KR-20260061235-A - 패킷 포워딩 제어 프로토콜을 사용하는 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안

Abstract

패킷 포워딩 제어 프로토콜(PFCP)을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 기법들이 개시된다. 일부 실시예들에서, 경계 보안 플랫폼들을 사용하여(예를 들어, PFCP 프로토콜을 사용함) 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 시스템/프로세스/컴퓨터 프로그램 제품은 5G 및/또는 4G/LTE 모바일 네트워크 환경에 보안 플랫폼을 배포하는 것 및 독립형 5G 네트워크 및/또는 4G/LTE 네트워크(예를 들어, CUPS 아키텍처를 갖는)의 보안 플랫폼에서 PFCP 메시지들을 모니터링하는 것을 포함한다. 구체적으로, 보안 플랫폼은 사용자 장비(UE) IP, 국제 모바일 가입자 식별자(IMSI) / 가입 영구 식별자(SUPI), IMEI/PEI, S-NSSAI, APN/DNN, 및/또는 RAT 유형 정보를 포함할 수 있는 컨텍스트 정보를 추출하기 위해 PFCP 세션 확립 요청/응답 메시지들 및/또는 PFCP 세션 수정 요청/응답 메시지들을 포함하는 PFCP 메시지들을 처리하도록 구성된다. 보안 플랫폼은 컨텍스트 정보에 기초하여 보안 정책을 적용하도록(예를 들어, 하나 이상의 보안 규칙들을 집행하도록) 추가로 구성된다.

Inventors

• 베르마 사친
• 브라코프스키 레오니드

Assignees

• 팔로 알토 네트웍스, 인크.

Dates

Publication Date

20260506

Application Date

20240930

Priority Date

20231130

Claims (20)

1. 시스템에 있어서, 프로세서로서, 상기 프로세서는: 새로운 세션을 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하고, 상기 보안 플랫폼은 상기 모바일 네트워크의 경계에 위치되고; 하나 이상의 인터페이스들을 통해 상기 네트워크 트래픽으로부터 메타 정보를 추출함으로써 상기 새로운 세션과 연관된 상기 메타 정보를 결정하고, 상기 네트워크 트래픽은 패킷 포워딩 제어 프로토콜(PFCP)을 포함하고; 상기 모바일 네트워크에서 컨텍스트-기반 보안을 적용하기 위해 상기 메타 정보에 기초하여 상기 보안 플랫폼에서 상기 새로운 세션에 보안 정책을 집행하도록 구성되는, 상기 프로세서; 및 상기 프로세서에 결합되고 상기 프로세서에 명령어들을 제공하도록 구성된 메모리를 포함하는, 시스템.
2. 제 1 항에 있어서, 상기 보안 플랫폼은 상기 하나 이상의 인터페이스들을 통해 상기 네트워크 트래픽으로부터 상기 메타 정보를 추출하기 위해 PFCP 메시지들을 처리하도록 구성되는, 시스템.
3. 제 1 항에 있어서, 상기 보안 플랫폼은 상기 모바일 네트워크의 경계의 상기 하나 이상의 인터페이스들에 위치되는, 시스템.
4. 제 1 항에 있어서, 상기 보안 플랫폼은 인터페이스들 SGi, Sxb, N4 및 N6 중 하나 이상으로부터 선택된 상기 모바일 네트워크의 경계의 상기 하나 이상의 인터페이스들에 위치되는, 시스템.
5. 제 1 항에 있어서, 상기 메타 정보는 사용자 장비(UE) IP 정보를 포함하는, 시스템.
6. 제 1 항에 있어서, 상기 메타 정보는 국제 모바일 가입자 식별자(International Mobile Subscription Identity: IMSI) 정보를 포함하는, 시스템.
7. 제 1 항에 있어서, 상기 메타 정보는 가입 영구 식별자(Subscription Permanent Identifier: SUPI) 정보를 포함하는, 시스템.
8. 제 1 항에 있어서, 상기 메타 정보는 IMEI/PEI 정보를 포함하는, 시스템.
9. 제 1 항에 있어서, 상기 메타 정보는 S-NSSAI 정보를 포함하는, 시스템.
10. 제 1 항에 있어서, 상기 메타 정보는 APN/DNN 정보를 포함하는, 시스템.
11. 제 1 항에 있어서, 상기 메타 정보는 RAT 유형 정보를 포함하는, 시스템.
12. 제 1 항에 있어서, 상기 메타 정보는 사용자 위치 정보를 포함하는, 시스템.
13. 제 1 항에 있어서, 상기 메타 정보는 사용자 장비(UE) IP, 국제 모바일 가입자 식별자(IMSI) / 가입 영구 식별자(SUPI), IMEI/PEI, S-NSSAI, APN/DNN 및/또는 RAT 유형 정보를 포함하는, 시스템.
14. 제 1 항에 있어서, 상기 보안 플랫폼은 취약성 보호, 침입 방지, 안티바이러스, 안티스파이웨어, DNS 보안, 서비스 거부(DoS) 보호, 및/또는 클라우드-기반 보안을 적용하기 위해 복수의 보안 정책들로 구성되는, 시스템.
15. 제 1 항에 있어서, 상기 프로세서는: 상기 보안 정책에 기초하여 상기 새로운 세션이 자원에 액세스하는 것을 차단하도록 추가로 구성되는, 시스템.
16. 방법에 있어서, 새로운 세션을 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하는 단계로서, 상기 보안 플랫폼은 상기 모바일 네트워크의 경계에 위치되는, 상기 네트워크 트래픽을 모니터링하는 단계; 하나 이상의 인터페이스들을 통해 상기 네트워크 트래픽으로부터 메타 정보를 추출함으로써 상기 새로운 세션과 연관된 상기 메타 정보를 결정하는 단계로서, 상기 네트워크 트래픽은 패킷 포워딩 제어 프로토콜(PFCP)을 포함하는, 상기 메타 정보를 결정하는 단계; 및 상기 모바일 네트워크에서 컨텍스트-기반 보안을 적용하기 위해 상기 메타 정보에 기초하여 상기 보안 플랫폼에서 상기 새로운 세션에 보안 정책을 집행하는 단계를 포함하는, 방법.
17. 제 16 항에 있어서, 상기 보안 플랫폼은 상기 하나 이상의 인터페이스들을 통해 상기 네트워크 트래픽으로부터 상기 메타 정보를 추출하기 위해 PFCP 메시지들을 처리하도록 구성되는, 방법.
18. 제 16 항에 있어서, 상기 보안 플랫폼은 상기 모바일 네트워크의 경계의 상기 하나 이상의 인터페이스들에 위치되는, 방법.
19. 비일시적인 컴퓨터 판독가능 저장 매체에 구현되고, 컴퓨터 명령어들을 포함하는 컴퓨터 프로그램 제품에 있어서, 상기 컴퓨터 명령어들은: 새로운 세션을 식별하기 위해 보안 플랫폼에서 모바일 네트워크 상의 네트워크 트래픽을 모니터링하고, 상기 보안 플랫폼은 상기 모바일 네트워크의 경계에 위치되고; 하나 이상의 인터페이스들을 통해 상기 네트워크 트래픽으로부터 메타 정보를 추출함으로써 상기 새로운 세션과 연관된 상기 메타 정보를 결정하고, 상기 네트워크 트래픽은 패킷 포워딩 제어 프로토콜(PFCP)을 포함하고; 상기 모바일 네트워크에서 컨텍스트-기반 보안을 적용하기 위해 상기 메타 정보에 기초하여 상기 보안 플랫폼에서 상기 새로운 세션에 보안 정책을 집행하는 위한 것인, 컴퓨터 프로그램 제품.
20. 제 19 항에 있어서, 상기 보안 플랫폼은 상기 하나 이상의 인터페이스들을 통해 상기 네트워크 트래픽으로부터 상기 메타 정보를 추출하기 위해 PFCP 메시지들을 처리하도록 구성되는, 컴퓨터 프로그램 제품.

Description

패킷 포워딩 제어 프로토콜을 사용하는 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안 본 출원은 2023년 10월 31일 출원된 INTELLIGENT SECURITY FOR ZERO TRUST IN MOBILE NETWORKS WITH SECURITY PLATFORMS이라는 명칭의 미국 가출원 번호 제63/546,724호에 대한 우선권을 주장하며, 이는 모든 목적들을 위해 본원에 참조로 포함된다. 방화벽은 일반적으로 인가된 통신들이 방화벽을 통과하도록 허용하면서 인가되지 않은 액세스로부터 네트워크들을 보호한다. 방화벽은 일반적으로 네트워크 액세스를 위한 방화벽 기능을 제공하는 컴퓨터와 같은 디바이스, 디바이스들의 세트 또는 디바이스에서 실행되는 소프트웨어이다. 예를 들어, 방화벽들은 디바이스들(예를 들어, 컴퓨터들, 스마트폰들 또는 다른 유형들의 네트워크 통신 가능 디바이스들)의 운영 체제들에 통합될 수 있다. 방화벽들은 또한 컴퓨터 서버들, 게이트웨이들, 네트워크/라우팅 디바이스들(예를 들어, 네트워크 라우터들) 또는 데이터 기기들(예를 들어, 보안 기기들 또는 다른 유형들의 특수 목적 디바이스들)에 소프트웨어로 통합되거나 실행될 수 있다. 방화벽들은 일반적으로 규칙들의 세트에 기반하여 네트워크 송신을 거부하거나 허용한다. 이러한 규칙들의 세트들은 종종 정책들로 지칭된다. 예를 들어, 방화벽은 규칙들 또는 정책들의 세트를 적용함으로써 인바운드 트래픽을 필터링할 수 있다. 방화벽은 또한 규칙들 또는 정책들의 세트를 적용함으로써 아웃바운드 트래픽을 필터링할 수 있다. 방화벽들은 또한 기본 라우팅 기능들을 수행할 수 있다. 본 발명의 다양한 실시예들은 다음의 상세한 설명과 첨부 도면들에 개시되어 있다. 도 1a는 일부 실시예들에 따른 PFCP 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트(zero trust)를 위한 지능형 보안을 적용하기 위한 5G 및 4G 모바일 네트워크의 제1 예시적인 서비스 배포 아키텍처의 블록도이다. 도 1b는 일부 실시예들에 따른 PFCP 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 5G 및 4G 모바일 네트워크의 5G 모바일 네트워크 서비스 배포 아키텍처의 제2 예시적인 서비스 배포 아키텍처의 블록도이다. 도 1c는 일부 실시예들에 따른 PFCP 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 4G 모바일 네트워크 서비스 배포 아키텍처의 제3 예시적인 서비스 배포 아키텍처의 블록도이다. 도 2a는 일부 실시예들에 따른 5G 네트워크에서의 Radius 과금 메시지 흐름의 프로토콜 다이어그램이다. 도 2b는 일부 실시예들에 따른 5G 네트워크에서의 Radius 과금 업데이트 메시지 흐름의 프로토콜 다이어그램이다. 도 2c는 일부 실시예들에 따른 Radius 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 5G 모바일 네트워크의 제1 예시적인 서비스 배포 아키텍처의 블록도이다. 도 2d는 일부 실시예들에 따른 Radius 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 5G 모바일 네트워크의 제2 예시적인 서비스 배포 아키텍처의 블록도이다. 도 2e는 일부 실시예들에 따른 4G/LTE 네트워크에서의 Radius 메시지 흐름의 프로토콜 다이어그램이다. 도 2f는 일부 실시예들에 따른 4G/LTE 네트워크에서의 Radius 과금 업데이트 메시지 흐름의 프로토콜 다이어그램이다. 도 2g는 일부 실시예들에 따른 Radius 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 4G 모바일 네트워크의 제1 예시적인 서비스 배포 아키텍처의 블록도이다. 도 3a는 일부 실시예들에 따른 5G 네트워크에서의 Diameter 과금 메시지 흐름의 프로토콜 다이어그램이다. 도 3b는 일부 실시예들에 따른 5G 네트워크에서의 Radius 과금 업데이트 메시지 흐름의 프로토콜 다이어그램이다. 도 3c는 일부 실시예들에 따른 Diameter 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 5G 모바일 네트워크의 제1 예시적인 서비스 배포 아키텍처의 블록도이다. 도 3d는 일부 실시예들에 따른 4G/LTE 네트워크의 SGi 인터페이스 상에서의 Diameter 과금 메시지 흐름의 프로토콜 다이어그램이다. 도 3e는 일부 실시예들에 따른 4G/LTE 네트워크에서의 Diameter 과금 업데이트 메시지 흐름의 프로토콜 다이어그램이다. 도 3f는 일부 실시예들에 따른 Diameter 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 4G 모바일 네트워크의 제1 예시적인 서비스 배포 아키텍처의 블록도이다. 도 4a는 일부 실시예들에 따른 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 네트워크 디바이스의 하드웨어 구성요소들의 기능도이다. 도 4b는 일부 실시예들에 따른 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 네트워크 디바이스의 논리적 구성요소들의 기능도이다. 도 5는 일부 실시예들에 따른 PFCP 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 프로세스의 흐름도이다. 도 6은 일부 실시예들에 따른 Radius 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 프로세스의 흐름도이다. 도 7은 일부 실시예들에 따른 Diameter 프로토콜을 사용하는 경계 보안 플랫폼들을 사용하여 모바일 네트워크들에서 제로 트러스트를 위한 지능형 보안을 적용하기 위한 프로세스의 흐름도이다. 본 발명은 프로세스; 장치; 시스템; 문제의 구성; 컴퓨터 판독가능 저장 매체에 구현된 컴퓨터 프로그램 제품; 및/또는 프로세서에 결합된 메모리에 저장되고 및/또는 메모리에 의해 제공되는 명령어들을 실행하도록 구성된 프로세서와 같은 프로세서를 포함하여, 다양한 방식들로 구현될 수 있다. 본원에서, 이러한 구현들, 또는 본 발명이 취할 수 있는 임의의 다른 형태는 기법들로 지칭될 수 있다. 일반적으로, 개시된 프로세스들의 단계들의 순서는 본 발명의 범위 내에서 변경될 수 있다. 달리 명시하지 않는 한, 작업을 수행하도록 구성되는 것으로 설명된 프로세서 또는 메모리 같은 구성요소는 주어진 시간에 작업을 일시적으로 수행하도록 구성된 일반적인 구성요소 또는 작업을 수행하도록 제조된 특정 구성요소로서 구현될 수 있다. 본원에 사용된, '프로세서'라는 용어는 컴퓨터 프로그램 명령어들과 같은 데이터를 처리하도록 구성된 하나 이상의 디바이스들, 회로들 및/또는 처리 코어들을 지칭한다. 본 발명의 하나 이상의 실시예들의 상세한 설명은 본 발명의 원리들을 예시하는 첨부 도면들과 함께 아래에 제공된다. 본 발명은 이러한 실시예들과 관련하여 설명되지만, 본 발명은 임의의 실시예로 제한되지 않는다. 본 발명의 범위는 청구범위에 의해서만 제한되고 본 발명은 수많은 대안들, 수정들 및 등가물들을 포함한다. 본 발명의 철저한 이해를 제공하기 위해 다양한 특정 세부사항들은 다음 설명에 제시된다. 이러한 세부사항들은 예의 목적으로 제공되고 본 발명은 이러한 특정 세부사항들 중 일부 또는 전부 없이 청구범위에 따라 실시될 수 있다. 명확성을 위하여, 본 발명과 관련된 기술 분야들에 알려져 있는 기술 자료는 본 발명이 불필요하게 모호해지는 것을 방지하기 위해 상세히 설명되지 않았다. 방화벽은 일반적으로 인가된 통신들이 방화벽을 통과하도록 허용하면서 인가되지 않은 액세스로부터 네트워크들을 보호한다. 방화벽은 일반적으로 네트워크 액세스를 위한 방화벽 기능을 제공하는 디바이스, 디바이스들의 세트 또는 디바이스에서 실행되는 소프트웨어이다. 예를 들어, 방화벽은 디바이스들(예를 들어, 컴퓨터들, 스마트폰들 또는 다른 유형들의 네트워크 통신 가능 디바이스들)의 운영 체제들에 통합될 수 있다. 방화벽들은 또한 컴퓨터 서버들, 게이트웨이들, 네트워크/라우팅 디바이스들(예를 들어, 네트워크 라우터들) 또는 데이터 기기들(예를 들어, 보안 기기들 또는 다른 유형들의 특수 목적 디바이스들) 같은 다양한 유형들의 디바이스들 또는 보안 디바이스들 상의 소프트웨어 애플리케이션들로 통합되거나 실행될 수 있다. 방화벽들은 일반적으로 규칙들의 세트에 기반하여 네트워크 송신을 거부하거나 허용한다. 이러한 규칙들의 세트들은 종종 정책들(예를 들어, 네트워크 정책들 또는 네트워크 보안 정책들)로 지칭된다. 예를 들어, 방화벽은 원치 않는 외부 트래픽이 보호된 디바이스들에 접근하는 것을 방지하기 위해 규칙들 또는 정책들의 세트를 적용함으로써 인바운드 트래픽을 필터링할 수 있다. 방화벽은 또한 규칙들 또는 정책들의 세트를 적용(예를 들어, 허용, 차단, 모니터링, 통지 또는 로그, 및/또는 다른 조치들이 방화벽 규칙들 또는 방화벽/보안 정책들에 지정될 수 있고, 이는 본원에 설명된 바와 같이, 다양한 기준에 기반하여 트리거될 수 있음)함으로써 아웃바운드 트래픽을 필터링할 수 있다. 방화벽은 또한 규칙들 또는 정책들의 세트를 적용함으로써 안티-바이러스 보호, 멀웨어 검출/방지, 침입 보호를 적용할 수 있다. 보안 디바이스들(예를 들어, 보안 기기들, 보안 게이트웨이들, 보안 서비스들 및/또는 다른 보안 디바이스들)은 다양한 보안 기능들(예를 들어, 방화벽, 안티멀웨어, 침입 방지/검출, 프록시, 및/또는 다른 보안 기능들), 네트워킹 기능들(예를 들어, 라우팅, 서비스 품질(QoS), 네트워크 관련 자원들의 작업부하 밸런싱 및/또는 다른 네