【技术实现步骤摘要】
服务提供商网络中的基于位置的安全性
技术介绍
[0001]本申请是申请号:201880050446.1,专利技术名称“用于服务提供商网络中的基于位置的安全性的方法和系统”的分案申请。防火墙通常保护网络免受未授权的访问,同时允许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的设备或设备的集合或在设备(诸如计算机)上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其他类型的网络通信能力设备)的操作系统中。防火墙也可以被集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)中或作为软件在计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装备(例如安全装备或其他类型的专用设备)上执行。
[0002]防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量。防火墙还可以通过应用规则的集合或策略来过滤出站流量。防火墙还可以能够执行基本路由功能。
附图说明
[0003]在以下详细描述和附图中公开了本专利技术的各种实施例。
[0004]图1A是根据一些实施例的具有用于提供增强安全性的安全平台的3G无线网络的框图。
[0005]图1B是根据一些实施例的具有用于提供增强安全性的安全平台的4G/LTE无线网络的框图。
[0006]图2A是根据一些实施例的在3G网络中的SGSN和GGSN之间交换的GTPv1
‑
C消息的示例。
[0007 ...
【技术保护点】
【技术特征摘要】
1.一种系统,包括:处理器;和与所述处理器耦合的存储器,其中所述存储器被配置为向所述处理器提供指令,当执行所述指令时使得所述处理器:在安全平台处实时监视服务提供商网络上的网络流量,以标识新会话的订户标识,包括:在网络流量中标识创建会话请求消息或创建PDP上下文请求消息以创建新会话;在所述网络流量中标识无线电接入技术(RAT)类型;从创建会话请求消息或从创建PDP上下文请求消息中提取订户标识,所述订户标识包括国际移动订户标识(IMEI);以及从所述创建会话请求消息或所述创建PDP上下文请求消息中提取位置,所述位置包括以下项中的三个或多个:CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)和LAC(位置区域标识符);在安全平台处确定与所述新会话相关联的用户流量的应用标识符,包括:在已经创建所述新会话后经由深度分组检查监视隧道用户流量以获得所述应用标识符,其中所述应用标识符与如下项相关:使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、Telnet、动态主机配置协议(DHCP)、传输控制协议(TCP)、用户数据报协议(UDP)、简单文件传输协议(TFTP)或其任意组合;并且其中所述隧道用户流量包括GPRS隧道协议用户平面(GTP
‑
U)流量;基于所述订户标识、所述RAT类型、所述位置和所述应用标识符来确定要在安全平台处应用于新会话的安全策略,其中所述安全策略包括允许或通过新会话,阻止或丢弃新会话,或限制新会话的访问;以及基于所述订户标识、所述RAT类型和所述应用标识符执行威胁检测和威胁预防。2.根据权利要求1所述的系统,其中所述安全平台配置有基于所述订户标识和所述应用标识符的多个安全策略。3.根据权利要求1所述的系统,其中所述处理器被配置用于:基于所述订户标识和所述应用标识符执行安全策略实施。4.根据权利要求1所述的系统,其中所述处理器被配置用于:基于所述订户标识和所述应用标识符执行统一资源链接(URL)过滤。5.根据权利要求1所述的系统,其中所述安全平台配置有基于所述订户标识和所述应用标识符的多个安全策略。6.根据权利要求1所述的系统,其中所述安全平台监视无线接口,所述无线接口包括用于3G和/或4G网络的移动核心网络中的控制协议和用户数据流量的多个接口。7.根据权利要求1所述的系统,其中所述安全平台监视无线接口,所述无线接口包括用于3G和/或4G网络的移动核心网络中的GPRS隧道协议(GTP)的多个接口。8.根据权利要求1所述的系统,其中所述处理器被配置用于:基于安全策略来阻止新会话访问资源。9.根据权利要求1所述的系统,其中所述位置包括以下项中的四个或更多个:CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)、或LAC(位置区域标识符)。10.根据权利要求1所述的系统,其中所述位置包括以下项:CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)和LAC(位置区域标识符)。11.一种方法,包括:在安全平台处实时监视服务提供商网络上的网络流量,以标识新会话的订户标识,包括:在网络流量中标识创建会话请求消息或创建PDP上下文请求消息以创建新会话;在所述网络流量中标识无线电接入技术(RAT)类型;从创建会话请求消息或从创建PDP上下文请求消息中提取订户标识,所述订户标识包括国际移动订户标识(IMEI);以及从所述创建会话请求消息或所述创建PDP上下文请求消息中提取位置,所述位置包括以下项中的三个或多个:CGI(小区全球标识符)、SAI(服务区标识符)、RAI(路由区域标识符)、TAI(跟踪区域标识符)、ECGI(E
‑
UTRAN小区全球标识符)和LAC(位置区域标识符);在安全平台处确定与所述新会话相关联的用户流量的应用标识符,包括:在已经创建所述新会话后经由深度分组检查监视隧道用户流量以获得所述应用标识符,其中所述应用标识符与如下项相关:使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、Telnet、动态主机配置协议(DHCP)、传输控制协议(TCP)、用户数据报协议(UDP)、简单文件传输协议(TFTP)、或其任意组合;并且其中所述隧道用户流量包括GPRS隧道协议用户平面(GTP
‑
U)流量;基于所述订户标识、所述RAT类型、所述位置和所述应用标识符来确定要在安全平台处应用于新会话的安全策略,其中所述安全策略包括允许或通过新会话,阻止或丢弃新会话,或限制新会话的访问;以及基于所述...
【专利技术属性】
技术研发人员:S韦尔马,L布拉科夫斯基,J书,C李,L常,IC陈,
申请(专利权)人:帕洛阿尔托网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。