公开了用于服务提供商网络(例如,用于移动订户的服务提供商网络)中的基于位置的安全性的技术。在一些实施例中,用于服务提供商网络中的基于位置的安全性的系统/过程/计算机程序产品包括:在安全平台处监视服务提供商网络上的网络流量,以标识新会话的位置;在安全平台处将所述位置与新会话相关联;以及基于位置来确定要在安全平台处应用于新会话的安全策略。
Location based security in service provider networks
【技术实现步骤摘要】
【国外来华专利技术】服务提供商网络中的基于位置的安全性
技术介绍
防火墙通常保护网络免受未授权的访问,同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备或设备的集合或在设备(诸如计算机)上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)中或作为软件在计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)上执行。防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量。防火墙还可以通过应用规则的集合或策略来过滤出站流量。防火墙还可以能够执行基本路由功能。附图说明在以下详细描述和附图中公开了本专利技术的各种实施例。图1A是根据一些实施例的具有用于提供增强安全性的安全平台的3G无线网络的框图。图1B是根据一些实施例的具有用于提供增强安全性的安全平台的4G/LTE无线网络的框图。图2A是根据一些实施例的在3G网络中的SGSN和GGSN之间交换的GTPv1-C消息的示例。图2B是根据一些实施例的在4G/LTE网络中的包括MME、SGW和PGW的实体之间交换的GTPv2-C消息的示例。图3A是根据一些实施例的在3G网络中的SGSN和GGSN之间的GTPv1-C消息流的另一示例。图3B是根据一些实施例的在4G/LTE网络中的MME、SGW和PGW之间的GTPv2-C消息流的另一示例。图4A是根据一些实施例的在3G网络中为漫游接入提供增强安全性的示例用例。图4B是根据一些实施例的在4G/LTE网络中为漫游接入提供增强安全性的示例用例。图4C是根据一些实施例的在混合的3G和4G/LTE网络中为漫游接入提供增强安全性的示例用例。图4D是根据一些实施例的在4G/LTE网络中为移动接入提供增强安全性的示例用例。图4E是根据一些实施例的在4G/LTE网络中为非3GPP接入提供增强安全性的示例用例。图4F是根据一些实施例的在4G/LTE网络中使用核心防火墙为移动接入提供增强安全性的示例用例。图4G是根据一些实施例的在3G网络中使用核心防火墙为移动接入提供增强安全性的示例用例。图5是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的硬件组件的功能图。图6是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的逻辑组件的功能图。图7是根据一些实施例的用于在服务提供商的移动网络中执行基于位置的安全性的过程的流程图。图8是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动设备标识和/或IoT设备标识和应用标识的安全实施的过程的流程图。图9是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动用户标识和/或基于SIM的IoT标识和应用标识的安全实施的过程的流程图。图10是根据一些实施例的用于在服务提供商的移动网络中执行基于无线电接入技术(RAT)的安全性的过程的流程图。具体实施方式本专利技术可以以多种方式来实现,包括作为过程;装置;系统;物质的组成物;在计算机可读存储介质上实现的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或者本专利技术可以采取的任何其他形式可以被称为技术。通常,可以在本专利技术的范围内改变所公开的过程的步骤的顺序。除非另有说明,否则被描述为被配置成执行任务的诸如处理器或存储器的组件可以被实现为被暂时配置成在给定时间时执行任务的通用组件或者被制造成执行任务的特定组件。如本文中所使用的,术语‘处理器’指的是被配置成处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核心。下面连同说明本专利技术的原理的附图提供了本专利技术的一个或多个实施例的详细描述。结合这样的实施例描述了本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限制,并且本专利技术包含多个替代、修改和等同物。在以下描述中阐述了多个具体细节,以便提供对本专利技术的透彻理解。这些细节被提供用于示例的目的,并且本专利技术可以根据权利要求来实施,而没有这些具体细节中的一些或全部。为了清楚的目的,尚未详细描述与本专利技术相关的
中已知的技术材料,使得不会不必要地模糊本专利技术。防火墙通常保护网络免受未授权的访问,同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备、设备的集合或在设备上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行,所述各种类型的设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)。防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量,以防止不需要的外部流量到达受保护的设备。防火墙还可以通过应用规则的集合或策略来过滤出站流量(例如,允许、阻止、监视、通知或日志记录,和/或可以在防火墙/安全规则或防火墙/安全策略中指定其他动作,其可以基于各种标准来触发,诸如本文中描述的那样)。防火墙还可以通过应用规则的集合或策略来应用防病毒保护、恶意软件检测/预防或入侵保护。安全设备(例如,安全装备、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如,防火墙、防恶意软件、入侵预防/检测、代理和/或其他安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其他联网功能)和/或其他功能。例如,路由功能可以基于源信息(例如,源IP地址和端口)、目的地信息(例如,目的地IP地址和端口)和协议信息。基本分组过滤防火墙通过检查通过网络传输的各个分组来过滤网络通信流量(例如,分组过滤防火墙或第一代防火墙,其是无状态分组过滤防火墙)。无状态分组过滤防火墙通常检查各个分组本身,并基于检查的分组应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,其在TCP/IP堆栈的应用层上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止尝试通过标准端口通信的未授权协议(例如,通常可本文档来自技高网...
【技术保护点】
1.一种系统,包括:/n处理器,其被配置成:/n在安全平台处监视服务提供商网络上的网络流量,以标识新会话的位置;/n在安全平台处将所述位置与新会话相关联;以及/n基于位置来确定要在安全平台处应用于新会话的安全策略;以及/n存储器,其耦合到处理器并被配置成向处理器提供指令。/n
【技术特征摘要】
【国外来华专利技术】20170615 US 15/624,442;20170615 US 15/624,434;20171.一种系统,包括:
处理器,其被配置成:
在安全平台处监视服务提供商网络上的网络流量,以标识新会话的位置;
在安全平台处将所述位置与新会话相关联;以及
基于位置来确定要在安全平台处应用于新会话的安全策略;以及
存储器,其耦合到处理器并被配置成向处理器提供指令。
2.根据权利要求1中所述的系统,其中安全平台被配置成基于位置来执行安全策略实施、威胁检测、威胁预防和/或统一资源链接(URL)过滤。
3.根据权利要求1中所述的系统,其中安全平台被配置有基于位置的多个安全策略,并且其中所述位置选自以下各项中的一项或多项:小区全球标识符(CGI)、服务区域标识符(SAI)、路由区域标识符(RAI)、跟踪区域标识符(TAI)、E-UTRAN小区全球标识符(ECGI)和位置区域标识符(LAC)。
4.一种系统,包括:
处理器,其被配置成:
在安全平台处监视服务提供商网络上的网络流量,以标识新会话的设备标识符;
在安全平台处确定与新会话相关联的用户流量的应用标识符;以及
基于设备标识符和应用标识符来确定要在安全平台处应用于新会话的安全策略;以及
存储器,其耦合到处理器并被配置成向处理器提供指令。
5.根据权利要求4中所述的系统,其中安全平台被配置成基于设备标识符和应用标识符来执行安全策略实施、威胁检测、威胁预防和/或统一资源链接(URL)过滤。
6.根据权利要求4中所述的系统,其中安全平台被配置有基于设备标识符和应用标识符的多个安全策略,并且其中设备标识符包括国际移动设备标识符(IMEI)。
7.一种系统,包括:
处理器,其被配置成:
【专利技术属性】
技术研发人员:S韦尔马,L布拉科夫斯基,J书,C李,L常,IC陈,
申请(专利权)人:帕洛阿尔托网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。