知財求人 - 知財ポータルサイト「IP Force」
▶ パロ アルト ネットワークス,インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-02
(45)【発行日】2022-05-13
(54)【発明の名称】次世代ファイアウォールを用いたトランスポート層の信号安全性
(51)【国際特許分類】
H04L 67/00 20220101AFI20220506BHJP
H04W 12/12 20210101ALI20220506BHJP
H04W 80/12 20090101ALI20220506BHJP
【FI】
H04L67/00
H04W12/12
H04W80/12
【請求項の数】
18
【外国語出願】
(21)【出願番号】P 2020174354
(22)【出願日】2020-10-16
(62)【分割の表示】P 2020542742の分割
【原出願日】2019-02-08
(65)【公開番号】P2021040318
(43)【公開日】2021-03-11
【審査請求日】2020-10-23
(31)【優先権主張番号】15/895,946
(32)【優先日】2018-02-13
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】15/895,942
(32)【優先日】2018-02-13
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】15/895,944
(32)【優先日】2018-02-13
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】15/895,948
(32)【優先日】2018-02-13
(33)【優先権主張国・地域又は機関】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】517392861
【氏名又は名称】パロ アルト ネットワークス,インコーポレイテッド
【氏名又は名称原語表記】Palo Alto Networks,Inc.
【住所又は居所原語表記】3000 Tannery Way,Santa Clara,California 95054,United States of America
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】ヴァーマ,サシン
(72)【発明者】
【氏名】ブラコフスキー,レオニド
(72)【発明者】
【氏名】フゥオ,ミンシュウ
(72)【発明者】
【氏名】フー,フェンリャン
【審査官】白井 亮
(56)【参考文献】
【文献】米国特許出願公開第2005/022011(US,A1)
【文献】特開2004-362590(JP,A)
【文献】米国特許出願公開第2014/105103(US,A1)
【文献】米国特許出願公開第2007/173226(US,A1)
【文献】米国特許出願公開第2005/108518(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 67/00
H04W 12/12
H04W 80/12
(57)【特許請求の範囲】
【請求項1】
プロセッサであり、セキュリティプラットフォームでサービスプロバイダ・ネットワーク上のアプリケーション層・シグナリング・トラフィックをモニタリングし、かつ、
セキュリティポリシに基づいて、前記セキュリティプラットフォームで前記アプリケーション層・シグナリング・トラフィックをフィルタリングし、アプリケーション層・シグナリング・プロトコルは、モバイル・アプリケーション・パート(MAP)プロトコル、CAMELアプリケーション・パート(CAP)プロトコル、または、インテリジェント・ネットワーク・アプリケーション・パート(INAP)であり、かつ、
サブシステム番号(SSN)および送信元/宛先IPアドレス毎に、MAP、CAP、または、INAPプロトコル・メッセージをフィルタリングしている間に、シグナリング・接続制御・パート(SCCP)プロトコルの状態及びパケット検証を実行する、
ように構成されている、プロセッサと、
前記プロセッサに結合されており、かつ、前記プロセッサに命令を提供するように構成されている、メモリと、
を含む、システム。
【請求項2】
前記セキュリティプラットフォームは、アプリケーション層・シグナリング・プロトコルに基づく、複数のセキュリティポリシで構成されている、請求項1に記載のシステム。
【請求項3】
前記プロセッサは、さらに、アプリケーション層・シグナリング・プロトコルに基づいて、脅威防止を実行する、ように構成されている、
請求項1に記載のシステム。
【請求項4】
前記プロセッサは、さらに、前記MAP、CAP、または、INAPプロトコルに基づいて、セキュリティポリシの実施を行う、ように構成されている、
請求項1に記載のシステム。
【請求項5】
前記プロセッサは、さらに、前記SCCPプロトコルの状態及びパケット検証を実行する、ように構成されている、
請求項1に記載のシステム。
【請求項6】
前記セキュリティプラットフォームは、3G及び/又は4Gネットワークのためのモバイルコアネットワークにおける、シグナリング制御プロトコルおよびユーザデータトラフィックのための複数のインターフェイスを含む、無線インターフェイスをモニタリングする、請求項1に記載のシステム。
【請求項7】
前記プロセッサは、さらに、前記セキュリティポリシに基づいて、前記アプリケーション層・シグナリング・トラフィックにおいてフィルタリングされたメッセージをブロックする、ように構成されている、
請求項1に記載のシステム。
【請求項8】
前記プロセッサは、さらに、前記セキュリティポリシに基づいて、前記アプリケーション層・シグナリング・トラフィックまたは前記SCCPトラフィックにおいてフィルタリングされたメッセージをブロックする、ように構成されている、
請求項1に記載のシステム。
【請求項9】
セキュリティプラットフォームでサービスプロバイダ・ネットワーク上のアプリケーション層・シグナリング・トラフィックをモニタリングするステップと、セキュリティポリシに基づいて、前記セキュリティプラットフォームで前記アプリケーション層・シグナリング・トラフィックをフィルタリングするステップであり、アプリケーション層・シグナリング・プロトコルは、モバイル・アプリケーション・パート(MAP)プロトコル、CAMELアプリケーション・パート(CAP)プロトコル、または、インテリジェント・ネットワーク・アプリケーション・パート(INAP)である、ステップと、
サブシステム番号(SSN)および送信元/宛先IPアドレス毎に、MAP、CAP、または、INAPプロトコル・メッセージをフィルタリングしている間に、シグナリング・接続制御・パート(SCCP)プロトコルの状態及びパケット検証を実行するステップと、
を含む、方法。
【請求項10】
前記セキュリティプラットフォームは、アプリケーション層・シグナリング・プロトコルに基づく、複数のセキュリティポリシで構成されている、請求項9に記載の方法。
【請求項11】
前記方法は、さらに、アプリケーション層・シグナリング・プロトコルに基づいて、脅威防止を実行するステップ、を含む、
請求項9に記載の方法。
【請求項12】
前記方法は、さらに、前記MAP、CAP、または、INAPプロトコルに基づいて、セキュリティポリシの実施を行うステップ、を含む、
請求項9に記載の方法。
【請求項13】
前記方法は、さらに、前記セキュリティポリシに基づいて、前記SCCPプロトコルの状態及びパケット検証を実行するステップ、を含む、
請求項9に記載の方法。
【請求項14】
複数の命令を含むコンピュータプログラムであって、セキュリティプラットフォームでサービスプロバイダ・ネットワーク上のアプリケーション層・シグナリング・トラフィックをモニタリングするステップと、
セキュリティポリシに基づいて、前記セキュリティプラットフォームで前記アプリケーション層・シグナリング・トラフィックをフィルタリングするステップであり、アプリケーション層・シグナリング・プロトコルは、モバイル・アプリケーション・パート(MAP)プロトコル、CAMELアプリケーション・パート(CAP)プロトコル、または、インテリジェント・ネットワーク・アプリケーション・パート(INAP)である、ステップと、
サブシステム番号(SSN)および送信元/宛先IPアドレス毎に、MAP、CAP、または、INAPプロトコル・メッセージをフィルタリングしている間に、シグナリング・接続制御・パート(SCCP)プロトコルの状態及びパケット検証を実行するステップと、
を含むオペレーションを、コンピューティングデバイスに実行させる、
コンピュータプログラム。
【請求項15】
前記セキュリティプラットフォームは、アプリケーション層・シグナリング・プロトコルに基づく、複数のセキュリティポリシで構成されている、請求項14に記載のコンピュータプログラム。
【請求項16】
前記コンピュータプログラムは、さらに、アプリケーション層・シグナリング・プロトコルに基づいて、脅威防止を実行するステップ、を実行させる、
請求項14に記載のコンピュータプログラム。
【請求項17】
前記コンピュータプログラムは、さらに、前記MAP、CAP、または、INAPプロトコルに基づいて、セキュリティポリシの実施を行うステップ、を実行させる、
請求項14に記載のコンピュータプログラム。
【請求項18】
前記コンピュータプログラムは、さらに、前記セキュリティポリシに基づいて、前記SCCPプロトコルの状態及びパケット検証を実行するステップ、を実行させる、
請求項14に記載のコンピュータプログラム。
【発明の詳細な説明】
【背景技術】
【0001】
ファイアウォールは、一般的に、承認された(authorized)通信がファイアウォールを通過するのを許可し、一方で、不正アクセス(unauthorized access)からネットワークを保護している。ファイアウォールは、典型的には、コンピュータといった、デバイスまたは一式のデバイス、または、デバイス上で実行されるソフトウェアであり、ネットワークアクセスについてファイアウォール機能を提供する。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能デバイス)のオペレーティングシステムの中へ統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティアプライアンスまたは他のタイプの特殊目的のデバイス)上のソフトウェアとして、統合され、もしくは、実行することもできる。
【0002】
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これら一式のルールは、しばしば、ポリシ(policy)として参照される。例えば、ファイアウォールは、一式のルールまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができます。ファイアウォールは、一式のルールまたはポリシを適用することによって、アウトバウンドトラフィック(outbound traffic)をフィルタリングすることもできる。ファイアウォールは、基本的なルーティング機能を実行することもできる。
【図面の簡単な説明】
【0003】
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
【図4A】図4Aは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、SCTP上のDiameter(Diameter over SCTP)セキュリティサービスを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。
【図4B】図4Bは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、SIGTRANセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。
【図4C】図4Cは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、SCCPセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。
【図4D】図4Dは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、OSIレイヤ7シグナリングセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。
【図5A】図5Aは、いくつかの実施例に従った、セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル・サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するように防止され得る、MAPメッセージを用いたシグナリング攻撃(signaling attack)の一つの例である。
【図5B】図5Bは、いくつかの実施例に従った、セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル・サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するように防止され得る、MAPメッセージを用いたシグナリング攻撃の別の例である。
【発明を実施するための形態】
【0004】
本発明は、プロセス、装置、システム、事項の構成、コンピュータで読取り可能な記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリに保管され、かつ/あるいは、提供される命令を実行するように構成されたプロセッサといった、プロセッサを含む、多数の方法で実装することができる。この明細書において、これらの実施形態、または本発明が採用し得るあらゆる他の形態は、技術(techniques)として参照され得る。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更され得る。特に言及されない限り、タスクを実行するように構成されているものとして説明されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成されている一般的なコンポーネントとして、または、タスクを実行するように製造されている所定のコンポーネントとして実装され得る。ここにおいて使用されるように、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つまたはそれ以上のデバイス、回路、及び/又は、処理コアを参照するものである。
【0005】
本発明に係る1つまたはそれ以上の実施形態の詳細な説明が、本発明の原理を説明する添付の図面と共に以下に提供される。本発明は、そうした実施形態に関連して説明されるが、本発明は、あらゆる実施形態に限定されるものではない。本発明の範囲は、請求項だけによって限定されるものであり、そしえ、本発明は、多数の代替、変形、および均等物を包含している。本発明の完全な理解を提供するために、多数の具体的な詳細が以下の説明において明らかにされる。これらの詳細は、例示のために提供されるものであり、そして、本発明は、これらの所定の詳細のいくつか又は全てを用いることなく、請求項に従って実施され得る。明瞭にするために、本発明と関連する技術分野において知られている技術的事項は、本発明が不必要に不明瞭にならないように、詳細には説明されていない。
【0006】
ファイアウォールは、一般的に、承認された通信がファイアウォールを通過するのを許可し、一方で、不正アクセスからネットワークを保護している。ファイアウォールは、典型的には、ネットワークアクセスのためにファイアウォール機能を提供する、デバイス、一式のデバイス、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング(routing)デバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティアプライアンス、または他のタイプの特殊目的デバイス)といった、様々なタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションとして統合され、または実行することができる。
【0007】
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらのルールのセットは、しばしば、ポリシ(例えば、ネットワークポリシ、またはネットワークセキュリティポリシ)として参照される。例えば、ファイアウォールは、不要な外部トラフィックが保護デバイスに到達するのを防ぐために、一式のルールまたはポリシを適用することによって、インバウンドトラフィック(inbound traffic)をフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることができる(例えば、許可(allow)、ブロック(block)、モニタリング(monitor)、通知(notify)、またはログ(log)、及び/又は、ファイアウォール/セキュリティルールまたはファイアウォール/セキュリティポリシにおいて指定され得る他のアクションであり、これらは、ここにおいて説明されるような、様々な基準に基づいてトリガすることができる。)
【0008】
セキュリティデバイス(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティデバイス)は、様々なセキュリティ機能(例えば、ファイアウォール、アンチ-マルウェア、侵入防止/検出、プロキシ、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーク機能)、及び/又は、他の機能を含むことができる。例えば、ルーティング機能は、送信元(source)情報(例えば、送信元IPアドレスおよびポート)、宛先(destination)情報(例えば、宛先IPアドレスおよびポート)、および、プロトコル情報に基づくことができる。
【0009】
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックをフィルタリングする(例えば、ステートレス(stateless)パケットフィルタリング・ファイアウォールである、パケットフィルタリング・ファイアウォールまたは第1世代ファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、典型的に、個々のパケット自体を検査し、そして、検査されたパケットに基づいて(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用して)ルールを適用する。
【0010】
アプリケーション・ファイアウォールは、また、(例えば、アプリケーション層フィルタリング・ファイアウォール、または、TCP/IPスタックのアプリケーションレベルにおいて機能する第2世代ファイアウォールを使用して)アプリケーション層フィルタリングを実行することもできる。アプリケーション層フィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したウェブブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、様々な他のタイプのアプリケーションおよび他のプロトコル)を識別することができる。例えば、アプリケーション・ファイアウォールは、標準ポート上で通信を試みる未認可(unauthorized)プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準(non-standard)ポートを使用することにより黙って通り抜けること(sneak through)を試みる未認可/外れたポリシプロトコルは、一般的に、アプリケーション・ファイアウォールを使用して識別することができる)。
【0011】
ステートフル・ファイアウォールは、また、ステートフル・ベースのパケット検査を実行することもでき、そこでは、各パケットが、そのネットワーク送信のパケットフロー(packets/packet flow)と関連する一式のパケットのコンテキストの中で検査される(例えば、ステートフル・ファイアウォールまたは第3世代ファイアウォール)。このファイアウォール技術は、一般的に、ステートフル・パケット検査として参照される。ファイアウォールを通過する全ての接続の記録を保持し、そして、パケットが、新しい接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断することができるからである。例えば、接続の状態は、それ自体が、ポリシの中のルールをトリガするクライテリアの1つになり得る。
【0012】
先進的または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルなパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加的なファイアウォール技術を実行することもできる。例えば、先進的または次世代ファイアウォールとして、しばしば参照される所定の新しいファイアウォールは、また、ユーザおよびコンテンツを識別することができる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを、何千ものアプリケーションまで拡大している。そうした次世代ファイアウォールの例は、Palo Alto Networksから市販されている(例えば、Palo Alto NetworksのPAシリーズの次世代ファイアウォール、および、Palo Alto NetworksのVMシリーズの仮想化次世代ファイアウォール)。
【0013】
例えば、Palo Alto Networksの次世代ファイアウォールは、様々な識別技術を使用して、企業およびサービスプロバイダが、アプリケーション、ユーザ、およびコンテンツ-単にポート、IPアドレス、およびパケットだけでなく-を識別し、かつ、制御することを可能にする。様々な識別技術は、正確なアプリケーション識別のためのアプリケーションID(App-IDTM)(例えば、App ID)、ユーザ識別のためのユーザID(User-IDTM)(例えば、User ID)、および、リアルタイムなコンテンツスキャニングのためのコンテンツID(Content-IDTM)(例えば、Content ID)といったものである(例えば、Webサーフィンを制御し、かつ、データおよびファイルの転送を制限する)。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連の概念を使用して、アプリケーションの使用を安全に可能にすることができる。また、例えば、専用装置として実装される、次世代ファイアウォールのための特定目的ハードウェアは、汎用ハードウェア上で実行されるソフトウェアよりも、アプリケーション検査についてより高いパフォーマンスレベルを一般的に提供する(例えば、Palo Alto Networks社が提供するセキュリティアプライアンスといったものであり、シングルパス・ソフトウェアエンジンと堅く統合されている、専用の、機能固有の処理を利用し、Palo Alto NetworksのPAシリーズ次世代ファイアウォールについて、レイテンシ(latency)を最小化する一方で、ネットワークのスループットを最大化する)。
【0014】
サービスプロバイダのためのモバイル・ネットワークにおける今日の技術的およびセキュリティの課題
【0015】
今日のサービスプロバイダ・ネットワーク環境において、サービスプロバイダは、典型的に、サービスプロバイダの無線ネットワークを介して通信する無線デバイスに対して静的セキュリティポリシを実装できるだけであり(例えば、サービスプロバイダは、サービスプロバイダの無線ネットワークを介して通信する無線デバイスについて、エンドポイント毎に、及び/又は、フロー毎にセキュリティ/ファイアウォールポリシを定義することができない)、かつ、あらゆる変更は、一般的に、ネットワークインフラストラクチャの更新を必要とする。さらに、今日のサービスプロバイダ・ネットワーク環境において、サービスプロバイダは、一般的に、サービスプロバイダの無線ネットワークを介して通信する無線デバイスについて、無線デバイスと関連するハードウェア属性または位置情報に基づくセキュリティポリシを実装することができない(例えば、サービスプロバイダは、パケットコンテンツ検査に基づくセキュリティポリシ、及び/又は無線ネットワークを介して通信するデバイスのアクセスポイントといった、無線デバイスと関連する様々な他の関連パラメータに基づくセキュリティポリシ、を実装することができない)。
【0016】
従って、サービスプロバイダ・ネットワークについて技術的およびセキュリティ上の課題が存在している。かくして、必要とされるものは、そうしたサービスプロバイダ・ネットワーク環境のための新たな、そして、改善されたセキュリティ技術である。具体的に、必要とされるものは、サービスプロバイダ・ネットワークトラフィックをモニタリングするための新しく、かつ、改善されたソリューション、および、より特定的には、サービスプロバイダ・ネットワークについて信号トラフィック関連のセキュリティ問題を解決するための改善されたソリューションである。例えば、GSM(Global System for Mobile Communication)、UMTS(Universal Mobile Telecommunication System)、LTE(Long Term Evolution)ネットワーク、3Gネットワーク内において使用されるGTPv1-C、及び/又は、4G/LTEネットワーク内において使用されるGTPv2-C、の中の様々なインターフェイスにおいて使用される様々なプロトコルのパケットコンテンツ検査を実行すること、および、サービスプロバイダ・ネットワークについて強化されたセキュリティを促進するために、サービスプロバイダ・ネットワークにおいてセキュリティポリシ(例えば、ファイアウォールポリシ)を適用することである。
【0017】
サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化のための技術の概要
【0018】
従って、サービスプロバイダ・ネットワーク環境の中で強化されたセキュリティプラットフォームのための技術が開示される。具体的には、種々のインターフェイスにおいて使用される種々のプロトコルをモニタリングすることができるサービスプロバイダ・ネットワーク環境の中で、セキュリティプラットフォームを実装するための種々のシステムアーキテクチャ、かつ、提供するための種々のプロセスが開示される。より具体的には、GSM、UMTS、LTEネットワーク、3Gネットワーク内において使用されるGTPv1-C、及び/又は、4G/LTEネットワーク内において使用されるGTPv2-Cの中の様々なインターフェイスにおいて使用される様々なプロトコルをモニタリングすることができるサービスプロバイダ・ネットワーク環境の中で、セキュリティプラットフォームを実装するための種々のシステムアーキテクチャ、かつ、提供するための種々のプロセス、および、サービスプロバイダ・ネットワークにおいてセキュリティポリシ(例えば、ファイアウォールポリシ)を適用することが開示される。例えば、開示される技術は、アプリケーション、IPアドレス、コンテンツID、加入者のロケーション(subscriber location)、ユニークなデバイス識別子(例えば、グローバルシステム・フォー・モバイルコミュニケーション(GSM)ネットワークのための移動電話について、といった、一般的にユニークな3GPPデバイス識別子のためのインターナショナル・モバイル・イクイップメント・アイデンティファイヤ(IMEI))、ユニークな加入者識別子(例えば、GSM加入者をユニークに識別するためのインターナショナル・モバイル・サブスクラバイクイップメント・アイデンティファイヤ(IMSI))、無線アクセス技術(RAT)(例えば、モバイルデバイスについて関連するRATを識別するため)、シグナリングセキュリティ問題を解決するためにモバイル・サービスプロバイダ・ネットワーク上の復号化された信号トラフィックから抽出された任意の他の情報、に基づくセキュリティポリシの適用を促進し、かつ、サービスプロバイダ・ネットワークにおける強化されたセキュリティ(例えば、1つまたはそれ以上のシグナリング・プロトコルにおいて、サービス運用妨害(DoS)攻撃を防止/軽減するため、かつ、他の攻撃/脆弱性に対抗するために、所定のメッセージ/トラフィックをスロットリング(throttling)すること)、及び/又は、さらに以下で説明されるような、サービスプロバイダ・ネットワーク上で次世代ファイアウォールを使用する、それらの任意の組み合わせを促進する。
【0019】
一つの実施形態において、セキュリティプラットフォームは、モバイルコア/サービスプロバイダのコアネットワーク内のトラフィックをモニタリングするように構成されており(例えば、3Gネットワークに係る3GPPリリース、4Gネットワークに係る3GPPリリース、および5Gネットワークに係る3GPPリリースにおいて規定されているシグナリングトラフィックのために使用される種々のプロトコルをモニタリングすることを含んでいる)、以下でさらに説明されるように、シグナリングメッセージ及び/又はユーザセッショントラフィックから抽出された情報に基づいてセキュリティポリシを適用するために利用することができるパケットコンテンツ・インスペクション・セキュリティ・モニタリング技術を実行する。例えば、セキュリティプラットフォームは、無線デバイスについてIPフロー毎に(例えば、送信元/宛先IPアドレスごと)動的にセキュリティポリシを適用するように構成することができる。
一つの例示的な実装において、セキュリティプラットフォームは、(例えば、トランスポート層、ネットワーク層、及び/又はアプリケーション層といった、1つまたはそれ以上のレイヤにおいて)モバイル・サービスプロバイダ・ネットワーク上のシグナリングトラフィックをモニタリングすることにより、そして、シグナリング層をデータ層のセキュリティと動的に相関させることによって、無線デバイスについてIPフロー毎にセキュリティポリシを動的に適用するように構成することができ、サービスプロバイダ・ネットワーク上で強化されたセキュリティを促進する(例えば、様々なシグナリング・プロトコルを申し出て、シグナリング層およびデータ層のセキュリティプラットフォームへと統合されたビューを実装している。様々なシグナリング・プロトコルは、例えば、以下のものを含んでいる。Stream Control Transport Protocol(SCTP)(https://tools.ietf.org/html/rfc4960で利用可能なRFC 4960において規定されたシグナリング・トランスポート・レイヤ・プロトコル)、S1-APP/MME、Diameter(SCTPをそのシグナリング・トランスポート・プロトコルについて利用可能である認証(authentication)、許可(authorization)、およびアカウンティング(accounting)シグナリング・プロトコルであり、そして、Diameterは、Internet Engineering Task Force(IETF)の複数のRFCにおいて規定されており、https://tools.ietf.org/html/rfc6733で利用可能なRFC6733を含んでいる)、Mobile Application Part(MAP)(http://www.itu.int/rec/T-REC-Q.2220/en/で利用可能なITU Q.2220において規定されているSS7/アプリケーション層シグナリング・プロトコル)、CAMEL Application Part(CAP)(https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=1597で利用可能な3GPP TS 29.078において規定されているSS7/アプリケーション層シグナリング・プロトコル)、Intelligent Network Application Part(INAP)(http://www.etsi.org/deliver/etsi_i_ets/300300_300399/30037401/01_60/ets_30037401e01p.pdfで利用可能なETSI仕様書ETS 300 374-1において規定されているSS7/アプリケーション層シグナリング・プロトコル)、Signaling Control Connection Protocol(SCCP)(SCTPをそのシグナリング・トランスポート・プロトコルについて利用可能であるシグナリング・ネットワーク・レイヤ・プロトコルであり、そして、SCCPは、International Tekecon Union(ITU)の複数のITU推奨において規定されており、http://www.itu.int/rec/T-REC-Q.711で利用可能なITU Q.711、および、http://www.itu.int/rec/T-REC-Q.714/en/で利用可能なITU Q.714を含んでいる)、シグナリング・トランスポート(SIGTRAN)(https://tools.ietf.org/html/rfc2719で利用可能なRFC 2719において規定されているシグナリング・トランスポートレイヤ・プロトコル)、3GPP T.S.29.274において規定されているGTPv2-C、および、3GPP T.S.29.060において規定されているGTPv1-C、である)。
一つの例示的な実装において、セキュリティプラットフォームは、(例えば、トランスポート層、ネットワーク層、及び/又はアプリケーション層といった、1つまたはそれ以上のレイヤにおいて)モバイル・サービスプロバイダ・ネットワーク上のシグナリングトラフィックをモニタリングすることにより、そして、シグナリング層をデータ層のセキュリティと動的に相関させることによって、無線デバイスについてIPフロー毎にセキュリティポリシを動的に適用するように構成することができ、サービスプロバイダ・ネットワーク上で強化されたセキュリティを促進する(例えば、様々なシグナリング・プロトコルを申し出て、シグナリング層およびデータ層のセキュリティプラットフォームへと統合されたビューを実装している。様々なシグナリング・プロトコルは、例えば、以下のものを含んでいる。Stream Control Transport Protocol(SCTP)(https://tools.ietf.org/html/rfc4960で利用可能なRFC 4960において規定されたシグナリング・トランスポート・レイヤ・プロトコル)、S1-APP/MME、Diameter(SCTPをそのシグナリング・トランスポート・プロトコルについて利用可能である認証(authentication)、許可(authorization)、およびアカウンティング(accounting)シグナリング・プロトコルであり、そして、Diameterは、Internet Engineering Task Force(IETF)の複数のRFCにおいて規定されており、https://tools.ietf.org/html/rfc6733で利用可能なRFC6733を含んでいる)、Mobile Application Part(MAP)(http://www.itu.int/rec/T-REC-Q.2220/en/で利用可能なITU Q.2220において規定されているSS7/アプリケーション層シグナリング・プロトコル)、CAMEL Application Part(CAP)(https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=1597で利用可能な3GPP TS 29.078において規定されているSS7/アプリケーション層シグナリング・プロトコル)、Intelligent Network Application Part(INAP)(http://www.etsi.org/deliver/etsi_i_ets/300300_300399/30037401/01_60/ets_30037401e01p.pdfで利用可能なETSI仕様書ETS 300 374-1において規定されているSS7/アプリケーション層シグナリング・プロトコル)、Signaling Control Connection Protocol(SCCP)(SCTPをそのシグナリング・トランスポート・プロトコルについて利用可能であるシグナリング・ネットワーク・レイヤ・プロトコルであり、そして、SCCPは、International Tekecon Union(ITU)の複数のITU推奨において規定されており、http://www.itu.int/rec/T-REC-Q.711で利用可能なITU Q.711、および、http://www.itu.int/rec/T-REC-Q.714/en/で利用可能なITU Q.714を含んでいる)、シグナリング・トランスポート(SIGTRAN)(https://tools.ietf.org/html/rfc2719で利用可能なRFC 2719において規定されているシグナリング・トランスポートレイヤ・プロトコル)、3GPP T.S.29.274において規定されているGTPv2-C、および、3GPP T.S.29.060において規定されているGTPv1-C、である)。
【0020】
モバイルデバイスがネットワーク(例えば、3GPP/LTE EPCネットワーク)に接続すると、アンカーゲートウェイ(例えば、3GPP/LTE EPCネットワークにおけるPacket Data Network(PDN)ゲートウェイ、またはPGW)は、一般的に、Gxインターフェイスを介してのPolicy Charging Function and Control(PCRF)エンティティをクエリ(query)して、その加入者のポリシを決定する。PCRFエンティティは、情報をPGWに対して送り返す。情報は、例えば、この加入者に適用されるべき、その加入者についてPCRFエンティティ内に保管されているQoS、フィルタ、及び/又は、他のポリシ関連情報である(例えば、PCRFエンティティは、一般的に、無線ネットワークにおける帯域幅およびQoSを管理/制御するために使用され、そして、AAAサーバは、一般的に、無線ネットワークにおける認証目的において使用される)。
【0021】
一つの実施形態において、セキュリティプラットフォームは、モバイルコアネットワーク内でSGSNとGGSNとの間のGTP通信をモニタリングするように構成されており(例えば、次世代ファイアウォールは、以下でさらに説明されるように、サービスプロバイダのネットワーク内でGTPセッションの起動(activation)、更新、及び/又は停止(deactivation)のために交換される様々なGTP-Cメッセージをモニタリングすることができる)、そして、セキュリティプラットフォーム(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる別のデバイス/コンポーネント)は、以下でさらに説明されるように、GTP-Cメッセージから抽出された1つまたはそれ以上のパラメータを使用してセキュリティポリシを適用するように構成されている。従って、サービスプロバイダ、IoT装置プロバイダ、及び/又は、システムインテグレータは、以下でさらに説明されるように、GTP-Cメッセージから抽出された1つまたはそれ以上のパラメータを使用して、強化されたセキュリティポリシを構成および実施するために、開示される技術を使用することができる。
【0022】
一つの実施形態において、セキュリティプラットフォームは、モバイルコアネットワーク内でSGSNとGGSNとの間のGTP通信をモニタリングするように構成されており(例えば、次世代ファイアウォールは、以下でさらに説明されるように、サービスプロバイダのネットワーク内でGTPセッションの最中のGTP-Uトラフィックをモニタリングすることができる)、そして、セキュリティプラットフォーム(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる別のデバイス/コンポーネント)は、以下でさらに説明されるように、GTP-Cメッセージから抽出された1つまたはそれ以上のパラメータを使用して、かつ、GTPセッションの最中にセキュリティプラットフォームによってモニタリングされたユーザセッショントラフィック(例えば、アプリケーションID、コンテンツID、URLフィルタリング、及び/又は、GTPセッションの最中のユーザトラフィックから抽出された他のステートフル・パケット検査)に基づいて、セキュリティポリシを適用するように構成されている。従って、サービスプロバイダ、IoT装置プロバイダ、及び/又は、システムインテグレータは、以下でさらに説明されるように、GTP-CメッセージおよびGTPセッションにおけるユーザトラフィックから抽出された情報から抽出された1つまたはそれ以上のパラメータを使用して、強化されたセキュリティポリシを構成および実施するために、開示される技術を使用することができる。
【0023】
例えば、サービスプロバイダ、IoT装置プロバイダ、及び/又は、システムインテグレータは、IMEI、IMSI、ロケーション、RAT、モバイル・サービスプロバイダ・ネットワーク上の復号化されたシグナリングトラフィックから抽出された任意の他の情報、及び/又は、さらに以下で説明されるといった、サービスプロバイダ・ネットワーク上の次世代ファイアウォールを使用したそれらの任意の組み合わせ、に基づいて、異なるセキュリティポリシを適用することができる。別の例として、サービスプロバイダ、IoT装置プロバイダ、及び/又は、システムインテグレータは、IMEI、IMSI、ロケーション、RAT、及び/又は、GTPセッションの最中にモニタリングされたユーザトラフィックに基づく、モバイル・サービスプロバイダ・ネットワーク上の復号化されたシグナリングトラフィックから抽出された他の情報に基づいて、異なるセキュリティポリシを適用することができる。
【0024】
一つの実施形態において、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、データコール(data calls)が、さらに以下で説明されるといった、開示される技術を使用してセットアップ、かつ/あるいは、修正/更新される際に、セキュリティポリシ(例えば、細かい(granular)セキュリティポリシであり、加入者(例えば、IMSI)/IP毎リアルタイムに、モバイルデバイス(例えば、IMEI)/IP毎リアルタイムに、加入者のロケーション/IP毎リアルタイムに、RAT/IP毎リアルタイムに、及び/又は、それらの任意の組み合わせで適用され得るもの)を動的に適用するために、既存の3GPPを使用するように構成されている。例えば、セキュリティプラットフォームは、無線デバイスについてIPフロー毎にセキュリティポリシを動的に適用するように構成することができる。
【0025】
一つの実施形態において、モバイルコア/サービスプロバイダのコアネットワークにおけるシグナリングメッセージ(例えば、トンネルセッション(tunneling sessions)の起動、更新、および停止のために交換されるメッセージ)は、現行の3GPP EPC(例えば、3GネットワークのためのGTPv1-Cメッセージおよび4GネットワークのためのGTPv2-Cメッセージといった、GTP-Cメッセージ)、及び/又は、他の無線ネットワーク環境において使用される既存及び/又は標準メッセージであり、そして、セキュリティプラットフォームは、以下でさらに説明されるように、これらのメッセージからセキュリティポリシを適用するために利用可能な1つまたはそれ以上のパラメータを抽出するために、そうしたメッセージをモニタリングするように構成されている。
【0026】
一つの実施形態において、セキュリティプラットフォームは、モバイルコア/サービスプロバイダのコアネットワークにおいてトンネルセッション内のユーザセッショントラフィック(例えば、GTP-Uトラフィック)をモニタリングするように構成されており、以下でさらに説明されるように、ユーザセッショントラフィックに基づいてセキュリティポリシを適用するために利用可能な、パケットコンテンツ検査セキュリティ・モニタリング技術を実行する。
【0027】
一つの実施形態において、セキュリティプラットフォームは、以下でさらに説明されるように、セッショントラフィックに基づいてセキュリティポリシを適用するために利用可能なパケットコンテンツ検査セキュリティ・モニタリング技術を実行するために、サービスプロバイダ・ネットワーク内の様々なネットワークエレメントに対する/からの間のセッションをモニタリングする(例えば、3GPPネットワークの3GPPリリース、4Gネットワークの3GPPリリース、および5Gネットワークの3GPリリースにおいて規定されているシグナリングトラフィックについて使用される様々なプロトコルのモニタリングを含む)ように構成されている。
【0028】
一つの実施形態において、加入者/IPアドレスは、セキュリティプラットフォーム(例えば、次世代ファイアウォール(NGFW))を使用して、IPフロー毎のセキュリティポリシの実施を促進するために、セキュリティポリシと関連付けられる(例えば、それにマッピングされる)。例えば、セキュリティプラットフォームは、以下でさらに説明されるように、シグナリングメッセージ及び/又はユーザセッショントラフィックから抽出された情報に基づいて、細かいセキュリティポリシを適用することができる。
【0029】
一つの実施形態において、セキュリティプラットフォーム(例えば、次世代ファイアウォール(NGFW))は、SCTPプロトコルトラフィックを含む、シグナリング・トランスポートトラフィックをモニタリングする。例えば、セキュリティプラットフォームは、ステートフル検査、SCTPプロトコル検証、及び/又は、SCTPマルチチャンク検査(例えば、セキュリティプラットフォームによって実装されるセキュリティポリシにおいてSCTP保護セキュリティプロファイル内に構成されるもの)を実行することを含み、SCTPプロトコルトラフィックをフィルタリングすることができる。
【0030】
一つの実施形態において、セキュリティプラットフォーム(例えば、次世代ファイアウォール(NGFW))は、サービスプロバイダのコアネットワーク上のシグナリング・トランスポート・トラフィック(例えば、シグナリング・トランスポート・トラフィックおよびシグナリング・トラフィックのより高い層)をモニタリングする。例えば、セキュリティプラットフォームは、ステートフル検査、SCTPプロトコル検証、及び/又は、SCTPマルチチャンク検査(例えば、セキュリティプラットフォームによって実装されるセキュリティポリシにおけるSCTP保護セキュリティプロファイル内で構成されるもの)を実行することを含む、シグナリング・トランスポートトラフィック(例えば、SIGTRANメッセージ)をフィルタリングすることができる。
【0031】
一つの実施形態において、セキュリティプラットフォーム(例えば、次世代ファイアウォール(NGFW))は、上位層(upper layer)シグナリング・プロトコルをモニタリングする。例えば、セキュリティプラットフォームは、レイヤ-7/アプリケーション層シグナリング・プロトコルレイヤをフィルタリングすることができる(例えば、シグナリングシステムNo.7(SS7)ネットワークにおいて使用されるフィルタリングプロトコルのためのサポートを含む、SSN、GT、および、Opcode毎のフィルタリング)。
【0032】
一つの実施形態において、セキュリティプラットフォーム(例えば、次世代ファイアウォール(NGFW))は、Diameterシグナリングトラフィックをモニタリングする。例えば、セキュリティプラットフォームは、アプリケーションID(例えば、Diameterフィルタリングのための例示的なアプリケーションIDは、Diameterコモンメッセージ、Diameterベースアカンウティング、Diameterクレジットコントロール、3GPP S6a/S6d、3GPP S9、3GPP S13/S13'、3GPP S6c、3GPP Sh、および3GPP Rx、のうち1つまたはそれ以上を含むことができる)、コマンドコード(例えば、3GPP Application ID:3GPP-S6a/S6dについて3GPP-Update-Location、Application ID:3GPP-S9についてCredit-Control、Application ID: 3GPP-S13について3Gpp-ME-Identity-Check、Application ID:Diamter Credit ControlについてCredit-Control、および、AVP(例えば、0-16777215の範囲)の1つまたはそれ以上を含むことができる)毎に、Diameterプロトコルフィルタリングを実行することができる。
【0033】
サービスプロバイダ・ネットワーク環境において強化されたシグナリングセキュリティを促進するセキュリティプラットフォームを提供するための技術に係るこれら及び他の実施形態および他の実施形態、並びに実施例が、以下にさらに説明される。
【0034】
サービスプロバイダのためにモバイル・ネットワークにおいて強化されたシグナリングセキュリティを実装するための例示的なシステムアーキテクチャ
【0035】
図1Aは、いくつかの実施形態に従った、強化されたセキュリティを提供するためのセキュリティプラットフォームを有する3G無線ネットワークのブロック図である。図1Aは、インターネット、及び/又は、他のネットワークを介して加入者のためのデータ通信を促進するための3Gネットワーク(例えば、ワイアード、Wi-Fi、4G、5G、及び/又は (図1Aには示されていない)他のネットワークも、また、含み得る)を含む、3Gネットワークアーキテクチャについての例示的なサービスプロバイダ・ネットワーク環境である。図1Aに示されるように、無線アクセスネットワーク(RAN)130は、モバイルコアネットワーク120と通信している。RAN 130は、無線ネットワーク内にマクロセル142、および、無線ネットワーク内に3Gマイクロセル144、3Gピコセル146、および3Gフェムトセル148といった、小型セル(small cell)を含み得る。示されるように、種々のユーザ装置132、134、および136は、RAN 130内の種々のセルを使用して通信することができる。
【0036】
図1Aにも、また示されるように、3Gマイクロセル(144)、3Gピコセル(146)、および3Gフェムトセル(148)として示されている、小型セルは、IPブロードバンド無線ネットワーク140上でホームノードB(Home Node B)ゲートウェイ(HNB GW)108とネットワーク通信しており、そして、この実施例において、トラフィックは、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別のデバイス/コンポーネントを含む、(仮想)機器/装置)を使用してモニタリング/フィルタリングされる。また、示されるように、マクロセル(NodeB)142は、無線ネットワークコントローラ(RNC)110とネットワーク通信しており、そして、トラフィックは、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別のデバイス/コンポーネント)を使用してモニタリング/フィルタリングされる。
【0037】
図1Aにも、また示されるように、HNB GW 108およびRNC 110は、それぞれ、モバイル(3G)コアネットワーク120のサービングGPRSサポートノード(SGSN)112およびゲートウェイGPRSサポートノード(GGSN)114を介してパケットデータ・ネットワーク(PDN)122と通信し、そして、モバイルコアネットワーク120のモバイル・スイッチングセンタ(MSC)116を介して公衆電話交換網(PSTN)124と通信している。示されるように、モバイルコアネットワーク120のSGSN 112とGGSN 114との間のモバイルコアネットワークを通過するトラフィックは、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別のデバイス/コンポーネント)を使用してモニタリング/フィルタリングされる。
【0038】
例えば、132、134、および136で示されるUEといった、種々のUEは、PDN 122にアクセスするためにRAN 130を介して通信することができるモバイル及び/又は固定の無線ネットワーク使用可能(network enabled)デバイスを含み得る。デバイスは、セキュリティカメラ(例えば、固定位置にあってよい)、時計、モバイル/スマートフォン、タブレット、ラップトップ、コンピュータ/PCまたは他のコンピューティングデバイス(モバイルまたは固定位置にあってよい)、自動車、ベビーモニタ、サーモスタット、及び/又は、他の種々のネットワーク使用可能コンピューティングデバイス(例えば、モノのインターネット(IoT)と関連する任意のデバイス)、といったものである。開示されるセキュリティ技術を無線ネットワーク使用可能デバイスに適用し、新しいセキュリティおよび強化されたセキュリティを促進する様々なユースケースシナリオについて、以下にさらに説明する。
【0039】
従って、この例においては、第3世代ネットワーク実装について開示されるセキュリティ技術を実行するためのネットワークアーキテクチャが提供され、そこでは、トラフィックモニタリングおよびフィルタリングを実行するためにセキュリティプラットフォームが提供され、以下でさらに説明されるように、シグナリングおよびパケットコンテンツ検査情報に基づいて、新しく、かつ、強化されたセキュリティ技術を提供し得る。開示される実施形態を考慮して、今や当業者にとって明らかなように、セキュリティプラットフォームは、ネットワークアーキテクチャ(例えば、FW 102によって示されるような、インライン、パススルー(pass-through)NGFW、及び/又は、SGSN 112及び/又はGGSN 114といった、サービスプロバイダのネットワーク内の既存のデバイス上で実行可能な、エージェントまたは仮想マシン(VM)インスタンスとして実装されるもの)の中の他の様々なロケーションにおいて、および、以下でさらに説明されるように、開示されるセキュリティ技術を実行するための、3G、4G、5G、及び/又は他の無線ネットワーク環境といった、様々な無線ネットワーク環境において、同様に提供され得る。また、以下でさらに説明されるように、開示されるセキュリティ技術は、無線ネットワーク環境のモバイルコアに接続するローミング装置に対して、同様に、適用され得る。
【0040】
図1Bは、いくつかの実施形態に従った、強化されたセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。図1Bは、4G/LTEネットワークを含む4G/ロングタームエボリューション(LTE)エボルブド・パケット・コア(EPC)ネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境(例えば、ワイアード、Wi-Fi、3G、5G、及び/又は、他のネットワークも、また、含むことができる)の一つの例であり、インターネット及び/又は他のネットワーク上で加入者のためのデータ通信を促進する。図1Bに示されるように、無線アクセスネットワーク(RAN)180は、エボルブド・パケット・コア(EPC)ネットワーク170と通信している。RAN 180は、無線ネットワーク内にLTEマクロセル192、および、無線ネットワーク内にLTEマイクロセル194、LTEピコセル196、およびLTEフェムトセル198といった、小型セルを含み得る。示されるように、種々のユーザ装置(UE)182、184、および186は、RAN 180内の種々のセルを使用して通信することができる。
【0041】
図1Bにも、また示されるように、フェムトセル198は、IPブロードバンド無線ネットワーク190を介してホーム eNode Bゲートウェイ(HeNB GW)158とネットワーク通信しており、そして、この例において、トラフィックは、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム156E(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別のデバイス/コンポーネントを含む、(仮想)機器/装置)を使用してモニタリング/フィルタリングされる。また、示されるように、マクロセル192は、モビリティ管理エンティティ(MME)160およびサービスゲートウェイ(SGW)162とネットワーク通信しており、かつ、トラフィックは、FW 156Dを使用してモニタリング/フィルタリングされており、そして、この例において、トラフィックは、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別のデバイス/コンポーネント)を使用してモニタリング/フィルタリングされる。
【0042】
図1Bにも、また示されるように、HeNB GW 158は、SGW 162、および、エボルブド・パケット・コア(EPC)ネットワーク170のPDNゲートウェイ164を介してパケットデータ・ネットワーク(PDN)172と通信している。示されるように、SGW 162とEPC 170のGGSN/PGW 164との間でモバイルコアネットワークを通過するトラフィックは、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム152(例えば、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または開示される技術を使用してセキュリティポリシを実行することができる別のデバイス/コンポーネントを含む、(仮想)機器/装置)を使用してモニタリング/フィルタリングされる。
【0043】
例えば、174、176、182、184、および186で示されるUEといった、モバイル及び/又は、固定の無線ネットワーク使用可能デバイスを含み得る。デバイスは、様々なUEは、RAN 180、信頼できない非3GPP Wi-Fiアクセス177、及び/又は、信頼できる3GPP Wi-Fiアクセス178を介して通信することができ、EPC 170を介してPDN 172にアクセスする。ここでは、図1Bに示されるようなセキュリティプラットフォーム152、156A、156B、156C、156D、156E、156F、及び/又は156Gを使用して、そうした通信をモニタリングすることができる(例えば、セキュリティプラットフォームは、図1Bに示されるように、EPC 170の中で様々なロケーション/インターフェイスに配置され得る)。そして、以下でさらに説明される。例示的なUEは、セキュリティカメラ(例えば、固定位置にあってよい)、時計、モバイル/スマートフォン、タブレット、ラップトップ、コンピュータ/PCまたは他のコンピューティングデバイス(モバイルまたは固定位置にあってよい)、自動車、ベビーモニタ、サーモスタット、及び/又は、他の種々のネットワーク使用可能コンピューティングデバイス(例えば、モノのインターネット(IoT)と関連する任意のデバイス)を含み得る。新しく、かつ、強化されたセキュリティを促進するために、開示されるセキュリティ技術を無線ネットワーク使用可能デバイスに適用する、様々なユースケースシナリオが、以下でさらに説明される。
【0044】
従って、この例において、4G/LTE EPCネットワーク実装に対して開示されるセキュリティ技術を実行するためのネットワークアーキテクチャが提供され、そこでは、以下でさらに説明されるように、シグナリングおよびパケットコンテンツ検査情報に基づいて、新しく、かつ、強化されたセキュリティ技術を提供するように、トラフィックのモニタリングおよびフィルタリングを実行するためのセキュリティプラットフォームが提供され得る。開示される実施形態を考慮して、今や当業者にとって明らかなように、セキュリティプラットフォームは、ネットワークアーキテクチャ(例えば、FW 152によって示されるような、インライン、パススルーNGFW、及び/又は、SGW 162及び/又はPGW 164といった、サービスプロバイダのネットワーク内の既存のデバイス上で実行可能な、エージェントまたは仮想マシン(VM)インスタンスとして実装されるもの)の中の他の様々なロケーションにおいて、および、以下でさらに説明されるように、開示されるセキュリティ技術を実行するための、3G、4G、5G、及び/又は他の無線ネットワーク環境といった、様々な無線ネットワーク環境において、同様に提供され得る。また、以下でさらに説明されるように、開示されるセキュリティ技術は、無線ネットワーク環境のモバイルコアに接続するローミング装置に対して、同様に、適用され得る。
【0045】
図2Aは、いくつかの実施形態に従った、3GネットワークにおけるSGSNとGGSNとの間で交換されるGTPv1-Cメッセージの一つの例である。具体的に、図2Aは、Gn/Gpインターフェイスを使用して、3Gネットワーク内でSGSN 212とGGSN 214との間のGTPセッションを起動、更新、および停止するために交換されるGTPv1-Cメッセージを示している。GTPは、User Datagram Protocol(UDP)に基づく、標準化されたプロトコルである。
【0046】
図2Aを参照すると、SGSN 212からGGSN 214に対して送信される第1メッセージは、220に示されるようにPDPコンテキスト作成要求(Create PDP Context Request)メッセージである。PDPコンテキスト作成要求メッセージは、3Gネットワーク内のモバイルデバイスに対する新しいネットワーク通信アクセス要求のために制御およびデータチャネルを割り当てるためのメッセージである(例えば、モバイル・サービスプロバイダのネットワーク上のネットワーク通信のために、ユーザIPパケットのためのトンネルが提供される)。例えば、PDPコンテキスト作成要求メッセージは、ロケーション、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は、無線アクセス技術(RAT)情報を、モバイルデバイスに対する新しいネットワーク通信アクセス要求において含み得る。
【0047】
一つの実施形態において、セキュリティプラットフォームは、セキュリティポリシに基づいて、GTP-Cメッセージの中に含まれる所定の情報を抽出するために、モバイルコア内のGTP-Cメッセージをモニタリングする(例えば、図1Aに示されるようなモバイルコア内のSGSNとGGSNとの間、及び/又は、図1Bに示されるようなモバイルコア/EPC内の様々な他のエレメント/エンティティ間に配置されているパススルーファイアウォール/NGFWを使用して、もしくは、SGSN、GGSN、SGW、PGW、及び/又は、モバイルコアネットワーク/EPC内の他のエンティティティ上で実行されるVMインスタンスまたはエージェントとして実装されるファイアウォール/NGFWを使用して、GTPv1-Cメッセージをモニタリングしている)。例えば、セキュリティプラットフォームは、GTP-Cメッセージをモニタリングし、そして、以下でさらに説明されるように、PDPコンテキスト作成要求メッセージから、ロケーション、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は、無線アクセス技術(RAT)情報を抽出することができる。
【0048】
図2Aに示されるように、GGSN 214は、222で示されるように、PDPコンテキスト作成要求メッセージをSGSN 212に対して送信し、PDPコンテキスト作成要求メッセージがモバイルデバイスに対して承諾(granted)されているか否か(例えば、モバイルデバイスに対してモバイルコアネットワークにおけるトンネル化(tunneled)されたユーザデータトラフィックを許可するか否か)を示す。ポート2123上のUDP通信を使用して送信される、PDPコンテキスト作成要求およびPDPコンテキスト作成応答(Create PDP Context Response)メッセージは、図2Aに示されるようにPDPコンテキストを作成するために使用される。
【0049】
図2Aにも、また示されるように、224で示されているPDPコンテキスト更新要求(Update PDP Context Request)メッセージ、および、226で示されているPDPコンテキスト更新応答(Update PDP Context Response)メッセージが、SGSNとGGSNとの間で交換される。例えば、ポート2123上のUDP通信を使用して送信されたPDPコンテキスト更新要求/応答メッセージは、接続/セッションについて1つまたはそれ以上のパラメータを更新するために使用され得る。
【0050】
図2Aを参照すると、この例においては、モバイル・サービスプロバイダのネットワーク上のモバイルデバイスに対するネットワーク通信アクセスのための要求が許可され、そして、SGSNは、228で示されるT-PDUメッセージを送信する。例えば、T-PDUメッセージは、トンネルの中でのモバイルユーザネットワーク通信(例えば、IPパケット)のために使用され得る(例えば、コントロール/シグナリングメッセージは、一般的に、GTP-Cプロトコルを使用してポート2123上で通信され、そして、ユーザデータメッセージは、一般的に、GTP-Uプロトコルを使用してポート2152上で通信される)。230で示されるように、T-PDUメッセージは、一般的に、GTPヘッダ、IPヘッダ、TCPヘッダ、およびHTTPペイロードを含んでいる。
【0051】
図2Aにも、また示されるように、PDPコンテキストは、ユーザデータセッションの完了後に削除される。具体的に、PDPコンテキストは、ユーザデータの転送が完了した後で削除され、そして、SGSNとGGSNは、232で示されるようにPDPコンテキスト削除要求(Delete PDP Context Request)メッセージ、および、234で示されるようにPDPコンテキスト削除応答(Delete PDP Context Response)メッセージを交換する。PDPコンテキスト削除要求およびPDPコンテキスト削除応答メッセージは、図2Aにも、また示されるように、PDPコンテキストを削除するために使用される。
【0052】
一つの実施形態において、開示される技術は、GTP-Cトラフィックといった、サービスプロバイダ・ネットワークにおけるシグナリング/コントロールトラフィックの検査、および、GTP-Uトラフィックといった、サービスプロバイダ・ネットワークにおけるトンネル化されたユーザトラフィックの検査を実行する(例えば、アプリケーションID、ユーザID、コンテンツIDを識別するためのパケットコンテンツ検査を実行することができるNGFWを使用して実施されるといった、セキュリティプラットフォームを使用して、URLフィルタリング、及び/又は、セキュリティ/脅威の検出/防止のための他のファイアウォール/セキュリティポリシを実行する)。一つの実施形態において、開示される技術は、GTP-Cトラフィックといった、サービスプロバイダ・ネットワーク内のシグナリング/コントロールトラフィックの検査を実行し、GTP-Cトラフィック内で交換された情報(例えば、パラメータ、以下でさらに説明されるような、加入者/モバイルデバイス、装置ID/IMEI、加入者情報/IMSI、及び/又は、RATに関連する位置情報といったもの)を抽出する。一つの実施形態において、開示される技術は、GTP-Cトラフィックといった、サービスプロバイダ・ネットワーク内でシグナリング/コントロールトラフィックの検査を実行し、GTP-Cトラフィック内で交換された情報(例えば、上述され、かつ、以下でさらに説明されるようなパラメータ)を抽出し、並びに、サービスプロバイダ・ネットワーク内のトンネル化されたユーザトラフィックをモニタリングする(例えば、上述され、かつ、以下でさらに説明されるようなパケットコンテンツ検査を使用する)。
【0053】
一つの例示的な実装において、セキュリティプラットフォームは、コントロール/シグナリングトラフィック(例えば、GTP-Cメッセージ)およびトンネル化されたユーザトラフィック(例えば、GTP-U)をモニタリングするために、SGSNおよびGGSNそれぞれのインターフェイスをモニタリングするように構成されており、セキュリティポリシを実装する、GTPモニタリング機能を伴うセキュリティプラットフォームを実施する。セキュリティプラットフォームは、例えば、以下でさらに説明されるような、コントロール/シグナリングトラフィック(例えば、GTP-Cメッセージ)から抽出することができる、加入者/モバイルデバイス、装置ID/IMEI、加入者情報/IMSI、及び/又は、RATに関連する位置情報を使用することができ、同様に、以下でさらに説明されるように、トンネル内のIPパケット(例えば、T-PDU)についてパケットコンテンツ検査を実行する。上述のように、位置情報/パラメータ、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は、無線アクセス技術(RAT)は、以下でさらに説明されるように、セキュリティプラットフォームによってPDP作成要求(Create PDP Request)メッセージから抽出することができる。これは、抽出された情報に基づいて、かつ/あるいは、パケットコンテンツ検査(例えば、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は、他のシグナリング・プロトコルトラフィック、及び/又は、サービスプロバイダ・ネットワーク上で使用される様々な他のネットワークプロトコルのパケットコンテンツ検査を含んでいる)と組み合わせて、以下でさらに説明されるように、セキュリティポリシの適用における使用のために保管され得る(例えば、IPフローに関してキャッシュされる)。
【0054】
図2Bは、いくつかの実施形態に従った、4G/LTEネットワークにおけるMME、SGW、およびPGWを含むエンティティ間で交換されるGTPv2-Cメッセージの一つの例である。具体的に、図2Bは、4G/LTEネットワークにおいてMME 252、SGW 254、およびPDN-GW(PGW) 256(例えば、図1BにおいてGGSN/PGWとして示されるもの)の間で交換されるGTPv2-Cメッセージの詳細を用いて、LTEアタッチプロシージャ(LTE Attach procedure)のために交換されるGTPv2-Cメッセージを示している。上述のように、GTPは、User Datagram Protocol(UDP)に基づく、標準化されたプロトコルである。
【0055】
図2Bを参照すると、様々なDiameterメッセージが、MME 252からホーム加入者サーバ(Home Subscriber Server、HSS)258および装置識別レジスタ(Equipment Identity Register、EIR)274に対して、並びに、264で示されるように、PGW 256とPCRF 276との間で、送信される。一つの実施形態においては、以下でさらに説明されるように、様々な情報/パラメータが、セキュリティポリシに基づいて、そうしたDiameterメッセージ/セッショントラフィックから抽出され得る(例えば、MME、SGW、PGW、HSS、EIR、及び/又は、PCRFの間に配置されているパススルーファイアウォール/NGFWを使用して、もしくは、これらのエンティティ、及び/又は、モバイルコアネットワーク内の他のエンティティ上で実行されるVMインスタンスまたはエージェントとして実装されるファイアウォール/NGFWを使用して、Diameterメッセージをモニタリングすること)。これは、抽出された情報に基づいて、かつ/あるいは、以下でさらに説明されるような、Diameterネットワークプロトコルトラフィックのパケットコンテンツ検査と組み合わせて、セキュリティポリシの適用における使用のために保管され得る(例えば、IPフローに関してキャッシュされる)。
【0056】
図2Bに示されるように、セッション作成要求(Create Session Request)メッセージは、260で示されるように、MME 252からSGW 254に対して送信され、そして、次いで、262で示されるように、SGW 254からPGW 256に対して送信される。セッション作成要求メッセージは、4G/LTEネットワーク内のモバイルデバイスに対する新しいネットワーク通信アクセス要求のためにコントロールおよびデータチャネルを割り当てるメッセージである(例えば、モバイル・サービスプロバイダのネットワーク上のネットワーク通信のために、ユーザIPパケットについてトンネルが提供される)。例えば、GTPセッション作成要求メッセージは、ロケーション、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は、無線アクセス技術(RAT)情報を、モバイルデバイスに対する新たなネットワーク通信アクセス要求に含むことができる。
【0057】
一つの実施形態において、セキュリティプラットフォームは、MME、SGW、およびPGWの間でGTP-Cメッセージをモニタリングし、セキュリティポリシに基づいてGTP-Cメッセージの中に含まれる所定の情報を抽出する(例えば、MME、SGW、およびPGWの間に配置されているパススルーファイアウォール/NGFWを使用して、もしくは、MME、SGW、およびPGW、及び/又は、モバイルコアネットワーク内の他のエンティティ上で実行されるVMインスタンスまたはエージェントとして実装されるファイアウォール/NGFWを使用して、GTPv2-Cメッセージをモニタリングする)。例えば、セキュリティプラットフォームは、GTP-Cメッセージをモニタリングし、そして、ロケーション、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は、無線アクセス技術(RAT)を、以下でさらに説明されるように、セッション作成要求メッセージから抽出することができる。
【0058】
図2Bに示されるように、264で示されるようなセッションの確立(Session Establishment)後に、PGW 256は、266で示されるように、セッション作成応答(Create Session Response)メッセージをSGW 254に対して送信し、そして、次いで、268で示されるように、SGW 254からMME 252に対して送信して、セッション作成要求がモバイルデバイスに対して承諾されているか否か(例えば、モバイルデバイスに対してモバイルコアネットワークにおけるトンネル化されたユーザデータトラフィックを許可するか否か)を示す。ポート2123上のUDP通信を使用して送信されるセッション作成要求およびセッション作成応答メッセージは、図2Bに示されるように、セッションのための初期設定コンテキストを作成するために使用される。
【0059】
図2Bにも、また示されるように、270で示されるベアラ変更要求(Modify Bearer Request)メッセージ、および、272で示されるベアラ変更応答(Modify Bearer Response)メッセージが、MME、SGW、およびPGWの間で交換される。例えば、ポート2123上のUDP通信を使用して送信されたベアラ変更要求/応答メッセージは、接続/セッションについて1つまたはそれ以上のパラメータを更新するために使用することができる。
【0060】
一つの実施形態において、開示される技術は、GTP-Cトラフィック、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィックといった、サービスプロバイダ・ネットワークにおけるシグナリング/コントロールトラフィックの検査、および、GTP-U、サービスプロバイダ・ネットワーク上で使用される他の様々なネットワークプロトコルといった、サービスプロバイダ・ネットワークにおけるトンネル化されたユーザトラフィックの検査を実行する(例えば、アプリケーションID、ユーザID、コンテンツIDを識別するためのパケットコンテンツ検査を実行することができるNGFWを使用して実施されるといった、セキュリティプラットフォームを使用して、URLフィルタリング、及び/又は、セキュリティ/脅威の検出/防止のための他のファイアウォール/セキュリティポリシを実行する)。一つの実施形態において、開示される技術は、GTP-Cトラフィックといった、サービスプロバイダ・ネットワーク内のシグナリング/コントロールトラフィックの検査を実行し、GTP-Cトラフィック内で交換された情報(例えば、パラメータ、以下でさらに説明されるような、加入者/モバイルデバイス、装置ID/IMEI、加入者情報/IMSI、及び/又は、RATに関連する位置情報といったもの)を抽出する。一つの実施形態において、開示される技術は、GTP-Cトラフィックといった、サービスプロバイダ・ネットワーク内でシグナリング/コントロールトラフィックの検査を実行し、GTP-Cトラフィック内で交換された情報(例えば、上述され、かつ、以下でさらに説明されるようなパラメータ)を抽出し、並びに、サービスプロバイダ・ネットワーク内のトンネル化されたユーザトラフィックをモニタリングする(例えば、上述され、かつ、以下でさらに説明されるようなパケットコンテンツ検査を使用する)。
【0061】
一つの例示的な実装において、セキュリティプラットフォームは、MME、SGW、PGW、HSS、EIR、およびPCRFに係るそれぞれのインターフェイスをモニタリングするように構成されており、コントロール/シグナリングトラフィック(例えば、DiameterメッセージおよびGTP-Cメッセージ)、トンネル化されたユーザトラフィック(GTP-U)であり、GTP、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィックを含んでいるもの、及び/又は、サービスプロバイダ・ネットワーク上で使用される様々な他のネットワークプロトコルであり、GTP、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィックを実装するもの、及び/又は、セキュリティプラットフォームを実装する能力をモニタリングする様々な他のネットワークトラフィックであり、例えば、パラメータ、以下でさらに説明されるような、加入者/モバイルデバイス、装置ID/IMEI、加入者情報/IMSI、及び/又は、RATに関連する位置情報といった、パラメータを使用し得るもの、及び/又は、コントロール/シグナリングトラフィックから抽出され得る他のあらゆるパラメータ/情報(例えば、GTP-Cメッセージ及び/又はメッセージのタイプ)、並びに、トンネルの中のIPパケットに対するパケットコンテンツ検査およびSIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィックを実行するもの、及び/又は、以下でさらに説明されるように、サービスプロバイダ・ネットワーク上において使用される様々な他のネットワークプロトコル、をモニタリングする。上述のように、位置情報/パラメータ、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は無線アクセス技術(RAT)は、セキュリティプラットフォームによりセッション作成要求メッセージから抽出され得る。それは、以下でさらに説明されるように、この抽出された情報に基づいて、かつ/あるいは、パケットコンテンツ検査と組み合わせて、セキュリティポリシを適用することに使用するために保管され得る(例えば、IPフローに関連してキャッシュされる)。
【0062】
開示される技術は、
GTPv1-CおよびGTP-U、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィック、及び/又は、3Gモバイル・パケットコア(MPC)内および4Gエボルブド・パケット・コア(EPC)内で、GTPv2-CおよびGTP-Uプロトコル、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィックを使用する、サービスプロバイダ上で使用される様々な他のネットワークプロトコル、及び/又は、サービスプロバイダ上において使用される様々な他のネットワークプロトコル、に係るネットワークトラフィック検査を実行することに関して、ここにおいて示され、かつ、一般的に説明されており、かつ/あるいは、ロケーション、デバイス、加入者、及び/又はRATパラメータ/情報(例えば、位置情報、ハードウェア識別子、加入者識別子情報、RATタイプ情報、及び/又は、それぞれのプロトコルにおけるユーザ/装置/ネットワークの他の特定のパラメータ)、及び/又は、モバイルデバイス通信のためのサービスプロバイダ・ネットワーク上のトンネル化されたユーザトラフィックを含む、他のモバイル・ネットワークプロトコル(例えば、5Gコアネットワークまたは他のモバイル・ネットワークプロトコルといったもの)を使用して、他のモバイルコアネットワークにおいて同様に実装され得る。
GTPv1-CおよびGTP-U、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィック、及び/又は、3Gモバイル・パケットコア(MPC)内および4Gエボルブド・パケット・コア(EPC)内で、GTPv2-CおよびGTP-Uプロトコル、SIGTRAN、SCTP、Diameter over SCTP、SCCP、CAP/MAP/INAP、及び/又は他のシグナリング・プロトコルトラフィックを使用する、サービスプロバイダ上で使用される様々な他のネットワークプロトコル、及び/又は、サービスプロバイダ上において使用される様々な他のネットワークプロトコル、に係るネットワークトラフィック検査を実行することに関して、ここにおいて示され、かつ、一般的に説明されており、かつ/あるいは、ロケーション、デバイス、加入者、及び/又はRATパラメータ/情報(例えば、位置情報、ハードウェア識別子、加入者識別子情報、RATタイプ情報、及び/又は、それぞれのプロトコルにおけるユーザ/装置/ネットワークの他の特定のパラメータ)、及び/又は、モバイルデバイス通信のためのサービスプロバイダ・ネットワーク上のトンネル化されたユーザトラフィックを含む、他のモバイル・ネットワークプロトコル(例えば、5Gコアネットワークまたは他のモバイル・ネットワークプロトコルといったもの)を使用して、他のモバイルコアネットワークにおいて同様に実装され得る。
【0063】
図3Aは、いくつかの実施形態に従った、3GネットワークにおけるSGSNとGGSNとの間のGTPv1-Cメッセージフローの別の例である。具体的に、図3Aは、3Gネットワーク内のSGSN 302とGGSN 304との間で、GTPv1-CのPDPメッセージ作成(Create PDP Message)フローについて、交換されたGTPv1-Cメッセージを示している。
【0064】
図3Aを参照すると、310で示されるように、PDP作成要求(Create PDP Request)メッセージが、Gn/Gpインターフェイスを使用して、SGSN 302からGGSN 304に対して送信される。312で示されるように、PDP作成応答(Create PDP Response)メッセージが、Gn/Gpインターフェイスを使用して、GGSN 304からSGSN 302に対して送信される。
【0065】
図3Bは、いくつかの実施形態に従った、4G/LTEネットワークにおけるMME、SGW、およびPGW間のGTPv2-Cメッセージフローの別の例である。具体的に、図3Bは、4G/LTEネットワークにおけるMME 322、SGW 324、およびPDN-GW(PGW)326(例えば、図1BにおいてGGSN/PGWとして示されている)の間で、GTPv2-Cのセッションメッセージ作成(Create Session Message)フローについて、交換されたGTPv2-Cメッセージを示している。
【0066】
図3Bを参照すると、330で示されるように、セッション作成要求(Create Session Request)メッセージが、S11インターフェイスを使用して、MME 322からSGW 324に対して送信され、そして、次いで、332で示されるように、S5/S8インターフェイスを使用して、SGW 324からPGW326に対して送信される。334で示されるように、セッション作成応答(Create Session Response)メッセージが、S5/S8インターフェイスを使用して、PGW 326からSGW 324に対して送信され、そして、次いで、336で示されるように、S11インターフェイスを使用して、SGW 324からMME 322に対して送信される。
【0067】
これから以下でさらに説明されるように、ロケーション、ハードウェア識別子(例えば、IMEI)、加入者識別子(例えば、IMSI)、及び/又は、無線アクセス技術(RAT)情報といった、様々な情報/パラメータは、セキュリティプラットフォームによってモニタリングされるコントロール/シグナリングトラフィック(例えば、GTPv1-CPDPのPDP作成要求メッセージ、GTPv2-Cのセッション作成要求メッセージ、及び/又は、モバイルコアネットワーク内の他のコントロール/シグナリング・プロトコル・メッセージ)から抽出することができる。それは、この抽出された情報に基づいて、かつ/あるいは、ユーザデータトラフィック(例えば、GTP-Uトラフィック、及び/又は、モバイルコアネットワークにおける他のトンネルユーザデータプロトコル)上でセキュリティプラットフォームによって実行されるパケットコンテンツ検査と組み合わせて、セキュリティポリシを適用することに使用するために保管され得る(例えば、IPフローに関連してキャッシュされる)。
【0068】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるトランスポート層シグナリングセキュリティのための技術
【0069】
一つの実施形態において、サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化のために開示される技術は、サービスプロバイダのためのモバイル・ネットワークにおけるトランスポート層シグナリングセキュリティ(例えば、SIGTRANプロトコル)を提供することを含む。例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、モバイル・バーチャル・ネットワーク・オペレータ(MVNO)は、3G、4G、または5G無線アクセス技術(RAT)を使用してモバイル・ネットワークに接続するユーザ装置(例えば、加入者のモバイルデバイス)及び/又はIoT装置に対してトランスポート層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0070】
例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、3Gモバイル・パケットコア(MPC)、4Gエボルブド・パケット・コア(EPC)、及び/又は、(例えば、5Gコアネットワークといった)他のモバイルコアネットワークにおけるネットワークエレメントに対してアプリケーション層シグナリングベースのセキュリティを適用するように、開示される技術を適用することができる。
【0071】
別の例として、Internet Private Exchange(IPX)プロバイダおよびGPRS Roaming Exchange(GRX)プロバイダは、3G、4G、及び/又は5G技術のためのネットワーク相互接続サービスを受けるモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0072】
さらに別の例として、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、3G、4G、及び/又は5G技術のためのネットワーク接続サービスを受ける他のモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0073】
一つの実施形態において、モバイル・サービスプロバイダは、サービスプロバイダのためのモバイル・ネットワークにおいて、新しく、かつ、強化されたトランスポート層シグナリングセキュリティを提供するように、開示される技術を適用することができる。例えば、モバイル・サービスプロバイダは、トランスポート層シグナリングベースのセキュリティサービスを提供するように、開示される技術を適用することができる。別の例として、モバイル・サービスプロバイダは、トランスポート層シグナリングベースの脅威検出サービス(例えば、既知の脅威に対するトランスポート層シグナリングベースの基本的な脅威検出サービス、未知の脅威に対するトランスポート層シグナリングベースの高度な脅威検出サービス、及び/又は、セキュリティポリシを適用するためにトランスポート層シグナリングベースの情報を利用することができる他の脅威検出サービス)を提供するように、開示される技術を適用することができる。さらに別の例として、モバイル・サービスプロバイダは、既知の脅威についてトランスポート層シグナリングベースの脅威防止サービスを提供するように、開示される技術を適用することができる(例えば、既知の脅威に対するトランスポート層シグナリングベースの基本的な脅威防止サービス、未知の脅威に対するトランスポート層シグナリングベースの高度な脅威防止サービス、及び/又は、セキュリティポリシを適用するためにトランスポート層シグナリングベースの情報を利用することができる他の脅威防止サービス)。
【0074】
従って、サービスプロバイダのためのモバイル・ネットワークにおける強化されたセキュリティについて開示される技術は、トランスポート層シグナリングベースのセキュリティを実行することを含み、同様に、モバイル・ネットワークにおけるシグナリングトラフィックの上位層に対して、フィルタリングされたトランスポート層シグナリング情報/メッセージ、または、上位層シグナリング情報/メッセージ(例えば、アプリケーションシグナリング層)に基づいてセキュリティポリシを実行することができるセキュリティプラットフォームを使用することを含む。
【0075】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、これらのトランスポート層シグナリングベースのセキュリティサービスまたはそれらの組み合わせ、並びに、開示される技術を使用する様々な他のシグナリング層ベースのセキュリティサービスを提供することができる。また、モバイル・サービスプロバイダは、以下でさらに説明されるように、加入者/ユーザ識別ベース、ハードウェア識別ベース、RAベース、及び/又は、それらの組み合わせといった、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたトランスポート層シグナリングベースのセキュリティサービスを提供するように、開示される技術を適用することもできる。
【0076】
トランスポート層シグナリング情報/メッセージ(及び/又は、他のパケットコンテンツ検査及び/又はアプリケーションID、ユーザID、コンテンツID、URLフィルタリングといったNGFW技術との組み合わせ)に基づいて、サービスプロバイダのためのモバイル・ネットワークにおいて強化されたセキュリティを提供するためのこれら及び他の技術について、以下に詳述する。
【0077】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるアプリケーション層シグナリングセキュリティのための技術
【0078】
一つの実施形態において、サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化のための開示される技術は、サービスプロバイダのためのモバイル・ネットワークにおけるアプリケーション層シグナリングセキュリティ(例えば、CAP、MAP、INAP、及び/又は他のレイヤ-7/アプリケーション層シグナリング・プロトコル)を提供することを含む。例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、ユーザ装置(例えば、加入者のモバイルデバイス)及び/又は3G、4G、または5G無線アクセス技術(RAT)を使用してモバイル・ネットワークに接続するIoT装置に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0079】
例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、3Gモバイル・パケットコア(MPC)、4Gエボルブド・パケット・コア(EPC)、及び/又は、(例えば、5Gコアネットワークといった)他のモバイルコアネットワークにおけるネットワークエレメントに対してアプリケーション層シグナリングベースのセキュリティを適用するように、開示される技術を適用することができる。
【0080】
別の例として、Internet Private Exchange(IPX)プロバイダおよびGPRS Roaming Exchange(GRX)プロバイダは、3G、4G、及び/又は5G技術のためのネットワーク相互接続サービスを受けるモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0081】
さらに別の例として、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、3G、4G、及び/又は5G技術のためのネットワーク接続サービスを受ける他のモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0082】
一つの実施形態において、モバイル・サービスプロバイダは、サービスプロバイダのためのモバイル・ネットワークにおいて、新しく、かつ、強化されたアプリケーション層シグナリングセキュリティを提供するように、開示される技術を適用することができる。例えば、モバイル・サービスプロバイダは、アプリケーション層シグナリングベースのセキュリティサービスを提供するように、開示される技術を適用することができる。別の例として、モバイル・サービスプロバイダは、アプリケーション層シグナリングベースの脅威検出サービス(例えば、既知の脅威に対するアプリケーション層シグナリングベースの基本的な脅威検出サービス、未知の脅威に対するアプリケーション層シグナリングベースの高度な脅威検出サービス、及び/又は、セキュリティポリシを適用するためにアプリケーション層シグナリングベースの情報を利用することができる他の脅威検出サービス)を提供するように、開示される技術を適用することができる。さらに別の例として、モバイル・サービスプロバイダは、既知の脅威についてアプリケーション層シグナリングベースの脅威防止サービスを提供するように、開示される技術を適用することができる(例えば、既知の脅威に対するアプリケーション層シグナリングベースの基本的な脅威防止サービス、未知の脅威に対するアプリケーション層シグナリングベースの高度な脅威防止サービス、及び/又は、セキュリティポリシを適用するためにアプリケーション層シグナリングベースの情報を利用することができる他の脅威防止サービス)。
【0083】
従って、サービスプロバイダのためのモバイル・ネットワークにおける強化されたセキュリティについて開示される技術は、アプリケーション層シグナリングベースのセキュリティを実行することを含み、フィルタリングされたアプリケーション層シグナリング情報/メッセージ、または、下位層シグナリング情報/メッセージ(例えば、トランスポートおよびネットワークシグナリング層)に基づいてセキュリティポリシを実行することができるセキュリティプラットフォームを使用する。
【0084】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、これらのアプリケーション層シグナリングベースのセキュリティサービスまたはそれらの組み合わせ、並びに、開示される技術を使用する様々な他のシグナリング層ベースのセキュリティサービスを提供することができる。また、モバイル・サービスプロバイダは、以下でさらに説明されるように、加入者/ユーザ識別ベース、ハードウェア識別ベース、RAベース、及び/又は、それらの組み合わせといった、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたアプリケーション層シグナリングベースのセキュリティサービスを提供するように、開示される技術を適用することもできる。
【0085】
アプリケーション層シグナリング情報/メッセージ(及び/又は、他のパケットコンテンツ検査及び/又はアプリケーションID、ユーザID、コンテンツID、URLフィルタリングといったNGFW技術との組み合わせ)に基づいて、サービスプロバイダのためのモバイル・ネットワークにおいて強化されたセキュリティを提供するためのこれら及び他の技術について、以下に詳述する。
【0086】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるネットワーク層シグナリングセキュリティのための技術
【0087】
一つの実施形態において、サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化のために開示される技術は、サービスプロバイダのためのモバイル・ネットワークにおけるネットワーク層シグナリングセキュリティを提供することを含む。例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、3G、4G、または5G無線アクセス技術(RAT)を使用してモバイル・ネットワークに接続するユーザ装置(例えば、加入者のモバイルデバイス)及び/又はIoT装置に対してSCCPベース(SCCP-based)のセキュリティを提供するように、開示される技術を適用することができる。
【0088】
例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、3Gモバイル・パケットコア(MPC)、4Gエボルブド・パケット・コア(EPC)、及び/又は、(例えば、5Gコアネットワークといった)他のモバイルコアネットワークにおけるネットワークエレメントに対してアプリケーション層シグナリングベースのセキュリティを適用するように、開示される技術を適用することができる。
【0089】
別の例として、Internet Private Exchange(IPX)プロバイダおよびGPRS Roaming Exchange(GRX)プロバイダは、3G、4G、及び/又は5G技術のためのネットワーク相互接続サービスを受けるモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0090】
さらに別の例として、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、3G、4G、及び/又は5G技術のためのネットワーク接続サービスを受ける他のモバイル・サービスプロバイダ(例えば、MVNOプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0091】
一つの実施形態において、モバイル・サービスプロバイダは、サービスプロバイダのためのモバイル・ネットワークにおいて、新しく、かつ、強化されたネットワーク層シグナリングセキュリティを提供するように、開示される技術を適用することができる。例えば、モバイル・サービスプロバイダは、ネットワーク層シグナリングベースのセキュリティサービスを提供するように、開示される技術を適用することができる。別の例として、モバイル・サービスプロバイダは、ネットワーク層シグナリングベースの脅威検出サービス(例えば、SCCPベースの、既知の脅威に対するネットワーク層シグナリングベースの基本的な脅威検出サービス、未知の脅威に対する高度な脅威検出サービス、及び/又は、セキュリティポリシを適用するためにSCCPベースの情報を利用することができる他の脅威検出サービス)を提供するように、開示される技術を適用することができる。さらに別の例として、モバイル・サービスプロバイダは、既知の脅威についてネットワーク層シグナリングベースの脅威防止サービスを提供するように、開示される技術を適用することができる(例えば、SCCPベースの、既知の脅威に対するネットワーク層シグナリングベースの基本的な脅威防止サービス、未知の脅威に対する高度な脅威防止サービス、及び/又は、セキュリティポリシを適用するためにSCCPベースの情報を利用することができる他の脅威防止サービス)。
【0092】
従って、サービスプロバイダのためのモバイル・ネットワークにおける強化されたセキュリティについて開示される技術は、ネットワーク層シグナリングベースのセキュリティを実行することを含み、フィルタリングされたネットワーク層シグナリング情報/メッセージ(例えば、SCCP情報/メッセージ)、または、下位/上位層シグナリング情報/メッセージに基づいてセキュリティポリシを実行することができるセキュリティプラットフォームを使用する。
【0093】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、これらのネットワーク層シグナリングベースのセキュリティサービスまたはそれらの組み合わせ、並びに、開示される技術を使用する様々な他のシグナリング層ベースのセキュリティサービスを提供することができる。また、モバイル・サービスプロバイダは、以下でさらに説明されるように、加入者/ユーザ識別ベース、ハードウェア識別ベース、RAベース、及び/又は、それらの組み合わせといった、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたネットワーク層シグナリングベースのセキュリティサービスを提供するように、開示される技術を適用することもできる。
【0094】
ネットワーク層シグナリング情報/メッセージ(及び/又は、他のパケットコンテンツ検査及び/又はアプリケーションID、ユーザID、コンテンツID、URLフィルタリングといったNGFW技術との組み合わせ)に基づいて、サービスプロバイダのためのモバイル・ネットワークにおいて強化されたセキュリティを提供するためのこれら及び他の技術について、以下に詳述する。
【0095】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるSCTP上のDiameterセキュリティのための技術
【0096】
一つの実施形態において、サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化のために開示される技術は、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いるSCTP上のDiameterセキュリティ(Diameter over SCTP security)を提供することを含む。例えば、モバイル・サービスプロバイダ、および、MVNOは、3G、4G、または5Gネットワークを介してモバイル・ネットワークに接続するユーザ装置に対してSCTP上のDiameterセキュリティ(例えば、NGFWを使用してアプリケーションIDとの組み合わせにおいて)を提供するように、開示される技術を適用することができる。
【0097】
例えば、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、3Gモバイル・パケットコア(MPC)、4Gエボルブド・パケット・コア(EPC)、及び/又は、(例えば、5Gコアネットワークといった)他のモバイルコアネットワークにおけるネットワークエレメントに対してアプリケーション層シグナリングベースのセキュリティを適用するように、開示される技術を適用することができる。
【0098】
別の例として、Internet Private Exchange(IPX)プロバイダおよびGPRS Roaming Exchange(GRX)プロバイダは、3G、4G、及び/又は5G技術のためのネットワーク相互接続サービスを受けるモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0099】
さらに別の例として、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)は、3G、4G、及び/又は5G技術のためのネットワーク接続サービスを受ける他のモバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)に対してアプリケーション層シグナリングベースのセキュリティを提供するように、開示される技術を適用することができる。
【0100】
一つの実施形態において、サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化について開示される技術は、サービスプロバイダのためにモバイル・ネットワークにおいてSCTP上のDiameterセキュリティを提供することを含む。例えば、モバイル・サービスプロバイダは、ユーザ装置(例えば、加入者のモバイルデバイス)及び/又はモバイル・ネットワークに接続するIoT装置に対してSCTP上のDiameterセキュリティを提供するように、開示される技術を適用することができる。
【0101】
一つの実施形態において、モバイル・サービスプロバイダは、サービスプロバイダのためのモバイル・ネットワークにおいて、新しく、かつ、強化されたSCTP上のDiameterセキュリティサービスを提供するように、開示される技術を適用することができる。例えば、モバイル・サービスプロバイダは、SCTP上のDiameterセキュリティサービスを提供するように、開示される技術を適用することができる。別の例として、モバイル・サービスプロバイダは、SCTP上のDiameterから抽出される情報を使用して脅威検出サービス(例えば、SCTP上のDiameterの既知の脅威に対する基本的な脅威検出サービス、SCTP上のDiameterの未知の脅威に対する高度な脅威検出サービス、及び/又は、セキュリティポリシを適用するためにSCTP上のDiameterのデコード/抽出された情報を利用することができる他の脅威検出サービス)を提供するように、開示される技術を適用することができる。さらに別の例として、モバイル・サービスプロバイダは、SCTP上のDiameterから抽出された情報を利用して既知の脅威について脅威防止サービスを提供するように、開示される技術を適用することができる(例えば、SCTP上のDiameterベースの既知の脅威に対する基本的な脅威防止サービス、SCTP上のDiameterベースの未知の脅威に対する高度な脅威防止サービス、及び/又は、セキュリティポリシを適用するためにSCTP上のDiameterのデコード/抽出された情報を利用することができる他の脅威防止サービス)。
【0102】
一つの実施形態において、サービスプロバイダのためのモバイル・ネットワークにおけるセキュリティ強化について開示される技術は、SCTP上のDiameterのデコード/抽出された情報に基づくセキュリティポリシを実装することができるセキュリティプラットフォームを使用して、モバイル・ネットワークにおいてSCTP上のDiameterベースのセキュリティを実行することを含む。例えば、セキュリティプラットフォームは、モバイル・ネットワーク内のSCTP上のDiameterトラフィックをモニタリングし、そして、種々の情報を抽出するように、プロトコル/ペイロードを処理(例えば、解析(parse))することができる。
【0103】
サービスプロバイダのためのモバイル・ネットワークにおいて強化されたシグナリング・セキュリティを実装するための例示的なシステムアーキテクチャ
【0104】
図4Aは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、SCTP上のDiameterセキュリティサービスを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。図4Aは、4G/LTEネットワークを含む(例えば、そして、また、ワイアード、Wi-Fi、3G、5G、及び/又は他のネットワークも含むことができる)4G/LTE EPCネットワークアーキテクチャのための例示的なサービスプロバイダ・ネットワーク環境であり、インターネット及び/又は他のネットワーク上で加入者のためのデータ通信を促進する。図4Aに示されるように、ホーム(Home)公衆陸上モバイル・ネットワーク(PLMN)424は、バックホール(BH)ネットワークを介してエボルブド・パケット・コア(EPC)ネットワーク402と通信する無線アクセスネットワーク(RAN)436と通信しており、パケットデータ・ネットワーク(PDN)438(例えば、インターネット)へのアクセスを促進する。示されるように、ビジター(Visitor)PLMN 426も、また、BHネットワークを介してEPCネットワーク412と通信するRAN432と通信しており、PDN 434(例えば、インターネット)へのアクセスを促進する。示されるように、モバイルユーザ装置428(例えば、移動電話、タブレット、時計、ラップトップ、及び/又は、他のコンピューティングデバイス)および接続されたモノ430(例えば、種々のIoT装置)といった、種々のユーザ装置は、RAN 432内の種々のセルを使用して通信することができる。
【0105】
図4Aは、EPC 402とEPC 412との間でSCTP上のDiameterトラフィックをモニタリングおよびデコードするための、FW 404(例えば、NGFWまたは上記と同様な他のセキュリティプラットフォーム)として示される、セキュリティプラットフォームのネットワーク配置を示している。具体的に、FW 404は、モバイル・マネジメント・エンティティ(MME)414とイクイップメント・アイデンティティ・レジスタ(EIR)406との間で(例えば、S13インターフェイスを介して)SCTP上のDiameterトラフィックをモニタリングして、418に示されるように、SCTPアソシエーション(association)を促進し、かつ、Diameterペイロードを検査する。そして、FWは、また、MME 414とホーム加入者サーバ(HSS)408との間で(例えば、S6aインターフェイスを介して)SCTP上のDiameterトラフィックをモニタリングして、420に示されるように、SCTPアソシエーションを促進し、かつ、Diameterペイロードを検査する。同様に、FW 404は、ビジターポリシ制御及び課金ルール機能(V-PCRF)416と、ホームポリシ制御及び課金ルール機能(H-PCRF)410との間で(例えば、S9インターフェイスを介して)SCTP上のDiameterトラフィックをモニタリングして、422に示されるように、SCTPアソシエーションを促進し、かつ、Diameterペイロードを検査する。
【0106】
例えば、開示される技術を使用して、そうしたSCTP上のDiameterトラフィックから抽出されたパラメータ/情報に基づいて、種々のセキュリティポリシが、FW 404によって実施され得る(例えば、ローミング加入者は、一般的に、サービスプロバイダ・ネットワーク上で強化されたローミングセキュリティを促進するために、非ローミング加入者に対して実施されるセキュリティポリシとは異なる、別個のセキュリティポリシを実施することができる)。一つの例示的な実装において、ローミング加入者は、アプリケーションID(及び/又は、コンテンツID、ユーザID、URL、等といった、他のパケットコンテンツ検査で決定された情報)に基づいて制限されたアクセスを有し、かつ/あるいは、他の様々なセキュリティポリシが実施され得る。
【0107】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、開示される技術を使用して、こうしたSCTP上のDiameterベースのセキュリティサービス、またはそれらの組み合わせ、並びに、他のSCTP上のDiameterベースのサービスのそれぞれを提供することができる。モバイル・サービスプロバイダは、また、開示される技術を適用して、以下でさらに説明されるように、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたSCTP上のDiameterベースのサービスを提供する。他の強化されたセキュリティサービスは、ロケーションベース、モバイルデバイス識別子ベース、モバイルユーザ識別子ベース、及び/又はそれらの組み合わせ、といったものである。
【0108】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるSCTP上のDiameterセキュリティのための技術を提供するためのこれら及び他の技術(例えば、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングといった様々なパケットコンテンツ検査及び/又はNGFW技術を使用するもの)が、以下でさらに説明される。
【0109】
図4Bは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、SIGTRANセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。図4Bは、4G/LTE EPCネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境の一つの例であり、4G/LTEネットワークを含み(例えば、そして、また、ワイアード、Wi-Fi、3G、5G、及び/又は他のネットワークも含むことができ)、インターネット及び/又は他のネットワークを介して加入者のためのデータ通信を促進する。図4Bに示されるように、ホームPLMN 424は、RAN 436と通信し、RANは、BHネットワークを介して、EPC 450として示される、モバイルコアネットワークと通信している。EPCは、サービングGPRSサポートノード(SGSN)442、モバイル・スイッチングセンタ(MSC)444、ホームロケーションレジスタ(HLR)446、およびビジターロケーションレジスタ(VLR)448を含んでいる。また、示されるように、ビジターPLMN 426は、グローバルシグナリングシステムNo.7(SS7)ネットワーク452と通信し、SS7は、モバイルコアネットワークと通信している。当業者にとって明らかなように、モバイルユーザ装置(例えば、移動電話、タブレット、時計、ラップトップ、及び/又は、他のコンピューティングデバイス)といった、種々のUE、および、接続されたモノ(例えば、種々のIoT装置)は、ホームPLMN 424を介して(例えば、RAN 436内の種々のセルを使用して)、または、同様に、ビジターPLMN 426を介して、通信することができる。
【0110】
図4Bは、EPC 450とグローバルSS7ネットワーク452との間のSIGTRANトラフィックをモニタリングおよびデコードするための、EPC 450とグローバルSS7ネットワーク452との間の、FW 440として示される、セキュリティプラットフォーム(例えば、NGFWまたは上記と同様な他のセキュリティプラットフォーム)のネットワーク配置を示している。
【0111】
例えば、開示される技術を使用して、そうしたSIGTRANトラフィックから抽出されたパラメータ/情報に基づいて、FW 440によって種々のセキュリティポリシが実施され得る(例えば、ローミング加入者は、一般的に、非ローミング加入者に対して実施されるセキュリティポリシとは異なる別個のセキュリティポリシを実施することができる)。一つの例示的な実装において、ローミング加入者は、アプリケーションID(及び/又は、コンテンツID、ユーザID、URL、等といった、他のパケットコンテンツ検査で決定された情報)に基づいて制限されたアクセスを有し、かつ/あるいは、他の様々なセキュリティポリシが実施され得る。
【0112】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、開示される技術を使用して、こうしたSIGTRANベースのセキュリティサービス、またはそれらの組み合わせ、並びに、他のSIGTRANベースのサービスのそれぞれを提供することができる。モバイル・サービスプロバイダは、また、開示される技術を適用して、以下でさらに説明されるように、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたSIGTRANベースのサービスを提供する。他の強化されたセキュリティサービスは、ロケーションベース、モバイルデバイス識別子ベース、モバイルユーザ識別子ベース、及び/又はそれらの組み合わせ、といったものである。
【0113】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるSIGTRANセキュリティを提供するための、これら及び他の技術(例えば、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングといった様々なパケットコンテンツ検査及び/又はNGFW技術を使用するもの)が、以下でさらに説明される。
【0114】
図4Cは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、SCCPセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。図4Cは、4G/LTE EPCネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境の一つの例であり、4G/LTEネットワークを含み(例えば、そして、また、ワイアード、Wi-Fi、3G、5G、及び/又は他のネットワークも含むことができ)、インターネット及び/又は他のネットワークを介して加入者のためのデータ通信を促進する。図4Cに示されるように、ホームPLMN 424は、RAN 436と通信し、RANは、BHネットワークを介して、EPC 450として示される、モバイルコアネットワークと通信している。EPCは、SGSN42、MSC444、HLR446、およびVLR448を含んでいる。また、示されるように、ビジターPLMN 426は、グローバルシグSS7ネットワーク452と通信し、SS7は、モバイルコアネットワークと通信している。当業者にとって明らかなように、モバイルユーザ装置(例えば、移動電話、タブレット、時計、ラップトップ、及び/又は、他のコンピューティングデバイス)といった、種々のUE、および、接続されたモノ(例えば、種々のIoT装置)は、ホームPLMN 424を介して(例えば、RAN 436内の種々のセルを使用して)、または、同様に、ビジターPLMN 426を介して、通信することができる。
【0115】
図4Cは、EPC 450とグローバルSS7ネットワーク452との間のSCCPトラフィックをモニタリングおよびデコードするための、EPC 450とグローバルSS7ネットワーク452との間の、FW 460として示される、セキュリティプラットフォーム(例えば、NGFWまたは上記と同様な他のセキュリティプラットフォーム)のネットワーク配置を示している。
【0116】
例えば、開示される技術を使用して、そうしたSCCPトラフィックから抽出されたパラメータ/情報に基づいて、FW 460によって種々のセキュリティポリシが実施され得る(例えば、ローミング加入者は、一般的に、非ローミング加入者に対して実施されるセキュリティポリシとは異なる別個のセキュリティポリシを実施することができる)。一つの例示的な実装において、ローミング加入者は、アプリケーションID(及び/又は、コンテンツID、ユーザID、URL、等といった、他のパケットコンテンツ検査で決定された情報)に基づいて制限されたアクセスを有し、かつ/あるいは、他の様々なセキュリティポリシが実施され得る。
【0117】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、開示される技術を使用して、こうしたSCCPベースのセキュリティサービス、またはそれらの組み合わせ、並びに、他のSCCPベースのサービスのそれぞれを提供することができる。モバイル・サービスプロバイダは、また、開示される技術を適用して、以下でさらに説明されるように、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたSCCPベースのサービスを提供する。他の強化されたセキュリティサービスは、ロケーションベース、モバイルデバイス識別子ベース、モバイルユーザ識別子ベース、及び/又はそれらの組み合わせ、といったものである。
【0118】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるSCCPセキュリティを提供するためのこれら及び他の技術(例えば、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングといった様々なパケットコンテンツ検査及び/又はNGFW技術を使用するもの)が、以下でさらに説明される。
【0119】
図4Dは、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いて、OSIレイヤ7シグナリングセキュリティを提供するためのセキュリティプラットフォームを有する4G/LTE無線ネットワークのブロック図である。図4Dは、4G/LTE EPCネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境の一つの例であり、4G/LTEネットワークを含み(例えば、そして、また、ワイアード、Wi-Fi、3G、5G、及び/又は他のネットワークも含むことができ)、インターネット及び/又は他のネットワークを介して加入者のためのデータ通信を促進する。図4Dに示されるように、ホームPLMN 424は、RAN 436と通信し、RANは、BHネットワークを介して、EPC 450として示される、モバイルコアネットワークと通信している。EPCは、SGSN442、MSC444、HLR446、およびVLR448を含んでいる。また、示されるように、ビジターPLMN 426は、グローバルSS7ネットワーク452と通信し、SS7は、モバイルコアネットワークと通信している。当業者にとって明らかなように、モバイルユーザ装置(例えば、移動電話、タブレット、時計、ラップトップ、及び/又は、他のコンピューティングデバイス)といった、種々のUE、および、接続されたモノ(例えば、種々のIoT装置)は、ホームPLMN 424を介して(例えば、RAN 436内の種々のセルを使用して)、または、同様に、ビジターPLMN 426を介して、通信することができる。
【0120】
図4Dは、EPC 450とグローバルSS7ネットワーク452との間のOSIレイヤ7シグナリングトラフィックをモニタリングおよびデコードするための、EPC 450とグローバルSS7ネットワーク452との間の、FW 440として示される、セキュリティプラットフォーム(例えば、NGFWまたは上記と同様な他のセキュリティプラットフォーム)のネットワーク配置を示している。
【0121】
例えば、開示される技術を使用して、そうしたOSIレイヤ7シグナリングトラフィック(例えば、CAP/MAP/INAPまたは他のOSIレイヤ7シグナリングトラフィック)から抽出されたパラメータ/情報に基づいて、FW 470によって種々のセキュリティポリシが実施され得る(例えば、ローミング加入者は、一般的に、非ローミング加入者に対して実施されるセキュリティポリシとは異なる別個のセキュリティポリシを実施することができる)。一つの例示的な実装において、ローミング加入者は、アプリケーションID(及び/又は、コンテンツID、ユーザID、URL、等といった、他のパケットコンテンツ検査で決定された情報)に基づいて制限されたアクセスを有し、かつ/あるいは、他の様々なセキュリティポリシが実施され得る。
【0122】
当業者にとっては今や明らかなように、モバイル・サービスプロバイダ(例えば、モバイル・ネットワークのサービスプロバイダ、モバイルデバイスまたはIoTのサービスプロバイダ、セキュリティサービスプロバイダ、もしくは、モバイル・ネットワークの使用に関連するデバイス/サービスを提供する他のエンティティ)、および、MVNOプロバイダは、開示される技術を使用して、こうしたOSIレイヤ7シグナリング(例えば、CAP/MAP/INAPまたは他のOSIレイヤ7シグナリングトラフィック)ベースのセキュリティサービス、またはそれらの組み合わせ、並びに、他のOSIレイヤ7シグナリングベースのサービスのそれぞれを提供することができる。モバイル・サービスプロバイダは、また、開示される技術を適用して、以下でさらに説明されるように、様々な他の強化されたセキュリティサービスと組み合わせて、そうしたOSIレイヤ7シグナリングベースのサービスを提供する。他の強化されたセキュリティサービスは、ロケーションベース、モバイルデバイス識別子ベース、モバイルユーザ識別子ベース、及び/又はそれらの組み合わせ、といったものである。
【0123】
サービスプロバイダのためのモバイル・ネットワークにおいて次世代ファイアウォールを用いるOSIレイヤ7シグナリングセキュリティを提供するためのこれら及び他の技術(例えば、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングといった様々なパケットコンテンツ検査及び/又はNGFW技術を使用するもの)が、以下でさらに説明される。
【0124】
図4Eは、例示的なシグナリング・プロトコルスタックを示している。図4Eを参照すると、例示的なシグナリング層は、CAP、MAP、INAP、TCAP、SCCP、SIGTRAN、Diameter、およびSCTPを含んでいる。
【0125】
図4Fは、SS7オーバーIPプロトコルスタック(SS7 over IP protocol stack) SS7 over IPプロトコルスタックの一つの例を示している。図4Fを参照すると、CAP、MAP、およびINAPといった、レイヤ7/アプリケーションシグナリング層も、また、示されている。
【0126】
セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル/サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するように、防止され得るシグナリング攻撃の例
【0127】
例示的なMAPプロトコルの脆弱性(vulnerabilities)および攻撃に対するセキュリティプラットフォームソリューション
【0128】
図5Aは、いくつかの実施例に従った、セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル・サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するように防止され得る、MAPメッセージを用いたシグナリング攻撃(signaling attack)の一つの例である。この第1例のシグナリング攻撃においては、MAP anyTimeInterrogation(ATI)メッセージ502が未認可ユーザ/攻撃者530から加入者のHLR 514に対して送信されると(例えば、そうしたATIメッセージは加入者のセル識別子(Cell-ID)およびIMEIについて加入者のHLRをクエリ(query)することができる)、ATIメッセージは、provideSubscriberInfo(PSI)メッセージ504をトリガし、PSIメッセージは、次いで、MSC/VLR 516に対して送信される。MSC/VLRには、ページング要求(paging request)メッセージ506で示されるように、加入者のデバイス518が接続され/無線通信している。応答において、加入者のデバイス518は、ページング応答(paging response)メッセージ508で示されるように、他の情報と共に加入者のセル識別子をリターンする。そして、次いで、MSC/VLR 516は、provideSubscriberInfo応答メッセージ510をリターンして、HLR 514は、示されるように、anyTimeInterrogation応答メッセージ512をリターンする。
【0129】
この例のMAPメッセージを用いたシグナリング攻撃において、未認可ユーザ/攻撃者は、次いで、加入者のデバイスのセル識別子を取得するために、anyTimeInterrogation応答メッセージを使用することができる。セル識別子は、次に、公的に利用可能なマッピング情報を使用して、実際のロケーション(例えば、ストリートレベル)に対してマッピングされ得る。かくして、このタイプのMAPメッセージを用いたシグナリング攻撃は、加入者の許可または知識を持つ加入者のロケーションをモニタリングするために、未認可ユーザ/攻撃者によって利用され得る。
【0130】
一つの実施形態において、開示される技術は、MAPトラフィックを含むOSIレイヤ7/アプリケーション層シグナリングトラフィックをモニタリングし、そして、モニタリングされたMAPトラフィックをデコードするように、セキュリティプラットフォームによって実行され得る。セキュリティポリシは、そうしたMAPメッセージを用いたシグナリング攻撃を特定し、かつ、信頼されていない(untrusted)/外部ネットワークからのanyTimeInterrogation要求メッセージをブロック/ドロップするように構成され得る。これによって、未認可ユーザ/攻撃者は加入者のデバイスのセル識別子を取得することが認められず、そして、結果として加入者のロケーションの検出を防止する。
【0131】
図5Bは、いくつかの実施例に従った、セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル・サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するように防止され得る、MAPメッセージを用いたシグナリング攻撃の別の例である。この第2例のシグナリング攻撃においては、TMSIが既知である場合に、MSCが、IMSIをリターンするように未認可ユーザ/攻撃者によって要求され得る。MSCは、また、加入者のためのセッション鍵についてもクエリされ得る。もし、未認可ユーザ/攻撃者が暗号化されたGSMまたはUMTSコール(call)を取得した場合、未認可ユーザ/攻撃者はセッション鍵を使用して解読することができる。
【0132】
図5Bを参照すると、未認可ユーザ/攻撃者530は、最初に、エアーインターフェイス(air interface)を介してターゲットのトラフィックを取得する(例えば、一般的には、未認可ユーザ/攻撃者がターゲットの所定の物理的近傍の中に存在することを含む)。次に、SS7ネットワークに対するアクセスを用いて、未認可ユーザ/攻撃者は、次いで、TMSIを伴うsendIdentification要求メッセージ540をMSC/VLR 516に対して送信し、そして、セッションキーメッセージを含んでいるprovideSubscriberLocation応答542を介して、ターゲットのデバイス518のための復号化鍵を回収する(retrieve)ことができる。これらの復号化/セッション鍵は、上述のように、加入者のトラフィックを復号化するために使用され得る。
【0133】
一つの実施形態において、開示される技術は、MAPトラフィックを含むOSIレイヤ7/アプリケーション層シグナリングトラフィックをモニタリングし、そして、モニタリングされたMAPトラフィックをデコードするために、セキュリティプラットフォームによって実行され得る。セキュリティポリシは、そうしたMAPメッセージを用いたシグナリング攻撃を特定し、かつ、信頼されていない/外部ネットワークからのsendIdentification要求メッセージをブロック/ドロップするように構成され得る。
【0134】
図5Cは、いくつかの実施例に従った、セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル・サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するように防止され得る、MAPメッセージを用いたシグナリング攻撃の別の例である。この第3例のシグナリング攻撃においては、ゲートウェイ・モバイル・ロケーション・センター(GMLC)558での認証が、VLRを直接的にクエリすることによってバイパスされ得る。この例のシグナリング攻撃において、未認可ユーザ/攻撃者530は、provideSubscriberLocation要求メッセージ550をMSC 556に対して送信し、そして、次に、示されるように、provideSubscriberLocation応答メッセージ552を受信する。
【0135】
一つの実施形態において、開示される技術は、MAPトラフィックを含むOSIレイヤ7シグナリングトラフィックをモニタリングし、そして、モニタリングされたMAPトラフィックをデコードするために、セキュリティプラットフォームによって実行され得る。セキュリティポリシは、そうしたMAPメッセージを用いたシグナリング攻撃を特定し、かつ、信頼されていない/外部ネットワークからのsendIdentification要求メッセージをブロック/ドロップするように構成され、このタイプのシグナリング攻撃を防止することができる。
【0136】
例示的なDiameterプロトコルの脆弱性と攻撃に対するセキュリティプラットフォームソリューション
【0137】
認証メッセージのシグナリング・フラッド(flood)は、Diameter関連の攻撃例である。Diameter認証メッセージのシグナリング・フラッド攻撃は、シグナリング関連ネットワークの動作不能状態(outage)の例であり、サービスプロバイダ・ネットワーク上で輻輳(congestion)問題を引き起こし得る。具体的に、Diameter認証メッセージのシグナリング・フラッドは、サービスプロバイダ・ネットワークのネットワーク上で再認証(re-authenticating)されるデバイスの数に関連する輻輳問題を引き起こし、そして、一部の加入者について彼らのモバイル接続性をドロップアウトさせる可能性がある。例えば、ニュージーランドのスパークテレコム(Spark Telecom)は、Diameter認証メッセージ、例えば、Diameter S6a認証情報要求(AIR)のシグナリング・フラッドのせいで輻輳問題による影響を受けた(例えば、https://www.stuff.co.nz/business/88869002/Spark-network-outages-reported-around-the-countryを参照のこと)。一つの実施形態において、シグナリング・トラフィック(例えば、Diameterトラフィックを含んでおり、Diameter S6a ULR(Update Location Request)およびDiameter s6a AIR(Authentication Information Request)といったDiameterメッセージといったもの)をモニタリングするために開示される技術は、セキュリティポリシを実装するために実行され、そして、ステートフルインスペクションを実行する(例えば、そうした認証メッセージに対するスロットリング/閾値(throttling/threshold)制限に基づいて、Diameter認証メッセージ攻撃のそうしたシグナリング・フラッド攻撃を検出し、かつ、防止することができるセキュリティポリシを構成する。それは、これらのパラメータに基づくDiameterメッセージタイプ毎のスロットリングを含み得る。パラメータは、(a)送信元、宛先、送信元及び宛先、毎の集約(aggregation)クライテリア、および(b)閾値(すなわち、NFGW/セキュリティプラットフォームによるステートフルな検査の最中に、メッセージがカウントされる秒および時間間隔毎のメッセージ数)である。)
【0138】
例示的なSS7プロトコルの脆弱性と攻撃に対するセキュリティプラットフォームソリューション
【0139】
様々なSS7関連の攻撃例がよく知られている(例えば、2016年のTelenor SS7攻撃であり、例えば、https://www.digi.no/artikler/et-ondsinnet-angrep-mot-telenor-ville-hatt-samme-konsekvens/320604を参照のこと(影響を受けたTelenor HLRにおけるSS7の脆弱性によるものである、議論されているネットワーク全体の停止は、2016年2月にノルウェーにおけるTelenorネットワークで3時間を超えるネットワーク全体の停止である。これにより、ターゲットネットワークに対して物理的にアクセスすることなく、十分な情報を有する個人について、公共のSS7ネットワークのいたるところでも別の国におけるネットワークを遠隔的に停止させることが可能であることが明らかになった)。一つの実施形態において、シグナリングトラフィック(例えば、SS7トラフィックを含む)をモニタリングするために開示される技術は、セキュリティポリシを実装するために実行され、そして、ステートフルインスペクションを実行する(例えば、スロットリング/閾値制限、及び/又は、所定のメッセージのフィルタリングに基づいて、そうしたSS7攻撃を検出し、かつ、防止することができるセキュリティポリシを構成する。メッセージは、DeleteSubscriberData、SendIdentification、SendRoutingInfo、及び/又は、他のSS7プロトコル・メッセージタイプといった、MAPメッセージタイプ毎のスロットリングを含み得るもので、それらは、これらのパラメータに基づいて調整され得る。パラメータは、(a)送信元、宛先、送信元及び宛先、毎の集約クライテリア、および(b)閾値(すなわち、NFGW/セキュリティプラットフォームによるステートフルな検査の最中に、メッセージがカウントされる秒および時間間隔毎のメッセージ数)である。)
【0140】
例示的なSCCPプロトコルの脆弱性と攻撃に対するセキュリティプラットフォームソリューション
【0141】
SCCPメッセージのシグナリング・フラッドは、SCCP関連の攻撃例である(例えば、Connection Confirmed、Connection Releasedといった、様々なSCCPメッセージタイプ)。具体的に、SCCPレイヤでのシグナリング・メッセージ・フラッドは、攻撃者によって、STP、SSP、およびSCPのようなシグナリングポイントを過負荷(overload)にし、そして、その機能を危うくする(compromise)ために使用され得るものであり、異なる種類のDoS攻撃を生じている。一つの実施形態において、ネットワーク層シグナリングトラフィック(例えば、SCCPトラフィックを含む)をモニタリングするために開示される技術は、セキュリティポリシを実装するために実行され、そして、ステートフルインスペクションを実行する(例えば、スロットリング/閾値制限、及び/又は、所定のメッセージのフィルタリングに基づいて、そうしたSCCPレイヤでのシグナリング・メッセージ・フラッドを検出し、かつ、防止することができるセキュリティポリシを構成する。メッセージは、Connection Confirmed、Connection Released、及び/又は、他のSCCPメッセージタイプといった、SCCPメッセージタイプ毎のスロットリングを含み得るもので、それらは、これらのパラメータに基づいて調整され得る。パラメータは、(a)送信元、宛先、送信元及び宛先、毎の集約クライテリア、および(b)閾値(すなわち、NFGW/セキュリティプラットフォームによるステートフルな検査の最中に、メッセージがカウントされる秒および時間間隔毎のメッセージ数)である。)
【0142】
開示される実施形態を考慮して、今や明らかなように、ネットワークサービスプロバイダ/モバイルオペレータ(例えば、セルラサービスプロバイダエンティティ)、MVNOプロバイダ、デバイス製造者(例えば、自動車エンティティ、IoT装置エンティティ、及び/又は、他のデバイス製造者)、及び/又は、システムインテグレータは、開示される技術を使用して、セキュリティプラットフォームによって実施され得るそうしたセキュリティポリシを指定することができ、これらの例示的なシグナリング関連セキュリティ問題、及び/又は、他のサービスプロバイダ・ネットワーク上に現存する、もしくは、未だ発見されていないセキュリティ関連問題を解決する。
【0143】
モバイル/サービスプロバイダ・ネットワーク環境においてセキュリティポリシ実施を行うためのネットワーク装置の例示的なハードウェアコンポーネント
【0144】
図6は、いくつかの実施形態に従った、モバイル・サービスプロバイダ・ネットワーク環境においてセキュリティポリシ実施を行うためのネットワーク装置のハードウェアコンポーネントに係る機能図である。示される例は、ネットワーク装置600に含まれ得る物理的/ハードウェアコンポーネント(例えば、ここにおいて開示されるセキュリティプラットフォームを実装することができる、アプライアンス、ゲートウェイ、またはサーバ)を表している。具体的に、ネットワーク装置600は、高性能マルチコアCPU 602およびRAM 604を含む。ネットワーク装置600は、また、ポリシおよび他の構成情報、並びに署名を保管するために使用され得る、ストレージ610(例えば、1つまたはそれ以上のハードディスクまたはソリッドステートストレージ装置)も含んでいる。一つの実施形態において、ストレージ610は、ロケーション情報、ハードウェア識別子情報、加入者識別子情報、RAT情報、および関連するIPアドレス、及び/又は、様々な他の情報(例えば、アプリケーションID、コンテンツID、ユーザID、URL、及び/又は、他の情報であり、SCTP、SCTP上のDiameter、SIGTRAN、SCCP、及び/又は、ここにおいて同様に説明されるように、CAP、MAP、及び/又はINAPを含む、レイヤ7/アプリケーション層シグナリングトラフィックといった、復号化されたネットワークトラフィックからモニタリングされ、かつ/あるいは、抽出された他の情報)を含み、それらは、セキュリティプラットフォーム/ファイアウォール装置を使用して、開示されるセキュリティポリシ実施技術を実施するためにモニタリングされる。ネットワーク装置600は、また、1つまたはそれ以上の任意的なハードウェアアクセラレータも含み得る。例えば、ネットワーク装置600は、暗号化および復号化オペレーションを実行するように構成された暗号エンジン606、および、署名マッチング(signature matching)を実行し、ネットワークプロセッサとして動作し、かつ/あるいは、他のタスクを実行するように構成された1つまたはそれ以上のFPGA608を含み得る。
【0145】
モバイル/サービスプロバイダ・ネットワーク環境でセキュリティポリシ実施を行うためのネットワーク装置の例示的なロジックコンポーネント
【0146】
図7は、いくつかの実施形態に従った、モバイル・サービスプロバイダ・ネットワーク環境においてセキュリティポリシ実施を行うためのネットワーク装置のロジックコンポーネントに係る機能図である。示される例は、ネットワーク装置700に含まれ得るロジックコンポーネント(例えば、開示されるセキュリティプラットフォームを実施し、かつ、開示される技術を実行することができるデータアプライアンス)を表している。示されるように、ネットワーク装置700は、管理プレーン(management plane)702およびデータプレーン(data plane)704を含んでいる。一つの実施形態において、管理プレーンは、ポリシの構成およびログデータ表示のためのユーザインターフェイスを提供する、といったことにより、ユーザインタラクション(user interaction)を管理する責任を負う。データプレーンは、パケット処理およびセッション処理を実行する、といったことにより、データを管理する責任を負う。
【0147】
モバイルデバイスが、SSLといった、暗号化されたセッションプロトコルを使用して、リソース(例えば、リモートWebサイト/サーバ、IoT装置、または他のリソース)にアクセスしようと試みると仮定する。ネットワークプロセッサ706は、モバイルデバイスからのパケットをモニタリングし、かつ、処理のためにデータプレーン704へパケットを提供するように構成されている。フロー708は、パケットを新しいセッションの一部として識別し、そして、新しいセッションフローを作成する。後続のパケットは、フロールックアップ(flow lookup)に基づいてセッションに属しているものとして識別されるだろう。該当する場合、SSL復号化が、ここにおいて説明されるような種々の技術を使用して、SSL復号化エンジン710によって適用される。そうでなければ、SSL復号化エンジン710による処理は省略される。アプリケーション識別(ID)モジュール712は、セッションが関与するトラフィックのタイプを決定し、そして、トラフィックフローと関連するユーザを識別するように構成されている(例えば、ここにおいて説明されるようにアプリケーションIDを識別する)。例えば、アプリケーションID 712は、受信データ内のGET要求(GET request)を認識し、そして、セッションがHTTPデコーダを必要としていると結論付けることができる。別の例として、アプリケーションID 712は、受信データ内のセッション作成要求(Create Session Request)またはPDP作成要求(Create PDP Request)を認識し、そして、セッションがGTPデコーダを必要としていると結論付けることができる。各タイプのプロトコル(例えば、上述の様々なシグナリング・プロトコルであり、SCTP、SCTP上のDiameter、SIGTRAN、SCCP、及び/又は、レイヤ7/アプリケーション層シグナリングトラフィックであり、CAP、MAP、及び/又はINAP、及び/又は他のシグナリング・プロトコルを含むもの、を含んでいる)について、対応するデコーダ714が存在している。一つの実施形態において、アプリケーションの識別は、アプリケーション識別モジュール(例えば、アプリケーションIDコンポーネント/エンジン)によって実行され、そして、ユーザの識別は、別のコンポーネント/エンジンによって実行される。アプリケーションID 712によって行われた決定に基づいて、パケットは適切なデコーダ714に対して送信される。デコーダ714は、パケット(例えば、順序が狂って受信され得るもの)を正しい順序へと組み立て、トークン化(tokenization)を実行し、そして、情報を抽出するように構成されている。デコーダ714は、また、パケットに対して何が起こるべきかを決定するために、署名マッチングも実行する。SSL暗号化エンジン716は、ここにおいて説明されるような種々の技術を使用してSSL暗号化を実行し、そして、パケットは、次いで、示されるように転送コンポーネント(forward component)718を使用して転送される。示されるように、また、ポリシ720も、受信され、そして、管理プレーン702において保管される。一つの実施形態において、ポリシの実施は、モニタリングされ、解読され、そして、復号化されたセッション・トラフィックフローに基づいて、種々の実施形態に関してここにおいて説明されるように適用される(例えば、ポリシは、ドメイン名、及び/又は、ホスト/サーバ名を使用して指定され得る、1つまたはそれ以上のルールを含むことができ、そして、ルールは、1つまたはそれ以上の署名または他のマッチングクライテリアまたは発見的方法(heuristics)を適用することができる。モニタリングされたGTP-Cメッセージからの様々な抽出されたパラメータ/情報、及び/又は、ここにおいて開示されているCAP、MAP、及び/又はINAPトラフィックを含む、モニタリングされたGTP-U、SCTP、SCTP上のDiameter、SIGTRAN、SCCP、及び/又は、ここにおいて開示されるように、CAP、MAP、及び/又はINAPトラフィックを含む、レイヤ7/アプリケーション層シグナリングトラフィックに係るパケットコンテンツ・インスペクションに基づく、サービスプロバイダ・ネットワークにおける加入者/IPフローに対するセキュリティポリシの実施のため、といったものである)。
【0148】
図7にも、また、示されるように、インターフェイス(I/F)通信器(communicator)722は、また、セキュリティプラットフォーム・マネージャ通信(例えば、(REST)API、メッセージ、または、ネットワークプロトコル通信、もしくは、他の通信メカニズムを介するもの)のためにも提供される。ある場合には、サービスプロバイダ・ネットワーク上の他のネットワークエレメントのネットワーク通信が、ネットワーク装置700を使用してモニタリングされ、そして、データプレーン704は、そうした通信の復号化をサポートする(例えば、I/F通信器722およびデコーダ714を含む、ネットワーク装置700は、例えば、Gn、Gp、S1-MME、S5、S6a/S6d、S8、X2、S9、S11、S13/S13'、Gr、Gd、Gf、B、C、D、E、及び/又は、無線または無線ネットワークトラフィックフローがここにおいて説明されるように同様に存在する他のインターフェイスにおいて、モニタリング及び/又は通信するように構成され得る)。かくして、I/F通信器722を含むネットワーク装置700は、上述のように、そして、以下でさらに説明されるように、モバイル/サービスプロバイダ・ネットワーク環境におけるセキュリティポリシ実施のために開示される技術を実装するように使用され得る。
【0149】
ここでは、シグナリングトラフィックをモニタリングし、そして、モバイル/サービスプロバイダ・ネットワーク環境においてセキュリティポリシ実施を行うために開示される技術について、さらなる例示的なプロセスが、これから説明される。
【0150】
サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いたトランスポート層シグナリングセキュリティのための例示的プロセス
【0151】
図8は、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおいてトランスポート層シグナリングベースのセキュリティを実行するためのプロセスに係るフロー図である。いくつかの実施形態において、図8に示されるようなプロセス800は、図1Aから図7に関して上記に説明した実施形態を含み、上述したのと同様な、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス800は、図6に関して上述したようなデータアプライアンス600、図7に関して上述したようなネットワーク装置700、仮想アプライアンス、SDNセキュリティ・ソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明されるように上記されたものの組み合わせ、またはハイブリッド実装によって実行される。
【0152】
本プロセスは、802で開始する。802においては、セキュリティプラットフォームでのサービスプロバイダ・ネットワーク上のトランスポート層シグナリングトラフィックのモニタリングが実行される。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、モバイルコアネットワーク上のSIGTRANトラフィックをモニタリングすることができる。
【0153】
804においては、セキュリティポリシに基づいて、セキュリティプラットフォームでのトランスポート層シグナリングトラフィックのフィルタリングが実行される。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、トランスポート層シグナリング・トラフィック・プロトコル(例えば、SIGTRANプロトコル)、および、上位層シグナリング・プロトコル(例えば、SCCPプロトコル)をフィルタリングすることができる。
【0154】
806においては、セキュリティポリシに基づいて、下位層シグナリング・プロトコルの状態及びパケット検証が実行される。例えば、セキュリティプラットフォームは、SIGTRANプロトコル・メッセージをフィルタリングしている間に、ペイロードプロトコル識別子(PPID)および送信元/宛先IPアドレス毎に、根底にある(underlying)SCTPプロトコルの状態及びパケット検証を実行することができる。
【0155】
一つの実施形態において、セキュリティプラットフォームは、PPID、および、送信元/宛先または両方のIP/IP毎に、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、任意のSIGTRANプロトコル・メッセージのフィルタリングを実行する。例えば、セキュリティプラットフォームは、PPIDおよび送信元/宛先IPアドレス(IP)毎に、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、M3UAプロトコル・メッセージをフィルタリングすることができる。別の例として、セキュリティプラットフォームは、PPIDおよび送信元/宛先IP毎に、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、M2UAプロトコル・メッセージをフィルタリングすることができる。別の例として、セキュリティプラットフォームは、PPIDおよび送信元/宛先IP毎に、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、M2PAプロトコル・メッセージをフィルタリングすることができる。
【0156】
808においては、セキュリティプラットフォームを使用して、セキュリティポリシの実施が行われる。例えば、様々な実施動作(enforcement actions)(例えば、許可/通過(allow/pass)、ブロック/ドロップ(block/drop)、警告(alert)、タグ(tag)、モニタリング(monitor)、ログ(log)、スロットル(throttle)、アクセス制限(restrict access)、及び/又は、他の実施動作)は、上述と同様にセキュリティプラットフォームを使用して実行され得る。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、トランスポート層シグナリングトラフィックまたは上位層のシグナリングトラフィックにおいてフィルタリングされたメッセージをブロックすることができる。
【0157】
一つの例示的な実装において、セキュリティプラットフォームは、SCTPプロトコルのためにインストールされるファイアウォールセッションについて受信したSCTPデータチャンク(data chunk)のPPIDフィールドからアダプテーション層情報を抽出することができる。これらのファイアウォールセッションは、4ウェイ・ハンドシェイク(4-way handshake)および他のパケットレベルチェックを完了した、成功したSCTPアソシエーションに関係している。PPIDは、IAN (例えば、https://www.iana.org/assignments/sctp-parameters/sctp-parameters.xhtmlで指定されている)によって割り当てられている。PPID情報は、フィルタリングメカニズムおよびレート制限メカニズム(rate limiting mechanism)を適用するために、セキュリティプラットフォームによって使用することができ、モバイル・サービスプロバイダ・ネットワーク上で強化されたシグナリングセキュリティを促進する。
【0158】
一つの実施形態において、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いて任意のSIGTRANプロトコル・メッセージのレート制限を実行する。例えば、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてM3UAプロトコル・メッセージのレート制限を実行することができる。別の例として、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてM2UAプロトコル・メッセージのレート制限を実行することができる。別の例として、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてM2PAプロトコル・メッセージのレート制限を実行することができる。別の例として、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてSUAプロトコル・メッセージのレート制限を実行することができる。
【0159】
サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いたアプリケーション層シグナリングセキュリティのための例示的プロセス
【0160】
図9は、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおいてアプリケーション層シグナリングベースのセキュリティを実行するためのプロセスに係るフロー図である。いくつかの実施形態において、図9に示されるようなプロセス900は、図1Aから図7に関して上記に説明した実施形態を含み、上述したのと同様な、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス900は、図6に関して上述したようなデータアプライアンス600、図7に関して上述したようなネットワーク装置700、仮想アプライアンス、SDNセキュリティ・ソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明されるように上記されたものの組み合わせ、またはハイブリッド実装によって実行される。
【0161】
本プロセスは、902で開始する。902においては、セキュリティプラットフォームでのサービスプロバイダ・ネットワーク上のアプリケーション層シグナリングトラフィックのモニタリングが実行される。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、モバイルコアネットワーク上のMAP、CAP、及び/又はINAPトラフィックをモニタリングすることができる。
【0162】
904においては、セキュリティポリシに基づいて、セキュリティプラットフォームでのアプリケーション層シグナリングトラフィックのフィルタリングが実行される。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、アプリケーション層シグナリング・トラフィック・プロトコル(例えば、MAP、CAP、及び/又はINAPプロトコル)、および、下位層シグナリング・プロトコル(例えば、SCCPプロトコル)をフィルタリングすることができる。
【0163】
906においては、セキュリティポリシに基づいて、下位層シグナリング・プロトコルの状態及びパケット検証が実行される。例えば、セキュリティプラットフォームは、MAP、CAP、またはINAPプロトコル・メッセージ(例えば、他のレイヤ7/アプリケーション層メッセージ)をフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。
【0164】
一つの実施形態において、セキュリティプラットフォームは、MAP、CAP、またはINAPプロトコル・メッセージをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行する。例えば、セキュリティプラットフォームは、サブシステム番号(SSN)および送信元/宛先IPアドレス(IP)毎に、MAP、CAP、またはINAPプロトコル・メッセージをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。別の例として、セキュリティプラットフォームは、SSN、グローバルタイトル(GT)、およびIP毎に、MAP、CAP、またはINAPプロトコル・メッセージをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。別の例として、セキュリティプラットフォームは、SSN、GT、オペコード、およびIP毎に、MAP、CAP、またはINAPプロトコル・メッセージをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。
【0165】
908においては、セキュリティプラットフォームを使用して、セキュリティポリシの実施が行われる。例えば、様々な実施動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)は、上述と同様にセキュリティプラットフォームを使用して実行され得る。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、アプリケーション層シグナリングトラフィックまたは下位層のシグナリングトラフィックにおいてフィルタリングされたメッセージをブロックすることができる。
【0166】
一つの実施形態において、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いて任意のOSIレイヤ7/アプリケーション層シグナリング・プロトコル・メッセージ(例えば、MAP、CAP、またはINAP)のレート制限を実行する。例えば、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いて(例えば、適用可能な場合に)オペコード毎に任意のOSIレイヤ7シグナリング・プロトコル・メッセージ(例えば、MAP、CAP、またはINAP)のレート制限を実行することができる。
【0167】
サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いたネットワーク層シグナリングセキュリティのための例示的プロセス
【0168】
図10は、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおいてネットワーク層シグナリングベースのセキュリティを実行するためのプロセスに係るフロー図である。いくつかの実施形態において、図10に示されるようなプロセス1000は、図1Aから図7に関して上記に説明した実施形態を含み、上述したのと同様な、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス1000は、図6に関して上述したようなデータアプライアンス600、図7に関して上述したようなネットワーク装置700、仮想アプライアンス、SDNセキュリティ・ソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明されるように上記されたものの組み合わせ、またはハイブリッド実装によって実行される。
【0169】
本プロセスは、1002で開始する。1002においては、セキュリティプラットフォームでのサービスプロバイダ・ネットワーク上のネットワーク層シグナリングトラフィックのモニタリングが実行される。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、モバイルコアネットワーク上のSCCPトラフィックをモニタリングすることができる。
【0170】
1004においては、セキュリティポリシに基づいて、セキュリティプラットフォームでのネットワーク層シグナリングトラフィックのフィルタリングが実行される。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、SCCPプロトコル、および、下位層シグナリング・プロトコル(例えば、SCTPプロトコル)、または、上位層シグナリング・プロトコル(例えば、MAP、CAP、またはINAP、もしくは、他のレイヤ7/アプリケーション層メッセージ)をフィルタリングすることができる。
【0171】
1006においては、セキュリティポリシに基づいて、下位層シグナリング・プロトコルの状態及びパケット検証が実行される。例えば、セキュリティプラットフォームは、SCCPプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。
【0172】
一つの実施形態において、セキュリティプラットフォームは、SCCPプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行する。例えば、セキュリティプラットフォームは、送信元/宛先IPアドレス(IP)毎に、SCCPプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。別の例として、セキュリティプラットフォームは、GTおよび送信元/宛先IP毎に、SCCPプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。
【0173】
1008においては、セキュリティプラットフォームを使用して、セキュリティポリシの実施が行われる。例えば、様々な実施動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)は、上述と同様にセキュリティプラットフォームを使用して実行され得る。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、SCCPプロトコルトラフィックまたは下位/上位層のシグナリングトラフィックにおいてフィルタリングされたメッセージをブロックすることができる。
【0174】
一つの実施形態において、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いて任意のSCCPメッセージのレート制限を実行する。
【0175】
サービスプロバイダのためのモバイル・ネットワークにおける次世代ファイアウォールを用いたSCTP上のDiameterセキュリティのための例示的プロセス
【0176】
図11は、いくつかの実施形態に従った、サービスプロバイダのためのモバイル・ネットワークにおいてSCTP上のDiameterベースのセキュリティを実行するためのプロセスに係るフロー図である。いくつかの実施形態において、図11に示されるようなプロセス1100は、図1Aから図7に関して上記に説明した実施形態を含み、上述したのと同様な、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス1100は、図6に関して上述したようなデータアプライアンス600、図7に関して上述したようなネットワーク装置700、仮想アプライアンス、SDNセキュリティ・ソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明されるように上記されたものの組み合わせ、またはハイブリッド実装によって実行される。
【0177】
本プロセスは、1102で開始する。1102においては、セキュリティプラットフォームでのサービスプロバイダ・ネットワーク上のDiameterプロトコルトラフィック(例えば、Diameterプロトコルは、認証、認可、アカウンティング(Authentication,Authorization,and Accounting、AAA)プロトコルを参照し、そして、S6a/S6d、S9、GxといったDiameterアプリケーションは、モバイル・ネットワーク特有のユースケースのためにDiameterベースプロトコルの機能性を拡張する)のモニタリングが実行される。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、モバイルコアネットワーク上のDiameterトラフィックをモニタリングすることができる。
【0178】
1104においては、セキュリティポリシに基づいて、セキュリティプラットフォームでのDiameterプロトコルトラフィックのフィルタリングが実行される。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、Diameterプロトコル、および、下位層シグナリング・プロトコル(例えば、SCTPプロトコル)をフィルタリングすることができる。
【0179】
1106においては、セキュリティポリシに基づいて、下位層シグナリング・プロトコルの状態及びパケット検証が実行される。例えば、セキュリティプラットフォームは、Diameterプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。
【0180】
一つの実施形態において、セキュリティプラットフォームは、Diameterプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行する。例えば、セキュリティプラットフォームは、送信元/宛先IPアドレス(IP)毎に、Diameterプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。別の例として、セキュリティプラットフォームは、アプリケーションIDおよび送信元/宛先IP毎に、Diameterプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。別の例として、セキュリティプラットフォームは、アプリケーションID、コマンドコード、および送信元/宛先IP毎に、Diameterプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。別の例として、セキュリティプラットフォームは、アプリケーションID、コマンドコード、AVP、および送信元/宛先IP毎に、Diameterプロトコルトラフィックをフィルタリングしている間に、根底にあるSCTPプロトコルの状態及びパケット検証を実行することができる。
【0181】
1108においては、セキュリティプラットフォームを使用して、セキュリティポリシの実施が行われる。例えば、様々な実施動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)は、上述と同様にセキュリティプラットフォームを使用して実行され得る。例えば、セキュリティプラットフォームは、セキュリティポリシに基づいて、Diameterプロトコルトラフィックまたは下位/上位層のシグナリングトラフィックにおいてフィルタリングされたメッセージをブロックすることができる。
【0182】
一つの実施形態において、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いて任意のDiameterメッセージのレート制限を実行する。例えば、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてアプリケーションID毎に任意のDiameterメッセージのレート制限を実行することができる。別の例として、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてコマンドコード毎に任意のDiameterメッセージのレート制限を実行することができる。別の例として、セキュリティプラットフォームは、根底にあるSCTPプロトコルの状態及びパケット検証を実行している間に、送信元、宛先、または、送信元及び宛先IP/IPに係る集約クライテリア、ヒットに係る秒での時間間隔および閾値/数を用いてAVP毎に任意のDiameterメッセージのレート制限を実行することができる。
【0183】
上述の実施形態は、理解を明確にする目的で、いくらか詳細に説明されているが、本発明は、提供される詳細について限定されるものではない。本発明を実施する多くの代替的な方法が存在している。開示される実施形態は例示的なものであり、かつ、限定的なものではない。
【図1A】
【図1B】
【図2A】
【図2B-1】
【図2B-2】
【図3A】
【図3B】
【図4A】
【図4B】
【図4C】
【図4D】
【図4E】
【図4F】
【図5A】
【図5B】
【図5C】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】