IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ パロ アルト ネットワークス,インコーポレイテッドの特許一覧

特許7410342モバイルネットワークにおけるネットワークスライスベースのセキュリティ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-25
(45)【発行日】2024-01-09
(54)【発明の名称】モバイルネットワークにおけるネットワークスライスベースのセキュリティ
(51)【国際特許分類】
   H04W 12/088 20210101AFI20231226BHJP
   H04W 12/033 20210101ALI20231226BHJP
   H04W 28/084 20230101ALI20231226BHJP
【FI】
H04W12/088
H04W12/033
H04W28/084
【請求項の数】 18
【外国語出願】
(21)【出願番号】P 2023025230
(22)【出願日】2023-02-21
(62)【分割の表示】P 2021516728の分割
【原出願日】2019-09-18
(65)【公開番号】P2023088905
(43)【公開日】2023-06-27
【審査請求日】2023-03-17
(31)【優先権主張番号】16/144,143
(32)【優先日】2018-09-27
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/144,147
(32)【優先日】2018-09-27
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/144,158
(32)【優先日】2018-09-27
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/144,151
(32)【優先日】2018-09-27
(33)【優先権主張国・地域又は機関】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】517392861
【氏名又は名称】パロ アルト ネットワークス,インコーポレイテッド
【氏名又は名称原語表記】Palo Alto Networks,Inc.
【住所又は居所原語表記】3000 Tannery Way,Santa Clara,California 95054,United States of America
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】ヴァーマ,サシン
(72)【発明者】
【氏名】ブラコフスキー,レオニド
【審査官】桑江 晃
(56)【参考文献】
【文献】国際公開第2017/197273(WO,A1)
【文献】国際公開第2018/127190(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00 - 99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1,4
(57)【特許請求の範囲】
【請求項1】
システムであって、
プロセッサであり、
新たなセッションを識別するためにセキュリティプラットフォームにおいてサービスプロバイダ・ネットワークにおけるネットワークトラフィックをモニタリングするように構成され、前記サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含み、前記ネットワークトラフィックをモニタリングすることは、前記ネットワークトラフィック内のHTTP/2メッセージを識別することを含み、
前記セキュリティプラットフォームで新たなセッションに関連するユーザトラフィックのネットワーク名情報を抽出するように構成され、
前記セキュリティプラットフォームにおいて前記新たなセッションに関連するユーザトラフィックについてネットワークスライス情報を抽出するように構成され、
HTTP/2メッセージを解析して、データタイプSmContextCreateDataまたはデータタイプPduSessionCreateDataを取得し、
かつ、
前記データタイプSmContextCreateDataまたは前記データタイプPduSessionCreateDataから単一ネットワークスライス選択支援情報(S-NSSAI)を抽出して、前記ネットワークスライス情報を取得し、
かつ、
前記ネットワーク名情報および前記ネットワークスライス情報に基づいて、前記セキュリティプラットフォームにおいて前記新たなセッションに対して適用するセキュリティポリシを決定するように構成された、
プロセッサと、
前記プロセッサに結合され、かつ、前記プロセッサに命令を提供するように構成されたメモリと、
を含む、システム。
【請求項2】
前記セキュリティプラットフォームは、前記ネットワーク名情報に基づいて、複数のセキュリティポリシで構成されている、
請求項1に記載のシステム。
【請求項3】
ットワーク名は、データネットワーク名(DNN)によって識別される、
請求項1に記載のシステム。
【請求項4】
前記セキュリティプラットフォームは、4G及び/又は5Gネットワークのためのモバイル・コア・ネットワークにおいて、制御プロトコルおよびユーザデータトラフィックのための複数のインターフェイスを含む無線インターフェイスをモニタリングする、
請求項1に記載のシステム。
【請求項5】
前記セキュリティプラットフォームは、コントロールプロトコルのための複数のインターフェイスを含む無線インターフェイス、および、4G及び/又は5Gネットワークのためのモバイル・コア・ネットワーク内のユーザデータ・トラフィックをモニタリングし、
5G無線アクセス技術を使用して前記サービスプロバイダ・ネットワークに接続する加入者および加入者装置に対してネットワークスライスベースのセキュリティを提供し、かつ、5G無線アクセス技術から非5G無線アクセス技術へのハンドオーバを行う、
請求項1に記載のシステム。
【請求項6】
前記セキュリティプラットフォームは、前記ネットワーク名情報を使用してファイアウォールサービスを実行するように構成されている、
請求項1に記載のシステム。
【請求項7】
前記セキュリティプラットフォームは、
前記ネットワーク名情報を使用する、既知の脅威に対する脅威検出、
を実行するように構成されている、
請求項1に記載のシステム。
【請求項8】
前記セキュリティプラットフォームは、
前記ネットワーク名情報を使用する、未知の脅威に対する高度な脅威検出、
を実行するように構成されている、
請求項1に記載のシステム。
【請求項9】
前記セキュリティプラットフォームは、
前記ネットワーク名情報を使用する、ユニフォームリソースリンク(URL)フィルタリング、
を実行するように構成されている、
請求項1に記載のシステム。
【請求項10】
前記セキュリティプラットフォームは、
前記ネットワーク名情報を使用する、アプリケーションサービス拒否(DoS)検出、
を実行するように構成されている、
請求項1に記載のシステム。
【請求項11】
前記セキュリティプラットフォームは、
前記ネットワーク名情報を使用する、SUIPベースまたはGPSIベースのアプリケーションサービス拒否(DoS)防止、
を実行するように構成されている、
請求項1に記載のシステム。
【請求項12】
前記プロセッサは、さらに、
前記セキュリティポリシに基づいて、前記新たなセッションがリソースにアクセスするのをブロックするように構成されている、
請求項1に記載のシステム。
【請求項13】
方法であって、
新たなセッションを識別するためにセキュリティプラットフォームにおいてサービスプロバイダ・ネットワークにおけるネットワークトラフィックをモニタリングするステップであり、前記サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含み、前記ネットワークトラフィックをモニタリングするステップは、前記ネットワークトラフィック内のHTTP/2メッセージを識別することを含み、
前記セキュリティプラットフォームにおいて前記新たなセッションに関連するユーザトラフィックについてネットワーク名情報を抽出するステップと、
前記セキュリティプラットフォームにおいて新たなセッションに関連するユーザトラフィックについてネットワークスライス情報を抽出するステップであり、
HTTP/2メッセージを解析して、データタイプSmContextCreateDataまたはデータタイプPduSessionCreateDataを取得すること、および、
前記データタイプSmContextCreateDataまたは前記データタイプPduSessionCreateDataから単一ネットワークスライス選択支援情報(S-NSSAI)を抽出して、前記ネットワークスライス情報を取得すること、
を含む、ステップと、
前記ネットワーク名情報に基づいて、前記セキュリティプラットフォームにおいて前記新たなセッションに対して適用するセキュリティポリシを決定するステップと、
を含む、方法。
【請求項14】
前記セキュリティプラットフォームは、前記ネットワーク名情報に基づいて、複数のセキュリティポリシで構成されている、
請求項13に記載の方法。
【請求項15】
ットワーク名は、データネットワーク名(DNN)によって識別される、
請求項13に記載の方法。
【請求項16】
前記セキュリティプラットフォームは、コントロールプロトコルのための複数のインターフェイスを含む無線インターフェイス、および、4G及び/又は5Gネットワークのためのモバイル・コア・ネットワーク内のユーザデータ・トラフィックをモニタリングし、
5G無線アクセス技術を使用して前記サービスプロバイダ・ネットワークに接続する加入者および加入者装置に対してネットワークスライスベースのセキュリティを提供し、かつ、5G無線アクセス技術から非5G無線アクセス技術へのハンドオーバを行う、
請求項13に記載の方法。
【請求項17】
コンピュータプログラムであって、前記コンピュータプログラムは、有形の非一時的コンピュータ可読記憶媒体において具現化され、かつ、コンピュータ命令を含んでおり、
新たなセッションを識別するためにセキュリティプラットフォームにおいてサービスプロバイダ・ネットワークにおけるネットワークトラフィックをモニタリングするステップであり、前記サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含み、前記ネットワークトラフィックをモニタリングするステップは、前記ネットワークトラフィック内のHTTP/2メッセージを識別することを含む、ステップと、
前記セキュリティプラットフォームにおいて新たなセッションに関連するユーザトラフィックについてネットワーク名情報を抽出するステップと、
前記セキュリティプラットフォームにおいて前記新たなセッションに関連するユーザトラフィックについてネットワークスライス情報を抽出するステップであり、
HTTP/2メッセージを解析して、データタイプSmContextCreateDataまたはデータタイプPduSessionCreateDataを取得し、かつ、
前記データタイプSmContextCreateDataまたは前記データタイプPduSessionCreateDataから単一ネットワークスライス選択支援情報(S-NSSAI)を抽出して、前記ネットワークスライス情報を取得する、
ステップと、
前記ネットワーク名情報および前記ネットワークスライス情報に基づいて、前記セキュリティプラットフォームにおいて前記新たなセッションに対して適用するセキュリティポリシを決定するステップと、
を含む、コンピュータプログラム。
【請求項18】
前記セキュリティプラットフォームは、前記ネットワーク名情報に基づいて、複数のセキュリティポリシで構成されている、
請求項17に記載のコンピュータプログラム。
【発明の詳細な説明】
【背景技術】
【0001】
ファイアウォールは、一般的に、不正アクセス(unauthorized access)からネットワークを保護し、一方で、承認された(authorized)通信がファイアウォールを通過するのを許可している。ファイアウォールは、典型的には、コンピュータといった、デバイスまたは一式のデバイス、または、デバイス上で実行されるソフトウェアであり、ネットワークアクセスについてファイアウォール機能を提供する。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能デバイス)のオペレーティングシステムの中へ統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティアプライアンスまたは他のタイプの特殊目的のデバイス)上のソフトウェアとして、統合され、もしくは、実行することもできる。
【0002】
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これら一式のルールは、しばしば、ポリシ(policy)として参照される。例えば、ファイアウォールは、一式のルールまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによって、アウトバウンドトラフィック(outbound traffic)をフィルタリングすることもできる。ファイアウォールは、また、基本的なルーティング機能を実行することもできる。
【図面の簡単な説明】
【0003】
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
図1A図1Aは、いくつかの実施形態に従った、モバイルネットワークに5Gマルチアクセスセキュリティを提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。
図1B図1Bは、いくつかの実施形態に従った、モバイルネットワークにおいて5Gマルチエッジセキュリティを提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。
図1C図1Cは、いくつかの実施形態に従った、モバイルネットワークにおいて5Gローミングセキュリティ-ホームルーテッド・シナリオ(home routed scenario)を提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。
図1D図1Dは、いくつかの実施形態に従った、モバイルネットワークにおける5Gローミングセキュリティ-ローカルブレイクアウト(breakout)シナリオを提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。
図2A図2Aは、いくつかの実施形態に従った、5Gネットワークにおけるローカルブレイクアウトを伴う非ローミングおよびローミングのためのUE要求PDUセッション確立に係る一つの例示的なフローである。
図2B図2Bは、いくつかの実施形態に従った、5Gネットワークにおけるローカルブレイクアウトを伴う非ローミングおよびローミングのためのUE要求PDUセッション確立および修正/更新に係る一つの例示的なフローである。
図2C図2Cは、いくつかの実施形態に従った、5GネットワークにおけるN26インターフェイスを使用した、5GSアイドルモード・モビリティ(mobility)またはハンドオーバへのEPSに係る一つの例示的なフローである。
図2D図2Dは、いくつかの実施形態に従った、5Gネットワーク内のN26インターフェイスを使用しない、EPSから5GSへのモビリティプロシージャに係る一つの例示的なフローである。
図2E図2Eは、いくつかの実施形態に従った、5Gネットワークにおける、3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバに係る一つの例示的なフローであり、ここで、ターゲットAMFは、ソースAMFによって使用されるSMコンテキストのSMFリソース識別子(identifier)を知らない。
図2F図2Fは、いくつかの実施形態に従った、5Gネットワークにおける、HPLMN(ホームルーテッド・ローミング)におけるN3IWFを伴う3GPPアクセスから信頼できない(untrusted)非3GPPアクセスへのPDUセッションのハンドオーバに係る一つの例示的なフローである。
図2G図2Gは、いくつかの実施形態に従った、5Gネットワークにおける5GC-N3IWFへのEPSのハンドオーバに係る一つの例示的なフローである。
図2H図2Hは、いくつかの実施形態に従った、5Gネットワークにおける5GSへのEPC/ePDGのハンドオーバに係る一つの例示的なフローである。
図2I図2Iは、いくつかの実施形態に従った、5Gネットワークにおけるホームルーテッド・ローミングシナリオのためのUE要求(UE-requested)PDUセッション確立に係る一つの例示的なフローである。
図2J図2Jは、いくつかの実施形態に従った、5Gネットワークにおけるホームルーテッド・ローミングシナリオのためのUE要求PDUセッション確立および修正/更新に係る一つの例示的なフローである。
図3図3は、いくつかの実施形態に従った、サービスプロバイダについて5Gモバイルネットワークに対する強化されたセキュリティを実行するためのネットワーク装置のハードウェアコンポーネントに係る機能図である。
図4図4は、いくつかの実施形態に従った、サービスプロバイダについて5Gモバイルネットワークに対する強化されたセキュリティを実行するためのネットワーク装置のロジックコンポーネントに係る機能図である。
図5図5は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係るフロー図である。
図6図6は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係る別のフロー図である。
図7図7は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係る別のフロー図である。
図8図8は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係る別のフロー図である。
【発明を実施するための形態】
【0004】
本発明は、プロセス、装置、システム、事項の構成、コンピュータで読取り可能な記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリに保管され、かつ/あるいは、提供される命令を実行するように構成されたプロセッサといった、プロセッサを含む、複数の方法で実装することができる。この明細書において、これらの実施形態、または本発明が採用し得るあらゆる他の形態は、技術(techniques)として参照され得る。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更され得る。特に言及されない限り、タスクを実行するように構成されているものとして説明されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成されている一般的なコンポーネントとして、または、タスクを実行するように製造されている所定のコンポーネントとして実装され得る。ここにおいて使用されるように、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つまたはそれ以上のデバイス、回路、及び/又は、処理コアを参照するものである。
【0005】
本発明に係る1つまたはそれ以上の実施形態の詳細な説明が、本発明の原理を説明する添付の図面と共に以下に提供される。本発明は、そうした実施形態に関連して説明されるが、本発明は、あらゆる実施形態に限定されるものではない。本発明の範囲は、請求項だけによって限定されるものであり、そしえ、本発明は、複数の代替、変形、および均等物を包含している。本発明の完全な理解を提供するために、複数の具体的な詳細が以下の説明において明らかにされる。これらの詳細は、例示のために提供されるものであり、そして、本発明は、これらの所定の詳細のいくつか又は全てを用いることなく、請求項に従って実施され得る。明瞭にするために、本発明と関連する技術分野において知られている技術的事項は、本発明が不必要に不明瞭にならないように、詳細には説明されていない。
【0006】
ファイアウォールは、一般的に、不正アクセスからネットワークを保護し、一方で、承認された通信がファイアウォールを通過するのを許可している。ファイアウォールは、典型的には、ネットワークアクセスのためにファイアウォール機能を提供する、デバイス、一式のデバイス、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング(routing)デバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティアプライアンス、または他のタイプの特殊目的デバイス)といった、様々なタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションとして統合され、または実行することができる。
【0007】
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらのルールのセットは、しばしば、ポリシ(例えば、ネットワークポリシ、またはネットワークセキュリティポリシ)として参照される。例えば、ファイアウォールは、不要な外部トラフィックが保護デバイスに到達するのを防ぐために、一式のルールまたはポリシを適用することによって、インバウンドトラフィック(inbound traffic)をフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることができる(例えば、許可(allow)、ブロック(block)、モニタリング(monitor)、通知(notify)、またはログ(log)、及び/又は、ファイアウォール/セキュリティルールまたはファイアウォール/セキュリティポリシにおいて指定され得る他のアクションであり、これらは、ここにおいて説明されるような、様々な基準に基づいてトリガすることができる。)
【0008】
セキュリティデバイス(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティデバイス)は、様々なセキュリティ機能(例えば、ファイアウォール、アンチ-マルウェア、侵入防止/検出、プロキシ、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーク機能)、及び/又は、他の機能を含むことができる。例えば、ルーティング機能は、送信元(source)情報(例えば、送信元IPアドレスおよびポート)、宛先(destination)情報(例えば、宛先IPアドレスおよびポート)、および、プロトコル情報に基づくことができる。
【0009】
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して送信される個々のパケットをインスペクションすることによって、ネットワーク通信トラフィックをフィルタリングする(例えば、ステートレス(stateless)パケットフィルタリング・ファイアウォールである、パケットフィルタリング・ファイアウォールまたは第1世代ファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、典型的に、個々のパケット自体をインスペクションし、そして、インスペクションされたパケットに基づいて(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用して)ルールを適用する。
【0010】
アプリケーション・ファイアウォールは、また、(例えば、アプリケーション層フィルタリング・ファイアウォール、または、TCP/IPスタックのアプリケーションレベルにおいて機能する第2世代ファイアウォールを使用して)アプリケーション層フィルタリングを実行することもできる。アプリケーション層フィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したウェブブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、様々な他のタイプのアプリケーションおよび他のプロトコル)を識別することができる。例えば、アプリケーション・ファイアウォールは、標準ポート上で通信を試みる未認可(unauthorized)プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準(non-standard)ポートを使用することにより黙って通り抜けること(sneak through)を試みる未認可/外れたポリシプロトコルは、一般的に、アプリケーション・ファイアウォールを使用して識別することができる)。
【0011】
ステートフル・ファイアウォールは、また、ステートフル・ベースのパケットインスペクションを実行することもでき、そこでは、各パケットが、そのネットワーク送信のパケットフロー(packets/packet flow)と関連する一式のパケットのコンテキストの中でインスペクションされる(例えば、ステートフル・ファイアウォールまたは第3世代ファイアウォール)。このファイアウォール技術は、一般的に、ステートフル・パケットインスペクションとして参照される。ファイアウォールを通過する全ての接続の記録を保持し、そして、パケットが、新たな接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断することができるからである。例えば、接続の状態は、それ自体が、ポリシの中のルールをトリガするクライテリアの1つになり得る。
【0012】
先進的または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルなパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加的なファイアウォール技術を実行することもできる。例えば、先進的または次世代ファイアウォールとして、しばしば参照される所定の新たなファイアウォールは、また、ユーザおよびコンテンツを識別することができる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを、何千ものアプリケーションまで拡大している。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、Palo Alto Networks社のPAシリーズの次世代ファイアウォール、および、Palo Alto Networks社のVMシリーズの仮想化次世代ファイアウォール)。
【0013】
例えば、Palo Alto Networks社の次世代ファイアウォールは、様々な識別技術を使用して、企業およびサービスプロバイダが、アプリケーション、ユーザ、およびコンテンツ-単にポート、IPアドレス、およびパケットだけでなく-を識別し、かつ、制御することを可能にする。様々な識別技術は、正確なアプリケーション識別のためのアプリケーションID(App-IDTM)(例えば、App ID)、ユーザ識別のためのユーザID(User-IDTM)(例えば、User ID)、および、リアルタイムなコンテンツスキャニングのためのコンテンツID(Content-IDTM)(例えば、Content ID)といったものである(例えば、Webサーフィンを制御し、かつ、データおよびファイルの転送を制限する)。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連の概念を使用して、アプリケーションの使用を安全に可能にすることができる。また、例えば、専用装置として実装される、次世代ファイアウォールのための特定目的ハードウェアは、汎用ハードウェア上で実行されるソフトウェアよりも、アプリケーションインスペクションについてより高いパフォーマンスレベルを一般的に提供する(例えば、Palo Alto Networks社が提供するセキュリティアプライアンスといったものであり、シングルパス・ソフトウェアエンジンと堅く統合されている、専用の、機能固有の処理を利用し、Palo Alto Networks社のPAシリーズ次世代ファイアウォールについて、レイテンシ(latency)を最小化する一方で、ネットワークのスループットを最大化する)。
【0014】
サービスプロバイダのためのモバイルネットワークにおける今日の技術的およびセキュリティの課題
【0015】
今日のサービスプロバイダ・ネットワーク環境において、サービスプロバイダは、典型的に、サービスプロバイダの無線ネットワークを介して通信する無線デバイスに対して静的セキュリティポリシを実装できるだけであり(例えば、サービスプロバイダは、サービスプロバイダの無線ネットワークを介して通信する無線デバイスについて、エンドポイントごとに、及び/又は、フローごとにセキュリティ/ファイアウォールポリシを定義することができない)、かつ、あらゆる変更は、一般的に、ネットワークインフラストラクチャの更新を必要とする。
【0016】
従って、モバイルネットワークにおける装置(device)について、サービスプロバイダ・ネットワークの技術的およびセキュリティ上の課題が存在している。かくして、必要とされるものは、そうしたサービスプロバイダ・ネットワーク環境(例えば、モバイルネットワーク)における装置のための新たな、そして、改善されたセキュリティ技術である。具体的に、必要とされるものは、サービスプロバイダ・ネットワークトラフィックをモニタリングし、かつて、サービスプロバイダ・ネットワーク上で通信する装置スについてセキュリティポリシ(例えば、ファイアウォールポリシ)を適用するための、新たな、そして、改善されたソリューションである。
【0017】
サービスプロバイダのためのモバイルネットワークにおけるセキュリティ強化のための技術の概要
【0018】
従って、サービスプロバイダ・ネットワーク環境内の強化されたセキュリティプラットフォーム(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる他の装置/コンポーネント)のための技術が開示される。具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおけるネットワークスライスベース(slice-based)のセキュリティを提供することができるサービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための種々のシステムアーキテクチャおよび提供するための種々のプロセスが開示される。より具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおけるネットワークスライスベースのセキュリティのために、サービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための種々のシステムアーキテクチャおよび提供するための種々のプロセスが開示される。
【0019】
いくつかの実施形態においては、ネットワークスライス情報を抽出するためにHTTP/2メッセージを解析することによって、セキュリティプラットフォームを使用して適用され得る、ネットワークスライスベースのセキュリティを適用するための種々の技術が開示される。例えば、5Gセルラーネットワークでは、サービスベースインターフェイスにおいてHTTP/2が使用される。
【0020】
具体的には、IETF RFC 7540に記載されているHTTP/2は(例えば、https://tools.ietf.org/html/rfc7540において利用可能)、単一のコネクション上で複数のストリームのマルチプレクシング(multiplexing)、ヘッダ圧縮、および、サーバからクライアントへの未要求(unrequested)プッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793に記載されているように(https://tools.ietf.org/html/rfc793において利用)、トランスポートプロトコルとしてTCPを使用する。ネットワークスライスは、コア・ネットワークコントロールプレーンおよびユーザプレーンネットワーク機能を含むパブリック・ランド・モバイルネットワーク(PLMN)内のロジカルネットワークであり、そして、PLMNにNG無線アクセスネットワークまたは非3GPPアクセスネットワークに対する非3GPPインターワーキング機能(N3IWF)の少なくとも1つを提供する。
【0021】
より具体的に、ネットワークスライスは、単一ネットワークスライス選択支援情報(S-NSSAI)によって識別される。S-NSSAIは、(1)スライス/サービス(Slice/Service)タイプ(SST)-特徴およびサービスに関して期待されるネットワークスライス挙動(behavior)を参照する、および、(2)スライス・ディファレンシエータ(Slice Differentiator、SD)(例えば、同じSSTの複数のネットワークスライス間を区別するためのオプション情報である)、から構成されている。
【0022】
さらに、S-NSSAIは、標準値または非標準値を持つことができる。3GPPで定義されるSSTの標準値を以下に示す:
【表1】
【0023】
いくつかの実施形態において、所与の5Gネットワークにおけるセキュリティプラットフォーム展開(deployment)トポロジに基づいて、S-NSSAI情報は、以下でさらに説明される2つのオプションのうちの1つ以上を使用して抽出され得る。第1オプションとして、セキュリティプラットフォームは、「SMコンテキストリクエストの作成(“Create SM Context Request”)」サービスオペレーションの最中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POSTリクエストのペイロードにおけるデータタイプ“SmContextCreateData”からS-NSSAI情報を抽出する(例えば、3GPP TS 29.502で定義され、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=3340で利用可能なもの)。“Create SM Context Request”サービスオペレーション(例えば、3GPP TS 29.502で定義されているもの)は、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを作成するために、以下の例示的なプロシージャで使用される。SMFにおいて、または、ホームルーテッド(HR)・ローミングシナリオのためのV-SMFにおけるものである。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用する5Gシステム(5GS)アイドルモード・モビリティまたはハンドオーバに対するエボルブドパケットシステム(EPS)、(3)N26インターフェイスを使用しないEPS 5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ、および、(6)EPC/ePDG(エボルブドパケットデータゲートウェイ)から5GSへのハンドオーバ、である。
【0024】
第2オプションとして、セキュリティプラットフォームは、サービス作成(Create service)動作の最中に、NFサービスコンシューマから、次いで、H-SMFへ送信されるHTTP/2 POSTリクエストのペイロードにおけるデータタイプ“PDUSessionCreateData”(例えば、3GPP TS 29.502において定義されているもの)からS-NSSAI情報を抽出する。サービス作成動作(例えば、3GPP TS 29.502において定義されているもの)は、HRローミングのシナリオについてH-SMFにおける個々のPDUセッションを作成するために、以下の例示的なプロシージャの中で使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用した5GSアイドルモード・モビリティまたはハンドオーバへのEPS、(3)N26インターフェイスを使用しないEPSの5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWFへのハンドオーバ、および、(6)EPC/ePDGから5GSへのハンドオーバである。
【0025】
いくつかの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、ネットワークスライス識別子(S-NSSAI)を使用して、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマにセキュリティを適用することを含む。様々な実施形態および実施例に関して、以下でさらに説明される、といったものである。
【0026】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマにセキュリティを提供することを含み、5GネットワークにおいてS-NSSAIごとに適用され得るセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0027】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマに脅威検出を提供することを含み、5GネットワークにおいてS-NSSAIごとに適用され得るセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0028】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマに脅威防止を提供することを含み、5GネットワークにおいてS-NSSAIごとに適用され得るセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0029】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、ネットワークスライス識別子(S-NSSAI)を使用して、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマにユニフォームリソースロケータ(URL)フィルタリングを適用するステップを含み、5GネットワークにおいてS-NSSAIごとに適用することができるセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0030】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマにセキュリティを提供することを含み、5GネットワークにおいてSSTごとに適用され得るセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0031】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマに脅威検出を提供することを含み、5GネットワークにおいてSSTごとに適用され得るセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0032】
一つの実施形態において、モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および加入者の装置を有するカスタマに脅威防止を提供することを含み、5GネットワークにおいてSSTごとに適用可能なセキュリティプラットフォームによって実装されるセキュリティポリシを使用して実行される。
【0033】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおいて加入及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ネットワークスライス情報を使用して、既知の脅威に対する脅威検出を提供することを含む。
【0034】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおいて加入及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ネットワークスライス情報を使用して、未知の脅威に対する高度な脅威検出を提供することを含む。
【0035】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおいて加入及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ネットワークスライス情報を使用して、ユニフォームリソースリンク(URL)フィルタリングを提供することを含む。
【0036】
一つの実施態様において、いくつかの実施形態に従った、モバイルネットワークにおいて加入及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ネットワークスライス情報を使用して、アプリケーションサービス拒否(DoS)検出を提供することを含む。
【0037】
一つの実施態様において、いくつかの実施形態に従った、モバイルネットワークにおいて加入及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ネットワークスライス情報を使用して、アプリケーションサービス拒否防止を提供することを含む。
【0038】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおいて加入及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、セキュリティポリシに基づいて、新たなセッションがリソースにアクセスするのをブロックすることを含む。
【0039】
例えば、開示される技術は、5G無線アクセス技術、および、5Gから非5Gアクセス技術へのハンドオーバを使用してそれらのネットワークに接続する、複数の加入者、ユーザ、及び/又は、モノのインターネット(IoT)装置(例えば、セルラーIoT(CIoT)装置)を有する任意のカスタマに対して、ネットワークスライスベースのセキュリティを提供することを可能にする。
【0040】
開示される技術を使用して提供され得るモバイルネットワーク(例えば、コンバージド・モバイルネットワーク・オペレータ/サービスプロバイダ)のための新しく、かつ、強化されたセキュリティサービスの実施例は、以下うち1つ以上を含む。(1)ネットワークスライスベースのファイアウォールサービス、(2)既知の脅威に対するネットワークスライスベースの基本的な脅威検出サービス、(3)未知の脅威に対するネットワークスライスベースの高度な脅威検出サービス、(4)既知の脅威に対するネットワークスライスベースの基本的な脅威防止サービス、(5)未知の脅威に対するネットワークスライスベースの高度な脅威防止サービス(6)ネットワークスライスベースのURLフィルタリングサービス、(7)ネットワークスライスベースのアプリケーションDoS検出サービス、(8)ネットワークスライスベースのアプリケーションDoS防止サービス、および、(9)5GネットワークのSSTごとに行われ得るNGFWにおけるURLフィルタリング、である。
【0041】
モバイルネットワークにおけるネットワークスライスベースのセキュリティを提供するためのこれら及び他の実施例が、以下でさらに説明される。
【0042】
サービスプロバイダに対するモバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースセキュリティのための技術の概要
【0043】
加入者永久識別子(SUPI)ごとのサービスベースのセキュリティ
【0044】
従って、サービスプロバイダ・ネットワーク環境内の強化されたセキュリティプラットフォームのための技術(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる他の装置/コンポーネント)が開示される。具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてサービスベースのセキュリティを提供することができるサービスプロバイダ・ネットワーク環境内で、セキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されている。より具体的には、サービスベースのセキュリティのためにサービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されており、これらは、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいて加入者永久識別子(SUPI)情報を抽出するためにHTTP/2メッセージを解析することによって、セキュリティプラットフォームを使用して適用することができる。
【0045】
いくつかの実施形態においては、SUPI情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用することができる、加入者永久識別子(SUPI)ごとのサービスベースのセキュリティを適用するための様々な技術が開示される。例えば、5Gセルラーネットワークでは、サービスベースインターフェイスにおいてHTTP/2が使用される。
【0046】
具体的には、サービスベースインターフェイスにおいてHTTP/2が使用される。IETF RFC 7540に記載されるようにHTTP/2は、単一のコネクション上で複数のストリームのマルチプレクシング(multiplexing)、ヘッダ圧縮、および、サーバからクライアントへの未要求(unrequested)プッシュをサポートするバイナリプロトコルである。HTTP/2は、トランスポートプロトコルとして、IETF RFC 793に記載されているTCPを使用する。
【0047】
より具体的には、SUPIは、5Gシステムの各加入者に割り当てられ、そして、ユニバーサルデータ管理(UDM)/ユニバーサルデータリポジトリ(UDR)で供給される、グローバルにユニークな5G加入者識別子である。SUPIは、3GPPシステム内で使用される。SUPIは、以下の情報を含み得る。(1)https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=729で利用可能な3GPP TS 23.003で定義されるIMSI、または、(2)https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=729で利用可能な3GPP TS 23.003で定義されているようにプライベートネットワークに使用される、ネットワーク固有の識別子、である。場合によっては、IMSIベースまたは非IMSIベース(例えば、非3GPPのアクセス技術またはプライベートネットワークで使用される場合)どちらかのNAIに対して、SUPIは、3GPP TS 23.003で定義されているようにNAI RFC 7542ベースのユーザ識別子を使用する、ネットワークアクセス識別子(NAI)の形式をとることができる。エボルブドパケットコア(Evolved Packet Core、EPC)とのインターワーキングのために、3GPPユーザ装置(UE)に対して割り当てられるSUPIは、UEがEPCに対してIMSIを提示することができるように、いつでも、MSIに基づいている。
【0048】
いくつかの実施形態においては、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、SUPI情報が、以下の2つのオプションを使用して抽出され得る。第1オプションとして、セキュリティプラットフォームは、「SMコンテキスト要求の作成(“Create SM Context Request”)」サービス動作の最中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータタイプ“SmContextCreateData”(例えば、3GPP TS 29.502で定義されている)からSUPI情報を抽出する。例えば、「SMコンテキスト要求の作成」サービスオペレーション(例えば、3GPP TS 29.502で定義されている)は、所与のプロトコルデータユニット(PDU)セッションについて、SMFで、または、ホームルーテッド(HR)・ローミングシナリオのためのV-SMFで、個々のセッション管理(SM)コンテキストを作成するために、以下のプロシージャにおいて使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用した5Gシステム(5GS)アイドルモード・モビリティまたはハンドオーバへのエボルブドEPS、(3)N26インターフェイスを使用しないEPSの5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWF(Non-3GPP Interworking Function)へのハンドオーバ、および、(6)EPC/ePDG(evolved packet data gateway)から5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0049】
第2オプションとして、セキュリティプラットフォームは、作成サービス(Create service)動作の最中にNFサービスコンシューマからH-SMFへ送信されるHTTP/2 POST要求のペイロードにおけるデータタイプ“PDUSessionCreateData”(例えば、3GPP TS 29.502において定義されているもの)からSUPI情報を抽出する。作成サービス動作(例えば、3GPP TS 29.502において定義されているもの)は、HRローミングシナリオのためにH-SMFにおける個々のPDUセッションを作成するために、以下のプロシージャで使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用する5GSアイドルモード・モビリティまたはハンドオーバに対するEPS、(3)N26インターフェイスを使用しないEPS 5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWFへのハンドオーバ、および、(6)EPC/ePDGから5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0050】
いくつかの実施形態においては、モバイルネットワークにおいて加入者永久識別子(SUPI)ごとにサービスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、モバイル加入者および加入者装置のためにセキュリティを提供することを含み、そして、5GネットワークにおけるSUPI情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用され得る、セキュリティポリシを使用して実行される。
【0051】
開示される技術を使用して提供され得る、モバイルネットワーク(例えば、コンバージド・モバイルネットワーク・オペレータ/サービスプロバイダ)のための新しく、かつ、強化されたセキュリティサービスの実施例は、以下の1つ以上を含む。(1)SUPIベースのファイアウォールサービスのためにSUPI情報ごとに適用され得るセキュリティポリシ、(2)既知の脅威に対するSUPIベースの脅威検出サービス、(3)未知の脅威に対するSUPIベースの高度な脅威検出サービス、(4)既知の脅威に対するSUPIベースの基本的な脅威防止サービス、(5)未知の脅威に対するSUPIベースの高度な脅威防止サービス、(6)SUPIベースのURLフィルタリングサービス、(7)SUPIベースのアプリケーションDoS検出サービス、および、8)SUPIベースのアプリケーションDoS防止サービス、である。
【0052】
いくつかの実施形態において、ある実施形態に従った、モバイルネットワーク内の加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、新たなセッションを識別するために、セキュリティプラットフォームにおいてサービスプロバイダ・ネットワーク上のネットワークトラフィックをモニタリングすることを含み、ここで、サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含む。セキュリティプラットフォームにおいて、新たなセッションに関連するユーザトラフィックのための加入者及び/又は装置識別子情報を抽出すること、および、加入者及び/又は装置識別子情報に基づいて、セキュリティプラットフォームにおいて新たなセッションに適用するセキュリティポリシを決定すること、を含む。
【0053】
一つの実施形態において、セキュリティプラットフォームは、加入者及び/又は装置識別子情報に基づく複数のセキュリティポリシで構成される。
【0054】
一つの実施形態において、加入者及び/又は装置識別子は、加入者永久識別子(SUPI)、一般公開加入者識別子(GPSI)、及び/又は、永久装置識別子(PEI)によって識別される。
【0055】
一つの実施形態において、セキュリティプラットフォームは、加入者及び/又は装置識別子情報を抽出するためにHTTP/2メッセージを解析する。そして、ここで、加入者及び/又は装置識別子情報は、加入者永久識別子(SUPI)、一般公開加入者識別子(GPSI)、及び/又は、永久装置識別子(PEI)によって識別される。
【0056】
一つの実施形態において、セキュリティプラットフォームは、4G及び/又は5Gネットワークのためのモバイル・コア・ネットワーク内のコントロールプロトコルおよびユーザデータ・トラフィックのための複数のインターフェイスを含む、無線インターフェイスをモニタリングする。
【0057】
一つの実施形態において、セキュリティプラットフォームは、5G無線アクセス技術を使用してサービスプロバイダ・ネットワークに接続する加入者および加入者装置にネットワークスライスベースのセキュリティを提供し、かつ、5G無線アクセス技術から5G無線アクセス技術へハンドオーバするために、4G及び/又は5Gネットワークに対するモバイル・コア・ネットワーク内のコントロールプロトコルおよびユーザデータ・トラフィックについて複数のインターフェイスを含む無線インターフェイスをモニタリングする。
【0058】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、加入者及び/又は装置識別子情報を使用して、ファイアウォールサービスを提供することを含む。
【0059】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、加入者及び/又は装置識別子情報を使用して、既知の脅威に対する脅威検出を提供することを含む。
【0060】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、加入者及び/又は装置識別子情報を使用して、未知の脅威に対する高度な脅威検出を提供することを含む。
【0061】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、加入者及び/又は装置識別子情報を使用して、ユニフォームリソースリンク(URL)フィルタリングを提供することを含む。
【0062】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、加入者及び/又は装置識別子情報を使用して、アプリケーションサービス拒否(DoS)検出を提供することを含む。
【0063】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、加入者及び/又は装置識別子情報を使用して、アプリケーションサービス拒否(DoS)防止を提供することを含む。
【0064】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおける加入者及び/又は装置識別子ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、セキュリティポリシに基づいて、新たなセッションがリソースにアクセスするのをブロックすることを含む。
【0065】
永久装置識別子(PEI)ごとのサービスベースのセキュリティ
【0066】
従って、サービスプロバイダ・ネットワーク環境内の強化されたセキュリティプラットフォームのための技術(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる他の装置/コンポーネント)が開示される。具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてサービスベースのセキュリティを提供することができるサービスプロバイダ・ネットワーク環境内で、セキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されている。より具体的には、サービスベースのセキュリティのためにサービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されており、これらは、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいて永久装置識別子(PEI)情報を抽出するためにHTTP/2メッセージを解析することによって、セキュリティプラットフォームを使用して適用することができる。
【0067】
いくつかの実施形態においては、PEI情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用することができる、永久装置識別子(PEI)ごとのサービスベースのセキュリティを適用するための様々な技術が開示される。例えば、5Gセルラーネットワークでは、サービスベースインターフェイスにおいてHTTP/2が使用される。
【0068】
具体的には、サービスベースインターフェイスにおいてHTTP/2が使用される。IETF RFC 7540に記載されるようにHTTP/2は、単一のコネクション上で複数のストリームのマルチプレクシング(multiplexing)、ヘッダ圧縮、および、サーバからクライアントへの未要求(unrequested)プッシュをサポートするバイナリプロトコルである。HTTP/2は、トランスポートプロトコルとして、IETF RFC 793に記載されているTCPを使用する。
【0069】
より具体的には、PEIは、5Gシステムにアクセスする3GPP UEに対して定義された永久装置識別子である。PEIは、異なるUEタイプおよびユースケースに対して異なるフォーマットを想定することができる。UEは、使用されているPEIフォーマットの表示と共に、PEIをネットワークに対して共有する。UEが少なくとも1つの3GPPアクセス技術をサポートする場合に、UEは、国際モバイル装置識別子(International Mobile Equipment Identifier、IMEI)フォーマットでPEIが割り当てられる。例えば、PEIは、以下の情報を含み得る。https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=729で入手可能な、3GPP TS 23.003で定義されているIMEIまたはIMEISVである。
【0070】
いくつかの実施形態においては、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、PEI情報が、以下の2つのオプションを使用して抽出され得る。第1オプションとして、セキュリティプラットフォームは、「SMコンテキスト要求の作成(“Create SM Context Request”)」サービス動作の最中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータタイプ“SmContextCreateData”(例えば、3GPP TS 29.502で定義されている)からPEI情報を抽出する。「SMコンテキスト要求の作成」サービスオペレーション(例えば、3GPP TS 29.502で定義されている)は、所与のプロトコルデータユニット(PDU)セッションについて、SMFで、または、ホームルーテッド(HR)・ローミングシナリオのためのV-SMFで、個々のセッション管理(SM)コンテキストを作成するために、以下のプロシージャにおいて使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用した5Gシステム(5GS)アイドルモード・モビリティまたはハンドオーバへのエボルブドEPS、(3)N26インターフェイスを使用しないEPSの5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWF(Non-3GPP Interworking Function)へのハンドオーバ、および、(6)EPC/ePDG(evolved packet data gateway)から5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0071】
第2オプションとして、セキュリティプラットフォームは、作成サービス(Create service)動作の最中にNFサービスコンシューマからH-SMFへ送信されるHTTP/2 POST要求のペイロードにおけるデータタイプ“PDUSessionCreateData”(例えば、3GPP TS 29.502において定義されているもの)からPEI情報を抽出する。作成サービス動作(例えば、3GPP TS 29.502において定義において定義されているもの)は、HRローミングシナリオのためにH-SMFにおける個々のPDUセッションを作成するために、以下のプロシージャで使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用する5GSアイドルモード・モビリティまたはハンドオーバに対するEPS、(3)N26インターフェイスを使用しないEPS 5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWFへのハンドオーバ、および、(6)EPC/ePDGから5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0072】
いくつかの実施形態においては、モバイルネットワークにおいて永久装置識別子(PEI)ごとにサービスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、モバイル加入者および加入者装置のためにセキュリティを提供することを含み、そして、5GネットワークにおけるPEI情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用され得る、セキュリティポリシを使用して実行される。
【0073】
開示される技術を使用して提供され得る、モバイルネットワーク(例えば、コンバージド・モバイルネットワーク・オペレータ/サービスプロバイダ)のための新しく、かつ、強化されたセキュリティサービスの実施例は、以下の1つ以上を含む。(1)PEIベースのファイアウォールサービスのためにPEI情報ごとに適用され得るセキュリティポリシ、(2)既知の脅威に対するPEIベースの脅威検出サービス、(3)未知の脅威に対するPEIベースの高度な脅威検出サービス、(4)既知の脅威に対するPEIベースの基本的な脅威防止サービス、(5)未知の脅威に対するPEIベースの高度な脅威防止サービス、(6)PEIベースのURLフィルタリングサービス、(7)PEIベースのアプリケーションDoS検出サービス、および、8)PEIベースのアプリケーションDoS防止サービス、である。
【0074】
一般公開加入者識別子(GPSI)ごとのサービスベースのセキュリティ
【0075】
従って、サービスプロバイダ・ネットワーク環境内の強化されたセキュリティプラットフォームのための技術(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる他の装置/コンポーネント)が開示される。具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてサービスベースのセキュリティを提供することができるサービスプロバイダ・ネットワーク環境内で、セキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されている。より具体的には、サービスベースのセキュリティのためにサービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されており、これらは、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいて一般公開加入者識別子(GPSI)情報を抽出するためにHTTP/2メッセージを解析することによって、セキュリティプラットフォームを使用して適用することができる。
【0076】
いくつかの実施形態においては、GPSI情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用することができる、一般公開加入者識別子(GPSI)ごとのサービスベースのセキュリティを適用するための様々な技術が開示される。例えば、5Gセルラーネットワークでは、サービスベースインターフェイスにおいてHTTP/2が使用される。
【0077】
具体的には、サービスベースインターフェイスにおいてHTTP/2が使用される。IETF RFC 7540に記載されるようにHTTP/2は、単一のコネクション上で複数のストリームのマルチプレクシング(multiplexing)、ヘッダ圧縮、および、サーバからクライアントへの未要求(unrequested)プッシュをサポートするバイナリプロトコルである。HTTP/2は、トランスポートプロトコルとして、IETF RFC 793に記載されているTCPを使用する。
【0078】
より具体的には、GPSIは、3GPPシステムの外側の異なるデータネットワークにおける3GPP加入者をアドレス指定するために使用される。3GPPシステムは、GPSIと、対応するSUPIとの間の関連を加入者データ内に保管する。GPSIは、3GPPシステムの内部および外部の両方で使用される公開識別子(public identifier)である。GPSIは、MSISDNまたは外部識別子(例えば、TS 23.003において定義されいている)のいずれかである。MSISDNが加入者データに含まれる場合には、同一のMSISDN値が5GSとEPSの両方においてサポートされる可能性がある。
【0079】
いくつかの実施形態においては、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、GPSI情報が、以下の2つのオプションを使用して抽出され得る。第1オプションとして、セキュリティプラットフォームは、「SMコンテキスト要求の作成(“Create SM Context Request”)」サービス動作の最中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータタイプ“SmContextCreateData”(例えば、3GPP TS 29.502で定義されている)からSUPI情報を抽出する。「SMコンテキスト要求の作成」サービスオペレーション(例えば、3GPP TS 29.502で定義されている)は、所与のプロトコルデータユニット(PDU)セッションについて、SMFで、または、ホームルーテッド(HR)・ローミングシナリオのためのV-SMFで、個々のセッション管理(SM)コンテキストを作成するために、以下のプロシージャにおいて使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用した5Gシステム(5GS)アイドルモード・モビリティまたはハンドオーバへのエボルブドEPS、(3)N26インターフェイスを使用しないEPSの5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWF(Non-3GPP Interworking Function)へのハンドオーバ、および、(6)EPC/ePDG(evolved packet data gateway)から5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0080】
第2オプションとして、セキュリティプラットフォームは、作成サービス(Create service)動作の最中にNFサービスコンシューマからH-SMFへ送信されるHTTP/2 POST要求のペイロードにおけるデータタイプ“PDUSessionCreateData”(例えば、3GPP TS 29.502において定義されているもの)からGPSI情報を抽出する。作成サービス動作(例えば、3GPP TS 29.502において定義において定義されているもの)は、HRローミングシナリオのためにH-SMFにおける個々のPDUセッションを作成するために、以下のプロシージャで使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用する5GSアイドルモード・モビリティまたはハンドオーバに対するEPS、(3)N26インターフェイスを使用しないEPS 5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWFへのハンドオーバ、および、(6)EPC/ePDGから5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0081】
いくつかの実施形態においては、モバイルネットワークにおいて一般公開加入者識別子(GPSI)ごとにサービスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、モバイル加入者および加入者装置のためにセキュリティを提供することを含み、そして、5GネットワークにおけるGPSI情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用され得る、セキュリティポリシを使用して実行される。
【0082】
開示される技術を使用して提供され得る、モバイルネットワーク(例えば、コンバージド・モバイルネットワーク・オペレータ/サービスプロバイダ)のための新しく、かつ、強化されたセキュリティサービスの実施例は、以下の1つ以上を含む。(1)GPSIベースのファイアウォールサービスのためにGPSI情報ごとに適用され得るセキュリティポリシ、(2)既知の脅威に対するGPSIベースの脅威検出サービス、(3)未知の脅威に対するGPSIベースの高度な脅威検出サービス、(4)既知の脅威に対するGPSIベースの基本的な脅威防止サービス、(5)未知の脅威に対するGPSIベースの高度な脅威防止サービス、(6)GPSIベースのURLフィルタリングサービス、(7)GPSIベースのアプリケーションDoS検出サービス、および、8)GPSIベースのアプリケーションDoS防止サービス、である。
【0083】
モバイルネットワークにおける加入者識別子及び/又は装置識別子ごとにサービスベースのセキュリティを提供するための、これら及び他の実施形態および実施例が、以下でさらに説明される。
【0084】
サービスプロバイダに対するモバイルネットワークにおけるデータネットワーク名ごとのサービスベースセキュリティのための技術の概要
【0085】
従って、サービスプロバイダ・ネットワーク環境内の強化されたセキュリティプラットフォームのための技術(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる他の装置/コンポーネント)が開示される。具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてサービスベースのセキュリティを提供することができるサービスプロバイダ・ネットワーク環境内で、セキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されている。より具体的には、サービスベースのセキュリティのためにサービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されており、これらは、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてデータネットワーク名(DNN)情報を抽出するためにHTTP/2メッセージを解析することによって、セキュリティプラットフォームを使用して適用することができる。
【0086】
いくつかの実施形態においては、DNN情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用することができる、データネットワーク名(DNN)ごとのサービスベースのセキュリティを適用するための様々な技術が開示される。例えば、5Gセルラーネットワークでは、サービスベースインターフェイスにおいてHTTP/2が使用される。
【0087】
具体的には、サービスベースインターフェイスにおいてHTTP/2が使用される。IETF RFC 7540に記載されるようにHTTP/2は、単一のコネクション上で複数のストリームのマルチプレクシング(multiplexing)、ヘッダ圧縮、および、サーバからクライアントへの未要求(unrequested)プッシュをサポートするバイナリプロトコルである。HTTP/2は、トランスポートプロトコルとして、IETF RFC 793に記載されているTCPを使用する。
【0088】
より具体的には、DNNは、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=729で利用可能なTS 23.003で定義されているアクセスポイント名(Access Point Name、APN)と等価である。両方の識別子は等価な意味を有しており、かつ、同一の情報を搬送する。例えば、DNNは、(1)PDUセッションのためのSMFおよびUPFを選択するため、または、(2)このPDUセッションに適用するポリシを決定するために使用され得る。
【0089】
いくつかの実施形態においては、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、DNN情報が、以下の2つのオプションを使用して抽出され得る。第1オプションとして、セキュリティプラットフォームは、「SMコンテキスト要求の作成(“Create SM Context Request”)」サービス動作の最中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータタイプ“SmContextCreateData”(例えば、3GPP TS 29.502で定義されている)からDNN情報を抽出する。「SMコンテキスト要求の作成」サービスオペレーション(例えば、3GPP TS 29.502で定義されている)は、所与のプロトコルデータユニット(PDU)セッションについて、SMFで、または、ホームルーテッド(HR)・ローミングシナリオのためのV-SMFで、個々のセッション管理(SM)コンテキストを作成するために、以下のプロシージャにおいて使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用した5Gシステム(5GS)アイドルモード・モビリティまたはハンドオーバへのエボルブドEPS、(3)N26インターフェイスを使用しないEPSの5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWF(Non-3GPP Interworking Function)へのハンドオーバ、および、(6)EPC/ePDG(evolved packet data gateway)から5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0090】
第2オプションとして、セキュリティプラットフォームは、作成サービス(Create service)動作の最中にNFサービスコンシューマからH-SMFへ送信されるHTTP/2 POST要求のペイロードにおけるデータタイプ“PDUSessionCreateData”(例えば、3GPP TS 29.502において定義されているもの)からDNN情報を抽出する。作成サービス動作(例えば、3GPP TS 29.502において定義において定義されているもの)は、HRローミングシナリオのためにH-SMFにおける個々のPDUセッションを作成するために、以下のプロシージャで使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用する5GSアイドルモード・モビリティまたはハンドオーバに対するEPS、(3)N26インターフェイスを使用しないEPS 5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWFへのハンドオーバ、および、(6)EPC/ePDGから5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0091】
いくつかの実施形態においては、モバイルネットワークにおいてデータネットワーク名(DNN)ごとにサービスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、モバイル加入者および加入者装置のためにセキュリティを提供することを含み、そして、5GネットワークにおけるDNN情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用され得る、セキュリティポリシを使用して実行される。
【0092】
開示される技術を使用して提供され得る、モバイルネットワーク(例えば、コンバージド・モバイルネットワーク・オペレータ/サービスプロバイダ)のための新しく、かつ、強化されたセキュリティサービスの実施例は、以下の1つ以上を含む。(1)DNNベースのファイアウォールサービスのためにDNN情報ごとに適用され得るセキュリティポリシ、(2)既知の脅威に対するDNNベースの脅威検出サービス、(3)未知の脅威に対するDNNベースの高度な脅威検出サービス、(4)既知の脅威に対するDNNベースの基本的な脅威防止サービス、(5)未知の脅威に対するDNNベースの高度な脅威防止サービス、(6)DNNベースのURLフィルタリングサービス、(7)DNNベースのアプリケーションDoS検出サービス、および、8)DNNベースのアプリケーションDoS防止サービス、である。
【0093】
いくつかの実施形態において、ある実施形態に従った、モバイルネットワーク内のデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、新たなセッションを識別するために、セキュリティプラットフォームにおいてサービスプロバイダ・ネットワーク上のネットワークトラフィックをモニタリングすることを含み、ここで、サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含む。セキュリティプラットフォームにおいて、新たなセッションに関連するユーザトラフィックのためのネットワーク名情報を抽出すること、および、ネットワーク名情報に基づいて、セキュリティプラットフォームにおいて新たなセッションに適用するセキュリティポリシを決定すること、を含む。
【0094】
一つの実施形態において、セキュリティプラットフォームは、ネットワーク名情報に基づく複数のセキュリティポリシで構成される。
【0095】
一つの実施形態において、ネットワーク名は、データネットワーク名によって識別される。
【0096】
一つの実施形態において、セキュリティプラットフォームは、ネットワーク名情報を抽出するためにHTTP/2メッセージを解析する。そして、ここで、ネットワーク名は、データネットワーク名によって識別される。
【0097】
一つの実施形態において、セキュリティプラットフォームは、4G及び/又は5Gネットワークのためのモバイル・コア・ネットワーク内のコントロールプロトコルおよびユーザデータ・トラフィックのための複数のインターフェイスを含む、無線インターフェイスをモニタリングする。
【0098】
一つの実施形態において、セキュリティプラットフォームは、5G無線アクセス技術を使用してサービスプロバイダ・ネットワークに接続する加入者および加入者装置にネットワーク名ベースのセキュリティを提供し、かつ、5G無線アクセス技術から5G無線アクセス技術へハンドオーバするために、4G及び/又は5Gネットワークに対するモバイル・コア・ネットワーク内のコントロールプロトコルおよびユーザデータ・トラフィックについて複数のインターフェイスを含む無線インターフェイスをモニタリングする。
【0099】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、データネットワーク名情報を使用して、ファイアウォールサービスを提供することを含む。
【0100】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、データネットワーク名情報を使用して、既知の脅威に対する脅威検出を提供することを含む。
【0101】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、データネットワーク名情報を使用して、未知の脅威に対する高度な脅威検出を提供することを含む。
【0102】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、データネットワーク名情報を使用して、ユニフォームリソースリンク(URL)フィルタリングを提供することを含む。
【0103】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、データネットワーク名情報を使用して、アプリケーションサービス拒否(DoS)検出を提供することを含む。
【0104】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、データネットワーク名情報を使用して、アプリケーションサービス拒否(DoS)防止を提供することを含む。
【0105】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、セキュリティポリシに基づいて、新たなセッションがリソースにアクセスするのをブロックすることを含む。
【0106】
モバイルネットワークにおけるデータネットワーク名ごとにサービスベースのセキュリティを提供するための、これら及び他の実施形態および実施例が、以下でさらに説明される。
【0107】
サービスプロバイダに対するモバイルネットワークにおけるユーザ位置ごとのサービスベースセキュリティのための技術の概要
【0108】
従って、サービスプロバイダ・ネットワーク環境内の強化されたセキュリティプラットフォームのための技術(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる他の装置/コンポーネント)が開示される。具体的には、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてサービスベースのセキュリティを提供することができるサービスプロバイダ・ネットワーク環境内で、セキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されている。より具体的には、サービスベースのセキュリティのためにサービスプロバイダ・ネットワーク環境内でセキュリティプラットフォームを実装するための様々なシステムアーキテクチャ、および、提供するための様々なプロセスが開示されており、これらは、5Gセルラーネットワークといった、サービスプロバイダのためのモバイルネットワークにおいてユーザ位置情報を抽出するためにHTTP/2メッセージを解析することによって、セキュリティプラットフォームを使用して適用することができる。
【0109】
いくつかの実施形態においては、ユーザ位置情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用することができる、ユーザ位置ごとのサービスベースのセキュリティを適用するための様々な技術が開示される。例えば、5Gセルラーネットワークでは、サービスベースインターフェイスにおいてHTTP/2が使用される。
【0110】
具体的には、サービスベースインターフェイスにおいてHTTP/2が使用される。IETF RFC 7540に記載されるようにHTTP/2は、単一のコネクション上で複数のストリームのマルチプレクシング(multiplexing)、ヘッダ圧縮、および、サーバからクライアントへの未要求(unrequested)プッシュをサポートするバイナリプロトコルである。HTTP/2は、トランスポートプロトコルとして、IETF RFC 793に記載されているTCPを使用する。
【0111】
より具体的には、ユーザ位置は、3GPP TS 29.571に従って、EutraLocation、NRLocation、およびN3gaLocationとして定義されており、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=3347で利用可能である。例えば、それらの少なくとも1つは、ユーザ位置に存在している。場合によっては、以下の実施例に示されるように、それらのいくつかが存在することがある。
・EutraLocation=Tracking Area Identity (TAI)+ECGI(EUTRA Cell Identity)
・NRLocation=TAI+NR Cell Identity(NCGI)
・N3gaLocation-IPv4Addr,IPv6Addr,Uinteger
・TAI=PLMN Identity(PlmnId)+Tracking Area Code(TAC)
・ECGI=PlmnId+EUTRA Cell Identity(EutrCellId)
・NCGI=PlmnId+NR Cell Identity(NrCellId)
【0112】
いくつかの実施形態においては、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ユーザ位置情報が、以下の2つのオプションを使用して抽出され得る。第1オプションとして、セキュリティプラットフォームは、「SMコンテキスト要求の作成(“Create SM Context Request”)」サービス動作の最中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータタイプ“SmContextCreateData”(例えば、3GPP TS 29.502で定義されている)からユーザ位置情報を抽出する。「SMコンテキスト要求の作成」サービスオペレーション(例えば、3GPP TS 29.502で定義されている)は、所与のプロトコルデータユニット(PDU)セッションについて、SMFで、または、ホームルーテッド(HR)・ローミングシナリオのためのV-SMFで、個々のセッション管理(SM)コンテキストを作成するために、以下のプロシージャにおいて使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用した5Gシステム(5GS)アイドルモード・モビリティまたはハンドオーバへのエボルブドEPS、(3)N26インターフェイスを使用しないEPSの5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWF(Non-3GPP Interworking Function)へのハンドオーバ、および、(6)EPC/ePDG(evolved packet data gateway)から5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0113】
第2オプションとして、セキュリティプラットフォームは、作成サービス(Create service)動作の最中にNFサービスコンシューマからH-SMFへ送信されるHTTP/2 POST要求のペイロードにおけるデータタイプ“PDUSessionCreateData”(例えば、3GPP TS 29.502において定義されているもの)からユーザ位置情報を抽出する。作成サービス動作(例えば、3GPP TS 29.502において定義において定義されているもの)は、HRローミングシナリオのためにH-SMFにおける個々のPDUセッションを作成するために、以下のプロシージャで使用される。(1)UE要求PDUセッション確立、(2)N26インターフェイスを使用する5GSアイドルモード・モビリティまたはハンドオーバに対するEPS、(3)N26インターフェイスを使用しないEPS 5GSモビリティ、(4)所定のシナリオにおける3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ、(5)EPSから5GC-N3IWFへのハンドオーバ、および、(6)EPC/ePDGから5GSへのハンドオーバ、である。それぞれが、以下でさらに説明される。
【0114】
いくつかの実施形態においては、モバイルネットワークにおいてユーザ位置ごとにサービスベースのセキュリティを提供するためのシステム/プロセス/コンピュータプログラム製品は、モバイル加入者および加入者装置のためにセキュリティを提供することを含み、そして、5Gネットワークにおけるユーザ位置情報を抽出するためにHTTP/2メッセージを解析することによってセキュリティプラットフォームを使用して適用され得る、セキュリティポリシを使用して実行される。
【0115】
開示される技術を使用して提供され得る、モバイルネットワーク(例えば、コンバージド・モバイルネットワーク・オペレータ/サービスプロバイダ)のための新しく、かつ、強化されたセキュリティサービスの実施例は、以下の1つ以上を含む。(1)DNNベースのファイアウォールサービスのためにユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごとに適用され得るセキュリティポリシ、(2)ユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごと実行される既知の脅威に対する脅威検出サービス、(3)ユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごと実行される未知の脅威に対するDNNベースの高度な脅威検出サービス、(4)ユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごと実行される既知の脅威に対する基本的な脅威防止サービス、(5)ユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごと実行される未知の脅威に対する高度な脅威防止サービス、(6)ユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごと実行されるURLフィルタリングサービス、(7)ユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごと実行されるアプリケーションDoS検出サービス、および、8)DNNベースのアプリケーションDoS防止サービス、である。
【0116】
いくつかの実施形態において、ある実施形態に従った、モバイルネットワーク内のユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、新たなセッションを識別するために、セキュリティプラットフォームにおいてサービスプロバイダ・ネットワーク上のネットワークトラフィックをモニタリングすることを含み、ここで、サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含む。セキュリティプラットフォームにおいて、新たなセッションに関連するユーザトラフィックのためのユーザ位置情報を抽出すること、および、ネットワーク名情報に基づいて、セキュリティプラットフォームにおいて新たなセッションに適用するセキュリティポリシを決定すること、を含む。
【0117】
一つの実施形態において、セキュリティプラットフォームは、ユーザ位置情報を抽出するために、HTTP/2メッセージを解析する。
【0118】
一つの実施形態において、ユーザ位置情報は、EutraLocationによって識別される。そして、ここで、EutraLocationは、追跡領域識別子(Tracking Area Identity、TAI)およびECGI(EUTRA Cell Identity)を含んでいる。
【0119】
一つの実施形態において、ユーザ位置情報は、NRLocationによって識別される。そして、ここで、NRLocationは、追跡領域識別子(TAI)およびNRセル識別子(NCGI)を含んでいる。
【0120】
一つの実施形態において、セキュリティプラットフォームは、4G及び/又は5Gネットワークのためのモバイル・コア・ネットワーク内のコントロールプロトコルおよびユーザデータ・トラフィックのための複数のインターフェイスを含む、無線インターフェイスをモニタリングする。
【0121】
一つの実施形態において、セキュリティプラットフォームは、5G無線アクセス技術を使用してサービスプロバイダ・ネットワークに接続する加入者および加入者装置にユーザ位置情報ベースのセキュリティを提供し、かつ、5G無線アクセス技術から5G無線アクセス技術へハンドオーバするために、4G及び/又は5Gネットワークに対するモバイル・コア・ネットワーク内のコントロールプロトコルおよびユーザデータ・トラフィックについて複数のインターフェイスを含む無線インターフェイスをモニタリングする。
【0122】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ユーザ位置情報を使用して、ファイアウォールサービスを提供することを含む。
【0123】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ユーザ位置情報を使用して、既知の脅威に対する脅威検出を提供することを含む。
【0124】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ユーザ位置情報を使用して、未知の脅威に対する高度な脅威検出を提供することを含む。
【0125】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ユーザ位置情報を使用して、ユニフォームリソースリンク(URL)フィルタリングを提供することを含む。
【0126】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ユーザ位置情報を使用して、アプリケーションサービス拒否(DoS)検出を提供することを含む。
【0127】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、ユーザ位置情報を使用して、アプリケーションサービス拒否(DoS)防止を提供することを含む。
【0128】
一つの実施形態において、いくつかの実施形態に従った、モバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのシステム/プロセス/コンピュータプログラム製品は、さらに、セキュリティポリシに基づいて、新たなセッションがリソースにアクセスするのをブロックすることを含む。
【0129】
モバイルネットワークにおけるユーザ位置ごとにサービスベースのセキュリティを提供するための、これら及び他の実施形態および実施例が、以下でさらに説明される。
【0130】
サービスプロバイダに対する5Gネットワークについて強化セキュリティを実装するための例示的なシステムアーキテクチャ
【0131】
一般的に、5Gは移動通信システムの第5世代である。第3世代パートナーシップ・プロジェクト(3GPP)(例えば、3GPPは、例えば、7つの電気通信標準開発機関(ARIB、ATIS、CCSA、ETSI、TSDSI、TTA、TTCを含んでいる。プロジェクトは、無線アクセス、コアトランスポートネットワーク、および、サービス能力を含む、セルラー通信ネットワーク技術をカバーする。仕様(specification)は、また、コア・ネットワークへの非無線アクセスのため、および、Wi-Fiネットワークとの連携のためのフック(hooks)も提供する。)、および、ITU、IETF、およびETSIを含む他の組織が5G規格を開発している。新たな5Gネットワーク標準の改良のいくつかは、例えば、低遅延(例えば、概ね10ミリ秒(MS)未満)、高スループット(例えば、マルチGbps)、配信、ネットワーク機能仮想化インフラストラクチャ、並びに、オーケストレーション、分析、および自動化を含む。
【0132】
5Gアーキテクチャは、3GPP TS 23.501 v15.3.0に定義されており、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx-specificationId=3144でサービスベースとして利用可能である。そして、ネットワーク機能(NF)間の相互作用は、次の2つの方法で表現される。(1)サービスベースの表現であり、ここでは、コントロールプレーン(CP)内のNFは、他の認可されたネットワーク機能がそれらのサービスにアクセスすることを可能にする。および、(2)基準点(reference point)表現であり、任意の2つのネットワーク機能間のポイント・ツー・ポイント基準点によって定義されるNFのペア間の相互作用に焦点を当てている。
【0133】
5Gアーキテクチャにおいて、アクセスネットワークと、N3インターフェイス上のバックボーンネットワークにわたるコアとの間のユーザプレーン・プロトコル(User Plane Protocol)スタックは、GPRSトンネルプロトコル・ユーザプレーン(GTP-U)に基づいている。5GシステムアーキテクチャにおけるコントロールプレーンNFは、サービスベースアーキテクチャに基づくものである。HTTP/2は、サービスベースのインターフェイス上で使用されるプロトコルである。新たな5Gアクセスネットワークプロトコルは、ストリームコントロール伝送プロトコル(SCTP)に基づいている。
【0134】
従って、いくつかの実施形態において、開示される技術は、以下でさらに説明されるように、例えば、GTP-Uトンネルセッション、および、モニタリングされるGTP-Uトンネルセッションと新たなHTTP/2ベースのTCPセッションとの間の相関を促進する新たなHTTP/2ベースのTCPセッションに係るDPI能力(例えば、ステートフルインスペクションを含む)を提供するように構成されたセキュリティプラットフォーム(例えば、Palo Alto Networks社から入手可能なNGFW上で実行されるPANOS、または、別のセキュリティプラットフォーム/NFGW)を提供することを含む。
【0135】
いくつかの実施態様において、セキュリティプラットフォーム(例えば、Palo Alto Networks社から入手可能なNGFW上で実行されるPANOS、または、別のセキュリティプラットフォーム/NFGW)は、以下のDPI機能を提供するように構成されている。N3 GTP-Uトンネルのステートフルインスペクション、N3 GTP-Uトンネルのコンテンツインスペクション(例えば、N3 GTP-Uトンネルの内部IPセッションのコンテンツをインスペクションする)、5Gセルラー技術をサポートする5Gシステムのためのプロシージャに対する3GPP技術仕様(TS)29.274 V15.3.0リリース15(および、例えば、後のリリース)のサポート、および、GTP-Uプロトコルに対する3GPP技術仕様(TS)29.281 V15.4.0リリース14(および、例えば、後のリリース)のサポート。
【0136】
図1Aは、いくつかの実施形態に従った、モバイルネットワークに5Gマルチアクセスセキュリティを提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。図1Aは、マルチアクセス5Gネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境の一つの例であり、以下でさらに説明されるように、5Gマルチアクセスセキュリティを提供するために、コントロールプレーン/シグナリングネットワーク(例えば、セキュリティプラットフォームそれぞれは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の装置/コンポーネントを使用して実装され得る)におけるセキュリティプラットフォーム102aおよびセキュリティプラットフォーム102bを含んでいる。示されるように、5Gネットワークは、また、104で示されるような固定/有線アクセス、106で示されるようなWi-Fiアクセスといった非3GPPアクセス、108で示されるような5G無線アクセスネットワーク(RAN)、110で示されるような4G RANアクセス、及び/又は、加入者のためのデータ通信を促進するための他のネットワーク(図1Aには示さない)(例えば、スマートフォン、ラップトップ、コンピュータ(固定された場所にあってよい)、及び/又は、CIoTデバイスといった、他のセルラーイネーブルド・コンピューティングデバイス/装置、または、他のネットワーク通信イネーブルド装置)も含む。ネットワークは、ローカルデータネットワーク(例えば、エンタープライズネットワーク)112およびデータネットワーク(例えば、インターネット)120を介して、種々のアプリケーション、ウェブサービス、コンテンツホスト、等、及び/又は、他のネットワークにアクセスするものを含んでいる。図1Aに示されるように、5Gネットワークアクセス機構104、106、108、および110それぞれは、セキュリティプラットフォーム102aを通過する、5Gユーザプレーン機能114aと通信し、そして、5Gユーザプレーン機能114aは第5Gユーザプレーン機能114bと通信する。示されるように、4G RAN 110および5G RAN 108は、5Gユーザプレーン機能114bと通信する、5G・コアコントロール/シグナリング機能118と通信する。
【0137】
図1Aを参照すると、ネットワークトラフィック通信は、セキュリティプラットフォーム102aおよび102bを使用してモニタリングされている。例えば、セキュリティプラットフォーム102aは、以下でさらに説明されるように、モニタリングされたGTP-Uトンネルセッションと新たなHTTP/2ベースのTCPセッションとの間の相関を提供するためといった、開示される技術を促進するために、セキュリティプラットフォーム102bと通信することもできる。示されるように、ネットワークトラフィック通信は、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102aおよび102b(例えば、(仮想)装置/アプライアンスであり、それぞれが、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別の装置/コンポーネントを含むもの)を使用して、5Gネットワーク内でモニタリング/フィルタリングされている。加えて、セキュリティプラットフォーム102a及び/又は102bは、また、インターネットなどを介して、クラウドセキュリティサービス122(例えば、市販されているクラウドベースのセキュリティサービスであり、Palo Alto Networks社によって提供される市販のクラウドベースのセキュリティサービスである、WildFirTMクラウドベースのマルウェア分析環境といったものであって、マルウェアサンプルの自動セキュリティ分析、並びに、セキュリティエキスパート分析、もしくは、別のベンダーによって提供される同様のソリューションを含むもの、が利用され得る)とネットワーク通信することもできる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、及び/又は、他のマルウェアに対するダイナミック予防シグネチャをセキュリティプラットフォームに提供するために、並びに、さらなるセキュリティ分析のためにマルウェアのサンプルを受信するために利用することができる。ここで明らかなように、ネットワークトラフィック通信は、5Gマルチアクセスセキュリティを促進するために、5Gネットワーク内の様々な場所におけるネットワークトラフィック通信のための1つ以上のセキュリティプラットフォームを使用して、モニタリング/フィルタリングされ得る。
【0138】
図1Bは、いくつかの実施形態に従った、モバイルネットワークにおいて5Gマルチエッジセキュリティを提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。
図1Bは、マルチエッジ5Gネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境の一つの例であり、5Gユーザプレーン機能114a-114cおよびローカルデータネットワーク112a-112bへの通信をモニタリングするために、102a、102b、102c、および102dに示されるような5Gネットワークのエッジ上の様々な位置にセキュリティプラットフォームを含んでいる。並びに、以下でさらに説明されるように、5Gマルチエッジセキュリティを提供するために、コア・ネットワーク116(例えば、セキュリティプラットフォームそれぞれは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の装置/コンポーネントを使用して実装され得る)における5G・コアコントロール/シグナリング機能118への通信をモニタリングするためのセキュリティプラットフォーム102eを含んでいる。
【0139】
図1Bを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102a-102eを使用してモニタリングされている。例えば、セキュリティプラットフォーム102aおよび102bは、また、以下でさらに説明されるように、モニタリングされるGTP-Uトンネルセッションと新たなHTTP/2ベースのTCPセッションとの間の相関を提供するためといった、開示される技術を促進するために、セキュリティプラットフォーム102eと通信することもできる。示されるように、ネットワークトラフィック通信は、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102a-10e(例えば、(仮想)装置/アプライアンスであり、それぞれが、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別の装置/コンポーネントを含むもの)を使用して、5Gネットワークにおいてモニタリング/フィルタリングされる。同様に、図1Aに関して上述したように、セキュリティプラットフォーム102a-102eのうち1つ以上は、また、インターネットなどを介して、クラウドセキュリティサービス122(図1Bに示されていない)(例えば、市販されているクラウドベースのセキュリティサービスであり、Palo Alto Networks社によって提供される市販のクラウドベースのセキュリティサービスである、WildFireTMクラウドベースのマルウェア分析環境といったものであって、マルウェアサンプルの自動セキュリティ分析、並びに、セキュリティエキスパート分析、もしくは、別のベンダーによって提供される同様のソリューションを含むもの、が利用され得る)とネットワーク通信することもできる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、及び/又は、他のマルウェアに対するダイナミック予防シグネチャをセキュリティプラットフォームに提供するために、並びに、さらなるセキュリティ分析のためにマルウェアのサンプルを受信するために利用することができる。ここで明らかなように、ネットワークトラフィック通信は、5Gマルチエッジセキュリティを促進するために、5Gネットワーク内の様々な場所におけるネットワークトラフィック通信のための1つ以上のセキュリティプラットフォームを使用して、モニタリング/フィルタリングされ得る。
【0140】
図1Cは、いくつかの実施形態に従った、モバイルネットワークにおいて5Gローミングセキュリティ-ホームルーテッド・シナリオ(home routed scenario)を提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。図1Cは、5Gユーザプレーン機能114-bおよびローミング/ピアリング(Peering)・ネットワーク124への通信をモニタリングするためのセキュリティプラットフォームを含んでいる。並びに、以下でさらに説明されるように、5Gローミングセキュリティを提供するために、5G・コアコントロール/シグナリング機能118(セキュリティプラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の装置/コンポーネントを使用して実装され得る)への通信をモニタリングするためのセキュリティプラットフォームを含む。
【0141】
図1Cを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102aを使用してモニタリングされている。具体的に、このローミングセキュリティ-ホームルーテッド・シナリオでは、単一のファイアウォールが、コントロールプレーン(HTTP/2)トラフィックおよびユーザプレーン(GTP-U)トラフィックの両方をモニタリングする(例えば、N32インターフェイスはコントロールプレーントラフィックを搬送し、N9インターフェイスは図1Cに示されるようにGTP-Uトラフィックを搬送する)。例えば、セキュリティプラットフォーム102aは、以下でさらに説明されるように、モニタリングされたGTP-Uトンネルセッションと、新たなHTTP/2ベースのTCPセッションとの間の相関を提供するためといった、開示される技術を促進することができる。示されるように、ネットワークトラフィック通信は、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102a(例えば、(仮想)装置/アプライアンスであり、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別の装置/コンポーネントを含むもの)を使用して、5Gネットワークにおいてモニタリング/フィルタリングされる。図1Aに関して同様に上記したように、セキュリティプラットフォーム102aは、また、インターネットなどを介して、クラウドセキュリティサービス122(図1Cには示されていない)(例えば、市販されているクラウドベースのセキュリティサービスであり、Palo Alto Networks社によって提供される市販のクラウドベースのセキュリティサービスである、WildFireTMクラウドベースのマルウェア分析環境といったものであって、マルウェアサンプルの自動セキュリティ分析、並びに、セキュリティエキスパート分析、もしくは、別のベンダーによって提供される同様のソリューションを含むもの、が利用され得る)とネットワーク通信することもできる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、及び/又は、他のマルウェアに対するダイナミック予防シグネチャをセキュリティプラットフォームに提供するために、並びに、さらなるセキュリティ分析のためにマルウェアのサンプルを受信するために利用することができる。ここで明らかなように、ネットワークトラフィック通信は、5Gローミングセキュリティを促進するために、5Gネットワーク内の様々な場所におけるネットワークトラフィック通信のための1つ以上のセキュリティプラットフォームを使用して、モニタリング/フィルタリングされ得る。
【0142】
図1Dは、いくつかの実施形態に従った、モバイルネットワークにおける5Gローミングセキュリティ-ローカルブレイクアウト(breakout)シナリオを提供するためのセキュリティプラットフォームを有する5G無線ネットワークのブロック図である。図1Dは、5Gネットワークのエッジ上の様々な位置にセキュリティプラットフォームを含む、ローミング5Gネットワークアーキテクチャのためのサービスプロバイダ・ネットワーク環境の一つの例であり、5Gユーザプレーン機能114a-114b、およびローカルデータネットワーク112、およびローミング/ピアリングネットワーク124への通信をモニタリングするためのセキュリティプラットフォーム102aを含んでいる。並びに、以下でさらに説明されるように、5Gローミングセキュリティを提供するために、5G・コアコントロール/シグナリング機能118(セキュリティプラットフォームそれぞれは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の装置/コンポーネントを使用して実装され得る)への通信をモニタリングするためのセキュリティプラットフォーム102bを含む。
【0143】
図1Dを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102aおよび102bを使用してモニタリングされている。具体的に、このローミングセキュリティ-ローカルブレイクアウトシナリオでは、N32インターフェイスはコントロールプレーントラフィックを搬送し、そして、N3インターフェイスは、5G RANと、GTP-Uトラフィックを搬送しているユーザプレーンとの間のインターフェイスである。例えば、セキュリティプラットフォーム102aは、また、以下でさらに説明されるように、モニタリングされたGTP-Uトンネルセッションと、新たなHTTP/2ベースのTCPセッションとの間の相関を提供するためといった、開示される技術を促進するために、セキュリティプラットフォーム102bと通信することもできる。示されるように、ネットワークトラフィック通信は、以下でさらに説明されるように、開示されるセキュリティ技術を実行するように構成されたセキュリティプラットフォーム102aおよび102b(例えば、(仮想)装置/アプライアンスであり、ファイアウォール(FW)、ファイアウォールに代わって動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実行することができる別の装置/コンポーネントをそれぞれが含むもの)を使用して、5Gネットワークにおいてモニタリング/フィルタリングされる。図1Aに関して同様に上記したように、1つ以上のセキュリティプラットフォーム102aおよび102bは、また、インターネットなどを介して、クラウドセキュリティサービス122(図1Dには示されていない)(例えば、市販されているクラウドベースのセキュリティサービスであり、Palo Alto Networks社によって提供される市販のクラウドベースのセキュリティサービスである、WildFireTMクラウドベースのマルウェア分析環境といったものであって、マルウェアサンプルの自動セキュリティ分析、並びに、セキュリティエキスパート分析、もしくは、別のベンダーによって提供される同様のソリューションを含むもの、が利用され得る)とネットワーク通信することもできる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、及び/又は、他のマルウェアに対するダイナミック予防シグネチャをセキュリティプラットフォームに提供するために、並びに、さらなるセキュリティ分析のためにマルウェアのサンプルを受信するために利用することができる。ここで明らかなように、ネットワークトラフィック通信は、5Gローミングセキュリティを促進するために、5Gネットワーク内の様々な場所におけるネットワークトラフィック通信のための1つ以上のセキュリティプラットフォームを使用して、モニタリング/フィルタリングされ得る。
【0144】
従って、これら及び様々な他の例のネットワークアーキテクチャは、5Gモバイルネットワーク環境のために開示されるセキュリティ技術を利用することができる。そこでは、以下でさらに説明されるように、シグナリングおよびDPI情報に基づいてサービスプロバイダに対して5Gモバイルネットワークのための新しく、かつ、強化された5G関連セキュリティ技術を提供するように、トラフィックのモニタリングおよびフィルタリングを実行するために1つ以上のセキュリティプラットフォームが提供され得る。開示される実施形態に照らして当業者にとっては明らかなように、1つ以上のセキュリティプラットフォームが、同様に、これらのネットワークアーキテクチャ内の他の様々な場所において(例えば、図1A-1Dに示されるような、セキュリティプラットフォームによって示されるといった、インライン、パススルーNGFW、及び/又は、エージェントまたは仮想マシン(VM)インスタンスとして実装されるものであり、5Gユーザプレーン機能内、及び/又は、図1A-1Dに示されるような5Gコアコントロール/シグナリング機能内のエンティティといった、サービスプロバイダのネットワークにおける既存のデバイス上で実行され得るもの)、および、以下でさらに説明されるように、開示されるセキュリティ技術を実行するための種々の無線ネットワーク環境において、提供され得る。
【0145】
5Gネットワークにおけるネットワークスライスベースのセキュリティ
【0146】
ネットワークスライスは、公衆陸上モバイル通信網(Public Land Mobile Network、PLMN)内のロジカルネットワークであり、無線アクセスネットワーク(RAN)機能、コア・ネットワークコントロールプレーン、および、ユーザプレーン機能を含む、完全なネットワークの機能性を提供することができる。1つのネットワークは、1つ又は数個のネットワークスライスをサポートすることができる。一般的に、ネットワークスライシングにより、オペレータ(例えば、5Gネットワークのサービスプロバイダ)は、カスタマイズされたネットワークを提供することができる。例えば、機能性における異なる要件(例えば、優先度(priority)、課金(charging)、ポリシーコントロール、セキュリティ、および、モビリティ)、パフォーマンス要件の違い(例えば、レイテンシー(latency)、モビリティ、可用性、信頼性、および、データレート)が存在し得る。もしくは、それらは、特定のユーザ(例えば、MPSユーザ、公共安全ユーザ、法人カスタマ(corporate customer)、ローマー(roamers)、または、モバイルバーチャル・ネットワーク・オペレータ(MVNO)のホスティング)だけにサービスを提供し得る。
【0147】
ネットワークスライスは、S-NSSAI(Single Network Slice Selection Assistanc Information)によって識別される。一つの例示的な5G標準実装において、S-NSSAIは、スライス/サービスタイプ(Slice/Service)・タイプ(SST)、8ビットとスライス・ディファレンシエータ(Slice Differentiator、SD)、および、オプション情報、24ビットを含んでいる。ここにおいてさらに説明されるように、ネットワークスライス情報は、いくつかの実施形態に従って、5Gネットワークにおいてセキュリティを適用するためにモニタリングされ、そして、抽出され得る。
【0148】
いくつかの実施形態において、ネットワークスライスベースのセキュリティは、ネットワークスライス情報を抽出するためにHTTP/2メッセージを解析することによって、5Gモバイルネットワーク内に配置されたセキュリティプラットフォームを使用して実行される。一つの実施例において、HTTP/2は、3GPP TS 29.500 V15.1.0で指定されたようにサービスベースのインターフェイスにおいて使用される。5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報は、以下のように、2つのサービス動作コントロールメッセージから抽出され得る。
【0149】
(1)Nsmf_PDUSession_CreateSMContext要求(Request):3GPP TS 29.502 V 15.3.0で定義されているようにCreate SM Context service動作において使用され、SMFにおいて、または、HRローミングシナリオのためのV-SMFにおいて、所与のPDUセッションについて、個々のSMコンテキストを作成する。
【0150】
(2)Nsmf_PDUSession_Create要求(Request):3GPP TS 29.502 V 15.3.0で定義されているようにCreate service動作において使用され、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを作成する。
【0151】
具体的に、Nsmf_PDUSession_CreateSMContext要求は、以下のプロシージャにおいて使用される。
【0152】
(1)3GPP TS 23.502 V15.3.0のサブセクション4.3.2に定義されている、ローカルブレイクアウトケースを伴う、非ローミングおよびローミングにおけるUE要求PDUセッション確立プロシージャ。Nsmf_PDUSession_CreateSMContext要求が、図2Aに関して以下でさらに説明されるように、AMFからSMFへ送信される。
【0153】
図2Aは、いくつかの実施形態に従った、5Gネットワークにおけるローカルブレイクアウトを伴う非ローミングおよびローミングのためのUE要求PDUセッション確立に係る一つの例示的なフローである。図2Aを参照すると、AMF206からSMF210へ送信される第1メッセージは、202で示されるようにNsmf_PDUSession_CreateSMContext要求メッセージである。Nsmf_PDUSession_CreateSMContext要求メッセージは、3GPP TS 29.502 V 15.3.0で定義されているように、Create SM Context service動作において使用され、特定のPDUセッションについて、SMFにおいて、または、HRローミングシナリオについてV-SMFにおいて、個々のSMコンテキストを作成する。応答において、Nsmf_PDUSession_CreateSMContext応答メッセージが、204で示されるように、SMF210からAMF206へ送信される。
【0154】
図2Bは、いくつかの実施形態に従った、5Gネットワークにおけるローカルブレイクアウトを伴う非ローミングおよびローミングのためのUE要求PDUセッション確立および修正/更新に係る一つの例示的なフローである。図2Bを参照すると、Nsmf_PDUSession_UpdateSMContext要求メッセージが、212で示されるように、AMF206からSMF210へ送信される。応答においては、Nsmf_PDUSession_UpdateSMContext応答メッセージが、214で示されるように、SMF210からAMF206へ送信される。
【0155】
図2Cは、いくつかの実施形態に従った、5GネットワークにおけるN26インターフェイスを使用した、5GSアイドルモード・モビリティ(mobility)またはハンドオーバへのEPSに係る一つの例示的なフローである。例えば、N26インターフェイスケースを使用したEPSから5GSアイドルモード・モビリティまたはハンドオーバが、3GPP TS 23.502 V15.2.0のサブセクション4.11において定義されている。Nsmf_PDUSession_Create要求が、V-SMFからH-SMFへ送信される。Nsmf_PDUSession_CreateSMContext要求が、AMFからSMF + PGW-Cへ送信される。Nsmf_PDUSession_CreateSMContext要求が、ホームルーテッド・シナリオの場合、AMFからV-SMFへ送信される。図2Cを参照すると、MME220からSMF + PGW-C222へ送信される第1メッセージが、224に示されるように、Nsmf_PDUSession_CreateSMContext要求メッセージである。応答として、Nsmf_PDUSession_CreateSMContext応答メッセージが、226に示されるように、SMF + PGW-C222からMME220へ送信される。
【0156】
図2Dは、いくつかの実施形態に従った、5Gネットワーク内のN26インターフェイスを使用しない、EPSから5GSへのモビリティプロシージャに係る一つの例示的なフローである。例えば、3GPP TS 23.502 V15.2.0のサブセクション4.11.2.3において、N26インターフェイスなしのEPSから5GSモビリティへのEPSが定義されている。Nsmf_PDUSession_Create要求が、V-SMFからH-SMFへ送信される。Nsmf_PDUSession_CreateSMContext要求が、New AMF230からSMF + PGW-C232へ送信される。図2Dを参照すると、Nsmf_PDUSession_CreateSMContext要求メッセージが、234に示されるように、UE要求PDUセッション確立プロシージャの最中に交換される。
【0157】
図2Eは、いくつかの実施形態に従った、5Gネットワークにおける、3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバに係る一つの例示的なフローであり、ここで、ターゲットAMFは、ソースAMFによって使用されるSMコンテキストのSMFリソース識別子(identifier)を知らない。一つの例は、3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバであり、そこでは、例えば、3GPP TS 23.502 V15.2.0のサブセクション4.9.2.3.2に定義されているように、ターゲットAMFがN3IWFのPLMNに存在しない、といった場合に、ターゲットAMFは、5GネットワークでソースAMFによって使用されるSMコンテキストのSMFリソース識別子を知らない。Nsmf_PDUSession_CreateSMContext要求が、AMF236からV-SMF238へ送信される。図2Eを参照すると、Nsmf_PDUSession_CreateSMContext要求メッセージが、240に示されるように、UE要求UEセッション確立プロシージャの最中に交換される。
【0158】
図2Fは、いくつかの実施形態に従った、5Gネットワークにおける、HPLMN(ホームルーテッド・ローミング)におけるN3IWFを伴う3GPPアクセスから信頼できない(untrusted)非3GPPアクセスへのPDUセッションのハンドオーバに係る一つの例示的なフローである。例えば、この実施例は、3GPP TS 23.502のサブセクション4.9.2.4.2に定義されているように、UEがローミングしており、かつ、選択されたN3IWFがHPLMN内にある場合のユースケースシナリオを扱う。Nsmf_PDUSession_Create要求が、V-SMFからH-SMFへ送信される。Nsmf_PDUSession_CreateSMContext要求が、AMF242からH-SMF244へ送信される。図2Fを参照すると、Nsmf_PDUSession_CreateSMContext要求メッセージが、246に示されるように、PDUセッション確立プロシージャの最中に交換される。
【0159】
図2Gは、いくつかの実施形態に従った、5Gネットワークにおける5GC-N3IWFへのEPSのハンドオーバに係る一つの例示的なフローである。例えば、この実施例は、3GPP TS 23.502のサブセクション4.11.3.1で定義されているように、5GC-N3IWFへのEPSのハンドオーバのユースケースシナリオを扱う。Nsmf_PDUSession_CreateSMContext要求が、AMF248からPGW+SMF/UPF250へ送信される。図2Gを参照すると、Nsmf_PDUSession_CreateSMContext要求メッセージが、252に示されるように、PDUセッション確立プロシージャの最中に交換される。
【0160】
図2Hは、いくつかの実施形態に従った、5Gネットワークにおける5GSへのEPC/ePDGのハンドオーバに係る一つの例示的なフローである。例えば、この実施例では、3GPP TS 23.502のサブセクション4.11.4.1で定義されているように、EPC/ePDGから5GSへのハンドオーバのユースケースシナリオを扱う。Nsmf_PDUSession_CreateSMContext要求が、AMF254からPGW+SMF/UPFへ送信される。図2Hを参照すると、Nsmf_PDUSession_CreateSMContext要求メッセージが、258に示されるように、PDUセッション確立プロシージャの最中に交換される。
【0161】
図2Iは、いくつかの実施形態に従った、5Gネットワークにおけるホームルーテッド・ローミングシナリオのためのUE要求(UE-requested)PDUセッション確立に係る一つの例示的なフローである。例えば、この実施例は、3GPP TS 23.502のサブセクション4.3.2.2.2で定義されているように、UE要求PDUセッション確立のユースケースシナリオを扱う。Nsmf_PDUSession_Create要求が、V-SMF260からH-SMF262へ送信される。図2Iを参照すると、Nsmf_PDUSession_Create要求メッセージが、264に示されるように、PDUセッション確立プロシージャの最中に交換される。
【0162】
図2Jは、いくつかの実施形態に従った、5Gネットワークにおけるホームルーテッド・ローミングシナリオのためのUE要求PDUセッション確立および修正/更新に係る一つの例示的なフローである。図2Jを参照すると、Nsmf_PDUSession_UpdateSMContext要求メッセージが、AMF266とH-SMF268との間で、270で示されるように、図2Jに示される、PDUセッション確立プロシージャの最中に交換される。
【0163】
一つの実施形態において、セキュリティプラットフォームは、図2A-2Jに関して上述したようなこれらのメッセージをモニタリングし、ここにおいて記載されるような、セキュリティポリシに基づくこれらのメッセージの中に含まれている、ネットワークスライス関連情報及び/又は他のパラメータ/情報を抽出する(例えば、5Gコア・ネットワーク内の様々なエンティティ間に配置さているパススルー・ファイアウォール/NGFWを使用して、または、5Gコア・ネットワーク内の様々なエンティティ上で実行されるVMインスタンスまたはエージェントとして実装されるファイアウォール/NGFWを使用して、Nsmf_PDUSession_CreateSMコンテキスト要求及び/又は他のメッセージをモニタリングする)。例えば、セキュリティプラットフォームは、これらのメッセージをモニタリングし、そして、Nsmf_PDUSession_CreateSMContext要求メッセージ及び/又は他のメッセージを抽出して、以下でさらに説明されるような、ネットワークスライス情報(例えば、S-NSSAIであり、スライス/サービスタイプ・タイプ(SST)、8ビットとスライス・ディファレンシエータ、および、オプション情報、24ビットを含む)を獲得する。
【0164】
一つの実施形態において、開示される技術は、HTTP/2トラフィックといった、サービスプロバイダ・ネットワークにおけるシグナリング/コントロールトラフィックのインスペクション、および、GTP-Uトラフィックといった、サービスプロバイダ・ネットワークにおけるトンネル化されたユーザトラフィック(例えば、RANとUPFとの間のN3 GTP-Uトンネル、または、UPF間でのN9 GTP-Uトンネルを含む)のインスペクションを実行する(例えば、APP ID、ユーザID、コンテンツIDを識別し、URLフィルタリング、及び/又は、セキュリティ/脅威検出/防止のための他のファイアウォール/セキュリティポリシを実行するために、DPIを実行することができるNGFWを使用して実装されるといった、セキュリティプラットフォームを使用している)。一つの実施形態において、開示される技術は、HTTP/2トラフィックといった、サービスプロバイダ・ネットワークにおいてシグナリング/コントロールトラフィックのインスペクションを実行して、HTTP/2トラフィックにおいて交換された情報(例えば、ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報といった、パラメータであり、以下でさらに説明されるようなもの)を抽出する。一つの実施形態において、開示される技術は、HTTP/2トラフィックといった、サービスプロバイダ・ネットワークにおいてシグナリング/コントロールトラフィックのインスペクションを実行して、HTTP/2トラフィックにおいて交換された情報(例えば、上述され、かつ、以下でさらに説明されるパラメータ)を抽出すると共に、サービスプロバイダ・ネットワークにおけるトンネル化されたユーザトラフィックを(例えば、上述され、かつ、以下でさらに説明されるように、DPIを使用して)モニタリングし、以下でさらに説明されるように、この抽出された情報に基づく、かつ/あるいは、DPIと組み合わせた、セキュリティポリシの適用に使用する。
【0165】
ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、かつ/あるいは、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPI及び/又はNGFW技術と組み合わせて)、サービスプロバイダに対して5Gネットワークにおける強化されたセキュリティを提供するためのこれらおよび他の技術が、以下でさらに説明される。
【0166】
5Gネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティ
【0167】
データネットワーク名ごとのサービスベースのセキュリティのための実装方法も、また、いくつかの実施形態に従って開示される。5Gネットワークにおいて、データネットワーク名(DNN)は、TS 23.003 V15.3.0で定義されているように、一般的にアクセスポイント名(APN)と同等である(例えば、APNはPGW/GGSNへの参照であり、そして、インターネットといった、別のネットワークへのアクセスの形態を識別し、そして、(1)APNネットワーク識別子(必須)、および、(2)APNオペレータ識別子(任意)の2つの部分から構成されている)。両方の識別子は等価な意味を有しており、そして、同じ情報を搬送する。DNNは、例えば、(1)PDUセッションのためのSMFおよびUPFを選択、(2)PDUセッションのためのデータネットワークへのインターフェイス(N6)を選択、かつ/あるいは、(3)このPDUセッションに適用するポリシを決定する、ために使用され得る。
【0168】
いくつかの実施形態において、データネットワーク名(DNN)ごとのサービスベースのセキュリティは、DNN情報を抽出するためにHTTP/2メッセージを解析することによって、5Gネットワークにおけるセキュリティプラットフォームを使用して適用される。
【0169】
同様に、上述のように、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報が、2つのサービス動作コントロールメッセージから抽出され得る。(1)Nsmf_PDUSession_CreateSMContext要求、および、(2)Nsmf_PDUSession_Create要求、である。
【0170】
ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、かつ/あるいは、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPI及び/又はNGFW技術と組み合わせて)、サービスプロバイダに対して5Gネットワークにおける強化されたセキュリティを提供するためのこれらおよび他の技術が、以下でさらに説明される。
【0171】
5Gネットワークにおける加入者永久識別子(Subscription Permanent Identifier)ごとのサービスベースのセキュリティ
【0172】
いくつかの実施形態に従って、加入者永久識別子ごとのサービスベースのセキュリティのための技術も、また、開示される。5Gネットワークにおいて、加入者永久識別子(SUPI)は、5Gシステム内の各加入者(subscriber)に対して割り当てられた世界的に一意の5Gサブスクリプション識別子である。それは、3GPPシステム内だけにあり、かつ、3GPP TS 23.501 V15.3.0のサブセクション5.9.2で定義されている。
【0173】
例えば、SUPIは、以下を含み得る。(1)3GPP TS 23.003 V15.3.0で定義されているような、IMSI(例えば、IMSIは、GSM/UMTS/EPSシステムにおける各モバイル加入者に対して割り当てられた一意の15桁の数字)、および、(2)3GPP TS 23.003 V15.3.0で定義されているような、プライベートネットワークについて使用される、ネットワーク固有識別子(例えば、NAIは、ネットワークアクセス認証の最中にクライアントによって提出されたユーザID(identity)である。ローミングにおいて、NAIの目的は、ユーザを識別すると共に、認証要求のルーティングを支援することである。)である。
【0174】
いくつかの実施形態において、加入者永久識別子(SUPI)ごとのサービスベースのセキュリティは、SUPI情報を抽出するために、HTTP/2メッセージを解析することによって、5Gネットワークにおけるセキュリティプラットフォームを使用して適用される。
【0175】
同様に、上述のように、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報が、2つのサービス動作コントロールメッセージから抽出され得る。(1)Nsmf_PDUSession_CreateSMContext要求、および、(2)Nsmf_PDUSession_Create要求、である。
【0176】
ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、かつ/あるいは、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPI及び/又はNGFW技術と組み合わせて)、サービスプロバイダに対して5Gネットワークにおける強化されたセキュリティを提供するためのこれらおよび他の技術が、以下でさらに説明される。
【0177】
5Gネットワークにおける永久装置識別子(Permanent Equipment Identifier)ごとのサービスベースのセキュリティ
【0178】
いくつかの実施形態に従って、永久装置識別子ごとのサービスベースのセキュリティのための技術も、また、開示される。5Gネットワークでは、5Gシステムにアクセスする3GPP UEのために永久装置識別子(PEI)が定義されている。PEIは、異なるUEタイプおよびユースケースについて異なるフォーマットを想定し得る。
【0179】
例えば、UEが少なくとも1つの3GPPアクセス技術をサポートする場合、UEは、IMEIフォーマットでPEIを割り当てられなければならない(例えば、IMEIは、各移動局装置に対して割り当てられた一意の15桁または16桁の数字である)。最新のリリース基準によると、TS 23.003 V15.3.0で定義されているように、PEIパラメータについてサポートされているフォーマットはIMEIおよびIMEISだけである。
【0180】
いくつかの実施形態において、永久装置識別子(PEI)ごとのサービスベースのセキュリティは、PEI情報を抽出するために、HTTP/2メッセージを解析することによって、5Gネットワークのセキュリティプラットフォームを使用して適用されている。
【0181】
同様に、上述のように、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、PEI情報は、2つのサービス動作コントロールメッセージから抽出することができる。(1)Nsmf_PDUSession_CreateSMContext要求、および、(2)Nsmf_PDUSession_Create要求、である。
【0182】
ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、かつ/あるいは、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPI及び/又はNGFW技術と組み合わせて)、サービスプロバイダに対して5Gネットワークにおける強化されたセキュリティを提供するためのこれらおよび他の技術が、以下でさらに説明される。
【0183】
5Gネットワークにおける一般公開加入者識別子(General Public Subscription Identifier)ごとのサービスベースのセキュリティ
【0184】
いくつかの実施形態に従って、一般公開加入者識別子ごとのサービスベースのセキュリティのための実装方法も、また、開示される。一般的に、一般公開加入者識別子(GPSI)は、3GPPシステムの内側および外側の両方において使用される公開識別子(public identifier)である。
【0185】
例えば、GPSIは、3GPPシステムの外側の異なるデータネットワークにおいて3GPPサブスクリプションをアドレス指定(addressing)するために使用される。具体的に、GPSIは、3GPP TS 23.003 V15.3.0に規定されているように、MSISDN(例えば、MS国際ISDN番号は、移動局が登録されている国の国別コード(Country Code、CC)を含む、ITU-T勧告E.164ナンバリング(numbering)計画から割り当てられており、国別宛先コード(NDC)および加入者番号(SN)を含む国別(重要)移動番号が後に続く)、または、外部識別子のいずれかである。
【0186】
いくつかの実施形態において、一般公開加入者識別子(GPSI)ごとのサービスベースのセキュリティは、GPSI情報を抽出するためにHTTP/2メッセージを解析することによって、5Gネットワークのセキュリティプラットフォームを使用して適用される。
【0187】
同様に、上述のように、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、GPSI情報が、2つのサービス動作コントロールメッセージから抽出され得る。(1)Nsmf_PDUSession_CreateSMContext要求、および、(2)Nsmf_PDUSession_Create要求、である。
【0188】
ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、かつ/あるいは、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPI及び/又はNGFW技術と組み合わせて)、サービスプロバイダに対して5Gネットワークにおける強化されたセキュリティを提供するためのこれらおよび他の技術が、以下でさらに説明される。
【0189】
5Gネットワークにおけるユーザ位置(User Location)ごとのサービスベースのセキュリティ
【0190】
いくつかの実施形態に従って、ユーザ位置ごとのサービスベースのセキュリティのための実装方法も、また、開示される。
【0191】
いくつかの実施形態において、ユーザ位置ごとのサービスベースのセキュリティは、ユーザ位置情報を抽出するために、HTTP/2メッセージを解析することによって、5Gネットワークにおけるセキュリティプラットフォームを使用して適用される。
【0192】
同様に、上述のように、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ユーザ位置情報が、2つのサービス動作コントロールメッセージから抽出され得る。(1)Nsmf_PDUSession_CreateSMContext要求、および、(2)Nsmf_PDUSession_Create要求、である。
【0193】
ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、かつ/あるいは、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPI及び/又はNGFW技術と組み合わせて)、サービスプロバイダに対して5Gネットワークにおける強化されたセキュリティを提供するためのこれらおよび他の技術が、以下でさらに説明される。
【0194】
サービスプロバイダのための5Gネットワークに対する強化されたセキュリティ使用例
【0195】
セキュリティポリシ実施のためのセキュリティプラットフォームを使用した、5Gモバイル/サービスプロバイダ・ネットワークに対して強化されたセキュリティを提供するための開示される技術は、5Gモバイル/サービスプロバイダ・ネットワーク環境のために強化され、かつ、よりフレキシブルで、ダイナミックセキュリティを促進するための種々の追加的なユースケースシナリオに適用され得る。追加の例示的なユースケースシナリオが、以下でさらに説明される。
【0196】
第1の例示的なユースケースとして、モバイルおよびコンバージド(converged)・ネットワークオペレータが、ナローバンドIoT(NB-IoT)を含むワイヤレスIoT技術(例えば、CIoTデバイス)を、IoT/M2Mのカスタマへ提供していると仮定する。ユーティリティ(例えば、ガス、水道、電気など)、水道メーター管理会社、フリートトラッキング会社、及び/又は、他のタイプのカスタマ、といったものである。大部分のCIoTデバイスは、セキュリティ機能を提供するための計算能力およびリソースを有しておらず、かつ、典型的には、セキュアにコード化されていない。結果として、このことは、モバイルおよびコンバージド・ネットワークオペレータが、これらのカスタマにネットワークベースのセキュリティサービスを提供するための機会を創出する。それは、セキュリティポリシ実施のためのセキュリティプラットフォームを使用して、モバイル/サービスプロバイダ・ネットワークにおけるCIoTに対して強化されたセキュリティのために開示される技術を使用して提供され得る(例えば、ここにおいて説明されるように、N3およびインターフェイス上のインスペクションおよびセキュリティ機能を使用する)。
【0197】
第2の例示的なユースケースとして、モバイルおよびコンバージド・ネットワークオペレータが、ナローバンドIoT(NB-IoT)を含むワイヤレスIoT技術(例えば、CIoTデバイス)を、IoT/M2Mのカスタマへ提供していると仮定する。ユーティリティ(例えば、ガス、水道、電気など)、水道メーター管理会社、フリートトラッキング会社、及び/又は、他のタイプのカスタマ、といったものである。大部分のCIoTデバイスは、セキュリティ機能を提供するための計算能力およびリソースを有しておらず、かつ、典型的には、セキュアにコード化されていない。結果として、このことは、それらが接続されているモバイルネットワークにおけるCIoTデバイスで始まる(initiated)攻撃を導き得る。同様に、ここにおいて説明されるように、S11-Uインターフェイスにおけるインスペクションおよびセキュリティ能力を含むセキュリティポリシ実施のためのセキュリティプラットフォームを使用した、モバイル/サービスプロバイダ・ネットワークにおけるCIoTに対する強化されたセキュリティのための開示される技術は、モバイルネットワークの重要なネットワーク要素を、CIoTデバイスの攻撃から保護するために実行され得る。
【0198】
IoT脅威の例
【0199】
例示的なルータの脆弱性は、以下を含んでいる。(1)TP-Linkリモートコマンド実行の脆弱性、(2)ZyXEL/Billion/TrueOnlineルータ・リモートコード実行の脆弱性、(3)Netgear WNR2000リモートコード実行の脆弱性、(4)MikroTik RouterOS認証バイパスの脆弱性、および、(5)Netis/Netcoreルータ・デフォルト・クレデンシャル・リモートコード実行の脆弱性、である。カメラの脆弱性は、Sony IPELA ENGINE IPカメラのバックドア脆弱性、および、Axis Cameraのリモートコマンド実行の脆弱性を含む。サービスプロバイダ・ネットワークにおいてDNNおよびアプリケーションIDベースのセキュリティ実施を適用するための上述の技術は、そうした例示的なルータの脆弱性に応答するために実行され得る。一つの例として、1つのDNNに対して、モバイルオペレータは、全てのルータ関連のリモートコード実行の脆弱性に対するアクションブロック(例えば、ドロップ(drop)およびログ(log))を定義することができる。別のDNに対して、モバイルオペレータは、全てのルータ関連のリモートコード実行の脆弱性に対するアクションアラート(例えば、許可(allow)およびログ)を定義するように選択できる。
【0200】
Mirai(マルウェア)ボットネット(botnet)攻撃は、主に、IPカメラおよびホームルータといった、オンラインコンシューマ機器をターゲットとする、例示的なボットネット攻撃である。1つのDNNに対する一つの例として、モバイルオペレータは、スパイウェア対策(antispyware)シグネチャThreat ID:13999および13974 https://threatvault.Palo Alto Networks社.com/を使用して、全てのMiraiコマンドおよびコントロールトラフィックに対するアクションブロックを定義することができる(例えば、ドロップおよびログ)。別のAPNについて、モバイルオペレータは、全てのMiraiコマンドおよびコントロールトラフィックに対するアクションアラート(例えば、許可およびログ)を定義するように選択できる。
【0201】
開示される実施形態を考慮して明らかなように、ネットワークサービスプロバイダ/モバイルオペレータ(例えば、セルラーサービスプロバイダエンティティ)、デバイス製造者(例えば、自動車エンティティ、CIoTデバイスエンティティ、及び/又は、他のデバイスメーカ)、及び/又は、システムインテグレータは、これら及び他の技術的なネットワークセキュリティ課題を解決するために、開示される技術を使用して、セキュリティプラットフォームによって実施され得るセキュリティポリシを指定することができる。
【0202】
サービスプロバイダについて5Gモバイルネットワークに対する強化されたセキュリティを実行するためのネットワーク装置に係る例示的なハードウェアコンポーネント
【0203】
図3は、いくつかの実施形態に従った、サービスプロバイダについて5Gモバイルネットワークに対する強化されたセキュリティを実行するためのネットワーク装置のハードウェアコンポーネントに係る機能図である。示される例は、ネットワーク装置300に含まれ得る物理的/ハードウェアコンポーネントを表している(例えば、ここにおいて開示されるセキュリティプラットフォームを実装できる、アプライアンス、ゲートウェイ、またはサーバ)。具体的に、ネットワーク装置300は、高性能マルチコアCPU302およびRAM304を含んでいる。ネットワーク装置300は、また、ポリシおよび他のコンフィグレーション情報、並びに、シグネチャを保管するために使用され得る、ストレージ310(例えば、1つ以上のハードディスクまたはソリッドステート・ストレージ装置)を含む。一つの実施形態において、ストレージ310は、ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、ユーザ位置情報、そして、関連するIPアドレス、および、セキュリティプラットフォーム/ファイアウォール装置を使用して、開示されるセキュリティポリシ実施技術を実施するためにモニタリングされる、おそらくは、他の情報(例えば、アプリケーションID、コンテンツID、ユーザID、URL、及び/又は、他の情報)を保管する。また、ネットワーク装置300は、また、1つ以上のオプションのハードウェアアクセラレータも含むことができる。例えば、ネットワーク装置300は、暗号化および復号化オペレーションを実行するように構成された暗号エンジン306、および、シグネチャマッチングを実行し、ネットワークプロセッサとして動作し、かつ/あるいは、他のタスクを実行するように構成された1つ以上のFPGA308を含むことができる。
【0204】
サービスプロバイダについて5Gモバイルネットワークに対する強化されたセキュリティを実行するためのネットワーク装置に係る例示的なロジカルコンポーネント
【0205】
図4は、いくつかの実施形態に従った、サービスプロバイダについて5Gモバイルネットワークに対する強化されたセキュリティを実行するためのネットワーク装置のロジックコンポーネントに係る機能図である。示される例は、ネットワーク装置400に含まれ得るロジカルコンポーネントを表している(例えば、開示されるセキュリティプラットフォームを実装し、かつ、開示される技術を実行することができる、データアプライアンス)。示されるように、ネットワーク装置400は、管理プレーン402およびデータプレーン404を含んでいる。一つの実施形態において、管理プレーンは、ユーザインタラクションを管理する責任を負う。ポリシを設定し、そして、ログデータを閲覧するためのユーザインターフェイスを提供することによる、といったものである。データプレーンは、データ管理の責任を負う。パケット処理およびセッション操作を実行することによる、といったものである。
【0206】
モバイルデバイスが、SSLといった、暗号化されたセッションプロトコルを使用して、リソース(例えば、リモートWebサイト/サーバ、CIoTデバイスといったIoTデバイス、または、別のリソース)にアクセスしようと試みることを仮定する。ネットワークプロセッサ406は、モバイルデバイスからのパケットをモニタリングし、かつ、処理のためにパケットをデータプレーン404へ提供するように構成されている。フロー408は、新たなセッションの一部であるとしてパケットを識別し、そして、新たなセッションフローを作成する。後続のパケットは、フロールックアップに基づいて、そのセッションに属しているものとして識別される。該当する場合、SSL復号化が、ここにおいて説明されるような種々の技術を使用して、SSL復号化エンジン410によって適用される。さもなければ、SSL復号化エンジン410による処理は省略される。アプリケーション識別(APP ID)モジュール412は、セッションが関与するトラフィックのタイプを決定し、かつ、トラフィックフローに関連するユーザを識別する(例えば、ここにおいて説明されるように、アプリケーションIDを識別する)ように構成されている。例えば、APP ID412は、受信したデータ内のGET要求を認識し、かつ、セッションがHTTPデコーダ414を必要としていることを結論付けることができる。別の例として、APP ID412は、GTP-Uメッセージを認識し、そして、セッションがGTPデコーダを必要としていることを結論付けることができる。各タイプのプロトコルについて、対応するデコーダ414が存在している。一つの実施形態においては、アプリケーション識別が、アプリケーション識別モジュール(例えば、APP IDコンポーネント/エンジン)によって実行され、そして、ユーザ識別が、別のコンポーネント/エンジンによって実行される。APP ID412によって行われた決定に基づいて、パケットが、適切なデコーダ414へ送信される。デコーダ414は、パケット(例えば、順序が乱れて受信され得る)を正しい順序へと組み立て、トークン化を実行し、そして、情報を抽出するように構成されている。デコーダ414は、また、パケットに何が起こるべきかを決定するために、シグネチャマッチングを実行する。SSL暗号化エンジン416は、ここにおいて説明される種々の技術を使用してSSL暗号化を実行し、そして、パケットは、次いで、図示されるようにフォワード(forward)コンポーネント418を使用して転送される。また、示されるように、ポリシ420が、受信され、そして、管理プレーン402に保管される。一つの実施形態において、ポリシ実施(例えば、ポリシは、ドメイン名及び/又はホスト/サーバ名を使用して指定され得る、1つ以上のルールを含むことができ、そして、ルールは、モニタリングされたHTTP/2メッセージ、及び/又は、ここにおいて開示されているようにモニタリングされたGTP-UトラフィックのDPIからの様々な抽出されたパラメータ/情報に基づくサービスプロバイダ・ネットワーク上の加入者/IPフローに対するセキュリティポリシ実施といった、1つ以上のシグネチャまたは他のマッチングクライテリアもしくは発見的方法を適用することができる)は、モニタリングされ、復号化され、識別され、かつ、復号化されたセッショントラフィックフローに基づいて、様々な実施形態に関して、ここにおいて説明されるように適用される。
【0207】
また、図4に示されるように、インターフェイス(I/F)通信器422が、セキュリティプラットフォーム・マネージャ通信(例えば、(REST)API、メッセージ、または、ネットワークプロトコル通信、もしくは、他の通信メカニズムを介して)のためにも提供される。ある場合には、サービスプロバイダ・ネットワークにおける他のネットワーク要素のネットワーク通信が、ネットワーク装置400を使用してモニタリングされ、そして、データプレーン404が、そうした通信の復号化をサポートする(例えば、I/F通信器422およびデコーダ414を含むネットワーク装置400は、例えば、Nsmf、Nnefといったサービスベースのインターフェイス、および、N3、N9といった基準点、及び/又は、ここにおいて同様に説明されるように、有線および無線ネットワークトラフィックフローが存在する他のインターフェイスにおいてモニタリングし、かつ/あるいは、通信するように構成され得る)。かくして、I/F通信器422を含むネットワーク装置400は、上述のように、そして、以下でさらに説明されるように、モバイル/サービスプロバイダ・ネットワーク環境におけるセキュリティポリシ実施のために開示される技術を実装するために、使用することができる。
【0208】
モバイル/サービスプロバイダ・ネットワーク環境上でCIoTに対する強化されたセキュリティを実行するための開示される技術について追加の例示的なプロセスが、これから説明される。
【0209】
サービスプロバイダのための5Gネットワークに対する強化されたセキュリティの例示的なプロセス
【0210】
図5は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係るフロー図である。いくつかの実施形態において、図5に示されるようなプロセス500は、図1A-図4に関して上述した実施形態を含み、同様に、上述したセキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス500は、図3に関して上述したようなデータアプライアンス300、図4に関して上述したようなネットワーク装置400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明したような、前述の組み合わせ又はハイブリッドな実装によって実行される。
【0211】
本プロセスは、502で開始する。502では、新たなセッションを識別するためにセキュリティプラットフォームにおけるサービスプロバイダ・ネットワーク上でのネットワークトラフィックのモニタリングが実行される。サービスプロバイダ・ネットワークは5Gネットワークまたはコンバージド5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、同様に、上述のように、モバイル・コア・ネットワーク上のGTP-UおよびHTTP/2トラフィックをモニタリングすることができる。
【0212】
504では、セキュリティプラットフォームにおける新たなセッションに関連するユーザトラフィックについてネットワークスライス情報の抽出が実行される。例えば、セキュリティプラットフォームは、ネットワークスライス情報を抽出するために、HTTP/2メッセージを解析することができます。そこで、ネットワークスライスは、同様に、上述のように、DPIベースのファイアウォール技術を使用して、単一ネットワークスライス選択支援情報(S-NSSAI)によって識別される。
【0213】
506では、ネットワークスライス情報に基づいて、新たなセッションに対してセキュリティプラットフォームで適用するセキュリティポリシの決定が実行される。例えば、セキュリティポリシは、ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、同様に、上述のような、(例えば、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなどの他のDPIベースのファイアウォール技術と組み合わせて)ユーザ位置情報、の様々な組み合わせに基づいて、決定され、かつ/あるいは、実施され得る。
【0214】
508では、セキュリティプラットフォームを使用して、新たなセッションにおけるセキュリティポリシの実施が実行される。例えば、様々な実施動作(例えば、許可/通過(allow/pass)、ブロック/ドロップ(block/drop)、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)が、同様に、上述のように、セキュリティプラットフォームを使用して実行され得る。
【0215】
図6は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係る別のフロー図である。いくつかの実施形態において、図6に示されるようなプロセス600は、図1A-図4に関して上述した実施形態を含み、同様に、上述のように、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス600は、図3に関して上述したようなデータアプライアンス300、図4に関して上述したようなネットワーク装置400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明したような、前述の組み合わせ又はハイブリッドな実装によって実行される。
【0216】
本プロセスは、602で開始する。602では、新たなセッションを識別するために、セキュリティプラットフォームにおいてサービスプロバイダ・ネットワーク上のネットワークトラフィックをモニタリングが実行され、ここで、サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、同様に、上述のように、モバイル・コア・ネットワーク上のGTP-UおよびHTTP/2トラフィックをモニタリングすることができる。
【0217】
604では、セキュリティプラットフォームにおける新たなセッションに関連するユーザトラフィックについて加入者及び/又は装置識別子情報の抽出が実行される。例えば、セキュリティプラットフォームは、加入者及び/又は装置識別子情報を抽出するためにHTTP/2メッセージを解析することができ、そこで、加入者及び/又は装置識別子は、同様に、上述のように、DPIベースのファイアウォール技術を使用して、加入者永久識別子(SUIP)、一般公開加入者識別子(GPSI)、及び/又は、永久装置識別子(PEI)によって識別される。
【0218】
606では、加入者及び/又は装置識別子情報に基づいて、新たなセッションに対してセキュリティプラットフォームで適用するセキュリティポリシの決定が実行される。例えば、セキュリティポリシは、ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、同様に、上述のような、ユーザ位置情報の様々な組み合わせに基づいて決され、かつ/あるいは、実施され得る(例えば、及び/又は、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPIベースのファイアウォール技術との組み合わせ)。
【0219】
608では、セキュリティプラットフォームを使用して、新たなセッションにおけるセキュリティポリシの実施が実行される。例えば、様々な実施動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)が、同様に、上述のように、セキュリティプラットフォームを使用して実行され得る。
【0220】
図7は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係る別のフロー図である。いくつかの実施形態において、図7に示されるようなプロセス700は、図1A-図4に関して上述した実施形態を含み、同様に、上述のように、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス700は、図3に関して上述したようなデータアプライアンス300、図4に関して上述したようなネットワーク装置400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明したような、前述の組み合わせ又はハイブリッドな実装によって実行される。
【0221】
本プロセスは、702で開始する。702では、新たなセッションを識別するために、セキュリティプラットフォームにおいてサービスプロバイダ・ネットワーク上のネットワークトラフィックをモニタリングが実行され、ここで、サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、同様に、上述のように、モバイル・コア・ネットワーク上のGTP-UおよびHTTP/2トラフィックをモニタリングすることができる。
【0222】
704では、セキュリティプラットフォームにおける新たなセッションに関連するユーザトラフィックについてネットワーク名情報の抽出が実行される。例えば、セキュリティプラットフォームは、ネットワーク名情報を抽出するために、HTTP/2メッセージを解析することができ、そこで、ネットワーク名情報は、同様に、上述のように、DPIベースのファイアウォール技術を使用して、データネットワーク名(DNN)によって識別される。
【0223】
706では、ネットワーク名情報に基づいて、新たなセッションに対してセキュリティプラットフォームで適用するセキュリティポリシの決定が実行される。例えば、セキュリティポリシは、ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、同様に、上述のような、ユーザ位置情報の様々な組み合わせに基づいて決され、かつ/あるいは、実施され得る(例えば、及び/又は、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPIベースのファイアウォール技術との組み合わせ)。
【0224】
708では、セキュリティプラットフォームを使用して、新たなセッションにおけるセキュリティポリシの実施が実行される。例えば、様々な実施動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)が、同様に、上述のように、セキュリティプラットフォームを使用して実行され得る。
【0225】
図8は、いくつかの実施形態に従った、サービスプロバイダについて5Gネットワークに対する強化されたセキュリティを実施するためのプロセスに係る別のフロー図である。いくつかの実施形態において、図8に示されるようなプロセス800は、図1A-図4に関して上述した実施形態を含み、同様に、上述のように、セキュリティプラットフォームおよび技術によって実行される。一つの実施形態において、プロセス800は、図3に関して上述したようなデータアプライアンス300、図4に関して上述したようなネットワーク装置400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、及び/又は、ここにおいて説明したような、前述の組み合わせ又はハイブリッドな実装によって実行される。
【0226】
本プロセスは、802で開始する。802では、新たなセッションを識別するために、セキュリティプラットフォームにおいてサービスプロバイダ・ネットワーク上のネットワークトラフィックをモニタリングが実行され、ここで、サービスプロバイダ・ネットワークは、5Gネットワークまたはコンバージド5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールに代わって動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、同様に、上述のように、モバイル・コア・ネットワーク上のGTP-UおよびHTTP/2トラフィックをモニタリングすることができる。
【0227】
804では、セキュリティプラットフォームにおける新たなセッションに関連するユーザトラフィックについてユーザ位置情報の抽出が実行される。そこで、ユーザ位置情報は、同様に、上述されるように、DPIベースのファイアウォール技術を使用して、EutraLocation(例えば、Tracking Area Identity(TAI)およびECGI(EUTRA Cell Identity))、及び/又は、NRLocation(例えば、Tracking Area Identity(TAI)およびNR Cell Identity(NCGI))によって識別される。
【0228】
806では、ユーザ位置情報に基づいて、新たなセッションに対してセキュリティプラットフォームを適用するためのセキュリティポリシの決定が実行される。例えば、セキュリティポリシは、ネットワークスライス情報、データネットワーク名(DNN)、加入者永久識別子(SUPI)、永久装置識別子(PEI)、一般公開加入者識別子(GPSI)、および、同様に、上述のような、ユーザ位置情報の様々な組み合わせに基づいて決され、かつ/あるいは、実施され得る(例えば、及び/又は、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、等といった、他のDPIベースのファイアウォール技術との組み合わせ)。
【0229】
808では、セキュリティプラットフォームを使用して、新たなセッションにおけるセキュリティポリシの実施が実行される。例えば、様々な実施動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、モニタリング、ログ、スロットル、アクセス制限、及び/又は、他の実施動作)が、同様に、上述のように、セキュリティプラットフォームを使用して実行され得る。
【0230】
開示される実施形態を考慮して明らかなように、ネットワークサービスプロバイダ/モバイルオペレータ(例えば、セルラーサービスプロバイダエンティティ)、デバイス製造者(例えば、自動車エンティティ、CIoTデバイスエンティティ、及び/又は、他のデバイスメーカ)、及び/又は、システムインテグレータは、5Gネットワークを含む、モバイルネットワーク上のこれら及び他の技術的ネットワークセキュリティのチャレンジを解決するために、開示される技術を使用して、セキュリティプラットフォームによって実施され得る、そうしたセキュリティポリシを指定することができる。
【0231】
上述の実施形態は、理解を明確にする目的で、ある程度詳細に説明されてきたが、本発明は、提供される詳細に限定されるものではない。本発明を実施するための多くの代替的な方法が存在している。開示される実施形態は、例示的なものであり、かつ、限定的なものではない。
図1A
図1B
図1C
図1D
図2A
図2B
図2C
図2D
図2E
図2F
図2G
図2H
図2I
図2J
図3
図4
図5
図6
図7
図8