CN115643097B - 利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 - Google Patents
利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115643097B CN115643097B CN202211333993.5A CN202211333993A CN115643097B CN 115643097 B CN115643097 B CN 115643097B CN 202211333993 A CN202211333993 A CN 202211333993A CN 115643097 B CN115643097 B CN 115643097B
- Authority
- CN
- China
- Prior art keywords
- security
- protocol
- network
- layer signaling
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000011664 signaling Effects 0.000 title claims abstract description 257
- 238000000034 method Methods 0.000 title claims abstract description 190
- 238000012544 monitoring process Methods 0.000 claims abstract description 31
- 238000012795 verification Methods 0.000 claims description 39
- 230000002776 aggregation Effects 0.000 claims description 21
- 238000004220 aggregation Methods 0.000 claims description 21
- 230000002265 prevention Effects 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 14
- 101001095231 Homo sapiens Peptidyl-prolyl cis-trans isomerase D Proteins 0.000 claims 3
- 102100037827 Peptidyl-prolyl cis-trans isomerase D Human genes 0.000 claims 3
- 238000001914 filtration Methods 0.000 abstract description 54
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 33
- 238000007689 inspection Methods 0.000 description 33
- 230000008569 process Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 24
- 238000005516 engineering process Methods 0.000 description 22
- 238000001514 detection method Methods 0.000 description 20
- 230000004044 response Effects 0.000 description 19
- 238000010200 validation analysis Methods 0.000 description 13
- 230000009471 action Effects 0.000 description 9
- 238000012546 transfer Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000009849 deactivation Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 241000282836 Camelus dromedarius Species 0.000 description 1
- 241000760358 Enodes Species 0.000 description 1
- 101000597193 Homo sapiens Telethonin Proteins 0.000 description 1
- 102100035155 Telethonin Human genes 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000004557 technical material Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
利用下一代防火墙的传输层信令安全性的方法包括:在安全性平台处监测服务提供商网络上的传输层信令业务;以及基于安全性策略在安全性平台处过滤传输层信令业务。利用下一代防火墙的应用层信令安全性的方法包括:在安全性平台处监测服务提供商网络上的应用层信令业务;以及基于安全性策略在安全性平台处过滤应用层信令业务。利用下一代防火墙的网络层信令安全性的方法包括:在安全性平台处监测服务提供商网络上的网络层信令协议业务;以及基于安全性策略在安全性平台处过滤网络层信令协议业务。利用下一代防火墙的Diameter安全性的方法包括:在安全性平台处监测服务提供商网络上的Diameter协议业务;以及基于安全性策略在安全性平台处过滤Diameter协议业务。
Description
本案为分案申请。其母案的发明名称为“利用下一代防火墙的用于信令安全性的系统和方法”,申请日为2019年2月8日,申请号为201980023999.2。
背景技术
防火墙通常保护网络免受未经授权的访问,同时允许经授权的通信通过该防火墙。防火墙通常是针对网络访问提供防火墙功能的设备或一组设备、或者在设备(诸如计算机)上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话、或其他类型的能够进行网络通信的设备)的操作系统中。防火墙还可以被集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(appliance)(例如,安全性器具或其他类型的专用设备)上的软件中或者作为该软件来执行。
防火墙通常基于规则集合来拒绝或允许网络传输。这些规则集合通常被称为策略。例如,防火墙可以通过应用规则集合或策略来过滤入站业务。防火墙还可以通过应用规则集合或策略来过滤出站业务。防火墙还可以能够执行基本的路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1A是根据一些实施例的具有用于提供增强的安全性的安全性平台的3G无线网络的框图。
图1B是根据一些实施例的具有用于提供增强的安全性的安全性平台的4G/LTE无线网络的框图。
图2A是根据一些实施例的在3G网络中的SGSN与GGSN之间交换的GTPv1-C消息的示例。
图2B是根据一些实施例的在4G/LTE网络中的包括MME、SGW和PGW的实体之间交换的GTPv2-C消息的示例。
图3A是根据一些实施例的在3G网络中的SGSN与GGSN之间的GTPv1-C消息流的另一示例。
图3B是根据一些实施例的在4G/LTE网络中的MME、SGW和PGW之间的GTPv2-C消息流的另一示例。
图4A是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供Diameter over SCTP安全性。
图4B是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供SIGTRAN安全性。
图4C是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供SCCP安全性。
图4D是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供OSI 7层(layer 7)信令安全性。
图4E图示了示例信令协议栈。
图4F图示了SS7 over IP协议栈的示例。
图5A是根据一些实施例的利用MAP消息的示例信令攻击,可以使用用于安全性策略实施的安全性平台来阻止该信令攻击以便为移动/服务提供商网络提供增强的安全性。
图5B是根据一些实施例的利用MAP消息的另一示例信令攻击,可以使用用于安全性策略实施的安全性平台来阻止该信令攻击以便为移动/服务提供商网络提供增强的安全性。
图5C是根据一些实施例的利用MAP消息的另一示例信令攻击,可以使用用于安全性策略实施的安全性平台来阻止该信令攻击以便为移动/服务提供商网络提供增强的安全性。
图6是根据一些实施例的用于在移动/服务提供商网络环境上执行安全性策略实施的网络设备的硬件组件的功能图。
图7是根据一些实施例的用于在移动/服务提供商网络环境上执行安全性策略实施的网络设备的逻辑组件的功能图。
图8是根据一些实施例的用于在服务提供商的移动网络中执行基于传输层信令的安全性的过程的流程图。
图9是根据一些实施例的用于在服务提供商的移动网络中执行基于应用层信令的安全性的过程的流程图。
图10是根据一些实施例的用于在服务提供商的移动网络中执行基于网络层信令的安全性的过程的流程图。
图11是根据一些实施例的用于在服务提供商的移动网络中执行基于Diameterover SCTP的安全性的过程的流程图。
具体实施方式
本发明可以以许多方式来实现,包括作为过程;装置;系统;物质组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由该存储器提供的指令的处理器。在本说明书中,这些实现方式或本发明可以采用的任何其他形式可以被称为技术。一般地,可以在本发明的范围内更改所公开过程的步骤的次序。除非另行陈述,否则被描述为配置成执行任务的组件(诸如,处理器或存储器)可以被实现为暂时配置成在给定时间处执行该任务的通用组件、或被制造成执行该任务的专用组件。如本文中所使用的,术语“处理器”指代被配置成处理数据(诸如,计算机程序指令)的一个或多个设备、电路和/或处理核心。
下面连同说明本发明原理的附图一起提供了对本发明的一个或多个实施例的详细描述。结合这种实施例对本发明进行了描述,但是本发明并不限于任何实施例。本发明的范围仅由权利要求所限制,并且本发明涵盖许多替代方案、修改和等同物。在以下描述中阐述了众多具体细节,以便提供对本发明的透彻理解。这些细节被提供用于示例的目的,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践本发明。出于清楚性的目的,在与本发明相关的技术领域中已知的技术材料未被详细描述,以免不必要地使本发明模糊。
防火墙通常保护网络免受未经授权的访问,同时允许经授权的通信通过该防火墙。防火墙通常是针对网络访问提供防火墙功能的设备、一组设备、或者在设备上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话、或其他类型的能够进行网络通信的设备)的操作系统中。防火墙还可以被集成到各种类型的设备或安全性设备(诸如,计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(例如,安全性器具或其他类型的专用设备))上的软件应用中或者作为该软件应用来执行。
防火墙通常基于规则集合来拒绝或允许网络传输。这些规则集合通常被称为策略(例如,网络策略或网络安全性策略)。例如,防火墙可以通过应用规则集合或策略来过滤入站业务,以防止不想要的外部业务到达受保护的设备。防火墙还可以通过应用规则集合或策略来过滤出站业务(例如,可以在防火墙/安全性规则或防火墙/安全性策略中指定允许、阻止、监测、通知或记录、和/或其他动作,这些动作可以基于诸如本文中描述的各种准则而被触发)。防火墙还可以通过应用规则集合或策略来应用防病毒保护、恶意软件检测/预防或入侵保护。
安全性设备(例如,安全性器具、安全性网关、安全性服务和/或其他安全性设备)可以包括各种安全性功能(例如,防火墙、防恶意软件、入侵预防/检测、代理和/或其他安全性功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡、和/或其他联网功能)和/或其他功能。例如,路由功能可以基于源信息(例如,源IP地址和端口)、目的地信息(例如,目的地IP地址和端口)和协议信息。
基本分组过滤防火墙通过检查在网络上传输的各个分组来过滤网络通信业务(例如,分组过滤防火墙或第一代防火墙,它们是无状态(stateless)分组过滤防火墙)。无状态分组过滤防火墙通常会检查各个分组本身,并且基于所检查的分组(例如,使用分组的源地址和目的地地址信息、协议信息和端口号的组合)来应用规则。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,它们在TCP/IP栈的应用级别上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(HTTP)的Web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、以及各种其他类型的应用和其他协议,诸如Telnet(远程登录)、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止尝试在标准端口上进行通信的未经授权的协议(例如,通常可以使用应用防火墙来标识尝试通过使用用于该协议的非标准端口而潜行(sneak)通过的未经授权的协议/策略外协议)。
状态防火墙还可以执行基于状态的分组检查,其中在与该网络传输的分组/分组流相关联的一系列分组的上下文内检查每个分组(例如,状态防火墙或第三代防火墙)。这种防火墙技术通常被称为状态分组检查,这是由于它维持了通过该防火墙的所有连接的记录,并且能够确定分组是新连接的开始、是现有连接的一部分、还是无效分组。例如,连接状态本身可以是触发策略内的规则的准则之一。
如上所讨论,高级防火墙或下一代防火墙可以执行无状态分组过滤和状态分组过滤以及应用层过滤。下一代防火墙还可以执行附加的防火墙技术。例如,有时被称为高级防火墙或下一代防火墙的某些较新的防火墙还可以标识用户和内容。特别地,某些下一代防火墙将这些防火墙可以自动标识的应用列表扩展到数千个应用。这种下一代防火墙的示例从帕洛阿尔托网络(Palo Alto Networks)公司商业上可得(例如,帕洛阿尔托网络的PA系列下一代防火墙和帕洛阿尔托网络的VM系列虚拟化下一代防火墙)。
例如,帕洛阿尔托网络的下一代防火墙使得企业和服务提供商能够使用各种标识技术来标识和控制应用、用户和内容,而不仅仅是端口、IP地址和分组,这些标识技术诸如以下各项:用于准确应用标识的App-IDTM(例如,App ID)、用于用户标识(例如,按用户或用户组)的用户IDTM(例如,用户ID)、以及用于实时内容扫描(例如,控制网络冲浪并且限制数据和文件传输)的内容IDTM(例如,内容ID)。这些标识技术允许企业使用商业相关的概念来安全地启用应用使用,而不是遵循由传统端口阻止防火墙所提供的传统方法。而且,对于应用检查而言,用于下一代防火墙的专用硬件(例如,被实现为专用器具)通常比在通用硬件上执行的软件提供更高的性能水平(例如,诸如由帕洛阿尔托网络公司提供的安全性器具,它们利用与单程(single-pass)软件引擎紧密集成的专用的、功能特定的处理,以最大化网络吞吐量,同时最小化帕洛阿尔托网络的PA系列下一代防火墙的时延)。
服务提供商的当今移动网络中的技术和安全性挑战
在当今的服务提供商网络环境中,针对通过服务提供商无线网络进行通信的无线设备,服务提供商通常仅能够实现静态安全性策略(例如,针对通过服务提供商无线网络进行通信的无线设备,服务提供商无法在每个端点的基础上和/或在每个流的基础上定义安全性/防火墙策略),并且任何改变通常都需要网络基础设施更新。此外,在当今的服务提供商网络环境中,针对通过服务提供商无线网络进行通信的无线设备,服务提供商通常无法实现基于与该无线设备相关联的硬件属性或位置信息的安全性策略(例如,服务提供商无法基于分组内容检查和/或基于与无线设备相关联的各种其他相关参数(诸如,通过无线网络进行通信的设备的接入点)来实现安全性策略)。
因此,在服务提供商网络的情况下存在技术和安全性挑战。由此,所需要的是用于这种服务提供商网络环境的新的且改进的安全性技术。具体地,所需要的是用于监测服务提供商网络业务的新的且改进的解决方案,并且更具体地是用于为服务提供商网络解决信令业务相关的安全性问题的改进的解决方案,包括例如:对在GSM(全球移动通信系统)、UMTS(通用移动电信系统)、LTE(长期演进)网络内的各种接口上使用的各种协议、在3G网络中使用的GTPv1-C、和/或在4G/LTE网络中使用的GTPv2-C执行分组内容检查;以及在服务提供商网络上应用安全性策略(例如,防火墙策略),以便于增强服务提供商网络的安全性。
用于在服务提供商的移动网络中实现增强的安全性的技术的概述因此,公开了用于服务提供商网络环境内的增强的安全性平台的技术。具体地,公开了用于在服务提供商网络环境内实现安全性平台的各种系统架构、以及用于在服务提供商网络环境内提供安全性平台的各种过程,该安全性平台可以监测在各种接口上使用的各种协议。更具体地,公开了用于在服务提供商网络环境内实现安全性平台的各种系统架构、以及用于在服务提供商网络环境内提供安全性平台的各种过程,该安全性平台可以:监测在GSM(全球移动通信系统)、UMTS(通用移动电信系统)、LTE(长期演进)网络内的各种接口上使用的各种协议、在3G网络中使用的GTPv1-C、和/或在4G/LTE网络中使用的GTPv2-C;以及在服务提供商网络上应用安全性策略(例如,防火墙策略)。例如,所公开的技术便于在服务提供商网络上使用下一代防火墙、基于如下各项来应用安全性策略:应用;IP地址;内容ID;订户位置;唯一设备标识符(例如,用于通常唯一的3GPP设备标识符的国际移动设备标识符(IMEI),诸如用于全球移动通信系统(GSM)网络的移动电话);唯一订户标识符(例如,用于唯一地标识GSM订户的国际移动订户身份(IMSI));无线电接入技术(RAT)(例如,用于为移动设备标识相关联的RAT);从移动服务提供商网络上的经解码的信令业务中提取的任何其他信息,用以解决信令安全性问题并且便于增强服务提供商网络上的安全性(例如,对特定消息/业务进行节流,以防止/缓解拒绝服务(DoS)攻击或应对一个或多个信令协议中的其他攻击/漏洞);和/或其任何组合,诸如下面进一步描述的那样。
在一个实施例中,安全性平台被配置成监测移动核心/服务提供商的核心网络中的业务(例如,包括监测用于信令业务的各种协议,这些协议在3GPP版本的3G网络、3GPP版本的4G网络和3GPP版本的5G网络中被指定),以执行分组内容检查安全性监测技术,该技术可以用于基于从信令消息和/或用户会话业务中提取的信息来应用安全性策略,如下面将进一步描述的那样。例如,安全性平台可以被配置成:针对无线设备按照(per)IP流(例如,按照(一个或多个)源/目的地IP地址)来动态地应用安全性策略。在示例实现方式中,安全性平台可以被配置成:通过监测移动服务提供商网络上的信令业务(例如,在一个或多个层处,诸如传输、网络和/或应用层)、并且将(一个或多个)信令层与(一个或多个)数据层的安全性动态地进行关联,从而针对无线设备按照IP流来动态地应用安全性策略,以便于增强服务提供商网络上的安全性(例如,将综览(consolidated view)实现到提供各种信令协议的信令和数据层安全性平台中,该各种信令协议包括例如以下各项:流控制传输协议(SCTP)(在RFC 4960中指定的信令传输层协议,RFC 4960在https://tools.ietf.org/html/rfc4960可获得)、S1-APP/MME、Diameter(针对其信令传输协议可以利用SCTP的认证、授权和计费(accounting)信令协议,并且Diameter在互联网工程任务组(IETF)的多个RFC中被指定,该多个RFC包括在https://tools.ietf.org/html/rfc6733可获得的RFC 6733)、移动应用部分(MAP)(在ITU Q.2220中指定的SS7/应用层信令协议,ITU Q.2220在http://www.itu.int/rec/T-REC-Q.2220/en/可获得)、CAMEL应用部分(CAP)(在3GPP TS29.078中指定的SS7/应用层信令协议,3GPP TS29.078在https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=1597可获得)、智能网络应用部分(INAP)(在ETSI规范ETS 300 374-1中指定的SS7/应用层信令协议,ETSI规范ETS 300 374-1在http://www.etsi.org/deliver/etsi_i_ets/300300_300399/30037401/01_60/ets_30037401e01p.pdf可获得)、信令控制连接协议(SCCP)(针对其信令传输协议可以利用SCTP的信令网络层协议,并且SCCP在国际电信联盟(ITU)的多个ITU建议中被指定,该多个ITU建议包括在http://www.itu.int/rec/T-REC-Q.711/en/可获得的ITU Q.711以及在http://www.itu.int/rec/T-REC-Q.714/en/可获得的ITU Q.714)、以及信令传输(SIGTRAN)(在RFC 2719中指定的信令传输层协议,RFC 2719在https://tools.ietf.org/html/rfc2719可获得)、以及在3GPP T.S.29.274中指定的GTPv2-C和在3GPP T.S.29.060中指定的GTPv1-C)。
当移动设备附接到网络(例如3GPP/LTE EPC网络)时,锚点网关(例如,3GPP/LTEEPC网络中的分组数据网络(PDN)网关或PGW)通常将通过Gx接口来查询策略计费功能和控制(PCRF)实体,以确定针对该订户的策略。PCRF实体将关于例如QoS、过滤器的信息和/或其他策略相关的信息发送回到PGW,该信息被存储在针对该订户要应用的该订户的PCRF实体中(例如,PCRF实体通常用于管理/控制无线网络上的带宽和QoS;以及AAA服务器通常用于无线网络上的认证目的)。
在一个实施例中,安全性平台被配置成监测移动核心网络中的SGSN与GGSN之间的GTP通信(例如,下一代防火墙,其可以监测在服务提供商网络中为了激活、更新和/或停用GTP会话而交换的各种GTP-C消息,如下面进一步描述的那样),并且安全性平台(例如,防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件)被配置成使用从GTP-C消息中提取的一个或多个参数来应用安全性策略,如下面进一步描述的那样。因此,服务提供商、IoT设备提供商和/或系统集成商可以使用所公开的技术,从而使用从GTP-C消息中提取的一个或多个参数来配置和实施增强的安全性策略,如下面进一步描述的那样。
在一个实施例中,安全性平台被配置成监测移动核心网络中的SGSN与GGSN之间的GTP通信(例如,下一代防火墙,其可以监测在服务提供商网络中的GTP会话期间的GTP-U业务,如下面进一步描述的那样),并且安全性平台(例如,防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件)被配置成使用从GTP-C消息中提取的一个或多个参数、并且基于由安全性平台在GTP会话期间监测的用户会话业务(例如,从GTP会话期间的用户业务中提取的应用ID、内容ID、URL过滤和/或其他状态分组检查)来应用安全性策略,如下面进一步描述的那样。因此,服务提供商、IoT设备提供商和/或系统集成商可以使用所公开的技术,从而使用从GTP-C消息中提取的一个或多个参数、以及从GTP会话中的用户业务中提取的信息来配置和实施增强的安全性策略,如下面进一步描述的那样。
例如,服务提供商、IoT设备提供商和/或系统集成商可以在服务提供商网络上使用下一代防火墙、基于IMEI、IMSI、位置、RAT、从移动服务提供商网络上的经解码的信令业务中提取的任何其他信息、和/或其任何组合来应用不同的安全性策略,诸如下面进一步描述的那样。作为另一个示例,服务提供商、IoT设备提供商和/或系统集成商可以基于GTP会话期间的所监测的用户业务、基于IMEI、IMSI、位置、RAT、和/或从移动服务提供商网络上的经解码的信令业务中提取的任何其他信息来应用不同的安全性策略。
在一个实施例中,安全性平台(例如,防火墙、代表防火墙起作用的网络传感器、或可以实现安全性策略的另一个设备/组件)被配置成使用现有的3GPP来动态地应用安全性策略(例如,细粒度安全性策略,可以实时按照订户(例如IMSI)/IP、实时按照移动设备(例如IMEI)/IP、实时按照订户位置/IP、实时按照RAT/IP、和/或其任何组合来应用该细粒度安全性策略),这是由于数据呼叫(data call)是使用所公开的技术来建立和/或修改/更新的,诸如下面进一步描述的那样。例如,安全性平台可以被配置成针对无线设备按照IP流来动态地应用安全性策略。
在一个实施例中,移动核心/服务提供商的核心网络中的信令消息(例如,为了激活、更新和停用隧道会话而交换的消息)是如在当前3GPP EPC中使用的现有和/或标准消息(例如,GTP-C消息,诸如用于3G网络的GTPv1-C和用于4G网络的GTPv2-C)和/或在其他无线网络环境中使用的现有和/或标准消息,并且安全性平台被配置成监测这种消息以从这些消息中提取一个或多个参数,这些参数可以用于应用安全性策略,如下面将进一步描述的那样。
在一个实施例中,安全性平台被配置成监测移动核心/服务提供商的核心网络中的隧道会话中的用户会话业务(例如,GTP-U业务)以执行分组内容检查安全性监测技术,该技术可以用于基于用户会话业务来应用安全性策略,如下面将进一步描述的那样。
在一个实施例中,安全性平台被配置成监测去往/来自服务提供商网络中的各种网络元件的会话(例如,包括监测用于信令业务的各种协议,这些协议在3GPP版本的3G网络、3GPP版本的4G网络和3GPP版本的5G网络中被指定),以执行分组内容检查安全性监测技术,该技术可以用于基于会话业务来应用安全性策略,如下面将进一步描述的那样。
在一个实施例中,将订户/IP地址与安全性策略相关联(例如,映射到安全性策略),以便于使用安全性平台(例如,下一代防火墙(NGFW))按照IP流来进行安全性策略实施。例如,安全性平台可以基于从信令消息和/或用户会话业务中提取的信息来应用细粒度安全性策略,如下面将进一步描述的那样。
在一个实施例中,安全性平台(例如,下一代防火墙(NGFW))监测信令传输业务,包括SCTP协议业务。例如,安全性平台可以过滤SCTP协议业务,包括执行状态检查、SCTP协议验证、和/或SCTP多块(multi-chunk)检查(例如,被配置在由安全性平台实现的安全性策略中的SCTP保护安全性简档中)。
在一个实施例中,安全性平台(例如,下一代防火墙(NGFW))监测服务提供商核心网络上的信令传输业务(例如,信令传输业务和较高层的信令业务)。例如,安全性平台可以过滤信令传输业务(例如,SIGTRAN消息),包括执行状态检查、SCTP协议验证、和/或SCTP多块检查(例如,被配置在由安全性平台实现的安全性策略中的SCTP保护安全性简档中)。
在一个实施例中,安全性平台(例如,下一代防火墙(NGFW))监测上层信令协议。例如,安全性平台可以过滤7层/应用层信令协议层(例如,按照SSN、GT和操作码来进行过滤,包括对在信令系统No.7(SS7)网络中使用的过滤协议的支持)。
在一个实施例中,安全性平台(例如,下一代防火墙(NGFW))监测Diameter信令业务。例如,安全性平台可以按照应用ID来执行Diameter协议过滤(例如,用于Diameter过滤的示例应用ID可以包括以下各项中的一个或多个:Diameter公共消息、Diameter基本计费、Diameter信用控制、3GPP S6a/S6d、3GPP S9、3GPP S13/S13'、3GPP S6c、3GPP Sh和3GPPRx)、命令代码(例如,各种命令代码,诸如用于3GPP应用ID的3GPP更新位置:3GPP-S6a/S6d;用于应用ID的信用控制:3GPP-S9;用于应用ID的3Gpp-ME身份检查:3GPP-S13;用于应用ID的信用控制:Diameter信用控制等)以及AVP(例如,范围0-16777215的范围)。
下面进一步描述了用于提供便于增强服务提供商网络环境上的信令安全性的安全性平台的技术的这些和其他的实施例和示例。
用于在服务提供商的移动网络中实现增强的安全性的示例系统架构
图1A是根据一些实施例的具有用于提供增强的安全性的安全性平台的3G无线网络的框图。图1A是用于3G网络架构的示例服务提供商网络环境,该3G网络架构包括3G网络(例如,并且还可以包括有线、Wi-Fi、4G、5G和/或其他网络(图1A中未示出))以便于订户通过互联网和/或其他网络进行数据通信。如图1A中所示,无线电接入网络(RAN)130与移动核心网络120进行通信。RAN 130可以包括无线网络中的(一个或多个)宏小区142并且包括小小区,该小小区诸如无线网络中的(一个或多个)3G微小区144、(一个或多个)3G微微小区146和3G毫微微小区148。如所示出的,各种用户设备(UE)132、134和136可以使用RAN 130中的各种小区进行通信。
还如图1A中所示,被示出为(一个或多个)3G微小区144、(一个或多个)3G微微小区146和(一个或多个)3G毫微微小区148的小小区通过IP宽带无线网络140与归属节点B网关(HNB GW)108进行网络通信,并且在该示例中,该业务是使用安全性平台102(例如,包括防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件的(虚拟)设备/器具)来监测/过滤的,该安全性平台102被配置成执行所公开的安全性技术,如下面进一步描述的那样。还如所示出的,(一个或多个)宏小区(NodeB)142与无线电网络控制器(RNC)110进行网络通信,并且该业务是使用安全性平台102(例如,防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件)来监测/过滤的,该安全性平台102被配置成执行所公开的安全性技术,如下面进一步描述的那样。
还如图1A中所示,HNB GW 108和RNC 110均经由移动(3G)核心网络120的服务GPRS支持节点(SGSN)112和网关GPRS支持节点(GGSN)114与分组数据网络(PDN)122进行通信,并且经由移动核心网络120的移动交换中心(MSC)116与公共交换电话网络(PSTN)124进行通信。如所示出的,在移动核心网络120的SGSN 112与GGSN 114之间通过该移动核心网络的业务是使用安全性平台102(例如,防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件)来监测/过滤的,安全性平台102被配置成执行所公开的安全性技术,如下面进一步描述的那样。
例如,各种UE(诸如,在132、134和136处示出的UE)可以包括可通过RAN 130进行通信以访问PDN 122的启用了移动和/或固定无线网络的设备,诸如安全性相机(例如,其可以处于固定位置中)、手表、移动/智能电话、平板电脑、膝上型电脑、计算机/PC或其他计算设备(其可以是移动的或在固定位置处)、汽车、婴儿监测器、恒温器、和/或各种其他启用了网络的计算设备(例如,与物联网(IoT)相关联的任何设备)。下面将进一步描述将所公开的安全性技术应用于启用了无线网络的设备以促进新的且增强的安全性的各种用例场景。
因此,在该示例中,提供了用于针对3G网络实现方式执行所公开的安全性技术的网络架构,其中可以提供(一个或多个)安全性平台来执行业务监测和过滤,从而基于信令和分组内容检查信息来提供新的且增强的安全性技术,如下面进一步描述的那样。如对于本领域普通技术人员鉴于所公开的实施例现在将显而易见的那样,可以在网络架构内的各种其他位置中类似地提供(一个或多个)安全性平台(例如,诸如由FW 102所示的内联直通(pass-through)NGFW,和/或被实现为可以在服务提供商网络中的现有设备(诸如SGSN 112和/或GGSN 114)上执行的代理或虚拟机(VM)实例)、以及在各种无线网络环境(诸如3G、4G、5G)和/或其他无线网络环境中类似地提供(一个或多个)安全性平台,以执行所公开的安全性技术,如下面进一步描述的那样。还如下面进一步描述的,所公开的安全性技术可以类似地应用于连接到无线网络环境的移动核心的漫游设备。
图1B是根据一些实施例的具有用于提供增强的安全性的安全性平台的4G/LTE无线网络的框图。图1B是用于4G/长期演进(LTE)演进分组核心(EPC)网络架构的示例服务提供商网络环境,该网络架构包括4G/LTE网络(例如,并且还可以包括有线、Wi-Fi、3G、5G和/或其他网络)以便于订户通过互联网和/或其他网络进行数据通信。如图1B中所示,无线电接入网络(RAN)180与演进分组核心(EPC)网络170进行通信。RAN 180可以包括无线网络中的(一个或多个)LTE宏小区192并且包括小小区,该小小区诸如无线网络中的(一个或多个)LTE微小区194、(一个或多个)LTE微微小区196和LTE毫微微小区198。如所示出的,各种用户设备(UE)182、184和186可以使用RAN 180中的各种小区进行通信。
还如图1B中所示,(一个或多个)毫微微小区198通过IP宽带无线网络190与归属eNode B网关(HeNB GW)158进行网络通信,并且在该示例中,该业务是使用安全性平台156E(例如,包括防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件的(虚拟)设备/器具)来监测/过滤的,该安全性平台156E被配置成执行所公开的安全性技术,如下面进一步描述的那样。还如所示出的,(一个或多个)宏小区192与移动性管理实体(MME)160和服务网关(SGW)162进行网络通信,并且该业务是使用FW 156D来监测/过滤的,并且在该示例中,该业务是使用安全性平台(例如,包括防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件的(虚拟)设备/器具)来监测/过滤的,该安全性平台被配置成执行所公开的安全性技术,如下面进一步描述的那样。
还如图1B中所示,HeNB GW 158经由演进分组核心(EPC)网络170的SGW 162和PDN网关(PGW)164与分组数据网络(PDN)172进行通信。如所示出的,在EPC 170的SGW 162与GGSN/PGW 164之间通过该移动核心网络的业务是使用安全性平台152(例如,包括防火墙(FW)、代表防火墙起作用的网络传感器、或可以使用所公开的技术来实现安全性策略的另一个设备/组件的(虚拟)设备/器具)来监测/过滤的,该安全性平台152被配置成执行所公开的安全性技术,如下面进一步描述的那样。
例如,各种UE(诸如,在174、176、182、184和186处所示的UE)可以包括可通过RAN180、不可信的非3GPP Wi-Fi接入177、和/或可信的3GPP Wi-Fi接入178进行通信以经由EPC170来访问PDN 172的启用了移动和/或固定无线网络的设备,其中这种通信可以使用如图1B中所示的安全性平台152、156A、156B、156C、156D、156E、156F和/或156G来监测(例如,安全性平台可以位于如图1B中所示的EPC 170内的各种位置/接口处),并且如下面进一步描述的那样。示例UE可以包括安全性相机(例如,其可以处于固定位置中)、手表、移动/智能电话、平板电脑、膝上型电脑、计算机/PC或其他计算设备(其可以是移动的或在固定位置处)、汽车、婴儿监测器、恒温器、和/或各种其他启用了网络的计算设备(例如,与物联网(IoT)相关联的任何设备)。下面将进一步描述将所公开的安全性技术应用于启用了无线网络的设备以促进新的且增强的安全性的各种用例场景。
因此,在该示例中,提供了用于针对4G/LTE EPC网络实现方式执行所公开的安全性技术的网络架构,其中可以提供(一个或多个)安全性平台来执行业务监测和过滤,从而基于信令和分组内容检查信息来提供新的且增强的安全性技术,如下面进一步描述的那样。如对于本领域普通技术人员鉴于所公开的实施例现在将显而易见的那样,可以在网络架构内的各种其他位置中类似地提供(一个或多个)安全性平台(例如,诸如由FW 152所示的内联直通NGFW,和/或被实现为可以在服务提供商网络中的现有设备(诸如,SGW 162和/或PGW 164)上执行的代理或虚拟机(VM)实例)、以及在各种无线网络环境(诸如,3G、4G、5G)和/或其他无线网络环境中类似地提供(一个或多个)安全性平台,以执行所公开的安全性技术,如下面进一步描述的那样。还如下面进一步描述的,所公开的安全性技术可以类似地应用于连接到无线网络环境的移动核心的漫游设备。
图2A是根据一些实施例的在3G网络中的SGSN与GGSN之间交换的GTPv1-C消息的示例。具体地,图2A示出了使用Gn/Gp接口在3G网络中为了激活、更新和停用GTP会话而在SGSN212与GGSN 214之间交换的GTPv1-C消息。GTP是基于用户数据报协议(UDP)的标准化协议。
参考图2A,从SGSN 212发送到GGSN 214的第一消息是“创建PDP上下文请求”消息,如在220处所示。“创建PDP上下文请求”消息是用以针对3G网络中的移动设备的新网络通信访问请求来分配控制和数据信道的消息(例如,其将被提供有针对用户IP分组的隧道,以用于通过移动服务提供商网络进行网络通信)。例如,“创建PDP上下文请求”消息可以在移动设备的新网络通信访问请求中包括位置、硬件身份(例如,IMEI)、订户身份(例如,IMSI)和/或无线电接入技术(RAT)信息。
在一个实施例中,安全性平台基于安全性策略来监测移动核心中的GTP-C消息以提取被包括在GTP-C消息内的某些信息(例如,使用位于诸如图1A中所示的移动核心中的SGSN与GGSN之间、和/或位于诸如图1B中所示的移动核心/EPC中的各种其他元件/实体之间的直通防火墙/NGFW来监测GTPv1-C消息,或者使用被实现为在移动核心网络/EPC中的SGSN、GGSN、SGW、PGW和/或其他实体上执行的VM实例或代理的防火墙/NGFW来监测GTPv1-C消息)。例如,安全性平台可以监测GTP-C消息,并且从“创建PDP请求”消息中提取位置、硬件身份(例如IMEI)、订户身份(例如IMSI)和/或无线电接入技术(RAT),诸如下面进一步描述的那样。
如图2A中所示,GGSN 214向SGSN 212发送“创建PDP上下文响应”消息(如222处所示),以指示是否针对该移动设备准予“创建PDP上下文请求”(例如,是否允许针对该移动设备的移动核心网络中的隧道用户数据业务)。使用端口2123上的UDP通信发送的“创建PDP上下文请求”和“创建PDP上下文响应”消息用于创建PDP上下文,如图2A中所示。
还如图2A中所示,在SGSN与GGSN之间交换“更新PDP上下文请求”消息(在224处所示)和“更新PDP上下文响应”消息(在226处所示)。例如,使用端口2123上的UDP通信发送的“更新PDP上下文请求/响应”消息可以用于更新该连接/会话的一个或多个参数。
参考图2A,在该示例中,允许针对移动服务提供商网络上的移动设备的网络通信访问的请求,并且SGSN发送(一个或多个)T-PDU消息,在228处所示。例如,(一个或多个)T-PDU消息可以用于该隧道内部的移动用户网络通信(例如,IP分组)(例如,通常使用GTP-C协议在端口2123上传送控制/信令消息,并且通常使用GTP-U协议在端口2152上传送用户数据消息)。如230处所示,T-PDU消息通常包括GTP报头、IP报头、TCP报头和HTTP有效载荷。
还如图2A中所示,在完成了用户数据会话之后,删除PDP上下文。具体地,在完成了用户数据的传输并且SGSN和GGSN交换了“删除PDP上下文请求”消息(如232处所示)和“删除PDP上下文响应”消息(如234处所示)之后,删除PDP上下文。使用端口2123上的UDP通信发送的“删除PDP上下文请求”和“删除PDP上下文响应”消息用于删除PDP上下文,还如图2A中所示。
在一个实施例中,所公开的技术对服务提供商网络中的信令/控制业务(诸如,GTP-C业务)执行检查,并且对服务提供商网络中的隧道用户业务(诸如,GTP-U业务)执行检查(例如,使用安全性平台,诸如使用NGFW来实现,该NGFW能够执行分组内容检查以标识应用ID、用户ID、内容ID,执行URL过滤、和/或其他防火墙/安全性策略以用于安全性/威胁检测/预防)。在一个实施例中,所公开的技术对服务提供商网络中的信令/控制业务(诸如,GTP-C业务)执行检查以提取在GTP-C业务中交换的信息(例如,参数,诸如与订户/移动设备相关联的位置信息、设备ID/IMEI、订户信息/IMSI和/或RAT,诸如下面进一步描述的)。在一个实施例中,所公开的技术对服务提供商网络中的信令/控制业务(诸如,GTP-C业务)执行检查,以提取在GTP-C业务中交换的信息(例如,诸如上面所描述并且下面进一步描述的参数),以及监测服务提供商网络中的隧道用户业务(例如,使用分组内容检查,诸如上面所描述和下面进一步描述的)。
在示例实现方式中,安全性平台被配置成监测SGSN和GGSN的相应接口以监测控制/信令业务(例如,GTP-C消息)和隧道用户业务(GTP-U),以实现具有GTP监测能力的实现安全性策略的安全性平台,该安全性平台可以使用例如可从控制/信令业务(例如GTP-C消息)中提取的与订户/移动设备相关联的位置信息、设备ID/IMEI、订户信息/IMSI、和/或RAT(诸如下面进一步描述的),以及对隧道内部的IP分组(例如T-PDU)执行分组内容检查,如下面进一步描述的那样。如上所描述,安全性平台可以从“创建PDP请求”消息中提取位置信息/参数、硬件身份(例如IMEI)、订户身份(例如IMSI)和/或无线电接入技术(RAT)(诸如下面进一步描述的),它们可以被存储(例如,与IP流相关联地被高速缓存)以用于基于该所提取的信息和/或结合分组内容检查(例如,包括对SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、和/或其他信令协议业务、和/或服务提供商网络上使用的各种其他网络协议的分组内容检查)来应用安全性策略,诸如下面进一步描述的那样。
图2B是根据一些实施例的在4G/LTE网络中的包括MME、SGW和PGW的实体之间交换的GTPv2-C消息的示例。具体地,图2B示出了针对LTE附接过程而交换的GTPv2-C消息,其中具有在4G/LTE网络中的MME 252、SGW 254和PDN-GW(PGW)256(诸如,在图1B中被示出为GGSN/PGW)之间交换的GTPv2-C消息的细节,如上所讨论,GTP是基于用户数据报协议(UDP)的标准化协议。
参考图2B,各种Diameter消息从MME 252被发送到归属订户服务器(HSS)258和设备身份寄存器(EIR)274,以及在PGW 256与PCRF 276之间被发送,如264处所示。在一个实施例中,可以基于安全性策略从这种Diameter消息/会话业务中提取诸如下面进一步描述的各种信息/参数(例如,使用位于MME、SGW、PGW、HSS、EIR和/或PCRF之间的直通防火墙/NGFW来监测Diameter消息,或者使用被实现为在这些实体和/或移动核心网络中的其他实体上执行的VM实例或代理的防火墙/NGFW来监测Diameter消息),它们可以被存储(例如,与IP流相关联地被高速缓存)以用于基于该所提取/监测的信息和/或结合对Diameter网络协议业务的分组内容检查来应用安全性策略,诸如下面进一步描述的那样。
如图2B中所示,“创建会话请求”消息从MME 252被发送到SGW 254(如260处所示),并且然后从SGW 254被发送到PGW 256(如262处所示)。“创建会话请求”消息是用以针对4G/LTE网络中的移动设备的新网络通信访问请求来分配控制和数据信道的消息(例如,其将被提供有针对用户IP分组的隧道,以用于通过移动服务提供商网络进行网络通信)。例如,“GTP创建会话请求”消息可以在移动设备的新网络通信访问请求中包括位置、硬件身份(例如,IMEI)、订户身份(例如,IMSI)和/或无线电接入技术(RAT)信息。
在一个实施例中,安全性平台基于安全性策略来监测MME、SGW和PGW之间的GTP-C消息以提取被包括在GTP-C消息内的某些信息(例如,使用位于MME、SGW和PGW之间的直通防火墙/NGFW来监测GTPv2-C消息,或者使用被实现为在MME、SGW和PGW和/或移动核心网络中的其他实体上执行的VM实例或代理的防火墙/NGFW来监测GTPv2-C消息)。例如,安全性平台可以监测GTP-C消息,并且从“创建会话请求”消息中提取位置、硬件身份(例如IMEI)、订户身份(例如IMSI)和/或无线电接入技术(RAT),诸如下面进一步描述的那样。
如图2B中所示,在会话建立(如264处所示)之后,PGW 256向SGW 254发送“创建会话响应”消息(如266处所示),并且然后从SGW 254向MME 252发送“创建会话响应”消息(如268处所示)以指示是否针对该移动设备准予“创建会话请求”(例如,是否允许针对该移动设备的移动核心网络中的隧道用户数据业务)。使用端口2123上的UDP通信发送的“创建会话请求”和“创建会话响应”消息用于创建该会话的初始设置上下文,如图2B中所示。
还如图2B中所示,在MME、SGW和PGW之间交换“修改承载请求”消息(在270处所示)和“修改承载响应”消息(在272处所示)。例如,使用端口2123上的UDP通信发送的“修改承载请求/响应”消息可以用于更新该连接/会话的一个或多个参数。
在一个实施例中,所公开的技术对服务提供商网络中的信令/控制业务(诸如,GTP-C业务、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP和/或其他信令协议业务)执行检查,并且对服务提供商网络中的隧道用户业务(诸如,GTP-U、服务提供商网络上使用的各种其他网络协议)执行检查(例如,使用安全性平台,诸如使用NGFW来实现,该NGFW能够执行分组内容检查以标识应用ID、用户ID、内容ID,执行URL过滤、和/或另一个防火墙/安全性策略以用于安全性/威胁检测/预防)。在一个实施例中,所公开的技术对服务提供商网络中的信令/控制业务(诸如,GTP-C业务)执行检查以提取在GTP-C业务中交换的信息(例如,参数,诸如与订户/移动设备相关联的位置信息、设备ID/IMEI、订户信息/IMSI、和/或RAT,诸如下面进一步描述的)。在一个实施例中,所公开的技术对服务提供商网络中的信令/控制业务(诸如,GTP-C业务)执行检查,以提取在GTP-C业务中交换的信息(例如,诸如上面所描述并且下面进一步描述的参数),以及监测服务提供商网络中的隧道用户业务(例如,使用分组内容检查,诸如上面所描述和下面进一步描述的)。
在示例实现方式中,安全性平台被配置成监测MME、SGW、PGW、HSS、EIR和PCRF的相应接口,以监测控制/信令业务(例如,Diameter消息和GTP-C消息)、隧道用户业务(GTP-U),包括对GTP、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、和/或其他信令协议业务、和/或在服务提供商网络上使用的各种其他网络协议的分组内容检查,以实现具有GTP、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、和/或其他信令协议业务、和/或各种其他网络业务监测能力的实现安全性策略的安全性平台,该安全性平台可以使用例如诸如与订户/移动设备相关联的位置信息、设备ID/IMEI、订户信息/IMSI、和/或RAT之类的参数、和/或可以从控制/信令业务(例如GTP-C消息和/或其他类型的消息)中提取的任何其他参数/信息,以及对隧道内部的IP分组执行分组内容检查,并且对SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、和/或其他信令协议业务、和/或在服务提供商网络上使用的各种其他网络协议执行分组内容检查分组内容检查,如下面进一步描述的那样。如上所讨论,安全性平台可以从“创建会话请求”消息中提取位置信息/参数、硬件身份(例如,IMEI)、订户身份(例如,IMSI)和/或无线电接入技术(RAT),它们可以被存储(例如,与IP流相关联地被高速缓存)以用于基于该所提取的信息和/或结合分组内容检查来应用安全性策略,诸如下面进一步描述的那样。
本文中关于在使用GTPv2-C和GTP-U协议、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、和/或其他信令协议业务、和/或在服务提供商网络上使用的各种其他网络协议的4G演进分组核心(EPC)以及3G移动分组核心(MPC)中对GTPv1-C和GTP-U、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、和/或其他信令协议业务、和/或在服务提供商网络上使用的各种其他网络协议执行网络业务检查而说明了并且一般地描述了所公开的技术,和/或可以类似地在其他移动核心网络中/使用其他移动网络协议(例如,诸如针对5G核心网络或其他移动网络/协议)来实现所公开的技术,该其他移动网络协议包括位置、设备、订户、和/或RAT参数/信息(例如,相应协议中的位置信息、硬件身份、订户标识符信息、RAT类型信息、和/或其他用户/设备/网络特定的参数)和/或用于移动设备通信的服务提供商网络上的隧道用户业务。
图3A是根据一些实施例的在3G网络中的SGSN与GGSN之间的GTPv1-C消息流的另一示例。具体地,图3A示出了在3G网络中针对GTPv1-C创建PDP消息流而在SGSN 302与GGSN304之间交换的GTPv1-C消息。
参考图3A,使用Gn/Gp接口将“创建PDP请求”消息从SGSN 302发送到GGSN 304(如310处所示)。使用Gn/Gp接口将“创建PDP响应”消息从GGSN 304发送到SGSN 302(如312处所示)。
图3B是根据一些实施例的在4G/LTE网络中的MME、SGW和PGW之间的GTPv2-C消息流的另一示例。具体地,图3B示出了在4G/LTE网络中针对GTPv2-C创建会话消息流而在MME322、SGW 324和PDN-GW(PGW)326(例如,在图1B中被示出为GGSN/PGW)之间交换的GTPv2-C消息。
参考图3B,使用S11接口将“创建会话请求”消息从MME 322发送到SGW 324(如330处所示),并且然后使用S5/S8接口将“创建会话请求”消息从SGW 324发送到PGW 326(如332处所示)。使用S5/S8接口将“创建会话响应”消息从PGW 326发送到SGW 324(如334处所示),并且然后使用S11接口将“创建会话响应”消息从SGW 324发送到MME 322(如336处所示)。
如现在将在下面进一步描述的,可以从由安全性平台监测的控制/信令业务(例如,GTPv1-C“创建PDP请求”消息、GTPv2-C“创建会话请求”消息、和/或移动核心网络中的其他控制/信令协议/消息)中提取各种信息/参数,诸如位置、硬件身份(例如,IMEI)、用户身份(例如,IMSI)和/或无线电接入技术(RAT),它们可以被存储(例如,与IP流相关联地被高速缓存)以用于基于该所提取的信息和/或结合由安全性平台对隧道用户数据业务(例如,移动核心网络中的GTP-U业务和/或其他隧道用户数据协议)执行的分组内容检查来应用安全性策略。
用于在服务提供商的移动网络中利用下一代防火墙来实现传输层信令安全性的技术在一个实施例中,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:在服务提供商的移动网络中提供传输层信令安全性(例如,针对SIGTRAN协议)。例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和移动虚拟网络运营商(MVNO)提供商可以应用所公开的技术来向使用3G、4G或5G无线电接入技术(RAT)连接到其移动网络的用户设备(例如,订户的移动设备)和/或IoT设备提供基于传输层信令的安全性。
例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以应用所公开的技术,从而在3G移动分组核心(MPC)、4G演进分组核心(EPC)和/或其他移动核心网络(例如,诸如针对5G核心网络)中将基于应用层信令的安全性应用于其网络元件。
作为另一个示例,互联网专用交换(IPX)提供商和GPRS漫游交换(GRX)提供商可以应用所公开的技术来向移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络互连服务。
作为又一个示例,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以应用所公开的技术来向另一个移动服务提供商(例如,MVNO提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该另一个移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络连接性服务。
在一个实施例中,移动服务提供商可以应用所公开的技术以在服务提供商的移动网络中提供新的且增强的传输层信令安全性。例如,移动服务提供商可以应用所公开的技术来提供基于传输层信令的安全性服务。作为另一个示例,移动服务提供商可以应用所公开的技术来提供基于传输层信令的威胁检测服务(例如,针对已知威胁的基于传输层信令的基本威胁检测服务、针对未知威胁的基于传输层信令的高级威胁检测服务、和/或可以利用基于传输层信令的信息来应用安全性策略的其他威胁检测服务)。作为又一个示例,移动服务提供商可以应用所公开的技术来提供针对已知威胁的基于传输层信令的威胁预防服务(例如,针对已知威胁的基于传输层信令的基本威胁预防服务、针对未知威胁的基于传输层信令的高级威胁预防服务、和/或可以利用基于传输层信令的信息来应用安全性策略的其他威胁预防服务)。
因此,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:使用安全性平台来执行基于传输层信令的安全性并且类似地针对移动网络中较高层的信令业务,该安全性平台可以基于经过滤的传输层信令信息/消息、或较高层信令信息/消息(例如,应用信令层)来实现安全性策略。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于传输层信令的安全性服务中的每一个或其组合、以及各种其他基于信令层的安全性服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于订户/用户身份的、基于硬件身份的、基于RAT的、和/或其组合)来提供这种基于传输层信令的安全性服务,如下面进一步描述的那样。
下面将进一步描述基于传输层信令信息/消息来在服务提供商的移动网络中(例如,和/或与其他分组内容检查和/或NGFW技术、诸如应用ID、用户ID、内容ID、URL过滤等结合地)提供增强的安全性的这些和其他技术。
用于在服务提供商的移动网络中利用下一代防火墙来实现应用层信令安全性的技术在一个实施例中,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:在服务提供商的移动网络中提供应用层信令安全性(例如,针对CAP、MAP、INAP、和/或其他7层/应用层信令协议)。例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以应用所公开的技术来向使用3G、4G或5G无线电接入技术(RAT)连接到其移动网络的用户设备(例如,订户的移动设备)和/或IoT设备提供基于应用层信令的安全性。
例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以应用所公开的技术,从而在3G移动分组核心(MPC)、4G演进分组核心(EPC)和/或其他移动核心网络(例如,诸如针对5G核心网络)中将基于应用层信令的安全性应用于其网络元件。
作为另一个示例,互联网专用交换(IPX)提供商和GPRS漫游交换(GRX)提供商可以应用所公开的技术来向移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络互连服务。
作为又一个示例,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以应用所公开的技术来向另一个移动服务提供商(例如,MVNO提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该另一个移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络连接性服务。
在一个实施例中,移动服务提供商可以应用所公开的技术以在服务提供商的移动网络中提供新的且增强的应用层信令安全性。例如,移动服务提供商可以应用所公开的技术来提供基于应用层信令的安全性服务。作为另一个示例,移动服务提供商可以应用所公开的技术来提供基于应用层信令的威胁检测服务(例如,针对已知威胁的基于应用层信令的基本威胁检测服务、针对未知威胁的基于应用层信令的高级威胁检测服务、和/或可以利用基于应用层信令的信息来应用安全性策略的其他威胁检测服务)。作为又一个示例,移动服务提供商可以应用所公开的技术来提供针对已知威胁的基于应用层信令的威胁预防服务(例如,针对已知威胁的基于应用层信令的基本威胁预防服务、针对未知威胁的基于应用层信令的高级威胁预防服务、和/或可以利用基于应用层信令的信息来应用安全性策略的其他威胁预防服务)。
因此,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:使用安全性平台在移动网络中执行基于应用层信令的安全性,该安全性平台可以基于经过滤的应用层信令信息/消息、或较低层信令信息/消息(例如,传输和网络信令层)来实现安全性策略。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于应用层信令的安全性服务中的每一个或其组合、以及各种其他基于信令层的安全性服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于订户/用户身份的、基于硬件身份的、基于RAT的、和/或其组合)来提供这种基于应用层信令的安全性服务,如下面进一步描述的那样。
下面将进一步描述基于应用层信令信息/消息来在服务提供商的移动网络中(例如,和/或与其他分组内容检查和/或NGFW技术、诸如应用ID、用户ID、内容ID、URL过滤等结合地)提供增强的安全性的这些和其他技术。
用于在服务提供商的移动网络中利用下一代防火墙来实现网络层信令安全性的技术在一个实施例中,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:在服务提供商的移动网络中提供网络层信令安全性。例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以应用所公开的技术来向使用3G、4G或5G无线电接入技术(RAT)连接到其移动网络的用户设备(例如,订户的移动设备)和/或IoT设备提供基于SCCP的安全性。
例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以应用所公开的技术,从而在3G移动分组核心(MPC)、4G演进分组核心(EPC)和/或其他移动核心网络(例如,诸如针对5G核心网络)中将基于应用层信令的安全性应用于其网络元件。
作为另一个示例,互联网专用交换(IPX)提供商和GPRS漫游交换(GRX)提供商可以应用所公开的技术来向移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络互连服务。
作为又一个示例,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以应用所公开的技术来向另一个移动服务提供商(例如,MVNO提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该另一个移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络连接性服务。
在一个实施例中,移动服务提供商可以应用所公开的技术以在服务提供商的移动网络中提供新的且增强的网络层信令安全性。例如,移动服务提供商可以应用所公开的技术来提供基于网络层信令的安全性服务。作为另一个示例,移动服务提供商可以应用所公开的技术来提供基于网络层信令的威胁检测服务(例如,针对已知威胁的基于SCCP的基本威胁检测服务、针对未知威胁的基于网络层信令的高级威胁检测服务、和/或可以利用基于SCCP的信息来应用安全性策略的其他威胁检测服务)。作为又一个示例,移动服务提供商可以应用所公开的技术来提供针对已知威胁的基于网络层信令的威胁预防服务(例如,针对已知威胁的基于SCCP的基本威胁预防服务、针对未知威胁的基于SCCP的高级威胁SCCP服务、和/或可以利用基于SCCP的信息来应用安全性策略的其他威胁预防服务)。
因此,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:使用安全性平台在移动网络中执行基于网络层信令的安全性,该安全性平台可以基于经过滤的网络层信令信息/消息(例如,SCCP信息/消息)、或较低/较高层信令信息/消息来实现安全性策略。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于网络层信令的安全性服务中的每一个或其组合、以及各种其他基于信令层的安全性服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于订户/用户身份的、基于硬件身份的、基于RAT的、和/或其组合)来提供这种基于网络层信令的安全性服务,如下面进一步描述的那样。
下面将进一步描述基于网络层信令信息/消息来在服务提供商的移动网络中(例如,和/或与其他分组内容检查和/或NGFW技术、诸如应用ID、用户ID、内容ID、URL过滤等结合地)提供增强的安全性的这些和其他技术。
用于在服务提供商的移动网络中利用下一代防火墙来实现Diameter over SCTP安全性的技术
在一个实施例中,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:在服务提供商的移动网络中利用下一代防火墙来实现Diameter over SCTP安全性的技术。例如,移动服务提供商和MVNO提供商可以应用所公开的技术来向经由3G、4G或5G网络连接到其移动网络的用户设备(例如,使用NGFW与应用ID结合地)提供Diameter overSCTP安全性。
例如,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以应用所公开的技术,从而在3G移动分组核心(MPC)、4G演进分组核心(EPC)和/或其他移动核心网络(例如,诸如针对5G核心网络)中将基于应用层信令的安全性应用于其网络元件。
作为另一个示例,互联网专用交换(IPX)提供商和GPRS漫游交换(GRX)提供商可以应用所公开的技术来向移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络互连服务。
作为又一个示例,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以应用所公开的技术来向另一个移动服务提供商(例如,MVNO提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)提供基于应用层信令的安全性,该另一个移动服务提供商从它们那里针对3G、4G和/或5G技术而获取网络连接性服务。
在一个实施例中,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:在服务提供商的移动网络中提供Diameter over SCTP安全性。例如,移动服务提供商可以应用所公开的技术来向连接到其移动网络的用户设备(例如,订户的移动设备)和/或IoT设备提供Diameter over SCTP安全性服务。
在一个实施例中,移动服务提供商可以应用所公开的技术来提供新的且增强的Diameter over SCTP安全性服务。例如,移动服务提供商可以应用所公开的技术来提供基于Diameter over SCTP的安全性服务。作为另一个示例,移动服务提供商可以应用所公开的技术以使用从Diameter over SCTP中提取的信息来提供威胁检测服务(例如,针对已知威胁的基于Diameter over SCTP的基本威胁检测服务、针对未知威胁的基于Diameterover SCTP的高级威胁检测服务、和/或可以利用经Diameter over SCTP编码/提取的信息来应用安全性策略的其他威胁检测服务)。作为又一个示例,移动服务提供商可以应用所公开的技术以使用从Diameter over SCTP中提取的信息来提供针对已知威胁的威胁预防服务(例如,针对已知威胁的基于Diameter over SCTP的基本威胁预防服务、针对未知威胁的基于Diameter over SCTP的高级威胁预防服务、和/或可以利用经Diameter over SCTP编码/提取的信息来应用安全性策略的其他威胁预防服务)。
在一个实施例中,用于在服务提供商的移动网络中实现增强的安全性的所公开的技术包括:使用安全性平台在移动网络中执行基于Diameter over SCTP的安全性,该安全性平台可以基于经Diameter over SCTP编码/提取的信息来实现安全性策略。例如,安全性平台可以监测移动网络中的Diameter over SCTP业务,并且对协议/有效载荷进行处理(例如解析)以提取各种信息。
用于在服务提供商的移动网络中实现增强的信令安全性的示例系统架构
图4A是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供Diameter over SCTP安全性。图4A是用于4G/LTE EPC网络架构的示例服务提供商网络环境,该网络架构包括4G/LTE网络(例如,并且还可以包括有线、Wi-Fi、3G、5G和/或其他网络)以便于订户通过互联网和/或其他网络进行数据通信。如图4A中所示,归属公共陆地移动网络(PLMN)424与无线电接入网络(RAN)436进行通信,无线电接入网络(RAN)436经由回传(BH)网络与演进分组核心(EPC)网络402进行通信,以便于对分组数据网络(PDN)438(例如,互联网)的访问。还如所示出的,访客PLMN 426与RAN 432进行通信,RAN 432经由BH网络与EPC网络412进行通信,以便于对PDN434(例如,互联网)的访问。如所示出的,诸如移动用户设备428(例如,移动电话、平板电脑、手表、膝上型电脑和/或其他计算设备)和所连接的事物430(例如,各种IoT设备)之类的各种用户设备(UE)可以使用RAN 432中的各种小区进行通信。
图4A示出了EPC 402中的被示出为FW 404的安全性平台(例如,NGFW、或如上类似描述的其他安全性平台)的网络放置,该安全性平台用于对EPC 402与EPC 412之间的Diameter over SCTP业务进行监测和解码。具体地,FW 404监测移动管理实体(MME)414与设备身份寄存器(EIR)406之间的Diameter over SCTP业务(例如,经由S13接口),以便于SCTP偶联(association)并且检查Diameter有效载荷(如418处所示),并且还监测MME 414与归属订户服务器(HSS)408之间的Diameter over SCTP业务(例如,经由S6a接口),以便于SCTP偶联并且检查Diameter有效载荷(如420处所示)。类似地,FW 404监测访客策略控制和计费规则功能(V-PCRF)416与归属策略控制和计费规则功能(H-PCRF)410之间的Diameterover SCTP业务(例如,经由S9接口),以便于SCTP偶联并且检查Diameter有效载荷(如422处所示)。
例如,FW 404可以使用所公开的技术、基于从这种Diameter over SCTP业务中提取的参数/信息来实施各种安全性策略(例如,漫游订户通常可以使与针对非漫游订户实施的安全性策略不同的独特安全性策略被实施,以便于增强服务提供商网络上的漫游安全性)。在示例实现方式中,漫游订户可以具有基于应用ID(和/或其他经分组内容检查确定的信息,诸如内容ID、用户ID、URL等)而受限的访问,和/或各种其他安全性策略可以被实施。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以使用所公开的技术来提供这些基于Diameter over SCTP的安全性服务中的每一个或其组合、以及各种其他基于Diameterover SCTP的服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于位置的、基于移动设备标识符的、基于移动用户标识符的和/或其组合)来提供这种基于使用Diameter over SCTP的安全性服务,如下面进一步描述的那样。
下面将进一步描述用于在服务提供商的移动网络中利用下一代防火墙(例如,使用各种分组内容检查和/或NGFW技术,诸如应用ID、用户ID、内容ID、URL过滤等)来提供Diameter over SCTP安全性的这些和其他技术。
图4B是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供SIGTRAN安全性。图4B是用于4G/LTE EPC网络架构的示例服务提供商网络环境,该网络架构包括4G/LTE网络(例如,并且还可以包括有线、Wi-Fi、3G、5G和/或其他网络)以便于订户通过互联网和/或其他网络进行数据通信。如图4B中所示,归属PLMN 424与RAN 436进行通信,RAN 436经由BH网络与移动核心网络(被示出为EPC 450)进行通信,该移动核心网络包括服务GPRS支持节点(SGSN)442、移动交换中心(MSC)444、归属位置寄存器(HLR)446和访客位置寄存器(VLR)448。还如所示出的,访客PLMN 426与全球信令系统No.7(SS7)网络452进行通信,该网络452与移动核心网络进行通信。如对于本领域的普通技术人员将显而易见的那样,诸如移动用户设备(例如,移动电话、平板电脑、手表、膝上型电脑和/或其他计算设备)和所连接的事物(例如,各种IoT设备)之类的各种UE可以经由归属PLMN 424(例如,使用RAN 436中的各种小区)或类似地经由访客PLMN 426进行通信。
图4B示出了在EPC 450与全球SS7网络452之间的被示出为FW 440的安全性平台(例如,NGFW、或如上类似描述的其他安全性平台)的网络放置,该安全性平台用于对EPC450与全球SS7网络452之间的SIGTRAN业务进行监测和解码。
例如,FW 440可以使用所公开的技术、基于从这种SIGTRAN业务中提取的参数/信息来实施各种安全性策略(例如,漫游订户通常可以使与针对非漫游订户实施的安全性策略不同的独特安全性策略被实施)。在示例实现方式中,漫游订户可以具有基于应用ID(和/或其他经分组内容检查确定的信息,诸如内容ID、用户ID、URL等)而受限的访问,和/或各种其他安全性策略可以被实施。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以使用所公开的技术来提供这些基于SIGTRAN的安全性服务中的每一个或其组合、以及各种其他基于SIGTRAN的服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于位置的、基于移动设备标识符的、以及基于移动用户标识符的和/或其组合)来提供这种基于使用SIGTRAN的安全性服务,如下面进一步描述的那样。
下面将进一步描述用于在服务提供商的移动网络中利用下一代防火墙(例如,使用各种分组内容检查和/或NGFW技术,诸如应用ID、用户ID、内容ID、URL过滤等)来提供SIGTRAN安全性的这些和其他技术。
图4C是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供SCCP安全性。图4C是用于4G/LTE EPC网络架构的示例服务提供商网络环境,该网络架构包括4G/LTE网络(例如,并且还可以包括有线、Wi-Fi、3G、5G和/或其他网络)以便于订户通过互联网和/或其他网络进行数据通信。如图4C中所示,归属PLMN 424与RAN 436进行通信,RAN 436经由BH网络与被示出为EPC 450的移动核心网络进行通信,该移动核心网络包括SGSN 442、MSC 444、HLR 446和VLR448。还如所示出的,访客PLMN 426与全球SS7网络452进行通信,该全球SS7网络452与移动核心网络进行通信。如对于本领域的普通技术人员将显而易见的那样,诸如移动用户设备(例如,移动电话、平板电脑、手表、膝上型电脑和/或其他计算设备)和所连接的事物(例如,各种IoT设备)之类的各种UE可以经由归属PLMN 424(例如,使用RAN 436中的各种小区)或类似地经由访客PLMN 426进行通信。
图4C示出了在EPC 450与全球SS7网络452之间的被示出为FW 460的安全性平台(例如,NGFW、或如上类似描述的其他安全性平台)的网络放置,该安全性平台用于对EPC450与全球SS7网络452之间的SCCP业务进行监测和解码。
例如,FW 460可以使用所公开的技术、基于从这种SCCP业务中提取的参数/信息来实施各种安全性策略(例如,漫游订户通常可以使与针对非漫游订户实施的安全性策略不同的独特安全性策略被实施)。在示例实现方式中,漫游订户可以具有基于应用ID(和/或其他经分组内容检查确定的信息,诸如内容ID、用户ID、URL等)而受限的访问,和/或各种其他安全性策略可以被实施。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)和MVNO提供商可以使用所公开的技术来提供这些基于SCCP的安全性服务中的每一个或其组合、以及各种其他基于SCCP的服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于位置的、基于移动设备标识符的、以及基于移动用户标识符的和/或其组合)来提供这种基于使用SCCP的安全性服务,如下面进一步描述的那样。
下面将进一步描述用于在服务提供商的移动网络中利用下一代防火墙(例如,使用各种分组内容检查和/或NGFW技术,诸如应用ID、用户ID、内容ID、URL过滤等)来提供SCCP安全性的这些和其他技术。
图4D是根据一些实施例的具有安全性平台的4G/LTE无线网络的框图,该安全性平台用于在服务提供商的移动网络中利用下一代防火墙来提供OSI 7层信令安全性。图4D是用于4G/LTE EPC网络架构的示例服务提供商网络环境,该网络架构包括4G/LTE网络(例如,并且还可以包括有线、Wi-Fi、3G、5G和/或其他网络)以便于订户通过互联网和/或其他网络进行数据通信。如图4D中所示,归属PLMN 424与RAN 436进行通信,RAN 436经由BH网络与被示出为EPC 450的移动核心网络进行通信,该移动核心网络包括SGSN 442、MSC 444、HLR446和VLR 448。还如所示出的,访客PLMN 426与全球SS7网络452进行通信,该全球SS7网络452与移动核心网络进行通信。如对于本领域的普通技术人员将显而易见的那样,诸如移动用户设备(例如,移动电话、平板电脑、手表、膝上型电脑和/或其他计算设备)和所连接的事物(例如,各种IoT设备)之类的各种UE可以经由归属PLMN 424(例如,使用RAN 436中的各种小区)或类似地经由访客PLMN 426进行通信。
图4D示出了在EPC 450与全球SS7网络452之间的被示出为FW 470的安全性平台(例如,NGFW、或如上类似描述的其他安全性平台)的网络放置,该安全性平台用于对EPC450与全球SS7网络452之间的OSI 7层信令业务(例如,CAP/MAP/INAP或其他OSI7层信令业务)进行监测和解码。
例如,FW 470可以使用所公开的技术、基于从这种OSI 7层信令业务(例如,CAP/MAP/INAP或其他OSI 7层信令业务)中提取的参数/信息来实施各种安全性策略(例如,漫游订户通常可以使与针对非漫游订户实施的安全性策略不同的独特安全性策略被实施)。在示例实现方式中,漫游订户可以具有基于应用ID(和/或其他经分组内容检查确定的信息,诸如内容ID、用户ID、URL等)而受限的访问,和/或各种其他安全性策略可以被实施。
如对于本领域普通技术人员现在将显而易见的那样,移动服务提供商(例如,移动网络的服务提供商、移动设备或IoT的服务提供商、安全性服务提供商、或提供与使用移动网络相关联的设备/服务的其他实体)可以使用所公开的技术来提供这些基于OSI 7层信令(例如,CAP/MAP/INAP或其他OSI 7层信令业务)的安全性服务中的每一个或其组合、以及各种其他基于OSI 7层信令的服务。而且,移动服务提供商可以应用所公开的技术,以便结合各种其他增强的安全性服务(诸如,基于位置的、基于移动设备标识符的、以及基于移动用户标识符的和/或其组合)来提供这种基于使用OSI 7层信令的安全性服务,如下面进一步描述的那样。
下面将进一步描述用于在服务提供商的移动网络中利用下一代防火墙(例如,使用各种分组内容检查和/或NGFW技术,诸如应用ID、用户ID、内容ID、URL过滤等)来提供OSI7层信令安全性的这些和其他技术。
图4E图示了示例信令协议栈。参考图4E,示例信令层包括CAP、MAP、INAP、TCAP、SCCP、SIGTRAN、Diameter和SCTP。
图4F图示了SS7 over IP协议栈的示例。参考图4F,还示出了7层/应用信令层,诸如CAP、MAP和INAP。
可以使用用于安全性策略实施的安全性平台来防止、以便为移动/服务提供商网络提供增强的安全性的示例信令攻击
针对示例MAP协议漏洞和攻击的安全性平台解决方案
图5A是根据一些实施例的利用MAP消息的示例信令攻击,可以使用用于安全性策略实施的安全性平台来防止该信令攻击以便为移动/服务提供商网络提供增强的安全性。在该第一示例信令攻击中,当从未经授权的用户/攻击者530向订户的HLR 514发送MAP“任何时间查询”(ATI)消息502时(例如,这种ATI消息可以向订户的HLR查询订户的小区ID和IMEI),该ATI消息会触发“提供订户信息”(PSI)消息504,该消息504然后被发送到MSC/VLR516,订户设备518连接到MSC/VLR 516/与MSC/VLR 516进行无线通信,如寻呼请求消息506处所示。作为响应,订户设备518将订户的小区标识符(Cell-ID)与其他信息一起返回,如寻呼响应消息508处所示,并且然后MSC/VLR 516返回“提供订户信息响应”消息510,并且HLR514返回“任何时间查询响应”消息512,如所示出的那样。
在利用MAP消息的该示例信令攻击中,未经授权的用户/攻击者然后可以使用“任何时间查询响应”消息来获取订户设备的小区ID。然后,可以使用公共可得的映射信息来将小区ID映射到实际位置(例如,映射到街道级别)。由此,利用MAP消息的这种类型的信令攻击可以由未经授权的用户/攻击者来使用,以在具有订户的许可或知识的情况下监测订户的位置。
在一个实施例中,所公开的技术可以由安全性平台来执行,以监测OSI 7层/应用层信令业务(包括MAP业务),并且对所监测的MAP业务进行解码。安全性策略可以被配置成:标识利用MAP消息的这种信令攻击,并且阻止/丢弃来自不可信/外部网络的“任何时间查询请求”消息,从而不允许未经授权的用户/攻击者获取订户设备的小区ID,并且因此防止发现订户的位置。
图5B是根据一些实施例的利用MAP消息的另一示例信令攻击,可以使用用于安全性策略实施的安全性平台来防止该信令攻击以便为移动/服务提供商网络提供增强的安全性。在该第二示例信令攻击中,未经授权的用户/攻击者可以请求MSC返回IMSI,如果TMSI已知的话。还可以向MSC查询订户的会话密钥。如果未经授权的用户/攻击者捕获了经加密的GSM或UMTS呼叫,则未经授权的用户/攻击者然后可以使用该会话密钥对其进行解密。
参考图5B,未经授权的用户/攻击者530首先通过空中接口来捕获目标的业务(例如,这通常涉及处于该目标的某物理邻近范围内的未经授权的用户/攻击者)。接下来,利用对SS7网络的访问,未经授权的用户/攻击者然后可以向MSC/VLR 516发送具有TMSI的“发送标识请求”消息540,并且经由包含会话密钥的“提供订户位置请求”消息542来检索目标设备518的解密密钥。如上所讨论,这些解密/会话密钥可以用于对订户的业务进行解密。
在一个实施例中,所公开的技术可以由安全性平台来执行,以监测OSI 7层/应用层信令业务(包括MAP业务),并且对所监测的MAP业务进行解码。安全性策略可以被配置成标识利用MAP消息的这种信令攻击,并且阻止/丢弃来自不可信/外部网络的“发送标识请求”消息。
图5C是根据一些实施例的利用MAP消息的另一示例信令攻击,可以使用用于安全性策略实施的安全性平台来防止该信令攻击以便为移动/服务提供商网络提供增强的安全性。在该第三示例信令攻击中,可以通过直接向VLR进行查询来绕过网关移动位置中心(GMLC)558处的认证。在该示例信令攻击中,未经授权的用户/攻击者530向MSC 556发送“提供订户位置请求”消息550,并且然后接收“提供订户位置响应”消息552,如所示出的那样。
在一个实施例中,所公开的技术可以由安全性平台来执行,以监测OSI 7层信令业务(包括MAP业务),并且对所监测的MAP业务进行解码。安全性策略可以被配置成标识利用MAP消息的这种信令攻击,并且阻止/丢弃来自不可信/外部网络的“提供订户位置请求”消息,以防止这种类型的信令攻击。
针对示例Diameter协议漏洞和攻击的安全性平台解决方案
认证消息的信令泛洪是Diameter相关攻击的示例。Diameter认证消息攻击的信令泛洪是信令相关的网络中断的示例,它可能导致服务提供商网络上的拥塞问题。具体地,Diameter认证消息的信令泛洪可能导致与重新认证到服务提供商网络的网络上的设备的数量有关的拥塞问题,并且可能导致某些订户使他们的移动连接断开。例如,由于Diameter认证消息(例如,Diameter S6a认证信息请求(AIR))的信号泛洪,新西兰的Spark Telecom受到拥塞问题所影响(参见例如https://www.stuff.co.nz/business/88869002/Spark-network-outages-reported-around-the-country)。在一个实施例中,执行用于监测信令业务(例如,包括Diameter业务,诸如以下Diameter消息:Diameter S6a ULR(更新位置请求)和Diameter s6a AIR(认证信息请求))的所公开的技术,以实现安全性策略并且执行状态检查(例如,配置安全性策略,该安全性策略可以基于针对这种认证消息的节流/阈值限制来检测和防止Diameter认证消息攻击的这种信令泛洪,这可以包括基于三个参数的按照Diameter消息类型的节流:(a)按照源、目的地、源和目的地的聚合准则,以及(b)阈值(即,在NFGW/安全性平台进行的状态检查期间,每秒的消息数量以及对消息进行计数的时间间隔))。
针对示例SS7协议漏洞和攻击的安全性平台解决方案
各种SS7相关攻击的示例是众所周知的(例如,2016年的Telenor SS7攻击,参见例如https://www.digi.no/artikler/et-ondsinnet-angrep-mot-telenor-ville-hatt-samme-konsekvens/320604(讨论了由于受影响的Telenor HLR中的SS7漏洞所致的全网中断,其是2016年2月在挪威的Telenor网络上超过3个小时的全网中断,这揭示的是,消息灵通的个人有可能在整个公共SS7网络上远程地关闭另一个国家中的网络,而无需对目标网络进行任何物理访问))。在一个实施例中,执行用于监测信令业务(例如,包括SS7业务)的所公开的技术,以实现安全性策略并且执行状态检查(例如,配置安全性策略,该安全性策略可以基于节流/阈值限制和/或对某些消息的过滤来检测和防止这种SS7攻击,这可以包括按照MAP消息类型(诸如,“删除订户数据”、“发送标识”、“发送路由信息”和/或其他SS7协议消息类型)的节流,该节流可以基于三个参数而被调整:(a)按照源、目的地、源和目的地的聚合准则,以及(b)阈值(即,在NFGW/安全性平台进行的状态检查期间,每秒的消息数量以及对消息进行计数的时间间隔))。
针对示例SCCP协议漏洞和攻击的安全性平台解决方案
SCCP消息的信令泛洪是SCCP相关攻击的示例(例如,各种SCCP消息类型(诸如“连接已确认”、“连接已释放”)的SCCP相关攻击的示例)。具体地,攻击者可以使用SCCP层处的信令消息泛洪来使信令点(如STP、SSP和SCP)超负荷,并且破坏其功能,从而引起不同种类的DoS攻击。在一个实施例中,执行用于监测网络层信令业务(例如,包括SCCP业务)的所公开的技术,以实现安全性策略并且执行状态检查(例如,配置安全性策略,该安全性策略可以基于节流/阈值限制、和/或对某些消息的过滤来检测和防止SCCP层攻击下的这种信令消息泛洪,这可以包括按照SCCP消息类型(诸如,“连接已确认”、“连接已释放”和/或其他SCCP消息类型)的节流,该节流可以基于三个参数而被调整:(a)按照源、目的地、源和目的地的聚合准则,以及(b)阈值(即,在NFGW/安全性平台进行的状态检查期间,每秒的消息数量以及对消息进行计数的时间间隔))。
如鉴于所公开的实施例现在将显而易见的那样,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、MVNO提供商、设备制造商(例如,汽车实体、IoT设备实体和/或其他设备制造商)和/或系统集成商可以指定这种安全性策略,这些安全性策略可以由安全性平台使用所公开的技术来实施,以解决这些示例信令相关的安全性问题、和/或服务提供商网络上的其他现有或尚未发现的安全相关问题(例如,移动服务提供商网络上的漏洞和/或利用一个或多个上述信令层的攻击)以及其他技术网络安全性挑战。
用于在移动/服务提供商网络环境上执行安全性策略实施的网络设备的示例硬件组件图6是根据一些实施例的用于在移动/服务提供商网络环境上执行安全性策略实施的网络设备的硬件组件的功能图。所示出的示例是可以被包括在网络设备600(例如,可以实现本文中公开的安全性平台的器具、网关或服务器)中的物理/硬件组件的表示。具体地,网络设备600包括高性能多核CPU 602和RAM 604。网络设备600还包括存储装置610(例如,一个或多个硬盘或固态存储单元),存储装置610可以用于存储策略和其他配置信息以及签名。在一个实施例中,存储装置610存储位置信息、硬件标识符信息、订户身份信息、RAT信息和相关联的IP地址、和/或各种其他信息(例如,应用ID、内容ID、用户ID、URL和/或诸如从经解码的网络业务中所监测和/或提取的其他信息,该网络业务诸如SCTP、Diameter overSCTP、SIGTRAN、SCCP、和/或7层/应用层信令业务,包括CAP、MAP和/或INAP,如本文中类似描述的那样),这些信息被监测以用于使用安全性平台/防火墙设备来实现所公开的安全性策略实施技术。网络设备600还可以包括一个或多个可选的硬件加速器。例如,网络设备600可以包括被配置成执行加密和解密操作的密码引擎606、以及被配置成执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个FPGA608。
用于在移动/服务提供商网络环境上执行安全性策略实施的网络设备的示例逻辑组件图7是根据一些实施例的用于在移动/服务提供商网络环境上执行安全性策略实施的网络设备的逻辑组件的功能图。所示出的示例是可以被包括在网络设备700(例如,可以实现所公开的安全性平台并且执行所公开的技术的数据器具)中的逻辑组件的表示。如所示出的,网络设备700包括管理平面702和数据平面704。在一个实施例中,管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户界面。数据平面负责管理数据,诸如通过执行分组处理和会话处置。
假设移动设备尝试使用加密会话协议(诸如SSL)来访问资源(例如,远程网站/服务器、IoT设备或其他资源)。网络处理器706被配置成监测来自移动设备的分组,并且将这些分组提供给数据平面704以用于处理。流708将这些分组标识为新会话的一部分,并且创建新会话流。随后的分组将基于流查找而被标识为属于该会话。如果适当的话,则SSL解密引擎710使用如本文中描述的各种技术来应用SSL解密。否则,则省略由SSL解密引擎710进行的处理。应用标识(ID)模块712被配置成确定该会话所涉及的是什么类型的业务,并且标识与该业务流相关联的用户(例如,标识如本文中描述的应用ID)。例如,应用ID 712可以在接收到的数据中识别GET请求,并且得出该会话需要HTTP解码器的结论。作为另一个示例,应用ID 712可以在接收到的数据中识别“创建会话请求”或“创建PDP请求”,并且得出该会话需要GTP解码器的结论。针对每种类型的协议(例如,如上所讨论的各种信令协议,包括SCTP、Diameter over SCTP、SIGTRAN、SCCP和/或7层/应用层信令业务,包括CAP、MAP和/或INAP、和/或其他信令协议),存在对应的解码器714。在一个实施例中,应用标识由应用标识模块(例如,应用ID组件/引擎)来执行,并且用户标识由另一组件/引擎来执行。基于由应用ID 712做出的确定,将分组发送到适当的解码器714。解码器714被配置成将分组(例如,可能乱序接收到的分组)组装成正确的次序,执行令牌化,并且提取出信息。解码器714还执行签名匹配以确定对该分组应当发生什么。SSL加密引擎716使用如本文中描述的各种技术来执行SSL加密,并且然后使用转发组件718将分组进行转发,如所示出的那样。还如所示出的,接收到策略720,并且将策略720存储在管理平面702中。在一个实施例中,基于所监测、解密、标识和解码的会话业务流、如本文中关于各种实施例所描述的那样来应用策略实施(例如,策略可以包括一个或多个规则,可以使用域和/或主机/服务器名称来指定该一个或多个规则,并且规则可以应用一个或多个签名或其他匹配准则或启发式方法,诸如用于基于各种从所监测的GTP-C消息中提取的参数/信息、和/或对所监测的GTP-U、SCTP、Diameterover SCTP、SIGTRAN、SCCP、和/或7层/应用层信令业务(包括CAP、MAP和/或INAP业务)的分组内容检查,来针对服务提供商网络上的订户/IP流进行安全性策略实施,如本文中所公开的那样)。
还如图7中所示,还提供了接口(I/F)通信器722以用于安全性平台管理器通信(例如,经由(REST)API、消息、或网络协议通信或其他通信机制)。在一些情况下,使用网络设备700来监测服务提供商网络上的其他网络元件的网络通信,并且数据平面704支持对这种通信的解码(例如,包括I/F通信器722和解码器714的网络设备700可以被配置成在例如Gn、Gp、S1-MME、S5、S6a/S6d、S8、X2、S9、S11、S13/S13'、Gr、Gd、Gf、B、C、D、E和/或其中存在有线和无线网络业务流的其他接口上进行监测和/或通信,如本文中类似描述的那样)。由此,包括I/F通信器722的网络设备700可以被用来实现用于在移动/服务提供商网络环境上进行安全性策略实施的所公开的技术,如上面所描述并且下面将进一步描述的那样。
现在将描述用于在移动/服务提供商网络环境上监测信令业务并且执行安全性策略实施的所公开的技术的附加示例过程。
用于在服务提供商的移动网络中利用下一代防火墙来实现传输层信令安全性的示例过程
图8是根据一些实施例的用于在服务提供商的移动网络中执行基于传输层信令的安全性的过程的流程图。在一些实施例中,如图8中所示的过程800由如上类似描述的安全性平台和技术来执行,该安全性平台和技术包括上面关于图1A-7描述的实施例。在一个实施例中,过程800由如上关于图6描述的数据器具600、如上关于图7描述的网络设备700、虚拟器具、SDN安全性解决方案、云安全性服务、和/或上述各项的组合或混合实现方式来执行,如本文中描述的那样。
该过程开始于802。在802处,执行在安全性平台处监测服务提供商网络上的传输层信令业务。例如,安全性平台(例如,防火墙、代表防火墙起作用的网络传感器、或可以实施安全性策略的其他设备/组件)可以监测移动核心网络上的SIGTRAN业务。
在804处,执行基于安全性策略在安全性平台处过滤传输层信令业务。例如,安全性平台可以基于安全性策略来过滤传输层信令业务协议(例如,SIGTRAN协议)和较高层信令协议(例如,SCCP协议)。
在806处,基于安全性策略来执行对较低层信令协议的状态和分组验证。例如,安全性平台可以在过滤SIGTRAN协议消息的同时、按照有效载荷协议标识符(PPID)和源/目的地IP地址来执行对基础SCTP协议的状态和分组验证。
在一个实施例中,安全性平台在按照PPID和源/目的地IP或者源和目的地两者的IP来执行对基础SCTP协议的状态和分组验证的同时,执行对任何SIGTRAN协议消息的过滤。例如,安全性平台可以在按照PPID和源/目的地IP地址(IP)执行对基础SCTP协议的状态和分组验证的同时,过滤M3UA协议消息。作为另一个示例,安全性平台可以在按照PPID和源/目的地IP执行对基础SCTP协议的状态和分组验证的同时,过滤M2UA协议消息。作为另一个示例,安全性平台可以在按照PPID和源/目的地IP执行对基础SCTP协议的状态和分组验证的同时,过滤SUA协议消息。作为另一个示例,安全性平台可以在按照PPID和源/目的地IP执行对基础SCTP协议的状态和分组验证的同时,过滤M2PA协议消息。
在808处,执行使用安全性平台来实施安全性策略。例如,可以使用如上类似描述的安全性平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监测、记入日志、节流、限制访问和/或其他实施动作)。例如,安全性平台可以基于安全性策略来阻止在传输层信令业务或较高层信令业务中过滤的消息。
在示例实现方式中,安全性平台可以从针对为SCTP协议安装的防火墙会话而接收到的SCTP数据块中的PPID字段中提取适配层信息。这些防火墙会话与成功的SCTP偶联有关,该成功的SCTP偶联完成了4次握手和其他分组级别检查。PPID由IANA来分派(allot)(例如,这在https://www.iana.org/assignments/sctp-parameters/sctp-parameters.xhtml中指定)。安全性平台可以使用PPID信息来应用过滤机制和速率限制机制,以便于增强移动服务提供商网络上的信令安全性。
在一个实施例中,安全性平台在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中(hit)阈值/数量来执行对任何SIGTRAN协议消息的速率限制。例如,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对M3UA协议消息的速率限制。作为另一个示例,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对M2UA协议消息的速率限制。作为另一个示例,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对M2PA协议消息的速率限制。作为另一个示例,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SUA协议消息的速率限制。
用于在服务提供商的移动网络中利用下一代防火墙来实现应用层信令安全性的示例过程
图9是根据一些实施例的用于在服务提供商的移动网络中执行基于应用层信令的安全性的过程的流程图。在一些实施例中,如图9中所示的过程900由如上类似描述的安全性平台和技术来执行,该安全性平台和技术包括上面关于图1A-7描述的实施例。在一个实施例中,过程900由如上关于图6描述的数据器具600、如上关于图7描述的网络设备700、虚拟器具、SDN安全性解决方案、云安全性服务、和/或上述各项的组合或混合实现方式来执行,如本文中描述的那样。
该过程开始于902。在902处,执行在安全性平台处监测服务提供商网络上的应用层信令业务。例如,安全性平台(例如,防火墙、代表防火墙起作用的网络传感器、或可以实施安全性策略的其他设备/组件)可以监测移动核心网络上的MAP、CAP和/或INAP业务。
在904处,执行基于安全性策略在安全性平台处过滤应用层信令业务。例如,安全性平台可以基于安全性策略来过滤应用层信令业务协议(例如,MAP、CAP和/或INAP协议)和较低层信令协议(例如,SCCP协议)。
在906处,基于安全性策略来执行对较低层信令协议的状态和分组验证。例如,安全性平台可以在过滤MAP/CAP或INAP协议消息(例如,或其他7层/应用层消息)的同时,执行对基础SCTP协议的状态和分组验证。
在一个实施例中,安全性平台在过滤MAP、CAP或INAP协议消息的同时,执行对基础SCTP协议的状态和分组验证。例如,安全性平台可以在按照子系统号(SSN)以及源/目的地IP地址(IP)来过滤MAP、CAP或INAP协议消息的同时,执行对基础SCTP协议的状态和分组验证。作为另一个示例,安全性平台可以在按照SSN、全球标题(GT)和IP来过滤MAP、CAP或INAP协议消息的同时,执行对基础SCTP协议的状态和分组验证。作为另一个示例,安全性平台可以在按照SSN、GT、操作码和IP来过滤MAP、CAP或INAP协议消息的同时,执行对基础SCTP协议的状态和分组验证。
在908处,执行使用安全性平台来实施安全性策略。例如,可以使用如上类似描述的安全性平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监测、记入日志、节流、限制访问和/或其他实施动作)。例如,安全性平台可以基于安全性策略来阻止在应用层信令业务或较低层信令业务中过滤的消息。
在一个实施例中,安全性平台在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对任何(一个或多个)OSI 7层/应用层信令协议消息(例如,MAP、CAP或INAP)的速率限制。例如,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对任何(一个或多个)OSI 7层信令协议消息(例如,MAP、CAP或INAP)的速率限制。
用于在服务提供商的移动网络中利用下一代防火墙来实现网络层信令安全性的示例过程
图10是根据一些实施例的用于在服务提供商的移动网络中执行基于网络层信令的安全性的过程的流程图。在一些实施例中,如图10中所示的过程1000由如上类似描述的安全性平台和技术来执行,该安全性平台和技术包括上面关于图1A-7描述的实施例。在一个实施例中,过程1000由如上关于图6描述的数据器具600、如上关于图7描述的网络设备700、虚拟器具、SDN安全性解决方案、云安全性服务、和/或上述各项的组合或混合实现方式来执行,如本文中描述的那样。
该过程开始于1002。在1002处,执行在安全性平台处监测服务提供商网络上的网络层信令业务。例如,安全性平台(例如,防火墙、代表防火墙起作用的网络传感器、或可以实施安全性策略的其他设备/组件)可以监测移动核心网络上的SCCP业务。
在1004处,执行基于安全性策略在安全性平台处过滤网络层信令协议业务。例如,安全性平台可以基于安全性策略来过滤SCCP协议和较低层信令协议(例如SCTP协议)或较高层信令业务(例如,MAP、CAP或INAP、或其他7层/应用层消息)。
在1006处,基于安全性策略来执行对较低层信令协议的状态和分组验证。例如,安全性平台可以在过滤SCCP协议业务的同时,执行对基础SCTP协议的状态和分组验证。
在一个实施例中,安全性平台在过滤SCCP协议业务的同时,执行对基础SCTP协议的状态和分组验证。例如,安全性平台可以在按照源/目的地IP地址(IP)来过滤SCCP协议业务的同时,执行对基础SCTP协议的状态和分组验证。作为另一个示例,安全性平台可以在按照GT和源/目的地IP来过滤SCCP协议业务的同时,执行对基础SCTP协议的状态和分组验证。
在1008处,执行使用安全性平台来实施安全性策略。例如,可以使用如上类似描述的安全性平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监测、记入日志、节流、限制访问和/或其他实施动作)。例如,安全性平台可以基于安全性策略来阻止在SCCP协议业务或较低/较高层的信令业务中过滤的消息。
在一个实施例中,安全性平台在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对任何SCCP消息的速率限制。
用于在服务提供商的移动网络中利用下一代防火墙来实现Diameter over SCTP安全性的示例过程
图11是根据一些实施例的用于在服务提供商的移动网络中执行基于Diameterover SCTP的安全性的过程的流程图。在一些实施例中,如图11中所示的过程1100由如上类似描述的安全性平台和技术来执行,该安全性平台和技术包括上面关于图1A-7描述的实施例。在一个实施例中,过程1100由如上关于图6描述的数据器具600、如上关于图7描述的网络设备700、虚拟器具、SDN安全性解决方案、云安全性服务、和/或上述各项的组合或混合实现方式来执行,如本文中描述的那样。
该过程开始于1102。在1102处,执行在安全性平台处监测服务提供商网络上的Diameter协议业务(例如,Diameter协议指代认证、授权和计费(AAA)协议,而Diameter应用(诸如,S6a/S6d、S9、Gx)针对移动网络特定的用例扩展了Diameter基本协议的功能)。例如,安全性平台(例如,防火墙、代表防火墙起作用的网络传感器、或可以实施安全性策略的其他设备/组件)可以监测移动核心网络上的Diameter业务。
在1104处,执行基于安全性策略在安全性平台处过滤Diameter协议业务。例如,安全性平台可以基于安全性策略来过滤Diameter协议和较低层信令协议(例如,SCTP协议)。
在1106处,基于安全性策略来执行对较低层信令协议的状态和分组验证。例如,安全性平台可以在过滤Diameter协议业务的同时,执行对基础SCTP协议的状态和分组验证。
在一个实施例中,安全性平台在过滤Diameter协议业务的同时,执行对基础SCTP协议的状态和分组验证。例如,安全性平台可以在按照源/目的地IP地址(IP)来过滤Diameter协议业务的同时,执行对基础SCTP协议的状态和分组验证。作为另一个示例,安全性平台可以在按照应用ID和源/目的地IP来过滤Diameter协议业务的同时,执行对基础SCTP协议的状态和分组验证。作为另一个示例,安全性平台可以在按照应用ID、命令代码以及源/目的地IP来过滤Diameter协议业务的同时,执行对基础SCTP协议的状态和分组验证。作为另一个示例,安全性平台可以在按照应用ID、命令代码、AVP以及源/目的地IP来过滤Diameter协议业务的同时,执行对基础SCTP协议的状态和分组验证。
在1108处,执行使用安全性平台来实施安全性策略。例如,可以使用如上类似描述的安全性平台来执行各种实施动作(例如,允许/通过、阻止/丢弃、警报、标记、监测、记入日志、节流、限制访问和/或其他实施动作)。例如,安全性平台可以基于安全性策略来阻止在Diameter协议业务或较低/较高层的信令业务中过滤的消息。
在一个实施例中,安全性平台在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对任何Diameter消息的速率限制。例如,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来按照应用ID执行对任何Diameter消息的速率限制。作为另一个示例,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来按照命令代码执行对任何Diameter消息的速率限制。作为另一个示例,安全性平台可以在执行对基础SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来按照AVP执行对任何Diameter消息的速率限制。
尽管出于理解的清楚性的目的而已经详细描述了前述实施例,但是本发明不限于所提供的细节。存在用于实现本发明的许多替代方式。所公开的实施例是说明性的而非限制性的。
Claims (20)
1.一种利用下一代防火墙的用于信令安全性的系统,包括:
处理器;以及
存储器,其耦合到处理器并且包括指令,所述指令当由处理器执行时使得处理器:
在安全性平台处监测服务提供商网络上的传输层信令业务,其中所述安全性平台包括所述下一代防火墙的安全性功能;
基于安全性策略在所述安全性平台处执行对传输层信令业务中的消息的速率限制,其中传输层信令业务所基于的传输层信令协议是信令传输SIGTRAN协议,并且在执行对SIGTRAN协议消息的速率限制的同时,按照有效载荷协议标识符PPID和源/目的地IP地址来执行对流控制传输协议SCTP协议的状态和分组验证。
2.根据权利要求1所述的系统,其中所述指令进一步使得处理器基于SIGTRAN协议来执行安全性策略实施。
3.根据权利要求1所述的系统,其中所述指令进一步使得处理器基于所述安全性策略来执行对更低层信令协议的状态和分组验证。
4.根据权利要求1所述的系统,其中所述指令进一步使得处理器:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制。
5.根据权利要求1所述的系统,其中所述指令进一步使得处理器:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制,其中SIGTRAN协议消息包括以下各项中的一个或多个:M2UA协议消息、M3UA协议消息、M2PA协议消息和SUA协议消息。
6.根据权利要求1所述的系统,其中所述指令进一步使得处理器:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制,其中SIGTRAN协议消息包括以下各项中的两个或更多个:M2UA协议消息、M3UA协议消息、M2PA协议消息和SUA协议消息。
7.根据权利要求1所述的系统,其中所述指令进一步使得处理器基于传输层信令协议来执行威胁预防。
8.根据权利要求1所述的系统,其中所述安全性平台监测无线接口,所述无线接口包括用于3G和/或4G网络的移动核心网络中的传输层信令协议和用户数据业务的多个接口。
9.根据权利要求1所述的系统,其中所述指令进一步使得处理器基于所述安全性策略来阻止在传输层信令业务中过滤的消息。
10.根据权利要求1所述的系统,其中所述指令进一步使得处理器基于所述安全性策略来阻止在传输层信令业务或更高层信令业务中过滤的消息。
11.一种利用下一代防火墙的用于信令安全性的方法,包括:
在安全性平台处监测服务提供商网络上的传输层信令业务,其中所述安全性平台包括所述下一代防火墙的安全性功能;以及
基于安全性策略在所述安全性平台处执行对传输层信令业务中的消息的速率限制,其中传输层信令业务所基于的传输层信令协议是信令传输SIGTRAN协议,并且在执行对SIGTRAN协议消息的速率限制的同时,按照有效载荷协议标识符PPID和源/目的地IP地址来执行对流控制传输协议SCTP协议的状态和分组验证。
12.根据权利要求11所述的方法,其中所述方法进一步包括基于SIGTRAN协议来执行安全性策略实施。
13.根据权利要求11所述的方法,其中所述方法进一步包括基于所述安全性策略来执行对更低层信令协议的状态和分组验证。
14.根据权利要求11所述的方法,其中所述方法进一步包括:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制。
15.根据权利要求11所述的方法,其中所述方法进一步包括:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制,其中SIGTRAN协议消息包括以下各项中的一个或多个:M2UA协议消息、M3UA协议消息、M2PA协议消息和SUA协议消息。
16.一种非暂时性计算机可读存储介质,其上存储有计算机指令,所述计算机指令用于:
在安全性平台处监测服务提供商网络上的传输层信令业务,其中所述安全性平台包括下一代防火墙的安全性功能;以及
基于安全性策略在所述安全性平台处执行对传输层信令业务中的消息的速率限制,其中传输层信令业务所基于的传输层信令协议是信令传输SIGTRAN协议,并且在执行对SIGTRAN协议消息的速率限制的同时,按照有效载荷协议标识符PPID和源/目的地IP地址来执行对流控制传输协议SCTP协议的状态和分组验证。
17.根据权利要求16所述的非暂时性计算机可读存储介质,其中所述计算机指令进一步用于:基于SIGTRAN协议来执行安全性策略实施。
18.根据权利要求16所述的非暂时性计算机可读存储介质,其中所述计算机指令进一步用于:基于所述安全性策略来执行对更低层信令协议的状态和分组验证。
19.根据权利要求16所述的非暂时性计算机可读存储介质,其中所述计算机指令进一步用于:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制。
20.根据权利要求16所述的非暂时性计算机可读存储介质,其中所述计算机指令进一步用于:在执行对SCTP协议的状态和分组验证的同时,利用源、目的地或源和目的地IP的聚合准则、以秒为单位的时间间隔、以及命中阈值/数量来执行对SIGTRAN协议消息的速率限制,其中SIGTRAN协议消息包括以下各项中的一个或多个:M2UA协议消息、M3UA协议消息、M2PA协议消息和SUA协议消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211333993.5A CN115643097B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 |
Applications Claiming Priority (11)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/895,948 US10715491B2 (en) | 2018-02-13 | 2018-02-13 | Diameter security with next generation firewall |
| US15/895,942 US10693838B2 (en) | 2018-02-13 | 2018-02-13 | Transport layer signaling security with next generation firewall |
| US15/895944 | 2018-02-13 | ||
| US15/895946 | 2018-02-13 | ||
| US15/895,946 US10701033B2 (en) | 2018-02-13 | 2018-02-13 | Network layer signaling security with next generation firewall |
| US15/895,944 US10701032B2 (en) | 2018-02-13 | 2018-02-13 | Application layer signaling security with next generation firewall |
| US15/895948 | 2018-02-13 | ||
| US15/895942 | 2018-02-13 | ||
| CN201980023999.2A CN111903107B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法 |
| CN202211333993.5A CN115643097B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 |
| PCT/US2019/017361 WO2019160776A1 (en) | 2018-02-13 | 2019-02-08 | Transport layer signaling security with next generation firewall |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980023999.2A Division CN111903107B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115643097A CN115643097A (zh) | 2023-01-24 |
| CN115643097B true CN115643097B (zh) | 2024-05-10 |
Family
ID=67620068
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211333993.5A Active CN115643097B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 |
| CN201980023999.2A Active CN111903107B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980023999.2A Active CN111903107B (zh) | 2018-02-13 | 2019-02-08 | 利用下一代防火墙的用于信令安全性的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP3732855A1 (zh) |
| JP (5) | JP6948472B2 (zh) |
| CN (2) | CN115643097B (zh) |
| WO (1) | WO2019160776A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| USD1024541S1 (en) | 2020-06-19 | 2024-04-30 | The Ergo Baby Carrier, Inc. | Child carrier |
| WO2022271674A1 (en) * | 2021-06-21 | 2022-12-29 | Matic Holdings, Llc. | Systems and methods for archival of data captures from a mobile communication network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1498504A (zh) * | 2001-03-15 | 2004-05-19 | 艾利森电话股份公司 | 信令网关 |
| CN1906954A (zh) * | 2003-12-11 | 2007-01-31 | 诺基亚公司 | 信令传输转换器 |
| JP2009302847A (ja) * | 2008-06-12 | 2009-12-24 | Toshiba Corp | ネットワーク仮想化システムおよびプログラム |
| US8612530B1 (en) * | 2011-05-27 | 2013-12-17 | Mu Dynamics, Inc. | Pass-through testing using message exchange identifiers |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002035784A1 (en) * | 2000-10-23 | 2002-05-02 | Radisys Corporation | Method and apparatus for common channel communication using a packet switched network |
| US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
| US20050108518A1 (en) * | 2003-06-10 | 2005-05-19 | Pandya Ashish A. | Runtime adaptable security processor |
| EP1676409B1 (en) * | 2003-10-20 | 2011-12-07 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Network and node for providing a secure transmission of mobile application part messages |
| KR100578080B1 (ko) * | 2003-11-14 | 2006-05-10 | 엘지전자 주식회사 | 시리얼 통신 프로토콜 중 명령 및 데이터 전송 및 수신 방법 |
| US20060225128A1 (en) * | 2005-04-04 | 2006-10-05 | Nokia Corporation | Measures for enhancing security in communication systems |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| FR2896111B1 (fr) * | 2006-01-10 | 2008-02-22 | Alcatel Sa | Procede de transfert de communication entre reseaux locaux sans fil connectes a un reseau mobile, et dispositif de gestion associe |
| CN101009691B (zh) * | 2006-01-24 | 2011-12-14 | 朗迅科技公司 | Ims网络和老式网络的汇聚服务控制系统和方法 |
| US7849507B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
| CN101001206A (zh) * | 2006-06-26 | 2007-07-18 | 华为技术有限公司 | 一种基于ip的信令系统和信令传输方法 |
| US7983265B1 (en) * | 2008-01-17 | 2011-07-19 | Qlogic, Corporation | Method and system for processing a network packet |
| DK2274921T3 (da) | 2008-04-22 | 2017-11-06 | ERICSSON TELEFON AB L M (publ) | Signalering-gateway til routing af signaleringsbeskeder |
| JP4751436B2 (ja) | 2008-10-21 | 2011-08-17 | 株式会社東芝 | 通信装置 |
| WO2011041296A1 (en) * | 2009-09-29 | 2011-04-07 | Sonus Networks, Inc. | Method and system for implementing redundancy at signaling gateway using dynamic sigtran architecture |
| US8307418B2 (en) * | 2010-03-16 | 2012-11-06 | Genband Inc. | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| US8547974B1 (en) * | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
| JP2012029144A (ja) | 2010-07-26 | 2012-02-09 | Kddi Corp | パケット監視システム |
| US9137171B2 (en) * | 2011-12-19 | 2015-09-15 | Cisco Technology, Inc. | System and method for resource management for operator services and internet |
| US10231120B2 (en) * | 2012-10-16 | 2019-03-12 | Cisco Technology, Inc. | Offloaded security as a service |
-
2019
- 2019-02-08 CN CN202211333993.5A patent/CN115643097B/zh active Active
- 2019-02-08 EP EP19754391.1A patent/EP3732855A1/en not_active Withdrawn
- 2019-02-08 WO PCT/US2019/017361 patent/WO2019160776A1/en unknown
- 2019-02-08 JP JP2020542742A patent/JP6948472B2/ja active Active
- 2019-02-08 CN CN201980023999.2A patent/CN111903107B/zh active Active
-
2020
- 2020-10-16 JP JP2020174360A patent/JP6924884B2/ja active Active
- 2020-10-16 JP JP2020174354A patent/JP7066802B2/ja active Active
- 2020-10-16 JP JP2020174355A patent/JP6980885B2/ja active Active
-
2021
- 2021-11-17 JP JP2021186756A patent/JP7340582B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1498504A (zh) * | 2001-03-15 | 2004-05-19 | 艾利森电话股份公司 | 信令网关 |
| CN1906954A (zh) * | 2003-12-11 | 2007-01-31 | 诺基亚公司 | 信令传输转换器 |
| JP2009302847A (ja) * | 2008-06-12 | 2009-12-24 | Toshiba Corp | ネットワーク仮想化システムおよびプログラム |
| US8612530B1 (en) * | 2011-05-27 | 2013-12-17 | Mu Dynamics, Inc. | Pass-through testing using message exchange identifiers |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111903107B (zh) | 2022-11-08 |
| JP2021508994A (ja) | 2021-03-11 |
| JP7066802B2 (ja) | 2022-05-13 |
| JP6948472B2 (ja) | 2021-10-13 |
| CN115643097A (zh) | 2023-01-24 |
| EP3732855A1 (en) | 2020-11-04 |
| WO2019160776A1 (en) | 2019-08-22 |
| JP2021040318A (ja) | 2021-03-11 |
| CN111903107A (zh) | 2020-11-06 |
| JP6980885B2 (ja) | 2021-12-15 |
| JP2021040319A (ja) | 2021-03-11 |
| JP2021013192A (ja) | 2021-02-04 |
| JP7340582B2 (ja) | 2023-09-07 |
| JP6924884B2 (ja) | 2021-08-25 |
| JP2022031741A (ja) | 2022-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11777902B2 (en) | Application layer signaling security with next generation firewall | |
| US11323483B2 (en) | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks | |
| US20180367578A1 (en) | Radio access technology based security in service provider networks | |
| US11652794B2 (en) | Transport layer signaling security with next generation firewall | |
| US20180367569A1 (en) | Location based security in service provider networks | |
| US11784972B2 (en) | Diameter security with next generation firewall | |
| US20180367571A1 (en) | Mobile user identity and/or sim-based iot identity and application identity based security enforcement in service provider networks | |
| US11784971B2 (en) | Network layer signaling security with next generation firewall | |
| JP7340582B2 (ja) | 次世代ファイアウォールを用いたトランスポート層の信号安全性 | |
| WO2018231855A1 (en) | Location based security in service provider networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |