CN115989661A - 保护移动网络中的控制和用户平面分离 - Google Patents
保护移动网络中的控制和用户平面分离 Download PDFInfo
- Publication number
- CN115989661A CN115989661A CN202180052126.1A CN202180052126A CN115989661A CN 115989661 A CN115989661 A CN 115989661A CN 202180052126 A CN202180052126 A CN 202180052126A CN 115989661 A CN115989661 A CN 115989661A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- pfcp
- user plane
- mobile network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了用于保护移动网络(例如,用于移动订户的服务提供商网络,诸如用于4G/5G网络)中的控制和用户平面分离的技术。在一些实施例中,根据一些实施例的用于保护移动网络中的控制和用户平面分离的系统/过程/计算机程序产品包括:在安全平台处监视移动网络上的网络流量,以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中移动网络包括4G网络或5G网络;在安全平台处从PFCP消息中提取多个参数;以及基于所述多个参数中的一个或多个参数在安全平台处对新会话实施安全策略,以保护移动网络中的控制和用户平面分离。
Description
背景技术
防火墙通常保护网络免受未授权的接入,同时准许授权的通信通过防火墙。防火墙通常是为网络接入提供防火墙功能的设备或设备集,或者在诸如计算机之类的设备上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的具有网络通信能力的设备)的操作系统中。防火墙也可以集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(例如,安全器具或其他类型的专用设备)中,或者作为其上的软件来执行。
防火墙通常基于规则集拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用规则或策略集来过滤入站流量。防火墙还可以通过应用规则或策略集来过滤出站流量。防火墙也可以能够执行基本的路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的5G无线网络的架构的框图。
图2A是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的框图。
图2B是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的另一框图。
图2C是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的另一框图。
图2D是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的另一框图。
图3A是用于PFCP会话建立过程的协议序列图。
图3B是用于PFCP会话修改过程的协议序列图。
图3C是用于PFCP会话释放过程的协议序列图。
图4是根据一些实施例的用于保护移动网络中的控制和用户平面分离的网络设备的硬件组件的功能图。
图5是根据一些实施例的用于保护移动网络中的控制和用户平面分离的网络设备的逻辑组件的功能图。
图6是根据一些实施例的用于保护移动网络中的控制和用户平面分离的过程的流程图。
图7是根据一些实施例的用于保护移动网络中的控制和用户平面分离的过程的另一流程图。
具体实施方式
本发明可以以多种方式实现,包括作为过程;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或者本发明可以采取的任何其他形式可以被称为技术。一般而言,在本发明的范围内,所公开的过程的步骤次序可以变更。除非另有声明,否则被描述为被配置为执行任务的诸如处理器或存储器的组件可以被实现为被临时配置为在给定时间执行任务的通用组件,或者被制造成执行该任务的特定组件。如本文使用的,术语“处理器”指代被配置为处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核心。
下面提供了本发明的一个或多个实施例的详细描述,连同说明本发明原理的附图。结合此类实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明包含许多替代物、修改和等同物。为了提供对本发明的透彻理解,在以下描述中阐述了许多具体细节。这些细节是出于示例的目的而提供的,并且本发明可以根据权利要求来实践,而无需这些具体细节中的一些或全部。为了清楚起见,没有详细描述与本发明相关的技术领域中已知的技术材料,以免不必要地模糊本发明。
防火墙通常保护网络免受未授权的接入,同时准许授权的通信通过防火墙。防火墙通常是为网络接入提供防火墙功能的设备、设备集或在设备上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的具有网络通信能力的设备)的操作系统中。防火墙也可以被集成到各种类型的设备或安全设备中,或者作为各种类型的设备或安全设备上的软件应用来执行,所述设备或安全设备诸如是计算机服务器、网关、网络/路由设备(例如,网络路由器),或者数据器具(例如,安全器具或其他类型的专用设备)。
防火墙通常基于规则集拒绝或准许网络传输。这些规则集通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则或策略集来过滤入站流量,以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则或策略集来过滤出站流量(例如,可以在防火墙/安全规则或防火墙/安全策略中指定允许、阻挡、监视、通知或存记和/或其他动作,诸如本文所述,所述动作可以基于各种标准来触发)。防火墙还可以通过应用规则或策略集来应用防病毒保护、恶意软件检测/预防或者入侵保护。
安全设备(例如,安全器具、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如,防火墙、反恶意软件、入侵预防/检测、代理和/或其他安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其他联网功能)和/或其他功能。例如,路由功能可以基于源信息(例如,源IP地址和端口)、目的地信息(例如,目的地IP地址和端口)和协议信息。
基本分组过滤防火墙通过检查在网络上传输的个体分组来过滤网络通信流量(例如,分组过滤防火墙或第一代防火墙,它们是无状态分组过滤防火墙)。无状态分组过滤防火墙通常检查个体分组本身,并基于所检查的分组应用规则(例如,使用分组的源地址信息和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,它们在TCP/IP栈的应用级上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻挡试图通过标准端口进行通信的未授权协议(例如,试图通过使用该协议的非标准端口偷偷通过的未授权/不符合策略的协议通常可以使用应用防火墙来标识)。
有状态防火墙还可以执行基于有状态的分组检查,其中在与该网络传输的分组的流/分组流相关联的一系列分组的上下文内检查每个分组(例如,有状态防火墙或第三代防火墙)。该防火墙技术通常被称为有状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接状态本身可以是触发策略内规则的标准之一。
如上面讨论的,高级或下一代防火墙可以执行无状态和有状态分组过滤以及应用层过滤。下一代防火墙还可以执行附加的防火墙技术。例如,某些较新的防火墙(有时称为高级或下一代防火墙)也可以标识用户和内容。特别是,某些下一代防火墙正在将这些防火墙可以自动标识的应用列表扩展到数千个应用。这样的下一代防火墙的示例从Palo AltoNetworks公司商业上可获得(例如,Palo Alto Networks的PA系列下一代防火墙和PaloAlto Networks的VM系列虚拟化下一代防火墙)。
例如,Palo Alto Networks的下一代防火墙使得企业和服务提供商能够使用各种标识技术来标识和控制应用、用户和内容,而不仅仅是端口、IP地址和分组,所述各种标识技术诸如是以下各项:用于准确应用标识的App-IDTM(例如,应用ID),用于用户标识(例如,按用户或用户组)的User-IDTM(例如,用户ID),以及用于实时内容扫描(例如,控制网上冲浪和限制数据和文件传输)的Content-IDTM(例如,内容ID)。这些标识技术允许企业使用业务相关的概念安全地启用应用用途,而不是遵循由传统端口阻塞防火墙提供的传统方法。此外,实现为例如专用器具的下一代防火墙的专用硬件通常为应用检查提供比在通用硬件上执行的软件高的性能水平(例如,诸如Palo Alto Networks公司提供的安全器具,其利用专用的、功能特定的处理,该处理与单通道软件引擎紧密集成,以最大化网络吞吐量,同时最小化Palo Alto Networks的PA系列下一代防火墙的时延)。
服务提供商在当今移动网络中的技术和安全挑战
世界范围的融合(移动和固定)网络运营商现在处于部署独立的5G移动网络技术过程中。在5G移动网络中,将使用控制和用户平面分离(CUPS)为企业客户提供连接性。照此,保护和验证5G移动网络中的控制网络功能(例如,位于中央分组核心/云分组核心中的(一个或多个)会话管理功能(SMF)和位于客户驻地/接入站点/分发站点上的(一个或多个)用户平面功能(UPF))之间的通信将是重要的。
因此,对于移动网络中的设备,服务提供商网络存在技术和安全挑战。照此,需要的是用于这样的服务提供商网络环境(例如,移动网络)中的设备的新的和改进的安全技术。具体地,需要的是新的和改进的解决方案以便监视这样的网络流量并且为在服务提供商网络上通信的设备应用安全策略(例如,防火墙策略)。
用于保护移动网络中的控制和用户平面分离技术的概述
对于保护移动网络中的控制和用户平面分离,服务提供商网络存在技术和安全挑战。具体地,需要的是用于在移动网络环境(例如,4G和/或5G移动网络)中保护控制和用户平面分离的新的和改进的技术。更具体地,需要用于监视移动网络流量和应用安全策略(例如,安全/防火墙策略)的新的和改进的解决方案以便保护移动网络中的控制和用户平面分离。
如下面将进一步描述的,PFCP是在控制平面和用户平面功能之间的Sx/N4接口上使用的3GPP协议(例如,在用于LTE的3GPP技术规范(TS)29.244v15.7中规定;5G;控制平面和用户平面节点之间的接口(例如,以及较新发布/版本)。
在一些实施例中,公开了可以由安全平台执行的用于保护移动网络中的控制和用户平面分离的分组转发控制协议(PFCP)有状态检查的新的和改进的技术,如将在下面进一步描述。
例如,基于5G技术的移动网络(例如,5G移动网络)中的安全平台可以通过解析会话管理功能(SMF)和用户平面功能(UPF)之间的N4接口之上的PFCP消息来提取用于建立PFCF会话和跟踪控制消息流的某些信息,从而执行用于PFCP有状态检查的新的和改进的技术,以便保护移动网络中的控制和用户平面分离。
作为另一个示例,基于4G技术的移动网络(例如,4G移动网络)中的安全平台可以通过解析服务网关(SG)-C和SG-U之间的Sxa接口、分组数据网络(PDN)网关-C和PDN网关-U之间的Sxb接口以及业务检测功能(TDF)-C和TDF-U之间的Sxc接口之上的PFCP消息来提取用于建立PFCF会话和跟踪控制消息流的某些信息,从而执行用于PFCP有状态检查的新的和改进的技术,以便保护移动网络中的控制和用户平面分离。
因此,根据一些实施例,公开了新的和改进的安全解决方案,促进在移动网络(例如,4G/5G移动网络)中使用安全平台(例如,防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件)对PFCP流量应用安全(例如,基于网络的安全)。例如,所公开的用于保护移动网络中的控制和用户平面分离的技术可以在各种4G/5G网络位置,包括局域数据网络、核心网络、多接入分布式边缘位置、具有本地用户平面功能(UPF)的企业网络和/或各种其他4G/5G网络位置,提供对包括拒绝服务(DoS)、会话端点标识符(SEID)欺骗和对分组转发控制协议(PFCP)的SEID猜测在内的攻击的标识和预防。
如下面进一步描述的,公开了用于保护移动网络中的控制和用户平面分离的各种技术。在一些实施例中,根据一些实施例的用于保护移动网络中的控制和用户平面分离的系统/过程/计算机程序产品包括:在安全平台处监视移动网络上的网络流量,以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中移动网络包括4G网络或5G网络;在安全平台处从PFCP消息中提取多个参数(例如,与PFCP关联相关的5元组+节点ID(可选),如下面将进一步描述);以及基于多个参数中的一个或多个参数在安全平台处对新会话实施安全策略,以保护移动网络中的控制和用户平面分离。
例如,安全平台可以解析PFCP消息以提取以下参数:源IP地址、SEID 1、目的地IP地址、SEID 2以及与PFCP关联相关的使用中的协议。作为另一个示例,安全平台可以解析PFCP消息以提取与PFCP关联相关的节点ID。
在示例实现中,安全平台被配置有安全策略来执行拒绝服务(DoS)攻击的检测和预防,以便保护移动网络中的控制和用户平面分离。
在另一示例实现中,安全平台被配置有安全策略来执行对会话端点标识符(SEID)欺骗攻击的检测和预防,以便保护移动网络中的控制和用户平面分离。
所公开的用于保护移动网络中的控制和用户平面分离的技术可以被应用于促进各种受保护的移动网络解决方案。作为示例,移动网络运营商可以使用所公开的技术来保护基于云的控制基础设施和分布式边缘位置之间的通信。作为另一个示例,具有私有4G/5G连接性的企业客户可以使用所公开的技术来保护本地用户平面功能(UPF)和基于云的控制基础设施之间的通信。
下面将进一步描述用于保护移动网络中的控制和用户平面分离的这些和其他实施例和示例。
用于保护移动网络中的控制和用户平面分离的示例系统架构
通常,5G是第五代移动通信系统。第三代合作伙伴计划(3GPP)包括七个电信标准开发组织(即,ARIB、ATIS、CCSA、ETSI、TSDSI、TTA和TTC)。该项目涵盖蜂窝电信网络技术,包括无线电接入、核心传输网络和服务能力。规范还为对核心网络的非无线电接入以及与Wi-Fi网络和其他组织(包括正在开发5G标准的ITU、IETF和ETSI)的交互工作提供了钩子。新5G网络标准的一些改进包括例如多边缘计算、低时延(例如,近似小于10毫秒(MS))、高吞吐量(例如,多Gbps)、分发、网络功能虚拟化基础设施以及编排、分析和自动化。
在3GPP TS 23.501 v16.4.0中将5G架构(例如,在https://portal.3gPP.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144处可获得)(例如和较新的发布/版本)定义为基于服务的,并且网络功能(NF)之间的交互以两种方式表示:(1)基于服务的表示,其中控制平面(CP)内的NF使得其他授权的网络功能能够接入它们的服务;以及(2)参考点表示,集中于由任何两个网络功能之间的点对点参考点定义的NF对之间的交互。
在5G架构中,骨干网络之上的接入网络和核心网络之间的用户平面协议栈在N3接口(例如,无线电接入网络(RAN)和UPF元件之间)之上将基于UDP协议之上的GPRS隧道协议用户平面(GTP-U),并且在N4接口(例如,UPF元件和SMF元件之间)之上还将基于UDP协议之上的分组转发控制协议(PFCP)。5G系统架构中的控制平面NF应当以基于服务的架构为基础。HTTP/2将是在基于服务的接口之上使用的协议。新的5G接入网络协议将基于流控制传输协议(SCTP)。
因此,在一些实施例中,所公开的技术包括提供安全平台(例如,(一个或多个)安全功能/(一个或多个)平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件来实现,所公开的技术诸如是在从Palo Alto Networks公司商业上可获得的虚拟/物理NGFW解决方案或另一安全平台/NFGW上执行的PANOS),该安全平台被配置为提供例如GTP-U会话和新的基于HTTP/2的TCP会话的DPI能力(包括有状态检查),其促进在被监视的GTP-U隧道会话和新的基于HTTP/2的TCP会话之间的相关性(如下面进一步描述的),以及作为另一个示例,在被监视的GTP-U隧道(例如,在N3接口上)和PFCP会话(例如,在N4/Sx接口上)之间的相关性。
在一些实施例中,安全平台被配置为提供以下DPI能力:N3 GTP-U隧道和/或N4GTP-U隧道的有状态检查;N3 GTP-U隧道的内容检查(例如,检查N3 GTP-U隧道的内部IP会话的内容)和/或N4/Sx PFCP会话(例如,检查N4/Sx PFCP会话的内容);对用于5G系统以支持5G蜂窝技术的过程的3GPP技术规范(TS)29.274 v15.3.0 Release 15(例如,以及较新的发布/版本)的支持;以及对GTP-U协议的3GPP技术规范(TS)29.281 v15.4.0 Release 14(例如,以及较新的发布/版本)的支持。
图1是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的5G无线网络的架构的框图。具体地,图1是用于保护移动网络中的控制和用户平面分离的示例5G移动网络环境,其包括用于保护控制和用户平面分离的安全平台102a和102b(例如,(一个或多个)安全功能/(一个或多个)平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件来实现),如下面进一步描述的。如所示出的,5G移动网络环境还可以包括如在104处所示的固定/有线接入、如在106处所示的诸如Wi-Fi接入之类的非3GPP接入、如在108处所示的5G无线电接入网络(RAN)接入、如在110处所示的4G RAN接入和/或其他网络(图1中未示出),以促进用于订户的数据通信(例如,使用用户装备(UE),诸如智能电话、膝上型计算机、计算机(其可以在固定位置中)、和/或其他使能蜂窝的计算设备/装备,诸如CIoT设备,或其他使能网络通信的设备),其包括通过中央数据网络(例如因特网)120来接入各种应用、web服务、内容主机等和/或其他网络。如图1中所示,5G网络接入机制104、106、108和110中的每一个都与5G用户平面功能112a和112b通信(例如,经由S1-U接口),其通过安全平台102a和102b分别与5G用户平面功能112a和112b通信。
同样如图1中所示,如所示出的N4接口各自提供UPF 112a/b和5G核心控制/信令功能之间的接口,其包括经由UDP之上的PFCP的会话管理功能(SMF)130。核心网络140包括与5G用户平面功能132通信的SMF 130,该5G用户平面功能132与中央数据网络120通信。
参考图1,使用安全平台102a和102b监视网络流量通信。如所示出的,使用安全平台102a和102b(例如,各自包括防火墙(FW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一设备/组件的(虚拟)设备/器具)在5G网络中监视/过滤网络流量通信,所述安全平台102a和102b被配置为执行所公开的用于保护移动网络中的控制和用户平面分离的技术,如上面类似描述的以及如下面进一步描述的。
此外,安全平台102a和102b还可以诸如经由因特网与云安全服务122(例如,商业上可获得的基于云的安全服务,诸如WildFireTM基于云的恶意软件分析环境,其是由PaloAlto Networks公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动化安全分析以及安全专家分析,或者可以利用由另一个供应商提供的类似解决方案)进行网络通信。例如,云安全服务122可以用于向安全平台提供针对恶意软件、DNS、URL、CNC恶意软件和/或其他恶意软件的动态预防签名,以及接收恶意软件样本用于进一步的安全分析。
参考图1,安全平台102a和102b通过分别解析UPF 112a和112b与SMF 130之间的N4接口上的PFCP消息(例如,UDP之上的PFCP),来执行该示例5G移动网络环境中的PFCP有状态检查,以提取用于建立PFCF会话的某些信息,并跟踪控制消息流,如将在下面进一步描述。
如现在将清楚的是,可以使用一个或多个安全平台来针对5G网络(例如,5G网络或融合5G网络)内各种位置中的网络流量通信监视/过滤网络流量通信,以促进保护移动网络中的控制和用户平面分离。
图2A是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的框图。具体地,图2A是用于保护移动网络中的控制和用户平面分离的示例4G移动网络环境,其包括用于保护控制和用户平面分离的安全平台202a和202b(例如,(一个或多个)安全功能/(一个或多个)平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件来实现),如下面进一步描述的。4G移动网络环境还可以包括固定/有线接入(图2A中未示出)、诸如Wi-Fi接入的非3GPP接入(图2A中未示出)、如在204处所示的4G无线电接入网络(RAN)接入、和/或其他网络(图2A中未示出),以促进用于订户的数据通信(例如,使用用户装备(UE),诸如智能电话、膝上型计算机、计算机(其可以在固定位置中)、和/或其他使能蜂窝的计算设备/装备,诸如CIoT设备,或其他使能网络通信的设备),包括通过中央数据网络(例如,因特网)220来接入各种应用、web服务、内容主机等、和/或其他网络。
如图2A中所示,4G网络接入机制eNodeB 204与用户平面网络元件通信,所述用户平面网络元件包括示出为SGW-U+PGW-U 206的用于用户平面流量的组合服务网关(SGW)和分组网关(PGW),其通过安全平台202a与SGW-U+PGW-U 206通信。
还如图2A中所示,核心网络210包括控制平面网络元件,该控制平面网络元件包括示出为SGW-C+PGW-C 214的用于控制平面流量的组合服务网关(SGW)和分组数据网络(PDN)网关(PGW),其通过安全平台202b与PGW-U 216通信。核心网络210包括用于用户平面流量的PGW-U 216,以促进接入中央数据网络220。具体地,Sxa接口经由UDP之上的PFCP提供SGW-C214和SGW-U 206之间的接口,并且Sxb接口经由UDP之上的PFCP提供PGW-C 214和PGW-U216之间的接口。
还如所示出的,安全平台202a(例如,以及其他安全平台可以类似地与安全云服务通信)也与安全服务222(例如,商业上可获得的基于云的安全服务,诸如WildFireTM(WF)基于云的恶意软件分析环境,其是由Palo Alto Networks公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动化安全分析以及安全专家分析,或者可以利用由另一供应商提供的类似解决方案)进行网络通信,诸如用于恶意软件、DNS、URL、命令和控制(C&C)的动态预防签名,和/或各种其他安全更新和/或基于云的恶意软件样本分析。
参考图2A,可以使用安全平台202a和202b(例如,其可以位于各种位置以监视Sxa、Sxb和/或其他通信)来监视网络流量通信,如上面参考图1类似描述的以及如下面进一步描述的。在该示例实现中,安全平台202a和202b位于该示例4G移动网络环境中,用于监视和解析在214处所示的服务网关C和206处所示的服务网关U之间的Sxa接口上以及在214处所示的PDN网关C和216处所示的PDN网关U之间的Sxb接口上的PFCP消息(例如,UDP之上的PFCP),以提取用于建立PFCF会话的某些信息,并跟踪控制消息流,如将在下面进一步描述。
图2B是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的另一框图。具体地,图2B是用于保护移动网络中的控制和用户平面分离的示例4G移动网络环境,其包括用于保护控制和用户平面分离的安全平台202a、202b和202c(例如,(一个或多个)安全功能/(一个或多个)平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件来实现),如下面进一步描述的。4G移动网络环境还可以包括固定/有线接入(图2B中未示出)、诸如Wi-Fi接入的非3GPP接入(图2B中未示出)、如在204处所示的4G无线电接入网络(RAN)接入、和/或其他网络(图2B中未示出),以促进用于订户的数据通信(例如,使用用户装备(UE),诸如智能电话、膝上型计算机、计算机(其可以在固定位置中)、和/或其他使能蜂窝的计算设备/装备,诸如CIoT设备,或其他使能网络通信的设备),其包括通过中央数据网络(例如,因特网)220来接入各种应用、web服务、内容主机等、和/或其他网络。
如图2B中所示,4G网络接入机制204与包括示出为SGW-U+PGW-U 206的用于用户平面流量的服务网关(SGW)和分组网关(PGW)的组合用户平面网络元件进行通信,其通过安全平台202a与SGW-U+PGW-U 206通信。
还如图2B中所示,4G网络接入机制204(例如,经由Sxa/Sxb接口)与核心网络210通信,其通过安全平台202a接入核心网络210。核心网络210包括组合的控制平面网络元件,该组合的控制平面网络元件包括示出为SGW-C+PGW-C 214的用于控制平面流量的服务网关(SGW)和分组数据网络(PDN)网关(PGW)。核心网络210还包括用于用户平面流量的PGW-U216,以促进接入中央数据网络220,其通过安全平台202b,经由PGW-U 216和示出为TDF-U224的用于用户平面流量的流量检测功能(TDF)接入中央数据网络220。具体地,Sxa接口经由UDP之上的PFCP提供SGW-C 214和SGW-U 206之间的接口,并且Sxb接口经由UDP之上的PFCP提供PGW-C 214和PGW-U 216之间的接口。核心网络210还包括示出为TDF-C 226的用于控制平面流量的流量检测功能(TDF),并且在TDF-C 226和TDF-U224之间的Sxc接口之上的网络流量通过安全平台202c。
还如所示出的,安全平台202a(例如,以及其他安全平台可以类似地与安全云服务通信)也与安全服务222(例如,商业上可获得的基于云的安全服务,诸如WildFireTM(WF)基于云的恶意软件分析环境,其是由Palo Alto Networks公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动化安全分析以及安全专家分析,或者可以利用由另一供应商提供的类似解决方案)进行网络通信,诸如用于恶意软件、DNS、URL、命令和控制(C&C)的动态预防签名,和/或各种其他安全更新和/或基于云的恶意软件样本分析。
参考图2B,可以使用安全平台202a、202b和202c(例如,它们可以位于各种位置中以监视Sxa、Sxb、Sxc和/或其他通信)来监视网络流量通信,如上面参考图2a类似描述的以及下面进一步描述的。在该示例实现中,安全平台202a、202b和202c位于该示例4G移动网络环境中,用于监视和解析在214处所示的服务网关-C和206处所示的服务网关-U之间的Sxa接口上、在214处所示的PDN网关-C和206处所示的PDN网关-U之间的Sxb接口上以及在226处所示的TDF-C和224处所示的TDF-U之间的Sxc接口上的PFCP消息(例如,UDP之上的PFCP),以提取用于建立PFCF会话的某些信息,并跟踪控制消息流,如将在下面进一步描述。
图2C是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的另一框图。具体地,图2C是用于保护移动网络中的控制和用户平面分离的示例4G移动网络环境,其包括用于保护控制和用户平面分离的安全平台202(例如,(一个或多个)安全功能/(一个或多个)平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件来实现),如下面进一步描述的。4G移动网络环境还可以包括固定/有线接入(图2C中未示出)、诸如Wi-Fi接入的非3GPP接入(图2C中未示出)、如在204处所示的4G无线电接入网络(RAN)接入、和/或其他网络(图2C中未示出),以促进用于订户的数据通信(例如,使用用户装备(UE),诸如智能电话、膝上型计算机、计算机(其可以在固定位置中)、和/或其他使能蜂窝的计算设备/装备,诸如CIoT设备,或其他使能网络通信的设备)来接入各种应用、web服务、内容主机等、和/或其他网络。
如图2C中所示,4G网络接入机制204与包括示出为SGW-U+PGW-U 206的用于用户平面流量的服务网关(SGW)和分组网关(PGW)的组合用户平面网络元件进行通信,其通过安全平台202与SGW-U+PGW-U 206通信。
还如图2C中所示,4G网络接入机制204(例如,经由Sxa/Sxb接口)与核心网络210通信,其通过安全平台202接入核心网络210。核心网络210包括组合的控制平面网络元件,该组合的控制平面网络元件包括示出为SGW-C+PGW-C 214的用于控制平面流量的服务网关(SGW)和分组数据网络(PDN)网关(PGW)。具体地,Sxa接口经由UDP之上的PFCP提供SGW-C214和SGW-U 206之间的接口,并且Sxb接口经由UDP之上的PFCP提供PGW-C 214和PGW-U 206之间的接口。
还如所示出的,安全平台202还与安全服务222(例如,商业上可获得的基于云的安全服务,诸如WildFireTM(WF)基于云的恶意软件分析环境,其是由Palo Alto Networks公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动化安全分析以及安全专家分析,或者可以利用由另一供应商提供的类似解决方案)进行网络通信,诸如用于恶意软件、DNS、URL、命令和控制(C&C)的动态预防签名,和/或各种其他安全更新和/或基于云的恶意软件样本分析。
参考图2C,可以使用安全平台202(例如,其可以位于各种位置中以监视Sxa、Sxb和/或其他通信)来监视网络流量通信,如上面参考图2A-B类似描述的以及如下面进一步描述的。在该示例实现中,安全平台202位于该示例4G移动网络环境中,用于监视和解析在214处所示的服务网关-C和206处所示的服务网关-U之间的Sxa接口上以及在214处所示的PDN网关-C和206处所示的PDN网关-U之间的Sxb接口上的PFCP消息(例如,UDP之上的PFCP),以提取用于建立PFCF会话的某些信息,并跟踪控制消息流,如将在下面进一步描述。
图2D是根据一些实施例的具有用于保护移动网络中的控制和用户平面分离的安全平台的4G无线网络的架构的另一框图。具体地,图2D是用于保护移动网络中的控制和用户平面分离的示例4G移动网络环境,其包括用于保护控制和用户平面分离的安全平台202a和202b(例如,(一个或多个)安全功能/(一个或多个)平台可以使用防火墙(FW)/下一代防火墙(NGFW)、代表防火墙起作用的网络传感器、或者可以使用所公开的技术实现安全策略的另一(虚拟)设备/组件来实现),如下面进一步描述的。4G移动网络环境还可以包括固定/有线接入(图2D中未示出)、诸如Wi-Fi接入的非3GPP接入(图2D中未示出)、如在204处所示的4G无线电接入网络(RAN)接入、和/或其他网络(图2D中未示出),以促进用于订户的数据通信(例如,使用用户装备(UE),诸如智能电话、膝上型计算机、计算机(其可以在固定位置中)、和/或其他使能蜂窝的计算设备/装备,诸如CIoT设备,或其他使能网络通信的设备)来接入各种应用、web服务、内容主机等、和/或其他网络。
如图2D中所示,4G网络接入机制204与包括分别示出为SGW-U208和PGW-U 206的用于用户平面流量的服务网关(SGW)和分组网关(PGW)的用户平面网络元件进行通信。安全平台202b位于PGW-U206和示出为TDF-U 224的用于用户平面流量的流量检测功能之间,其通过安全平台202b与TDF-U 224通信。
还如图2D中所示,4G网络接入机制204(例如,经由Sxa/Sxb接口)与核心网络210通信,其通过安全平台202a来接入核心网络210以用于控制平面流量。核心网络210包括控制平面网络元件,该控制平面网络元件包括分别示出为SGW-C 218和PGW-C 216的用于控制平面流量的服务网关(SGW)和分组数据网络(PDN)网关(PGW)。核心网络210还包括示出为TDF-C 234的用于控制平面流量的流量检测功能,其通过如所示出的安全平台202b。具体地,Sxa接口经由UDP之上的PFCP提供PGW-C 216和PGW-U 206之间的接口,并且Sxb接口经由UDP之上的PFCP提供SGW-C 218和SGW-U 208之间的接口。还如所示出的,Sxc接口经由UDP之上的PFCP提供TDF-C 234和TDF-U 224之间的接口。
还如所示出的,安全平台202a(例如,以及其他安全平台可以类似地与安全云服务通信)也与安全服务222(例如,商业上可获得的基于云的安全服务,诸如WildFireTM(WF)基于云的恶意软件分析环境,其是由Palo Alto Networks公司提供的商业上可获得的云安全服务,其包括恶意软件样本的自动化安全分析以及安全专家分析,或者可以利用由另一供应商提供的类似解决方案)进行网络通信,诸如用于恶意软件、DNS、URL、命令和控制(C&C)的动态预防签名,和/或各种其他安全更新和/或基于云的恶意软件样本分析。
参考图2D,可以使用安全平台202a和202b(例如,其可以位于各种位置中以监视Sxa、Sxb、Sxc和/或其他通信)来监视网络流量通信,如上面参考图2A-C类似描述的以及如下面进一步描述的。在该示例实现中,安全平台202a和202b位于该示例4G移动网络环境中,用于监视和解析在216处所示的PDN网关-C和206处所示的PDN网关-U之间的Sxa接口上、在218处所示的服务网关-C和208处所示的服务网关-U之间的Sxb接口上以及如在234处所示的TDF-C和如在224处所示的TDF-U之间的Sxc接口上的PFCP消息(例如,UDP之上的PFCP),以提取用于建立PFCF会话的某些信息,并跟踪控制消息流,如将在下面进一步描述。
如现在将清楚的是,可以使用用于4G网络和/或5G网络(例如,5G网络或融合5G网络)内的各种位置中的网络流量通信的一个或多个安全平台来监视/过滤网络流量通信,以促进保护移动网络中的控制和用户平面分离。
用于保护移动网络中的控制和用户平面分离的基于监视PFCP流量的示例安全机制
如类似上面讨论的,PFCP将用于如在针对LTE;5G;控制平面和用户平面节点之间的接口(例如,以及较新发布/版本)的3GPP技术规范(TS)29.244 v15.7中指定的控制平面和用户平面功能之间的接口上。
图3A是用于PFCP会话建立过程的协议序列图。参考图3A,SMF304接收建立新的PDU会话或改变已建立的PDU会话的UPF的触发。在310处,SMF 304向UPF 302发送N4会话建立请求消息。在320处,UPF 302用N4会话建立响应消息进行响应。SMF 304与触发该过程的网络功能(例如,5G核心接入和移动性管理功能(AMF)或策略控制功能(PCF))交互。
图3B是用于PFCP会话修改过程的协议序列图。参照图3B,SMF304接收修改现有PDU会话的触发。在330处,SMF 304向UPF 302发送N4会话修改请求消息。在340处,UPF 302用N4会话修改响应消息进行响应。SMF 304与触发该过程的网络功能(例如AMF或PCF)交互。
图3C是用于PFCP会话释放过程的协议序列图。参照图3C,SMF304接收移除PDU会话的N4会话上下文的触发。在350处,SMF 304向UPF 302发送N4会话释放请求消息。UPF 302通过N4会话ID标识要移除的N4会话上下文,并移除整个会话上下文。在360处,UPF 302用N4会话释放响应消息(例如,包括UPF必须向SMF提供的任何信息)进行响应。SMF 304与触发该过程的网络功能(例如AMF或PCF)交互。
在示例实现中,基于多接入分布式边缘4G/5G网络或企业私有LTE网络中的安全平台部署拓扑(例如,诸如图1中以及还在图2A-D中所示的安全平台部署),可以如下所述执行PFCF有状态检查。
首先,使用安全平台来监视PFCP流量,安全平台基于与PFCP关联相关的5元组+节点ID(可选)来自动建立会话(例如,5元组可以包括以下参数:源IP地址、SEID 1、目的地IP地址、SEID 2以及使用中的协议,其在该示例中是PFCP),诸如将在下面进一步描述。
第二,安全平台被配置有安全策略,以仅允许来自控制平面(CP)或用户平面(UP)功能的PFCP会话相关消息与对应于现有PFCP关联的“活动”会话相匹配。
第三,使用安全平台来监视PFCP流量,安全平台可以自动构建PFCP会话状态机来跟踪以下状态:基于5元组(例如,5元组可以包括以下参数:源IP地址、SEID 1、目的地IP地址、SEID 2和使用中的协议,其在该示例中是PFCP)创建、更新和释放PFCP会话,诸如下面将参考图3A-C进一步描述的。
第四,安全平台被配置有安全策略来执行序列号检查。例如,安全平台可以检查PFCP请求和响应消息中的序列号。在该示例中,安全平台被配置有安全策略,以仅允许具有序列号的PFCP响应消息与PCFP请求消息相匹配(例如,如在3GPP TS 29.244 v15.7.0第6.4节中所指定的,PCFP请求以及其响应消息应当具有相同的序列号值)。
安全平台可以被配置为基于监视PFCP流量来执行附加的安全机制。现在将描述基于监视PFCP流量的这样的附加安全机制的各种示例。
例如,安全平台可以被配置有安全策略来执行用户平面IP资源信息检查。具体地,通过检查在用户平面(UP)和控制平面(CP)功能之间交换的“用户平面IP资源信息”,可以在CUPS接口上应用附加的安全性。在PFCP关联建立过程期间,“PFCP关联建立请求”消息可以可选地包括用于“用户平面IP资源信息”的信息元素(IE),该信息元素应当包含IPv4和/或IPv6地址连同TEID范围,CP功能将使用该TEID范围在PFCP关联建立期间在UP功能中分配GTP-UF-TEID。在该示例中,安全平台可以被配置有安全策略来存储该信息,并且仅允许建立与GTP-U F-TEID的有效范围相匹配的GTP-U隧道,其具有在PFCP关联建立期间较早交换的正确的IPv4和/或IPv6地址。
作为另一个示例,安全平台可以被配置有安全策略来执行过载保护——PFCP消息的速率限制。具体地,安全平台可以被配置有安全策略,以监视PFCP关联建立请求、PFCP会话建立请求和PFCP会话删除请求,诸如上面参考图3A-C所描述的,安全平台可以应用所述安全策略来保护4G/5G网络中的各种网络功能的资源,诸如4G/5G网络中的UPF、PGW-U和/或其他网络功能。
用于保护移动网络中的控制和用户平面分离的增强安全性的示例用例
使用用于安全策略实施的安全平台为4G/5G移动/服务提供商网络提供增强的安全性的所公开技术——包括用于保护移动网络中的控制和用户平面分离——可以应用于多种附加的示例用例场景中,以便促进4G/5G移动/服务提供商网络环境的增强的安全性。
在示例用例场景中,PFCP协议在UDP之上运行,并且缺乏固有的安全设计。照此,移动网络可能遭受诸如拒绝服务(DoS)和/或欺骗攻击之类的攻击。
示例潜在攻击可以以一个或多个网络功能为目标,所述一个或多个网络功能包括接收用于会话端点标识符(SEID)暴力破解(brute forcing)(例如,0或假SEID)的PFCP消息的UPF和/或SMF网络功能。
另一个示例潜在攻击可以以网络功能为目标,所述网络功能包括接收具有虚假PFCP会话修改请求和/或PFCP会话删除请求的欺骗PFCP消息的UPF和/或SMF网络功能。
又一个示例潜在攻击可以以PFCP节点发现为目标,其中具有对Sxa/Sxb/N4接口(例如,或其他接口)接入权的攻击者可以向网络功能(NF)发送有效的PFCP消息,并接收具有关于NF的有用信息的响应消息(例如,这样的信息然后可以被攻击者用来发起对4G/5G移动网络的攻击)。
可以使用所公开的技术来检测和/或预防所公开的潜在攻击示例,如将在下面描述。
使用暴力破解0或假SEID对UPF和/或SMF的DoS攻击可以使用由安全平台执行的PFCP有状态检查来检测和预防,如类似地在上面描述的。如类似地在上面描述的,通过在由安全平台实施的安全策略中配置适当的阈值来限制PFCP消息的速率,也可以检测和预防对UPF和/或SMF的DoS攻击和/或欺骗攻击。
使用PFCP有状态检查可以检测和预防使用假PFCP会话修改请求和/或PFCP会话删除请求对UPF和/或SMF进行的欺骗和/或会话/关联劫持攻击。具体地,由于安全平台维护PFCP关联的状态,基于由安全平台实施的安全策略,仅可以允许与防火墙表中的现有PFCP关联相匹配的有效PFCP关联消息,如类似地在上面描述的。类似地,由于安全平台维护PFCP会话的状态,因此基于由安全平台实施的安全策略,仅可以允许与防火墙表中的现有PFCP关联相匹配的有效PFCP关联消息,如类似地在上面描述的。
最后,如类似地在上面描述的,基于由安全平台实施的安全策略,使用PFCP消息来收集网络功能信息的侦察攻击可以使用PFCP有状态检查和PFCP消息速率限制二者来检测和预防。
如对于本领域普通技术人员而言现在将清楚的是,使用用于安全策略实施的安全平台为4G/5G移动/服务提供商网络提供增强的安全性的所公开技术——包括用于保护移动网络中的控制和用户平面分离——可以应用于多种附加的示例用例场景中,以检测/预防这些和其他类型的攻击,以便促进4G/5G移动/服务提供商网络环境的增强的安全性。
用于保护移动网络中的控制和用户平面分离的网络设备的示例硬件组件
图4是根据一些实施例的用于保护移动网络中的控制和用户平面分离的网络设备的硬件组件的功能图。所示的示例是可以包括在网络设备400中的物理/硬件组件的表示(例如,可以实现本文公开的安全平台的器具、网关或服务器)。具体地,网络设备400包括高性能多核CPU 402和RAM 404。网络设备400还包括存储装置410(例如,一个或多个硬盘或固态存储单元),其可以用于存储策略和其他配置信息以及签名。在一个实施例中,存储装置410存储某些信息(例如,与PFCP关联相关的5元组+节点ID(可选)、用于跟踪以下状态的PFCP会话状态信息:基于5元组+SEID的PFCP会话的创建、更新和释放、PFCP请求和响应消息中的序列号等),所述信息是从各种接口之上的PFCP流量中提取的,监视所述接口以实现所公开的安全策略实施技术,该安全策略实施技术用于使用(一个或多个)安全平台来保护移动网络中的控制和用户平面分离,如以上参考图1-3C类似描述的。网络设备400还可以包括一个或多个可选的硬件加速器。例如,网络设备400可以包括被配置为执行加密和解密操作的密码引擎406,以及被配置为执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个FPGA 408。
用于保护移动网络中的控制和用户平面分离的网络设备的示例逻辑组件
图5是根据一些实施例的用于保护移动网络中的控制和用户平面分离的网络设备的逻辑组件的功能图。所示的示例是可以包括在网络设备500中的逻辑组件的表示(例如,数据器具,其可以实现所公开的安全功能/平台,并且执行用于保护移动网络中的控制和用户平面分离的所公开技术)。如所示出的,网络设备500包括管理平面502和数据平面504。在一个实施例中,管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户接口。数据平面负责管理数据,诸如通过执行分组处理和会话处理。
假设移动设备试图使用诸如SSL的加密会话协议来接入资源(例如,远程网站/服务器、MEC服务、诸如CIoT设备的IoT设备或另一资源)。网络处理器506被配置为监视来自移动设备的分组,并将分组提供给数据平面504进行处理。流程508将分组标识为新会话的一部分,并创建新的会话流。基于流查找,后续分组将被标识为属于该会话。如果适用,SSL解密引擎510使用如本文所述的各种技术来应用SSL解密。否则,省略SSL解密引擎510的处理。应用标识(APP ID)模块512被配置为确定会话涉及什么类型的流量(例如,如在上面参考图1-3C类似描述的各种被监视接口之间的UDP流量之上的PFCP),并标识与流量流相关联的用户(例如,如本文所述标识应用ID)。例如,APP ID 512可以识别接收到的数据中的GET请求,并推断会话需要HTTP解码器514。作为另一个示例,APP ID 512可以识别PFCP会话建立/修改/释放消息(例如,N4会话建立请求/响应消息,诸如上面参考图3A-C类似描述的),并且推断该会话需要PFCP解码器(例如,提取在包括各种参数的N4会话建立相关消息中交换的信息,诸如上面参考图1-3C类似描述的)。对于每种类型的协议,存在对应的解码器514。在一个实施例中,应用标识由应用标识模块(例如,APP ID组件/引擎)执行,并且用户标识由另一组件/引擎执行。基于APP ID 512做出的确定,分组被发送到适当的解码器514。解码器514被配置为将分组(例如,其可能是无序接收的)组装成正确的次序,执行令牌化,并提取出信息(例如,这样以提取通过N4/Sxa/Sxb/Sxc/其他接口在N4会话建立相关消息和/或各种PFCP消息中交换的各种信息,如上面类似描述的和下面进一步描述的)。解码器514还执行签名匹配,以确定应当对分组进行什么处理。SSL加密引擎516使用如本文所述的各种技术执行SSL加密,并且然后使用如示出的转发组件518转发分组。还如所示出的,策略520被接收并存储在管理平面502中。在一个实施例中,如本文所描述的,基于被监视的、被解密的、被标识的和被解码的会话流量流针对各种实施例来应用策略实施(例如,策略可以包括一个或多个规则,其可以使用域名和/或主机/服务器名来指定,并且规则可以应用一个或多个签名或其他匹配标准或启发法,如本文所公开的,诸如基于从被监视的HTTP/2消息和/或被监视的PFCP和/或(一个或多个)其他协议流量的DPI中提取的各种参数/信息,用于服务提供商网络上的订户/IP流的安全策略实施)。
还如图5中所示,接口(I/F)通信器522也被提供用于安全平台管理器通信(例如,经由(REST)API、消息或网络协议通信或其他通信机制)。在一些情况下,使用网络设备500来监视服务提供商网络上的其他网络元件的网络通信,并且数据平面504支持对这样的通信的解码(例如,包括I/F通信器522和解码器514的网络设备500可以被配置为在例如诸如N4、Sxa、Sxb、Sxc的参考点接口和/或存在有线和无线网络流量流的其他接口上进行监视和/或通信)。照此,包括I/F通信器522的网络设备500可以用于实现用于在移动/服务提供商网络环境中的安全策略实施的所公开技术,其包括MEC服务安全,如上所述并且如将在下面进一步描述。
现在将描述用于保护移动网络中的控制和用户平面分离的所公开技术的附加示例过程。
用于保护移动网络中的控制和用户平面分离的示例过程
图6是根据一些实施例的用于保护移动网络中的控制和用户平面分离的过程的流程图。在一些实施例中,如图6中所示的过程600由如上面类似描述的安全平台和技术执行,包括上面参考图1-5描述的实施例。在一个实施例中,由如以上参考图4所述的数据器具400、如以上参考图5所述的网络设备500、虚拟器具、SDN安全解决方案、云安全服务和/或如本文所述的前述的组合或混合实现来执行过程600。
该过程在602处开始。在602处,执行在安全平台处监视移动网络上的网络流量以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中移动网络包括4G网络或5G网络。例如,在一些情况下,安全平台(例如,防火墙、代表防火墙起作用的网络传感器、或者可以实现安全策略的另一设备/组件)可以监视移动网络上的各种协议,诸如PFCP流量和/或其他协议,并且更具体地,通过执行所公开的技术,可以监视各种接口,诸如N4、Sxa、Sxb和Sxc接口,如上面类似描述的。
在604处,执行在安全平台处从PFCP消息中提取多个参数。例如,如上面类似描述的,安全平台可以解析PFCP消息以提取源IP地址、SEID 1、目的地IP地址、SEID 2以及与PFCP关联相关的使用中的协议。作为另一个示例,如上面类似描述的,安全平台可以解析PFCP消息,以提取与PFCP关联相关的节点ID。
在606处,基于多个参数中的一个或多个参数在安全平台处对新会话实施安全策略,以保护移动网络中的控制和用户平面分离。例如,如上面类似描述的,用于保护4G/5G网络中的控制和用户平面分离的拒绝服务(DoS)攻击的检测和预防可以由安全平台来执行。作为另一个示例,如上面类似描述的,用于保护4G/5G网络中的控制和用户平面分离的会话端点标识符(SEID)欺骗攻击的检测和预防可以由安全平台来执行。
图7是根据一些实施例的用于保护移动网络中的控制和用户平面分离的过程的另一流程图。在一些实施例中,如图7中所示的过程700由如上面类似描述的安全平台和技术执行,包括上面参考图1-5描述的实施例。在一个实施例中,由如以上参考图4所述的数据器具400、如以上参考图5所述的网络设备500、虚拟器具、SDN安全解决方案、云安全服务和/或如本文所述的前述的组合或混合实现来执行过程700。
在702处,执行在安全平台处监视移动网络上的网络流量以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中移动网络包括4G网络或5G网络。例如,在一些情况下,安全平台(例如,防火墙、代表防火墙起作用的网络传感器、或者可以实现安全策略的另一设备/组件)可以监视移动网络上的各种协议,诸如PFCP流量和/或其他协议,并且更具体地,通过执行所公开的技术,可以监视各种接口,诸如N4、Sxa、Sxb和Sxc接口,如上面类似描述的。
在704处,执行在安全平台处基于与PFCP关联相关的5元组+节点ID(可选)(例如,5元组可以包括以下参数:源IP地址、SEID 1、目的地IP地址、SEID 2和使用中的协议,其在该示例中是PFCP)从被监视的PCFP流量中提取参数以构建会话,诸如上面类似描述的。
在706处,执行在安全平台处从被监视的PCFP流量中提取参数以构建PFCP会话状态机。例如,安全平台可以跟踪以下状态:基于5元组+SEID的PFCP会话的创建、更新和释放,诸如上面类似描述的。
在708处,执行在安全平台处实施安全策略以仅允许来自控制平面(CP)或用户平面(UP)功能的与对应于现有PFCP关联的“活动”会话相匹配的PFCP会话相关消息,诸如上面类似描述的。
在710处,执行在安全平台处实施安全策略以执行序列号检查。例如,安全平台可以检查PFCP请求和响应消息中的序列号。在该示例中,安全平台被配置有安全策略,以仅允许具有序列号的PFCP响应消息与PCFP请求消息相匹配(例如,如在3GPP TS 29.244v15.7.0第6.4节中所指定的,PCFP请求以及其响应消息应当具有相同的序列号值),诸如上面类似描述的。
鉴于所公开的实施例,如现在将清楚的是,网络服务提供商/移动运营商(例如,蜂窝服务提供商实体)、设备制造商(例如,汽车实体、IoT设备实体和/或其他设备制造商)、和/或系统集成商可以指定这样的安全策略,该安全策略可以由安全平台使用所公开的技术来实施,以解决这些和其他技术网络安全挑战,以便保护在包括4G网络和5G网络的移动网络中的控制和用户平面分离。
尽管为了清楚理解的目的,已经以一些细节描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的,而不是限制性的。
Claims (20)
1.一种系统,包括:
处理器,被配置为:
在安全平台处监视移动网络上的网络流量,以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中所述移动网络包括4G网络或5G网络;
在安全平台处从PFCP消息中提取多个参数;和
基于所述多个参数中的一个或多个参数,在安全平台处对所述新会话实施安全策略,以保护移动网络中的控制和用户平面分离;以及
耦合到处理器并被配置为向处理器提供指令的存储器。
2.根据权利要求1所述的系统,其中,在安全平台处从PFCP消息中提取的所述多个参数包括源IP地址、会话端点标识符(SEID)1、目的地IP地址、SEID 2和使用中的协议。
3.根据权利要求1所述的系统,其中,所述安全平台被配置有多个安全策略,以保护移动网络中的控制和用户平面分离。
4.根据权利要求1所述的系统,其中,所述处理器进一步被配置为:
解析PFCP消息以提取源IP地址、会话端点标识符(SEID)1、目的地IP地址、SEID 2以及与PFCP关联相关的使用中的协议。
5.根据权利要求1所述的系统,其中,所述处理器进一步被配置为:
解析PFCP消息以提取与PFCP关联相关的节点ID。
6.根据权利要求1所述的系统,其中,所述安全平台监视去往用于5G网络的核心网络和/或在用于5G网络的核心网络中的网络流量,以保护移动网络中的控制和用户平面分离。
7.根据权利要求1所述的系统,其中,所述安全平台被配置为执行拒绝服务(DoS)攻击的检测和预防,以便保护移动网络中的控制和用户平面分离。
8.根据权利要求1所述的系统,其中,所述安全平台被配置为执行会话端点标识符(SEID)欺骗攻击的检测和预防,以便保护移动网络中的控制和用户平面分离。
9.根据权利要求1所述的系统,其中,所述处理器进一步被配置为:
基于安全策略阻挡新会话接入资源。
10.根据权利要求1所述的系统,其中,所述处理器进一步被配置为:
基于安全策略允许新会话接入资源。
11.一种方法,包括:
在安全平台处监视移动网络上的网络流量,以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中所述移动网络包括4G网络或5G网络;
在安全平台处从PFCP消息中提取多个参数;和
基于所述多个参数中的一个或多个参数,在安全平台处对所述新会话实施安全策略,以保护移动网络中的控制和用户平面分离。
12.根据权利要求11所述的方法,其中,在安全平台处从PFCP消息中提取的所述多个参数包括源IP地址、会话端点标识符(SEID)1、目的地IP地址、SEID2和使用中的协议。
13.根据权利要求11所述的方法,其中,所述安全平台被配置有多个安全策略,以保护移动网络中的控制和用户平面分离。
14.根据权利要求11所述的方法,进一步包括:
解析PFCP消息以提取源IP地址、会话端点标识符(SEID)1、目的地IP地址、SEID 2以及与PFCP关联相关的使用中的协议。
15.根据权利要求11所述的方法,进一步包括:
解析PFCP消息以提取与PFCP关联相关的节点ID。
16.根据权利要求11所述的方法,其中,所述安全平台监视去往用于5G网络的核心网络和/或在用于5G网络的核心网络中的网络流量,以保护移动网络中的控制和用户平面分离。
17.根据权利要求11所述的方法,其中,所述安全平台被配置为执行拒绝服务(DoS)攻击的检测和预防,以便保护移动网络中的控制和用户平面分离。
18.根据权利要求11所述的方法,其中,所述安全平台被配置为执行会话端点标识符(SEID)欺骗攻击的检测和预防,以便保护移动网络中的控制和用户平面分离。
19.根据权利要求11所述的方法,进一步包括:
基于安全策略允许或阻挡新会话接入资源。
20.一种计算机程序产品,所述计算机程序产品体现在非暂时性计算机可读存储介质中并且包括计算机指令,所述计算机指令用于:
在安全平台处监视移动网络上的网络流量,以标识与新会话相关联的分组转发控制协议(PFCP)消息,其中所述移动网络包括4G网络或5G网络;
在安全平台处从PFCP消息中提取多个参数;和
基于所述多个参数中的一个或多个参数,在安全平台处对所述新会话实施安全策略,以保护移动网络中的控制和用户平面分离。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/917,490 US11689502B2 (en) | 2020-06-30 | 2020-06-30 | Securing control and user plane separation in mobile networks |
US16/917490 | 2020-06-30 | ||
PCT/US2021/037590 WO2022005748A1 (en) | 2020-06-30 | 2021-06-16 | Securing control and user plane separation in mobile networks |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115989661A true CN115989661A (zh) | 2023-04-18 |
Family
ID=79030576
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180052126.1A Pending CN115989661A (zh) | 2020-06-30 | 2021-06-16 | 保护移动网络中的控制和用户平面分离 |
Country Status (6)
Country | Link |
---|---|
US (2) | US11689502B2 (zh) |
EP (1) | EP4173338A1 (zh) |
JP (1) | JP2023532924A (zh) |
KR (1) | KR20230018457A (zh) |
CN (1) | CN115989661A (zh) |
WO (1) | WO2022005748A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11343285B2 (en) * | 2020-01-31 | 2022-05-24 | Palo Alto Networks, Inc. | Multi-access edge computing services security in mobile networks by parsing application programming interfaces |
US11546368B2 (en) * | 2020-09-28 | 2023-01-03 | T-Mobile Usa, Inc. | Network security system including a multi-dimensional domain name system to protect against cybersecurity threats |
US20220225174A1 (en) * | 2021-01-08 | 2022-07-14 | Motojeannie, Inc. | Experience-driven network (edn) |
US11895537B2 (en) * | 2021-05-11 | 2024-02-06 | Verizon Patent And Licensing Inc. | Systems and methods for supporting multi-access edge computing using application-based quality of service flows |
WO2023235489A1 (en) * | 2022-06-02 | 2023-12-07 | Booz Allen Hamilton Inc. | System and method using genetic algorithms for anomaly detection in a mobile network |
US20240073698A1 (en) * | 2022-08-31 | 2024-02-29 | Palo Alto Networks, Inc. | Applying subscriber-id based security, equipment-id based security, and/or network slice-id based security with user-id and syslog messages in mobile networks |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8973088B1 (en) | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
US9100236B1 (en) * | 2012-09-30 | 2015-08-04 | Juniper Networks, Inc. | TCP proxying of network sessions mid-flow |
US9172721B2 (en) * | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
US10193863B2 (en) | 2016-10-07 | 2019-01-29 | Microsoft Technology Licensing, Llc | Enforcing network security policy using pre-classification |
US10855656B2 (en) | 2017-09-15 | 2020-12-01 | Palo Alto Networks, Inc. | Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation |
EP3756384A1 (en) | 2018-02-20 | 2020-12-30 | Microsoft Technology Licensing, LLC | Dynamic selection of network elements |
US10506506B2 (en) * | 2018-04-30 | 2019-12-10 | Ofinno, Llc | 5G policy control for restricted local operator services |
US10574670B1 (en) | 2018-09-27 | 2020-02-25 | Palo Alto Networks, Inc. | Multi-access distributed edge security in mobile networks |
US11184953B2 (en) * | 2019-10-30 | 2021-11-23 | Verizon Patent And Licensing Inc. | Systems and methods for providing low latency services via an evolved packet core network |
-
2020
- 2020-06-30 US US16/917,490 patent/US11689502B2/en active Active
-
2021
- 2021-06-16 KR KR1020227045998A patent/KR20230018457A/ko unknown
- 2021-06-16 JP JP2022581359A patent/JP2023532924A/ja active Pending
- 2021-06-16 CN CN202180052126.1A patent/CN115989661A/zh active Pending
- 2021-06-16 WO PCT/US2021/037590 patent/WO2022005748A1/en unknown
- 2021-06-16 EP EP21831523.2A patent/EP4173338A1/en active Pending
-
2023
- 2023-05-08 US US18/314,023 patent/US20230412566A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20210409375A1 (en) | 2021-12-30 |
JP2023532924A (ja) | 2023-08-01 |
US20230412566A1 (en) | 2023-12-21 |
EP4173338A1 (en) | 2023-05-03 |
US11689502B2 (en) | 2023-06-27 |
WO2022005748A1 (en) | 2022-01-06 |
KR20230018457A (ko) | 2023-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11792235B2 (en) | Network slice-based security in mobile networks | |
US11019077B2 (en) | Multi-access distributed edge security in mobile networks | |
US11750662B2 (en) | Multi-access edge computing services security in mobile networks by parsing application programming interfaces | |
EP3735770B1 (en) | Multi-access distributed edge security in mobile networks | |
US10812971B2 (en) | Service-based security per data network name in mobile networks | |
US11689502B2 (en) | Securing control and user plane separation in mobile networks | |
US10812972B2 (en) | Service-based security per user location in mobile networks | |
EP3837867B1 (en) | Network slice-based security in mobile networks | |
US10531305B1 (en) | Service-based security per subscription and/or equipment identifiers in mobile networks | |
WO2024049591A1 (en) | Applying subscriber-id based security, equipment-id based security, and/or network slice-id based security with user-id and syslog messages in mobile networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |