特許 7544401 モバイルネットワークにおける制御とユーザプレーンの分離の確保

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-08-26

(45)【発行日】2024-09-03

(54)【発明の名称】モバイルネットワークにおける制御とユーザプレーンの分離の確保

(51)【国際特許分類】

   H04W 12/088 20210101AFI20240827BHJP

   H04W 12/122 20210101ALI20240827BHJP

【ＦＩ】

H04W12/088

H04W12/122

【請求項の数】 20

(21)【出願番号】P 2022581359

(86)(22)【出願日】2021-06-16

(65)【公表番号】

(43)【公表日】2023-08-01

(86)【国際出願番号】 US2021037590

(87)【国際公開番号】W WO2022005748

(87)【国際公開日】2022-01-06

【審査請求日】2023-02-24

(31)【優先権主張番号】16/917,490

(32)【優先日】2020-06-30

(33)【優先権主張国・地域又は機関】US

(73)【特許権者】

【識別番号】517392861

【氏名又は名称】パロ アルト ネットワークス，インコーポレイテッド

【氏名又は名称原語表記】Ｐａｌｏ Ａｌｔｏ Ｎｅｔｗｏｒｋｓ，Ｉｎｃ．

【住所又は居所原語表記】３０００ Ｔａｎｎｅｒｙ Ｗａｙ，Ｓａｎｔａ Ｃｌａｒａ，Ｃａｌｉｆｏｒｎｉａ ９５０５４，Ｕｎｉｔｅｄ Ｓｔａｔｅｓ ｏｆ Ａｍｅｒｉｃａ

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東 忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東 忠彦

(74)【代理人】

【識別番号】100135079

【弁理士】

【氏名又は名称】宮崎 修

(72)【発明者】

【氏名】ブラコフスキー，レオニド

(72)【発明者】

【氏名】ヴァーマ，サチン

(72)【発明者】

【氏名】フー，フェンリャン

(72)【発明者】

【氏名】チェン，イ－チュン

(72)【発明者】

【氏名】リム，ハウ トゥン

【審査官】谷岡 佳彦

(56)【参考文献】

【文献】米国特許出願公開第２０２０／０１４５４３２（ＵＳ，Ａ１）

【文献】米国特許出願公開第２０１９／００８９６７７（ＵＳ，Ａ１）

【文献】米国特許出願公開第２０２０／０１０６８１２（ＵＳ，Ａ１）

【文献】3GPP TS 29.244 V16.3.1[online], pp.55-58,70-72,93,96-102,120-122,143-144,211，2020年04月，[retrieved on 2024-02-20]. Retrieved from the Internet: <URL: https://www.3gpp.org/ftp/Specs/archive/29_series/29.244/29244-g31.zip>

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｂ ７／２４－ ７／２６

Ｈ０４Ｗ ４／００－９９／００

３ＧＰＰ ＴＳＧ ＲＡＮ ＷＧ１－４

ＳＡ ＷＧ１－４

ＣＴ ＷＧ１、４

(57)【特許請求の範囲】

【請求項1】

プロセッサおよびメモリを含むシステムであって、
前記プロセッサは、
セキュリティプラットフォームでモバイルネットワークにおけるネットワークトラフィックをモニタリングして、新しいセッションに関連付けられたパケット転送制御プロトコル(PFCP)メッセージを識別し、前記モバイルネットワークは、4Gネットワークまたは5Gネットワークを含んでおり、
前記セキュリティプラットフォームで前記PFCPメッセージから複数のパラメータを抽出し、前記複数のパラメータは、トンネルエンドポイント識別子（TEID）範囲と共に、IPv4アドレス及び／又はIPv6アドレスを含み、かつ、
前記複数のパラメータの１つ以上に基づいて、前記新しいセッションの前記セキュリティプラットフォームでセキュリティポリシを実施して、前記モバイルネットワークでの制御とユーザプレーンの分離を確保し、
前記複数のパラメータに係る前記TEID範囲、および、前記IPv4アドレス及び／又はIPv6アドレスが、セットアップされるトンネルのIPv4アドレス及び／又はIPv6アドレスと共に、TEID範囲と一致するか否かを決定し、かつ、
前記複数のパラメータに係る前記TEID範囲、および、前記IPv4アドレス及び／又はIPv6アドレスが、セットアップされるトンネルのIPv4アドレス及び／又はIPv6アドレスと共に、TEID範囲と一致するとの決定に応答して、前記トンネルのセットアップを許可する、
ように構成されており、
前記メモリは、前記プロセッサに結合されており、かつ、前記プロセッサに命令を提供するように構成されている、
システム。

【請求項2】

前記セキュリティプラットフォームで前記PFCPメッセージから抽出された複数のパラメータは、送信元IPアドレス、セッションエンドポイント識別子(SEID)1、宛先IPアドレス、SEID 2、および、使用中のプロトコル、を含む、
請求項１に記載のシステム。

【請求項3】

前記セキュリティプラットフォームは、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保するために、複数のセキュリティポリシを用いて設定されている、
請求項１に記載のシステム。

【請求項4】

前記プロセッサは、さらに
前記PFCPメッセージを解析して、送信元IPアドレス、セッションエンドポイント識別子(SEID)1、宛先IPアドレス、SEID 2、および、PFCPアソシエーションに関連して使用中のプロトコルを抽出する、
ように構成されている、請求項１に記載のシステム。

【請求項5】

前記プロセッサは、さらに、
前記PFCPメッセージを解析して、PFCPアソシエーションに関連するノードIDを抽出する、
ように構成されている、請求項１に記載のシステム。

【請求項6】

前記セキュリティプラットフォームは、5Gネットワークのコアネットワークに対する、かつ／あるいは、コアネットワークにおけるネットワークトラフィックをモニタリングして、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保する、
請求項１に記載のシステム。

【請求項7】

前記セキュリティプラットフォームは、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保するために、サービス拒否(DoS)攻撃の検出および防止を実行するように構成されている、
請求項１に記載のシステム。

【請求項8】

前記セキュリティプラットフォームは、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保するために、セッションエンドポイント識別子(SEID)スプーフィング攻撃の検出および防止を実行するように構成されている、
請求項１に記載のシステム。

【請求項9】

前記プロセッサは、さらに、
前記セキュリティポリシに基づいて、前記新しいセッションがリソースにアクセスするのをブロックする、
ように構成されている、請求項１に記載のシステム。

【請求項10】

前記プロセッサは、さらに、
前記セキュリティポリシに基づいて、前記新しいセッションがリソースにアクセスできるようにする、
ように構成されている、請求項１に記載のシステム。

【請求項11】

方法であって、
セキュリティプラットフォームでモバイルネットワークにおけるネットワークトラフィックをモニタリングするステップであり、
新しいセッションに関連付けられたパケット転送制御プロトコル(PFCP)メッセージを識別し、
前記モバイルネットワークは、4Gネットワークまたは5Gネットワークを含んでいる、
ステップと、
前記セキュリティプラットフォームで前記PFCPメッセージから複数のパラメータを抽出するステップであり、前記複数のパラメータは、トンネルエンドポイント識別子（TEID）範囲と共に、IPv4アドレス及び／又はIPv6アドレスを含む、ステップと、
前記複数のパラメータの１つ以上に基づいて、前記新しいセッションの前記セキュリティプラットフォームでセキュリティポリシを実施するステップであり、
前記モバイルネットワークでの制御とユーザプレーンの分離を確保し、
前記複数のパラメータに係る前記TEID範囲、および、前記IPv4アドレス及び／又はIPv6アドレスが、セットアップされるトンネルのIPv4アドレス及び／又はIPv6アドレスと共に、TEID範囲と一致するか否かを決定し、かつ、
前記複数のパラメータに係る前記TEID範囲、および、前記IPv4アドレス及び／又はIPv6アドレスが、セットアップされるトンネルのIPv4アドレス及び／又はIPv6アドレスと共に、TEID範囲と一致するとの決定に応答して、前記トンネルのセットアップを許可する、
ステップと、
を含む、方法。

【請求項12】

前記セキュリティプラットフォームで前記PFCPメッセージから抽出された複数のパラメータは、送信元IPアドレス、セッションエンドポイント識別子(SEID)1、宛先IPアドレス、SEID 2、および、使用中のプロトコル、を含む、
請求項１１に記載の方法。

【請求項13】

前記セキュリティプラットフォームは、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保するために、複数のセキュリティポリシを用いて設定されている、
請求項１１に記載の方法。

【請求項14】

前記方法は、さらに
前記PFCPメッセージを解析するステップであり、
送信元IPアドレス、セッションエンドポイント識別子(SEID)1、宛先IPアドレス、SEID 2、および、PFCPアソシエーションに関連して使用中のプロトコルを抽出する、
ステップ、
を含む、請求項１１に記載の方法。

【請求項15】

前記方法は、さらに
前記PFCPメッセージを解析するステップであり、
PFCPアソシエーションに関連するノードIDを抽出する、
ステップ、
を含む、請求項１１に記載の方法。

【請求項16】

前記セキュリティプラットフォームは、5Gネットワークのコアネットワークに対する、かつ／あるいは、コアネットワークにおけるネットワークトラフィックをモニタリングして、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保する、
請求項１１に記載の方法。

【請求項17】

前記セキュリティプラットフォームは、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保するために、サービス拒否(DoS)攻撃の検出および防止を実行するように構成されている、
請求項１１に記載の方法。

【請求項18】

前記セキュリティプラットフォームは、前記モバイルネットワークにおける制御とユーザプレーンの分離を確保するために、セッションエンドポイント識別子(SEID)スプーフィング攻撃の検出および防止を実行するように構成されている、
請求項１１に記載の方法。

【請求項19】

前記方法は、さらに、
前記セキュリティポリシに基づいて、前記新しいセッションがリソースにアクセスするのを許可するか、または、ブロックするステップ、
を含む、請求項１１に記載の方法。

【請求項20】

コンピュータプログラムであって、
前記コンピュータプログラムは、非一時的なコンピュータ可読記憶媒体に保管されており、かつ、複数のコンピュータ命令を含んでおり、
前記コンピュータプログラムが実行されると、コンピュータに、
セキュリティプラットフォームでモバイルネットワークにおけるネットワークトラフィックをモニタリングするステップであり、
新しいセッションに関連付けられたパケット転送制御プロトコル(PFCP)メッセージを識別し、
前記モバイルネットワークは、4Gネットワークまたは5Gネットワークを含んでいる、
ステップと、
前記セキュリティプラットフォームで前記PFCPメッセージから複数のパラメータを抽出するステップであり、前記複数のパラメータは、トンネルエンドポイント識別子（TEID）範囲と共に、IPv4アドレス及び／又はIPv6アドレスを含む、ステップと、
前記複数のパラメータの１つ以上に基づいて、前記新しいセッションの前記セキュリティプラットフォームでセキュリティポリシを実施するステップであり、
前記モバイルネットワークでの制御とユーザプレーンの分離を確保し、
前記複数のパラメータに係る前記TEID範囲、および、前記IPv4アドレス及び／又はIPv6アドレスが、セットアップされるトンネルのIPv4アドレス及び／又はIPv6アドレスと共に、TEID範囲と一致するか否かを決定し、かつ、
前記複数のパラメータに係る前記TEID範囲、および、前記IPv4アドレス及び／又はIPv6アドレスが、セットアップされるトンネルのIPv4アドレス及び／又はIPv6アドレスと共に、TEID範囲と一致するとの決定に応答して、前記トンネルのセットアップを許可する、
ステップと、
を実施させる、コンピュータプログラム。

【発明の詳細な説明】

【背景技術】

【0001】

ファイアウォールは、一般的に、許可された通信がファイアウォールを通過することを許可しながら、不正アクセスからネットワークを確保する。ファイアウォールは、典型的に、ネットワークアクセスについてファイアウォール機能を提供する、デバイスまたはデバイスのセット、もしくは、コンピュータといった、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、他のネットワーク通信対応機器)のオペレーティングシステムに統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティ装置または他の特殊な用途の機器)におけるソフトウェアとして、統合または実行することもできる。

【0002】

ファイアウォールは、一般的に、ルールのセット（set of rules）に基づいてネットワーク伝送を拒否または許可する。これらのルールのセットは、しばしば、ポリシ（policy）と称される。例えば、ファイアウォールは、ルールのセットまたはポリシを適用することによって、着信トラフィック（inbound traffic）をフィルタリングすることができる。ファイアウォールは、また、ルールのセットまたはポリシを適用することによって、発信トラフィック（outbound traffic）をフィルタリングすることもできる。ファイアウォールは、また、基本的なルーティング機能を実行することもできる。

【図面の簡単な説明】

【0003】

本発明の様々な実施形態は、以下の詳細な説明および添付図面において開示されている。

【図1】図1は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える5G無線ネットワークのアーキテクチャに係るブロック図である。

【図2A】図2Aは、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係るブロック図である。

【図2B】図2Bは、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係る別のブロック図である。

【図2C】図2Cは、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係る別のブロック図である。

【図2D】図2Dは、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係る別のブロック図である。

【図3A】図3Aは、PFCPセッション確立プロシージャのためのプロトコルシーケンス図である。

【図3B】図3Bは、PFCPセッション変更プロシージャのためのプロトコルシーケンス図である。

【図3C】図3Cは、PFCPセッション解放プロシージャのためのプロトコルシーケンス図である。

【図4】図4は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのネットワーク装置のハードウェアコンポーネントに係る機能図である。

【図5】図5は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのネットワーク装置の論理コンポーネントに係る機能図である。

【図6】図6は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのプロセスに係るフローチャートである。

【図7】図7は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのプロセスに係る別のフローチャートである。

【発明を実施するための形態】

【0004】

本発明は、装置、システム、物事の組成、コンピュータ可読記憶媒体において具現化されたコンピュータプログラム製品、及び／又は、プロセッサに結合されたメモリに保管され、かつ／あるいは、メモリによって提供される命令を実行するように構成されたプロセッサといった、プロセッサを含む、様々な方法で実施することができる。この仕様書において、これらの実装、または本発明がとり得る他の形式は、技法（techniques）として称される。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更することができる。特に断りのない限り、タスクを実行するように構成されていると説明されるプロセッサまたはやメモリといったコンポーネントは、ある時点でタスクを実行するように一時的に構成されている一般的なコンポーネント、または、タスクを実行するように製造された特定のコンポーネントとして実装され得る。ここにおいて使用されるように、「プロセッサ（“processor”）」という用語は、コンピュータプログラム命令といった、データを処理するように構成された１つ以上のデバイス、回路、及び／又は、処理コアを参照する。

【0005】

本発明の１つ以上の実施形態の詳細な説明が、以下に、本発明の原理を説明する添付の図と共に提供される。本発明は、そうした実施形態に関連して説明されるが、本発明は、任意の実施形態についても限定されるものではない。本発明の範囲は、請求項によってのみ限定されるものであり、そして、本発明は、多数の代替、修正、および均等物を包含する。本発明について完全な理解を提供するために、以下の説明において、多数の具体的な詳細が記載されている。これらの詳細は、例示の目的で提供されるものであり、そして、本発明は、これらの具体的な詳細の一部または全部を用いることなく、請求項に従って実施され得る。明確にするために、本発明に関連する技術分野で知られている技術資料は、本発明が不必要に不明瞭にならないように、詳細には説明されていない。

【0006】

ファイアウォールは、一般的に、不正アクセス（unauthorized access）からネットワークを保護し、一方で、承認された（authorized）通信がファイアウォールを通過するのを許可している。ファイアウォールは、典型的には、デバイスまたは一式のデバイス、または、ネットワークアクセスのためのファイアウォール機能を提供する、デバイス上で実行されソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能デバイス）のオペレーティングシステムの中へ統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク／ルーティングデバイス(例えば、ネットワークルータ）、および、データ装置(例えば、セキュリティ装置または他のタイプの特殊目的のデバイス）上のソフトウェアとして、統合され、もしくは、実行することもできる。

【0007】

ファイアウォールは、典型的に、ルールのセットに基づいてネットワーク送信を拒否または許可する。これらルールのセットは、しばしば、ポリシ（policy）として参照される。例えば、ファイアウォールは、望まれない（unwanted）外部トラフィックが保護されるデバイスに到達するのを妨げるために、ルールのセットまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができる。ファイアウォールは、また、ルールのセットまたはポリシ(例えば、許可、ブロック、モニタリング、通知またはログ、及び／又は、他のアクションは、ここにおいて説明されるような、様々なクライテリアに基づいて、トリガされ得る、ファイアウォール/セキュリティルールまたはファイアウォール/セキュリティポリシにおいて指定することができる)を適用して、発信トラフィックをフィルタリングすることもできる。ファイアウォールは、また、ルールのセットまたはポリシを適用することによって、アンチウイルス保護、マルウェア検出/防止、または侵入保護を適用することもできる。

【0008】

セキュリティデバイス(例えば、セキュリティ装置、セキュリティゲートウェイ、セキュリティサービス、他のセキュリティデバイス)は、様々なセキュリティ機能(例えば、ファイアウォール、マルウェア対策、侵入防止/検出、プロキシ、及び／又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランス、他のネットワーク機能)、及び／又は、他の機能を含むことができる。例えば、ルーティング機能は、送信元情報(例えば、セキュアIPアドレスとポート)、宛先情報(例えば、宛先IPアドレスとポート)、および、プロトコル情報に基づくことができる。

【0009】

基本的パケットフィルタリングファイアウォールは、ネットワーク(例えば、ステートレスパケットフィルタリングファイアウォールである、パケットフィルタリングファイアウォールまたは第一世代ファイアウォール)を介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックをフィルタリングする。ステートレスパケットフィルタリングファイアウォールは、典型的に、個々のパケット自体を検査し、そして、検査されたパケットに基づいて、ルールを適用する(例えば、パケットの送信元と宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用する)。

【0010】

アプリケーションファイアウォールは、また、アプリケーション層フィルタリングを(例えば、TCP/IPスタックのアプリケーションレベルで動作する、アプリケーション層フィルタリングファイアウォールまたは第二世代ファイアウォールを使用して)実行することもできる。アプリケーション層フィルタリングファイアウォールまたはアプリケーションファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したWebブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)などの他の様々なタイプのアプリケーションや他のプロトコル)を識別することができる。例えば、アプリケーションファイアウォールは、標準ポートを介して通信しようとする不正なプロトコルをブロックできる(例えば、そのプロトコルの非標準ポートを使用して忍び込もうとしている無許可/ポリシ外のプロトコルは、一般的に、アプリケーションファイアウォールを使用して識別することができる)。

【0011】

ステートフルファイアウォールは、また、ステートフルベースのパケット検査を実行することもでき、この検査では、各パケットが、そのネットワーク伝送のパケット/パケットフロー(例えば、ステートフルファイアウォールまたは第三世代ファイアウォール）に係るフローに関連付けられた一式のパケットのコンテキスト内で検査される。このファイアウォール技法は、ファイアウォールを通過する全ての接続の記録を保持し、かつ、パケットが新しい接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断できるため、一般的に、ステートフルパケット検査と称される。例えば、接続の状態自体が、ポリシ内のルールをトリガするクライテリアの１つになり得る。

【0012】

先進または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、追加的なファイアウォール技法を実行することもできる。例えば、先進ファイアウォールまたは次世代ファイアウォールとして、ときどき、称される所定の新しいファイアウォールは、ユーザおよびコンテンツを識別することもできる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを数千のアプリケーションに拡大している。そうした次世代ファイアウォールの例は、パルアルトネットワークス社から市販されている(例えば、パルアルトネットワークス社のPAシリーズ次世代ファイアウォール、および、パルアルトネットワークス社のVMシリーズ仮想化次世代ファイアウォール)。

【0013】

例えば、パルアルトネットワークス社の次世代ファイアウォールは、企業およびサービスプロバイダが、様々な識別テクノロジーを使用して、－ポート、IPアドレス、およびパケットだけでなく－アプリケーション、ユーザ、およびコンテンツを識別および制御するのを可能にする。正確なアプリケーション識別のためのAPP-ID^TM(例えば、APP ID）、ユーザ識別(例えば、ユーザまたはユーザグループ)のためのUser-ID^TM(例えば、User ID）、および、リアルタイムコンテンツスキャン(例えば、ウェブサーフィンの制御およびデータやファイル転送の制限)のためのContent-ID^TM(例えば、Content ID）、といったものである。これらの識別テクノロジーにより、企業は、従来のポートブロックファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネスに関連する概念を使用してアプリケーションの使用をセキュアに可能にする。また、専用装置などとして実装されている次世代ファイアウォール用の特殊目的ハードウェアは、一般的に、アプリケーション検査について、汎用ハードウェアにおいて実行されるソフトウェアよりも高いパフォーマンスレベルを提供する(例えば、パルアルトネットワークス社のPAシリーズ次世代ファイアウォールについて、パルアルトネットワークス社が提供するセキュリティ装置といったものであり、シングルパスソフトウェアエンジンと緊密に統合された専用の、機能固有の処理を利用し、ネットワークスループットを最大化し、一方で、レイテンシを最小限に抑えている)。

【0014】

サービスプロバイダのための今日のモバイルネットワークにおける技術的およびセキュリティ上の課題

【0015】

世界中のコンバージド（converged）(モバイルおよび固定)ネットワーク事業者は、今日、スタンドアロンの5Gモバイルネットワーク技術を展開するプロセスにある。5Gモバイルネットワークでは、制御とユーザプレーンの分離(control and User Plane Separation、CUPS)を使用した接続が企業顧客に提供される。かくして、5Gモバイルネットワーク(例えば、中央パケットコア/クラウドパケットコアに配置されたセッション管理機能(Session Management Function、SMF)と、および、顧客の構内/アクセスサイト/分散サイトに配置されたユーザプレーン機能(UPF))では、コントロールネットワーク機能間の通信を確保し（secure）、そして、検証することが重要になる。

【0016】

従って、サービスプロバイダネットワークには、モバイルネットワーク内のデバイスに関する技術的およびセキュリティ上の課題が存在している。かくして、必要とされるものは、そうしたサービスプロバイダネットワーク環境(例えば、モバイルネットワーク)におけるデバイスの新しく、かつ、改善されたセキュリティ技術である。具体的に、必要とされるものは、そうしたネットワークトラフィックをモニタリングし、そして、サービスプロバイダネットワーク上で通信するデバイスにセキュリティポリシ(例えば、ファイアウォールポリシ)を適用するための、新しく、かつ、改善されたソリューションが必要である。

【0017】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するための技術の概要

【0018】

サービスプロバイダネットワークにおける技術的およびセキュリティ上の課題が、モバイルネットワークにおける制御とユーザプレーンの分離を確保するために存在している。具体的に、必要とされるものは、モバイルネットワーク環境(例えば、4G及び／又は5Gモバイルネットワーク)における制御とユーザプレーンの分離を確保するための新しく、かつ、改善された技術である。より具体的には、モバイルネットワークトラフィックをモニタリングし、そして、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティポリシ(例えば、セキュリティ/ファイアウォールポリシ)を適用するための新しく、かつ、改善されたソリューションが必要である。

【0019】

さらに後述するように、PFCPは、制御プレーンとユーザプレーン機能との間のSx/N4インターフェイスで使用される3GPPプロトコルである(例えば、LTE用の3GPP Technical Specification(TS) 29.244 v15.7で規定されている；5G；Interface between the Control Plane and the User Plane nodes(例えば、および、以降のリリース/バージョン))。

【0020】

いくつかの実施形態では、セキュリティプラットフォームによって実行可能なモバイルネットワークにおける制御とユーザプレーンの分離を確保するために、パケット転送制御プロトコル(Packet Forwarding Control Protocol、PFCP)ステートフル検査のための新しく、かつ、改善された技術が、以下でさらに説明されるように開示される。

【0021】

例えば、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのPFCPステートフル検査の新しく、かつ、改善された技術は、PFCFセッションを設定し、そして、制御メッセージフローを追跡するために使用される所定の情報を抽出するために、セッション管理機能（SMF)とユーザプレーン機能(UPF)との間のN4インターフェイスにわたるPFCPメッセージを解析することにより、5Gテクノロジベースのモバイルネットワーク(例えば、5Gモバイルネットワーク)におけるセキュリティプラットフォームによって実行することができる。

【0022】

別の例として、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのPFCPステートフル検査の新しく、かつ、改善された技術は、PFCFセッションを設定し、そして、制御メッセージフローを追跡するために使用される所定の情報を抽出するために、Serving Gateway(SG)-CとSG-Uとの間のSxaインターフェイス、Packet Data Network(PDN) Gateway-CとPDN Gateway-Uとの間のSxbインターフェイス、および、Traffic Detection Function(TDF)-CとTDF-Uとの間のSxcインターフェイスにわたるPFCPメッセージを解析することにより、4Gテクノロジベースのモバイルネットワーク(例えば、4Gモバイルネットワーク)のセキュリティプラットフォームによって実行することができる。

【0023】

従って、PFCPトラフィックにおけるモバイルネットワーク(例えば、4G/5Gモバイルネットワーク)内セキュリティプラットフォーム(例えば、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の(仮想)デバイス/コンポーネント)を使用して、セキュリティ(例えば、ネットワークベースのセキュリティ)を提供することを促進する新しく、かつ、改善されたセキュリティソリューションが、いくつかの実施形態に従って開示されている。例えば、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための開示される技術は、攻撃の識別と予防を提供することができる。それらは、ローカルエリアデータネットワーク、コアネットワーク、マルチアクセス分散エッジロケーション、ローカルユーザプレーン機能(UPF)を伴うエンタープライズネットワーク、及び／又は、他の様々な4G/5Gネットワークロケーションを含む、様々な4G/5Gネットワークロケーションでの、サービス拒否(Denial of Service、DoS)、セッションエンドポイント識別子(Session Endpoint Identifier、SEID)スプーフィング、および、パケット転送制御プロトコル(PFCP)にわたるSEID推測を含んでいる。

【0024】

以下にさらに説明されるように、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための様々な技術が開示される。いくつかの実施形態においては、いくつかの実施形態に従ってモバイルネットワークにおける制御とユーザプレーンの分離を確保するためのシステム/プロセス/コンピュータプログラム製品は、新しいセッションに関連付けられたパケット転送制御プロトコルPFCP)メッセージを識別するために、セキュリティプラットフォームでモバイルネットワークにおけるネットワークトラフィックをモニタリングすることを含む。そこでは、モバイルネットワークが4Gネットワークまたは5Gネットワークを含んでおり、セキュリティプラットフォームでのPFCPメッセージから複数のパラメータ(例えば、以下でさらに説明されるPFCP関連付けに関連する5タプル+ノードID(オプション))を抽出し、そして、モバイルネットワークでの制御とユーザプレーンの分離を確保するために、複数のパラメータの１つ以上に基づいて、新しいセッションにおけるセキュリティプラットフォームでセキュリティポリシを実施する。

【0025】

例えば、送信元IPアドレス、SEID 1、宛先IPアドレス、SEID 2、および、PFCPアソシエーション（association）に関連する使用におけるプロトコルのパラメータを抽出するために、セキュリティプラットフォームは、PFCPメッセージを解析することができる。別の例として、セキュリティプラットフォームは、PFCPアソシエーションに関連するノードIDを抽出するために、PFCPメッセージを解析することができる。

【0026】

一実装例において、セキュリティプラットフォームは、モバイルネットワークでの制御とユーザプレーンの分離を確保するために、サービス拒否(DoS)攻撃の検出と防止を実行するためのセキュリティポリシを用いて設定されている。

【0027】

別の実装例において、セキュリティプラットフォームは、モバイルネットワークでの制御とユーザプレーンの分離を確保するために、セッションエンドポイント識別子(SEID)スプーフィング攻撃の検出と防止を実行するためのセキュリティポリシを用いて設定されている。

【0028】

モバイルネットワークでの制御とユーザプレーンの分離を確保するための開示される技術は、様々なセキュアなモバイルネットワークソリューションを促進するために適用することができる。一例として、モバイルネットワーク事業者は、クラウドベースの制御インフラストラクチャと分散エッジロケーションとの間の通信をセキュアにするために、開示される技術を使用することができる。別の例として、プライベート4G/5G接続を伴う企業顧客は、ローカルのユーザプレーン機能(UPF)とクラウドベースの制御インフラストラクチャとの間の通信をセキュアにするために、開示される技術を使用することができる。

【0029】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのこれら及び他の実施例が、以下でさらに説明される。

【0030】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するための例示的なシステムアーキテクチャ

【0031】

一般的に、5Gは、第5世代のモバイル通信システムである。3^rd Generation Partnership Project(3GPP)は、7つの電気通信標準開発組織(すなわち、ARIB、ATIS、CCSA、ETSI、TSDSI、TTA、TTC)を含んでいる。本プロジェクトは、無線アクセス、コアトランスポートネットワーク、および、サービス機能を含む、セルラー電気通信ネットワーク技術をカバーしている。本仕様は、また、コアネットワークに対する非無線（non-radio）のアクセスについて、および、Wi-Fiネットワークを用いた協調作業（interworking）について、そして、5G標準を開発しているITU、IETF、およびETSIを含む他の組織に、フック（hook）も提供している。新しい5Gネットワーク標準の改善点のいくつかは、例えば、マルチエッジコンピューティング、低レイテンシ(例えば、概ね10ミリ秒(MS)未満)、高スループット(例えば、マルチGbps)、分散、ネットワーク機能仮想化インフラストラクチャ、並びに、オーケストレーション、分析、および自動化を含んでいる。

【0032】

5Gアーキテクチャは、3GPP TS 23.501 v16.4.0(例えば、:https://portal.3GPP.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144で入手可能)(例えば、および、以降のリリース/バージョン)でサービスベースとして定義されており、そして、ネットワーク機能(NF)間の相互作用（interaction）は2個の方法で表現される。(1)サービスベースの表現では、制御プレーン(CP)内のNFが、他の許可されたネットワーク機能がサービスにアクセスするのを有効化（enable）する。(2)参照ポイントの表現では、任意の2個のネットワーク機能間におけるポイントツーポイント参照ポイントによって定義されるNFのペア間の相互作用に焦点を当てている。

【0033】

5Gアーキテクチャでは、アクセスネットワークと、N3インターフェイスを介したバックボーンネットワークにわたるコアとの間(例えば、無線アクセスネットワーク(RAN)とUPF要素との間)のユーザプレーンプロトコル（User Plane Protocol）スタックは、UDPプロトコルにわたるGPRSトンネルプロトコルユーザプレーン（Tunnel Protocol User Plane）(GTP-U)に基づいており、そして、N4インターフェイスを介したもの(例えば、UPFエレメントとSMFエレメントとの間)も、また、UDPプロトコルにわたるパケット転送制御プロトコル(PFCP)に基づいている。5Gシステムアーキテクチャの制御プレーンNFは、サービスベースのアーキテクチャに基づいている。HTTP/2は、サービスベースのインターフェイスにわたり使用されるプロトコルである。新しい5Gアクセスネットワークプロトコルは、ストリーム制御伝送プロトコル（Stream Control Transmission Protocol、SCTP)に基づいている。

【0034】

従って、いくつかの実施形態において、開示される技術は、例として、以下でさらに説明されるように、モニタリングされたGTP-Uトンネルセッションと新しいHTTP/2ベースのTCPセッションのとの間の相関、および、別の例として、モニタリングされたGTP-Uトンネル(例えば、N3インターフェイス上)とPFCPセッション(例えば、N4/Sxインターフェイス上)との間の相関を促進する、GTP-Uセッションおよび新しいHTTP/2ベースのTCPセッションに係るDPI機能(例えば、ステートフル検査を含む)を提供するように構成されたセキュリティプラットフォームを提供することを含んでいる(例えば、セキュリティ機能/プラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、開示された手法を使用してセキュリティポリシを実装することができる別の（仮想）デバイス/コンポーネントを使用して実装することができる。Palo Alto Networks社から市販されている仮想/物理NGFWソリューション、または、別のセキュリティ/NFGWで実行されるPANOSといったものである)。

【0035】

いくつかの実施形態では、セキュリティプラットフォームは、以下のDPI機能を提供するように構成されている。N3 GTP-Uトンネル及び／又はN4GTP-Uトンネルのステートフル検査、N3 GTP-Uトンネルのコンテンツ検査(例えば、N3 GTP-Uトンネルの内部IPセッションの内容を検査する)、及び／又は、N4/Sx PFCPセッションのコンテンツ検査(例えば、N4/Sx PFCPセッションのコンテンツを検査する)、5Gセルラー技術をサポートする5Gシステム用のプロシージャのための3GPP Technical Specification(TS) 29.274 v15.3.0 Release 15(例えば、および、以降のリリース/バージョン)に対するサポート、および、GTP-Uのための3GPP Technical Specification(TS) 29.281 v15.4.0 Release 14(例えば、および以降のリリース/バージョン)に対するサポート。

【0036】

図1は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える5G無線ネットワークのアーキテクチャに係るブロック図である。具体的に、図1は、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための5Gモバイルネットワーク環境の一例であり、以下でさらに説明されるように、制御とユーザプレーンの分離を確保するためのセキュリティプラットフォーム102aおよび102b(例えば、セキュリティ機能/プラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装することができる別の(仮想)デバイス/コンポーネント)を含んでいる。示されるように、5Gモバイルネットワーク環境は、また、以下も含んでいる。104で示されている固定/有線アクセス、106で示されているWi-Fiアクセスといった非3GPPアクセス、108で示されている5G無線アクセスネットワーク(RAN)アクセス、110で示されている4G RANアクセス、及び／又は、加入者(例えば、スマートフォン、ノートパソコン、コンピュータ(固定された場所に存在し得る)といった、ユーザ機器(UE)、及び／又は、CIoTデバイスといった、他のセルラー対応コンピューティングデバイス/機器、または、他のネットワーク通信対応デバイスを使用する)のためにデータ通信を促進するための他のネットワーク(図1に示されていない)であり、様々なアプリケーション、Webサービス、コンテンツホスト、等、及び／又は他のネットワークにアクセスするための中央データネットワーク(例えば、インターネット)を含んでいる。図1に示されるように、5Gネットワークアクセスメカニズム104、106、108、および110のそれぞれは、5Gユーザプレーン機能112aおよび112bと(例えば、S1-Uインターフェイスを介して)通信しており、それは、5Gユーザプレーン機能112aおよび112bと、それぞれに、通信するために、セキュリティプラットフォーム102aおよび102bを通過する。

【0037】

また、図1に示されるように、それぞれに示すN4インターフェイスは、UDP上のPFCPを介して、UPF 112a/bと、セッション管理機能(SMF)130を含む5Gコア制御/シグナリング機能との間のインターフェイスを提供する。コアネットワーク140は、中央データネットワーク120と通信している、5Gユーザプレーン機能132と通信するSMF130を含んでいる。

【0038】

図1を参照すると、ネットワークトラフィック通信は、セキュリティプラットフォーム102aおよび102bを使用してモニタリングされる。示されるように、ネットワークトラフィック通信は、上記と同様に、かつ、さらに以下に説明されるように、モバイルネットワークで制御とユーザプレーンの分離を確保するための開示される技術を実行するように構成されたセキュリティプラットフォーム102aおよび102b(例えば、ファイアウォール(FW)、ファイアウォールの代わりに機能するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別のデバイス/コンポーネントをそれぞれ含む(仮想) デバイス/アプライアンス)を使用して、5Gネットワークでモニタリング/フィルタリングされる。

【0039】

加えて、セキュリティプラットフォーム102aおよび102bは、また、インターネットなどを介して、クラウドセキュリティサービス122(例えば、Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFire^TMクラウドベースのマルウェア分析環境といった、市販のクラウドベースのセキュリティサービスでは、マルウェアのサンプルの自動セキュリティ分析並びにセキュリティ専門家の分析を含み、または、他のベンダーが提供する同様のソリューションを利用することができる)とネットワーク通信することもできる。例えば、クラウドセキュリティサービス122は、セキュリティプラットフォームにマルウェア、DNS、URL、CNCマルウェア、及び／又は、他のマルウェアの動的な防止署名を提供するため、並びに、さらなるセキュリティ分析のためにマルウェアのサンプルを受信するために利用することができる。

【0040】

図1を参照すると、セキュリティプラットフォーム102aおよび102bは、この例における5Gモバイルネットワーク環境で、それぞれUPF112aおよび112bとSMF130との間のN4インターフェイス上のPFCPメッセージ(例えば、PFCP over UDP)を解析することによってPFCPステートフル検査を実行し、それぞれに、PFCFセッションのセットアップに使用される特定の情報を抽出し、そして、後述する制御メッセージフローを追跡する。

【0041】

これから明らかになるように、モバイルネットワークでの制御とユーザプレーンの分離のセキュリティを促進するために、5Gネットワーク内の様々な場所(例えば、5Gネットワークまたはコンバージド5Gネットワーク)でのネットワークトラフィック通信用の１つ以上のセキュリティプラットフォームを使用して、ネットワークトラフィック通信をモニタリング/フィルタリングすることができる。

【0042】

図2Aは、いくつかの実施形態に従った、モバイルネットワークでの制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係るブロック図である。具体的に、図2Aは、以下でさらに説明されるように、制御とユーザプレーンの分離を確保するために、セキュリティプラットフォーム202aおよび202b(例えば、セキュリティ機能/プラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の(仮想)デバイス/コンポーネントを使用して実装できる)を含む、モバイルネットワークでの制御とユーザプレーンの分離を確保するための一つの例示的な4Gモバイルネットワーク環境である。4Gモバイルネットワーク環境は、また、固定/有線アクセス(図2Aに示されていない)、Wi-Fiアクセス(図2Aに示されていない)といった非3GPPアクセス、204で示されるような4G無線アクセスネットワーク(RAN)アクセス、及び／又は、他のネットワーク(図2Aに示されていない)を含むこともでき、様々なアプリケーション、Webサービス、コンテンツホスト、等、及び／又は、他のネットワークにアクセスするための中央データネットワーク(例えば、インターネット)220経由を含む、加入者のためのデータ通信を(例えば、スマートフォン、ノートパソコン、コンピュータ(固定された場所に存在し得る)といった、ユーザ機器(UE)、及び／又は、CIoTデバイスといった、他のセルラー対応コンピューティングデバイス/機器、または、他のネットワーク通信対応デバイスを使用して)促進する。

【0043】

図2Aに示されるように、4GネットワークアクセスメカニズムeNodeB 204は、SGW-U+PGW-U 206として示されるユーザプレーントラフィックのための結合サービングゲートウェイ(SGW)およびパケットゲートウェイ(PGW)を含むユーザプレーンネットワーク要素と通信しており、SGW-U+PGW-U 206と通信するためにセキュリティプラットフォーム202aを通過する。

【0044】

図2Aにも、また、示されるように、コアネットワーク210は、SGW-C+PGW-C 214として示される制御プレーントラフィックのための結合サービングゲートウェイ(SGW)およびパケットデータネットワーク(PDN)ゲートウェイ(PGW)を含む制御プレーンネットワーク要素を含み、これは、セキュリティプラットフォーム202bを通過してPGW-U 216と通信する。コアネットワーク210は、中央データネットワーク 220へのアクセスを促進するためのユーザプレーントラフィック用のPGW-U 216を含んでいる。具体的に、Sxaインターフェイスは、PFCP over UDPを介してSGW-C 214とSGW-U 206の間のインターフェイスを提供し、Sxbインターフェイスは、PFCP over UDPを介してPGW-C 214とPGW-U 216の間のインターフェイスを提供する。

【0045】

また、示されるように、セキュリティプラットフォーム202a(例えば、および、他のセキュリティプラットフォームも同様にセキュリティクラウドサービスと通信することができる)は、また、セキュリティサービス222(例えば、Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであるWildFireTM(WF)クラウドベースのマルウェア分析環境といった、市販のクラウドベースのセキュリティサービスであり、マルウェアのサンプルの自動セキュリティ分析並びにセキュリティ専門家の分析を含み、または、他のベンダーが提供する同様のソリューションを利用することができる)とのネットワーク通信も行っている。

【0046】

図2Aを参照すると、図1に関して上記で説明したのと同様に、または、以下でさらに説明されるように、セキュリティプラットフォーム202aおよび202b(例えば、Sxa、Sxb、及び／又は、他の通信をモニタリングするために様々な場所に配置することができる)を使用して、ネットワークトラフィック通信をモニタリングすることができる。この実装例では、セキュリティプラットフォーム202aおよび202bは、この例示的な4Gモバイルネットワーク環境に配置されており、214で示されるサービングゲートウェイ（Serving Gateway）-Cと、206で示されるサービングゲートウェイ-Uとの間のSxaインターフェイス、および、21で示されるPDNゲートウェイ-Cと、216で示されるPDNゲートウェイ-Uとの間のSxbインターフェイス上のPFCFメッセージ(例えば、PFCP over UDP)をモニタリングおよび解析して、PFCFセッションのセットアップに使用される所定の情報を抽出し、以下でさらに説明されるように制御メッセージフローを追跡する。

【0047】

図2Bは、いくつかの実施例に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4Gワイヤレスネットワークのアーキテクチャに係る別のブロック図である。具体的に、図2Bは、以下でさらに説明されるように、制御とユーザプレーンの分離を確保するためのセキュリティプラットフォーム202a、202b、および202c(例えば、セキュリティ機能/プラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の(仮想)デバイス/コンポーネントを使用して実装できる)を含む、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための一つの例示的な4Gモバイルネットワーク環境である。4Gモバイルネットワーク環境は、また、固定/有線アクセス(図2Bに示されていない)、Wi-Fiアクセス(図2Bに示されていない)といった非3GPPアクセス、204で示されるような4G無線アクセスネットワーク(RAN)アクセス、及び／又は、他のネットワーク(図2Bに示されていない)を含むこともでき、様々なアプリケーション、Webサービス、コンテンツホスト、等、及び／又は、他のネットワークにアクセスするための中央データネットワーク(例えば、インターネット)220経由を含む、加入者のためのデータ通信を(例えば、スマートフォン、ノートパソコン、コンピュータ(固定された場所に存在し得る)といった、ユーザ機器(UE)、及び／又は、CIoTデバイスといった、他のセルラー対応コンピューティングデバイス/機器、または、他のネットワーク通信対応デバイスを使用して)促進する。

【0048】

図2Bに示されるように、4Gネットワークアクセスメカニズム204は、SGW-U+PGW-U 206として示されるユーザプレーントラフィックのためのサービングゲートウェイ(SGW)およびパケットゲートウェイ(PGW)を含む、結合されたユーザプレーンネットワーク要素と通信しており、SGW-U+PGW-U 206と通信するために、セキュリティプラットフォーム202aを通過する。

【0049】

図2Bにも、また、示されるように、4Gネットワークアクセスメカニズム204は、コアネットワーク210にアクセスするためにセキュリティプラットフォーム202aを通過する、コアネットワーク210と(例えば、Sxa/Sxbインターフェイスを介して)通信している。コアネットワーク210は、SGW-C+PGW-C 214として表示される制御プレーントラフィック用のサービングゲートウェイ(SGW)およびパケットデータネットワーク(PDN)ゲートウェイ(PGW)を含む、制御プレーンネットワーク要素が組み合わされて含んでいる。
コアネットワーク210は、また、中央データネットワーク220へのアクセスを促進するためにユーザプレーントラフィック用のPGW-U 216も含んでおり、それは、セキュリティプラットフォーム202bを通過してPGW-U 216を介して中央データネットワークにアクセスし、そして、TDF-U 224として表示されるユーザプレーントラフィック用のトラフィック検出機能（Traffic Detection Function、TDF)にアクセスする。具体的に、Sxaインターフェイスは、PFCP over UDPを介してSGW-C 214とSGW-U 206との間のインターフェイスを提供し、そして、Sxbインターフェイスは、PFCP over UDPを介してPGW-C 214とPGW-U 216との間のインターフェイスを提供している。コアネットワーク210は、また、TDF-C 226として表示される制御プレーントラフィック用のトラフィック検出機能(TDF)も含んでおり、TDF-C 226とTDF-U 224との間のSxcインターフェイスにわたるネットワークトラフィックは、セキュリティプラットフォーム202cを通過する。

【0050】

また、示されるように、セキュリティプラットフォーム202a(例えば、および、他のセキュリティプラットフォームも同様にセキュリティクラウドサービスと通信できる)は、マルウェア、DNS、URL、コマンドとコントロール(C&C)、及び／又は他の様々なセキュリティ更新、及び／又はクラウドベースのマルウェアサンプル分析のための動的防止署名のため、といった、セキュリティサービス222(例えば、Palo Alto Networks社が提供する市販のクラウドセキュリティサービスである、WildFire^TM(WF)クラウドベースのマルウェア分析環境といった市販のクラウドベースのセキュリティサービスでは、マルウェアのサンプルの自動セキュリティ分析並びにセキュリティ専門家の分析を含み、または、他のベンダーが提供する同様のソリューションを利用することができる)とネットワーク通信することもできる。

【0051】

図2Bを参照すると、図2Aに関して前述したように、そして、以下でさらに説明されるように、セキュリティプラットフォーム202a、202b、および202c(例えば、Sxa、Sxb、Sxc、及び／又は、他の通信をモニタリングするために様々な場所に配置することができる)を使用して、ネットワークトラフィック通信をモニタリングすることができる。この実装例において、セキュリティプラットフォーム202a、202b、および202cは、この例示的な4Gモバイルネットワーク環境に配置され、PFCPメッセージ(例えば、PFCP over UDP)をモニタリングおよび解析するために、214で示されるサービングゲートウェイ-Cと206で示されるサービングゲートウェイ-Uとの間のSxaインターフェイス、214で示されるPDNゲートウェイ-Cと206で示されるPDNゲートウェイ-Uとの間のSxbインターフェイス、および、226で示されるTDF-Cと224で示されるTDF-Uとの間のSxcインターフェイスを使用して、PFCFセッションのセットアップに使用される所定の情報を抽出し、そして、以下でさらに説明されるように制御メッセージフローを追跡する。

【0052】

図2Cは、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係る別のブロック図である。具体的に、図2Cは、以下でさらに説明されるように、制御とユーザプレーンの分離を確保するためのセキュリティプラットフォーム202(例えば、セキュリティ機能/プラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の(仮想)デバイス/コンポーネントを使用して実装できる)を含む、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための例示的な4Gモバイルネットワーク環境である。4Gモバイルネットワーク環境は、また、固定/有線アクセス(図2Cに示されていない)、Wi-Fiアクセス(図2Cに示されていない)といった非3GPPアクセス、204で示されるような4G無線アクセスネットワーク(RAN)アクセス、及び／又は、加入者が(例えば、スマートフォン、ノートパソコン、コンピュータ(固定された場所に存在し得る)といったユーザ機器(UE)、及び／又は、CIoTデバイスといった他のセルラー対応コンピューティングデバイス/機器、及び／又は、他のネットワーク通信対応デバイスを使用して)様々なアプリケーション、Webサービス、コンテンツホスト、等、及び／又は、他のネットワークにアクセスするためのデータ通信を促進する他のネットワーク(図2Cに示されていない)も含むこともできる。

【0053】

図2Cに示されるように、4Gネットワークアクセスメカニズム204は、SGW-U+PGW-U 206として示されるユーザプレーントラフィック用のサービングゲートウェイ(SGW)およびパケットゲートウェイ(PGW)を含む、結合されたユーザプレーンネットワーク要素と通信しており、それは、SGW-U+PGW-U 206と通信するためにセキュリティプラットフォーム202を通過する。

【0054】

図2Cにも、また、示されるように、4Gネットワークアクセスメカニズム204は、セキュリティプラットフォーム202を通過してコアネットワーク210にアクセスするコアネットワーク210と(例えば、Sxa/Sxbインターフェイスを経由して)通信している。コアネットワーク210は、SGW-C+PGW-C 214として示される制御プレーントラフィック用のサービングゲートウェイ(SGW)およびパケットデータネットワーク(PDN)ゲートウェイ(PGW)を含んでいる、結合制御プレーンネットワーク要素を含む。具体的に、Sxaインターフェイスは、PFCP over UDPを介してSGW-C 214とSGW-U 206との間のインターフェイスを提供し、そして、Sxbインターフェイスは、PFCP over UDPを介してPGW-C 214とPGW-U 206との間のインターフェイスを提供する。

【0055】

また、示されるように、説明される202は、マルウェア、DNS、URL、コマンドとコントロール(C&C 、及び／又は他の様々なセキュリティ更新プログラム、及び／又はクラウドベースのマルウェアサンプル分析のための動的予防署名のため、といったセキュリティサービス222(例えば、Palo Alto Networks社が提供する市販のクラウドセキュリティサービスであ、るWildFire^TM(WF)クラウドベースのマルウェア分析環境といった市販のクラウドベースのセキュリティサービスでは、マルウェアのサンプルの自動セキュリティ分析並びにセキュリティ専門家の分析を含み、または、他のベンダーが提供する同様のソリューションを利用することができる)とネットワーク通信することもできる。

【0056】

図2Cを参照すると、ネットワークトラフィック通信は、図2A-図2Bに関して前述したのと同様に、そして、以下でさらに説明されるように、セキュリティプラットフォーム202(例えば、Sxa、Sxb、及び／又は、他の通信をモニタリングするために様々な場所に配置することができる)を使用して、モニタリングすることができる。この実装例において、セキュリティプラットフォーム202は、この例示的な4Gモバイルネットワーク環境に配置されており、214で示されるサービングゲートウェイ-Cと206で示されるサービングゲートウェイ-Uとの間のSxaインターフェイス、および、214で示されるPDNゲートウェイ-Cと206で示されるPDNゲートウェイy-Uとの間のSxbインターフェイスにおけるPFCPメッセージ(例えば、PFCP over UDP)をモニタリングおよび解析して、PFCFセッションのセットアップに使用される所定の情報を抽出し、そして、以下でさらに説明されるように制御メッセージフローを追跡する。

【0057】

図2Dは、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのセキュリティプラットフォームを備える4G無線ネットワークのアーキテクチャに係る別のブロック図である。具体的に、図2Dは、以下でさらに説明されるように、制御とユーザプレーンの分離を確保するためのセキュリティプラットフォーム202aおよび202b(例えば、セキュリティ機能/プラットフォームは、ファイアウォール(FW)/次世代ファイアウォール(NGFW)、ファイアウォールの代わりに動作するネットワークセンサ、または、開示される技術を使用してセキュリティポリシを実装できる別の(仮想)デバイス/コンポーネントを使用して実装できる)を含む、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための例示的な4Gモバイルネットワーク環境である。4Gモバイルネットワーク環境は、また、固定/有線アクセス(図2Dに示されていない)、Wi-Fiアクセス(図2Dに示されていない)といった非3GPPアクセス、204で示されるような4G無線アクセスネットワーク(RAN)アクセス、及び／又は、加入者が(例えば、スマートフォン、ノートパソコン、コンピュータ(固定された場所に存在し得る)といったユーザ機器(UE)、及び／又は、CIoTデバイスといった他のセルラー対応コンピューティングデバイス/機器、及び／又は、他のネットワーク通信対応デバイスを使用して)様々なアプリケーション、Webサービス、コンテンツホスト、等、及び／又は、他のネットワークにアクセスするためのデータ通信を促進する他のネットワーク(図2Dに示されていない)を含むこともできる。

【0058】

図2Dに示されるように、4Gネットワークアクセスメカニズム204は、SGW-U 208およびPGW-U 206として示されるユーザプレーントラフィック用のサービングゲートウェイ(SGW)、および、パケットゲートウェイ(PGW)を含むユーザプレーンネットワーク要素と、それぞれに、通信している。セキュリティプラットフォーム202bは、セキュリティプラットフォーム202bを通過してTDF-U 224と通信する、TDF-U 224として示されるユーザプレーントラフィック用のトラフィック検出機能とPGW-U 206との間に配置されている。

【0059】

図2Dにも、また、示されるように、4Gネットワークアクセスメカニズム204は、制御プレーントラフィック用のコアネットワーク210にアクセスするためにセキュリティプラットフォーム202aを通過する、コアネットワーク210と(例えば、Sxa/Sxbインターフェイスを経由して)通信している。コアネットワーク210は、SGW-C 218およびPGW-C 216として示される制御プレーントラフィック用のサービングゲートウェイ(SGW)、および、パケットデータネットワーク(PDN)ゲートウェイ(PGW)を含む制御プレーンネットワーク要素を、それぞれ、含んでいる。コアネットワーク210は、また、TDF-C 234として示される制御プレーントラフィック用のトラフィック検出機能も含み、これは、示されるように、セキュリティプラットフォーム202bを通過する。具体的に、Sxaインターフェイスは、PFCP over UDPを介してPGW-C 216とPGW-U 206との間のインターフェイスを提供し、そして、SxbインターフェイスはPFCP over UDPを介してSGW-C 218とSGW-U 208との間のインターフェイスを提供する。同様に、SxcインターフェイスはPFCP over UDPを介してTDF-C 234とTDF-U 224との間のインターフェイスを提供する。

【0060】

また、示されるように、セキュリティプラットフォーム202a(例えば、および、他のセキュリティプラットフォームも同様にセキュリティクラウドサービスと通信できる)は、マルウェア、DNS、URL、コマンドとコントロール(C&C)、及び／又は他の様々なセキュリティ更新プログラム、及び／又はクラウドベースのマルウェアサンプル分析の動的防止署名ため、といった、セキュリティサービス222(例えば、Palo Alto Networks社が提供する市販のクラウドセキュリティサービスである、WildFire^TM(WF)クラウドベースのマルウェア分析環境といった市販のクラウドベースのセキュリティサービスでは、マルウェアのサンプルの自動セキュリティ分析並びにセキュリティ専門家の分析を含み、または、他のベンダーが提供する同様のソリューションを利用することができる)ともネットワーク通信する。

【0061】

図2Dを参照すると、ネットワークトラフィック通信は、図2A-図2Cに関して前述したように、そして、以下でさらに説明されるように、セキュリティプラットフォーム202aおよび202b(例えば、Sxa、Sxb、Sxc、及び／又は、他の通信をモニタリングするために様々な場所に配置することができる)を使用して、モニタリングすることができる。この実装例において、セキュリティプラットフォーム202aおよび202bは、この例示的な4Gモバイルネットワーク環境に配置され、PFCPメッセージ(例えば、PFCP over UDP)をモニタリングおよび解析するために、216で示されるPDNゲートウェイ-Cと206で示されるPDNゲートウェイ-Uとの間のSxaインターフェイス、218で示されるサービングゲートウェイ-Cと208で示されるサービングゲートウェイ-Uとの間のSxbインターフェイス、および、234で示されるTDF-Cと224で示されるTDF-Uとの間のSxcインターフェイスを使用して、PFCFセッションのセットアップに使用される所定の情報を抽出し、そして、以下でさらに説明されるように制御メッセージフローを追跡する。

【0062】

これから明らかになるように、モバイルネットワークにおける制御とユーザプレーンの分離のセキュリティを促進するために、4Gネットワーク及び／又は5Gネットワーク(例えば、5Gネットワークまたはコンバージド5Gネットワーク)内の様々な場所でのネットワークトラフィック通信のための１つ以上のセキュリティプラットフォームを使用して、ネットワークトラフィック通信をモニタリング/フィルタリングすることができる。

【0063】

モバイルネットワークにおける制御とユーザプレーンの分離のセキュリティを確保するためのPFCPトラフィックのモニタリングに基づく例示的なセキュリティメカニズム

【0064】

上記で説明したのと同様に、PFCPは、LTEの3GPP技術仕様(TS)29.244 v15.7；5G；制御プレーンとユーザプレーンノード間のインターフェイス(例えば、および、以降のリリース/バージョン)で規定されているように、制御プレーンとユーザプレーン機能の間のインターフェイスにおいて使用される。

【0065】

図3Aは、PFCPセッション確立プロシージャのためのプロトコルシーケンス図である。図3Aを参照すると、SMF304は、新しいPDUセッションを確立するか、または、確立されたPDUセッションのUPFを変更するためのトリガを受信する。310で、SMF304は、N4セッション確立要求メッセージをUPF302に送信する。320で、UPF302は、N4セッション確立応答メッセージを用いて応答する。SMF304は、このプロシージャをトリガしたネットワーク機能(例えば、5Gコアアクセスおよびモビリティ管理機能(AMF)、または、ポリシ制御機能(PCF))とインタラクションする。

【0066】

図3Bは、PFCPセッション変更プロシージャのためのプロトコルシーケンス図である。図3Bを参照すると、SMF304は、既存のPDUセッションを変更するためのトリガを受信する。330で、SMF304は、N4セッション変更要求メッセージをUPF302に送信する。340で、UPF302はN4セッション変更応答メッセージを用いて応答する。SMF304は、このプロシージャをトリガしたネットワーク機能(例えば、AMFまたはPCF)とインタラクションする。

【0067】

図3Cは、PFCPセッション解放プロシージャのためのプロトコルシーケンス図である。図3Cを参照すると、SMF304は、PDUセッションのN4セッションコンテキストを削除するためのトリガを受信する。350で、SMF304は、N4セッション解放要求メッセージをUPF302に送信する。UPF302は、N4セッションIDによって削除されるN4セッションコンテキストを識別し、そして、セッションコンテキスト全体を削除する。360で、UPF302は、N4セッションリリース応答メッセージ(例えば、UPFがSMFに提供する必要がある任意の情報を含む)を用いて応答する。SMF304は、このプロシージャをトリガしたネットワーク機能(例えば、AMFまたはPCF)とインタラクションする。

【0068】

一実装例において、PFCFステートフル検査は、マルチアクセス分散エッジ4G/5Gネットワーク、または、エンタープライズプライベートLTEネットワーク(例えば、図1および図2A-図2Dにも示されている、セキュリティプラットフォームの展開、といったもの)のセキュリティプラットフォーム展開トポロジに基づいて、以下のように実行することができる。

【0069】

第１に、PFCPトラフィックをモニタリングするためにセキュリティプラットフォームを使用して、セキュリティプラットフォームは、PFCPアソシエーションに関連する5タプル（5-tuple）＋ノードID(オプション)に基づいてセッションを自動的に構築する(例えば、5タプルは、以下のパラメータを含むことができる。送信元IPアドレス、SEID 1、宛先IPアドレス、SEID 2、および、使用中のプロトコル、この例ではPFCP))。以下でさらに説明するように、といったものである。

【0070】

第２に、セキュリティプラットフォームは、既存のPFCPアソシエーションに対応する「アクティブ（'ACTIVE'）」セッションに一致する制御プレーン(CP)またはユーザプレーン(UP)機能からのPFCPセッション関連メッセージのみを許可するように、セキュリティポリシを用いて設定される。

【0071】

第３に、PFCPトラフィックをモニタリングするためにセキュリティプラットフォームを使用して、セキュリティプラットフォームは、以下の状態を追跡するために、自動的にPFCPセッションステートマシンを構築することができる。5タプル(例えば、5タプルは、以下のパラメータを含むことができる。送信元IPアドレス、SEID 1、宛先IPアドレス、SEID 2、および、使用中のプロトコル、この例ではPFCP)に基づくPFCPセッションの作成、更新、および、リリースの状態であり、図3A-図3Cに関して以下でさらに説明するように、といったものである。

【0072】

第４に、セキュリティプラットフォームは、シーケンス番号チェックを実行するために、セキュリティポリシを用いて設定される。例えば、セキュリティプラットフォームは、PFCP要求および応答メッセージ内のシーケンス番号をチェックすることができる。この例において、セキュリティプラットフォームは、PCFP要求メッセージ(例えば、3GPP TS 29.244 v15.7.0のセクション6.4で規定されているように、PCFP要求およびその応答メッセージは、同じシーケンス番号値を有する)と一致するシーケンス番号を有するPFCP応答メッセージのみを許可するように、セキュリティポリシを用いて設定されている。

【0073】

セキュリティプラットフォームは、PFCPトラフィックのモニタリングに基づいて追加的なセキュリティメカニズムを実行するように設定することができる。PFCPトラフィックのモニタリングに基づく、そうした追加的なセキュリティメカニズムの様々な例について、これから説明される。

【0074】

例えば、セキュリティプラットフォームは、ユーザプレーンIPリソース情報チェックを実行するようにセキュリティポリシを用いて設定することができる。具体的には、ユーザプレーン(UP)機能と制御プレーン(CP)機能との間で交換される「ユーザプレーンIPリソース情報（‘user plane IP resource information’）」をチェックすることによって、CUPSインターフェイスにおいて追加的なセキュリティを適用することができる。PFCPアソシエーションのセットアッププロシージャの最中に、「PFCPアソシエーションのセットアップ要求（‘PFCP Association Setup Request’）」メッセージは、任意的に、IPv4及び／又はIPv6アドレスを含む「ユーザプレーンIPリソース情報」の情報要素(IE)、および、PFCPアソシエーションのセットアップの最中にCP機能がUP機能にGTP-U F-TEIDを割り当てるために使用するTEID範囲を含むことができる。この例において、セキュリティプラットフォームは、この情報を保管し、そして、PFCPアソシエーションのセットアップの最中、先に交換された正しいIPv4及び／又はIPv6アドレスを有するGTP-U F-TEIDの有効な範囲に一致するGTP-Uトンネルのセットアップのみを許可するように、セキュリティポリシを用いて設定することができる。

【0075】

別の例として、セキュリティプラットフォームは、オーバーロード保護－PFCPメッセージのレート制限、を実行するように、セキュリティポリシを用いて設定することができる。具体的には、図3A-3Cに関して上記で説明したように、セキュリティプラットフォームは、PFCPアソシエーションセットアップ要求、PFCPセッション確立要求、および、PFCPセッション削除要求をモニタリングするように、セキュリティポリシ用いて設定することができる。これは、UPF、PGW-U、及び／又は、4G/5Gネットワークにおける他のネットワーク機能といった、4G/5Gネットワークにおける様々なネットワーク機能のリソースを保護するために、セキュリティプラットフォームによって適用することができる。

【0076】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するための例示的なセキュリティ強化のユースケース

【0077】

セキュリティポリシ実施のためにセキュリティプラットフォームを使用して、4G/5Gモバイル/サービスプロバイダネットワークのための強化されたセキュリティを提供するために開示される技術は、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのものを含み、4G/5Gモバイル/サービスプロバイダネットワーク環境のために強化されたセキュリティを促進するための様々な追加の例示的なユースケースシナリオに適用することができる。

【0078】

一つの例示的なユースケースシナリオにおいて、PFCPプロトコルは、UDP上で動作し、そして、本質的にセキュアな設計を欠いている。かくして、モバイルネットワークは、サービス拒否(DoS)及び／又はスプーフィング攻撃といった、攻撃を受ける可能性がある。

【0079】

一つの例示的な攻撃は、セッションエンドポイント識別子(SEID)ブルートフォーシング(例えば、0または偽のSEID)についてPFCPメッセージを受信するUPF及び／又はSMFネットワーク機能を含む、１つ以上のネットワーク機能をターゲットにすることができる。

【0080】

別の例示的な潜在的攻撃は、偽の（fake）PFCPセッション変更要求及び／又はPFCPセッション削除要求を伴うスプーフィングされたPFCPメッセージを受信するUPF及び／又はSMFネットワーク機能を含む、ネットワーク機能をターゲットにすることができる。

【0081】

さらに別の例示的な潜在的攻撃は、PFCPノード検出をターゲットにすることができる。そこでは、Sxa/Sxb/N4インターフェイス(例えば、他のインターフェイス)に対するアクセスを有する攻撃者が、有効なPFCPメッセージをネットワーク機能(NF)に送信し、そして、NFに関する有用な情報を伴う応答メッセージを受信することができる(例えば、そうした情報は、攻撃者が4G/5Gモバイルネットワークへの攻撃を開始するために使用することができる)。

【0082】

開示された潜在的攻撃の例は、以下で説明されるように、開示される技術を使用して検出及び／又は防止することができる。

【0083】

ブルートフォース0または偽のSEIDを使用したUPF及び／又はSMFに対するDoS攻撃は、前述したのと同様に、セキュリティプラットフォームによって実行されるPFCPステートフル検査を使用して検出および防止することができる。UPF及び／又はSMFに対するDoS攻撃及び／又はスプーフィング攻撃も、または、前述したのと同様に、セキュリティプラットフォームによって適用されるセキュリティポリシにおいてPFCPメッセージをレート制限する適切な閾値を設定することによって検出および防止することができる。

【0084】

偽のPFCPセッション変更要求及び／又はPFCPセッション削除要求を使用したUPF及び／又はSMFに対するスプーフィング及び／又はセッション/アソシエーションハイジャック攻撃は、PFCPステートフル検査を使用して検出および防止することができる。具体的には、セキュリティプラットフォームがPFCPアソシエーションの状態を維持するので、前述したのと同様に、セキュリティプラットフォームによって適用されるセキュリティポリシに基づいて、ファイアウォールテーブル内の既存のPFCPアソシエーションに一致する有効なPFCPアソシエーションメッセージのみを許可することができる。同様に、セキュリティプラットフォームがPFCPセッションの状態を維持するので、前述したのと同様に、セキュリティプラットフォームによって適用されるセキュリティポリシに基づいて、ファイアウォールテーブル内の既存のPFCPセッションに一致する有効なPFCPセッションメッセージのみを許可することができる。

【0085】

最終的に、PFCPメッセージを使用してネットワーク機能情報を収集する偵察（reconnaissance）攻撃は、前述したのと同様に、セキュリティプラットフォームによって適用されるセキュリティポリシに基づいて、PFCPステートフル検査およびPFCPメッセージレート制限の両方を使用して検出および防止することができる。

【0086】

当業者にとって今から明らかになるように、セキュリティポリシ強化のためのセキュリティプラットフォームを使用する、4G/5Gモバイル/サービスプロバイダネットワークについて強化されたセキュリティを提供するための開示される技術は、モバイルネットワークでの制御とユーザプレーンの分離を確保するためのものを含んで、様々な追加のユースケースシナリオにおいて適用することができ、4G/5Gモバイル/サービスプロバイダネットワーク環境の強化されたセキュリティを促進するために、これら及び他のタイプの攻撃を検出/防止する。

【0087】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのネットワーク装置の例示的なハードウェアコンポーネント

【0088】

図4は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのネットワーク装置のハードウェアコンポーネントに係る機能図である。示される例は、ネットワーク装置400(例えば、ここにおいて開示されるセキュリティプラットフォームを実装できるアプライアンス、ゲートウェイ、またはサーバ)に含めることができる物理/ハードウェアコンポーネントの表現である。具体的に、ネットワーク装置400は、高性能マルチコアCPU402およびRAM404を含んでいる。ネットワーク装置400は、また、ストレージ410(例えば、１つ以上のハードディスクまたはソリッドステートストレージユニット)も含み、それは、ポリシおよび他の設定情報、並びに、署名を保管するために使用することができる。一つの実施形態において、ストレージ410は、図1-図3Cに関して前述したのと同様に、セキュリティプラットフォームを使用してモバイルネットワークにおける制御とユーザプレーンの分離を確保するための開示されたセキュリティポリシ実施技術を実装するためにモニタリングされる、様々なインターフェイスにわたるPFCPトラフィックから抽出された所定の情報(例えば、PFCPアソシエーションに関連する5タプル＋ノードID(オプション)、5タプル＋SEIDに基づくPFCPセッションの作成、更新、およびリリースの状態を追跡するためのPFCPセッション状態情報、PFCP要求および応答メッセージ内のシーケンス番号、など)を保管する。ネットワーク装置400は、また、任意的に１つ以上のハードウェアアクセラレータを含むこともできる。例えば、ネットワーク装置400は、暗号化および復号操作を実行するように設定された暗号化エンジン406、および、署名照合を実行し、ネットワークプロセッサとして機能し、かつ／あるいは、他のタスクを実行するように設定された１つ以上のFPGA 408を含むことができる。

【0089】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのネットワーク装置の例示的な論理コンポーネント

【0090】

図5は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのネットワーク装置の論理コンポーネントに係る機能図である。示される例は、ネットワーク装置500(例えば、開示されるセキュリティ機能/プラットフォームを実装し、モバイルネットワークにおける制御とユーザプレーンの分離を確保するための開示される技術を実施することができるデータアプライアンス)に含めることができる、論理コンポーネントの表現である。示されるように、ネットワーク装置500は、管理プレーン502およびデータプレーン504を含んでいる。一つの実施形態において、管理プレーンは、ポリシの設定およびログデータの表示をするためのユーザーインターフェイスを提供することなどにより、ユーザインタラクションを管理する責任を負う。データプレーンは、パケット処理およびセッション処理を実行することなどにより、データを管理する責任を負う。

【0091】

モバイルデバイスが、SSLといった、暗号化されたセッションプロトコルを使用して、リソース(例えば、リモートWebサイト/サーバ、MECサービス、CIoTデバイスといったIoTデバイス、または、他のリソース)にアクセスしようと試みると仮定する。ネットワークプロセッサ506は、モバイルデバイスからのパケットをモニタリングし、処理のためにパケットをデータプレーン504に提供するように設定されている。フロー508は、パケットが新しいセッションの一部であることを識別し、そして、新しいセッションフローを作成する。後続のパケットは、フロールックアップに基づいてセッションに属するものとして識別される。該当する場合、SSL復号は、ここで説明する様々な手法を使用して、SSL復号エンジン510によって適用される。それ以外の場合、SSL復号エンジン510による処理は省略される。アプリケーション識別(APP ID)モジュール512は、セッションに含まれるトラフィックのタイプ(例えば、図1-図3Cに関して前述したのと同様に、様々なモニタリング対象インターフェイス間のPFCP over UDPトラフィック)を決定し、そして、トラフィックフローに関連付けられたユーザを識別する(例えば、ここで説明されるように、アプリケーションIDを識別する)ように設定されている。例えば、APP ID512は、受信データ内のGET要求を認識し、そして、セッションがHTTPデコーダ514を要求していると判断することができる。別の例として、APP ID512は、PFCPセッションの確立/変更/リリースメッセージ(例えば、図3A-図3Cに関して前述したのと同様な、N4セッション確立要求/応答メッセージ、といったもの)を認識し、そして、セッションがPFCPデコーダ(例えば、図1-図3Cに関して前述したのと同様な、様々なパラメータを含むN4セッション確立関連メッセージで交換される情報を抽出する、といったもの)を要求していると判断することができる。プロトコルのタイプごとに、対応するデコーダ514が存在している。一つの実施形態において、アプリケーション識別は、アプリケーション識別モジュール(例えば、APP IDコンポーネント/エンジン)によって実行され、そして、ユーザ識別は、別のコンポーネント/エンジンによって実行される。APP ID512によって行われた決定に基づいて、パケットは、適切なデコーダ514に対して送信される。デコーダ514は、パケット(例えば、順序が狂って受信されることがある)を正しい順序に組み立て、トークン化を実行し、そして、情報を抽出する(例えば、前述したのと同様に、かつ、以下でさらに説明されるように、N4セッション確立関連のメッセージ、及び／又は、N4/Sxa/Sxb/Sxc/他のインターフェイスにわたるPFCPメッセージにおいて交換される様々な情報を抽出するため、といった)ように設定されている。デコーダ514は、また、パケットに何が起こるかを決定するために、署名マッチングも実行する。SSL暗号化エンジン516は、ここにおいて説明されるように、様々な手法を使用してSSL暗号化を実行し、そして、パケットは、次いで、示されるように、転送コンポーネント518を使用して転送される。また、示されるように、ポリシ520も、受信され、そして、管理プレーン502に保管される。一つの実施形態においては、モニタリングされ、復号され、識別され、そして、デコーディングされたセッショントラフィックフローに基づいて、様々な実施形態に関して、ここにおいて説明されるように、ポリシ実施が適用される(例えば、ポリシは１つ以上のルールを含むことができ、それは、ドメイン名及び／又はホスト名/サーバ名を使用して指定することができ、そして、ルールは、１つ以上の署名または他のマッチング基準またはヒューリスティック（heuristics）を適用することができる。例えば、ここで開示されているように、モニタリングされているHTTP/2メッセージ、及び／又は、モニタリングされているPFCP及び／又は他のプロトコルトラフィックのDPIに基づく、サービスプロバイダネットワークにおける加入者/IPフローに対するセキュリティポリシの適用、といったもの)が適用される。

【0092】

図5に、また、示されるように、セキュリティ・プラットフォーム・マネージャ通信のためのインターフェイス(I/F)通信器522も(例えば、(REST)API、メッセージ、またはネットワークプロトコル通信、または他の通信メカニズムを介して)提供される。場合によっては、サービスプロバイダネットワーク上の他のネットワーク要素のネットワーク通信が、ネットワーク装置500を使用してモニタリングされ、そして、データプレーン504は、そうした通信のデコーディングをサポートする(例えば、I/Fコミュニケータ522およびデコーダ514を含む、ネットワーク装置500は、例えば、N4、Sxa、Sxb、Sxc、及び／又は、有線および無線のネットワークトラフィックフローが存在する他のインターフェイスといった、基準点インターフェイスにおいてモニタリング及び／又は通信するように設定することができる)。かくして、I/Fコミュニケータ522を含むネットワーク装置500を使用して、前述のように、かつ、以下でさらに説明されるように、MECサービスセキュリティを含むモバイル/サービスプロバイダネットワーク環境においてセキュリティポリシを実施するための開示される技術を実装することができる。

【0093】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するための開示される技術の追加の例示的なプロセスについて、これから説明される。

【0094】

モバイルネットワークにおける制御とユーザプレーンの分離を確保するための例示的なプロセス

【0095】

図6は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのプロセスに係るフローチャートである。いくつかの実施形態においては、図6に示されるようなプロセス600が、セキュリティプラットフォーム、および、図1-図5に関して前述した実施形態を含めて、前述したのと同様な技術によって、実行される。一つの実施形態において、プロセス600は、図4に関して前述したようなデータアプライアンス400、図5に関して前述したようなネットワーク装置500、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、及び／又は、ここにおいて説明されるような前述の組み合わせまたはハイブリッド実装によって、実行される。

【0096】

プロセスは、602で開始する。602では、セキュリティプラットフォームでモバイルネットワークにおけるネットワークトラフィックのモニタリングが実行されて、新しいセッションに関連付けられたパケット転送制御プロトコル(PFCP)メッセージを識別する。ここで、モバイルネットワークは、4Gネットワークまたは5Gネットワークを含んでいる。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、場合によって、モバイルネットワーク上のPFCPトラフィック及び／又は他のプロトコルといった、様々なプロトコルをモニタリングすることができ、そして、より具体的には、開示される技術を実行することによって、前述したのと同様に、N4、Sxa、Sxb、およびSxcインターフェイスといった、様々なインターフェイスをモニタリングすることができる。

【0097】

604では、セキュリティプラットフォームでPFCPメッセージから複数のパラメータを抽出する。例えば、セキュリティプラットフォームは、PFCPメッセージを解析して、前述したのと同様に、PFCPアソシエーションに関連する送信元IPアドレス、SEID 1、宛先IPアドレス、SEID 2、および使用中のプロトコルを抽出することができる。別の例として、セキュリティプラットフォームは、PFCPメッセージを解析して、前述したのと同様に、PFCPアソシエーションに関連するノードIDを抽出することができる。

【0098】

606では、複数のパラメータのうちの１つ以上に基づいて、新しいセッションのセキュリティプラットフォームでセキュリティポリシを実施して、モバイルネットワークでの制御とユーザプレーンの分離を確保する。例えば、4G/5Gネットワークにおける制御とユーザプレーンの分離を確保するために、サービス拒否(DoS)攻撃の検出と防止は、前述したのと同様に、セキュリティプラットフォームによって実行することができる。別の例として、4G/5Gネットワークにおける制御とユーザプレーンの分離を確保するために、セッションエンドポイント識別子(SEID)スプーフィング攻撃の検出と防止は、前述したのと同様に、セキュリティプラットフォームによって実行することができる。

【0099】

図7は、いくつかの実施形態に従った、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのプロセスに係る別のフローチャートである。いくつかの実施形態において、図7に示されるようなプロセス700が、セキュリティプラットフォーム、および、図1-図5に関して前述した実施形態を含み、前述したのと同様な技術によって、実行される。一つの実施形態において、プロセス700は、図4に関して前述したデータアプライアンス400、図5に関して前述したネットワーク装置500、仮想アプライアンス、SDNセキュリティソリューション、クラウドセキュリティサービス、及び／又は、ここにおいて説明されている前述の組み合わせまたはハイブリッド実装によって、実行される。

【0100】

702では、セキュリティプラットフォームでモバイルネットワークにおけるネットワークトラフィックをモニタリングが実行されて、新しいセッションに関連付けられたパケット転送制御プロトコル(PFCP)メッセージを識別する。ここで、モバイルネットワークは、4Gネットワークまたは5Gネットワークを含んでいる。例えば、セキュリティプラットフォーム(例えば、ファイアウォール、ファイアウォールの代わりに動作するネットワークセンサ、または、セキュリティポリシを実装できる別のデバイス/コンポーネント)は、場合によって、モバイルネットワーク上のPFCPトラフィック及び／又は他のプロトコルといった、様々なプロトコルをモニタリングすることができ、そして、より具体的には、開示される技術を実行することによって、前述したのと同様に、N4、Sxa、Sxb、およびSxcインターフェイスといった、様々なインターフェイスをモニタリングすることができる。

【0101】

704では、モニタリングされるPCFPトラフィックからパラメータを抽出することが実行され、セキュリティプラットフォームでのPFCPアソシエーション(例えば、5タプルは、以下のパラメータを含むことができる。送信元IPアドレス、SEID 1、宛先IPアドレス、SEID 2、および、この例ではPFCPである、使用中のプロトコル)に関連する5タプル＋ノードID(オプション)に基づいて、セッションを構築する。前述したのと同様に、といったものである。

【0102】

706では、モニタリングされるPCFPトラフィックからパラメータを抽出することが実行され、セキュリティプラットフォームでPFCPセッションステートマシンを構築する。例えば、セキュリティプラットフォームは、以下の状態を追跡することができる。5タプル＋SEIDに基づいたPFCPセッションの作成、更新、およびリリースであり、前述したのと同様、といったものである。

【0103】

708では、セキュリティプラットフォームでセキュリティポリシを実施することが実行され、既存のPFCPアソシエーションに対応する「アクティブ」セッションに一致する制御プレーン(CP)またはユーザプレーン(UP)機能からのPFCPセッション関連メッセージのみを許可する。前述したのと同様に、といったものである。

【0104】

710では、セキュリティプラットフォームでセキュリティポリシを実施することが実行され、シーケンス番号チェックを実行する。例えば、セキュリティプラットフォームは、PFCP要求および応答メッセージのシーケンス番号をチェックすることができる。この例において、セキュリティプラットフォームは、PCFP要求メッセージ(例えば、3GPP TS 29.244 v 15.7.0のセクション6.4で規定されているように、PCFP要求およびその応答メッセージは同じシーケンス番号値を有している)と一致するシーケンス番号を有するPFCP応答メッセージのみを許可するセキュリティポリシを用いて設定される。前述したのと同様に、といったものである。

【0105】

開示される実施形態を考慮して、今や、明らかになるように、ネットワークサービスプロバイダ/モバイル事業者(例えば、セルラーサービスプロバイダエンティティ)、デバイス製造者(例えば、自動車エンティティ、IoTデバイスエンティティ、及び／又は、他のデバイス製造者)、及び／又は、システムインテグレーターは、4Gネットワークおよび5Gネットワークを含む、モバイルネットワークにおける制御とユーザプレーンの分離を確保するためのこれら及び他の技術的なネットワークセキュリティの課題を解決するために、開示される技術を使用して、セキュリティプラットフォームによって実施することができる、そうしたセキュリティポリシを指定することができる。

【0106】

上記の実施形態は、理解を明確にするためにある程度詳細に説明されているが、本発明は、提供される詳細に限定されるものではない。本発明を実施する多くの代替方法が存在している。開示される実施形態は例示的なものであり、かつ、限定的なものではない。

【図1】

【図2A】

【図2B】

【図2C】

【図2D】

【図3A】

【図3B】

【図3C】

【図4】

【図5】

【図6】

【図7】