游中,NAI的目的是标识用户以及协助认证请求的路由),用于如在3GPP TS 23.003 V15.3.0中定义的专用网络。
在一些实施例中,根据订阅永久标识符的基于服务的安全性(SUPI)是使用5G网络中的安全平台通过解析HTTP/2消息以提取SUPI信息来应用的。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两个服务操作控制消息中提取网络切片信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其他DPI和/或NGFW技术)在服务提供商的5G网络中提供增强的安全性的这些和其他技术。
5G网络中根据永久设备标识符的基于服务的安全性
根据一些实施例,还公开了用于根据永久设备标识符的基于服务的安全性的技术。在5G网络中,永久设备标识符(PEI)是针对接入5G系统的3GPP UE定义的。对于不同的UE类型和用例,PEI可以采用不同的格式。
例如,如果UE支持至少一种3GPP接入技术,则该UE必须被分配以IMEI格式的PEI(例如,IMEI是分配给每个移动站设备的唯一的15或16位数字)。如根据最新发布的标准,PEI参数仅有的支持的格式是IMEI和IMEISV,如在TS 23.003 V15.3.0中所定义的。
在一些实施例中,使用5G网络中的安全平台通过解析HTTP/2消息以提取PEI信息,来应用根据永久设备标识符(PEI)的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两个服务操作控制消息中提取PEI信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其他DPI和/或NGFW技术)在服务提供商的5G网络中提供增强的安全性的这些和其他技术。
5G网络中根据通用公共订阅标识符的基于服务的安全性
根据一些实施例,还公开了用于根据通用公共订阅标识符的基于服务的安全性的技术。通常,通用公共订阅标识符(GPSI)是在3GPP系统内部和外部这两者中均使用的公共标识符。
例如,GPSI用于在3GPP系统之外的不同数据网络中寻址3GPP订阅。具体来说,GPSI是一个MSISDN(例如,MS国际ISDN号码是根据ITU-T建议E.164编号计划分配的,该编号计划包括移动台注册所在国家的国家码(CC),随后是:国内(有效)移动号码,包括国内目的地码(NDC)和订户号码(SN))或外部标识符,如3GPP TS 23.003 V15.3.0中所规定的。
在一些实施例中,使用5G网络中的安全平台通过解析HTTP/2消息以提取GPSI信息来应用根据通用公共订阅标识符(GPSI)的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两种服务操作控制消息中提取GPSI信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用ID、用户ID、内容ID、URL过滤等其他DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其他技术。
5G网络中根据用户位置的基于服务的安全性
根据一些实施例,还公开了根据用户位置的基于服务的安全性的技术。
在一些实施例中,使用5G网络中的安全平台通过解析HTTP/2消息以提取用户位置信息来应用根据用户位置的基于服务的安全性。
如在上面类似地描述的,基于5G网络中的安全平台部署拓扑,可以从两种服务操作控制消息中提取用户位置信息:(1)Nsmf_PDU会话_创建SM上下文请求;和(2)Nsmf_PDU会话_创建请求。
将在下面进一步描述用于基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息(例如,和/或结合诸如应用标识、用户标识、内容标识、网址过滤等其他DPI和/或NGFW技术)来在服务提供商的5G网络中提供增强的安全性的这些和其他技术。
针对服务提供商的5G网络的增强安全性的示例用例
所公开的用于使用用于安全策略实施的安全平台为5G移动/服务提供商网络提供增强的安全性的技术可以被应用在各种附加的示例用例场景中,以用于促进5G移动/服务提供商网络环境的增强的、更灵活的和动态的安全性。将在下面进一步描述附加的示例用例场景。
作为第一示例用例场景,假设移动和融合网络运营商向IoT/M2M客户提供包括窄带IoT在内的无线IoT技术(例如,CIoT设备),所述IoT/M2M客户诸如公用设施(例如,燃气、水、电等)、水表管理公司、车队跟踪公司和/或其他类型的客户。大多数CIoT设备不具有提供安全功能的计算能力和资源,并且典型地没有被安全地编码。因此,这为移动和融合网络运营商创建了向这些客户提供基于网络的安全服务的机会,所述基于网络的安全服务可以使用所公开的技术来提供,所公开的技术使用用于安全策略实施的安全平台(例如,使用如本文中所述的N3和接口上的检查和安全能力)来用于在移动/服务提供商网络中的CIoT的增强的安全性。
作为第二示例用例场景,假设移动和融合网络运营商向IoT/M2M客户提供包括窄带IoT在内的无线IoT技术(例如,CIoT设备),所述IoT/M2M客户诸如公用设施(例如,燃气、水、电等)、水表管理公司、车队跟踪公司和/或其他类型的客户。大多数CIoT设备不具有提供安全功能的计算能力和资源,并且典型地没有被安全地编码。因此,这可能导致CIoT设备对其所连接的移动网络发起攻击。如本文中类似地描述的,可以执行所公开的用于使用用于安全策略实施的安全平台来用于移动/服务提供商网络中CIoT的增强的安全性的技术,以保护移动网络的关键网络元件免受CIoT设备的攻击,所述用于安全策略实施的安全平台包括S11-U接口上的检查和安全能力。
IOT威胁的示例
示例路由器漏洞包括以下漏洞:(1)TP-Link远程命令执行漏洞;(2)ZyXEL/Billion/TrueOnline路由器远程代码执行漏洞;(3)Netgear WNR2000远程代码执行漏洞;(4)MikroTik路由器OS认证避开漏洞;以及(5)ZTE ZXV10路由器命令执行漏洞;(4)NetgearFirmadyne命令注入漏洞;(5)Netis/Netcore路由器默认证书远程代码执行漏洞。相机漏洞包括索尼IPELA ENGINE IP相机后门漏洞和Axis相机远程命令执行漏洞。可以执行用于在服务提供商网络中应用基于DNN和应用ID的安全实施的上述技术来响应这样的示例路由器漏洞。作为示例,对于一个DNN,移动运营商可以针对所有路由器相关的远程代码执行漏洞定义动作块(例如,以丢弃和记录)。对于另一个DNN,移动运营商可以选择针对所有路由器相关的远程代码执行漏洞定义动作警报(例如,以允许和记录)。
Mirai(恶意软件)僵尸网络攻击是僵尸网络攻击的一个示例,其主要瞄准在线消费设备,诸如IP相机和家庭路由器。作为一个DNN的示例,移动运营商可以使用反间谍软件签名威胁ID:13999和13974 https://threatvault.paloaltonetworks.com/针对所有Mirai命令和控制流量定义动作块(例如,以丢弃和记录)。对于另一个APN,移动运营商可以选择针对所有Mirai命令和控制流量定义动作警报(例如,以允许和记录)。
鉴于所公开的实施例,现在应当显而易见的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、CIoT设备实体和/或其他设备制造商)和/或系统集成商可以指定这样的安全策略,所述安全策略可以由安全平台使用所公开的技术来实施,以解决这些和其他技术网络安全挑战。
用于为服务提供商的5G移动网络执行增强的安全性的网络设备的示例硬件组件
图3是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的硬件组件的功能图。所示出的示例是可以被包括在网络设备300(例如,可以实现本文中公开的安全平台的装置、网关或服务器)中的物理/硬件组件的表示。具体地,网络设备300包括高性能多核CPU 302和RAM 304。网络设备300还包括存储装置310(例如,一个或多个硬盘或固态存储单元),其可用于存储策略和其他配置信息以及签名。在一个实施例中,存储装置310存储网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息,以及相关联的IP地址和可能的其他信息(例如,应用ID、内容ID、用户ID、URL和/或其他信息),所述信息被监控以用于使用安全平台/防火墙设备来实现所公开的安全策略实施技术。网络设备300还可以包括一个或多个可选的硬件加速器。例如,网络设备300可以包括被配置为执行加密和解密操作的密码引擎306,以及被配置为执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个FPGA 308。
用于为服务提供商的5G移动网络执行增强的安全性的网络设备的示例逻辑组件
图4是根据一些实施例的用于为服务提供商的5G移动网络执行增强的安全性的网络设备的逻辑组件的功能图。所示出的示例是可以被包括在网络设备400(例如,可以实现所公开的安全平台并执行所公开的技术的数据装置)中的逻辑组件的表示。如所示出的,网络设备400包括管理平面402和数据平面404。在一个实施例中,管理平面负责诸如通过提供用于配置策略和查看日志数据的用户界面来管理用户交互。数据平面负责诸如通过执行分组处理和会话处置来管理数据。
假设移动设备试图使用加密会话协议(诸如,SSL)来访问资源(例如,远程网站/服务器、诸如CIoT设备之类的IoT设备或另外的资源)。网络处理器406被配置为监控来自移动设备的分组,并将分组提供给数据平面404以用于进行处理。流408将分组标识为新的会话的一部分,并创建新的会话流。基于流查找,后续分组将被标识为属于该会话。如果适用,则SSL解密由SSL解密引擎410使用本文中描述的各种技术来应用。否则,省略由SSL解密引擎410进行的处理。应用标识(APP ID)模块412被配置为确定会话涉及什么类型的流量,并标识与该流量相关联的用户(例如,以标识如本文中所述的应用ID)。例如,APP ID 412可以识别接收到的数据中的GET(获取)请求,并推断出会话需要HTTP解码器414。作为另一个示例,APP ID 412可以识别GTP-U消息,并且推断出会话需要GTP解码器。对于每种类型的协议,存在对应的解码器414。在一个实施例中,应用标识由应用标识模块(例如,APP ID组件/引擎)执行,用户标识由另外的组件/引擎执行。基于APP ID 412做出的确定,分组被发送到适当的解码器414。解码器414被配置为将分组(例如,可能无序地接收的分组)组装成正确的顺序,执行令牌化,并提取出信息。解码器414还执行签名匹配以确定分组应该发生什么。SSL加密引擎416使用如本文中所述的各种技术来执行SSL加密,并且然后使用如所示出的转发组件418来转发分组。如还示出的,策略420被接收并存储在管理平面402中。在一个实施例中,策略实施(例如,策略可以包括一个或多个规则,其可以使用域名和/或主机/服务器名称来指定,并且所述规则可以应用一个或多个签名或其他匹配准则或试探法,诸如以用于服务提供商网络上的订户/IP流的安全策略实施,所述安全策略实施如本文中所公开的基于从受监控的GTP-U流量的受监控的HTTP/2消息和/或DPI中提取的各种参数/信息)如本文中关于基于受监控的、解密的、标识的和解码的会话流量的各种实施例所描述的那样被应用。
如图4中还示出的,还提供了接口(I/F)通信器422以用于安全平台管理器通信(例如,经由(REST)API、消息、或网络协议通信或其他通信机制)。在一些情况下,使用网络设备400监控服务提供商网络上的其他网络元件的网络通信,并且数据平面404支持对这样的通信的解码(例如,网络设备400,包括I/F通信器422和解码器414,可以被配置为监控例如基于服务的接口(诸如Nsmf、Nnef)和参考点接口(诸如N3、N9)和/或其中存在有线和无线网络流量的其他接口,和/或在所述接口上通信,如本文中类似地描述的)。照此,包括I/F通信器422的网络设备400可以用于实现所公开的用于在移动/服务提供商网络环境上的安全策略实施的技术,如在上面描述并且将在下面进一步描述的。
现在将描述所公开的用于在移动/服务提供商网络环境中为CIoT执行增强的安全性的技术的附加示例处理。
用于服务提供商5G网络的增强的安全性的示例处理
图5是根据一些实施例的用于为服务提供商的5G网络执行增强的安全性的处理的流程图。在一些实施例中,如图5中所示的处理500由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理500由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于502。在502处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在504处,执行在安全平台处提取与新的会话相关联的用户流量的网络切片信息。例如,安全平台可以解析HTTP/2消息以使用如上所述的基于DPI的防火墙技术来提取网络切片信息,其中网络切片由单个网络切片选择辅助信息(S-NSSAI)进行标识。
在506处,执行基于网络切片信息来确定要在安全平台应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其他基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在508处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其他实施动作)可以使用如在上面类似地描述的安全平台来执行。
图6是根据一些实施例的用于为服务提供商的5 G网络执行增强的安全性的处理的另一流程图。在一些实施例中,如图6中示出的处理600由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理600由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于602。在602处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在604处,执行在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息。例如,安全平台可以解析HTTP/2消息以使用如在上面类似地描述的基于DPI的防火墙技术来提取订阅和/或设备标识符信息,其中订阅和/或设备标识符由订阅永久标识符(SUPI)、通用公共订阅标识符(GPSI)和/或永久设备标识符(PEI)进行标识。
在606处,执行基于订阅和/或设备标识符信息来确定要在安全平台处应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其他基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在608处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其他实施动作)可以使用如在上面类似地描述的安全平台来执行。
图7是根据一些实施例的用于为服务提供商的5G网络执行增强的安全性的处理的另一流程图。在一些实施例中,如图7中示出的处理700由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理700由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于702。在702处,执行在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在704处,执行在安全平台处提取与新的会话相关联的用户流量的网络名称信息。例如,安全平台可以解析HTTP/2消息以使用如在上面类似地描述的基于DPI的防火墙技术来提取网络名称信息,其中网络名称信息由数据网络名称(DNN)进行标识。
在706处,执行基于网络名称信息来确定在安全平台处应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其他基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在708处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其他实施动作)可以使用如在上面类似地描述的安全平台来执行。
图8是根据一些实施例的用于为服务提供商的5G网络执行增强的安全性的处理的另一流程图。在一些实施例中,如图8中所示的处理800由如在上面类似地描述的包括在上面关于图1A-4描述的实施例的安全平台和技术来执行。在一个实施例中,处理800由如在上面关于图3所述的数据装置300、如在上面关于图4所述的网络设备400、虚拟装置、SDN安全解决方案、云安全服务和/或如本文中所述的前面提到的组合或混合实现来执行。
该处理开始于802。在802处,执行在安全平台处监控服务提供商网络上的网络流量,以标识新的会话,其中服务提供商网络包括5G网络或融合的5G网络。例如,安全平台(例如,防火墙、代表防火墙行动的网络传感器、或者可以实现安全策略的另外的设备/组件)可以监控移动核心网络上的GTP-U和HTTP/2流量,如在上面类似地描述的。
在804处,执行在安全平台处提取与新的会话相关联的用户流量的用户位置信息。例如,安全平台可以解析HTTP/2消息以使用如在上面类似地描述的基于DPI的防火墙技术来提取用户位置信息,其中用户位置信息由Eutra位置(例如,跟踪区域标识(TAI)和ECGI(EUTRA小区标识))和/或NR位置(例如,跟踪区域标识(TAI)和NR小区标识(NCGI))进行标识。
在806处,执行基于用户位置信息确定要在安全平台处应用于新的会话的安全策略。例如,可以基于网络切片信息、数据网络名称(DNN)、订阅永久标识符(SUPI)、永久设备标识符(PEI)、通用公共订阅标识符(GPSI)和用户位置信息的各种组合来确定和/或实施安全策略,诸如在上面类似地描述的(例如,和/或结合其他基于DPI的防火墙技术,诸如应用ID、用户ID、内容ID、URL过滤等)。
在808处,执行使用安全平台在新的会话上实施安全策略。例如,各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监控、记录、节流、限制访问和/或其他实施动作)可以使用如在上面类似地描述的安全平台来执行。
鉴于所公开的实施例,现在应当显而易见的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、IoT设备实体和/或其他设备制造商)和/或系统集成商可以指定这样的安全策略,所述安全策略可以由安全平台使用所公开的技术来实施,以解决包括5G网络在内的移动网络上的这些和其他技术网络安全挑战。
尽管为了清楚理解的目的,已经以一些细节描述了前述实施例,但是本发明不限于所提供的细节。存在许多实现本发明的替代方式。所公开的实施例是说明性的而非限制性的。
Claims (22)
1.一种系统,包括:
处理器,其被配置为:
在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;
在安全平台处提取与新的会话相关联的用户流量的网络切片信息;以及
基于网络切片信息来确定要在安全平台处应用于新的会话的安全策略;以及
存储器,其联接到处理器并且被配置为向处理器提供指令。
2.根据权利要求1所述的系统,其中安全平台被配置有基于网络切片信息的多个安全策略,其中安全平台解析HTTP/2消息以提取网络切片信息,并且其中网络切片信息由单个网络切片选择辅助信息(S-NSSAI)来标识。
3.根据权利要求1所述的系统,其中安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
4.根据权利要求1所述的系统,其中安全平台被配置为使用网络切片信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。
5.根据权利要求1所述的系统,其中安全平台被配置为执行以下中的一个或多个:使用网络切片信息的针对已知威胁的威胁检测,使用网络切片信息的针对未知威胁的高级威胁检测,使用网络切片信息的统一资源链接(URL)过滤,使用网络切片信息的基于网络切片的应用拒绝服务(DoS)检测,以及使用网络切片信息的基于网络切片的应用DoS预防。
6.一种系统,包括:
处理器,其被配置为:
在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;
在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息;以及
基于订阅和/或设备标识符信息来确定要在安全平台处应用于新的会话的安全策略;以及
存储器,其联接到处理器并且被配置为向处理器提供指令。
7.根据权利要求6所述的系统,其中安全平台被配置有基于订阅和/或设备标识符信息的多个安全策略,其中安全平台解析HTTP/2消息以提取订阅和/或设备标识符信息,并且其中订阅和/或设备标识符信息由订阅永久标识符(SUPI)、通用公共订阅标识符(GPSI)和/或永久设备标识符(PEI)来标识。
8.根据权利要求6所述的系统,其中安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
9.根据权利要求6所述的系统,其中安全平台被配置为使用订阅和/或设备标识符信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。
10.根据权利要求6所述的系统,其中安全平台被配置为执行以下中的一个或多个:使用订阅和/或设备标识符信息的针对已知威胁的威胁检测,使用订阅和/或设备标识符信息的针对未知威胁的高级威胁检测,使用订阅和/或设备标识符信息的统一资源链接(URL)过滤,使用订阅和/或设备标识符信息的基于订阅永久标识符(SUPI)或基于通用公共订阅标识符(GPSI)的应用拒绝服务(DoS)检测,以及使用订阅和/或设备标识符信息的基于SUPI或基于GPSI的应用DoS预防。
11.一种系统,包括:
处理器,其被配置为:
在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;
在安全平台处提取与新的会话相关联的用户流量的网络名称信息;以及
基于网络名称信息来确定要在安全平台处应用于新的会话的安全策略;以及
存储器,其联接到处理器并且被配置为向处理器提供指令。
12.根据权利要求11所述的系统,其中安全平台被配置有基于网络名称信息的多个安全策略,其中安全平台解析HTTP/2消息以提取网络名称信息,并且其中网络名称由数据网络名称(DNN)来标识。
13.根据权利要求11所述的系统,其中安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络名称的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
14.根据权利要求11所述的系统,其中安全平台被配置为使用网络名称信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。
15.根据权利要求11所述的系统,其中安全平台被配置为执行以下中的一个或多个:使用网络名称信息的针对已知威胁的威胁检测,使用网络名称信息的针对未知威胁的高级威胁检测,使用网络名称信息的统一资源链接(URL)过滤,使用网络名称信息的基于数据网络名称(DNN)的应用拒绝服务(DoS)检测,以及使用网络名称信息的基于DNN的应用拒绝服务(DoS)预防。
16.一种系统,包括:
处理器,其被配置为:
在安全平台处监控服务提供商网络上的网络流量以标识新的会话,其中服务提供商网络包括5G网络或融合5G网络;
在安全平台处提取与新的会话相关联的用户流量的用户位置信息;以及
基于用户位置信息来确定要在安全平台处应用于新的会话的安全策略;以及
存储器,其联接到处理器并且被配置为向处理器提供指令。
17.根据权利要求16所述的系统,其中安全平台解析HTTP/2消息以提取用户位置信息,并且其中用户位置信息由Eutra位置来标识,并且其中Eutra位置包括跟踪区域标识(TAI)和ECGI(EUTRA小区标识)。
18.根据权利要求16所述的系统,其中安全平台解析HTTP/2消息以提取用户位置信息,其中用户位置信息由NR位置来标识,并且其中NR位置包括跟踪区域标识(TAI)和NR小区标识(NCGI)。
19.根据权利要求16所述的系统,其中安全平台监控无线接口,所述无线接口包括用于4G和/或5G网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于用户位置信息的安全性,所述订户和订户设备使用5G无线电接入技术连接到服务提供商网络并且切换到5G无线电接入技术/从5G无线电接入技术切换到非5G无线电接入技术。
20.根据权利要求16所述的系统,其中安全平台被配置为使用用户位置信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。
21.根据权利要求16所述的系统,其中安全平台被配置为执行以下中的一个或多个:使用用户位置信息的针对已知威胁的威胁检测,使用用户位置信息的针对未知威胁的高级威胁检测,使用用户位置信息的统一资源链接(URL)过滤,使用用户位置信息的应用拒绝服务(DoS)检测,以及使用用户位置信息的应用DoS预防。
22.根据权利要求1、6、11或16所述的系统,其中处理器进一步被配置为:
基于安全策略阻止新的会话访问资源。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/144147 | 2018-09-27 | ||
| US16/144151 | 2018-09-27 | ||
| US16/144143 | 2018-09-27 | ||
| US16/144158 | 2018-09-27 | ||
| US16/144,151 US10462653B1 (en) | 2018-09-27 | 2018-09-27 | Service-based security per data network name in mobile networks |
| US16/144,158 US10477390B1 (en) | 2018-09-27 | 2018-09-27 | Service-based security per user location in mobile networks |
| US16/144,147 US10531305B1 (en) | 2018-09-27 | 2018-09-27 | Service-based security per subscription and/or equipment identifiers in mobile networks |
| US16/144,143 US10944796B2 (en) | 2018-09-27 | 2018-09-27 | Network slice-based security in mobile networks |
| PCT/US2019/051792 WO2020068521A1 (en) | 2018-09-27 | 2019-09-18 | Network slice-based security in mobile networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112868248A true CN112868248A (zh) | 2021-05-28 |
Family
ID=69952469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980070161.9A Pending CN112868248A (zh) | 2018-09-27 | 2019-09-18 | 移动网络中基于网络切片的安全性 |
Country Status (4)
| Country | Link |
|---|---|
| EP (4) | EP4080917A1 (zh) |
| JP (4) | JP7233525B2 (zh) |
| CN (1) | CN112868248A (zh) |
| WO (1) | WO2020068521A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020198157A1 (en) * | 2019-03-28 | 2020-10-01 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
| EP4047991A1 (en) | 2019-05-02 | 2022-08-24 | Telefonaktiebolaget LM Ericsson (publ) | Provision gpsi pertaining to pdu session(s) |
| US20230199499A1 (en) * | 2020-06-26 | 2023-06-22 | Nec Corporation | Core network node, mec server, external server, communication system, control method, program, and non-transitory recording medium having recorded thereon program |
| TWI778434B (zh) | 2020-10-19 | 2022-09-21 | 財團法人資訊工業策進會 | 基地台及資料上行傳輸安全偵測方法 |
| US11974120B2 (en) | 2021-01-29 | 2024-04-30 | Adaptive Mobile Security Limited | System and method for securing a communication network |
| US11991525B2 (en) | 2021-12-02 | 2024-05-21 | T-Mobile Usa, Inc. | Wireless device access and subsidy control |
| DE202022104059U1 (de) | 2022-07-19 | 2022-08-18 | Jaydip Kumar | Auf maschinellem Lernen basierendes intelligentes System für 5G-Netzsicherheit |
| CN115776657B (zh) * | 2022-11-14 | 2024-04-30 | 中国联合网络通信集团有限公司 | 适用于5g公专网跨域漫游的管理系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050204152A1 (en) * | 2002-06-14 | 2005-09-15 | Thomas Breitbach | Content and security proxy in a mobile communications system |
| US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
| US8191106B2 (en) * | 2007-06-07 | 2012-05-29 | Alcatel Lucent | System and method of network access security policy management for multimodal device |
| CN102857987A (zh) * | 2011-06-29 | 2013-01-02 | 丛林网络公司 | 移动网络网关之间的用户会话路由 |
| US8458786B1 (en) * | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
| US20130205361A1 (en) * | 2012-02-02 | 2013-08-08 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| WO2017200978A1 (en) * | 2016-05-16 | 2017-11-23 | Idac Holdings, Inc. | Security-based slice selection and assignment |
| US10075472B2 (en) * | 2011-05-24 | 2018-09-11 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG11201401209SA (en) * | 2011-10-31 | 2014-07-30 | Ericsson Telefon Ab L M | Securing data communications in a communications network |
| KR101275708B1 (ko) * | 2011-12-20 | 2013-06-17 | (주)소만사 | Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법 |
| WO2015066604A1 (en) * | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | Systems and methods for identifying infected network infrastructure |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| CN106657194B (zh) * | 2015-11-02 | 2020-05-08 | 中兴通讯股份有限公司 | 一种网络切片能力开放的方法、装置及系统 |
| US10129108B2 (en) * | 2015-11-13 | 2018-11-13 | Huawei Technologies Co., Ltd. | System and methods for network management and orchestration for network slicing |
| US10142994B2 (en) * | 2016-04-18 | 2018-11-27 | Electronics And Telecommunications Research Institute | Communication method and apparatus using network slicing |
| EP3456090B1 (en) | 2016-05-12 | 2021-03-31 | Convida Wireless, Llc | Connecting to virtualized mobile core networks |
| KR101721219B1 (ko) * | 2016-06-03 | 2017-03-29 | 주식회사 케이티 | 사설망 서비스 제공 방법과 시스템 및 이를 위한 장치 |
| US10849186B2 (en) * | 2017-01-09 | 2020-11-24 | Huawei Technologies Co., Ltd. | System and methods for session management |
| WO2019158681A1 (en) * | 2018-02-16 | 2019-08-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Protecting a message transmitted between core network domains |
-
2019
- 2019-09-18 JP JP2021516728A patent/JP7233525B2/ja active Active
- 2019-09-18 WO PCT/US2019/051792 patent/WO2020068521A1/en unknown
- 2019-09-18 EP EP22176577.9A patent/EP4080917A1/en active Pending
- 2019-09-18 CN CN201980070161.9A patent/CN112868248A/zh active Pending
- 2019-09-18 EP EP19864612.7A patent/EP3837867B1/en active Active
- 2019-09-18 EP EP22176578.7A patent/EP4080918A1/en active Pending
- 2019-09-18 EP EP22176576.1A patent/EP4080916A1/en active Pending
-
2023
- 2023-02-21 JP JP2023025229A patent/JP7408859B2/ja active Active
- 2023-02-21 JP JP2023025231A patent/JP7410343B2/ja active Active
- 2023-02-21 JP JP2023025230A patent/JP7410342B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050204152A1 (en) * | 2002-06-14 | 2005-09-15 | Thomas Breitbach | Content and security proxy in a mobile communications system |
| US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
| US8191106B2 (en) * | 2007-06-07 | 2012-05-29 | Alcatel Lucent | System and method of network access security policy management for multimodal device |
| US8458786B1 (en) * | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
| US10075472B2 (en) * | 2011-05-24 | 2018-09-11 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| CN102857987A (zh) * | 2011-06-29 | 2013-01-02 | 丛林网络公司 | 移动网络网关之间的用户会话路由 |
| US20130205361A1 (en) * | 2012-02-02 | 2013-08-08 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| WO2017200978A1 (en) * | 2016-05-16 | 2017-11-23 | Idac Holdings, Inc. | Security-based slice selection and assignment |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7410342B2 (ja) | 2024-01-09 |
| JP2022502913A (ja) | 2022-01-11 |
| WO2020068521A1 (en) | 2020-04-02 |
| EP3837867A4 (en) | 2022-08-17 |
| EP4080916A1 (en) | 2022-10-26 |
| JP7408859B2 (ja) | 2024-01-05 |
| JP2023088904A (ja) | 2023-06-27 |
| JP2023088905A (ja) | 2023-06-27 |
| JP7410343B2 (ja) | 2024-01-09 |
| JP2023085250A (ja) | 2023-06-20 |
| EP4080918A1 (en) | 2022-10-26 |
| JP7233525B2 (ja) | 2023-03-06 |
| EP3837867A1 (en) | 2021-06-23 |
| EP3837867B1 (en) | 2023-11-01 |
| EP4080917A1 (en) | 2022-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11792235B2 (en) | Network slice-based security in mobile networks | |
| US11019077B2 (en) | Multi-access distributed edge security in mobile networks | |
| CN112020851B (zh) | 移动网络中的多接入分布式边缘安全性 | |
| US10812971B2 (en) | Service-based security per data network name in mobile networks | |
| JP7410342B2 (ja) | モバイルネットワークにおけるネットワークスライスベースのセキュリティ | |
| US10812972B2 (en) | Service-based security per user location in mobile networks | |
| US10531305B1 (en) | Service-based security per subscription and/or equipment identifiers in mobile networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |