移动流量重定向系统技术方案

本文讨论的系统、设备和方法涉及将受感染的移动设备或用户设备(UE)的移动流量重定向到为UE提供安全动作的安全网络节点。移动会话管理节点可基于在智能重定向节点处维护的数据库或从UE接收的安全状况指示符来将UE标识为受感染设备。然后，移动管理实体可以采用安全网络节点创建会话，其将受感染的UE的移动流量重定向到安全网络节点，并为UE提供安全动作。

Mobile traffic redirection system

The systems, devices and methods discussed in this paper involve redirecting the mobile traffic of an infected mobile device or user equipment (UE) to a secure network node that provides secure actions for the UE. Mobile session management nodes can identify UEs as infected devices based on databases maintained at intelligent redirection nodes or security status indicators received from UEs. Then, the mobile management entity can use the secure network node to create a session, redirect the mobile traffic of the infected UE to the secure network node, and provide security actions for the UE.

【技术实现步骤摘要】
【国外来华专利技术】移动流量重定向系统相关申请的交叉引用本专利申请要求2017年4月4日提交的、序列号为15/479,031的美国实用专利申请的优先权，所述专利申请是2016年7月13日提交的、序列号为62/361,689、标题为“智能移动重定向系统(INTELLIGENTMOBILEREDIRECTIONSYSTEM)”的美国临时专利申请的非临时申请并要求其优先权和权益。序列号为15/479,031和62/361,689的申请通过引用完全并入本文。
技术介绍
现代电信系统可以包括第二代、第三代、第四代和第五代(2G、3G、4G和5G)蜂窝无线接入技术的异构混合，这些蜂窝无线接入技术可相互兼容且可以共同操作以提供数据通信服务。全球移动系统(GlobalSystemsforMobile,GSM)是2G电信技术的示例；通用移动电信系统(UniversalMobileTelecommunicationSystem,UMTS)是3G电信技术的示例；长期演进(LongTermEvolution,LTE)(包括高级LTE、未许可频谱中的LTE(LTE-U)、许可辅助接入(LicensedAssistedAccess,LAA)和演进式高速分组接入(High-SpeedPacketAccess,HSPA+))是4G电信技术的示例。5G电信技术是下一代移动网络，其被设计为结合现有LTE/LTE-A移动网络的演进和革新，以提供更高的连接性、更大的吞吐量、更低的延迟和超高的可靠性以支持新的用例和应用程序。移动设备(诸如智能手机和平板电脑)的增长和广泛采用，以及使用这些移动设备访问互联网，使移动设备面临被各种恶意软件和恶意应用程序感染的威胁，这些恶意软件和恶意应用程序可能无意中不知不觉被下载到移动设备。这些受感染的移动设备可能通过潜在地攻击移动运营商网络、受感染的移动设备、感染其他移动设备、窃取移动设备用户的身份证明和其他信息等，对移动设备的用户和移动运营商两者构成威胁。日益增加的威胁已导致部署安全设备的移动运营商检测和阻止受感染的移动设备攻击移动运营商网络或其他移动用户，然而，为数百万移动用户提供对移动流量的全面覆盖和保护措施是既困难且昂贵的。附图说明参考附图阐述了具体实施方式。在附图中，参考标号的最左边的数字标识参考标号首次出现的图。在不同的图中使用相同的参考标号指示相似或相同的项或特征。图1示出了受感染的用户设备(UE)的移动流量可以被重定向的示例环境。图2示出了移动管理实体用于将受感染的UE的移动流量重定向到安全网络节点的示例流程图过程。图3示出了详细说明图2的框之一的第一示例过程，用于基于身份响应将UE标识为受感染的设备。图4示出了详细说明图2的框之一的第二示例过程，用于基于身份响应将UE标识为受感染的设备。图5示出了详细说明图2的框之一的第三示例过程，用于基于身份响应将UE标识为受感染的设备。图6示出了详细说明图2的框之一的第四示例过程，用于基于身份响应将UE标识为受感染的设备。图7示出了用于重定向恶意移动流量的第一示例时序图。图8示出了用于重定向恶意移动流量的第二示例时序图。图9示出了用于重定向恶意移动流量的第三示例时序图。图10示出了用于重定向恶意移动流量的第四示例时序图。图11示出了移动流量重定向系统的示例框图。具体实施方式这里讨论的系统、设备和方法涉及将受感染移动设备或用户设备(UE)的移动流量重定向到安全网络节点，所述安全网络节点为UE提供安全动作。移动会话管理节点，例如用于LTE网络的移动管理实体(MME)、负责订户身份认证、漫游以及到其他网络的切换，可以基于在智能重定向节点(IRN)处维护的数据库或者从UE接收的安全状况指示符(SPI)将UE标识为受感染设备。然后，MME可以与安全网络节点(SNN)创建会话，将受感染的UE的移动流量重定向到SNN并且为UE提供安全动作。图1示出了其中受感染的用户设备(UE)102的移动流量可被重定向的示例环境100。UE102可以是便携式通信设备，例如蜂窝电话、平板电脑或膝上型计算机、全球定位系统(GPS)设备、游戏设备等，其能够与移动网络运营商(MNO)的移动网络104通信。UE102可以经由接入点(如具有移动网络104的演进节点B(eNodeB)110的4G/LTE基站108)访问MNO的核心网络106。UE可以通过移动网络104经由S1-MME接口114与核心网106的移动管理实体112建立通信。MME112耦合到智能重定向节点(IRN)116，其能够确定UE102是否被感染。核心网络106还可以包括多个分组数据网络网关(PGW)和服务网关(SGW)，其中示出四个PGW/SGW118、120、122和124。每个PGW/SGW可以经由SGi接口128、130、132和134连接到分组数据网络，例如因特网126。PGW/SGW之一，例如PGW/SGW120，可以包括安全系统136，并且PGW/SGW120和安全系统136的组合可称为安全网络节点(SNN)138。如果IRN116确定UE102被感染，则IRN116可以指示MME112将UE102的移动流量重定向到SNN138。UE102的移动流量可以经由S1-U接口140重定向到SNN138，其中SNN138可以针对UE102提供安全动作。MME112亦可以连接到归属订户服务器(HSS)142和域名系统(DNS)144。图2示出了MME112将受感染的UE102的移动流量重定向到SNN128的示例流程图过程200。在框202中，MME112从UE102接收附接请求，并且在框204中向UE102发送身份请求作为响应。然后，在框206中，MME112从UE102接收身份响应以响应身份请求。在框208中，根据身份响应，MME112对UE102进行身份认证，并将UE102标识为受感染设备。在框210中，MME112与SNN138创建会话，并且在框212中，受感染的UE102的移动流量将被重定向至SNN138。在框214中，SNN138为受感染的UE102提供安全动作，或MME112使SNN138为受感染的UE102提供安全动作。SNN138为受感染的UE102提供的安全动作可以包括检查UE102的移动流量是否存在恶意流量并标识包括在来自UE102的移动流量中已知的恶意网站目的地，或针对僵尸网络设计的恶意流量、分布式阻断服务攻击(DDoS)、恶意软件等。SNN138还可以监视这些以网站或其他UE为目的地的这种恶意流量。SNN138为受感染的UE102提供的安全动作还可以包括补救动作，例如隔离UE102的移动流量、阻断UE102的移动流量、提供在UE102上运行安全应用的通知以移除感染，以及自动在UE102上运行安全应用程序以移除诸如恶意软件之类的感染。SNN138还可以通过如下操作来提供对已采取的补救动作的通知：发送提供给UE102的补救动作通知，藉由文本、电子邮件、用户账户的状态更新等，发送向与UE102相关联的用户提供的补救动作的通知，以及为UE102的移动网络运营商创建提供给UE102的补救动作的报告。图3示出了第一示例过程300，详细说明图2的框208，用于基于身份响应将UE102标识为受感染设备。在框302中，MME11本文档来自技高网...

【技术保护点】
1.一种用于重定向移动流量的移动会话管理节点中的方法，所述方法包括：响应于从用户设备(UE)接收到附接请求，向所述UE发送身份请求；从所述UE接收身份响应；基于所述身份响应将所述UE标识为受感染的设备；采用安全网络节点(SNN)创建会话；将所述UE的移动流量重定向到所述SNN，以及使所述SNN为所述UE提供安全动作。

【技术特征摘要】
【国外来华专利技术】2016.07.13 US 62/361,689;2017.04.04 US 15/479,0311.一种用于重定向移动流量的移动会话管理节点中的方法，所述方法包括：响应于从用户设备(UE)接收到附接请求，向所述UE发送身份请求；从所述UE接收身份响应；基于所述身份响应将所述UE标识为受感染的设备；采用安全网络节点(SNN)创建会话；将所述UE的移动流量重定向到所述SNN，以及使所述SNN为所述UE提供安全动作。2.根据权利要求1所述的方法，其中针对所述UE的所述安全动作包括：检查所述UE的所述移动流量是否存在恶意流量；提供补救动作中的至少一个，所述补救动作包括：隔离所述UE的所述移动流量，阻断所述UE的所述移动流量，提供通知以在所述UE上运行安全应用程序以消除所述感染，以及使所述UE在所述UE上运行所述安全应用程序以消除所述感染；或提供所述补救动作的通知，包括以下中的至少一个：向所述UE发送所提供的所述补救动作的通知，向与所述UE相关联的用户发送所提供的所述补救动作的通知，或为所述UE的移动网络提供商创建提供给所述UE的所述补救动作的报告。3.根据权利要求2所述的方法，其中检查所述UE的所述移动流量是否存在恶意流量，包括：标识包括在来自所述UE的所述移动流量中的已知的恶意网站目的地。4.根据权利要求2所述的方法，其中基于所述身份响应将所述UE标识为受感染的设备，包括：分析安全状况指示符(SPI)，所述SPI包括在指示所述UE被感染的所述身份响应中，所述指示由在所述UE上运行的所述安全应用程序生成。5.根据权利要求2所述的方法，其中基于所述身份响应将所述UE标识为受感染的设备，包括：向智能重定向节点(IRN)发送UE安全检查，所述UE安全检查包括所述UE的移动身份，所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个；基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中，在所述RN处确定所述UE被感染；以及接收包括安全状况指示符(SPI)的UE安全检查响应，所述SPI指示所述UE被感染。6.根据权利要求2所述的方法，其中基于所述身份响应将所述UE标识为受感染的设备，包括：向域名服务器(DNS)发送服务网关(SGW)和分组数据网络网关(PGW)(S/PGW)选择请求，所述请求包括所述UE的移动身份，所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个；使得所述DNS：向智能重定向节点(IRN)发送包括所述UE的所述移动身份的UE安全检查，以及从所述RN接收包括安全状况指示符(SPI)的UE安全检查响应，所述SPI基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中指示所述UE被感染，以及从所述DNS接收包括所述SPI的S/PGW选择响应。7.根据权利要求2所述的方法，其中将所述UE标识为受感染的设备，包括：向归属订户服务器(HSS)发送包括所述UE的移动身份的更新位置请求，所述移动身份包括在所述身份响应中接收的所述UE的国际移动订户身份(IMSI)或国际移动设备身份(IMEI)中的至少一个；使所述HSS向智能重定向节点(IRN)发送包括所述UE的所述移动身份的UE安全检查，并从所述RN接收包括安全状况指示符(SPI)的UE安全检查响应，所述安全状况指示符(SPI)基于确定所述UE的所述移动身份被包括在所述RN处维护的已知感染的UE的列表中来指示所述UE被感染；以及从所述HSS接收包括所述SPI的更新位置响应。8.根据权利要求2所述的方法，其中所述SNN是分组数据网络网关(PGW)或服务网关(SGW)中的至少一个。9.一种非暂时性计算机存储介质，被配置为由计算机存储计算机可读指令，其当被执行时，使得所述计算机执行操作，所述操作包括：响应于从用户设备(UE)接收到附接请求，向所述UE发送身份请求；从所述UE接收身份响应；基于所述身份响应将所述UE标识为受感染的设备；采用安全网络节点(SNN)创建会话；将所述UE的移动流量重定向到所述SNN，以及使所述SNN为所述UE提供安全动作。10.根据权利要求9所述的非暂时性计算机存储介质，其中用于所述UE的所述安全动作包括：检查所述UE的所述移动流量是否存在恶意流量；以及提供补救动作中的至少一个，所述补救动作包括：隔离所述UE的所述移动流量，阻断所述UE的所述移动流量，提供通知以在所述UE上运行安全应用程序以消除所述感染，或使所述UE在所述UE上运行安全应用程序以消除所述感染；以及提供所述补救动作的通知，包括以下中的至少一个：向所述UE发送所提供的所述补救动作的通知，向与所述UE相关联的用户发送所提供的所述补救动作的通知，或为所述UE的移动网络提供商创建提供给所述UE的所述补救动作的报告。11.根据权利要求10所述的非暂时性计算机存储介质，其中检查所述UE...

【专利技术属性】
技术研发人员：Y·塔尔加利，S·门多萨，M·基希贝格，
申请(专利权)人：T移动美国公司，
类型：发明
国别省市：美国,US