▶ パロ アルト ネットワークス,インコーポレイテッドの特許一覧
特許7540523モバイルネットワークにおけるマルチアクセス分散型エッジセキュリティ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-19
(45)【発行日】2024-08-27
(54)【発明の名称】モバイルネットワークにおけるマルチアクセス分散型エッジセキュリティ
(51)【国際特許分類】
H04W 12/088 20210101AFI20240820BHJP
H04L 12/66 20060101ALI20240820BHJP
H04W 12/086 20210101ALI20240820BHJP
H04W 12/69 20210101ALI20240820BHJP
G06F 21/62 20130101ALI20240820BHJP
【FI】
H04W12/088
H04L12/66
H04W12/086
H04W12/69
G06F21/62 318
【請求項の数】
6
【外国語出願】
(21)【出願番号】P 2023037389
(22)【出願日】2023-03-10
(62)【分割の表示】P 2021180103の分割
【原出願日】2020-03-23
(65)【公開番号】P2023072002
(43)【公開日】2023-05-23
【審査請求日】2023-03-10
(31)【優先権主張番号】16/368,759
(32)【優先日】2019-03-28
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】517392861
【氏名又は名称】パロ アルト ネットワークス,インコーポレイテッド
【氏名又は名称原語表記】Palo Alto Networks,Inc.
【住所又は居所原語表記】3000 Tannery Way,Santa Clara,California 95054,United States of America
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】ベルマ・サシャン
(72)【発明者】
【氏名】バラコフスキー・レオニード
【審査官】三枝 保裕
(56)【参考文献】
【文献】米国特許出願公開第2018/0367578(US,A1)
【文献】国際公開第2018/192528(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
H04L 12/66
G06F 21/62
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
システムであって、プロセッサおよびメモリを含み、
前記プロセッサは、
新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する工程であって、前記セキュリティプラットフォームは、5Gネットワークにマルチアクセス分散型エッジセキュリティを提供するために、前記5Gネットワークのためのモバイルコアネットワーク内の制御プロトコルおよびユーザデータトラフィックについて複数のインターフェースを含む無線インターフェースを監視し、前記サービスプロバイダネットワークは、前記5Gネットワークまたは統合5Gネットワークを含み、かつ、前記ネットワークトラフィックを監視することは、前記ネットワークトラフィックにおけるCreate SM Context Requestサービス動作またはCreateサービス動作を識別することを含む、工程と、
前記新しいセッションに関連するユーザトラフィックのネットワークアクセス識別子情報を前記セキュリティプラットフォームで抽出する工程であって、前記工程は、前記ネットワークトラフィックにおける前記Create SM Context Requestサービス動作または前記Createサービス動作から、サブスクリプションおよび/または機器識別子情報を抽出するためにHTTP/2メッセージをパースすることを含み、かつ、前記ネットワークアクセス識別子情報は、ネットワークアクセス識別子(NAI)関連情報によって識別され、前記NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する、工程と、
前記ネットワークアクセス識別子情報に基づいて、前記セキュリティプラットフォームで前記新しいセッションに適用するセキュリティポリシーを決定する工程であって、前記セキュリティポリシーは、前記NAI関連情報に少なくとも部分的に基づいて実施される、工程と、
前記セキュリティポリシーに基づいて、前記新しいセッションがリソースにアクセスするのをブロックする、工程と、
を実行するように構成されており、
前記メモリは、
前記プロセッサに接続され、前記プロセッサに命令を提供するよう構成されている、
システム。
【請求項2】
請求項1に記載のシステムであって、前記ネットワークアクセス識別子情報は、ネットワークアクセス識別子(NAI)関連情報によって識別され、前記NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する、システム。
【請求項3】
方法であって、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する工程であって、前記セキュリティプラットフォームは、5Gネットワークにマルチアクセス分散型エッジセキュリティを提供するために、前記5Gネットワークのためのモバイルコアネットワーク内の制御プロトコルおよびユーザデータトラフィックについて複数のインターフェースを含む無線インターフェースを監視し、前記サービスプロバイダネットワークは、前記5Gネットワークまたは統合5Gネットワークを含み、かつ、前記ネットワークトラフィックを監視することは、前記ネットワークトラフィックにおけるCreate SM Context Requestサービス動作またはCreateサービス動作を識別することを含む、工程と、
前記新しいセッションに関連するユーザトラフィックのネットワークアクセス識別子情報を前記セキュリティプラットフォームで抽出する工程であって、前記ネットワークアクセス識別子情報は、ネットワークアクセス識別子(NAI)関連情報によって識別され、前記NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する、工程と、
前記ネットワークアクセス識別子情報に基づいて、前記セキュリティプラットフォームで前記新しいセッションに適用するセキュリティポリシーを決定する工程であって、前記工程は、前記ネットワークトラフィックにおける前記Create SM Context Requestサービス動作または前記Createサービス動作から、サブスクリプションおよび/または機器識別子情報を抽出するためにHTTP/2メッセージをパースすることを含み、かつ、前記セキュリティポリシーは、前記NAI関連情報に少なくとも部分的に基づいて実施される、工程と、
前記セキュリティポリシーに基づいて、前記新しいセッションがリソースにアクセスするのをブロックする、工程と、
を備える、方法。
【請求項4】
コンピュータプログラムであって、有形で持続性のコンピュータ読み取り可能な記憶媒体上に保管されているコンピュータ命令を含み、コンピュータによって実行されると、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する工程であって、前記セキュリティプラットフォームは、5Gネットワークにマルチアクセス分散型エッジセキュリティを提供するために、前記5Gネットワークのためのモバイルコアネットワーク内の制御プロトコルおよびユーザデータトラフィックについて複数のインターフェースを含む無線インターフェースを監視し、前記サービスプロバイダネットワークは、前記5Gネットワークまたは統合5Gネットワークを含み、かつ、前記ネットワークトラフィックを監視することは、前記ネットワークトラフィックにおけるCreate SM Context Requestサービス動作またはCreateサービス動作を識別することを含む、工程と、
前記新しいセッションに関連するユーザトラフィックのネットワークアクセス識別子情報を前記セキュリティプラットフォームで抽出する工程であって、前記工程は、前記ネットワークトラフィックにおける前記Create SM Context Requestサービス動作または前記Createサービス動作から、サブスクリプションおよび/または機器識別子情報を抽出するためにHTTP/2メッセージをパースすることを含み、かつ、前記ネットワークアクセス識別子情報は、ネットワークアクセス識別子(NAI)関連情報によって識別され、前記NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する、工程と、
前記ネットワークアクセス識別子情報に基づいて、前記セキュリティプラットフォームで前記新しいセッションに適用するセキュリティポリシーを決定する工程であって、前記セキュリティポリシーは、前記NAI関連情報に少なくとも部分的に基づいて実施される、工程と、
前記セキュリティポリシーに基づいて、前記新しいセッションがリソースにアクセスするのをブロックする、工程と、
を実施する、コンピュータプログラム。
【請求項5】
請求項3に記載の方法であって、前記ネットワークアクセス識別子情報は、ネットワークアクセス識別子(NAI)関連情報によって識別され、前記NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する、方法。
【請求項6】
請求項4に記載のコンピュータプログラムであって、前記ネットワークアクセス識別子情報は、ネットワークアクセス識別子(NAI)関連情報によって識別され、前記NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
他の出願の相互参照
本願は、同時係属の米国特許出願第16/144,143号「NETWORK SLICE-BASED SECURITY IN MOBILE NETWORKS」(2018年9月27日出願)、および、米国特許出願第16/144,147号「SERVICE-BASED SECURITY PER SUBSCRIPTION AND/OR EQUIPMENT IDENTIFIERS IN MOBILE NETWORKS」(2018年9月27日出願)の一部係属出願であり、これらの出願は、すべての目的のために参照により本明細書に組み込まれる。
本願は、同時係属の米国特許出願第16/144,143号「NETWORK SLICE-BASED SECURITY IN MOBILE NETWORKS」(2018年9月27日出願)、および、米国特許出願第16/144,147号「SERVICE-BASED SECURITY PER SUBSCRIPTION AND/OR EQUIPMENT IDENTIFIERS IN MOBILE NETWORKS」(2018年9月27日出願)の一部係属出願であり、これらの出願は、すべての目的のために参照により本明細書に組み込まれる。
【背景技術】
【0002】
ファイアウォールは、一般に、不正アクセスからネットワークを保護しつつ、承認された通信がファイアウォールを通過することを許可する。ファイアウォールは、通例、ネットワークアクセスに対するファイアウォール機能を提供するデバイスまたはデバイスセットもしくはデバイス(コンピュータなど)上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、その他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムに統合されうる。ファイアウォールは、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティアプライアンスまたはその他のタイプの専用デバイス)上のソフトウェアに統合されてもよいし、かかるソフトウェアとして実行されてもよい。
【0003】
ファイアウォールは、通例、1セットのルールに基づいてネットワーク伝送を拒否または許可する。これらのセットのルールは、しばしば、ポリシーと呼ばれる。例えば、ファイアウォールは、1セットのルールまたはポリシーを適用することによってインバウンドトラフィックをフィルタリングできる。ファイアウォールは、1セットのルールまたはポリシーを適用することによってアウトバウンドトラフィックをフィルタリングすることもできる。ファイアウォールは、基本的なルーティング機能を実行することもできる。
【図面の簡単な説明】
【0004】
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
【0005】
【図1A】いくつかの実施形態に従って、モバイルネットワークにおいて5Gマルチアクセスセキュリティを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図。
【0006】
【図1B】いくつかの実施形態に従って、モバイルネットワークにおいて5Gマルチエッジセキュリティを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図。
【0007】
【図1C】いくつかの実施形態に従って、モバイルネットワークにおいて5Gローミングセキュリティ-ホームルーテッドシナリオを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図。
【0008】
【図1D】いくつかの実施形態に従って、モバイルネットワークにおいて5Gローミングセキュリティ-ローカルブレイクアウトシナリオを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図。
【0009】
【図1E】いくつかの実施形態に従って、モバイルネットワークにおいて5Gマルチアクセス分散型エッジセキュリティを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図。
【0010】
【図2A】いくつかの実施形態に従って、5Gネットワークにおける非ローミングおよびローカルブレイクアウトでのローミングのためのUE要求PDUセッション確立のフローの一例を示す図。
【0011】
【図2B】いくつかの実施形態に従って、5Gネットワークにおける非ローミングおよびローカルブレイクアウトでのローミングのためのUE要求PDUセッション確立および変更/更新のフローの一例を示す図。
【0012】
【図2C】いくつかの実施形態に従って、5GネットワークにおいてN26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバのフローの一例を示す図。
【0013】
【図2D】いくつかの実施形態に従って、5GSネットワークにおいてN26インターフェースを用いないEPSから5GSへのモビリティ手順のフローの一例を示す図。
【0014】
【図2E】いくつかの実施形態に従って、5GネットワークにおいてソースAMFによって用いられるSMコンテキストのSMFリソース識別子をターゲットAMFが知らない3GPPアクセスおよび非3GPPアクセスの間のPDUセッションのハンドオーバのフローの一例を示す図。
【0015】
【図2F】いくつかの実施形態に従って、5GネットワークにおけるHPLMN(ホームルートローミング)内のN3IWFによる3GPPアクセスから信頼できない非3GPPへのPDUセッションのハンドオーバのフローの一例を示す図。
【0016】
【図2G】いくつかの実施形態に従って、5GネットワークにおけるEPSから5GC-N3IWFへのハンドオーバのフローの一例を示す図。
【0017】
【図2H】いくつかの実施形態に従って、5GネットワークにおけるEPC/ePDGから5GSへのハンドオーバのフローの一例を示す図。
【0018】
【図2I】いくつかの実施形態に従って、5GネットワークにおけるホームルーテッドローミングシナリオのためのUE要求PDUセッション確立のフローの一例を示す図。
【0019】
【図2J】いくつかの実施形態に従って、5GネットワークにおけるホームルーテッドローミングシナリオのためのUE要求PDUセッション確立および変更/更新のフローの一例を示す図。
【0020】
【図2K】いくつかの実施形態に従って、5Gネットワークにおける5Gユーザプレーン機能(UPF)と5Gコア制御/シグナリング機能(SMF)との間のN4インターフェース上でのプロトコルデータユニット(PDU)セッション確立のフローの一例を示す図。
【0021】
【図3】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するためのネットワークデバイスのハードウェアコンポーネントを示す機能図。
【0022】
【図4】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するためのネットワークデバイスの論理コンポーネントを示す機能図。
【0023】
【図5】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示すフローチャート。
【0024】
【図6】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示す別のフローチャート。
【0025】
【図7】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示す別のフローチャート。
【0026】
【図8】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示す別のフローチャート。
【0027】
【図9】いくつかの実施形態に従って、サービスプロバイダのための5Gネットワークのマルチアクセス分散型エッジセキュリティを実行するためのパケット転送制御プロトコル(PFCP)セッション確立要求パケットキャプチャ(pcap)のスナップショットを示すスクリーンショット図。
【0028】
【図10】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークのマルチアクセス分散型エッジセキュリティを実行するための処理を示すフローチャート。
【0029】
【図11】いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークのマルチアクセス分散型エッジセキュリティを実行するための処理を示す別のフローチャート。
【発明を実施するための形態】
【0030】
本発明は、処理、装置、システム、物質の組成、コンピュータ読み取り可能な格納媒体上に具現化されたコンピュータプログラム製品、および/または、プロセッサ(プロセッサに接続されたメモリに格納および/またはそのメモリによって提供される命令を実行するよう構成されたプロセッサ)を含め、様々な形態で実装されうる。本明細書では、これらの実装または本発明が取りうる任意の他の形態を、技術と呼ぶ。一般に、開示された処理の工程の順序は、本発明の範囲内で変更されてもよい。特に言及しない限り、タスクを実行するよう構成されるものとして記載されたプロセッサまたはメモリなどの構成要素は、ある時間にタスクを実行するよう一時的に構成された一般的な構成要素として、または、タスクを実行するよう製造された特定の構成要素として実装されてよい。本明細書では、「プロセッサ」という用語は、1または複数のデバイス、回路、および/または、コンピュータプログラム命令などのデータを処理するよう構成された処理コアを指すものとする。
【0031】
以下では、本発明の原理を示す図面を参照しつつ、本発明の1または複数の実施形態の詳細な説明を行う。本発明は、かかる実施形態に関連して説明されているが、どの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、本発明は、多くの代替物、変形物、および、等価物を含む。以下の説明では、本発明の完全な理解を提供するために、多くの具体的な詳細事項が記載されている。これらの詳細事項は、例示を目的としたものであり、本発明は、これらの具体的な詳細事項の一部または全てがなくとも特許請求の範囲に従って実施可能である。簡単のために、本発明に関連する技術分野で周知の技術事項については、本発明が必要以上にわかりにくくならないように、詳細には説明していない。
【0032】
ファイアウォールは、一般に、不正アクセスからネットワークを保護しつつ、承認された通信がファイアウォールを通過することを許可する。ファイアウォールは、通例、ネットワークアクセスに対するファイアウォール機能を提供するデバイス、デバイスセット、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、その他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムに統合されうる。また、ファイアウォールは、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティアプライアンスまたはその他のタイプの専用デバイス)など様々なタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションに統合されうる、もしくは、かかるソフトウェアアプリケーションとして実行されうる。
【0033】
ファイアウォールは、通例、1セットのルールに基づいてネットワーク伝送を拒否または許可する。これらのセットのルールは、しばしば、ポリシー(例えば、ネットワークポリシーまたはネットワークセキュリティポリシー)と呼ばれる。例えば、ファイアウォールは、望ましくない外部のトラフィックが保護されたデバイスに到達するのを防ぐために、1セットのルールまたはポリシーを適用することによってインバウンドトラフィックをフィルタリングできる。また、ファイアウォールは、1セットのルールまたはポリシーを
適用することによってアウトバウンドトラフィックをフィルタリングできる(例えば、許可、ブロック、監視、通知、または、記録、および/または、その他の動作を、ファイアウォール/セキュリティ・ルールまたはファイアウォール/セキュリティ・ポリシー内に記述できる。ルールまたはポリシーは、本明細書に記載したような様々な規準に基づいてトリガされうる)。また、ファイアウォールは、1セットのルールまたはポリシーを適用することによって、アンチウィルス保護、マルウェア検出/防御、もしくは、侵入防止を適用しうる。
適用することによってアウトバウンドトラフィックをフィルタリングできる(例えば、許可、ブロック、監視、通知、または、記録、および/または、その他の動作を、ファイアウォール/セキュリティ・ルールまたはファイアウォール/セキュリティ・ポリシー内に記述できる。ルールまたはポリシーは、本明細書に記載したような様々な規準に基づいてトリガされうる)。また、ファイアウォールは、1セットのルールまたはポリシーを適用することによって、アンチウィルス保護、マルウェア検出/防御、もしくは、侵入防止を適用しうる。
【0034】
セキュリティデバイス(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、および/または、その他のセキュリティデバイス)は、様々なセキュリティ機能(例えば、ファイアウォール、マルウェア対策、侵入防止/検出、プロキシ、および/または、その他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティオブサービス(QoS)、ネットワーク関連リソースの負荷バランシング、および/または、その他のネットワーク機能)、ならびに/もしくは、その他の機能を備えうる。例えば、ルーティング機能は、接続元情報(例えば、接続元IPアドレスおよびポート)、接続先情報(例えば、接続先IPアドレスおよびポート)、ならびに、プロトコル情報に基づきうる。
【0035】
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して伝送された個々のパケットを調べることによってネットワーク通信トラフィックをフィルタリングする(例えば、ステートレスパケットフィルタリング・ファイアウォールであるパケットフィルタリング・ファイアウォールまたは第1世代のファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、通例、個々のパケット自体を調べ、調べたパケットに基づいて(例えば、パケットの送信元および宛先アドレス情報、プロトコル情報、ならびに、ポート番号の組み合わせを用いて)ルールを適用する。
【0036】
また、アプリケーション・ファイアウォールは、(例えば、TCP/IPスタックのアプリケーションレベルで機能するアプリケーションレイヤフィルタリング・ファイアウォールまたは第2世代のファイアウォールを用いて)アプリケーションレイヤフィルタリングを実行できる。アプリケーションレイヤフィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般に、特定のアプリケーションおよびプロトコルを識別できる(例えば、ハイパーテキストトランスファープロトコル(HTTP)、ドメインネームシステム(DNS)要求、ファイルトランスファープロトコル(FTP)を用いたファイル転送、ならびに、様々なその他のタイプのアプリケーションおよびその他のプロトコル(Telnet、DHCP、TCP、UDP、および、TFTP(GSS)など))。例えば、アプリケーション・ファイアウォールは、標準ポートで通信を試みる無許可プロトコルをブロックできる(例えば、プロトコルに非標準ポートを用いて忍び込もうとする無許可/ポリシー外のプロトコルが、一般に、アプリケーション・ファイアウォールを用いて識別されうる)。
【0037】
また、ステートフル・ファイアウォールは、各パケットがネットワーク伝送のパケットのフロー/パケットフローに関連する一連のパケットのコンテキスト内で検査されるステートフルベースのパケット検査を実行できる(例えば、ステートフル・ファイアウォールまたは第3世代のファイアウォール)。このファイアウォール技術は、一般に、ファイアウォールを通過するすべての接続の記録を維持するのでステートフルパケット検査と呼ばれており、パケットが新しい接続の開始であるのか、既存の接続の一部であるのか、または、無効なパケットであるのかを判定できる。例えば、接続の状態自体が、ポリシー内のルールをトリガする基準の1つでありうる。
【0038】
先進ファイアウォールすなわち次世代ファイアウォールは、上述のように、ステートレスおよびステートフルパケットフィルタリングとアプリケーションレイヤフィルタリングとを実行できる。また、次世代ファイアウォールは、さらなるファイアウォール技術を実行できる。例えば、先進ファイアウォールまたは次世代ファイアウォールとも呼ばれる特定の新しいファイアウォールは、ユーザおよびコンテンツの識別もできる。特に、特定の次世代ファイアウォールは、これらのファイアウォールが数千のアプリケーションを自動的に識別できるアプリケーションのリストを拡張している。かかる次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、Palo Alto Networks社のPAシリーズ・次世代ファイアウォールおよびPalo Alto Networks社のVMシリーズ・仮想次世代ファイアウォール)。
【0039】
例えば、Palo Alto Networks社の次世代ファイアウォールは、企業およびサービスプロバイダが、以下のような様々な識別技術を用いて、ポート、IPアドレス、および、パケットだけでなく、アプリケーション、ユーザ、および、コンテンツを識別して制御することを可能にする:正確なアプリケーション識別のためのApp-IDTM(例えば、APP-ID)、(例えば、ユーザまたはユーザグループによる)ユーザ識別のためのユーザ-IDTM(例えば、ユーザID)、および、リアルタイムのコンテンツスキャニング(例えば、ウェブサーフィンの制御、ならびに、データおよびファイル転送の制限)のためのコンテンツ-IDTM(例えば、コンテンツID)。これらの識別技術により、企業が、従来のポート遮断ファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連概念を用いたアプリケーション利用を確実に実現することが可能になる。また、例えば専用アプライアンスとして実装された次世代ファイアウォールのための専用ハードウェアは、一般に、汎用ハードウェアで実行されるソフトウェアよりもアプリケーション検査のパフォーマンスレベルが高い(例えば、Palo Alto Networks社のPAシリーズ・次世代ファイアウォールでネットワークスループットを最大化しつつ待ち時間を最小化するためにシングルパスソフトウェアエンジンと緊密に統合された専用の機能特異的な処理を用いるPalo Alto Networks社のセキュリティアプライアンスなど)。
【0040】
サービスプロバイダのための現在のモバイルネットワークにおける技術的およびセキュリティ上の課題
【0041】
現在のサービスプロバイダネットワーク環境において、サービスプロバイダは、通例、サービスプロバイダの無線ネットワーク上で通信する無線デバイスのための静的なセキュリティポリシーだけを実施することができ(例えば、サービスプロバイダは、サービスプロバイダの無線ネットワーク上で通信する無線デバイスのために、エンドポイントごとおよび/またはフローごとにセキュリティ/ファイアウォールポリシーを規定することができない)、任意の変化が、一般に、ネットワークインフラのアップデートを必要とする。
【0042】
したがって、サービスプロバイダネットワークの技術的およびセキュリティ上の課題が、モバイルネットワーク内のデバイスに対して存在する。そのため、かかるサービスプロバイダネットワーク環境(例えば、モバイルネットワーク)内のデバイスのための新しい改良セキュリティ技術が必要とされている。具体的には、サービスプロバイダネットワークトラフィックを監視し、サービスプロバイダネットワーク上で通信するデバイスのためのセキュリティポリシー(例えば、ファイアウォールポリシー)を適用するための新しい改良ソリューションが必要とされている。
【0043】
モバイルネットワークにおけるネットワークスライスベースのセキュリティのための技術の概要
【0044】
したがって、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるネットワークスライスベースのセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。さらに具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるネットワークスライスベースのセキュリティのためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内の実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。
【0045】
いくつかの実施形態において、HTTP/2メッセージをパースしてネットワークスライス情報を抽出することによりセキュリティプラットフォームを用いて適用できるネットワークスライスベースのセキュリティを適用するための様々な技術が開示されている。例えば、5Gセルラーネットワークにおいて、HTTP/2は、サービスベースインターフェース内で利用される。
【0046】
具体的には、IETF RFC 7540(例えば、https://tools.ietf.org/html/rfc7540で入手可能)に記載されている通り、HTTP/2は、単一の接続上での複数のストリームの多重化、ヘッダ圧縮、および、サーバからクライアントへの要求されていないプッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793(例えば、https://tools.ietf.org/html/rfc793で入手可能)に記載されたTCPを転送プロトコルとして用いる。ネットワークスライスは、コアネットワークコントロールプレーンおよびユーザプレーンネットワーク機能を含む地上波公共移動通信ネットワーク(PLMN)内の論理ネットワークであり、サービングPLMNにおいて、NGラジオアクセスネットワーク、または、非3GPPアクセスネットワークへの非3GPPインターワーキング機能(N3IWF)の少なくとも一方である。
【0047】
より具体的には、ネットワークスライスは、シングルネットワークスライス選択支援情報(S-NSSAI:Single Network Slice Selection Assistance Information)によって識別される。S-NSSAIは、以下で構成される:(1)スライス/サービスタイプ(SST)-機能およびサービスに関して予測されるネットワークスライス挙動のことである;および、(2)スライスディファレンシエータ(例えば、同じSSTの複数のネットワークスライスを区別するためのオプション情報。
【0048】
さらに、S-NSSAIは、標準値または非標準値を有しうる。3GPPによって規定された標準SST値を以下に提供する:
【表1】
【0049】
いくつかの実施形態において、所与の5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、S-NSSAI情報が、以下で詳述する2つの選択肢の内の1以上を用いて抽出されうる。第1の選択肢として、セキュリティプラットフォームは、‘Create SM Context Request’サービス動作中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータ型‘SmContextCreateData’(例えば、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3340で入手可能な3GPP TS 29.502で規定されている)からS-NSSAI情報を抽出する。‘Create SM Context Request’サービス動作(例えば、3GPP TS 29.502で規定されている)は、SMFにおいて、または、ホームルーテッド(HR:Home Routed)ローミングシナリオのためのV-SMFにおいて、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを生成するために、以下の手順例で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いた進化型パケットシステム(EPS)から5Gシステム(5GS)へのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ;および、(6)EPC/ePDG(進化型パケットデータゲートウェイ)から5GSへのハンドオーバ。
【0050】
第2の選択肢として、セキュリティプラットフォームは、Createサービス動作中にNFサービスコンシューマからその後にH-SMFへ送信されるHTTP/2 POST要求のペイロード内のデータ型’PduSessionCreateData’(例えば、3GPP TS 29.502で規定されている)からS-NSSAI情報を抽出する。Createサービス動作(例えば、3GPP TS 29.502で規定されている)は、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを生成するために、以下の手順例で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWFへのハンドオーバ;および、(6)EPC/ePDGから5GSへのハンドオーバ。
【0051】
いくつかの実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、様々な実施形態および例に関して後に詳述するように、ネットワークスライス識別子(S-NSSAI)を用いて、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のためのセキュリティを適用することを含む。
【0052】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のためのセキュリティの提供が、5GネットワークにおいてS-NSSAIごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0053】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のための脅威検出の提供が、5GネットワークにおいてS-NSSAIごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0054】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のための脅威防御の提供が、5GネットワークにおいてS-NSSAIごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0055】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、ネットワークスライス識別子(S-NSSAI)を用いて、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客にユニフォームリソースロケータ(URL)フィルタリングを適用することが、5GネットワークにおいてS-NSSAIごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0056】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のためのセキュリティの提供が、5GネットワークにおいてSSTごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0057】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のための脅威検出の提供が、5GネットワークにおいてSSTごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0058】
一実施形態において、モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客のための脅威防御の提供が、5GネットワークにおいてSSTごとに適用されうるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行されることを含む。
【0059】
例えば、開示技術は、5Gコンバージドオペレータが、5Gラジオアクセス技術と、5Gおよび非5Gアクセス技術の間のハンドオーバとを用いてネットワークに接続する複数の加入者、ユーザ、および/または、インターネット・オブ・シングス(IoT)デバイス(例えば、セルラーIoT(CIoT)デバイス)を持つ任意の顧客に、ネットワークスライスベースのセキュリティを提供することを可能にしうる。
【0060】
開示技術を用いて提供できるモバイルネットワーク(例えば、統合モバイルネットワーク事業者/サービスプロバイダ)のための新しい改良セキュリティサービスの例は、以下の内の1以上を含む:(1)ネットワークスライスベースのファイアウォールサービス;(2)既知の脅威に対するネットワークスライスベースの基本的な脅威検出サービス;(3)未知の脅威に対するネットワークスライスベースの高度な脅威検出サービス;(4)既知の脅威に対するネットワークスライスベースの基本的な脅威防御サービス;(5)未知の脅威に対するネットワークスライスベースの高度な脅威防御サービス;(6)ネットワークスライスベースのURLフィルタリングサービス;(7)ネットワークスライスベースのアプリケーションDoS検出サービス;(8)ネットワークスライスベースのアプリケーションDoS防御サービス;および、(9)NGFWにおけるURLフィルタリングが、5GネットワークにおいてSSTごとに実行されうる。
【0061】
モバイルネットワークにおいてネットワークスライスベースのセキュリティを提供するためのこれらおよびその他の実施形態および例について、以下でさらに説明する。
【0062】
サービスプロバイダのためのモバイルネットワークにおけるサブスクリプション識別子および/または機器識別子ごとのサービスベースのセキュリティのための技術の概要
【0063】
サブスクリプション永久識別子(SUPI)ごとのサービスベースのセキュリティ
【0064】
したがって、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるサービスベースのセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。より具体的には、HTTP/2メッセージをパースして、サービスプロバイダのため(5Gセルラーネットワークのため、など)のモバイルネットワークにおけるサブスクリプション永久識別子(SUPI)情報を抽出することによって、セキュリティプラットフォームを用いて適用できるサービスベースのセキュリティのためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよび提供するための様々な処理が開示されている。
【0065】
いくつかの実施形態において、HTTP/2メッセージをパースしてSUPI情報を抽出することによりセキュリティプラットフォームを用いて適用できるサブスクリプション永久識別子(SUPI)ごとのサービスベースのセキュリティを適用するための様々な技術が開示されている。例えば、5Gセルラーネットワークにおいて、HTTP/2は、サービスベースインターフェース内で利用される。
【0066】
具体的には、HTTP/2は、サービスベースインターフェース内で利用される。IETF RFC 7540に記載されているHTTP/2は、単一の接続上での複数のストリームの多重化、ヘッダ圧縮、および、サーバからクライアントへの要求されていないプッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793に記載されたTCPを転送プロトコルとして用いる。
【0067】
より具体的には、SUPIは、5Gシステムにおいて各加入者に割り当てられ、ユニバーサルデータマネジメント(UDM)/ユニバーサルデータリポジトリ(UDR)内に提供されるグローバルに一意な5Gサブスクリプション識別子である。SUPIは、3GPPシステム内で用いられる。SUPIは、以下の情報を含んでよい:(1)https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=729で入手可能な3GPP TS 23.003で規定されたIMSI、または、(2)https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=729で入手可能な3GPP TS 23.003で規定されたプライベートネットワークに用いられるネットワーク固有の識別子。一部の例において、SUPIは、IMSIベースまたは非IMSIベース(例えば、非3GPPアクセス技術でまたはプライベートネットワークのために用いられる場合)のいずれかのNAIに対して、3GPP TS 23.003に規定されたNAI RFC 7542べースのユーザ識別を用いたネットワークアクセス識別子(NAI)の形態を取りうる。進化型パケットコア(EPC)とのインターワークのために、3GPPユーザ機器(UE)に割り当てられたSUPIは、UEがIMSIをEPCに提示することを可能にするように、常にIMSIに基づく。
【0068】
いくつかの実施形態において、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、SUPI情報が、以下の2つの選択肢を用いて抽出されうる。第1の選択肢として、セキュリティプラットフォームは、‘Create SM Context Request’サービス動作中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータ型‘SmContextCreateData’(例えば、3GPP TS 29.502で規定されている)からSUPI情報を抽出する。 例えば、‘Create SM Context Request’サービス動作(例えば、3GPP TS 29.502で規定されている)は、SMFにおいて、または、ホームルーテッド(HR:Home Routed)ローミングシナリオのためのV-SMFにおいて、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いた進化型パケットシステム(EPS)から5Gシステム(5GS)へのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ;および、(6)EPC/ePDG(進化型パケットデータゲートウェイ)から5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0069】
第2の選択肢として、セキュリティプラットフォームは、Createサービス動作中にNFサービスコンシューマからその後にH-SMFへ送信されるHTTP/2 POST要求のペイロード内のデータ型’PduSessionCreateData’(例えば、3GPP TS 29.502で規定されている)からSUPI情報を抽出する。Createサービス動作(例えば、3GPP TS 29.502で規定されている)は、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWFへのハンドオーバ;および、(6)EPC/ePDGから5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0070】
いくつかの実施形態において、モバイルネットワークにおいてサブスクリプション永久識別子(SUPI)ごとにサービスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、モバイル加入者および加入者のデバイスにセキュリティを提供することを含み、HTTP/2メッセージをパースして5GネットワークにおけるSUPI情報を抽出することによってセキュリティプラットフォームを用いて適用できるセキュリティポリシーを用いて実行される。
【0071】
開示技術を用いて提供できるモバイルネットワーク(例えば、統合モバイルネットワーク事業者/サービスプロバイダ)のための新しい改良セキュリティサービスの例は、以下の内の1以上を含む:(1)SUPIベースのファイアウォールサービスのためにSUPI情報ごとに適用できるセキュリティポリシー;(2)既知の脅威に対するSUPIベースの脅威検出サービス;(3)未知の脅威に対するSUPIベースの高度な脅威検出サービス;(4)既知の脅威に対するSUPIベースの基本的な脅威防御サービス;(5)未知の脅威に対するSUPIベースの高度な脅威防御サービス;(6)SUPIベースのURLフィルタリングサービス;(7)SUPIベースのアプリケーションDoS検出サービス;および、(8)SUPIベースのアプリケーションDoS防御サービス。
【0072】
永久機器識別子(PEI:Permanent Equipment Identifier)ごとのサービスベースのセキュリティ
【0073】
したがって、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるサービスベースのセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。より具体的には、HTTP/2メッセージをパースして、サービスプロバイダのため(5Gセルラーネットワークのため、など)のモバイルネットワークにおける永久機器識別子(PEI)情報を抽出することによって、セキュリティプラットフォームを用いて適用できるサービスベースのセキュリティのためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよび提供するための様々な処理が開示されている。
【0074】
いくつかの実施形態において、HTTP/2メッセージをパースしてPEI情報を抽出することによりセキュリティプラットフォームを用いて適用できる永久機器識別子(PEI)ごとのサービスベースのセキュリティを適用するための様々な技術が開示されている。例えば、5Gセルラーネットワークにおいて、HTTP/2は、サービスベースインターフェース内で利用される。
【0075】
具体的には、HTTP/2は、サービスベースインターフェース内で利用される。IETF RFC 7540に記載されているHTTP/2は、単一の接続上での複数のストリームの多重化、ヘッダ圧縮、および、サーバからクライアントへの要求されていないプッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793に記載されたTCPを転送プロトコルとして用いる。
【0076】
より具体的には、PEIは、3GPP UEが5Gシステムにアクセスするために規定された永久機器識別子である。PEIは、異なるUEタイプおよび利用事例に対して異なるフォーマットを取ることができる。UEは、利用されているPEIフォーマットの示唆と共にネットワークへのPEIを共有する。UEが、少なくとも1つの3GPPアクセス技術をサポートする場合、UEは、国際モバイル機器識別番号(IMEI)フォーマットのPEIを割り当てられる。例えば、PEIは、以下の情報を含みうる:https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=729で入手可能な3GPP TS 23.003で規定されたIMEIまたはIMEISV。
【0077】
いくつかの実施形態において、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、PEI情報が、以下の2つの選択肢を用いて抽出されうる。第1の選択肢として、セキュリティプラットフォームは、‘Create SM Context Request’サービス動作中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータ型‘SmContextCreateData’(例えば、3GPP TS 29.502で規定されている)からPEI情報を抽出する。‘Create SM Context Request’サービス動作(例えば、3GPP TS 29.502で規定されている)は、SMFにおいて、または、ホームルーテッド(HR:Home Routed)ローミングシナリオのためのV-SMFにおいて、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いた進化型パケットシステム(EPS)から5Gシステム(5GS)へのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ;および、(6)EPC/ePDG(進化型パケットデータゲートウェイ)から5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0078】
第2の選択肢として、セキュリティプラットフォームは、Createサービス動作中にNFサービスコンシューマからその後にH-SMFへ送信されるHTTP/2 POST要求のペイロード内のデータ型’PduSessionCreateData’(例えば、3GPP TS 29.502で規定されている)からPEI情報を抽出する。Createサービス動作(例えば、3GPP TS 29.502で規定されている)は、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWFへのハンドオーバ;および、(6)EPC/ePDGから5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0079】
いくつかの実施形態において、モバイルネットワークにおいて永久機器識別子(PEI)ごとにサービスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、モバイル加入者および加入者のデバイスにセキュリティを提供することを含み、HTTP/2メッセージをパースして5GネットワークにおけるPEI情報を抽出することによってセキュリティプラットフォームを用いて適用できるセキュリティポリシーを用いて実行される。
【0080】
開示技術を用いて提供できるモバイルネットワーク(例えば、統合モバイルネットワーク事業者/サービスプロバイダ)のための新しい改良セキュリティサービスの例は、以下の内の1以上を含む:(1)PEIベースのファイアウォールサービスのためにPEI情報ごとに適用できるセキュリティポリシー;(2)既知の脅威に対するPEIベースの脅威検出サービス;(3)未知の脅威に対するPEIベースの高度な脅威検出サービス;(4)既知の脅威に対するPEIベースの基本的な脅威防御サービス;(5)未知の脅威に対するPEIベースの高度な脅威防御サービス;(6)PEIベースのURLフィルタリングサービス;(7)PEIベースのアプリケーションDoS検出サービス;および、(8)PEIベースのアプリケーションDoS防御サービス。
【0081】
一般公開サブスクリプション識別子(GPSI:General Public Subscription Identifier)ごとのサービスベースのセキュリティ
【0082】
したがって、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるサービスベースのセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。より具体的には、HTTP/2メッセージをパースして、サービスプロバイダのため(5Gセルラーネットワークのため、など)のモバイルネットワークにおける一般公開サブスクリプション識別子(GPSI)情報を抽出することによって、セキュリティプラットフォームを用いて適用できるサービスベースのセキュリティのためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよび提供するための様々な処理が開示されている。
【0083】
いくつかの実施形態において、HTTP/2メッセージをパースしてGPSI情報を抽出することによりセキュリティプラットフォームを用いて適用できる一般公開サブスクリプション識別子(GPSI)ごとのサービスベースのセキュリティを適用するための様々な技術が開示されている。例えば、5Gセルラーネットワークにおいて、HTTP/2は、サービスベースインターフェース内で利用される。
【0084】
具体的には、HTTP/2は、サービスベースインターフェース内で利用される。IETF RFC 7540に記載されているHTTP/2は、単一の接続上での複数のストリームの多重化、ヘッダ圧縮、および、サーバからクライアントへの要求されていないプッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793に記載されたTCPを転送プロトコルとして用いる。
【0085】
より具体的には、GPSIは、3GPPシステムの外側の異なるデータネットワークにおいて3GPPサブスクリプションを扱うために用いられる。3GPPシステムは、GPSIと、対応するSUPIとの間の関連付けをサブスクリプションデータ内に格納する。GPSIは、3GPPシステムの内側および外側の両方で利用される公開識別子である。GPSIは、MSISDNまたは外部識別子のいずれかである(例えば、TS 23.003に規定されている)。MSISDNがサブスクリプションデータに含まれる場合、同じMSISDN値が5GSおよびEPSの両方でサポートされることが可能である。
【0086】
いくつかの実施形態において、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、GPSI情報が、以下の2つの選択肢を用いて抽出されうる。第1の選択肢として、セキュリティプラットフォームは、‘Create SM Context Request’サービス動作中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータ型‘SmContextCreateData’(例えば、3GPP TS 29.502で規定されている)からGPSI情報を抽出する。‘Create SM Context Request’サービス動作(例えば、3GPP TS 29.502で規定されている)は、SMFにおいて、または、ホームルーテッド(HR:Home Routed)ローミングシナリオのためのV-SMFにおいて、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いた進化型パケットシステム(EPS)から5Gシステム(5GS)へのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ;および、(6)EPC/ePDG(進化型パケットデータゲートウェイ)から5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0087】
第2の選択肢として、セキュリティプラットフォームは、Createサービス動作中にNFサービスコンシューマからその後にH-SMFへ送信されるHTTP/2 POST要求のペイロード内のデータ型’PduSessionCreateData’(例えば、3GPP TS 29.502で規定されている)からGPSI情報を抽出する。Createサービス動作(例えば、3GPP TS 29.502で規定されている)は、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWFへのハンドオーバ;および、(6)EPC/ePDGから5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0088】
いくつかの実施形態において、モバイルネットワークにおいて一般公開サブスクリプション識別子(GPSI)ごとにサービスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、モバイル加入者および加入者のデバイスにセキュリティを提供することを含み、HTTP/2メッセージをパースして5GネットワークにおけるGPSI情報を抽出することによってセキュリティプラットフォームを用いて適用できるセキュリティポリシーを用いて実行される。
【0089】
開示技術を用いて提供できるモバイルネットワーク(例えば、統合モバイルネットワーク事業者/サービスプロバイダ)のための新しい改良セキュリティサービスの例は、以下の内の1以上を含む:(1)GPSIベースのファイアウォールサービスのためにGPSI情報ごとに適用できるセキュリティポリシー;(2)既知の脅威に対するGPSIベースの脅威検出サービス;(3)未知の脅威に対するGPSIベースの高度な脅威検出サービス;(4)既知の脅威に対するGPSIベースの基本的な脅威防御サービス;(5)未知の脅威に対するGPSIベースの高度な脅威防御サービス;(6)GPSIベースのURLフィルタリングサービス;(7)GPSIベースのアプリケーションDoS検出サービス;および、(8)GPSIベースのアプリケーションDoS防御サービス。
【0090】
モバイルネットワークにおいてサブスクリプション識別子および/または機器識別子ごとにサービスベースのセキュリティを提供するためのこれらおよびその他の実施形態および例について、以下でさらに説明する。
【0091】
サービスプロバイダのためのモバイルネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティのための技術の概要
【0092】
したがって、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるサービスベースのセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。より具体的には、HTTP/2メッセージをパースして、サービスプロバイダのため(5Gセルラーネットワークのため、など)のモバイルネットワークにおけるデータネットワーク名(DNN)情報を抽出することによって、セキュリティプラットフォームを用いて適用できるサービスベースのセキュリティのためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよび提供するための様々な処理が開示されている。
【0093】
いくつかの実施形態において、HTTP/2メッセージをパースしてDNN情報を抽出することによりセキュリティプラットフォームを用いて適用できるデータネットワーク名(DNN)ごとのサービスベースのセキュリティを適用するための様々な技術が開示されている。例えば、5Gセルラーネットワークにおいて、HTTP/2は、サービスベースインターフェース内で利用される。
【0094】
具体的には、HTTP/2は、サービスベースインターフェース内で利用される。IETF RFC 7540に記載されているHTTP/2は、単一の接続上での複数のストリームの多重化、ヘッダ圧縮、および、サーバからクライアントへの要求されていないプッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793に記載されたTCPを転送プロトコルとして用いる。
【0095】
より具体的には、DNNは、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=729で入手可能なTS 23.003で規定されたアクセスポイント名(APN)と等価である。両方の識別子は、等価な意味を有し、同じ情報を運ぶ。例えば、DNNは、以下のために用いられてよい:(1)PDUセッションのためにSMFおよび1以上のUPFを選択するため;もしくは、(2)このPDUセッションに適用するためのポリシーを決定するため。
【0096】
いくつかの実施形態において、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、DNN情報が、以下の2つの選択肢を用いて抽出されうる。第1の選択肢として、セキュリティプラットフォームは、‘Create SM Context Request’サービス動作中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータ型‘SmContextCreateData’(例えば、3GPP TS 29.502で規定されている)からDNN情報を抽出する。‘Create SM Context Request’サービス動作(例えば、3GPP TS 29.502で規定されている)は、SMFにおいて、または、ホームルーテッド(HR:Home Routed)ローミングシナリオのためのV-SMFにおいて、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いた進化型パケットシステム(EPS)から5Gシステム(5GS)へのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ;および、(6)EPC/ePDG(進化型パケットデータゲートウェイ)から5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0097】
第2の選択肢として、セキュリティプラットフォームは、Createサービス動作中にNFサービスコンシューマからその後にH-SMFへ送信されるHTTP/2 POST要求のペイロード内のデータ型’PduSessionCreateData’(例えば、3GPP TS 29.502で規定されている)からDNN情報を抽出する。Createサービス動作(例えば、3GPP TS 29.502で規定されている)は、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWFへのハンドオーバ;および、(6)EPC/ePDGから5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0098】
いくつかの実施形態において、モバイルネットワークにおいてデータネットワーク名(DNN)ごとにサービスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、モバイル加入者および加入者のデバイスにセキュリティを提供することを含み、HTTP/2メッセージをパースして5GネットワークにおけるDNN情報を抽出することによってセキュリティプラットフォームを用いて適用できるセキュリティポリシーを用いて実行される。
【0099】
開示技術を用いて提供できるモバイルネットワーク(例えば、統合モバイルネットワーク事業者/サービスプロバイダ)のための新しい改良セキュリティサービスの例は、以下の内の1以上を含む:(1)DNNベースのファイアウォールサービスのためにDNN情報ごとに適用できるセキュリティポリシー;(2)既知の脅威に対するDNNベースの脅威検出サービス;(3)未知の脅威に対するDNNベースの高度な脅威検出サービス;(4)既知の脅威に対するDNNベースの基本的な脅威防御サービス;(5)未知の脅威に対するDNNベースの高度な脅威防御サービス;(6)DNNベースのURLフィルタリングサービス;(7)DNNベースのアプリケーションDoS検出サービス;および、(8)DNNベースのアプリケーションDoS防御サービス。
【0100】
モバイルネットワークにおいてネットワーク名ごとにサービスベースのセキュリティを提供するためのこれらおよびその他の実施形態および例について、以下でさらに説明する。
【0101】
サービスプロバイダのためのモバイルネットワークにおけるユーザ位置ごとのサービスベースのセキュリティのためのセキュリティ技術の概要
【0102】
したがって、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワーク(5Gセルラーネットワークなど)におけるサービスベースのセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。より具体的には、HTTP/2メッセージをパースして、サービスプロバイダのため(5Gセルラーネットワークのため、など)のモバイルネットワークにおけるユーザ位置情報を抽出することによって、セキュリティプラットフォームを用いて適用できるサービスベースのセキュリティのためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよび提供するための様々な処理が開示されている。
【0103】
いくつかの実施形態において、HTTP/2メッセージをパースしてユーザ位置情報を抽出することによりセキュリティプラットフォームを用いて適用できるユーザ位置ごとのサービスベースのセキュリティを適用するための様々な技術が開示されている。例えば、5Gセルラーネットワークにおいて、HTTP/2は、サービスベースインターフェース内で利用される。
【0104】
具体的には、HTTP/2は、サービスベースインターフェース内で利用される。IETF RFC 7540に記載されているHTTP/2は、単一の接続上での複数のストリームの多重化、ヘッダ圧縮、および、サーバからクライアントへの要求されていないプッシュをサポートするバイナリプロトコルである。HTTP/2は、IETF RFC 793に記載されたTCPを転送プロトコルとして用いる。
【0105】
より具体的には、ユーザ位置は、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3347で入手可能な3GPP T.S 29.571のとおり、EutraLocation、NRLocation、および、N3gaLocationとして規定される。例えば、それらの少なくとも1つが、ユーザ位置に存在する。一部の例において、それらのいくつかが、以下の例に示すように存在してよい。
・EutraLocation=トラッキングエリアID(TAI)+ECGI(EUTRAセルID)
・NRLocation=TAI+NRセルID(NCGI)
・N3gaLocation-IPv4Addr、IPv6Addr、Uinteger
・TAI=PLMN ID(PlmnId)+トラッキングエリアコード(TAC)
・ECGI=PlmnId+EUTRAセルID(EutrCellId)
・NCGI=PlmnId+NRセルID(NrCellId)
・EutraLocation=トラッキングエリアID(TAI)+ECGI(EUTRAセルID)
・NRLocation=TAI+NRセルID(NCGI)
・N3gaLocation-IPv4Addr、IPv6Addr、Uinteger
・TAI=PLMN ID(PlmnId)+トラッキングエリアコード(TAC)
・ECGI=PlmnId+EUTRAセルID(EutrCellId)
・NCGI=PlmnId+NRセルID(NrCellId)
【0106】
いくつかの実施形態において、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ユーザ位置情報が、以下の2つの選択肢を用いて抽出されうる。第1の選択肢として、セキュリティプラットフォームは、‘Create SM Context Request’サービス動作中にNFサービスコンシューマからセッション管理機能(SMF)へ送信されるHTTP/2 POST要求のペイロード内のデータ型‘SmContextCreateData’(例えば、3GPP TS 29.502で規定されている)からユーザ位置情報を抽出する。‘Create SM Context Request’サービス動作(例えば、3GPP TS 29.502で規定されている)は、SMFにおいて、または、ホームルーテッド(HR:Home Routed)ローミングシナリオのためのV-SMFにおいて、所与のプロトコルデータユニット(PDU)セッションについて、個々のセッション管理(SM)コンテキストを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いた進化型パケットシステム(EPS)から5Gシステム(5GS)へのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWF(非3GPPインターワーキング機能)へのハンドオーバ;および、(6)EPC/ePDG(進化型パケットデータゲートウェイ)から5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0107】
第2の選択肢として、セキュリティプラットフォームは、Createサービス動作中にNFサービスコンシューマからその後にH-SMFへ送信されるHTTP/2 POST要求のペイロード内のデータ型’PduSessionCreateData’(例えば、3GPP TS 29.502で規定されている)からユーザ位置情報を抽出する。Createサービス動作(例えば、3GPP TS 29.502で規定されている)は、HRローミングシナリオのためのH-SMFにおいて個々のPDUセッションを生成するために、以下の手順で用いられる:(1)UEが要求したPDUセッション確立;(2)N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバ;(3)N26インターフェースを用いないEPS 5GSモビリティ;(4)特定のシナリオでの3GPPアクセスと非3GPPアクセスとの間のPDUセッションのハンドオーバ;(5)EPSから5GC-N3IWFへのハンドオーバ;および、(6)EPC/ePDGから5GSへのハンドオーバ。なお、各々について、後に詳述する。
【0108】
いくつかの実施形態において、モバイルネットワークにおいてユーザ位置ごとにサービスベースのセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、モバイル加入者および加入者のデバイスにセキュリティを提供することを含み、HTTP/2メッセージをパースして5Gネットワークにおけるユーザ位置情報を抽出することによってセキュリティプラットフォームを用いて適用できるセキュリティポリシーを用いて実行される。
【0109】
開示技術を用いて提供できるモバイルネットワーク(例えば、統合モバイルネットワーク事業者/サービスプロバイダ)のための新しい改良セキュリティサービスの例は、以下の内の1以上を含む:(1)ユーザ位置ベースのファイアウォールサービスのためにユーザ位置(例えば、EutraLocationまたはNRLocation)情報ごとに適用できるセキュリティポリシー;(2)ユーザ位置(例えば、EutraLocationまたはNRLocation)ごとに実行される既知の脅威に対する脅威検出サービス;(3)ユーザ位置(例えば、EutraLocationまたはNRLocation)ごとに実行される未知の脅威に対する高度な脅威検出サービス;(4)ユーザ位置(例えば、EutraLocationまたはNRLocation)ごとに実行される既知の脅威に対する基本的な脅威防御サービス;(5)ユーザ位置(例えば、EutraLocationまたはNRLocation)ごとに実行される未知の脅威に対する高度な脅威防御サービス;(6)ユーザ位置(例えば、EutraLocationまたはNRLocation)ごとに実行されるURLフィルタリングサービス;(7)ユーザ位置(例えば、EutraLocationまたはNRLocation)ごとに実行されるDoS検出サービス;および、(8)ユーザ位置(例えば、EutraLocatio
nまたはNRLocation)ごとに実行されるアプリケーションDoS防御サービス。
nまたはNRLocation)ごとに実行されるアプリケーションDoS防御サービス。
【0110】
モバイルネットワークにおいてユーザ位置ごとにサービスベースのセキュリティを提供するためのこれらおよびその他の実施形態および例について、以下でさらに説明する。
【0111】
モバイルネットワークにおけるマルチアクセス分散型エッジセキュリティのための技術の概要
【0112】
5Gモバイルネットワーク(例えば、5Gネットワーク)において、マルチアクセスエッジコンピューティング(MEC)を利用して、ホスティングアプリケーション、インターネット・オブ・シングス(IoT)データ解析(例えば、IoTデータの集計ポイントとしてMECを用いる)、および/または、その他のサービスなど、高度なプレミアムサービスの待ち時間を低減することができる。しかしながら、制御プレーンおよびユーザプレーンが、5Gネットワークにおいて別個であると仮定すると、同じセキュリティプラットフォームでMECサイトに加入者およびデバイスレベルでセキュリティを適用することは技術的に困難である。
【0113】
したがって、サービスプロバイダネットワークの技術的およびセキュリティ上の課題が、モバイルネットワークにおけるマルチアクセス分散型エッジセキュリティに対して存在する。そのため、かかるサービスプロバイダネットワーク環境(例えば、5Gモバイルネットワーク)におけるマルチアクセス分散型エッジセキュリティのための新しい改良セキュリティ技術が必要とされている。具体的には、サービスプロバイダネットワークトラフィックを監視し、サービスプロバイダネットワークにおけるマルチアクセス分散型エッジセキュリティのためのセキュリティポリシー(例えば、ファイアウォールポリシー)を適用するための新しい改良ソリューションが必要とされている。
【0114】
モバイルネットワーク(例えば、5Gネットワークなど、モバイル加入者のためのサービスプロバイダネットワーク)においてマルチアクセス分散型エッジセキュリティを提供するための技術が開示されている。いくつかの実施形態において、いくつかの実施形態に従ったモバイルネットワークにおけるマルチアクセス分散型エッジセキュリティのためのシステム/処理/コンピュータプログラム製品は、新しいセッションを識別するために、セキュリティプラットフォームで、5Gネットワークまたは統合5Gネットワークを含むサービスプロバイダネットワーク上のネットワークトラフィックを監視することと;セキュリティプラットフォームで新しいセッションに関連するユーザトラフィックのサブスクリプションおよび/または機器の識別子情報を抽出することと;サブスクリプションおよび/または機器の識別子情報に基づいて、新しいセッションにセキュリティプラットフォームで適用するセキュリティポリシーを決定することと、を含む。
【0115】
例えば、モバイル事業者は、一般に、5Gモバイルネットワークにおけるマルチアクセスエッジコンピューティング(MEC)が、ホスティングアプリケーション、インターネット・オブ・シングス(IoT)データ解析(例えば、IoTデータの集計ポイントとしてMECを用いる)、および/または、その他のサービスなど、高度なプレミアムサービスの待ち時間を低減するのを容易にするために有利であると考える。多くのモバイル事業者は、独自のサービスにと共に、5Gネットワーク内のエッジコンピューティングサイト(例えば、エッジサイト)でサードパーティ5Gアプリケーションをホストすることを計画している。
【0116】
一般に、MECおよび制御プレーン/ユーザプレーンの分離は、5Gネットワークにおいてさらなる分散を促進しうる。例えば、米国におけるTIER1モバイル事業者の数十のコアサイトが、配備された5Gネットワークにおいて、数十のコアサイトに加えて数百から数千の分散ローカルMECサイトに移行しうる。
【0117】
したがって、モバイルネットワーク(例えば、5Gネットワークなど、モバイル加入者のためのサービスプロバイダネットワーク)においてマルチアクセス分散型エッジセキュリティを提供するために、サービスプロバイダネットワーク環境内での改良セキュリティプラットフォーム(例えば、開示技術を用いてセキュリティポリシーを実施できるファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、別のデバイス/コンポーネント)のための技術が開示されている。具体的には、サービスプロバイダのためのモバイルネットワークにおけるマルチアクセス分散型エッジセキュリティを提供できるセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。より具体的には、サービスプロバイダのためのモバイルネットワークにおけるマルチアクセス分散型エッジセキュリティを提供するためのセキュリティプラットフォームをサービスプロバイダネットワーク環境内に実装するための様々なシステムアーキテクチャおよびそれを提供するための様々な処理が開示されている。
【0118】
いくつかの実施形態において、所与の5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、5G MECセキュリティが、5G技術ベースのモバイルネットワークにおいてセキュリティプラットフォームを用いて(例えば、図1Eに関して後に詳述するような、5Gネットワーク内のN4インターフェースを監視するために様々な位置に配備された1以上のセキュリティプラットフォームを用いて)実行される。セキュリティプラットフォームは、セッション管理機能(SMF)コンポーネント/要素と、ユーザプレーン機能(UPF)コンポーネント/要素との間のN4インターフェース上でパケット転送制御プロトコル(PFCP)メッセージをパースする。セキュリティプラットフォームは、パースされたPFCPメッセージから、例えば、サブスクリプション関連情報および/または機器識別子関連情報を抽出するよう構成される。5G規格/仕様に規定されるように、PFCPメッセージは、(例えば、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3111で入手可能な3GPP TS 29.244 V15.3で規定されるように)5Gネットワークにおける制御プレーンおよびユーザプレーン機能の間のインターフェース上で用いられる。
【0119】
一実施例において、マルチアクセス分散型エッジ5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、サブスクリプションおよび機器の識別子は、後に詳述するように抽出されうる。PFCPセッション確立要求が、ユーザプレーン(UP)機能(UPF)(例えば、図1Eに示すような5Gユーザプレーン機能)において新たなPFCPセッションコンテキストを確立するために、制御プレーン(CP)機能(例えば、図1Eに示すような5Gコア制御/シグナリング機能)によってN4インターフェースで送信される。このメッセージは、任意選択的な情報要素(IE)「ユーザID」例えば、「ユーザID」IEは、図2Kに示すようなN4セッション確立要求に含まれうる)を含んでよく、この情報要素は、事業者ポリシーに基づいて存在してよい(例えば、3GPP TS 29.244 V15.3仕様に基づいて、UP機能が信頼できる環境に位置する場合にのみ送信される)。「ユーザID」IEは、以下の情報/パラメータを含みうる:国際モバイル加入者識別番号(IMSI)(例えば、IMSIは、3GPP TS 23.003に規定されるように、各モバイル加入者に割り当てられる15桁以下の一意的な数字である)、国際モバイル機器識別番号(IMEI)(例えば、IMEIは、3GPP TS 23.003に規定されるように、15または16桁の一意的な機器識別子である)、モバイル加入者ISDN(MSISDN)(例えば、MSISDNは、3GPP TS 23.003に規定されている)、および/または、ネットワークアクセス識別子(NAI)(例えば、NAIは、ネットワークアクセス認証中にクライアントによって提示されるユーザIDであり、ローミングのために、NAIは、ユーザの識別および認証要求のルーティングの支援のために利用されてよく、3GPP TS 23.003に規定されるようにプライベートネットワークに用いられてもよい)。
【0120】
一実施形態において、セキュリティプラットフォームは、パケット転送制御プロトコル(PFCP)セッション確立要求およびPFCPセッション確立応答メッセージをパースして、サブスクリプションおよび/または機器識別子情報を抽出し、ここで、サブスクリプションおよび/または機器識別子情報は、国際モバイル加入者識別番号(IMSI)、国際モバイル機器識別番号(IMEI)、および/または、モバイル加入者ISDN(MSISDN)関連情報によって識別される。
【0121】
一実施形態において、モバイルネットワークにおいてマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、さらに、セキュリティポリシーに基づいて、新しいセッションがリソースにアクセスするのをブロックすることを含む。
【0122】
一実施形態において、モバイルネットワークにおいてマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、新しいセッションを識別するために、セキュリティプラットフォームで、5Gネットワークまたは統合5Gネットワークを含むサービスプロバイダネットワーク上のネットワークトラフィックを監視することと;セキュリティプラットフォームで新しいセッションに関連するユーザトラフィックのネットワークアクセス識別子情報を抽出することと;ネットワークアクセス識別子情報に基づいて、新しいセッションにセキュリティプラットフォームで適用するセキュリティポリシーを決定することと、を含む。
【0123】
一実施形態において、ネットワークアクセス識別子は、ネットワークアクセス識別子(NAI)関連情報によって識別され、ここで、NAIは、ネットワークアクセス認証中にクライアントによって提示されるユーザ識別子に関連する。
【0124】
いくつかの実施形態において、モバイルネットワークでマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、5Gネットワークにおいて国際モバイル加入者識別番号(IMSI)ごとに(例えば、適用されうるセキュリティプラットフォームによって実装されたセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0125】
いくつかの実施形態において、モバイルネットワークでマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、5Gネットワークにおいてネットワークアクセス識別子(NAI)ごとに(例えば、適用されうるセキュリティプラットフォームによって実装されたセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0126】
いくつかの実施形態において、モバイルネットワークでマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、5Gネットワークにおいて国際モバイル機器識別番号(IMEI)ごとに(例えば、適用されうるセキュリティプラットフォームによって実装されたセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0127】
いくつかの実施形態において、モバイルネットワークでマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、5Gネットワークにおいてモバイル加入者ISDN(MSISDN)ごとに(例えば、適用されうるセキュリティプラットフォームによって実装されたセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0128】
いくつかの実施形態において、モバイルネットワークにおいてマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、さらに、5Gネットワークにおいてマルチアクセス分散型エッジ位置で(例えば、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客に)脅威識別および防御を提供するために、IMSI、IMEI、MSISDN、および/または、NAIごとに(例えば、適用できるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0129】
いくつかの実施形態において、モバイルネットワークにおいてマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、さらに、5Gネットワークにおいてマルチアクセス分散型エッジ位置で(例えば、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客に)アプリケーション識別(APP ID)および制御を提供するために、IMSI、IMEI、MSISDN、および/または、NAI毎に(例えば、適用できるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0130】
いくつかの実施形態において、モバイルネットワークにおいてマルチアクセス分散型エッジセキュリティを提供するためのシステム/処理/コンピュータプログラム製品は、さらに、5Gネットワークにおいてマルチアクセス分散型エッジ位置で(例えば、複数の加入者、モバイル加入者、および、加入者のデバイスを持つ顧客に)ユニフォームリソースロケータ(URL)フィルタリングを提供するために、IMSI、IMEI、MSISDN、および/または、NAIごとに(例えば、適用できるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供することを含む。
【0131】
一例として、モバイルネットワーク事業者は、開示されたセキュリティプラットフォームおよび技術を用いて、5Gネットワークにおいてマルチアクセス分散型エッジベースのネットワークを保護することができる。
【0132】
別の例として、モバイルネットワーク事業者は、開示されたセキュリティプラットフォームおよび技術を用いて、5Gネットワークにおいてエッジコンピューティングソリューションを利用する業種(工場/倉庫、空港、駅、ショッピングモール、コンテンツプロバイダ、コネクテッドビークル、および/または、様々なインターネット・オブ・シングス(IoT)デバイス(例えば、5Gラジオアクセス技術と、5Gおよび非5Gアクセス技術の間のハンドオーバとを利用するネットワークに接続するセルラーIoT(CIoT)デバイス)など)に様々なセキュリティサービスを提供することができる。
【0133】
モバイルネットワークにおいてマルチアクセス分散型エッジセキュリティを提供するためのこれらおよびその他の実施形態および例について、以下でさらに説明する。
【0134】
サービスプロバイダのための5Gネットワークの強化セキュリティを実装するためのシステムアーキテクチャ例
【0135】
一般に、5Gは、モバイル通信システムの第5世代である。第3世代パートナーシッププロジェクト(3GPP)(例えば、3GPPは、7つの遠隔通信規格開発機関(ARIB、ATIS、CCSA、ETSI、TSDSI、TTA、TTC)を含む)。プロジェクトは、ラジオアクセス、コア伝送ネットワーク、および、サービス機能など、セルラー遠隔通信ネットワーク技術を網羅する。また、仕様は、コアネットワークへの非ラジオアクセスのためおよびWi-Fiネットワークとのインターワークのためのフックを提供し、ITU、IETF、および、ETSIを含むその他の機関が5G規格を開発している。新しい5Gネットワーク規格の改善の一部は、例えば、短い待ち時間(例えば、約10ミリ秒(MS)未満)、高スループット(例えば、数Gbps)、分散、ネットワーク機能仮想化インフラ、ならびに、組織化、解析、および、自動化を含む。
【0136】
5Gアーキテクチャは、(例えば、https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144で入手可能な)3GPP TS 23.501 v15.3.0でサービスベースのアーキテクチャとして規定されており、ネットワーク機能(NF)の間の相互作用は、以下の2つの方法で表される:(1)サービスベース表現:ここで、制御プレーン(CP)内のNFは、他の許可ネットワーク機能がそれらのサービスにアクセスすることを可能にする;および、(2)基準点表現:任意の2つのネットワーク機能の間のポイントツーポイントの基準点によって規定されたNFのペアの間の相互作用に重点を置く。
【0137】
5Gアーキテクチャにおいて、アクセスネットワークと、バックボーンネットワーク上のコアとの間のユーザプレーンプロトコルスタックは、N3インターフェース上(例えば、ラジオアクセスネットワーク(RAN)とUPF要素との間)では、(例えば、後に詳述する図1Eに示すような)UDPプロトコル上のGPRSトンネルプロトコルユーザプレーン(GTP-U)に基づき、また、N4インターフェース上(例えば、UPF要素とSMF要素との間)では、(後に詳述する図1Eに示すような)UDPプロトコル上のパケット転送制御プロトコル(PFCP)に基づく。5Gシステムアーキテクチャにおける制御プレーンNFは、サービスベースのアーキテクチャに基づく。HTTP/2は、サービスベースのインターフェース上で用いられるプロトコルである。新しい5Gアクセスネットワークプロトコルは、ストリーム制御伝送プロトコル(SCTP)に基づく。
【0138】
したがって、いくつかの実施形態において、開示技術は、監視されたGTP-Uトンネルセッションと新しいHTTP/2ベースのTCPセッションとの間の相関(後に詳述する)、および、別の例として、(例えば、N3インターフェース上の)監視されたGTP-Uトンネルと(例えば、N4インターフェース上の)PFCPセッションとの間の相間(後に詳述する)を容易にする、例えば、GTP-Uセッションおよび新しいHTTP/2ベースTCPセッションのDPI機能(例えば、ステートフルインスペクションを含む)を提供するよう構成されたセキュリティプラットフォーム(例えば、Palo Alto Networks社のNGFW上で実行するPANOS、または、別のセキュリティプラットフォーム/NFGW)を提供することを含む。
【0139】
いくつかの実施形態において、セキュリティプラットフォーム(例えば、Palo Alto Networks社のNGFW上で実行するPANOS、または、別のセキュリティプラットフォーム/NFGW)は、以下のDPI機能を提供するよう構成される:N3 GTP-Uトンネルおよび/またはN4 GTP-Uトンネルのステートフルインスペクション;(例えば、N3 GTP-Uトンネルの内部IPセッションのコンテンツを検査するための)N3 GTP-Uトンネルおよび/または(例えば、N4 PFCPセッションのコンテンツを検査するための)N4 PFCPセッションのコンテンツインスペクション;5Gシステムが5Gセルラー技術をサポートするためのプロシージャのための3GPP技術仕様(TS)29.274 V15.3.0 Release 15(例えば、および、より新しいリリース)のサポート;ならびに、GTP-Uプロトコルのための3GPP技術仕様(TS)29.281 V15.4.0 Release 14(例えば、および、より新しいリリース)のサポート。
【0140】
図1Aは、いくつかの実施形態に従って、モバイルネットワークにおいて5Gマルチアクセスセキュリティを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図である。図1Aは、以下で詳述するように5Gマルチアクセスセキュリティを提供するために、制御プレーン/シグナリングネットワークにセキュリティプラットフォーム102aおよびセキュリティプラットフォーム102bを備えたマルチアクセス5Gネットワークアーキテクチャのためのサービスプロバイダネットワーク環境の一例である(例えば、セキュリティプラットフォームの各々は、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを用いて実装されうる)。図に示すように、5Gネットワークは、さらに、様々なアプリケーション、ウェブサービス、コンテンツホストなど、および/または、他のネットワークへアクセスするために、ローカルデータネットワーク(例えば、企業ネットワーク)112およびデータネットワーク(例えば、インターネット)120などで、(例えば、スマートフォン、ラップトップ、コンピュータ(固定位置にあってよい)、および/または、CIoTデバイスなどのその他のセルラー対応デバイス/機器、または、その他のネットワーク通信対応デバイスなど、ユーザ機器(UE)を用いて)加入者のためのデータ通信を容易にするために、104で示すような固定/有線アクセス、106で示すようなWi-Fiアクセスなどの非3GPPアクセス、108で示すような5Gラジオアクセスネットワーク(RAN)、110で示すような4G RANアクセス、および/または、その他のネットワーク(図1Aでは図示せず)を備えうる。 図1Aに示すように、5Gネットワークアクセスメカニズム104、106、108、および、110の各々は、セキュリティプラットフォーム102aを通して、5Gユーザプレーン機能114aと通信し、5Gユーザプレーン機能114aは、5Gユーザプレーン機能114bと通信する。図に示すように、4G RAN110および5G RAN108は、5Gコア制御/シグナリング機能118と通信し、5Gコア制御/シグナリング機能118は、5Gユーザプレーン機能114bと通信する。
【0141】
図1Aを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102aおよび102bを用いて監視される。例えば、セキュリティプラットフォーム102aは、後に詳述するように、監視されたGTP-Uトンネルセッションと新しいHTTP/2ベースのTCPセッションとの間の相関を提供するなどの目的で、開示技術を容易にするために、セキュリティプラットフォーム102bとも通信できる。図に示すように、ネットワークトラフィック通信は、後に詳述するように、開示セキュリティ技術を実行するよう構成されたセキュリティプラットフォーム102aおよび102b(例えば、ファイアウォール(FW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを各々備えた(仮想)デバイス/アプライアンス)を用いて、5Gネットワーク内で監視/フィルタリングされる。さらに、セキュリティプラットフォーム102aおよび/または102bは、インターネットなどを介して、クラウドセキュリティサービス122(例えば、マルウェアサンプルの自動解析と、セキュリティエキスパート解析とを含む市販のクラウドベースセキュリティサービス(Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFire(商標)クラウドベースマルウェア解析環境など):ただし、別のベンダーが提供する同様のソリューションが利用されてもよい)ともネットワーク通信できる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、および/または、その他のマルウェアに対する動的防御シグネチャをセキュリティプラットフォームに提供するため、および、さらなるセキュリティ解析に向けてマルウェアサンプルを受信するために利用されうる。ここで明らかになるように、ネットワークトラフィック通信は、5Gマルチアクセスセキュリティを容易にするために、5Gネットワーク内の様々な位置でネットワークトラフィック通信のための1以上のセキュリティプラットフォームを用いて監視/フィルタリングされうる。
【0142】
図1Bは、いくつかの実施形態に従って、モバイルネットワークにおいて5Gマルチエッジセキュリティを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図である。図1Bは、以下で詳述するように5Gマルチエッジセキュリティを提供するために、5Gユーザプレーン機能114a~cおよびローカルデータネットワーク112a~bへの通信を監視するために、102a、102b、102c、および、102dで示すように5Gネットワークのエッジ上の様々な位置にあるセキュリティプラットフォームと、コアネットワーク116内の5Gコア制御/シグナリング機能118への通信を監視するためのセキュリティプラットフォーム102eと、を備えるマルチエッジ5Gネットワークアーキテクチャのためのサービスプロバイダネットワーク環境の一例である(例えば、セキュリティプラットフォームの各々は、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを用いて実装されうる)。
【0143】
図1Bを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102a~eを用いて監視される。 例えば、セキュリティプラットフォーム102aおよび102bは、後に詳述するように、監視されたGTP-Uトンネルセッションと新しいHTTP/2ベースのTCPセッションとの間の相関を提供するなどの目的で、開示技術を容易にするために、セキュリティプラットフォーム102eとも通信できる。図に示すように、ネットワークトラフィック通信は、後に詳述するように、開示セキュリティ技術を実行するよう構成されたセキュリティプラットフォーム102a~e(例えば、ファイアウォール(FW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを各々備えた(仮想)デバイス/アプライアンス)を用いて、5Gネットワーク内で監視/フィルタリングされる。図1Aに関して上述したのと同様に、セキュリティプラットフォーム102a~eの内の1以上は、インターネットなどを介して、クラウドセキュリティサービス122(図1Bでは図示せず)(例えば、マルウェアサンプルの自動解析と、セキュリティエキスパート解析とを含む市販のクラウドベースセキュリティサービス(Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFire(商標)クラウドベースマルウェア解析環境など):ただし、別のベンダーが提供する同様のソリューションが利用されてもよい)ともネットワーク通信できる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、および/または、その他のマルウェアに対する動的防御シグネチャをセキュリティプラットフォームに提供するため、および、さらなるセキュリティ解析に向けてマルウェアサンプルを受信するために利用されうる。ここで明らかになるように、ネットワークトラフィック通信は、5Gマルチエッジセキュリティを容易にするために、5Gネットワーク内の様々な位置でネットワークトラフィック通信のための1以上のセキュリティプラットフォームを用いて監視/フィルタリングされうる。
【0144】
図1Cは、いくつかの実施形態に従って、モバイルネットワークにおいて5Gローミングセキュリティ-ホームルーテッドシナリオを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図である。図1Cは、以下で詳述するように5Gローミングセキュリティを提供するために、5Gユーザプレーン機能114-bおよびローミング/ピアリングネットワーク124への通信を監視するため、および、5Gコア制御/シグナリング機能118を監視するためのセキュリティプラットフォームを備えたローミング5Gネットワークアーキテクチャのためのサービスプロバイダネットワーク環境の一例である(例えば、セキュリティプラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを用いて実装されうる)。
【0145】
図1Cを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102aを用いて監視される。 具体的には、このローミングセキュリティ-ホームルーテッドシナリオでは、単一のファイアウォールが、制御プレーン(HTTP/2)トラフィックおよびユーザプレーン(GTP-U)トラフィックの両方を監視する(例えば、図1Cに示すように、N32インターフェースが制御プレーントラフィックを伝送し、N9インターフェースがGTP-Uトラフィックを伝送する)。例えば、セキュリティプラットフォーム102aは、後に詳述するように、監視されたGTP-Uトンネルセッションと新しいHTTP/2ベースのTCPセッションとの間の相関を提供するなどの目的で、開示技術を容易にすることができる。図に示すように、ネットワークトラフィック通信は、後に詳述するように、開示セキュリティ技術を実行するよう構成されたセキュリティプラットフォーム102a(例えば、ファイアウォール(FW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを備えた(仮想)デバイス/アプライアンス)を用いて、5Gネットワーク内で監視/フィルタリングされる。図1Aに関して上述したのと同様に、セキュリティプラットフォーム102aは、インターネットなどを介して、クラウドセキュリティサービス122(図1Cでは図示せず)(例えば、マルウェアサンプルの自動解析と、セキュリティエキスパート解析とを含む市販のクラウドベースセキュリティサービス(Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFire(商標)クラウドベースマルウェア解析環境など):ただし、別のベンダーが提供する同様のソリューションが利用されてもよい)ともネットワーク通信できる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、および/または、その他のマルウェアに対する動的防御シグネチャをセキュリティプラットフォームに提供するため、および、さらなるセキュリティ解析に向けてマルウェアサンプルを受信するために利用されうる。ここで明らかになるように、ネットワークトラフィック通信は、5Gローミングセキュリティを容易にするために、5Gネットワーク内の様々な位置でネットワークトラフィック通信のための1以上のセキュリティプラットフォームを用いて監視/フィルタリングされうる。
【0146】
図1Dは、いくつかの実施形態に従って、モバイルネットワークにおいて5Gローミングセキュリティ-ローカルブレイクアウトシナリオを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図である。図1Dは、以下で詳述するように5Gローミングセキュリティを提供するために、5Gユーザプレーン機能114a~bおよびローカルデータネットワーク112およびローミング/ピアリングネットワーク124への通信を監視するためのセキュリティプラットフォーム102aと、5Gコア制御/シグナリング機能118への通信を監視するためのセキュリティプラットフォーム102bとを含む5Gネットワークのエッジ上の様々な位置にあるセキュリティプラットフォームを備えたローミング5Gネットワークアーキテクチャのためのサービスプロバイダネットワーク環境の一例である(例えば、セキュリティプラットフォームの各々は、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを用いて実装されうる)。
【0147】
図1Dを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102aおよび102bを用いて監視される。具体的には、このローミングセキュリティ-ローカルブレイクアウトシナリオでは、N32インターフェースは、制御プレーントラフィックを伝送し、N3インターフェースは、5G RANと、GTP-Uトラフィックを伝送するユーザプレーン機能との間のインターフェースである。例えば、セキュリティプラットフォーム102aは、後に詳述するように、監視されたGTP-Uトンネルセッションと新しいHTTP/2ベースのTCPセッションとの間の相関を提供するなどの目的で、開示技術を容易にするために、セキュリティプラットフォーム102bとも通信できる。図に示すように、ネットワークトラフィック通信は、後に詳述するように、開示セキュリティ技術を実行するよう構成されたセキュリティプラットフォーム102aおよび102b(例えば、ファイアウォール(FW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを各々備えた(仮想)デバイス/アプライアンス)を用いて、5Gネットワーク内で監視/フィルタリングされる。図1Aに関して上述したのと同様に、セキュリティプラットフォーム102aおよび102bの内の1以上は、インターネットなどを介して、クラウドセキュリティサービス122(図1Dでは図示せず)(例えば、マルウェアサンプルの自動解析と、セキュリティエキスパート解析とを含む市販のクラウドベースセキュリティサービス(Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFire(商標)クラウドベースマルウェア解析環境など):ただし、別のベンダーが提供する同様のソリューションが利用されてもよい)ともネットワーク通信できる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、および/または、その他のマルウェアに対する動的防御シグネチャをセキュリティプラットフォームに提供するため、および、さらなるセキュリティ解析に向けてマルウェアサンプルを受信するために利用されうる。ここで明らかになるように、ネットワークトラフィック通信は、5Gローミングセキュリティを容易にするために、5Gネットワーク内の様々な位置でネットワークトラフィック通信のための1以上のセキュリティプラットフォームを用いて監視/フィルタリングされうる。
【0148】
図1Eは、いくつかの実施形態に従って、モバイルネットワークにおいて5Gマルチアクセス分散型エッジセキュリティを提供するためのセキュリティプラットフォームを備えた5G無線ネットワークを示すブロック図である。図1Eは、以下で詳述するように5Gマルチアクセスセキュリティを提供するために、5Gユーザプレーン機能114a~cおよびローカルデータネットワーク112a~bへの通信ならびにコアネットワーク116内の5Gコア制御/シグナリング機能118への通信を監視するための様々な位置にあるセキュリティプラットフォーム102aおよびセキュリティプラットフォーム102bを備えたマルチアクセス分散型エッジ5Gネットワークアーキテクチャのためのサービスプロバイダネットワーク環境の一例である(例えば、セキュリティプラットフォームの各々は、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを用いて実装されうる)。図に示すように、5Gネットワークは、さらに、様々なアプリケーション、ウェブサービス、コンテンツホストなど、および/または、他のネットワークへアクセスするために、ローカルデータネットワーク(例えば、企業ネットワーク)112aおよび112bならびに中央データネットワーク(例えば、インターネット)120などで、(例えば、スマートフォン、ラップトップ、コンピュータ(固定位置にあってよい)、および/または、CIoTデバイスなどのその他のセルラー対応デバイス/機器、または、その他のネットワーク通信対応デバイスなど、ユーザ機器(UE)を用いて)加入者のためのデータ通信を容易にするために、104で示すような固定/有線アクセス、106で示すようなWi-Fiアクセスなどの非3GPPアクセス、108で示すような5Gラジオアクセスネットワーク(RAN)、110で示すような4G RANアクセス、および/または、その他のネットワーク(図1Eでは図示せず)を備えうる。図1Eに示すように、5Gネットワークアクセスメカニズム104、106、108、および、110の各々は、セキュリティプラットフォーム(例えば、NGFW)102aを通して、5Gユーザプレーン機能114aと通信し、セキュリティプラットフォーム(例えば、NGFW)102bを通して、5Gユーザプレーン機能114bと通信する。図に示すように、4G RAN110および5G RAN108は、5Gコア制御/シグナリング機能(SMF)118と通信し、5Gコア制御/シグナリング機能118は、5Gユーザプレーン機能114cと通信する。
【0149】
図1Eを参照すると、ネットワークトラフィック通信が、セキュリティプラットフォーム102aおよび/または102bを用いて監視される。例えば、セキュリティプラットフォーム102aおよび/または102bは、後に詳述するように、監視されたGTP-Uトンネル(例えば、N3インターフェース上)とPFCPセッション(例えば、N4インターフェース上)との間の相関を提供するなどの目的で、開示技術を容易にするよう構成可能である(例えば、任意選択的に、互いに通信する、(セキュリティプラットフォーム102aに関して示した)クラウドセキュリティ122と通信する、および/または、他のセキュリティプラットフォーム(図示せず)と通信することができる)。図に示すように、ネットワークトラフィック通信は、後に詳述するように、開示セキュリティ技術を実行するよう構成されたセキュリティプラットフォーム102aおよび/または102b(例えば、ファイアウォール(FW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示技術を用いてセキュリティポリシーを実施できる別のデバイス/コンポーネントを各々備えた(仮想)デバイス/アプライアンス)を用いて、5Gネットワーク内で監視/フィルタリングされる。さらに、セキュリティプラットフォーム102aおよび/または102bは、インターネットなどを介して、クラウドセキュリティサービス122(例えば、マルウェアサンプルの自動解析と、セキュリティエキスパート解析とを含む市販のクラウドベースセキュリティサービス(Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFire(商標)クラウドベースマルウェア解析環境など):ただし、別のベンダーが提供する同様のソリューションが利用されてもよい)ともネットワーク通信できる。例えば、クラウドセキュリティサービス122は、マルウェア、DNS、URL、CNCマルウェア、および/または、その他のマルウェアに対する動的防御シグネチャをセキュリティプラットフォームに提供するため、および、さらなるセキュリティ解析に向けてマルウェアサンプルを受信するために利用されうる。ここで明らかになるように、ネットワークトラフィック通信は、5Gマルチアクセス分散型エッジ(例えば、MEC)セキュリティを容易にするために、5Gネットワーク内の様々な位置でネットワークトラフィック通信のための1以上のセキュリティプラットフォームを用いて監視/フィルタリングされうる。
【0150】
したがって、これらおよび様々なその他のネットワークアーキテクチャ例は、トラフィック監視およびフィルタリングを実行するために1以上のセキュリティプラットフォームが提供されうる5Gモバイルネットワーク環境に開示セキュリティ技術を用いて、後に詳述するようにシグナリングおよびDPI情報に基づいてサービスプロバイダのための5Gモバイルネットワークに新規な改良5G関連セキュリティ技術(改良5G関連MECセキュリティ技術など)を提供することができる。開示された実施形態に照らして当業者にとって明らかなように、1以上のセキュリティプラットフォームが、後に詳述するように開示セキュリティ技術を実行するために、これらのネットワークアーキテクチャ内の様々な他の位置に(例えば、図1A~Eに示したようなセキュリティプラットフォームによって示したもの、および/または、図1A~Eに示したような5Gユーザプレーン機能および/または5Gコア制御/シグナリング機能内のエンティティなどサービスプロバイダのネットワーク内の既存デバイスで実行されうるエージェントまたは仮想マシン(VM)インスタンスとして実装されるものなど、インラインのパススルーNGFW)、および、様々
な無線ネットワーク環境に、同様に提供されてもよい。
な無線ネットワーク環境に、同様に提供されてもよい。
【0151】
5Gネットワークにおけるネットワークスライスベースのセキュリティ
【0152】
ネットワークスライスは、地上波公共移動通信ネットワーク(PLMN)内の論理ネットワークであり、PLMNは、ラジオアクセスネットワーク(RAN)機能、コアネットワーク制御プレーン、および、ユーザプレーン機能を含む完全なネットワークの機能を提供できる。1つのネットワークが、1またはいくつかのネットワークスライスをサポートできる。一般に、ネットワークスライシングは、事業者(例えば、5Gネットワークのサービスプロバイダ)が、カスタマイズされたネットワークを提供することを可能にする。例えば、機能(例えば、優先順位、課金、ポリシー制御、セキュリティ、および、モビリティ)に関する異なる要件、性能要件(例えば、待ち時間、モビリティ、利用可能性、信頼性、および、データレート)の差が存在しうるか、もしくは、ネットワークが、特定のユーザ(例えば、MPSユーザ、公衆安全ユーザ、企業顧客、ローミングサービス利用者、または、仮想移動体通信業者(MVNO)のホスト)にのみサービスを提供しうる。
【0153】
ネットワークスライスは、S-NSSAI(シングルネットワークスライス選択支援情報)によって識別される。5Gの標準的な実装の例において、S-NSSAIは、スライス/サービスタイプ(SST)(8ビット)と、スライスディファレンシエータ(SD)およびオプション情報(24ビット)と、を含む。本明細書にさらに記載するように、ネットワークスライス情報は、いくつかの実施形態に従って、5Gネットワークにおいてセキュリティを適用するために監視および抽出されうる。
【0154】
いくつかの実施形態において、ネットワークスライスベースのセキュリティが、HTTP/2メッセージをパースしてネットワークスライス情報を抽出することによって、5G携帯電話ネットワーク内に配置されたセキュリティプラットフォームを用いて実行される。一実施例において、HTTP/2は、3GPP TS 29.500 V15.1.0で規定されるようにサービスベースのインターフェース内で用いられる。
5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報は、以下の2つのサービス動作制御メッセージから抽出されうる:
5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報は、以下の2つのサービス動作制御メッセージから抽出されうる:
【0155】
(1)Nsmf_PDUSession_CreateSMContext Request:SMFにおいて、または、HRローミングシナリオのためのV-SMFにおいて、所与のPDUセッションについて、個々のSMコンテキストを生成するために、3GPP TS 29.502 V 15.3.0で規定されたCreate SM Contextサービス動作で用いられる。
【0156】
(2) Nsmf_PDUSession_Create Request:HRローミングシナリオのためのH-SMFにおいて、個々のPDUセッションを生成するために、3GPP TS 29.502 V 15.3.0で規定されたCreateサービス動作で用いられる。
【0157】
具体的には、Nsmf_PDUSession_CreateSMContext Requestは、以下の手順で用いられる:
【0158】
(1)3GPP TS 23.502 V15.3.0の4.3.2項で規定された非ローミングおよびローカルブレイクアウトでのローミングのためのUE要求PDUセッション確立手順のケース。Nsmf_PDUSession_CreateSMContext Requestは、図2Aに関して以下で詳述するように、AMFからSMFへ送信される。
【0159】
図2Aは、いくつかの実施形態に従って、5Gネットワークにおける非ローミングおよびローカルブレイクアウトでのローミングのためのUE要求PDUセッション確立のフローの一例を示す図である。図2Aを参照すると、AMF206からSMF210へ送信される第1メッセージは、202で示すようにNsmf_PDUSession_CreateSMContext Requestメッセージである。Nsmf_PDUSession_CreateSMContext Requestメッセージは、SMFにおいて、または、HRローミングシナリオのためのV-SMFにおいて、所与のPDUセッションについて、個々のSMコンテキストを生成するために、3GPP TS 29.502 V 15.3.0で規定されたCreate SM Contextサービス動作で用いられる。それに応答して、Nsmf_PDUSession_CreateSMContext Responseメッセージが、204で示すように、SMF210からAMF206へ送信される。
【0160】
図2Bは、いくつかの実施形態に従って、5Gネットワークにおける非ローミングおよびローカルブレイクアウトでのローミングのためのUE要求PDUセッション確立および変更/更新のフローの一例を示す図である。図2Bを参照すると、Nsmf_PDUSession_UpdateSMContext Requestメッセージが、212で示すように、AMF206からSMF210へ送信される。それに応答して、 Nsmf_PDUSession_UpdateSMContext Responseメッセージが、214で示すように、SMF210からAMF206へ送信される。
【0161】
図2Cは、いくつかの実施形態に従って、5GネットワークにおいてN26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバのフローの一例を示す図である。例えば、N26インターフェースを用いたEPSから5GSへのアイドルモードモビリティまたはハンドオーバのケースは、3GPP TS 23.502 V15.2.0の4.11項に規定されている。Nsmf_PDUSession_Create Requestが、V-SMFからH-SMFへ送信される。Nsmf_PDUSession_CreateSMContext Requestが、AMFからSMF+PGW-Cへ送信される。Nsmf_PDUSession_CreateSMContext Requestが、ホームルーテッドシナリオの場合に、AMFからV-SMFへ送信される。図2Cを参照すると、MME220からSMF+PGW-C222へ送信される第1メッセージは、224で示すようにNsmf_PDUSession_CreateSMContext Requestメッセージである。それに応答して、Nsmf_PDUSession_CreateSMContext Responseメッセージが、226で示すように、PGW-C222からMME220へ送信される。
【0162】
図2Dは、いくつかの実施形態に従って、5GSネットワークにおいてN26インターフェースを用いないEPSから5GSへのモビリティ手順のフローの一例を示す図である。例えば、N26インターフェースケースを用いないEPSから5GSへのモビリティのケースは、3GPP TS 23.502 V15.2.0の4.11.2.3項に規定されている。Nsmf_PDUSession_Create Requestが、V-SMFからH-SMFへ送信される。Nsmf_PDUSession_CreateSMContext Requestが、新たなAMF230からSMF+PGW-C 232へ送信される。図2Dを参照すると、Nsmf_PDUSession_CreateSMContext Requestメッセージが、234に示すように、UE要求PDUセッション確立手順中にやり取りされる。
【0163】
図2Eは、いくつかの実施形態に従って、5GネットワークにおいてソースAMFによって用いられるSMコンテキストのSMFリソース識別子をターゲットAMFが知らない3GPPアクセスおよび非3GPPアクセスの間のPDUセッションのハンドオーバのフローの一例を示す図である。一例は、3GPP TS 23.502 V15.2.0の4.9.2.3.2項に規定されたようにターゲットAMFがN3IWFのPLMN内にない場合など、5GネットワークにおいてソースAMFによって用いられるSMコンテキストのSMFリソース識別子をターゲットAMFが知らない3GPPアクセスおよび非3GPPアクセスの間のPDUセッションのハンドオーバである。Nsmf_PDUSession_CreateSMContext Requestが、AMF236からV-SMF238へ送信される。図2Eを参照すると、Nsmf_PDUSession_CreateSMContext Requestメッセージが、240に示すように、UE要求UEセッション確立手順中にやり取りされる。
【0164】
図2Fは、いくつかの実施形態に従って、5GネットワークにおけるHPLMN(ホームルートローミング)内のN3IWFによる3GPPアクセスから信頼できない非3GPPへのPDUセッションのハンドオーバのフローの一例を示す図である。例えば、この例は、3GPP TS 23.502の4.9.2.4.2項に規定されるように、UEがローミングしており、選択されたN3IWFがHPLMN内にある場合の利用ケースシナリオを扱う。Nsmf_PDUSession_Create Requestが、V-SMFからH-SMFへ送信される。Nsmf_PDUSession_CreateSMContext Requestが、AMF242からH-SMF244へ送信される。図2Fを参照すると、Nsmf_PDUSession_CreateSMContext Requestメッセージが、246に示すように、PDUセッション確立手順中にやり取りされる。
【0165】
図2Gは、いくつかの実施形態に従って、5GネットワークにおけるEPSから5GC-N3IWFへのハンドオーバのフローの一例を示す図である。例えば、この例は、3GPP TS 23.502の4.11.3.1項に規定されたEPSから5GC-N3IWF へのハンドオーバの利用ケースシナリオを扱う。Nsmf_PDUSession_CreateSMContext Requestが、AMF248からPGW+SMF/UPF250へ送信される。図2Gを参照すると、Nsmf_PDUSession_CreateSMContext Requestメッセージが、252に示すように、PDUセッション確立手順中にやり取りされる。
【0166】
図2Hは、いくつかの実施形態に従って、5GネットワークにおけるEPC/ePDGから5GSへのハンドオーバのフローの一例を示す図である。例えば、この例は、3GPP TS 23.502の4.11.4.1項に規定されたEPC/ePDGから5GSへのハンドオーバの利用ケースシナリオを扱う。Nsmf_PDUSession_CreateSMContext Requestが、AMF254からPGW+SMF/UPFへ送信される。図2Hを参照すると、Nsmf_PDUSession_CreateSMContext Requestメッセージが、258に示すように、PDUセッション確立手順中にやり取りされる。
【0167】
図2Iは、いくつかの実施形態に従って、5GネットワークにおけるホームルーテッドローミングシナリオのためのUE要求PDUセッション確立のフローの一例を示す図である。例えば、この例は、3GPP TS 23.502の 4.3.2.2.2項に規定されたUE要求PDUセッション確立の利用ケースシナリオを扱う。Nsmf_PDUSession_Create Requestが、V-SMF260からH-SMF262へ送信される。図2Iを参照すると、Nsmf_PDUSession_CreateRequestメッセージが、264に示すように、PDUセッション確立手順中にやり取りされる。
【0168】
図2Jは、いくつかの実施形態に従って、5GネットワークにおけるホームルーテッドローミングシナリオのためのUE要求PDUセッション確立および変更/更新のフローの一例を示す図である。図2Jを参照すると、Nsmf_PDUSession_UpdateSMContextRequestメッセージが、AMF266とH-SMF268との間に270で示すように、図2Jに示すPDUセッション確立手順中にやり取りされる。
【0169】
一実施形態において、セキュリティプラットフォームは、図2A~図2Jに関して上述したようなこれらのメッセージを監視して、セキュリティポリシーに基づいてこれらのメッセージ内に含まれるネットワークスライス関連情報および/またはその他のパラメータ/情報(本明細書に記載したものなど)を抽出する(例えば、5Gコアネットワーク内の様々なエンティティの間に配置されたパススルーファイアウォール/NGFWを用いて、または、5Gコアネットワーク内の様々なエンティティ上で実行されるVMインスタンスまたはエージェントとして実装されたファイアウォール/NGFWを用いて、Nsmf_PDUSession_CreateSMContext Requestおよび/またはその他のメッセージを監視する)。例えば、セキュリティプラットフォームは、これらのメッセージを監視し、Nsmf_PDUSession_CreateSMContext Requestメッセージおよび/またはその他のメッセージ(後に詳述するものなど)を抽出することで、ネットワークスライス情報(例えば、スライス/サービスタイプ(SST)(8ビット)と、スライスディファレンシエータ(SD)およびオプション情報(24ビット)とを含むS-NSSAI)を取得できる。
【0170】
一実施形態において、開示技術は、(例えば、APP ID、ユーザID、コンテンツIDを識別するためにDPIを実行する、URLフィルタリングを実行する、および/または、セキュリティ/脅威検出/防御のためのその他のファイアウォール/セキュリティポリシーを実行することができるNGFWを用いて実装されるような、セキュリティプラットフォームを用いて)、サービスプロバイダネットワーク内のシグナリング/制御トラフィック(HTTP/2トラフィックなど)の検査と、サービスプロバイダネットワーク内の(例えば、RANとUPFとの間のN3 GTP-Uトンネル、または、UPFの間のN9 GTP-Uトンネルなど)トンネルされたユーザトラフィック(GTP-Uトラフィックなど)の検査と、を実行する。一実施形態において、開示技術は、HTTP/2トラフィックでやり取りされる情報(例えば、後に詳述するような、ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報などのパラメータ)を抽出するために、サービスプロバイダネットワーク内のシグナリング/制御トラフィック(HTTP/2トラフィックなど)の検査を実行する。一実施形態において、開示技術は、HTTP/2トラフィックでやり取りされる情報(例えば、上述および後述するようなパラメータ)を抽出するため、および、この抽出された情報に基づいておよび/または後に詳述するようなDPIと組み合わせてセキュリティポリシーの適用に用いるサービスプロバイダネットワーク内でトンネルされたユーザトラフィックを(例えば、上述および後述するようなDPIを用いて)監視するために、サービスプロバイダネットワーク内のシグナリング/制御トラフィック(HTTP/2トラフィックなど)の検査を実行する。
【0171】
ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるセキュリティ強化をサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0172】
5Gネットワークにおけるデータネットワーク名ごとのサービスベースのセキュリティ
【0173】
データネットワーク名ごとのサービスベースのセキュリティのための技術も、いくつかの実施形態に従って開示されている。5Gネットワークにおいて、データネットワーク名(DNN)は、TS 23.003V15.3.0で規定されるように、一般に、アクセスポイント名(APN)と等価である(例えば、APNは、PGW/GGSNへの参照であり、別のネットワーク(インターネットなど)へのアクセスの形態を識別し、以下の2つの部分で構成される:(1)APNネットワーク識別子(必須);および、(2)APNオペレータ識別子(オプション))。両方の識別子は、等価な意味を有し、同じ情報を運ぶ。DNNは、例えば、以下の目的で用いられてよい:(1)PDUセッションのためのSMFおよび1以上のUPFを選択するため;(2)PDUセッションのためのデータネットワークへのインターフェース(N6)を選択するため;および/または、(3)このPDUセッションに適用するポリシーを決定するため。
【0174】
いくつかの実施形態において、データネットワーク名(DNN)ごとのサービスベースのセキュリティが、HTTP/2メッセージをパースしてDNN情報を抽出することによって、5Gネットワークにおいてセキュリティプラットフォームを用いて適用される。
【0175】
上述したのと同様に、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報は、以下の2つのサービス動作制御メッセージから抽出されうる:(1)Nsmf_PDUSession_CreateSMContext要求;および、(2)Nsmf_PDUSession_Create要求。
【0176】
ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるセキュリティ強化をサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0177】
5Gネットワークにおけるサブスクリプション永久識別子ごとのサービスベースのセキュリティ
【0178】
サブスクリプション永久識別子ごとのサービスベースのセキュリティのための技術も、いくつかの実施形態に従って開示されている。5Gネットワークにおいて、サブスクリプション永久識別子(SUPI)は、5Gシステムにおいて各加入者に割り当てられたグローバルに一意な5Gサブスクリプション識別子である。それは、3GPPシステム内にのみ存在し、3GPP TS 23.501 V15.3.0の5.9.2項に規定されている。
【0179】
例えば、SUPIは、以下を含んでよい:(1)3GPP TS 23.003 V15.3.0で規定されたIMSI(例えば、IMSIは、GSM/UMTS/EPSシステムにおいて各モバイル加入者に割り当てられた一意的な15桁の数字である);および、(2)ネットワーク固有の識別子(例えば、NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDである)。ローミングにおいて、NAIの目的は、ユーザを識別すること、および、認証要求のルーティングを支援することであり、3GPP TS23.003 V15.3.0に規定されるようにプライベートネットワークに用いられる。
【0180】
いくつかの実施形態において、サブスクリプション永久識別子(SUPI)ごとのサービスベースのセキュリティは、HTTP/2メッセージをパースしてSUPI情報を抽出することによって、5Gネットワークにおいてセキュリティプラットフォームを用いて適用される。
【0181】
上述したのと同様に、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ネットワークスライス情報は、以下の2つのサービス動作制御メッセージから抽出されうる:(1)Nsmf_PDUSession_CreateSMContext Request;および、(2)Nsmf_PDUSession_Create Request。
【0182】
ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるセキュリティ強化をサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0183】
5Gネットワークにおける永久機器識別子ごとのサービスベースのセキュリティ
【0184】
永久機器識別子ごとのサービスベースのセキュリティのための技術も、いくつかの実施形態に従って開示されている。5Gネットワークにおいて、永久機器識別子(PEI)は、5Gシステムにアクセスする3GPP UEに対して規定される。PEIは、異なるUEタイプおよび利用事例に対して異なるフォーマットを取ることができる。
【0185】
例えば、UEが少なくとも1つの3GPPアクセス技術をサポートする場合、UEは、IMEIフォーマットのPEIを割り当てられなければならない(例えば、IMEIは、各移動局機器に割り当てられた一意的な15または16桁の数字である)。最新リリースの規格のとおり、PEIパラメータのためにサポートされるフォーマットは、TS 23.003 V15.3.0に規定されるように、IMEIおよびIMEISVのみである。
【0186】
いくつかの実施形態において、永久機器識別子(PEI)ごとのサービスベースのセキュリティは、HTTP/2メッセージをパースしてPEI情報を抽出することによって、5Gネットワークにおいてセキュリティプラットフォームを用いて適用される。
【0187】
上述したのと同様に、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、PEI情報は、以下の2つのサービス動作制御メッセージから抽出されうる:(1)Nsmf_PDUSession_CreateSMContext Request;および、(2)Nsmf_PDUSession_Create Request。
【0188】
ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるセキュリティ強化をサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0189】
5Gネットワークにおける一般公開サブスクリプション識別子ごとのサービスベースのセキュリティ
【0190】
一般公開サブスクリプション識別子ごとのサービスベースのセキュリティのための技術も、いくつかの実施形態に従って開示されている。一般に、一般公開サブスクリプション識別子(GPSI)は、3GPPシステムの内部および外部の両方で用いられる公開識別子である。
【0191】
例えば、GPSIは、3GPPシステムの外側の異なるデータネットワークにおいて3GPPサブスクリプションを扱うために用いられる。具体的には、GPSIは、3GPP TS 23.003 V15.3.0に規定されるように、MSISDN(例えば、MS国際ISDN番号は、ITU-T勧告E.164番号計画から割り当てられ、これは、移動局が登録されている国の国番号(CC)の後に、国内宛先番号(NDC)および加入者番号(SN)を含む国内携帯電話番号、を含む。)、または、外部識別子のいずれかである。
【0192】
いくつかの実施形態において、一般公開サブスクリプション識別子(GPSI)ごとのサービスベースのセキュリティは、HTTP/2メッセージをパースしてGPSI情報を抽出することによって、5Gネットワークにおいてセキュリティプラットフォームを用いて適用される。
【0193】
上述したのと同様に、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、GPSI情報は、以下の2つのサービス動作制御メッセージから抽出されうる:(1)Nsmf_PDUSession_CreateSMContext Request;および、(2)Nsmf_PDUSession_Create Request。
【0194】
ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるセキュリティ強化をサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0195】
5Gネットワークにおけるユーザ位置ごとのサービスベースのセキュリティ
【0196】
ユーザ位置ごとのサービスベースのセキュリティのための技術も、いくつかの実施形態に従って開示されている。
【0197】
いくつかの実施形態において、ユーザ位置ごとのサービスベースのセキュリティは、HTTP/2メッセージをパースしてユーザ位置情報を抽出することによって、5Gネットワークにおいてセキュリティプラットフォームを用いて適用される。
【0198】
上述したのと同様に、5Gネットワークにおけるセキュリティプラットフォーム展開トポロジに基づいて、ユーザ位置情報は、以下の2つのサービス動作制御メッセージから抽出されうる:(1)Nsmf_PDUSession_CreateSMContext Request;および、(2)Nsmf_PDUSession_Create Request。
【0199】
ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報に基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるセキュリティ強化をサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0200】
5GネットワークにおけるN4セッション確立手順
【0201】
図2Kは、いくつかの実施形態に従って、5Gネットワークにおける5Gユーザプレーン機能(UPF)と5Gコア制御/シグナリングセッション管理機能(SMF)との間のN4インターフェース上でのプロトコルデータユニット(PDU)セッション確立のフローの一例を示す図である。図2Kを参照すると、SMF282が、272で示すように、新しいPDUセッションを確立するため、または、確立されたPDUセッションのためにUPF280を変更/再配置するために、トリガを受信する。274で、SMF282は、N4セッション確立要求メッセージをUPF280へ送信する。276で、UPF280は、N4セッション確立応答メッセージで応答する。SMF282は、この手順(例えば、アクセスおよびモビリティ管理機能(AMF)またはポリシー制御機能(PCF))をトリガしたネットワーク機能と相互作用する。また、セッション確立要求およびセッション確立応答メッセージの情報要素およびフォーマットについては、図9に関して後に詳述する。
【0202】
5Gネットワークにおけるマルチアクセス分散型エッジセキュリティ
【0203】
一実施形態において、セキュリティプラットフォームは、図2Kに関して上述したようなこれらのN4セッション確立関連メッセージを監視して、セキュリティポリシーに基づいてこれらのメッセージ内に含まれる様々な情報および/またはその他のパラメータ/情報(本明細書に記載したものなど)を抽出する(例えば、5Gコアネットワーク内の様々なエンティティの間に配置されたパススルーファイアウォール/NGFWを用いて、または、5Gコアネットワーク内の様々なエンティティ上で実行されるVMインスタンスまたはエージェントとして実装されたファイアウォール/NGFWを用いて、N4セッション確立要求/応答メッセージおよび/またはその他のメッセージを監視する)。例えば、セキュリティプラットフォームは、これらのメッセージを監視し、監視N4セッション確立要求および監視N4セッション確立応答メッセージおよび/またはその他のメッセージを抽出することで、様々な情報および/またはその他のパラメータ/情報(後に詳述するようなものなど)を取得することができる。
【0204】
一実施形態において、開示技術は、(例えば、APP ID、ユーザID、コンテンツIDを識別するためにDPIを実行する、URLフィルタリングを実行する、および/または、セキュリティ/脅威検出/防御のためのその他のファイアウォール/セキュリティポリシーを実行することができるNGFWを用いて実装されるような、セキュリティプラットフォームを用いて)、サービスプロバイダネットワーク内のシグナリング/制御トラフィック(N4セッション確立関連トラフィックなど)の検査と、GTP-Uトラフィックなど、サービスプロバイダネットワーク内の(例えば、RANとUPFとの間のN3 GTP-Uトンネルを含む)監視対象のトンネルされたユーザトラフィックおよび(例えば、UPFとSMFまたは別のUPFとの間などのN4インターフェース上の)監視対象のPFCPセッションの検査およびそれらの間の相関と、を実行する。一実施形態において、開示技術は、5Gネットワークにおけるマルチアクセス分散型エッジ位置でセキュリティ強化を提供する目的で、IMSI、IMEI、MSISDN、および/または、NAIごとに(例えば、適用できるセキュリティプラットフォームによって実装されるセキュリティポリシーを用いて実行される)サービスベースのセキュリティを提供するために、N4セッション確立関連トラフィック(例えば、PFCPセッションを含む)など、サービスプロバイダネットワーク内のシグナリング/制御トラフィックの検査を実行して、N4セッション確立関連トラフィックでやり取りされる情報(例えば、後に詳述するような、国際モバイル加入者識別番号(IMSI)、国際モバイル機器識別番号(IMEI)、モバイル加入者ISDN(MSISDN)、および/または、ネットワークアクセス識別子(NAI)関連情報などのパラメータ)を抽出する。一実施形態において、開示技術は、後に詳述するような5Gモバイル/サービスプロバイダネットワーク環境のためのマルチアクセス分散型エッジセキュリティを促進する目的で、N4セッション確立関連トラフィックでやり取りされる情報(例えば、上述および後述するようなパラメータ)を抽出するため、および、この抽出された情報に基づいておよび/またはDPIと組み合わせてセキュリティポリシーの適用に用いるサービスプロバイダネットワーク内でトンネルされたユーザトラフィックを(例えば、上述および後述するようなDPIを用いて)監視するために、(例えば、PFCPセッションを含む)N4セッション確立関連トラフィックなど、サービスプロバイダネットワーク内のシグナリング/制御トラフィックの検査を実行する。
【0205】
IMSI、IMEI、MSISDN、および/または、NAIに基づいて(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、その他のDPIおよび/またはNGFW技術と組み合わせて)、5Gネットワークにおけるマルチアクセス分散型エッジセキュリティをサービスプロバイダに提供するためのこれらおよびその他の技術について、以下でさらに説明する。
【0206】
サービスプロバイダのための5Gネットワークの強化セキュリティの利用例
【0207】
セキュリティポリシー施行のためにセキュリティプラットフォームを用いて5Gモバイル/サービスプロバイダのセキュリティを強化するための開示技術は、5Gモバイル/サービスプロバイダネットワーク環境のための強化されたより柔軟かつ動的なセキュリティを容易にするために、様々なさらなる利用例シナリオで適用されうる。さらなる利用例シナリオについて、以下でさらに説明する。
【0208】
第1利用例シナリオとして、モバイルおよび統合ネットワーク事業者が、公共設備(例えば、ガス、水道、電気など)、水道メータ管理会社、車両運行追跡会社、および/または、その他のタイプの顧客など、狭帯域IoT(NB-IoT)およびLTE-Mを含む無線IoT技術(例えば、CIoTデバイス)をIoT/M2Mの顧客に提供していると仮定する。CIoTデバイスのほとんどは、セキュリティ機能を提供するための計算能力およびリソースを持っておらず、典型的には、安全にコードされていない。結果として、これは、モバイルおよび統合ネットワーク事業者が、セキュリティポリシー施行のためのセキュリティプラットフォームを用いたモバイル/サービスプロバイダネットワークにおけるCIoTの強化セキュリティのための開示技術で(例えば、本明細書に記載のN3およびインターフェース上のインスペクションおよびセキュリティ機能を用いて)提供できるネットワークベースのセキュリティサービスをこれらの顧客に提供する機会を作る。
【0209】
第2利用例シナリオとして、モバイルおよび統合ネットワーク事業者が、公共設備(例えば、ガス、水道、電気など)、水道メータ管理会社、車両運行追跡会社、および/または、その他のタイプの顧客など、狭帯域IoT(NB-IoT)およびLTE-Mを含む無線IoT技術(例えば、CIoTデバイス)をIoT/M2Mの顧客に提供していると仮定する。CIoTデバイスのほとんどは、セキュリティ機能を提供するための計算能力およびリソースを持っておらず、典型的には、安全にコードされていない。結果として、CIoTデバイスが接続されたモバイルネットワーク(例えば、およびMECシステム)にCIoTデバイスから攻撃が開始されうる。本明細書で同様に記載されたように、S11-Uインターフェース上のインスペクションおよびセキュリティ機能を含むセキュリティポリシー施行のためのセキュリティプラットフォームを用いたモバイル/サービスプロバイダネットワークにおけるCIoTの強化セキュリティのための開示技術は、攻撃するCIoTデバイスからモバイルネットワークの重要なネットワーク要素を保護するために実行されうる。
【0210】
IoT脅威の例
【0211】
スマートホームの脆弱性の例は、Belkin社Wemo UPnPリモートコマンド実行の脆弱性を含む。ルータの脆弱性の例は、以下を含む:(1)Quanta社LTEルータRCEの脆弱性;(2)Netgear社ProSAFEのリモートコマンド実行の脆弱性;(3)ZTE社ZXV10ルータのコマンド実行の脆弱性;(4)Netgear社Firmadyneコマンドインジェクションの脆弱性;(5)Sierra Wireless社の未認証のコマンドインジェクションの脆弱性;および、(6)D-Link社のルータのリモートコマンド実行の脆弱性。カメラの脆弱性は、Beward社のIPカメラのリモートコマンド実行の脆弱性、および、Axis社のカメラのリモートコマンド実行の脆弱性を含む。サービスプロバイダネットワークにおいてDNN、IMEI、および/または、アプリケーションIDに基づくセキュリティ実施を適用するための上述の技術は、かかるルータの脆弱性の例に対応するために実行されてよい。一例として、或るDNNに対して、モバイル事業者は、すべてのルータ関連リモートコード実行の脆弱性に対して、(例えば、ドロップおよびログのための)アクションブロックを定義することができる。別のDNNに対して、モバイル事業者は、すべてのルータ関連リモートコード実行の脆弱性に対して、(例えば、許可およびログのための)アクションアラートを定義することを選択できる。別の例として、或る型式割り当てコード(TAC)(TACは、例えば、IoTデバイス、携帯電話、タブレット、ウェアラブル、モデム、WLANルータを含むデバイスのメーカおよびモデルを識別するために用いられるIMEIの最初の8桁である)に対して、モバイル事業者は、すべてのルータ関連リモートコード実行の脆弱性に対して、(例えば、ドロップおよびログのための)アクションブロックを定義できる。別のグループのIMEIに対して、モバイル事業者は、すべてのルータ関連リモートコード実行の脆弱性に対して、(例えば、許可およびログのための)アクションアラートを定義することを選択できる。
【0212】
Mirai(マルウェア)ボットネット攻撃は、オンライン消費者デバイス(IPカメラおよびホームルータなど)を主にターゲットとするボットネット攻撃の一例である。一例として、DNNに対して、モバイル事業者は、アンチスパイウェアシグネチャ脅威ID:13999および13974 https://threatvault.paloaltonetworks.com/を用いて、すべてのMiraiのコマンドおよび制御トラフィックに対して、(例えば、ドロップおよびログのための)アクションブロックを定義できる。別のAPNに対して、モバイル事業者は、すべてのMiraiのコマンドおよび制御トラフィックに対して、(例えば、許可およびログのための)アクションアラートを定義することを選択できる。別の例として、プレフィックスまたは範囲によって定義された或るIMSIグループに対して、モバイル事業者は、アンチスパイウェアシグネチャ脅威ID:13999および13974 https://threatvault.paloaltonetworks.com/を用いて、すべてのMiraiのコマンドおよび制御トラフィックに対して、(例えば、ドロップおよびログのための)アクションブロックを定義できる。プレフィックスまたは範囲によって定義された別のIMSIグループに対して、モバイル事業者は、すべてのMiraiのコマンドおよび制御トラフィックに対して、(例えば、許可およびログのための)アクションアラートを定義することを選択できる。
【0213】
開示された実施形態に照らして明らかなように、ネットワークサービスプロバイダ/モバイル事業者(例えば、セルラーサービスプロバイダ事業体)、デバイス製造業者(例えば、自動車事業体、CIoTデバイス事業体、および/または、その他のデバイス製造業者)、および/または、システムインテグレータが、5Gモバイル/サービスプロバイダネットワーク環境にマルチアクセス分断型エッジセキュリティを提供する際の技術的なネットワークセキュリティの課題を含め、これらおよびその他の技術的なネットワークセキュリティ上の課題を解決するために、開示技術を用いてセキュリティプラットフォームによって施行できるかかるセキュリティポリシーを規定することができる。
【0214】
サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するためのネットワークデバイスのハードウェアコンポーネントの例
【0215】
図3は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するためのネットワークデバイスのハードウェアコンポーネントを示す機能図である。図の例は、ネットワークデバイス300に含まれうる物理的/ハードウェアコンポーネントの表現である(例えば、本明細書に開示のセキュリティプラットフォームを実施できる機器、ゲートウェイ、または、サーバ)。具体的には、ネットワークデバイス300は、高性能マルチコアCPU302と、RAM304と、を備える。ネットワークデバイス300は、さらに、ストレージ310(例えば、1または複数のハードディスクまたはソリッドステートストレージユニット)を備えており、ストレージ310は、ポリシーと、その他の構成情報およびシグネチャとを格納するために用いられてよい。一実施形態において、ストレージ310は、セキュリティプラットフォーム/ファイアウォールデバイスを用いて、開示されたセキュリティポリシー施行技術を実装するために監視されるIMSI、IMEI、MSISDN、NAI、ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および/または、ユーザ位置情報、ならびに、関連IPアドレスおよび場合によりその他の情報(例えば、アプリケーションID、コンテンツID、ユーザID、URL、および/または、その他の情報)を格納する。ネットワークデバイス300は、さらに、1以上の任意選択的なハードウェアアクセラレータを備えてもよい。例えば、ネットワークデバイス300は、暗号化および復号動作を実行するよう構成された暗号エンジン306と、シグネチャマッチングを実行する、ネットワークプロセッサとして動作する、および/または、その他のタスクを実行するよう構成された1以上のFPGA308とを備えてよい。
【0216】
サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するためのネットワークデバイスの論理コンポーネントの例
【0217】
図4は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するためのネットワークデバイスの論理コンポーネントを示す機能図である。図の例は、ネットワークデバイス400に含まれうる論理コンポーネントの表現である(例えば、開示されたセキュリティプラットフォームを実装して、開示された技術を実行できるデータアプライアンス)。図に示すように、ネットワークデバイス400は、管理プレーン402およびデータプレーン404を備える。一実施形態において、管理プレーンは、ポリシーを構成すると共にログデータを閲覧するためのユーザインターフェースを提供するなどして、ユーザとの相互作用の管理に関与する。データプレーンは、パケット処理およびセッションハンドリングを実行するなどして、データを管理することに関与する。
【0218】
モバイルデバイスが、暗号化されたセッションプロトコル(SSLなど)を用いてリソース(例えば、リモートウェブサイト/サーバ、CIoTデバイスなどのIoTデバイス、または、別のリソース)にアクセスを試みると仮定する。ネットワークプロセッサ406は、モバイルデバイスからのパケットを監視し、処理に向けてデータプレーン404にパケットを提供するよう構成されている。フロー408は、それらのパケットを新しいセッションの一部として、新しいセッションフローを作成する。後続のパケットは、フロールックアップに基づいて、そのセッションに属するものとして識別される。該当する場合、SSL復号が、本明細書に記載の様々な技術を用いてSSL復号エンジン410を用いて適用される。そうでなければ、SSL復号エンジン410による処理は省略される。アプリケーション識別(APP ID)モジュール412は、セッションがどのタイプのトラフィックを含むのかを判定し、トラフィックフローに関連するユーザを識別する(例えば、本明細書に記載のようにアプリケーションIDを識別する)よう構成されている。例えば、APP ID412は、受信されたデータ内のGET要求を認識し、セッションがHTTPデコーダ414を必要とすると結論づけることができる。別の例として、APP ID412は、GTP-Uメッセージ(例えば、図2Kに関して上述したようなものなど、N4セッション確立要求/応答メッセージ)を認識し、(例えば、図2Kに関して上述したような、国際モバイル加入者識別番号(IMSI)、国際モバイル機器識別番号(IMEI)、モバイル加入者ISDN(MSISDN)、および/または、ネットワークアクセス識別子(NAI)関連情報など、様々なパラメータを含むN4セッション確立関連メッセージでやり取りされる情報を抽出するために)セッションがGTPデコーダを必要としていると結論づけ、セッションがGTPデコーダを必要としていると結論づけることができる。各タイプのプロトコルについて、対応するデコーダ414が存在する。一実施形態において、アプリケーション識別は、アプリケーション識別モジュール(例えば、APP IDコンポーネント/エンジン)によって実行され、ユーザ識別は、別のコンポーネント/エンジンによって実行される。APP ID412によってなされた決定に基づいて、パケットは、適切なデコーダ414に送信される。デコーダ414は、(例えば、順序通りでなく受信されうる)パケットを正確な順序にし、トークン化を実行し、(例えば、上述したのと同様の、そして、図9に関して後に詳述するような、N4セッション確立関連メッセージでやり取りされる様々な情報を抽出するために、上述したような)情報を抽出するよう構成されている。また、デコーダ414は、パケットに何がなされるべきかを決定するために、シグネチャマッチングを実行する。SSL暗号化エンジン416は、本明細書に記載の様々な技術を用いてSSL暗号化を実行し、その後、パケットは、図に示すように転送コンポーネント418を用いて転送される。また、図に示すように、ポリシー420が受信され、管理プレーン402に格納される。一実施形態において、ポリシー施行(例えば、ポリシーは、ドメインおよび/またはホスト/サーバ名を用いて記述されうる1以上のルールを含んでよく、ルールは、本明細書に開示するように、監視されたHTTP/2メッセージおよび/または監視されたGTP-UトラフィックのDPIから抽出された様々なパラメータ/情報に基づいて、サービスプロバイダネットワーク上の加入者/IPフローに対するセキュリティポリシー施行などのために、1以上のシグネチャもしくはその他のマッチング基準または経験則を適用できる)が、監視、復号、識別、および、デコードされたセッショントラフィックフローに基づいて、様々な実施形態に関して本明細書に記載するように適用される。
【0219】
また、図4に示すように、インターフェース(I/F)コミュニケータ422も、(例えば、(REST)API、メッセージ、または、ネットワークプロトコル通信、もしくは、その他の通信メカニズムによる)セキュリティプラットフォームマネージャ通信のために提供される。一部の例において、サービスプロバイダネットワーク上の他のネットワーク要素のネットワーク通信が、ネットワークデバイス400を用いて監視され、データプレーン404は、かかる通信の復号をサポートする(例えば、I/Fコミュニケータ422およびデコーダ414を備えたネットワークデバイス400は、例えば、サービスベースのインターフェース(N3、N4、N9、および/または、本明細書に記載したのと同様に有線および無線ネットワークトラフィックフローが存在するその他のインターフェースなど、Nsmf、Nnef、および、基準点インターフェースなど)を監視する、および/または、かかるインターフェース上で通信するよう構成されうる)。したがって、I/Fコミュニケータ422を備えたネットワークデバイス400は、上述のように、および、以下で詳述するように、モバイル/サービスプロバイダネットワーク環境上のセキュリティポリシー施行のための開示技術を実施するために利用できる。
【0220】
ここで、モバイル/サービスプロバイダネットワーク環境上のCIoTのための強化セキュリティを実行するための開示技術のための処理のさらなる例について説明する。
【0221】
サービスプロバイダのための5Gネットワークの強化セキュリティのための処理の例
【0222】
図5は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示すフローチャートである。いくつかの実施形態において、図5に示す処理500は、図1A~図4に関して上述した実施形態など、上述したのと同様のセキュリティプラットフォームおよび技術によって実行される。一実施形態において、処理500は、図3に関して上述したデータアプライアンス300、図4に関して上述したネットワークデバイス400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、および/または、本明細書に記載の上述したものの組み合わせまたは混合実装によって実行される。
【0223】
処理は、工程502で始まる。工程502で、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する動作が実行される。ここで、サービスプロバイダネットワークは、5Gネットワークまたは統合5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに機能するネットワークセンサ、または、セキュリティポリシーを実施できる別のデバイス/コンポーネント)が、上述したのと同様にモバイルコアネットワーク上のGTP-UおよびHTTP/2トラフィックを監視できる。
【0224】
工程504で、新しいセッションに関連するユーザトラフィックのネットワークスライス情報をセキュリティプラットフォームで抽出する動作が実行される。例えば、セキュリティプラットフォームは、上述したのと同様にDPIベースのファイアウォール技術を用いて、HTTP/2メッセージをパースして、ネットワークスライス情報を抽出することができ、ここで、ネットワークスライスは、シングルネットワークスライス選択支援情報(S-NSSAI)によって識別される。
【0225】
工程506で、ネットワークスライス情報に基づいて、セキュリティプラットフォームで新しいセッションに適用するセキュリティポリシーを決定する動作が実行される。例えば、セキュリティポリシーは、上述したのと同様なものなど、ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報の様々な組み合わせに基づいて、(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、他のDPIベースのファイアウォール技術と組み合わせて)、決定および/または施行されうる。
【0226】
工程508で、セキュリティプラットフォームを用いて新しいセッションにセキュリティポリシーを施行する動作が実行される。例えば、様々な施行動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、監視、ログ、スロットル、アクセス制限、および/または、その他の施行動作)が、上述したのと同様にセキュリティプラットフォームを用いて実行されうる。
【0227】
図6は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示す別のフローチャートである。いくつかの実施形態において、図6に示す処理600は、図1A~図4に関して上述した実施形態など、上述したのと同様のセキュリティプラットフォームおよび技術によって実行される。一実施形態において、処理600は、図3に関して上述したデータアプライアンス300、図4に関して上述したネットワークデバイス400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、および/または、本明細書に記載の上述したものの組み合わせまたは混合実装によって実行される。
【0228】
処理は、工程602で始まる。工程602で、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する動作が実行される。ここで、サービスプロバイダネットワークは、5Gネットワークまたは統合5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに機能するネットワークセンサ、または、セキュリティポリシーを実施できる別のデバイス/コンポーネント)が、上述したのと同様にモバイルコアネットワーク上のGTP-UおよびHTTP/2トラフィックを監視できる。
【0229】
工程604で、新しいセッションに関連するユーザトラフィックのサブスクリプションおよび/または機器識別子情報をセキュリティプラットフォームで抽出する動作が実行される。例えば、セキュリティプラットフォームは、上述したのと同様にDPIベースのファイアウォール技術を用いて、HTTP/2メッセージをパースして、サブスクリプションおよび/または機器識別子情報を抽出することができ、ここで、サブスクリプションおよび/または機器識別子情報は、サブスクリプション永久識別子(SUPI)、一般公開サブスクリプション識別子(GPSI)、および/または、永久機器識別子(PEI)によって識別される。
【0230】
工程606で、サブスクリプションおよび/または機器識別子情報に基づいて、セキュリティプラットフォームで新しいセッションに適用するセキュリティポリシーを決定する動作が実行される。例えば、セキュリティポリシーは、上述したのと同様なものなど、ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報の様々な組み合わせに基づいて、(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、他のDPIベースのファイアウォール技術と組み合わせて)、決定および/または施行されうる。
【0231】
工程608で、セキュリティプラットフォームを用いて新しいセッションにセキュリティポリシーを施行する動作が実行される。例えば、様々な施行動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、監視、ログ、スロットル、アクセス制限、および/または、その他の施行動作)が、上述したのと同様にセキュリティプラットフォームを用いて実行されうる。
【0232】
図7は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示す別のフローチャートである。いくつかの実施形態において、図7に示す処理700は、図1A~図4に関して上述した実施形態など、上述したのと同様のセキュリティプラットフォームおよび技術によって実行される。一実施形態において、処理700は、図3に関して上述したデータアプライアンス300、図4に関して上述したネットワークデバイス400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、および/または、本明細書に記載の上述したものの組み合わせまたは混合実装によって実行される。
【0233】
処理は、工程702で始まる。工程702で、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する動作が実行される。ここで、サービスプロバイダネットワークは、5Gネットワークまたは統合5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに機能するネットワークセンサ、または、セキュリティポリシーを実施できる別のデバイス/コンポーネント)が、上述したのと同様にモバイルコアネットワーク上のGTP-UおよびHTTP/2トラフィックを監視できる。
【0234】
工程704で、新しいセッションに関連するユーザトラフィックのネットワーク名情報をセキュリティプラットフォームで抽出する動作が実行される。例えば、セキュリティプラットフォームは、上述したのと同様にDPIベースのファイアウォール技術を用いて、HTTP/2メッセージをパースして、ネットワーク名情報を抽出することができ、ここで、ネットワーク名情報は、データネットワーク名(DNN)によって識別される。
【0235】
工程706で、ネットワーク名情報に基づいて、セキュリティプラットフォームで新しいセッションに適用するセキュリティポリシーを決定する動作が実行される。例えば、セキュリティポリシーは、上述したのと同様なものなど、ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報の様々な組み合わせに基づいて、(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、他のDPIベースのファイアウォール技術と組み合わせて)、決定および/または施行されうる。
【0236】
工程708で、セキュリティプラットフォームを用いて新しいセッションにセキュリティポリシーを施行する動作が実行される。例えば、様々な施行動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、監視、ログ、スロットル、アクセス制限、および/または、その他の施行動作)が、上述したのと同様にセキュリティプラットフォームを用いて実行されうる。
【0237】
図8は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークの強化セキュリティを実行するための処理を示す別のフローチャートである。いくつかの実施形態において、図8に示す処理800は、図1A~図4に関して上述した実施形態など、上述したのと同様のセキュリティプラットフォームおよび技術によって実行される。一実施形態において、処理800は、図3に関して上述したデータアプライアンス300、図4に関して上述したネットワークデバイス400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、および/または、本明細書に記載の上述したものの組み合わせまたは混合実装によって実行される。
【0238】
処理は、工程802で始まる。工程802で、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する動作が実行される。ここで、サービスプロバイダネットワークは、5Gネットワークまたは統合5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに機能するネットワークセンサ、または、セキュリティポリシーを実施できる別のデバイス/コンポーネント)が、上述したのと同様にモバイルコアネットワーク上のGTP-UおよびHTTP/2トラフィックを監視できる。
【0239】
工程804で、新しいセッションに関連するユーザトラフィックのユーザ位置情報をセキュリティプラットフォームで抽出する動作が実行される。例えば、セキュリティプラットフォームは、上述したのと同様にDPIベースのファイアウォール技術を用いて、HTTP/2メッセージをパースして、ユーザ位置情報を抽出することができ、ここで、ユーザ位置情報は、EutraLocation (例えば、トラッキングエリアID(TAI)およびECGI(EUTRAセルID))、および/または、NRLocation(例えば、トラッキングエリアID(TAI)およびNRセルID(NCGI))によって識別される。
【0240】
工程806で、ユーザ位置情報に基づいて、セキュリティプラットフォームで新しいセッションに適用するセキュリティポリシーを決定する動作が実行される。例えば、セキュリティポリシーは、上述したのと同様なものなど、ネットワークスライス情報、データネットワーク名(DNN)、サブスクリプション永久識別子(SUPI)、永久機器識別子(PEI)、一般公開サブスクリプション識別子(GPSI)、および、ユーザ位置情報の様々な組み合わせに基づいて、(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、他のDPIベースのファイアウォール技術と組み合わせて)、決定および/または施行されうる。
【0241】
工程808で、セキュリティプラットフォームを用いて新しいセッションにセキュリティポリシーを施行する動作が実行される。例えば、様々な施行動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、監視、ログ、スロットル、アクセス制限、および/または、その他の施行動作)が、上述したのと同様にセキュリティプラットフォームを用いて実行されうる。
【0242】
開示された実施形態に照らして明らかなように、ネットワークサービスプロバイダ/モバイル事業者(例えば、セルラーサービスプロバイダ事業体)、デバイス製造業者(例えば、自動車事業体、IoTデバイス事業体、および/または、その他のデバイス製造業者)、および/または、システムインテグレータが、5Gネットワークを含むモバイルネットワークに関するこれらおよびその他の技術的なネットワークセキュリティ上の課題を解決するために、開示技術を用いてセキュリティプラットフォームによって施行できるかかるセキュリティポリシーを規定することができる。
【0243】
ここで、サービスプロバイダのための5Gモバイルネットワークのマルチアクセス分散型エッジセキュリティを実行するための開示技術のためのさらなる処理の例について記載する。
【0244】
サービスプロバイダのための5Gモバイルネットワークのマルチアクセス分散型エッジセキュリティを実行するための処理の例
【0245】
図9は、いくつかの実施形態に従って、サービスプロバイダのための5Gネットワークのマルチアクセス分散型エッジセキュリティを実行するためのパケット転送制御プロトコル(PFCP)セッション確立要求パケットキャプチャ(pcap)のスナップショットを示すスクリーンショット図である。図9を参照すると、PFCPセッション確立要求(
PFCP Session Establishment Request)のpcapが、902に示されている。3GPP TS 29.244 V15.3(例えば、セクション7.5.2を参照)に規定されるように、PFCPセッション確立要求は、ユーザプレーン(UP)機能内に新しいPFCPセッションコンテキストを確立するために制御プレーン(CP)機能によってSxa、Sxb、Sxc、および、N4インターフェース上で送信される。3GPP TS 29.244 V15.3(例えば、セクション7.5.3を参照)に規定されるように、PFCPセッション確立応答(PFCP Session Establishment Response)は、PFCPセッション確立要求への応答として、UP機能によってSxa、Sxb、Sxc、および、N4インターフェース上でCP機能へ送信される。セッション確立要求およびセッション確立応答メッセージの情報要素およびフォーマットは、3GPP TS 29.244 V15.3に規定されている(例えば、情報要素を含む「PFCPセッション確立要求」メッセージ詳細の詳細についてはセクション7.5.2を、そして、情報要素を含む「PFCPセッション確立応答」メッセージ詳細の詳細についてはセクション7.5.3を参照)。
PFCP Session Establishment Request)のpcapが、902に示されている。3GPP TS 29.244 V15.3(例えば、セクション7.5.2を参照)に規定されるように、PFCPセッション確立要求は、ユーザプレーン(UP)機能内に新しいPFCPセッションコンテキストを確立するために制御プレーン(CP)機能によってSxa、Sxb、Sxc、および、N4インターフェース上で送信される。3GPP TS 29.244 V15.3(例えば、セクション7.5.3を参照)に規定されるように、PFCPセッション確立応答(PFCP Session Establishment Response)は、PFCPセッション確立要求への応答として、UP機能によってSxa、Sxb、Sxc、および、N4インターフェース上でCP機能へ送信される。セッション確立要求およびセッション確立応答メッセージの情報要素およびフォーマットは、3GPP TS 29.244 V15.3に規定されている(例えば、情報要素を含む「PFCPセッション確立要求」メッセージ詳細の詳細についてはセクション7.5.2を、そして、情報要素を含む「PFCPセッション確立応答」メッセージ詳細の詳細についてはセクション7.5.3を参照)。
【0246】
図10は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークのマルチアクセス分散型エッジセキュリティを実行するための処理を示すフローチャートである。いくつかの実施形態において、図10に示す処理1000は、図1A~図5および図9に関して上述した実施形態など、上述したのと同様のセキュリティプラットフォームおよび技術によって実行される。一実施形態において、処理1000は、図3に関して上述したデータアプライアンス300、図4に関して上述したネットワークデバイス400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、および/または、本明細書に記載の上述したものの組み合わせまたは混合実装によって実行される。
【0247】
処理は、工程1002で始まる。工程1002で、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する動作が実行される。ここで、サービスプロバイダネットワークは、5Gネットワークまたは統合5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに機能するネットワークセンサ、または、セキュリティポリシーを実施できる別のデバイス/コンポーネント)が、上述したのと同様にモバイルコアネットワーク上のGTP-Uトラフィックを監視できる。
【0248】
工程1004で、新しいセッションに関連するユーザトラフィックのサブスクリプションおよび/または機器識別子情報をセキュリティプラットフォームで抽出する動作が実行される。一実施形態において、セキュリティプラットフォームは、上述したのと同様にDPIベースのファイアウォール技術を用いて、パケット転送制御プロトコル(PFCP)セッション確立要求およびPFCPセッション確立応答メッセージをパースして、サブスクリプションおよび/または機器識別子情報を抽出できる(例えば、サブスクリプションおよび/または機器識別子情報は、国際モバイル加入者識別番号(IMSI)、国際モバイル機器識別番号(IMEI)、および/または、モバイル加入者ISDN(MSISDN)関連情報によって識別される)。
【0249】
工程1006で、サブスクリプションおよび/または機器識別子情報に基づいて、セキュリティプラットフォームで新しいセッションに適用するセキュリティポリシーを決定する動作が実行される。例えば、セキュリティポリシーは、同様に上述したものなど、国際モバイル加入者識別番号(IMSI)、国際モバイル機器識別番号(IMEI)、および/または、モバイル加入者ISDN(MSISDN)関連情報の様々な組み合わせに基づいて、(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリング、ネットワークアクセス識別子(NAI)など、他のDPIベースのファイアウォール技術と組み合わせて)、決定および/または施行されうる。
【0250】
工程1008で、セキュリティプラットフォームを用いて新しいセッションにセキュリティポリシーを施行する動作が実行される。例えば、様々な施行動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、監視、ログ、スロットル、アクセス制限、および/または、その他の施行動作)が、上述したのと同様にセキュリティプラットフォームを用いて実行されうる。
【0251】
図11は、いくつかの実施形態に従って、サービスプロバイダのための5Gモバイルネットワークのマルチアクセス分散型エッジセキュリティを実行するための処理を示す別のフローチャートである。いくつかの実施形態において、図11に示す処理1100は、図1A~図5および図9に関して上述した実施形態など、上述したのと同様のセキュリティプラットフォームおよび技術によって実行される。一実施形態において、処理1100は、図3に関して上述したデータアプライアンス300、図4に関して上述したネットワークデバイス400、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、および/または、本明細書に記載の上述したものの組み合わせまたは混合実装によって実行される。
【0252】
処理は、工程1102で始まる。工程1102で、新しいセッションを識別するために、サービスプロバイダネットワーク上のネットワークトラフィックをセキュリティプラットフォームで監視する動作が実行される。ここで、サービスプロバイダネットワークは、5Gネットワークまたは統合5Gネットワークを含む。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに機能するネットワークセンサ、または、セキュリティポリシーを実施できる別のデバイス/コンポーネント)が、上述したのと同様にモバイルコアネットワーク上のGTP-Uトラフィックを監視できる。
【0253】
工程1104で、新しいセッションに関連するユーザトラフィックのネットワークアクセス識別子情報をセキュリティプラットフォームで抽出する動作が実行される。例えば、セキュリティプラットフォームは、上述したのと同様にDPIベースのファイアウォール技術を用いて、パケット転送制御プロトコル(PFCP)セッション確立要求およびPFCPセッション確立応答メッセージをパースして、ネットワークアクセス識別子(NAI)関連情報を抽出することができ、ここで、NAIは、ネットワークアクセス認証中にクライアントによって提出されるユーザIDに関連する。
【0254】
工程1106で、ネットワークアクセス識別子情報に基づいて、セキュリティプラットフォームで新しいセッションに適用するセキュリティポリシーを決定する動作が実行される。例えば、セキュリティポリシーは、ネットワークアクセス識別子(NAI)と、同様に上述したものなど、国際モバイル加入者識別番号(IMSI)、国際モバイル機器識別番号(IMEI)、および/または、モバイル加入者ISDN(MSISDN)関連情報を含むかかるPFCPセッション確立要求/応答メッセージから抽出できる他の情報との様々な組み合わせに基づいて、(例えば、および/または、アプリケーションID、ユーザID、コンテンツID、URLフィルタリングなど、他のDPIベースのファイアウォール技術と組み合わせて)、決定および/または施行されうる。
【0255】
工程1108で、セキュリティプラットフォームを用いて新しいセッションにセキュリティポリシーを施行する動作が実行される。例えば、様々な施行動作(例えば、許可/通過、ブロック/ドロップ、警告、タグ、監視、ログ、スロットル、アクセス制限、および/または、その他の施行動作)が、上述したのと同様にセキュリティプラットフォームを用いて実行されうる。
【0256】
開示された実施形態に照らして明らかなように、ネットワークサービスプロバイダ/モバイル事業者(例えば、セルラーサービスプロバイダ事業体)、デバイス製造業者(例えば、自動車事業体、IoTデバイス事業体、および/または、その他のデバイス製造業者)、および/または、システムインテグレータが、5Gネットワークを含むモバイルネットワーク上でマルチアクセス分散型エッジセキュリティを提供する際のこれらおよびその他の技術的なネットワークセキュリティ上の課題を解決するために、開示技術を用いてセキュリティプラットフォームによって施行できるかかるセキュリティポリシーを規定することができる。
【0257】
上述の実施形態は、理解しやすいようにいくぶん詳しく説明されているが、本発明は、提供された詳細事項に限定されるものではない。本発明を実施する多くの代替方法が存在する。開示された実施形態は、例示であり、限定を意図するものではない。
【図1A】
【図1B】
【図1C】
【図1D】
【図1E】
【図2A】
【図2B】
【図2C】
【図2D】
【図2E】
【図2F】
【図2G】
【図2H】
【図2I】
【図2J】
【図2K】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】