服务提供商网络中的基于位置的安全性制造技术

本申请涉及用于服务提供商网络中的基于位置的安全性的方法和系统。公开了用于服务提供商网络(例如，用于移动订户的服务提供商网络)中的基于位置的安全性的技术。在一些实施例中，用于服务提供商网络中的基于位置的安全性的系统/过程/计算机程序产品包括：在安全平台处监视服务提供商网络上的网络流量，以标识新会话的位置；在安全平台处将所述位置与新会话相关联；以及基于位置来确定要在安全平台处应用于新会话的安全策略。应用于新会话的安全策略。应用于新会话的安全策略。

【技术实现步骤摘要】
服务提供商网络中的基于位置的安全性

技术介绍

[0001]本申请是申请号：201880050446.1，专利技术名称“用于服务提供商网络中的基于位置的安全性的方法和系统”的分案申请。防火墙通常保护网络免受未授权的访问，同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备或设备的集合或在设备(诸如计算机)上执行的软件。例如，防火墙可以被集成到设备(例如，计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)中或作为软件在计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)上执行。
[0002]防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略。例如，防火墙可以通过应用规则的集合或策略来过滤入站流量。防火墙还可以通过应用规则的集合或策略来过滤出站流量。防火墙还可以能够执行基本路由功能。
附图说明
[0003]在以下详细描述和附图中公开了本专利技术的各种实施例。
[0004]图1A是根据一些实施例的具有用于提供增强安全性的安全平台的3G无线网络的框图。
[0005]图1B是根据一些实施例的具有用于提供增强安全性的安全平台的4G/LTE无线网络的框图。
[0006]图2A是根据一些实施例的在3G网络中的SGSN和GGSN之间交换的GTPv1
‑
C消息的示例。
[0007]图2B是根据一些实施例的在4G/LTE网络中的包括MME、SGW和PGW的实体之间交换的GTPv2
‑
C消息的示例。
[0008]图3A是根据一些实施例的在3G网络中的SGSN和GGSN之间的GTPv1
‑
C消息流的另一示例。
[0009]图3B是根据一些实施例的在4G/LTE网络中的MME、SGW和PGW之间的GTPv2
‑
C消息流的另一示例。
[0010]图4A是根据一些实施例的在3G网络中为漫游接入提供增强安全性的示例用例。
[0011]图4B是根据一些实施例的在4G/LTE网络中为漫游接入提供增强安全性的示例用例。
[0012]图4C是根据一些实施例的在混合的3G和4G/LTE网络中为漫游接入提供增强安全性的示例用例。
[0013]图4D是根据一些实施例的在4G/LTE网络中为移动接入提供增强安全性的示例用例。
[0014]图4E是根据一些实施例的在4G/LTE网络中为非3GPP接入提供增强安全性的示例用例。
[0015]图4F是根据一些实施例的在4G/LTE网络中使用核心防火墙为移动接入提供增强安全性的示例用例。
[0016]图4G是根据一些实施例的在3G网络中使用核心防火墙为移动接入提供增强安全性的示例用例。
[0017]图5是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的硬件组件的功能图。
[0018]图6是根据一些实施例的用于在移动/服务提供商网络环境上执行安全策略实施的网络设备的逻辑组件的功能图。
[0019]图7是根据一些实施例的用于在服务提供商的移动网络中执行基于位置的安全性的过程的流程图。
[0020]图8是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动设备标识和/或IoT设备标识和应用标识的安全实施的过程的流程图。
[0021]图9是根据一些实施例的用于在移动网络中针对服务提供商执行基于移动用户标识和/或基于SIM的IoT标识和应用标识的安全实施的过程的流程图。
[0022]图10是根据一些实施例的用于在服务提供商的移动网络中执行基于无线电接入技术(RAT)的安全性的过程的流程图。
具体实施方式
[0023]本专利技术可以以多种方式来实现，包括作为过程；装置；系统；物质的组成物；在计算机可读存储介质上实现的计算机程序产品；和/或处理器，诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中，这些实现或者本专利技术可以采取的任何其他形式可以被称为技术。通常，可以在本专利技术的范围内改变所公开的过程的步骤的顺序。除非另有说明，否则被描述为被配置成执行任务的诸如处理器或存储器的组件可以被实现为被暂时配置成在给定时间时执行任务的通用组件或者被制造成执行任务的特定组件。如本文中所使用的，术语
‘
处理器
’
指的是被配置成处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核心。
[0024]下面连同说明本专利技术的原理的附图提供了本专利技术的一个或多个实施例的详细描述。结合这样的实施例描述了本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限制，并且本专利技术包含多个替代、修改和等同物。在以下描述中阐述了多个具体细节，以便提供对本专利技术的透彻理解。这些细节被提供用于示例的目的，并且本专利技术可以根据权利要求来实施，而没有这些具体细节中的一些或全部。为了清楚的目的，尚未详细描述与本专利技术相关的
中已知的技术材料，使得不会不必要地模糊本专利技术。
[0025]防火墙通常保护网络免受未授权的访问，同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备、设备的集合或在设备上执行的软件。例如，防火墙可以被集成到设备(例如，计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行，所述各种类型的设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)。
[0026]防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策
略(例如，网络策略或网络安全策略)。例如，防火墙可以通过应用规则的集合或策略来过滤入站流量，以防止不需要的外部流量到达受保护的设备。防火墙还可以通过应用规则的集合或策略来过滤出站流量(例如，允许、阻止、监视、通知或日志记录，和/或可以在防火墙/安全规则或防火墙/安全策略中指定其他动作，其可以基于各种标准来触发，诸如本文中描述的那样)。防火墙还可以通过应用规则的集合或策略来应用防病毒保护、恶意软件检测/预防或入侵保护。
[0027]安全设备(例如，安全装备、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如，防火墙、防恶意软件、入侵预防/检测、代理和/或其他安全功能)、联网功能(例如，路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其他联网功能)和/或其他功能。例如，路由功能可以基于源信息(例如，源IP地址和端口)、目的地信息(例如，目的地IP地址和端口)和协议信息。
[0028]基本分组过滤防火墙通过检查通过网络传输的各个分组来过滤网络通信流量(例如，分组过滤防火本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种系统，包括：处理器；和与所述处理器耦合的存储器，其中所述存储器被配置为向所述处理器提供指令，当执行所述指令时使得所述处理器：在安全平台处实时监视服务提供商网络上的网络流量，以标识新会话的订户标识，包括：在网络流量中标识创建会话请求消息或创建PDP上下文请求消息以创建新会话；在所述网络流量中标识无线电接入技术(RAT)类型；从创建会话请求消息或从创建PDP上下文请求消息中提取订户标识，所述订户标识包括国际移动订户标识(IMEI)；以及从所述创建会话请求消息或所述创建PDP上下文请求消息中提取位置，所述位置包括以下项中的三个或多个：CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)和LAC(位置区域标识符)；在安全平台处确定与所述新会话相关联的用户流量的应用标识符，包括：在已经创建所述新会话后经由深度分组检查监视隧道用户流量以获得所述应用标识符，其中所述应用标识符与如下项相关：使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、Telnet、动态主机配置协议(DHCP)、传输控制协议(TCP)、用户数据报协议(UDP)、简单文件传输协议(TFTP)或其任意组合；并且其中所述隧道用户流量包括GPRS隧道协议用户平面(GTP
‑
U)流量；基于所述订户标识、所述RAT类型、所述位置和所述应用标识符来确定要在安全平台处应用于新会话的安全策略，其中所述安全策略包括允许或通过新会话，阻止或丢弃新会话，或限制新会话的访问；以及基于所述订户标识、所述RAT类型和所述应用标识符执行威胁检测和威胁预防。2.根据权利要求1所述的系统，其中所述安全平台配置有基于所述订户标识和所述应用标识符的多个安全策略。3.根据权利要求1所述的系统，其中所述处理器被配置用于：基于所述订户标识和所述应用标识符执行安全策略实施。4.根据权利要求1所述的系统，其中所述处理器被配置用于：基于所述订户标识和所述应用标识符执行统一资源链接(URL)过滤。5.根据权利要求1所述的系统，其中所述安全平台配置有基于所述订户标识和所述应用标识符的多个安全策略。6.根据权利要求1所述的系统，其中所述安全平台监视无线接口，所述无线接口包括用于3G和/或4G网络的移动核心网络中的控制协议和用户数据流量的多个接口。7.根据权利要求1所述的系统，其中所述安全平台监视无线接口，所述无线接口包括用于3G和/或4G网络的移动核心网络中的GPRS隧道协议(GTP)的多个接口。8.根据权利要求1所述的系统，其中所述处理器被配置用于：基于安全策略来阻止新会话访问资源。9.根据权利要求1所述的系统，其中所述位置包括以下项中的四个或更多个：CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)、或LAC(位置区域标识符)。10.根据权利要求1所述的系统，其中所述位置包括以下项：CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)和LAC(位置区域标识符)。11.一种方法，包括：在安全平台处实时监视服务提供商网络上的网络流量，以标识新会话的订户标识，包括：在网络流量中标识创建会话请求消息或创建PDP上下文请求消息以创建新会话；在所述网络流量中标识无线电接入技术(RAT)类型；从创建会话请求消息或从创建PDP上下文请求消息中提取订户标识，所述订户标识包括国际移动订户标识(IMEI)；以及从所述创建会话请求消息或所述创建PDP上下文请求消息中提取位置，所述位置包括以下项中的三个或多个：CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)和LAC(位置区域标识符)；在安全平台处确定与所述新会话相关联的用户流量的应用标识符，包括：在已经创建所述新会话后经由深度分组检查监视隧道用户流量以获得所述应用标识符，其中所述应用标识符与如下项相关：使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、Telnet、动态主机配置协议(DHCP)、传输控制协议(TCP)、用户数据报协议(UDP)、简单文件传输协议(TFTP)、或其任意组合；并且其中所述隧道用户流量包括GPRS隧道协议用户平面(GTP
‑
U)流量；基于所述订户标识、所述RAT类型、所述位置和所述应用标识符来确定要在安全平台处应用于新会话的安全策略，其中所述安全策略包括允许或通过新会话，阻止或丢弃新会话，或限制新会话的访问；以及基于所述...

【专利技术属性】
技术研发人员：S韦尔马，L布拉科夫斯基，J书，C李，L常，IC陈，
申请(专利权)人：帕洛阿尔托网络公司，
类型：发明
国别省市：