[go: up one dir, main page]

TWI668976B - 用於針對服務-使用者平面方法使用網路符記的高效策略實施之方法及設備 - Google Patents

用於針對服務-使用者平面方法使用網路符記的高效策略實施之方法及設備 Download PDF

Info

Publication number
TWI668976B
TWI668976B TW105101139A TW105101139A TWI668976B TW I668976 B TWI668976 B TW I668976B TW 105101139 A TW105101139 A TW 105101139A TW 105101139 A TW105101139 A TW 105101139A TW I668976 B TWI668976 B TW I668976B
Authority
TW
Taiwan
Prior art keywords
network
network token
token
application server
packet
Prior art date
Application number
TW105101139A
Other languages
English (en)
Other versions
TW201644238A (zh
Inventor
李秀凡
霍恩蓋文伯納德
納希斯基約翰
法西史帝法諾
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201644238A publication Critical patent/TW201644238A/zh
Application granted granted Critical
Publication of TWI668976B publication Critical patent/TWI668976B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一態樣涉及經由設備發起與應用伺服器的連接,該應用伺服器與一或多個應用服務相關聯。閘道取得上行鏈路網路符記及/或下行鏈路網路符記。符記經由使用者平面提供給設備及/或應用伺服器。分別由上行鏈路封包及/或下行鏈路封包來包括符記。另一態樣涉及在閘道處接收資料封包。閘道根據封包來決定對網路符記的需求。閘道基於由網路維護的設備訂制簡檔來取得網路符記。網路符記可以隨封包一起發送到與封包相關聯的目的位址。可以在閘道處接收包括網路符記的封包。閘道可以校驗網路符記,並且若校驗成功則將資料封包發送到應用伺服器或設備。

Description

用於針對服務-使用者平面方法使用網路符記的高效策略實施之方法及設備
本專利申請案主張享有以下申請案的優先權和權益:於2015年2月24日提出申請到美國專利商標局的臨時申請案第62/120,159號、於2015年5月14日提出申請到美國專利商標局的臨時申請案第62/161,768號以及於2015年9月25日提出申請到美國專利商標局的非臨時申請案第14/866,425號。
概括地說,一個態樣係關於網路符記,而更具體地說,係關於與上行鏈路和下行鏈路使用者平面資料流相關聯的上行鏈路和下行鏈路網路符記的取得、提供和使用以有助於網路策略的實施(例如,校驗設備正只存取授權應用服務)及/或封包轉向。
一些客戶端設備可以具有網路存取權,但是它們的網路存取權可能受限於一組應用服務。網路服務供應商可以使用策略來施加此類限制。在一個實例中,特定應用服務提 供者可以贊助(sponsor)客戶端設備的網路存取。客戶端設備可能受限於由應用服務提供者在其伺服器上執行的應用服務。在另一實例中,具有網路存取權的客戶端設備可以是允許對與給定應用服務相關聯的資料(例如,位元速率或服務品質)進行特殊收費或處置的契約的一部分。例如,客戶端設備可以經由蜂巢提供商而具有蜂巢訂制,並且該蜂巢提供商可能希望對該客戶端設備施加一或多個約束。在一個實例中,當前被認為是社交媒體提供商而非蜂巢提供商的公司在未來會扮演蜂巢提供商的角色。在該實例中,客戶端設備可以具有對該公司的訂制。作為其訂制協定的一部分,客戶端設備可以獲得對網際網路的存取權,但是可能會被約束為使用該公司的社交媒體網站,排除了其他社交媒體網站。經由舉另一實例的方式,客戶端設備可以具有對串流媒體服務提供者的訂制。在該實例中,作為協定的一部分,客戶端設備可以經由各種蜂巢提供商(例如,行動網路服務供應商)來獲得對網際網路的存取權。然而,存取權可能受(串流媒體服務提供者與各個蜂巢提供商及/或客戶端設備的使用者之間的)使用媒體服務提供者的網站來獲得所有串流媒體服務的協定所約束。經由舉另一實例的方式,對於某些存取點名稱(API),僅允許基於策略或訂制限制而從客戶端設備發送某些訊務(例如,控制平面訊號傳遞及/或使用者平面訊息)。
可以與應用服務相結合來制定網路策略,以確保客戶端設備不違反任何協定,被提供有對約定應用服務的存取權,及/或被提供有約定的服務級別。網路可以針對在封包資 料網路(例如,網際網路)上從客戶端設備向例如應用伺服器發送的上行鏈路(UL)封包來實施這樣的策略。網路可以另外地針對從應用伺服器向客戶端設備發送的下行鏈路(DL)封包來實施這些策略。
目前,對於應用服務的策略實施發生在去往網路的閘道處。這樣的閘道的一個實例是封包資料網閘道(P-GW),其充當核心網路(例如,進化型封包核心(EPC))與諸如網際網路之類的封包資料網路(PDN)之間的閘道。存在的一個問題是,策略實施(例如,服務存取策略的實施)可能要求P-GW驗證在客戶端設備與應用伺服器之間發送的所有UL和DL封包。此外,每個UL封包和DL封包可能需要經由特定承載或資料流而轉向到其目的位址。目的位址可以包括兩部分:首碼部分和後置部分。
網路策略可經由在P-GW處驗證UL和DL封包來實施。實施可以確保客戶端設備僅發送封包到授權應用服務及/或從授權應用服務接收封包。驗證可以包括校驗目的位址或者經由P-GW的封包的目的位址和埠號。驗證可以另外地包括校驗每個封包的源位址。校驗每個封包的源位址對於反欺騙可能是有用的(例如,經由防止來自未授權客戶端設備的封包經由表現為來自授權客戶端設備而欺騙網路。可能需要封包轉向來確保達到約定的服務品質(QoS)。
當前的實踐招致大量管理負擔且增加了由處理延遲導致的轉發延時。當前的實踐通常使用封包檢查(例如,深度封包檢查,淺度封包檢查)和訊務流範本(TFT)以及服務 資料流(SDF)範本來實現。P-GW經由檢查每個封包的標頭來確認封包符合被定義用於服務的TFT/SDF範本。
圖1是SDF範本102在偵測服務資料流的下行鏈路部分104並且將該部分映射到諸如示出的網際網路協定連接存取網路(IP-CAN)承載106之類的承載時所起作用的先前技術圖示。圖1是基於3GPP技術規範(TS)23.203的,圖6.4。
建立SDF範本102以驗證和映射下行鏈路封包。然而,一組封包篩檢程式(參見例如,SDF範本102中的封包篩檢程式a-f)的使用要求使用表格和表格檢視規程。此類表格和規程的使用影響了效率,這是因為該使用要求記憶體儲存空間和處理器資源來執行這些規程。另外,浪費了時間資源,這是因為在任何給定封包應用於滿足篩檢程式所有要求的篩檢程式之前,每個封包必須經過複數個篩檢程式進行過濾。
因此,在P-GW處使用封包檢查和TFT/SDF範本(對於上行鏈路封包和下行鏈路封包中的任一者或二者)會有問題,例如這是因為它們的使用招致大量管理負擔(例如,用於記憶體檢視和模式匹配的處理資源和記憶體資源)並且增加了由處理延遲導致的轉發延時。另外,難以進行細細微性策略控制(例如,針對每個服務),這是因為額外的策略控制將招致額外的管理負擔和處理延遲,因為需要針對TFT/SDF範本實現的另外過濾規則來測試封包。此外,對於贊助的連接來說,TFT/SDF範本的使用不可伸縮。不同服務的贊助商的數量(在即將到來的年份可能有數千服務)的增加將意味著經由相應增加數量的TFT/SDF範本過濾封包所需的時間的增 加。再一次,這會招致額外的管理負擔和處理延時。
所需要的是用於補充及/或增強封包檢查以及提高上行鏈路和下行鏈路網路策略實施的效率的替代方案。
根據第一態樣,一種方法可以在設備處操作。該方法可以包括:經由設備發起與應用伺服器的連接,該應用伺服器與一或多個應用服務相關聯。回應於發起連接,設備可以獲得網路符記。網路符記可以與一或多個流的集合中的第一流相關聯,與一或多個應用服務中的第一應用服務相關聯,並且經由一或多個使用者平面訊息發送到設備。該方法亦可以包括在使用者平面中將網路符記連同一或多個上行鏈路(UL)封包從設備一起發送到應用伺服器。
根據額外的態樣,網路符記可以從應用伺服器及/或閘道設備中的一個獲得。網路符記可以經由核心網路的閘道設備來取得。其可以基於設備的設備訂制簡檔及/或第一應用服務的策略。其可以反映核心網路針對設備實施的策略。發起連接的態樣可以包括發送連接請求,並且該連接請求包括對網路符記的顯式請求。其可以包括發送用於表示對網路符記的隱式請求的封包。
根據一些態樣,可以經由向應用伺服器發送第一封包來表示隱式請求。發起連接可以包括發送用於要求從應用伺服器得到確認的封包,其中該確認將網路符記傳輸到設備。網路符記可以在使用者平面墊層(shim)標頭中從設備傳輸到封包資料網路(PDN)閘道(P-GW)。使用者平面墊層 標頭可以位於網際網路協定(IP)層之上。網路符記可以在如IP版本6(IPv6)中定義的網際網路協定(IP)擴展標頭中從設備傳輸到封包資料網路(PDN)閘道(P-GW)。其可以在封包資料彙聚協定(PDCP)層中從設備傳輸到存取節點,在存取節點中複製到用於使用者平面(GTP-U)的通用封包式無線電服務(GPRS)隧道協定(GTP)層(GTP-U)層,並且在GTP-U層中從存取節點傳輸到封包資料網路(PDN)閘道(P-GW)。
根據一個態樣,包括網路通訊介面和處理電路的設備可以執行上述方法,該網路通訊介面被配置為經由無線網進行通訊,該處理電路耦合到該網路通訊介面。
根據另一態樣,一種方法可以在網路中的閘道設備處操作。該方法可以包括:在閘道設備處經由使用者平面接收第一資料封包。該方法亦可以包括:經由評估第一資料封包來決定是否請求了網路符記,以及若請求了網路符記,則獲得網路符記。網路符記可以基於由網路維護的設備訂制簡檔。該方法亦可以需要(entail):若請求了網路符記,則利用第一資料封包來包括網路符記;及將第一資料封包和網路符記發送到目的地。
根據額外的態樣,第一資料封包可以被發送到應用伺服器,並且網路符記是上行鏈路網路符記。第一資料封包可以被發送到應用伺服器,並且網路符記是下行鏈路網路符記。第一資料封包可以被發送到設備,並且網路符記是下行鏈路網路符記。若第一資料封包被發送到設備並且網路符記 是下行鏈路網路符記,則該方法亦可以包括:在閘道設備處接收來自設備的包括下行鏈路網路符記的第二資料封包;及將第二資料封包和下行鏈路網路符記發送到應用伺服器。根據一些態樣,網路符記是上行鏈路網路符記和下行鏈路網路符記,該上行鏈路網路符記與該下行鏈路網路符記不同。閘道設備可以是封包資料網路(PDN)閘道(P-GW)。第一封包可以包括對網路符記的顯式請求或者可以表示對網路符記的隱式請求。根據一些態樣,決定是否請求了網路符記可以基於決定要向其發送第一封包的應用伺服器或者要從其接收第一封包的應用伺服器是否要求網路符記。
獲得網路符記可以經由在閘道設備處取得網路符記來實現。網路符記可以使用具有一組輸入參數的函數來取得,該等輸入參數包括:閘道設備已知的金鑰、類索引、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或服務品質類別辨識符(QCI)。類索引定義了用於網路符記取得的欄位。網路符記可以是類索引和函數的輸出的串聯(concatenation)。
根據一個態樣,包括網路通訊介面和處理電路的閘道設備可以執行上述方法,該網路通訊介面被配置為經由無線網進行通訊,該處理電路耦合到該網路通訊介面。
根據另一態樣,可在閘道設備處操作的方法可以包括:回應於從設備發送到應用伺服器的對第一網路符記的請求,在閘道設備處取得第一網路符記,該應用伺服器與一或多個應用服務相關聯。該方法可以包括在該閘道設備處接收 來自設備的資料封包,該資料封包至少包括與應用伺服器相對應的目的位址首碼,並且該資料封包包括第二網路符記。該方法亦可以包括:校驗第二網路符記;若校驗不成功,則丟棄該資料封包;及若校驗成功,則將該資料封包發送到應用伺服器。可以在使用者平面訊息中接收資料封包。閘道設備可以是封包資料網路(PDN)閘道(P-GW)。校驗第二網路符記可以包括:根據使用從資料封包獲得的輸入參數的第一函數和閘道設備已知的金鑰來取得第一網路符記的複件。校驗第二網路符記亦可以包括將第一網路符記的複件與第二網路符記進行比較,其中若第一網路符記的複件等於第二網路符記,則校驗成功。
根據一些態樣,第二網路符記可以在與IP標頭分離的墊層標頭中從設備傳輸到閘道設備。第二網路符記可以在網際網路協定(IP)版本6(IPv6)中定義的IP擴展標頭中從該設備傳輸到閘道設備。根據一些態樣,第二網路符記可以在封包資料彙聚協定(PDCP)層中從設備傳輸到存取節點,在存取節點中複製到用於使用者平面(GTP-U)的通用封包式無線電服務(GPRS)隧道協定(GTP)層(GTP-U)層,並且在GTP-U層中從存取節點傳輸到閘道設備。
根據一個態樣,包括網路通訊介面和處理電路的閘道設備可以執行上述方法,該網路通訊介面被配置為經由無線網進行通訊,該處理電路耦合到網路通訊介面。
根據另一態樣,可在應用伺服器處操作的方法可以包括:經由與一或多個應用服務相關聯的應用伺服器來發送 用於發起與設備的第一應用服務的請求。該方法亦可以包括:回應於發送用於發起第一應用服務的請求,獲得網路符記。網路符記可以與一或多個流的集合中的第一流相關聯,與第一應用服務相關聯,並且經由一或多個使用者平面訊息發送到設備。該方法亦可以包括:在使用者平面中將網路符記連同從應用伺服器發送的一或多個下行鏈路(DL)封包一起發送到設備。網路符記可以經由核心網路的閘道設備取得。其可以基於設備的設備訂制簡檔及/或第一應用服務的策略。其可以反映核心網路針對設備實施的策略。用於發起第一應用服務的請求可以包括對網路符記的顯式請求或者可以包括發送用於表示對網路符記的隱式請求的封包。
根據一個態樣,包括網路通訊介面和處理電路的應用伺服器可以執行上述方法,該網路通訊介面被配置為經由無線網進行通訊,該處理電路耦合到該網路通訊介面。
102‧‧‧SDF範本
104‧‧‧下行鏈路部分
106‧‧‧網際網路協定連接存取網路(IP-CAN)承載
200‧‧‧操作環境
202‧‧‧客戶端設備
204‧‧‧客戶端設備
206‧‧‧存取節點
208‧‧‧無線電存取網路(RAN)
210‧‧‧核心網路(CN)
212‧‧‧行動性管理實體(MME)
216‧‧‧服務閘道(S-GW)
218‧‧‧歸屬用戶伺服器(HSS)
220‧‧‧封包資料網閘道(P-GW)
222‧‧‧封包資料網路(PDN)
224‧‧‧伺服器
226‧‧‧伺服器
228‧‧‧伺服器
230‧‧‧伺服器
300‧‧‧上行鏈路操作
302‧‧‧設備
304‧‧‧存取節點
306‧‧‧服務閘道(S-GW)
308‧‧‧服務閘道(S-GW)
310‧‧‧封包資料網路(PDN)
312‧‧‧應用/應用服務
314‧‧‧IP流
316‧‧‧訊務流範本(TFT)
318‧‧‧承載
320‧‧‧處理電路/功能單元/模組
322‧‧‧訊務轉向電路/功能單元/模組
324‧‧‧服務資料流(SDF)範本
400‧‧‧下行鏈路操作
402‧‧‧設備
404‧‧‧存取節點
406‧‧‧服務閘道(S-GW)
408‧‧‧P-GW
410‧‧‧PDN
414‧‧‧下行鏈路IP流
416‧‧‧訊務流範本(TFT)
418‧‧‧承載
420‧‧‧決定與處理電路/模組/設備
422‧‧‧加密-校驗和訊務轉向電路/模組/設備
424‧‧‧服務資料流(SDF)範本
424a‧‧‧表格
428‧‧‧快取記憶體
500‧‧‧撥叫流程
502‧‧‧設備
504‧‧‧存取節點
506‧‧‧MME
508‧‧‧S-GW
510‧‧‧P-GW
512‧‧‧策略與收費規則功能(PCRF)
514‧‧‧歸屬用戶伺服器(HSS)
515‧‧‧應用伺服器
516‧‧‧應用伺服器
518‧‧‧發送
520‧‧‧獲得
522‧‧‧取得
524‧‧‧嵌入/包括
530‧‧‧發送
532‧‧‧校驗
534‧‧‧發送
600‧‧‧撥叫流程
602‧‧‧設備
604‧‧‧存取節點
606‧‧‧MME
608‧‧‧S-GW
610‧‧‧P-GW
612‧‧‧策略與收費規則功能(PCRF)
614‧‧‧歸屬用户伺服器(HSS)
616‧‧‧應用伺服器
618‧‧‧發送
620‧‧‧獲得
622‧‧‧取得
624‧‧‧嵌入
626‧‧‧取得
628‧‧‧儲存
630‧‧‧儲存
632‧‧‧發送
634‧‧‧校驗
636‧‧‧發送
700‧‧‧撥叫流程圖
702‧‧‧設備
704‧‧‧存取節點
706‧‧‧MME
708‧‧‧S-GW
710‧‧‧P-GW
712‧‧‧策略與收費規則功能(PCRF)設備
714‧‧‧歸屬用戶伺服器(HSS)
716‧‧‧應用伺服器
718‧‧‧發送
720‧‧‧設備
722‧‧‧取得
724‧‧‧嵌入
726‧‧‧取得
728‧‧‧儲存
730‧‧‧發起
732‧‧‧校驗
733‧‧‧發佈
734‧‧‧發送
736‧‧‧校驗
738‧‧‧發送
740‧‧‧發送
742‧‧‧校驗
744‧‧‧發送
800‧‧‧撥叫流程
802‧‧‧設備
804‧‧‧存取節點
806‧‧‧MME
808‧‧‧S-GW
810‧‧‧P-GW
812‧‧‧策略與收費規則功能(PCRF)設備
814‧‧‧歸屬用戶伺服器(HSS)
816‧‧‧應用伺服器
818‧‧‧發送
820‧‧‧設備
822‧‧‧取得
823‧‧‧取得
824‧‧‧嵌入/包括
826‧‧‧發送
828‧‧‧發送
830‧‧‧校驗
832‧‧‧發送
834‧‧‧包括
836‧‧‧校驗
838‧‧‧發送
840‧‧‧發送
842‧‧‧校驗
844‧‧‧發送
902‧‧‧客戶端設備
904‧‧‧存取節點
906‧‧‧閘道設備
908‧‧‧應用伺服器
910‧‧‧實體(PHY)層
912‧‧‧媒體存取控制(MAC)層
914‧‧‧無線電鏈路控制(RLC)層
916‧‧‧封包資料彙聚協定(PDCP)層
918‧‧‧網際網路協定(IP)層
920‧‧‧墊層
922‧‧‧墊層
924‧‧‧IP層
926‧‧‧層
930‧‧‧實體(PHY)層
932‧‧‧媒體存取控制(MAC)層
934‧‧‧無線電鏈路控制(RLC)層
936‧‧‧封包資料彙聚協定(PDCP)層
940‧‧‧乙太網路層
942‧‧‧MAC層
944‧‧‧IP層
946‧‧‧使用者資料包通訊協定(UDP)層
948‧‧‧GTP-U層
952‧‧‧層
954‧‧‧層
956‧‧‧層
958‧‧‧IP層
960‧‧‧網路符記
1002‧‧‧客戶端設備
1004‧‧‧存取節點
1006‧‧‧閘道設備
1008‧‧‧應用伺服器
1016‧‧‧PDCP層
1026‧‧‧PDCP層
1036‧‧‧PDCP層
1048‧‧‧GTP-U層
1060‧‧‧網路符記
1102‧‧‧客戶端設備
1104‧‧‧存取節點
1106‧‧‧閘道設備
1108‧‧‧應用伺服器
1110‧‧‧實體(PHY)層
1112‧‧‧媒體存取控制(MAC)層
1114‧‧‧無線電鏈路控制(RLC)層
1116‧‧‧封包資料彙聚協定(PDCP)層
1118‧‧‧網際網路協定(IP)層
1124‧‧‧IP層
1158‧‧‧IP層
1160‧‧‧下行鏈路網路符記
1202‧‧‧客戶端設備
1204‧‧‧存取節點
1206‧‧‧閘道設備
1208‧‧‧應用伺服器
1210‧‧‧實體(PHY)層
1212‧‧‧媒體存取控制(MAC)層
1214‧‧‧無線電鏈路控制(RLC)層
1216‧‧‧封包資料彙聚協定(PDCP)層
1218‧‧‧網際網路協定(IP)層
1220‧‧‧墊層
1224‧‧‧IP層
1250‧‧‧層
1258‧‧‧IP層
1260‧‧‧下行鏈路網路符記
1300‧‧‧設備
1302‧‧‧網路通訊介面電路
1304‧‧‧處理電路
1306‧‧‧存放裝置
1308‧‧‧第一輸入/輸出模組/電路/功能單元
1310‧‧‧接收器/發射器模組/電路/功能單元
1312‧‧‧網路符記處置模組/電路/功能單元
1314‧‧‧網路符記提取/嵌入模組/電路/功能單元
1316‧‧‧加密驗證/校驗模組/電路/功能單元
1320‧‧‧網路符記處置指令
1322‧‧‧網路符記提取/嵌入指令
1324‧‧‧加密驗證/校驗指令
1326‧‧‧金鑰儲存與指令
1334‧‧‧通訊匯流排
1400‧‧‧方法
1402‧‧‧發起
1404‧‧‧獲得
1406‧‧‧包括
1500‧‧‧方法
1502‧‧‧接收
1504‧‧‧獲得
1506‧‧‧校驗
1508‧‧‧包括
1510‧‧‧發送
1600‧‧‧閘道設備
1602‧‧‧網路通訊介面電路
1604‧‧‧處理電路
1606‧‧‧存放裝置
1608‧‧‧第一輸入/輸出電路/功能單元/模組
1610‧‧‧第二輸入/輸出電路/功能單元/模組
1612‧‧‧網路符記取得/校驗電路/功能單元/模組
1614‧‧‧金鑰取得電路/功能單元/模組
1616‧‧‧決定與處理電路/功能單元/模組
1618‧‧‧加密-驗證和訊務轉向電路/功能單元/模組
1620‧‧‧網路符記取得/校驗指令
1622‧‧‧金鑰取得指令
1624‧‧‧決定與處理指示
1626‧‧‧加密-驗證和訊務轉向指令
1630‧‧‧加密驗證/校驗模組/電路/功能單元
1632‧‧‧金鑰儲存與指令
1634‧‧‧通訊匯流排
1700‧‧‧方法
1702‧‧‧接收
1704‧‧‧決定
1706‧‧‧獲得
1708‧‧‧包括
1710‧‧‧發送
1800‧‧‧方法
1802‧‧‧接收
1804‧‧‧取得
1806‧‧‧取得
1808‧‧‧儲存
1810‧‧‧包括
1812‧‧‧發送
1814‧‧‧接收
1816‧‧‧驗證
1818‧‧‧驗證
1820‧‧‧驗證
1900‧‧‧方法
1902‧‧‧取得
1904‧‧‧接收
1906‧‧‧校驗
1908‧‧‧校驗
1910‧‧‧決定
1912‧‧‧丟棄
1914‧‧‧丟棄
1916‧‧‧發送
2000‧‧‧應用伺服器
2002‧‧‧網路通訊介面電路
2004‧‧‧處理電路
2006‧‧‧存放裝置
2008‧‧‧第一輸入/輸出模組/電路/功能單元
2010‧‧‧接收器/發射器模組/電路/功能單元
2012‧‧‧網路符記處置模組/電路/功能單元
2014‧‧‧網路符記提取/嵌入模組/電路功能單元
2016‧‧‧加密驗證/校驗存放裝置
2020‧‧‧網路符記處置指令
2022‧‧‧網路符記提取/嵌入指令
2024‧‧‧網路符記提取/嵌入指令
2026‧‧‧金鑰儲存與指令
2034‧‧‧金鑰儲存與指令
2100‧‧‧方法
2102‧‧‧決定
2104‧‧‧發送
2106‧‧‧等待
2108‧‧‧獲得
圖1是SDF範本在偵測服務資料流的下行鏈路部分並且將該部分映射到諸如示出的網際網路協定連接存取網路(IP-CAN)承載之類的承載時所起作用的先前技術圖示。
圖2圖示示例性操作環境。
圖3圖示根據本文所述態樣的示例性上行鏈路操作。
圖4圖示根據本文所述態樣的示例性下行鏈路操作。
圖5是圖示根據本文所述態樣的與一或多個使用者平面訊息相結合的網路符記的取得、提供和使用的示例性撥叫流程。
圖6是圖示根據本文所述態樣的與一或多個使用者平面訊息相結合的網路符記的取得、提供和使用的示例性撥叫流程。
圖7是圖示根據本文所述態樣的與一或多個使用者平面訊息相結合的網路符記的取得、提供和使用的示例性撥叫流程。
圖8是圖示根據本文所述態樣的與一或多個使用者平面訊息相結合的兩個網路符記(例如,上行鏈路網路符記和下行鏈路網路符記)的取得、提供和使用的示例性撥叫流程。
圖9是根據本文所述的一個態樣的系統的使用者平面協定堆疊的示例性圖示。
圖10是根據本文所述的另一態樣的系統的使用者平面協定堆疊的示例性圖示。
圖11是根據本文所述的另一態樣的系統的使用者平面協定堆疊的示例性圖示。
圖12是根據本文所述的另一態樣的系統的使用者平面協定堆疊的示例性圖示。
圖13是圖示根據本文所述態樣的被配置為使用網路符記來支援網路策略實施及/或封包轉向的示例性設備的方塊圖。
圖14是示例性方法,經由該方法,設備(例如,晶片組件,客戶端設備)可以發起用於與應用伺服器進行通訊的請求,以及結合該通訊使用網路符記。
圖15是示例性方法,經由該方法,設備(例如,晶片組件,客戶端設備)可以對用於發起通訊的請求進行回應,以及結合該通訊使用網路符記。
圖16是圖示根據本文所述態樣的被配置為使用網路符記來支援網路策略實施及/或封包轉向的示例性閘道設備的方塊圖。
圖17圖示根據本文所述態樣的可在閘道設備(例如,P-GW)處操作的示例性方法,該方法用於偵測經由使用者平面訊息的來自設備的對使用網路符記的請求,取得網路符記,以及經由應用伺服器將網路符記提供給請求設備。
圖18圖示根據本文所述態樣的可在閘道設備(例如,P-GW)處操作的示例性方法,該方法經由使用者平面訊息傳遞在閘道設備(例如,P-GW)處設置並且使用網路符記。
圖19圖示根據本文所述態樣的可在閘道設備(例如,P-GW)處操作的示例性方法,該方法與網路符記的使用相結合來校驗網路符記(例如,網路符記的校驗),用於網路策略的實施及/或封包的轉向。
圖20是示出被配置為支援下行鏈路符記驗證和封包映射的示例性應用伺服器的方塊圖。
圖21是根據本文所述態樣的在應用伺服器處設置網路符記的示例性方法的流程圖。
在以下描述中,參考了附圖,該等附圖經由說明的方式圖示其中可以實踐本案內容的具體實施例。這些實施例 意欲詳盡地描述本案內容的態樣,以使本發明所屬領域中具有通常知識者能夠實踐本發明。可以使用其他實施例並且可以對揭示的實施例作出改變,而不偏離本案內容的保護範疇。以下詳細描述不應當被視為具有限制意義,並且本發明的保護範疇僅由隨附的請求項來限定。
在本文中,可以使用術語「設備」來代表晶片組件及/或客戶端設備,例如行動設備、行動電話、行動通訊設備、行動計算裝置、數位平板設備、智慧型電話、使用者裝置、使用者設備、終端以及其他設備。如本文所使用的,術語「取得」可以意指在本端從一設備取得或者從另一設備獲得。
概述
概括地說,本文所描述的態樣涉及上行鏈路網路符記和下行鏈路網路符記的取得、提供和使用。網路符記可以在使用者平面中與封包一起傳輸。上行鏈路網路符記或下行鏈路網路符記可以被嵌入到一或多個封包中或者以其他方式由一或多個封包所包括,並且用於網路策略實施及/或訊務轉向(例如,一或多個使用者平面訊息的轉向)。
對網路符記的請求可以是顯式的或隱式的。顯式請求可以包括在例如從設備向應用伺服器做出的連接請求或者從應用伺服器向設備做出的連接請求中。應用伺服器可以與一或多個應用服務相關聯。請求若是顯式的,則可以與包括連接請求的一或多個封包一起傳輸。從設備到應用伺服器的封包或者從應用伺服器到設備的封包在從其源通往其目的地 的途中經過封包資料網閘道(P-GW)。在P-GW處,可以對封包進行檢查/查閱/分析以決定該封包是否顯式地包括(或隱式地表示)對網路符記的請求。
若例如對網路符記的請求由連接請求所包括,則P-GW可以使用加密函數、P-GW已知的非共用金鑰以及可以從封包獲得的參數和與服務相關聯的參數來取得該網路符記。然而,P-GW可能不直接將剛剛取得的網路符記發送到請求了網路符記的實體。相反,其可能利用攜帶連接請求(以及對網路符記的請求)的封包來嵌入或以其他方式包括網路符記,並且將該封包(與剛剛取得的網路符記)發送到其目的地,例如,從封包標頭中的目的位址(或者至少目的位址首碼)辨識的目的地。在目的地處,處理電路準備針對該連接請求的回應(例如,連接回應),並且將網路符記包括在含有該連接回應的封包中,或利用該封包來包括網路符記。封包可以經由使用者平面發送到請求網路符記的源和連接請求的發起者。此後,當源具有要發送到目的地的額外封包時,源可以在一或多個額外封包中包括(或者利用該一或多個額外封包來包括)網路符記的副本。
上行鏈路網路符記及/或下行鏈路網路符記可以被P-GW用於實施網路策略。根據本文所描述的態樣,可以在P-GW處接收包括先前取得的原始網路符記的副本的封包。該先前取得的原始網路符記的副本可以是上行鏈路網路符記或下行鏈路網路符記。P-GW可以校驗該先前取得的原始網路符記的副本。校驗程序可以包括取得原始網路符記的複件。使 用相同的加密函數、P-GW已知的相同的非共用金鑰和可從封包獲得的相同的其他參數,可以按照與原始網路符記相同的方式來取得複製的網路符記。與原始網路符記的副本相關聯的新近接收到的封包不同於與原始網路符記相關聯的封包;然而,存在可以從新近接收到的封包獲得的、與從原始封包獲得的那些參數相同的參數。這些共同的參數可以在加密函數中使用,以取得複製的網路符記。若複製的網路符記等於原始網路符記的副本,則剛剛接收到的原始網路符記的副本可以被視為校驗成功。在成功校驗了時,可以將該封包發送到其目的地。若校驗未成功,則可以丟棄該封包。
示例性操作環境
圖2圖示示例性操作環境200。在此類示例性操作環境200中,一或多個客戶端設備202、204(例如,客戶端設備A、客戶端設備B)可以與存取節點206(例如,節點B、進化型節點B、存取點(AP))進行無線通訊。存取節點206可以被包括在無線電存取網路(RAN)208(例如,進化型通用陸地無線電存取網路(E-UTRAN))內。如本發明所屬領域中具有通常知識者所知曉的,RAN 208通常包括一個以上的存取節點206。附圖僅圖示一個存取節點206以減少雜亂。
在蜂巢通訊系統(例如,4G、LTE、LTE-A)的非限制性實例中,RAN 208可以將控制平面訊號傳遞和使用者平面訊息傳遞到核心網路(CN)210(例如,進化型封包核心(EPC))。在圖2的圖示中,虛線表示控制信號路徑,而實線表示使用者資料訊息路徑。控制平面傳達控制信號(例如, 使用者平面訊號傳遞)。使用者平面傳達使用者資料(例如,使用者平面訊息)。本文所述態樣的實施方式利用使用者平面;不需要控制平面訊號傳遞。因為不需要控制平面訊號傳遞,所以對於大部分而言網路功能不受影響。對客戶端設備和P-GW的使用者平面協定堆疊的修改可以與本文所述態樣相關聯地來實現。例如,網路符記設置規程可能要求協定堆疊的修改。換言之,當客戶端設備發起具有對網路符記的請求的指示的連接請求時,閘道設備取得該網路符記並且將該網路符記嵌入該連接請求或以其他方式利用該連接請求來包括該網路符記(例如,在具有連接請求的封包中)。本文所述態樣提供了用於嵌入網路符記的若干替代方案(例如,TCP、IP、墊層等),並且描述了對協定堆疊的相應示例性修改以實現網路符記的嵌入。
CN 210可以包括行動性管理實體(MME)212、服務閘道(S-GW)216、歸屬用戶伺服器(HSS)218和封包資料網閘道(P-GW)220。P-GW 220可以與封包資料網路(PDN)222(例如,網際網路)進行通訊。更具體地,P-GW 220可以與PDN 222中的伺服器224、226、228、230(例如,應用伺服器)進行通訊。伺服器224、226、228、230可以與服務提供者相關聯,該等服務提供者例如提供銷售服務、資訊服務、資料串流視訊服務和社交媒體服務的服務提供者。
圖3圖示根據本文所述態樣的示例性上行鏈路操作300。為方便,在長期進化(LTE)系統的上下文中呈現該示例性上行鏈路操作300。本實例不意欲對本文所述的任何態樣 的保護範疇施加任何限制。
圖3所表示的是設備302(例如,晶片組件、客戶端設備、使用者裝置、使用者設備、終端、行動設備)、存取節點304(例如,進化型節點B)、服務閘道(S-GW)306、封包閘道(P-GW)308和封包資料網路(PDN)310(例如,網際網路)。
現在描述圖3的示例性上行鏈路操作300。IP流314(例如,來自設備302的應用/應用服務312)應用於由訊務流範本(TFT)316所包括的封包篩檢程式(未圖示)。所圖示的IP流314的數量是示例性的,而不意欲限制。
TFT 316的封包篩檢程式將IP流過濾到承載318(例如,進化型封包系統(EPS)承載)中。為演示的目的,圖示三個承載318(例如,承載1、承載N-1和承載N)。在一個態樣中,承載可以由多個應用/應用服務所共用。每個承載可以與唯一一組參數相關聯。
IP流314可以映射到例如預設承載或者映射到一或多個專用承載。預設承載通常可以具有非保證位元速率,而專用承載通常可以具有保證或非保證位元速率。承載318可以通過存取節點304和S-GW 306。存取節點304和S-GW 306的態樣未在本文描述,且是本發明所屬領域中具有通常知識者已知的。
在一個態樣中,來自承載318的IP流314可以傳遞到決定與處理電路/功能單元/模組320。決定與處理電路/功能單元/模組320可以使得從承載318接收到的UL封包被傳遞到加 密-驗證和訊務轉向電路/功能單元/模組322或者服務資料流(SDF)範本324和包括在其中的封包篩檢程式(未圖示)。訊務轉向涵蓋了訊號傳遞相關封包及/或使用者資料訊息相關封包的轉向(例如,指引,引導)。
其中包括有網路符記的UL封包可以被傳遞到加密-驗證和訊務轉向電路/功能單元/模組322。與網路符記相關聯的一或多個策略的實施可以在網路符記成功驗證時進行。
其中沒有包括網路符記的UL封包可以經由決定與處理電路/功能單元/模組320傳遞到SDF範本324。SDF範本324的封包篩檢程式的使用可能要求比加密-驗證和訊務轉向電路/功能單元/模組322的使用更多的處理與記憶體資源。為使用SDF範本324的封包篩檢程式來執行過濾,例如,P-GW 308必須為每個SDF維護單獨的表格條目表。
因此,網路符記的使用(以及加密-驗證和訊務轉向電路/功能單元/模組322的隨之使用)節約了資源並且減少了延時。在一個態樣中,加密的網路符記(例如,軟體符記)可用於補充/增強封包檢查。該態樣的一個優點包括可伸縮性。亦即,在快速路徑(又稱快速通道)上無需保持表格條目或狀態。該態樣的另一優點包含低延時。亦即,單個加密操作(例如,諸如SHA-1、SHA-2或SHA-3之類的加密散列(其中SHA表示安全散列演算法)、或先進加密標準(AES),任一個可以執行得更快或者可以被決定為合適的)可足以用於存取控制。此外,對網路符記執行加密操作所要求的時間應當獨立於P-GW可以服務的應用服務的數量。相反,循環通過 SDF範本的封包篩檢程式所要求的時間取決於P-GW可以服務的應用服務的數量;增加應用服務的數量增加封包篩檢程式的數量。因此,對於策略實施及/或使用者平面訊息的轉向而言,加密網路符記的使用是有益的。
又一另外的優點可以包括靈活性。亦即,可以基於各種中繼資料來取得加密的網路符記。此類中繼資料不限於用TFT/SDF範本過濾的參數。另外,各種策略(例如,認證策略及/或分群組原則的授權)可以應用於網路符記。又一另外的優點可以包括對分散式拒絕服務(DDoS)攻擊的順應力。亦即,任何包括錯誤的/不適當的/不可信的加密網路符記的封包在被發送到伺服器(例如,圖1的伺服器124、126、128、130)之前將被丟棄,從而防止伺服器被群組淹沒。又一另外的優點可在於重定位性的特徵。該優點的實現可經由在第一閘道設備處定義/映射過濾規則(或規則組)到相應金鑰,以及隨後與第二閘道設備共用金鑰來理解。因此,在第一閘道與第二閘道之間的切換期間,該態樣允許經由金鑰的傳送/共用來進行SDF篩檢程式的重定位。這消除了傳送與關聯於給定SDF篩檢程式的過濾規則(或規則組)有關的所有資料的需要。因此,重定位性的優點釋放了處理資源,出於其他目的,這些釋放的處理資源可以其他方式用於傳送所有的資料。
圖4圖示根據本文所述態樣的示例性下行鏈路操作400。為方便,在長期進化(LTE)系統的上下文中呈現本實例。本實例不意欲對本文所述的任何態樣的保護範疇施加任何限制。
圖4所表示的是設備402(例如,晶片組件、客戶端設備、使用者裝置、使用者設備、終端、行動設備)、存取節點404(例如,進化型節點B)、服務閘道(S-GW)406、P-GW 408和PDN 410(例如,網際網路)。
現在描述圖4中的下行鏈路操作。下行鏈路IP流414(例如,來自常駐在PDN 410中的應用伺服器、應用、應用服務)可以應用於P-GW 408的決定與處理電路/模組/設備420。所圖示的下行鏈路IP流414的數量是示例性的,而不意欲限制。決定與處理電路/模組/設備420可以使得從下行鏈路IP流414接收到的下行鏈路封包傳遞到加密-校驗和訊務轉向電路/模組/設備422或者傳遞到服務資料流(SDF)範本424和其中的封包篩檢程式(未圖示)。
其中嵌入有DL網路符記或者以其他方式包括DL網路符記的下行鏈路封包可以被傳遞到加密-校驗和訊務轉向電路/模組/設備422。在一個態樣中,DL網路符記和應用辨識符(App ID)可以被嵌入到單個下行鏈路封包中或者以其他方式由單個下行鏈路封包所包括。App ID可以用於決定應用存取策略。可以從應用伺服器取回應用存取策略。在一些實施例中,應用伺服器可以是發起用於與設備進行通訊的請求的應用伺服器,或者應用伺服器可以是設備設法發起與其的通訊的應用伺服器;然而,第三應用伺服器亦是可接受的。在一些態樣中,可以從應用伺服器的應用功能單元(AF)取回應用存取策略。在其他態樣中,可以從和策略與收費規則功能伺服器或設備相關聯的用戶簡檔庫(SPR)取回應用存取策 略。
在一個態樣中,應用存取策略可以包括服務品質(QoF)參數,其包括例如服務優先順序、最大頻寬、保證頻寬及/或最大延遲。該資訊可以由加密-校驗和訊務轉向電路/模組/設備422或一些其他電路/模組/設備使用,以便為與DL網路符記相關聯的下行鏈路封包選擇資料流或承載。
下行鏈路IP流414中的其中沒有嵌入DL網路符記或以其他方式沒有包括網路符記的下行鏈路封包可以被決定與處理電路/模組/設備420或其他電路/模組/設備(未圖示)傳遞到SDF範本424。
封包篩檢程式(未圖示)可以包括在SDF範本424中。SDF範本424的封包篩檢程式的使用可能要求比加密-校驗與訊務轉向電路/模組/設備422的使用更多的處理與記憶體資源。為了使用SDF範本424的封包篩檢程式來執行過濾,P-GW 408可能需要維護針對每個SDF具有單獨的表格條目的表格424a。每個表格條目可能要求多個參數的標識,例如但不限於應用ID、最大位元速率(MBR)和存取點名稱-聚合最大位元速率(APN-AMBR)。
SDF範本424的封包篩檢程式起到將IP流過濾到承載418(例如,進化型封包系統(EPS)或IP-CAN承載)中的作用。為演示的目的,僅圖示三個承載418。在一個態樣中,承載可以由多個應用/應用服務所共用。每個承載可與唯一一組參數相關聯。
下行鏈路IP流414可以映射到例如預設承載或者映 射到一或多個專用承載。預設承載通常可以具有非保證位元速率,而專用承載通常可以具有保證或非保證位元速率。承載可以經由S-GW 406和存取節點404。存取節點404和S-GW 406的態樣未在此處描述,且是本發明所屬領域中具有通常知識者已知的。
資料流
在本文所述態樣中,IP流、資料流或流無需受限於如圖2的示例性圖示所呈現的承載。客戶端設備可以操作或執行一或多個應用。每個客戶端應用可以映射到操作或執行在應用伺服器上的應用服務。應用伺服器可以與一或多個應用服務相關聯。因此可以基於在設備中操作以及在應用伺服器上操作的應用來定義流。流可以定義為封包在執行在客戶端設備處的應用與執行在應用伺服器處的應用服務之間所取的路徑。儘管流可以與操作於客戶端設備上的應用相關聯,但是流不必標識客戶端設備。網路符記可以用於標識一或多個流。因此,網路符記可以與多個流相關聯。
一個流可以映射到在網路中的同一伺服器上執行的多個服務。例如,客戶端設備可以使用由伺服器上的一個提供商所提供的一個服務。伺服器通常具有一個IP位址。然而,服務可以託管伺服器上的多個應用。這多個應用可以包括例如映射應用、資訊搜尋應用和社交聯網應用。這多個應用因此具有相同的目的IP位址,因而從核心網路的閘道(例如,P-GW)的視角看,這多個應用可以視為單個流,而不是多個流。因此,單個流可以映射到多個服務。
流可以與多個服務相關聯。另外,網路符記可以與多個服務相關聯,其中多個應用服務提供者可以執行這些服務。例如,客戶端設備可以具有多個贊助商(例如,多個服務提供者)。在本文所述的態樣中,閘道設備可以取得與多個應用服務提供者相關聯的網路符記。因此,單個符記可以映射到一或多個應用服務,這一或多個應用服務又與一或多個流相關聯。
在本文提供的若干實例中,可以基於應用辨識符(App ID)來取得網路符記。然而,網路符記的取得不限於這些實例。其他參數及/或參數的組合可以用於取得網路符記。App ID可以與一或多個伺服器相關聯。例如,給定的服務提供者可以在不同的地理位置具有不同的資料中心(每個資料中心具有其自己的伺服器)。在此類情況下,App ID將與一個以上的伺服器相關聯。符記可以有益地使用App ID,而不是伺服器IP位址。閘道設備可以校驗與網路符記相關聯的封包正朝向給定服務提供者的伺服器,即使網路符記沒有規定目的伺服器的IP位址。
符記設置和使用-示例性系統級撥叫流程
本文闡述的實例可以應用於初始PDN連接請求規程(在該期間可以設置預設承載)以及專用承載設置規程(在該期間可以設置一或多個專用承載)。
圖5是根據本文所述態樣的與一或多個使用者平面訊息相結合的網路符記的取得、提供和使用的示例性撥叫流程500。如所提到的,可以在使用者平面中實現撥叫流程。圖 5包括設備502(例如,晶片組件、客戶端設備)、存取節點504(例如,eNB)、MME 506、S-GW 508、P-GW 510、策略與收費規則功能(PCRF)512設備、歸屬用戶伺服器(HSS)514和應用伺服器515的表示。
在圖5的示例性撥叫流程中,設備502可以發送518連接請求到應用伺服器516。該連接請求可以包括辨識符,例如應用辨識符(App ID)。該連接請求可以將核心網路轉換為P-GW 510。P-GW 510可以是用於策略實施的閘道。P-GW 510亦可以用於偵測對網路符記的顯式或隱式請求。
根據一個態樣,存取節點504(例如,進化型節點B)可能是不可知論者(agnostic)。亦即,存取節點504可能不知道設備已經在使用者平面中向應用伺服器516發送了連接請求,其中該連接請求顯式地包括對網路符記的請求或者表示對網路符記的隱式請求。根據此類態樣,請求以及網路符記的交換對於不可知的存取節點504而言可以是透明的。
在P-GW 510處做出關於包括從設備發送的連接請求的封包是否包括對網路符記的顯式請求或者表示對網路符記的隱式請求的決定。若該決定得出存在對網路符記的需要的結論,則P-GW 510可以執行包括以下操作的動作:獲得用於取得網路符記所需的資訊;取得網路符記;及利用包括來自設備502的連接請求的封包來嵌入/包括網路符記。如本文所使用的,術語「取得」可以意指在本端取得或者從另一設備獲得。
根據一個態樣,P-GW 510可以基於與封包相關聯的 輸入參數的散列來取得522網路符記。在此類態樣中,可能無需獲得與封包有關的額外資訊。若需要額外資訊,則P-GW 510可以從PCRF 512獲得520設備502的簡檔。PCRF 512可以從與PCRF 512耦合的訂制簡檔庫(SPR)獲得設備的訂制簡檔。其他獲得設備502的簡檔的方式可能是可接受的。
P-GW 510可以取得522網路符記。根據一個態樣,可以基於與封包相關聯的輸入參數的散列來取得網路符記。根據一個態樣,可以基於與連接請求及/或設備簡檔相關聯的資訊來取得網路符記。根據一個實例,網路符記可以取得如下:網路符記=CI|HMAC(KP-GW,CI|IPC|IPS|PC|PS|Proto|App ID|...),其中:CI是定義用於符記取得的欄位的類索引,HMAC是鍵控散列訊息認證碼,KP-GW是P-GW的金鑰,IPC是客戶端(例如,設備)IP位址,PC是客戶端埠號,IPS是伺服器(例如,目的或應用伺服器)IP位址,PS是伺服器埠號,Proto是協定號或辨識符,以及App ID是應用辨識符。額外的或可替代的參數可以包括優先順序及/或服務品質類別辨識符(QCI)。用於網路符記的取得的其他公式可能是可接受的。
P-GW 510可以利用包括連接請求的封包來嵌入/包括524網路符記。P-GW隨後可以將包括由P-GW 510取得的網路符記的連接請求發送526到應用伺服器516。該連接請求可以包括應用辨識符(App ID)。
應用伺服器516隨後可以向設備502發送528連接回 應。該連接回應可以包括網路符記。此後,設備502可以利用構造為用於向應用伺服器516進行資料傳輸的一或多個上行鏈路資料封包來包括網路符記。在一些態樣中,設備502可以利用目的地是應用伺服器516的每個上行鏈路資料封包來包括網路符記。
關於實施,設備502可以向應用伺服器516發送530上行鏈路資料封包。上行鏈路資料封包可以包括網路符記。包括網路符記在內的上行鏈路資料封包可以將核心網路轉換為P-GW 510。如所述的,P-GW 510可以是用於策略實施的閘道。
當P-GW 510接收到從設備502發送的上行鏈路資料封包時,P-GW 510可以校驗532由上行鏈路資料封包所包括的網路符記。根據一個態樣,校驗可以是經由重新取得符記(亦即,取得校驗符記或原始網路符記的複件)以及將重新取得的符記與由上行鏈路資料封包所嵌入的網路符記進行比較。若校驗成功,則P-GW 510可以丟棄嵌入的網路符記並且可以將上行鏈路資料封包發送534到應用伺服器516。若校驗不成功,則P-GW可以丟棄該上行鏈路資料封包和嵌入的網路符記。
P-GW 510已知的金鑰可以用於加密函數中,以取得原始網路符記和校驗符記(例如,原始網路符記的複件)。在一個實例中,P-GW 510可以根據從應用功能單元(AF)取回的應用存取策略來取得網路符記。在一個態樣中,存取策略可以將流與應用進行關聯。網路符記亦可以根據App ID來 取得,例如,若App ID由對網路符記的請求所包括。在一些方案中,網路符記可以包括加密資訊。可以使用在一個實例中使得P-GW 510已知的金鑰作為其輸入的加密函數來實現解密。經由舉例的方式,網路符記的成功解密可以得到一個值,該值可以與包括網路符記的UL封包相關聯地指示伺服器及/或應用服務的目的位址或目的位址首碼、及/或UL封包所源自的客戶端設備及/或存取節點的源位址。在一個態樣中,從網路符記獲得例如伺服器及/或應用服務的目的位址或目的位址首碼的能力可以意指與符記相關聯的封包被授權而發送到該目的地,且亦可以意指不需要SDF範本(及其關聯的封包篩檢程式)。因而可以避免封包檢查。
使用如本文所述的使用者平面的態樣可以同樣很好地適用於上行鏈路方向和下行鏈路方向。
圖6是圖示根據本文所述的態樣的與一或多個使用者平面訊息相結合的網路符記的取得、提供和使用的示例性撥叫流程600。如所提到的,可以在使用者平面中實現撥叫流程。圖6包括設備602(例如,晶片組件,客戶端設備)、存取節點604(例如,eNB)、MME 606、S-GW 608、P-GW 610、策略與收費規則功能(PCRF)612設備、歸屬用户伺服器(HSS)614和應用伺服器616的表示。根據示例性撥叫流程600,下行鏈路(DL)網路符記可經由P-GW 610經由設備602對使用DL網路符記的隱式或顯式請求而發佈到應用伺服器616。
在圖6的示例性撥叫流程中,設備602經由P-GW 610 發送618用於發起與應用伺服器616的應用服務的請求。該請求可以伴隨或者可以包括應用辨識符(App ID)。如本發明所屬領域中具有通常知識者將理解的,從設備602提供給應用伺服器616的請求與用於建立或重新建立設備與網路之間的連接的任何類型的連接請求不同,且不應與其混淆。在前者情況下,設備正在從應用伺服器請求服務(服務甚至可以是無連接服務),而在後者情況下,設備正在請求去往網路的連接。
在一個態樣中,用於發起應用服務的請求表示對使用下行鏈路(DL)網路符記的隱式請求。對使用下行鏈路網路符記的隱式請求可以經由經由P-GW 710將初始封包從設備702發送到應用伺服器716來辨識。在一個實例中,隱式請求可以由服務供應商的策略觸發,該服務供應商的策略要求來自應用伺服器的封包攜帶DL網路符記。此類策略的辨識可以例如經由P-GW對由服務提供的封包進行群組檢查以及決定服務需要DL網路符記實施預定義的網路策略來獲得。用於指示對使用下行鏈路網路符記的隱式請求的其他方式是可接受的。
在一個態樣中,用於發起應用服務的請求可以在從應用伺服器發送到設備的傳輸中包括對使用DL網路符記的顯式請求。在一個態樣中,顯式請求可以被包括在發送到應用伺服器716的第一封包中;然而,這不是必要條件。
DL網路符記的使用可以在應用服務初始化或應用服務修改時發生。
在一個態樣中,回應於接收到用於使用DL網路符記的顯式或隱式請求,P-GW 610可以從PCRF 612獲得620設備簡檔。P-GW 610可以使用僅作為實例的以下公式來取得622 DL網路符記:DL網路符記=KeyID|CI|策略ID|H(KP-GW,策略ID|IPS|IPC|PS|PC|Proto|App ID|...),其中:KeyID是用於符記取得的金鑰的辨識符(亦即,KP-GW),CI是定義用於符記取得的欄位或用於取得符記的輸入參數清單的類索引,策略ID是定義流處理策略的策略辨識符(例如,QoS策略,將流映射到承載,以及如本發明所屬領域中具有通常知識者所理解的流處理策略的其他態樣),H是安全散列函數(或者,可以使用散列訊息認證碼(HMAC)),KP-GW是P-GW的金鑰,IPC是客戶端(例如,設備)IP位址,PC是客戶端埠號,IPS是伺服器IP位址,PS是伺服器埠號,Proto是協定號,以及App ID是應用辨識符。包括在下行鏈路符記中的策略ID可以用於將下行鏈路封包映射到給定的承載。或者,使用KeyID用於策略ID是可能的;在該情況下在計算DL網路符記時可以不需要策略ID值。
一旦取得,DL網路符記可以被嵌入624到封包中或以其他方式由封包所包括,該封包具有用於發起應用服務的請求。
可選地,P-GW 610可以取得626連接辨識符(連接ID或Conn ID),其可以用於標識設備發起的連接。在一個態樣中,連接ID可以取得如下: 連接ID=KeyID|CI|HMAC(K’P-GW,IPS|IPC|PS|PC|Proto)。其中:K’P-GW可以是P-GW已知的、與用於取得DL網路符記的金鑰不同的金鑰。連接ID可以被儲存628在P-GW 610內的快取記憶體中。
包括由P-GW 610取得的嵌入/包括的DL網路符記的、用於發起應用服務的請求可以被發送630到應用伺服器616。用於發起應用服務的請求可以包括應用辨識符(App ID)、DL網路符記以及連接ID(如已取得)。
應用伺服器616可以經由P-GW 610將包括DL網路符記(例如,DL網路符記的副本)和連接ID(如已取得)的應用服務回應發送632到設備602。
當P-GW 610接收到其中嵌入有DL網路符記的封包時,P-GW 610可以校驗634該DL網路符記,例如,經由使用與上文結合取得原始網路符記所述的相同的公式從封包中包含的資料取得符記。亦即,P-GW 610可以利用來自從應用伺服器616接收到的封包的資料而不是利用從設備602接收到的資料來重新取得原始DL網路符記。如本發明所屬領域中具有通常知識者將理解的,並非從設備602接收到的封包中的所有資料皆將與從應用伺服器616接收到的封包中的資料相同。然而,同樣如本發明所屬領域中具有通常知識者將理解的,在一個態樣中,包括在從設備602接收到的封包以及從應用伺服器616接收到的封包二者中的公共資料可以用於重新取得原始DL網路符記(本文亦稱為校驗符記)。如上文結合原始DL 網路符記的示例性取得所描述的,此類公共資料可以包括CI、IPS、IPC、PS、PC、Proto及/或App ID。該清單意欲舉例,而非限制。
在此類態樣中,可以經由將重新取得的DL網路符記與嵌入在從應用伺服器616接收到的封包中的DL網路符記進行比較來完成校驗。
若驗證成功,則來自應用伺服器616的應用服務回應可以被發送636到設備602。在一個態樣中,P-GW 610可以利用該回應來嵌入DL網路符記,或者使DL網路符記被嵌入或以其他方式被附著。在另一態樣中,P-GW 610可以在該回應被發送636到設備602之前丟棄DL網路符記(未圖示)。若驗證不成功,則P-GW 610可以丟棄該回應(未圖示)。
此後,應用伺服器616可以將DL網路符記的副本嵌入/包括在從應用伺服器616經由P-GW 610發送到設備602的一或多個封包(其與取得DL網路符記的通訊通信期有關)中。在一些態樣中,應用伺服器616可以將DL網路符記的副本嵌入/包括在從應用伺服器616經由P-GW 610發送到設備602的每個封包(其與取得DL網路符記的通訊通信期有關)中。
圖7是圖示根據本文所述的態樣的與一或多個使用者平面訊息相結合的網路符記的取得、提供和使用的示例性撥叫流程圖700。如所提到的,可以在使用者平面中實現該撥叫流程。圖7包括設備702(例如,晶片組件,客戶端設備)、存取節點704(例如,eNB)、MME 706、S-GW 708、P-GW 710、策略與收費規則功能(PCRF)712設備、歸屬用戶伺服 器(HSS)714和應用伺服器716的表示。根據示例性撥叫流程圖700,下行鏈路(DL)網路符記可以經由P-GW 710經由對應用伺服器716提供的對使用DL網路符記的隱式或顯式請求而發佈到應用伺服器716。
在圖7的示例性撥叫流程中,應用伺服器716經由P-GW 710發送718用於發起與設備720的應用服務的請求。該請求可以伴隨或者可以包括應用辨識符(App ID)。如本發明所屬領域中具有通常知識者將理解的,從應用伺服器716提供給設備702的請求與用於建立或重新建立應用伺服器與網路之間的連接的任何類型的連接請求不同,且不應與其混淆。在前者情況下,應用伺服器正在請求將應用服務提供給設備(服務可以是無連接服務),而在後者情況下,應用伺服器正在請求去往網路的連接。
在一個態樣中,用於發起應用服務的請求表示對使用下行鏈路(DL)網路符記的隱式請求。對使用下行鏈路符記的隱式請求可以經由將初始封包從應用伺服器716經由P-GW 710發送到設備702來辨識。在一個實例中,隱式請求可以由服務供應商的策略觸發,該服務供應商的策略要求來自應用伺服器的封包攜帶DL網路符記。此類策略的辨識可以例如經由P-GW對由服務提供的封包執行封包檢查以及決定服務需要DL網路符記實施預定義的網路策略來獲得。用於指示對使用下行鏈路網路符記的隱式請求的其他方式是可接受的。
在一個態樣中,用於發起應用服務的請求可以在從 應用伺服器發送到設備的傳輸中包括對使用DL網路符記的顯式請求。在一個態樣中,顯式請求可以被包括在發送到設備702的第一封包中;然而,這不是必要條件。
DL網路符記的使用可以在應用服務初始化或者應用服務修改時發生。
在一個態樣中,回應於接收到用於使用DL網路符記的顯式或隱式請求,P-GW 710可以從PCRF 712獲得720設備簡檔。P-GW 710可以使用僅作為實例的以下公式來取得722 DL網路符記:DL網路符記=KeyID|CI|策略ID|H(KP-GW,策略ID|IPS|IPC|PS|PC|Proto|App ID|...),其中:KeyID是用於符記取得的金鑰的辨識符(亦即,KP-GW),CI是定義用於符記取得的欄位或用於取得符記的輸入參數清單的類索引,策略ID是定義流處理策略的策略辨識符(例如,QoS策略,將流映射到承載,以及如本發明所屬領域中具有通常知識者所理解的流處理策略的其他態樣),H是安全散列函數(或者,可以使用散列訊息認證碼(HMAC)),KP-GW是P-GW的金鑰,IPC是客戶端(例如,設備)IP位址,PC是客戶端埠號,IPS是伺服器IP位址,PS是伺服器埠號,Proto是協定號,以及App ID是應用辨識符。包括在下行鏈路符記中的策略ID可以用於將下行鏈路封包映射到給定的承載。或者,使用KeyID用於策略ID是可能的;在該情況下在計算DL網路符記時可以不需要策略ID值。
一旦取得,DL網路符記可以被嵌入724到封包中或 以其他方式由封包所包括,該封包具有用於發起應用服務的請求。
可選地,P-GW 710可以取得726連接辨識符(連接ID或Conn ID),其可以用於標識伺服器發起的連接。在一個態樣中,連接ID可以取得如下:連接ID=KeyID|CI|HMAC(K’P-GW,IPS|IPC|PS|PC|Proto)其中:K’P-GW可以是P-GW已知的、與用於取得DL網路符記的金鑰不同的金鑰。連接ID可以被儲存728在P-GW 710內的快取記憶體中。
包括由P-GW 710取得的嵌入/包括的DL網路符記、用於發起應用服務的請求可以被發送720到設備702。用於發起應用服務的請求可以包括應用辨識符(App ID)、DL網路符記以及連接ID(如已取得)。
當設備702接收到包括嵌入的DL網路符記的用於發起應用服務的請求時,設備702可以校驗732該請求。可選地,設備702可以發佈733另一符記用於認證。
設備702可以經由經由P-GW 710將包括DL網路符記的應用服務回應發送734到應用伺服器716來將DL網路符記准予給應用伺服器716。設備702可以在應用服務回應中嵌入或以其他方式包括DL網路符記。若連接ID被發送到設備702,則設備702亦可以將連接ID嵌入或以其他方式包括在應用服務回應中。
若連接ID被取得726且被儲存728,則當P-GW 710從設備702接收到其中嵌入有或以其他方式附著有連接ID和DL 網路符記的封包時,P-GW 710可以校驗736連接ID。在一個態樣中,因為DL網路符記用於校驗和沿下行鏈路方向的封包映射,所以P-GW 710此時可以不校驗DL網路符記;然而,如所述的,P-GW 710可以校驗736連接ID。
可以例如經由使用與上文結合取得原始連接ID所述的相同的公式來從封包中包含的資料重新取得原始連接ID來完成對連接ID的校驗。亦即,P-GW 710可以利用來自從設備702接收到的封包的資料而不是利用從應用伺服器716接收到的資料來重新取得原始連接ID。如本發明所屬領域中具有通常知識者將理解的,並非從設備702接收到的封包中的所有資料皆將與從應用伺服器716接收到的封包中的資料相同。然而,同樣如本發明所屬領域中具有通常知識者將理解的,在一個態樣中,僅包括在從設備702接收到的封包以及從應用伺服器716接收到的封包二者中的公共資料才會用於重新取得原始連接ID(本文亦稱為第二連接ID或校驗連接ID)。如上文結合原始連接ID的示例性取得所描述的,此類公共資料可以包括CI、IPC、IPS、PC、PS及/或Proto。該清單是示例性的,而非限制。在此類態樣中,可以經由將重新取得的連接ID與嵌入在從設備702接收到的封包中的連接ID進行比較來完成校驗。
若校驗成功,或者若校驗連接ID的可選步驟未執行,則來自設備702的應用服務回應可以被發送738到應用伺服器716。在一個態樣中,P-GW 710可以利用應用服務回應來嵌入DL網路符記,使DL網路符記被嵌入,或者以其他方式被附 著。以這種方式,應用伺服器716提供有DL網路符記。若連接ID的可選驗證不成功,則P-GW 710可以丟棄應用服務回應(未圖示)。
此後,應用伺服器716可以將DL網路符記的副本嵌入到從應用伺服器716經由P-GW 710發送740到設備702的每個封包中(其與取得DL網路符記的通訊通信期有關)。P-GW 710可以使用DL網路符記來校驗742資料封包。若校驗成功,則P-GW 710可以將該資料封包發送744到設備702。若校驗不成功,則P-GW 710可以丟棄(未圖示)該資料封包。
圖8是圖示根據本文所述的態樣的與一或多個使用者平面訊息相結合的兩個網路符記(例如,上行鏈路網路符記和下行鏈路網路符記)的取得、提供和使用的示例性撥叫流程800。可以在使用者平面中實現圖8的撥叫流程800。以下解釋與上行鏈路符記和下行鏈路符記二者的取得、提供和實施有關。
圖8包括設備802(例如,晶片組件,客戶端設備)、存取節點804(例如,eNB)、MME 806、S-GW 808、P-GW 810、策略與收費規則功能(PCRF)812設備、歸屬用戶伺服器(HSS)814和應用伺服器816的表示。
在圖8的示例性撥叫流程中,設備802可以向應用伺服器816發送818連接請求。該連接請求可以包括辨識符,例如應用辨識符(App ID)。該連接請求可以將核心網路轉換為P-GW 810。P-GW 810可以是用於策略實施的閘道。P-GW 810亦可以用於偵測對網路符記的顯式或隱式請求。
根據一個態樣,存取節點804(例如,進化型節點B)可能是不可知論者。亦即,存取節點804可能不知道設備已經在使用者平面中向應用伺服器816發送了連接請求,其中該連接請求顯式地包括對網路符記的請求或者表示對網路符記的隱式請求。根據此類態樣,請求以及網路符記的交換對於不可知的存取節點804而言可以是透明的。
可以在P-GW 810處做出關於包括從設備發送的連接請求的封包是否包括對網路符記的顯式請求或者表示對網路符記的隱式請求的決定。若該決定得出存在對網路符記的需要的結論,則P-GW 810可以執行包括以下操作的動作:獲得用於取得UL網路符記和DL網路符記所需的資訊;取得UL網路符記和DL網路符記;及利用包括來自設備820的連接請求的封包來嵌入/包括UL網路符記和DL網路符記。如本文所使用的,術語「取得」可以意指在本端取得或者從另一設備獲得。
根據一個態樣,P-GW 810可以基於與封包相關聯的輸入參數的散列來取得822 UL網路符記。在此類態樣中,可能無需獲得與封包有關的額外資訊。根據一個態樣,若需要額外資訊,則P-GW 810可以從PCRF 812獲得820設備802的簡檔。PCRF 812可以從與PCRF 812耦合的訂制簡檔庫(SPR)獲得設備的訂制簡檔。其他獲得設備802的簡檔的方式可能是可接受的。以類似的方式,P-GW 810可以取得823 DL網路符記。
P-GW 810可以利用包括該連接請求的封包來嵌入/ 包括824 UL網路符記和DL網路符記。P-GW 810隨後可以將包括由P-GW 810取得的UL網路符記和DL網路符記的連接請求發送826到應用伺服器816。該連接請求可以包括應用辨識符(App ID)。
應用伺服器816隨後可以經由P-GW 810向設備802發送828連接回應。該連接回應可以包括UL網路符記,並且亦可以包括DL網路符記。若DL網路符記由連接回應所包括,則P-GW 810可以校驗830由連接回應所包括的DL網路符記。根據一個態樣,可以經由取得原始DL網路符記的複件(亦即,取得DL校驗符記)以及將重新取得的原始DL符記與嵌入/包括在連接回應中的DL網路符記進行比較來進行校驗。若校驗成功,則P-GW 810可以丟棄DL網路符記並且將連接回應連同UL網路符記一起發送832到設備802。若校驗不成功,則P-GW 810可以丟棄連接請求和嵌入/包括的DL網路符記和UL網路符記。此後,設備802可以利用構造為用於向應用伺服器816進行資料傳輸的一或多個上行鏈路資料封包來包括834 UL網路符記。在一些態樣中,設備802可以利用目的地是應用伺服器816的每個上行鏈路資料封包來包括834網路符記。
應用伺服器816可以保留DL網路符記(例如,DL網路符記的副本)。此後,應用伺服器816可以將DL網路符記連同構造為用於向設備802進行資料傳輸的一或多個下行鏈路資料封包進行發送840。在一些態樣中,應用伺服器816可以利用目的地是設備802的每個下行鏈路資料封包來包括DL網路符記。
關於上行鏈路方向上的實施,設備802可以經由P-GW 810向應用伺服器816發送834上行鏈路資料封包。上行鏈路資料封包可以包括UL網路符記。包括UL網路符記的上行鏈路資料封包可以將核心網路轉換為P-GW 810。如所述的,P-GW 810可以是用於策略實施的閘道。
當P-GW 810接收到從設備802發送的UL資料封包時,P-GW 810可以校驗836由上行鏈路資料封包所包括的UL網路符記。根據一個態樣,可以經由重新取得符記(亦即,取得UL校驗網路符記)以及將重新取得的符記與由上行鏈路資料封包所嵌入的網路符記進行比較來進行校驗。若校驗成功,則P-GW 810可以丟棄嵌入的網路符記並且可以將上行鏈路資料封包發送838到應用伺服器816。若校驗不成功,則P-GW可以丟棄上行鏈路資料封包和嵌入的UL網路符記。
關於下行鏈路方向上的實施,應用伺服器816可以經由P-GW 810向設備802發送840下行鏈路資料封包。下行鏈路資料封包可以包括設備ID,以指示封包所指向的設備。下行鏈路資料封包可以包括DL網路符記。DL網路符記可能已經由P-GW 810回應於對使用接收到的下行鏈路符記的請求而從設備802顯式地或隱式地取得。P-GW 810可能已經在使用者平面中將DL網路符記提供給應用伺服器816。P-GW 810可以校驗842由下行鏈路資料封包所包括的DL網路符記。根據一個態樣,可以經由取得原始DL網路符記的複件(亦即,取得DL校驗符記)以及將重新取得的原始DL符記與由下行鏈路資料封包所嵌入的DL網路符記進行比較來進行校驗。若校驗成功, P-GW 810可以丟棄嵌入的DL網路符記並且將下行鏈路資料封包發送844到設備802。若校驗不成功,則P-GW可以丟棄下行鏈路資料封包和嵌入的DL網路符記。
在這個態樣中,P-GW 810可以能夠高效地沿下行鏈路方向以及沿上行鏈路方向指引IP流。因為P-GW 810取得原始DL網路符記,所以P-GW 810可以能夠驗證利用來自應用伺服器816的封包而接收到的DL網路符記。這對於使用TFT/SDF的下行鏈路封包檢查而言是有用的且高效的替代方案。
例如,P-GW 810已知的金鑰可以用於加密函數,以取得原始DL網路符記和校驗DL網路符記。在一個實例中,P-GW 810可以根據從應用功能單元(AF)取回的應用存取策略來取得網路符記。在一個態樣中,存取策略可以將流與應用進行關聯。網路符記亦可以根據App ID或設備ID來取得。在一些態樣中,DL網路符記可以包括加密資訊。可以使用在一個實例中使得P-GW 810已知的金鑰作為其輸入的加密函數來實現解密。經由舉例的方式,DL網路符記的成功解密可以得到一個值,該值可以與包括DL網路符記的DL封包相關聯地指示作為DL封包的目的地的設備及/或存取節點的目的位址或目的位址首碼。在一個態樣中,從DL網路符記獲得例如設備位址的能力可以意指與DL網路符記相關聯的封包被授權而發送到該目的地,且亦可以意指不需要封包檢查。因而可避免封包檢查。
網路符記,即DL網路符記和UL網路符記二者,可以僅在某些條件下是有效的。例如,在一些態樣中,網路符記 可以週期性地變化。在另一態樣中,基於自取得網路符記起的預定時間,網路符記可能遭受到期。網路符記可能在預定時間到期時而不再有效。在一些態樣中,基於對用於取得網路符記的金鑰(KP-GW)施加的限制,網路符記可能遭受到期。例如,用於取得網路符記的金鑰可以由新的金鑰(K’’P-GW)來替代。現有金鑰(例如,K’P-GW)用新的且不同的金鑰(例如,K’’P-GW)的替代可由於例如現有金鑰、金鑰辨識符的預定時間的到期或某種其他事件而引起。當現有的網路符記被決定為不再有效時,或者不再期望用作網路符記時,P-GW可以取得新的網路符記以替代當前使用的網路符記。
取得新的網路符記的決定可以依賴於例如P-GW。然而,決定可以由其他實體來做出。例如,在一個態樣中,設備可以決定需要新的網路符記。在另一態樣中,應用伺服器可以決定需要新的網路符記。在一些態樣中,與發起網路符記的使用的實體不同的實體可以發起新的網路符記的使用,即使當前使用的網路符記有效。在任何態樣中,如本文所述的,新的網路符記設置可以先進行。本發明所屬領域中具有通常知識者將理解,可以要求(用於取得網路符記的多個參數當中的)至少一個參數被改變,以免新的網路符記與現有的網路符記相同。
在一個態樣中,取得網路符記可以包括校驗應用辨識符(App ID)和與設備相關聯的應用存取策略。App ID可以被包括在先前接收到的封包中,其中該先前接收到的封包用於取得網路符記。App ID可以用於決定應用存取策略。應 用存取策略可以從應用伺服器取回。在一個態樣中,應用存取策略可從應用伺服器的應用功能單元(AF)取回。在另一態樣中,應用存取策略可從應用伺服器中的用戶簡檔庫(SPR)中取回。在一個態樣中,應用存取策略可以包括服務品質(QoS)參數,其包括服務優先順序、最大頻寬、保證頻寬及/或最大延遲。
符記使用/實施-示例性系統級協定堆疊
現在呈現與上述網路符記結合的使用和實施的態樣。
可以參考網路符記在客戶端設備、存取節點、閘道設備和應用伺服器的使用者平面協定堆疊當中的移動來描述網路符記的使用。此處圖示的是圖示使用者平面協定堆疊的示例性集合的兩個圖。每個圖與協定堆疊當中的網路符記移動的其描述中的下一圖不同。在協定堆疊中表示的許多層以及層當中的互連是公知的。將參考圖5的圖示來簡要描述這些層。對於每個示例性圖將不再重複它們的描述,以避免重複以及改進本案的簡潔性。這些圖中的一個圖包括墊層,其可以被視為與其中圖示的相應態樣相結合的用於網路符記移動的層。
圖9是根據本文所述的一個態樣的系統的使用者平面協定堆疊900的示例性圖示。圖9圖示了客戶端設備902、存取節點904、閘道設備906和應用伺服器908。在圖9的示例性圖示中,客戶端設備902的協定堆疊從最低層向上可以包括:實體(PHY)層910、媒體存取控制(MAC)層912、無線電 鏈路控制(RLC)層914、封包資料彙聚協定(PDCP)層916和網際網路協定(IP)層918。在一個態樣中,可以在網際網路協定(IP)版本6(IPv6)中定義的IP擴展標頭中攜帶網路符記。
在一個態樣中,墊層920可以被添加到客戶端設備902的使用者平面協定堆疊中,並且相應的墊層922可以被添加到閘道設備906的協定堆疊中。根據本文所述的態樣,墊層920和相應的墊層922有助於網路符記從客戶端設備902到閘道設備906的移動。在一個態樣中,墊層920位於客戶端設備902的IP層918的下方和MAC層912的上方。在這個態樣中,相應的墊層922位於閘道設備906的IP層924的下方和用於使用者平面的通用封包式無線電服務(GPRS)隧道協定(GTP)層(GTP-U)的上方。如本發明所屬領域中具有通常知識者公知的,GPT-U提供了用於在GPRS骨幹網路中攜帶使用者資料封包的服務。
圖9所示的態樣可以有助於網路符記960從客戶端設備902到閘道設備906的移動,而無需存取節點904進行任何處理。替代方法是可接受的。經由舉例的方式,如上文所描述的,客戶端設備902可以經由使用者平面訊息傳遞從應用伺服器908接收網路符記960。根據網路符記的使用的一個態樣,客戶端設備902可以在目的地是應用伺服器908的封包中包括網路符記。如圖9所示的,可以在去往閘道設備906的墊層920的墊層標頭中攜帶網路符記960。可以在與IP標頭分離的墊層標頭中攜帶網路符記960。
若在閘道設備906處校驗網路符記成功,則閘道設備906可以在丟棄網路符記之後將封包轉發給應用伺服器908。若網路符記960在閘道設備906處的校驗不成功,則閘道設備906可以丟棄封包和網路符記。根據示出的態樣,在應用伺服器908處無需任何改變來支援基於網路符記的應用存取。
為了描述完整,現在將簡要描述存取節點904、閘道設備906和應用伺服器908的使用者平面協定堆疊的層。在圖9的示例性圖示中,存取節點904的協定堆疊可以從最低層向上包括實體(PHY)層930、媒體存取控制(MAC)層932、無線電鏈路控制(RLC)層934和封包資料彙聚協定(PDCP)層936,它們分別與客戶端設備902的類似命名的層(910、912、914和916)聯合。在圖9的示例性圖示中,存取節點904的協定堆疊可以另外地從最低層向上包括:乙太網路層940、MAC層942、IP層944、使用者資料包通訊協定(UDP)層946和GTP-U層948。這些各自的層與閘道設備906的類似命名的層(1250、952、954、956和926)聯合。在圖9的示例性圖示中,客戶端設備IP層918聯合閘道設備906的IP層924,而閘道設備906的IP層924聯合應用伺服器908的IP層958。
圖10是根據本文所述的另一態樣的系統的使用者平面協定堆疊1000的示例性圖示。圖10圖示了客戶端設備1002、存取節點1004、閘道設備1006和應用伺服器1008。
圖10示出的態樣可以有助於網路符記1060從客戶端設備1002經由存取節點1004移動到閘道設備1006。在這個態樣中,不需要墊層。經由舉例的方式,如上文所描述的,客 戶端設備1002可以從應用伺服器1008經由使用者平面訊息傳遞來接收網路符記1060。根據網路符記的使用的一個態樣,客戶端設備1002可以在目的地是應用伺服器1008的封包中包括網路符記1060。可以在從使用者客戶端設備1002到存取節點1004的PDCP層1036的PDCP層1016標頭中攜帶包括網路符記1060的封包。存取節點1004可以將PDCP標頭中發現的網路符記複製到GTP-U標頭中。隨後可以在從存取節點1004到閘道設備1006的GTP-U層1026的GTP-U層1048中攜帶包括網路符記1060的封包。亦即,在一個態樣中,可以在通用封包式無線電服務(GPRS)隧道協定(GTP)標頭中攜帶網路符記。在一個示例性態樣中,最初從應用伺服器1008發送到客戶端設備1002的網路符記可能已經使用閘道設備已知的金鑰在閘道設備1006處進行建立。在此類態樣中,存取節點1004將不能校驗網路符記(因為其不具備校驗所需的金鑰)。因此,圖10所示的存取節點1004的示例性用途是將網路符記從一個標頭複製到另一標頭,從而經由已經存在的PDCP層1036標頭和GTP-U層1048標頭將網路符記從客戶端設備1002轉發到閘道設備1006。一旦網路符記到達閘道設備,若網路符記在閘道設備1006處的校驗成功,則閘道設備1006可以在丟棄網路符記之後將封包轉發給應用伺服器1008。若網路符記1060在閘道設備1006處的校驗不成功,則閘道設備1006可以丟棄封包和網路符記。根據示出的態樣,在應用伺服器1008處不需要進行改變來支援基於符記的應用存取。
在圖10中沒有描述的客戶端設備1002、存取節點 1004、閘道設備1006和應用伺服器1008的使用者平面協定堆疊的層將不再描述,這是因為它們的描述與圖9中的類似命名的層的描述相同或相似。
圖11是根據本文所述的另一態樣的系統的使用者平面協定堆疊1100的示例性圖示。圖11的使用者平面協定堆疊1100利用IP標頭來進行符記嵌入和傳輸。圖11圖示了客戶端設備1102、存取節點1104、閘道設備1106和應用伺服器1108。在圖11的示例性圖示中,客戶端設備1102的協定堆疊可以從最低層向上包括實體(PHY)層1110、媒體存取控制(MAC)層1112、無線電鏈路控制(RLC)層1114、封包資料彙聚協定(PDCP)層1116和網際網路協定(IP)層1118。
在一個態樣中,IP層1118的標頭可以助於根據本文描述的態樣的網路符記在客戶端設備1102、閘道設備1106和應用伺服器1108之間的移動。IPv4和IPv6二者均可以採用本文所描述的態樣。
圖11所示的態樣可以有助於下行鏈路網路符記1160在閘道設備1106與客戶端設備1102之間的移動,而無需存取節點1104進行任何處理。經由舉例的方式,在實施操作期間,客戶端設備1102可以在一或多個使用者平面訊息中從應用伺服器1108經由網路設備1106接收下行鏈路網路符記1160。根據下行鏈路網路符記的使用的一個態樣,應用伺服器1108可以在目的地為客戶端設備1102的封包中包括給定下行鏈路網路符記的副本。如圖11所示的,IP層1118、1124、1158中的IP標頭可以將(例如,嵌入在下行鏈路封包中的)下行鏈 路網路符記1160攜帶到閘道設備1106。若在閘道設備1106處下行鏈路網路符記的校驗成功,則閘道設備1106可以將封包轉發給客戶端設備1102。在將包括經校驗的下行鏈路網路符記的封包進行轉發之前,閘道設備1106可以或者可以不丟棄網路符記。若在閘道設備1106處下行鏈路網路符記1160的校驗不成功,則閘道設備1106可以丟棄封包和網路符記。根據示出的態樣,無需在應用伺服器1108處做出改變來支援基於DL符記的策略實施協定。
關於包括DL符記的封包的遞送,在一個態樣中,DL符記可以被嵌入到IP標頭中,例如IP版本4(IPv4)標頭或IP版本6(IPv6)標頭。IPv4中的IP標頭可以是IPv4選項欄位。關於IP選項欄位,為了使用示例性IPv4選項欄位,可能需要在網際網路工程任務組(IETF)中定義新的選項號。IPv6中的IP標頭可以是IP擴展標頭。關於IP擴展標頭,為使用示例性IPv6擴展標頭,需要在網際網路工程任務組(IETE)中定義諸如下一標頭代碼之類的代碼。在一個態樣中,DL符記可以被嵌入到傳輸控制協定(TCP)標頭中。DL符記可以被嵌入到TCP標頭的選項欄位中。在一個態樣中,DL符記可以被嵌入到傳輸層安全(TLS)記錄標頭中。關於TLS記錄,針對示例性TLS記錄協定,可能需要在網際網路工程任務組(IETE)中定義新的記錄類型。在一個態樣中,DL符記可以被嵌入到IP標頭與傳輸控制協定/使用者資料包通訊協定(TCP/UDP)標頭之間的墊層標頭中。在又一態樣中,DL符記可以被嵌入到超本文傳輸協定(HTTP)標頭中。HTTP標頭可以是HTTP試驗( eXperimental)或擴展(eXtension)標頭。HTTP試驗或擴展標頭可以利用X標籤用於不安全的HTTP連接。
結合圖11所描述的客戶端設備1102、存取節點1104、閘道設備1106和應用伺服器1108的協定堆疊的層將不再描述,這是因為它們的描述與圖9中的那些類似命名的層相同或相似。
圖12是根據本文所述態樣的系統的使用者平面協定堆疊1200的示例性圖示。在圖12的使用者平面協定堆疊1200中,添加了墊層1220、1222、1223用於網路符記傳輸。圖12圖示了客戶端設備1202、存取節點1204、閘道設備1206和應用伺服器1208。
圖12所示的態樣可以有助於下行鏈路網路符記1260從應用伺服器1208經由閘道設備1206朝向客戶端設備1202的移動。在一些態樣中,下行鏈路網路符記可以從應用伺服器1208傳輸到閘道設備1206,但是不傳輸到客戶端設備1202。經由舉例的方式,應用伺服器1208可以經由使用者平面訊息傳遞從閘道設備1206接收下行鏈路網路符記1260。
在圖12的示例性圖示中,客戶端設備1202的協定堆疊可以從最低層向上包括實體(PHY)層1210、媒體存取控制(MAC)層1212、無線電鏈路控制(RLC)層1214、封包資料彙聚協定(PDCP)層1216、網際網路協定(IP)層1218和墊層1220。
在一個態樣中,墊層1220可以被添加到客戶端設備1202的協定堆疊中,相應的墊層1222可以被添加到閘道設備 1206的協定堆疊中,又一另外的相應的墊層1223可以被添加到應用伺服器1208的協定堆疊中。墊層1220、相應的墊層1222和相應的墊層1223可以助於根據本文所述的態樣的網路符記在客戶端設備1202、閘道設備1206和應用伺服器1208之間的移動。在一個態樣中,墊層1220位於客戶端設備1202的IP層1218的上方。在這個態樣中,相應的墊層1222位於閘道設備1206的IP層1224的上方,且相應的墊層1223位於應用伺服器1208的IP層1258的上方。
圖12所示的方案可以助於下行鏈路網路符記1260在應用伺服器1208與閘道設備1206之間的移動。若需要將下行鏈路網路符記傳輸到客戶端設備1202,則圖12所示的態樣提供此類傳輸,而無需存取節點1204進行任何處理。
經由舉例的方式,在實施操作期間,閘道設備1206可以在一或多個使用者平面訊息中從應用伺服器1208接收下行鏈路網路符記。墊層可以將下行鏈路網路符記1260攜帶到閘道設備1206。
若在閘道設備1206處校驗下行鏈路網路符記1260成功,則閘道設備1206可以將與下行鏈路網路符記1260相關聯的封包轉發給客戶端設備1202。閘道設備可以在將封包轉發給客戶端設備1202之前丟棄下行鏈路網路符記1260。若在閘道設備1206處校驗下行鏈路網路符記1260不成功,則閘道設備1206可以丟棄封包和下行鏈路網路符記1260。
結合圖12沒有描述的客戶端設備1202、存取節點1204、閘道設備1206和應用伺服器1208的使用者平面協定堆 疊的層將不再描述,這是因為它們的描述與圖9中那些類似命名的層相同或相似。
示例性設備
圖13是圖示根據本文所述態樣的被配置為使用網路符記來支援網路策略實施及/或封包轉向的示例性設備1300的方塊圖。如本文所使用的,術語「設備」可以描述晶片組件及/或終端使用者設備,例如客戶端設備(例如,行動設備、使用者裝置、使用者設備)。在一個實例中,設備1300可以包括網路通訊介面電路1302、處理電路1304和存放裝置1306,其中該網路通訊介面電路1302用於經由無線網進行通訊,該處理電路1304耦合到該網路通訊介面電路1302,以及該存放裝置1306耦合到處理電路1304。該清單是非限制性的。
用於經由無線網進行通訊的網路通訊介面電路1302可以包括用於與使用者進行輸入/輸出操作的第一輸入/輸出模組/電路/功能單元1308。網路通訊介面電路1302可以包括用於與存取節點進行無線通訊的接收器/發射器模組/電路/功能單元1310。該清單是非限制性的。
處理電路1304可以包括或實現一或多個處理器、專用處理器、硬體及/或軟體模組等,它們被配置為支援基於符記的應用存取。例如,網路符記處置模組/電路/功能單元1312可以被配置為基於可以儲存在存放裝置1306中的未共用金鑰或共用金鑰來取得符記。經由舉另一實例的方式,網路符記提取/嵌入模組/電路/功能單元1314可以被配置為從來自設備的上行鏈路封包中提取網路符記及/或在發送到閘道設備的下 行鏈路封包中嵌入(包括)網路符記。經由舉又一實例的方式,加密驗證/校驗模組/電路/功能單元1316可以被配置為驗證/校驗利用例如封包接收到的網路符記。該清單是非限制性的。
存放裝置1306可以被配置為包括網路符記處置指令1320、網路符記提取/嵌入指令1322、加密驗證/校驗指令1324以及共用的和非共用的金鑰儲存與指令1326。該清單是非限制性的。
網路通訊介面電路1302、處理電路1304、存放裝置1306和設備1300的其他元件(未圖示)之間的通訊可以經由通訊匯流排1334。
可在設備處操作的方法
圖14是示例性方法1400,經由該方法,設備(例如,晶片組件,客戶端設備)可以發起用於與關聯於一或多個應用服務的應用伺服器進行通訊的請求,以及結合該通訊使用網路符記。網路符記可以用於網路策略實施和資料封包轉向(例如,對使用者資料訊息相關的封包進行轉向)。網路符記可以用於驗證和映射應用伺服器與設備之間的應用服務傳輸。方法1400可以在設備處操作。方法1400可以應用於設備發起對使用網路符記的請求的情況。網路符記可以是上行鏈路(UL)網路符記、下行鏈路(DL)網路符記,或者UL網路符記和DL網路符記二者。
在一個態樣中,設備可以使用使用者平面訊息傳遞來發起1402與應用伺服器的連接,該應用伺服器與一或多個 應用服務相關聯。
回應於發起連接,設備可以從應用伺服器獲得1404網路符記。網路符記可以與一或多個流的集合中的第一流相關聯。網路符記可以與一或多個應用服務中的第一應用服務相關聯。網路符記可以經由一或多個使用者平面訊息來提供給設備。
在接收到網路符記之後,設備可以利用隨後在使用者平面中從設備發送到應用伺服器的一或多個上行鏈路(UL)封包來包括1406網路符記。根據一些態樣,設備可以利用隨後在使用者平面中從設備發送到應用伺服器的每個上行鏈路(UL)封包來包括網路符記。
可以經由核心網路的閘道設備(例如,P-GW)來取得網路符記。亦即,根據一些態樣,應用伺服器向設備提供網路符記;然而,應用伺服器不取得網路符記。根據本文所述的態樣,網路符記可以經由閘道設備取得並被發送到應用伺服器。這可以允許在使用者平面中將網路符記從應用伺服器遞送到設備。網路符記可以被嵌入或以其他方式包括在封包中。在一些態樣中,網路符記可以分佈在一或多個封包當中。
根據一些態樣,網路符記反映了核心網路針對設備實施的策略。根據一些態樣,核心網路中的閘道設備可以基於由核心網路維護的設備的設備訂制簡檔及/或第一應用服務的策略來取得網路符記。
設備訂制簡檔可以被儲存在訂制簡檔庫(SPR)中 。PCRF可以與SPR通訊。換言之,PCRF可以從SPR請求使用者及/或設備的訂制簡檔。網路符記可以反映核心網路針對訂制簡檔所實施的策略。例如,策略可以包括用於語音訊務或即時媒體訊務的具體QoS要求。
根據本文描述的各個態樣,發起連接可以包括發送連接請求,並且該連接請求可以包括對網路符記的顯式請求。根據其他態樣,發起連接可以包括發送用於表示對網路符記的隱式請求的封包。
為確保回應於對網路符記的顯式的或隱式的請求而接收到網路符記,發起連接的程序可以包括發送用於要求從應用伺服器得到確認的封包,其中該確認將網路符記傳輸到設備。因此,根據一個態樣,網路符記可以包括在由設備接收到的確認封包中。例如,封包可以是傳輸控制協定同步(TCP SYN)封包。根據這個態樣,由設備接收到的網路符記可以被包括在由設備接收到的TCP SYN確認(ACK)封包中。
可以經由若干方式來辨識對網路符記的隱式請求。根據一個態樣,可以經由例如辨識服務供應商的策略來辨識隱式請求,該服務供應商的策略要求來自給定應用伺服器的封包攜帶網路符記(例如,DL網路符記)。根據一個態樣,當設備第一次設法與應用伺服器進行連接時,可以辨識出該隱式請求。在此類態樣中,P-GW可以決定當其偵測到從設備(例如,晶片組件,客戶端設備)指向應用伺服器的第一封包時做出了隱式請求。根據另一態樣,隱式請求可以包含在 封包的傳輸中,該封包包括要求網路符記的應用伺服器的目的位址或目的位址首碼(其中P-GW辨識出目的應用伺服器需要使用網路符記)。經由舉又一實例的方式,對第一網路符記的隱式請求可以基於由從設備發送的封包所包括的應用辨識符(App ID)來建立(其中P-GW辨識出應用服務、應用伺服器或與應用辨識符相關聯的應用要求使用網路符記)。在一些態樣中,可以不要求新的訊號傳遞(例如,在控制平面中)來實現網路符記的顯式及/或隱式使用。
一旦設備接收到網路符記,可以存在與上行鏈路資料封包相關聯地將網路符記傳輸到P-GW用於實施目的的若干方式。根據一個態樣,可以在使用者平面墊層標頭中將網路符記從設備傳輸到封包資料網路(PDN)閘道(P-GW)。使用者平面墊層標頭可以位於網際網路協定(IP)層的上方。或者,使用者平面墊層標頭可位於網際網路協定(IP)層的下方。根據另一態樣,可以在如IP版本6(IPv6)中定義的網際網路協定(IP)擴展標頭中將網路符記從設備傳輸到封包資料網路(PDN)閘道(P-GW)。根據另一態樣,可以在封包資料彙聚協定(PDCP)層中將網路符記從設備發送到存取節點。網路符記隨後可以在存取節點中被複製到用於使用者平面的通用封包式無線電服務(GPRS)隧道協定(GTP)層(GTP-U)標頭。隨後可以在GTP-U層中將網路符記從存取節點傳輸到封包資料網路(PDN)閘道(P-GW)。
在一個態樣中,網路符記可以與承載及/或資料流相關聯。網路符記可以拘束到應用伺服器、應用服務及/或設備 。在一個態樣中,用於發起應用服務的請求可以包括應用辨識符(App ID),以標識作為該請求的目的地的應用伺服器或應用服務。在此類態樣中,或者在任何其他態樣中,網路符記可以拘束到應用伺服器、App ID和設備。如本文所使用的,術語「拘束」(如「符記被‘拘束’到參數」)表明,可以使用包括但不限於命名的拘束參數的函數來取得符記(亦即,DL符記)。將理解的是,該函數不限於命名的參數。經由舉例的方式,DL符記可以拘束到應用伺服器和設備(亦即,符記特定於所標識的應用伺服器和所標識的設備);然而,用於取得DL符記的等式可以包括除了那些具體地標識應用伺服器及/或設備的參數之外的參數。將理解的是,此處引述的參數,結合用於取得網路符記的等式的實例,不意欲窮盡或限制。
可以使用具有一組輸入參數的函數來取得DL符記,該等輸入參數可以包括例如金鑰、策略辨識符、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、App ID、優先順序及/或服務品質類別辨識符(QCI)。在一個實例中,DL符記可以包括剛剛列出的參數及/或其他參數中的一些參數的函數和串聯的結果,這些參數例如標識用於DL符記取得的金鑰的金鑰辨識符(KeyID)。DL符記可以包括定義用於符記取得的欄位或用於取得符記的輸入參數清單的類索引(CI)。在一些態樣中,金鑰(例如KP-GW,圖4和圖5)可能僅為閘道設備所知。
在一個態樣中,金鑰辨識符可以定義用於符記取得 的金鑰。金鑰辨識符可以週期性地或者根據來自P-GW的指令而更改。僅僅閘道設備可以知道該金鑰。在一些態樣中,P-GW可以具有用於符記取得的多個金鑰。若P-GW更改了符記取得金鑰,則兩個金鑰可以同時有效。因此,金鑰辨識符可以用於避免在此類場景下立即撤回符記。
類索引(CI)可以定義用於符記取得的欄位或者定義用於取得符記的輸入參數清單。
在一個態樣中,DL符記可以是金鑰辨識符、類索引(CI)、策略辨識符以及與DL符記的取得相結合使用的函數的輸出的串聯。在一些態樣中,該函數可以是安全散列函數,例如諸如SHA-1、SHA-2或SHA-3之類的安全散列演算法(SHA)。在其他實施例中,該函數可以是散列訊息認證碼(HMAC)函數。在另外的實施例中,該函數可以是訊息認證碼(MAC)取得函數。MAC取得函數可以包括密碼塊鏈訊息認證碼(CBC-MAC)函數、基於密碼的MAC(CMAC)函數、或伽羅瓦(Galois)訊息認證碼(GMAC)函數。
P-GW亦可以取得連接辨識符,該連接辨識符可以被P-GW用於標識發起對DL符記的顯式或隱式請求的設備或應用伺服器。可以在DL符記取得之前、期間或之後取得該連接ID。該連接ID可以由P-GW保留且可僅用於P-GW。該連接ID可以被儲存在P-GW的臨時存放裝置(例如,快取記憶體428,圖4)中。快取記憶體可以是合適的儲存位置,這是因為連接ID僅可在應用伺服器或設備正在與給定交換相結合地交換封包時的期間才是可用的。一旦應用伺服器與設備之間的服 務終止,或者在預定量的時間或一些其他觸發事件之後,就可以將該連接ID從P-GW中的存放裝置移走(例如,改寫或從P-GW的快取記憶體中擦除)。
P-GW可以使用DL符記來實施包括與使用者平面訊息有關的下行鏈路策略的下行鏈路訊務策略。可以經由例如校驗在從應用伺服器接收到的給定封包中的DL符記以及使用從DL符記獲得的資訊來將封包轉發給合適設備來執行實施。被轉發給合適設備的封包可以或者可以不包括DL符記。P-GW亦可以校驗連接ID(若先前取得)。
網路符記可以是一種用於驗證和映射應用伺服器與網路處的設備之間的應用服務傳輸的安全方式。用於此類目的的網路符記的使用提供了比僅將應用伺服器ID添加到封包中更大的安全性。另外,如上文所提到的,網路符記可以包括用於驗證的安全散列、用於決定安全散列如何用於驗證的索引及/或用於決定在驗證了封包之後如何處理封包的策略中的一或多個。
作為可選的步驟,設備可以建立或發起與第二應用伺服器的連接。此後,設備可以可選地從第二應用伺服器獲得與第一網路符記不同的第二網路符記。第一應用伺服器和第二應用伺服器可以與應用服務或目的IP位址相關聯。額外地或者替代地,第一應用伺服器和第二應用伺服器可以與第一應用服務和第二應用服務相關聯。
圖15是示例性方法1500,經由該方法,設備(例如,晶片組件,客戶端設備)可以對用於發起通訊請求進行回 應,以及結合該通訊使用網路符記。用於發起通訊的請求可以包括用於使用網路符記的請求。方法1500可以在設備處操作。方法1500可以適用於如下情況:應用伺服器已經發起了用於發起通訊的請求及/或用於使用網路符記的請求。
用於發起通訊的請求(例如,用於發起應用服務的請求)可以來自於應用伺服器。諸如應用服務請求之類的請求可以包括用於使用網路符記的顯式請求。或者,用於使用網路符記的請求可以是隱式的。該請求可以包括應用辨識符(App ID),以標識發起請求的應用伺服器或服務。
在一個態樣中,設備可以從應用伺服器接收1502用於發起應用服務的請求。設備可以獲得1504網路符記。在一個態樣中,網路符記可以從閘道(例如,P-GW)獲得。設備可以校驗1506用於發起應用服務的請求(例如,基於IP位址、設備ID或應用憑證)。
設備可以經由將網路符記嵌入或以其他方式包括1508在對用於發起應用服務的請求的回應中而將網路符記准予給應用伺服器。網路符記可以被嵌入到包括對用於發起應用服務的請求的回應的封包中。在一個態樣中,網路符記可以分佈在複數個封包當中,這複數個封包例如可以包括對用於發起應用服務的請求的一些或所有回應。
設備隨後可以將包括嵌入的網路符記的回應發送1510給應用伺服器。以這種方式,應用伺服器可以被提供有網路符記,並且可以轉而將網路符記的副本嵌入或以其他方式包括到沿下行鏈路方向從應用伺服器發送到設備的一或多 個封包中。在一些態樣中,應用伺服器可以將網路符記的副本嵌入或以其他方式包括到沿下行鏈路方向從應用伺服器發送到設備的每個封包中。
在一些態樣中,網路符記可以是下行鏈路網路符記。可以在設備處從閘道設備(例如,P-GW)接收網路符記。在一些態樣中,DL符記可以被嵌入或以其他方式包括在從閘道設備接收到的封包中。可以在使用者平面中發送該封包。
網路符記可以拘束到應用伺服器和設備或者可以拘束到應用伺服器、應用服務和設備。在一個態樣中,DL符記可以與承載或資料流相關聯。DL符記可以用於下行鏈路封包的校驗以及用於將下行鏈路流中接收到的下行鏈路封包映射到承載中。
與是設備還是應用伺服器發起用於建立通訊的請求的無關,該請求可以是傳輸層請求或應用層請求。初始請求中的封包可以是傳輸控制協定同步(TCP SYN)封包。若初始請求中的封包是TCP SYN封包,則可以在TCP SYN確認(ACK)封包中攜帶第一網路符記到設備或應用伺服器。
用於使用網路符記的請求可以是顯式請求或隱式請求。顯式請求可以嵌入到在使用者平面中從應用伺服器發送或者發送到應用伺服器的請求中。隱式請求可以例如借助從應用伺服器發送初始訊息到設備(或者反之亦然)來辨識。亦即,系統可以準備辨識每當建立新的通訊服務時使用網路符記的需要。經由舉再一實例的方式,發起服務可以包括發送用於表示對第一網路符記的隱式請求的封包,其中該隱式 請求可以被辨識為指向應用伺服器(或者指向設備)的第一封包的傳輸。經由舉再一實例的方式,發起服務可以包括發送用於表示對網路符記的隱式請求的封包,其中該隱式請求可以被辨識為包括需要網路符記的應用伺服器的目的位址或至少目的位址首碼的封包的傳輸(其中例如,P-GW辨識出目的應用伺服器需要使用網路符記)。經由舉再一實例的方式,建立或發起服務可以包括發送用於表示對第一網路符記的隱式請求的封包,其中可以基於由封包所包括的應用辨識符(App ID)來辨識該隱式請求。在一些態樣中,可能不需要新的訊號傳遞(例如,在控制平面中)來實現經由使用者平面訊息傳遞實現的符記請求的顯式及/或隱式使用。
在一個態樣中,可以在使用者平面墊層標頭中接收網路符記。使用者平面墊層可以位於使用者平面協定堆疊中的網際網路協定(IP)層的上方。或者,使用者平面墊層可以位於使用者平面協定堆疊中的網際網路協定(IP)層的下方。
在一個態樣中,網路符記可以被嵌入到IP標頭中,例如IP版本4(IPv4)標頭或IP版本6(IPv6)標頭。IPv4中的IP標頭可以是IP選項欄位。IPv6中的IP標頭可以是IP擴展標頭。
在一個態樣中,網路符記可以被嵌入到傳輸控制協定(TCP)標頭中,網路符記可以被嵌入到TCP標頭的選項欄位中。
在一個態樣中,網路符記可以被嵌入到傳輸層安全 (TLS)記錄標頭中。
在一個態樣中,網路符記可以被嵌入到IP標頭與傳輸控制協定/使用者資料包通訊協定(TCP/UDP)標頭之間的墊層標頭中。
在又一態樣中,網路符記可以被嵌入到超本文傳輸協定(HTTP)標頭中。HTTP標頭可以是HTTP試驗(eXperimental)或擴展(eXtension)標頭。
示例性閘道設備
圖16是圖示根據本文所述態樣的被配置為使用網路符記來支援網路策略實施及/或封包轉向的示例性閘道設備1600的方塊圖。在一個實例中,示例性閘道設備1600可以包括用於經由無線網進行通訊的網路通訊介面電路1602、耦合到網路通訊介面電路1602的處理電路1604以及耦合到處理電路1604的存放裝置1606(例如,用於儲存資料的磁設備及/或光設備)。該清單是非限制性的。
用於經由無線網進行通訊的網路通訊介面電路1602可以包括用於與服務閘道進行通訊的第一輸入/輸出電路/功能單元/模組1608和用於與封包資料網進行通訊的第二輸入/輸出電路/功能單元/模組1610。第一輸入/輸出電路/功能單元/模組1608可以處置在多個承載上建立的多個IP流。第二輸入/輸出電路/功能單元/模組1610可以處置與封包資料網上的多個伺服器的多個IP流。該清單是非限制性的。
處理電路1604可以包括或實現一或多個處理器、專用處理器、硬體及/或軟體模組等,它們被配置為支援基於符 記的應用存取。例如,網路符記取得/校驗電路/功能單元/模組1612可以被配置為基於可以儲存在存放裝置1606中的金鑰來取得符記。僅閘道設備可以知道該金鑰。經由舉另一實例的方式,金鑰取得電路/功能單元/模組1614可以被配置為基於例如可以儲存在存放裝置1606中的金鑰和給定存取節點的辨識符來取得特定於存取節點的金鑰。經由舉又一實例的方式,決定與處理電路/功能單元/模組1616可以被配置為決定從EPS承載接收到的(或者更泛泛地說,從設備接收到的)上行鏈路封包及/或從應用伺服器接收到的下行鏈路封包是否包括網路符記,並且若包括,則亦可以配置為將接收到的符記傳遞到加密-驗證和訊務轉向電路/功能單元/模組1618。經由舉再一實例的方式,加密驗證/校驗模組/電路/功能單元1630可以被配置為驗證/校驗從例如設備或應用伺服器接收到的網路符記。決定與處理電路/功能單元/模組1616亦可以被配置為將接收到的不包括網路符記的封包傳遞到服務資料流篩檢程式組(未圖示)。該清單是非限制性的。
存放裝置1606可以被配置為包括網路符記取得/校驗指令1620、金鑰取得指令1622、決定與處理指示1624、加密-驗證和訊務轉向指令1626以及共用和非共用金鑰儲存與指令。該清單是非限制性的。
網路通訊介面電路1602、處理電路1604、存放裝置1606、和示例性閘道設備1600的其他元件(未圖示)之間的通訊可以經由通訊匯流排1634。
可在閘道設備處操作的方法
圖17圖示根據本文所述態樣的可在閘道設備(例如,P-GW)處操作的示例性方法1700,該方法用於偵測經由使用者平面訊息傳遞的來自設備的對使用網路符記的請求,取得網路符記,以及經由應用伺服器將網路符記提供給請求設備。
根據一個態樣,可在網路中的閘道設備(例如,P-GW)處操作的方法可以包括在閘道設備處經由使用者平面接收1702資料封包。閘道設備隨後可以執行用於決定1704網路符記是否被請求(例如,顯式地或隱式地)的步驟。若網路符記被請求,則閘道設備可以獲得1706該網路符記。該網路符記可以基於由網路維護的設備訂制簡檔。
根據一個態樣,網路符記可以經由在本端在閘道設備處取得來獲得。根據本文所述的態樣,可以經由閘道設備基於由與閘道設備相關聯的核心網路所維護的設備訂制簡檔來取得網路符記。設備訂制簡檔可以儲存在訂制簡檔庫(SPR)中。網路符記可以反映核心網路針對設備所實施的策略。換言之,網路符記無需反映應用伺服器的策略。可以由閘道設備代表網路以及用於網路的目的來取得和使用網路符記。
一旦閘道設備獲得網路符記,閘道設備就可以執行用於利用資料封包來包括1708網路符記所需的步驟。閘道設備隨後可以將資料封包和網路符記發送1710到目的地。
在一些態樣中,資料封包要被發送到應用伺服器,並且網路符記是上行鏈路網路符記。在一些態樣中,資料封包要被發送到應用伺服器,並且網路符記是下行鏈路網路符 記。在一些態樣中,資料封包要被發送到設備,並且網路符記是下行鏈路網路符記。在一些態樣中,當資料封包要被發送到設備且網路符記是下行鏈路網路符記時,該方法亦可以包括:從設備接收包括下行鏈路網路符記的第二封包,以及將第二封包和下行鏈路網路符記發送到應用伺服器。在該後面的態樣中,應用伺服器可能已經請求下行鏈路網路符記;所請求的下行鏈路網路符記將從閘道發送到設備;閘道隨後將從設備接收包括下行鏈路網路符記的資料封包;並且閘道將下行鏈路網路符記的該副本發送到最初請求下行鏈路網路符記的應用伺服器。在其他的態樣中,網路符記可以是上行鏈路網路符記和下行鏈路網路符記,其中上行鏈路網路符記與下行鏈路網路符記不同。在此類該態樣中,網路設備可以取得上行鏈路網路符記和下行鏈路網路符記並且將二者發送到目的地。
如上文所指出的,閘道設備可以是封包資料網路(PDN)閘道(P-GW)。
決定網路符記是否被請求的步驟可以取決於封包是否包括對網路符記的顯式請求或者封包是否表示(例如,代表)對網路符記的隱式請求。根據一些態樣,決定網路符記是否被請求是基於決定封包所要發送到的應用伺服器是否需要網路符記的。若封包所要發送到的應用伺服器需要網路符記,則閘道設備可以獲得該網路符記。用於決定對網路符記的需要的隱式指示的其他測試是可接受的。
若網路符記被請求,則閘道設備可以獲得該網路符 記。根據一個態樣,獲得網路符記是經由在閘道設備處取得網路符記來實現的。網路符記可以使用具有一組輸入參數的函數來取得,該組輸入參數包括:閘道設備已知的金鑰、類索引、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或服務品質類別辨識符(QCI)。類索引可以定義用於網路符記取得的欄位。
根據為方便目的而在上文提供的以及下文複述的一個實例,網路符記可以取得如下:網路符記=CI|HMAC(KP-GW,CI|IPC|IPS|PC|PS|Proto|App ID|...),其中:CI是定義用於符記取得的欄位的類索引,HMAC是金鑰散列訊息認證碼,KP-GW是P-GW的金鑰,IPC是客戶端(例如,設備)IP位址,PC是客戶端埠號,IPS是伺服器(例如,目的地或應用伺服器)IP位址,PS是伺服器埠號,Proto是協定號或辨識符,App ID是應用辨識符。額外的或可替代的參數可以包括優先順序及/或服務品質類別辨識符(QCI)。
如上述實例所示出的,網路符記可以是類索引、和示例性函數的輸出的串聯。根據一些態樣,該函數可以是散列訊息認證碼(HMAC)函數。根據一些態樣,函數可以是訊息認證碼(MAC)取得函數。MAC取得函數包括密碼塊鏈訊息認證碼(CBC-MAC)函數,基於密碼的MAC(CMAC)函數或伽羅瓦訊息認證碼(GMAC)函數。用於網路符記的取得的其他公式可能是可接受的。
圖18圖示根據本文該態樣的可在閘道設備(例如,P-GW)處操作的示例性方法1800,該方法經由使用者平面訊息傳遞在閘道設備(例如,P-GW)處設置並且使用網路符記。
在一個態樣中,設置網路符記的方法可以包括:在閘道設備處接收1802對網路服務的請求(例如,第一封包)。對網路服務的請求可以顯式地包括或者隱式地表示對網路符記的請求。對網路服務的請求可以從客戶端設備(例如,在上行鏈路資料流中)或者從應用伺服器(例如,在下行鏈路資料流中)接收。閘道設備可以回應於對網路符記的請求而取得1804適合於該請求的上行鏈路網路符記、下行鏈路網路符記或者上行鏈路網路符記和下行鏈路網路符記二者。
可選地,閘道設備亦可以取得1806連接辨識符,該連接辨識符可以標識發起與網路符記相關聯的連接的客戶端設備或應用伺服器。若取得,則連接辨識符可以可選地儲存1808在閘道設備處。例如,儲存可以是在閘道設備的快取記憶體中。
閘道設備可以將網路符記嵌入或者以其他方式包括1810在要發送到設備或應用伺服器的封包中。在一個態樣中,封包可以與對應用服務的請求相關聯。閘道設備可以將包括嵌入的及/或包括的網路符記的對應用服務的請求發送1812到設備或應用伺服器。
隨後,閘道設備可以接收1814包括先前取得(例如,先前取得的副本)的網路符記的封包。繼續該對應用服務 的請求(例如,服務發起請求)的非限制性實例,接收到的封包可與服務發起回應相關聯。閘道設備可以經由驗證1816網路符記來驗證接收到的封包。可選地,若先前取得,則閘道設備可以驗證1818連接ID。若網路符記經由過驗證,則閘道設備可以將初始回應發送1820到其目的地。在一些態樣中,閘道設備可以利用初始回應來包括網路符記。在其他態樣中,閘道設備可以丟棄網路符記,使得當初始回應發送到其目的地時網路符記不由初始回應所包括。
在一些態樣中,網路符記可以拘束到設備(例如,晶片組件,客戶端設備)和應用伺服器,或者可以拘束到設備、App ID和應用伺服器。
圖19圖示根據本文所述態樣的可在閘道設備(例如,P-GW)處操作的示例性方法1900,該方法與用於網路策略的實施及/或封包轉向的網路符記的使用相結合,用於校驗網路符記。根據一些態樣,某些特徵可以指示閘道設備可以能夠使用由資料封包所包括的網路符記以便策略實施及/或封包轉向。在一個實例中,可以設置標誌,以指示封包包括用於策略實施及/或封包轉向的網路符記。
根據一個態樣,該方法可以包括:在閘道設備處,回應於對第一網路符記的請求而取得1902第一網路符記。對第一網路符記的請求可以從設備發送到與一或多個應用服務相關聯的應用伺服器。在閘道設備處接收1904來自設備的資料封包。該資料封包可以至少包括與應用伺服器相對應的目的位址首碼。該資料封包可以包括第二網路符記。
該方法可以經由校驗1906第二網路符記而繼續進行。根據一個態樣,校驗1906第二網路符記可以包括使用從封包獲得的輸入參數和閘道設備已知的金鑰來從第一函數取得第一網路符記的複件。第一網路符記被預先取得並且被發送到應用伺服器以便後續遞送給設備。一旦設備接收到第一網路符記,該設備就利用被發送到相同應用伺服器的上行鏈路封包來包括該第一網路符記的副本。現在考慮的包括在接收到的上行鏈路封包中的第二網路符記應當是第一網路符記的副本。若兩個網路符記是使用相同函數、閘道設備已知的相同金鑰以及從自相同設備發送到閘道設備的不同封包抽出的相同的公共參數取得的,則第二網路符記將與第一網路符記的複件相同。
可選地,若連接辨識符與原始網路符記的取得相結合地被取得且儲存在閘道設備處,則閘道設備處的電路/模組/功能單元可以校驗1908該連接辨識符。
可以對校驗(例如,對第二網路符記以及可選的連接辨識符的校驗)是否成功做出決定1910。若校驗不成功,則該方法可以經由丟棄1912封包和其關聯的第二網路符記而繼續進行。若校驗成功,則該方法可以經由可選地丟棄1914第二網路符記且將封包發送1916到應用伺服器來繼續進行。
示例性應用伺服器
圖20是圖示被配置為支援下行鏈路符記驗證和封包映射的示例性應用伺服器2000的方塊圖。在一個實例中,應用伺服器2000可以包括用於經由無線網進行通訊的網路通訊 介面電路2002、耦合到網路通訊介面電路2002的處理電路2004和耦合到處理電路2004的存放裝置2006。該清單是非限制性的。
用於經由無線網進行通訊的網路通訊介面電路2002可以包括用於經由S-GW與P-GW進行通訊的第一輸入/輸出模組/電路/功能單元2008。網路通訊介面電路2002可以包括用於與設備進行無線通訊的接收器/發射器模組/電路/功能單元2010。該清單是非限制性的。
處理電路2004可以包括或實現一或多個處理器、專用處理器、硬體及/或軟體模組等,它們被配置為支援基於符記的應用存取。例如,網路符記處置模組/電路/功能單元2012可以被配置為基於可以儲存在存放裝置2006中的非共用金鑰或共用金鑰來取得符記。經由舉另一實例的方式,網路符記提取/嵌入模組/電路功能單元2014可以被配置為從來自設備的上行鏈路封包中提取網路符記及/或在轉發給閘道設備的封包中嵌入(包括)網路符記。經由舉又一實例的方式,加密驗證/校驗存放裝置2016可以被配置為驗證/校驗從例如設備接收到的網路符記。該清單是非限制性的。
存放裝置2006可以被配置為網路符記處置指令2020、網路符記提取/嵌入指令2022、加密驗證/校驗指令2024以及共用和非共用金鑰儲存與指令2026。該清單是非限制性的。
網路通訊介面電路2002、處理電路2004、存放裝置2006和應用伺服器2000的其他元件(未圖示)之間的通訊可以經由通訊匯流排2034。
可在應用伺服器處操作的方法
圖21是根據本文所述態樣的在應用伺服器處設置網路符記的示例性方法2100的流程圖。
根據一個態樣,可以對應用伺服器是否將發起用於提供應用服務給設備(例如,晶片組件,客戶端設備)的請求做出決定2102。若應用伺服器將發起該請求,則應用伺服器可以發送2104請求,該請求包括在使用者平面中發送的、顯式地包括或者隱式地表示對網路符記(例如,DL網路符記)的使用的請求的封包。應用伺服器隨後可以等待2106以獲得網路符記。返回2102,若決定應用伺服器將不發起請求,則應用伺服器可以等待2106以獲得例如基於對使用從設備(例如,晶片組件,客戶端設備)發送的網路符記的顯式或隱式請求而發送的網路符記。
應用伺服器接著可以獲得2108網路符記。根據本文所述的態樣,與核心網路相關聯的閘道設備可以已經基於由核心網路維護的設備訂制簡檔而取得網路符記。設備訂制簡檔可以儲存在訂制簡檔庫(SPR)中。SPR可以耦合到PCRF。網路符記可以反映由核心網路針對設備實施的策略。換言之,網路符記無需反映應用伺服器的策略。網路符記可以由閘道設備代表網路以及為了網路的目的而取得和使用。
在獲得(例如,接收到)網路符記時,應用伺服器可以將DL網路符記的副本嵌入或以其他方式包括在發送到設備的至少一些封包中,其中例如,網路符記是關於與設備的連接的DL網路符記。在一些態樣中,應用伺服器可以將DL網 路符記的副本嵌入或以其他方式包括在發送到設備的每個封包中。
在一些態樣中,將DL符記與從應用伺服器發送到設備的封包一起發送可以包括將DL符記包含在以下各項中:網際網路協定(IP)IP版本4(IPv4)標頭或IP版本6(IPv6)標頭,其中IPv4標頭中的符記可以在IP選項欄位中,並且IPv6中的符記可以在IP擴展標頭中;傳輸控制協定(TCP)標頭;安全通訊端層(SSL)標頭;傳輸層安全(TLS)記錄標頭;網際網路協定(IP)標頭與傳輸控制協定/使用者資料包通訊協定(TCP/UDP)標頭之間的墊層標頭;及/或超本文傳輸協定(HTTP)標頭。
在其中DL符記由應用伺服器請求的一個態樣中,DL符記可以從包括發送自設備的回應的封包獲得。在另一態樣中,DL符記可以從發送自設備的用於發起應用服務的請求中獲得。
除非另有規定,否則示出和描述的具體實施方式僅為實例,而不應當被解釋為用於實現本案內容的唯一方式。對本發明所屬領域中具有通常知識者而言顯而易見的是,在本案內容中的各個實例可以經由若干其他細分解決方案來實踐。
本文所描述的以及附圖中示出的組件、動作、特徵及/或功能單元中的一或多個可以重新佈置及/或組合成單個的組件、動作、特徵或功能單元,或者以若干組件、動作、特徵或功能來體現。亦可以添加額外的元件、組件、動作及/ 或功能單元,而不偏離本發明。本文描述的演算法亦可以利用軟體來高效地實現及/或嵌入到硬體中。
在說明書中,為避免在不必要的細節上使本案內容不清楚,可能以方塊圖形式示出元件、電路、功能單元和模組。相反,除非另有規定,否則示出和描述的具體實施方式僅是示例性的,而不應當被解釋為是用於實現本案內容的唯一方式。另外,各個方塊之間的方塊定義和邏輯細分是具體實施方式的示範例。對本發明所屬領域中具有通常知識者而言顯而易見的是,可以經由許多其他細分解決方案來實踐本案內容。對於大部分,關於時間考慮等的細節已經省去,其中此類細節對於獲得本案內容的完整理解而言不是必要的,且在本發明所屬領域中具有通常知識者的能力範圍內。
另外,需要注意的是,實施例可以被描述為被圖示為流程圖、流程方塊圖、結構圖或方塊圖的程序。儘管流程圖可以將操作描述為順序程序,但是很多操作可以被並行或同時執行。另外,可以重新排列這些操作的順序。當程序的操作被完成時,程序亦就終止了。程序可以對應於方法、函數、規程、子常式、副程式等。當程序對應於函數時,其終止對應於對調用函數或主函數的函數的返回。
本發明所屬領域中具有通常知識者應當理解,資訊和信號可以使用各種不同的技術和方法中的任意一種來表示。例如,在貫穿本說明書中提及的資料、指令、命令、資訊、信號、位元、符號和碼片可以用電壓、電流、電磁波、磁場或粒子、光場或粒子或其任意組合來表示。一些圖可以將 信號示出為單個信號,以便表示和描述的清楚。本發明所屬領域中具有通常知識者將理解的是,信號可以表徵信號的匯流排,其中匯流排可以具有各種位元寬度,並且本案內容可以在包括單個資料信號的任意數量的資料信號上實現。
應當理解,本文使用諸如「第一」、「第二」等的標識對元素進行的引用通常不對那些元素的數量或順序進行限制,除非明確聲明瞭此類限制。更確切地說,本文使用這些標識作為一種區分元素的兩個或更多個元素或實例之間的便利方法。因此,提及第一和第二元素並不意味著那裡只可以採用兩個元素或第一元素必須以某種方式先於第二元素。此外,除非另有聲明,否則一組元素可以包括一或多個元素。
而且,儲存媒體可以表示用於儲存資料的一或多個設備,包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃存放裝置及/或其他機器可讀取媒體,以及處理器可讀取媒體及/或用於儲存資訊的電腦可讀取媒體。術語「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」可以包括但不限於非暫時性媒體,例如可攜式或固定存放裝置、光學存放裝置以及能夠儲存、包含或承載(多條)指令及/或資料的各種其他媒體。因此,本文所述的各種方法可以完全地或部分地由儲存在「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」中且由一或多個處理器、機器及/或設備執行的指令及/或資料來實現。
此外,實施例可以由硬體、軟體、韌體、中介軟體、微代碼或其任意組合來實現。當用軟體、韌體、中介軟體或微代碼來實現時,用於執行必要任務的程式碼或程式碼片段可以儲存在諸如儲存媒體或其他儲存裝置之類的機器可讀取媒體中。處理器可以執行必要的任務。程式碼片段可以表示規程、函數、副程式、程式、常式、子常式、模組、套裝軟體、軟體組件、或指令、資料結構或程式陳述的任意組合。程式碼片段可以經由傳遞及/或資訊、資料、變元、參數或記憶體內容來耦合到另一程式碼片段或硬體電路。資訊、變元、參數、資料等可以經由包含記憶體共用、訊息傳遞、符記傳遞、網路傳輸、訊務等的任何適當手段被傳遞、轉發或發送。
結合本文揭示的實例所描述的各個說明性邏輯方塊、元件、電路、模組、功能單元及/或組件可以利用被設計為執行本文所述功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯組件、個別閘門或電晶體邏輯裝置、離散硬體組件或其任何組合來實現或執行。通用處理器可以是微處理器,但是在替代方案中,處理器可以是任何習知的處理器、控制器、微控制器或狀態機。處理器亦可以實現為計算組件的組合,例如,DSP和微處理器的組合,多個微處理器、一或多個微處理器與DSP核聯合,或者任何其他1此類配置。被配置為執行本文所述的實施例的通用處理器被視為用於實施此類實施例的專用處理器。類似地,當被配置為用 於實施本文所述的實施例時,通用電腦被視為專用電腦。
結合本文揭示的實例所描述的方法或演算法可以以處理單元、程式指令或其他指導的形式直接包括在硬體、由處理器執行的軟體模組或這二者的組合中,以及可以包含在單個設備中或者分佈在多個設備之間。軟體模組可以位於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM或本發明所屬領域中公知的任意其他形式的儲存媒體中。儲存媒體可以耦合到處理器,從而使該處理器能夠從儲存媒體讀取資訊,並且向該儲存媒體寫入資訊。或者,儲存媒體可以是處理器的組成部分。
本發明所屬領域中具有通常知識者亦將意識到,與本文揭示的實施例相結合描述的各個說明性邏輯方塊、電路、功能單元、模組和演算法步驟可以實現為電子硬體、電腦軟體或二者的組合。為清楚地說明硬體和軟體的這種可互換性,上文已經圍繞它們的功能概括地描述了各個示例性的元件、組件、方塊、電路、功能、模組和步驟。此類功能是實現為硬體、軟體還是其組合取決於特定的應用以及施加到整個系統上的設計選擇。
本文所述的本發明的各個特徵能夠實現在不同的系統中,而不偏離本發明。應當注意,前述實施例僅為實例,不應當被解釋為限制本發明。對實施例的描述意在說明性的,而不是限制請求項的保護範疇。因此,本教導可以被易於應用於其他類型的裝置,並且對於本發明所屬領域中具有通 常知識者而言,許多替代方案、修改和變型將是顯而易見的。

Claims (43)

  1. 一種可在一設備處操作的方法,包括以下步驟:經由該設備發起與一應用伺服器的一連接,該應用伺服器與一或多個應用服務相關聯;及回應於發起該連接,獲得一網路符記,其中該網路符記:是經由與該設備及該應用伺服器分離的一閘道藉一函數取得的,該函數具有一組輸入參數,該組輸入參數包括該設備未知且該應用伺服器未知的一金鑰,與一或多個流的一集合中的一第一流相關聯,與該一或多個應用服務中的一第一應用服務相關聯,以及經由一或多個使用者平面訊息提供給該設備;及在該使用者平面中,將該網路符記連同一或多個上行鏈路(UL)封包從該設備一起發送到該應用伺服器。
  2. 如請求項1之方法,其中該網路符記是從該應用伺服器及/或一閘道設備中的一個獲得的。
  3. 如請求項1之方法,其中該網路符記是經由一核心網路的一閘道設備取得的。
  4. 如請求項1之方法,其中該網路符記是基於該設備的一設備訂制簡檔及/或該第一應用服務的一策略的。
  5. 如請求項1之方法,其中該網路符記反映由一核心網路針對該設備實施的一策略。
  6. 如請求項1之方法,其中發起該連接包括發送一連接請求,並且該連接請求包括對該網路符記的一顯式請求。
  7. 如請求項1之方法,其中發起該連接包括發送用於表示對該網路符記的一隱式請求的一封包。
  8. 如請求項7之方法,其中該隱式請求是經由向該應用伺服器發送一第一封包來表示的。
  9. 如請求項1之方法,其中發起該連接包括發送用於要求從該應用伺服器得到一確認的一封包,其中該確認將該網路符記傳輸到該設備。
  10. 如請求項1之方法,其中該網路符記是在一使用者平面墊層標頭中從該設備傳輸到一封包資料網路(PDN)閘道(P-GW)的。
  11. 如請求項10之方法,其中該使用者平面墊層標頭位於一網際網路協定(IP)層之上。
  12. 如請求項1之方法,其中該網路符記是在如IP版本6(IPv6)中定義的一網際網路協定(IP)擴展標頭中從該設備傳輸到一封包資料網路(PDN)閘道(P-GW)的。
  13. 如請求項1之方法,其中該網路符記在一封包資料彙聚協定(PDCP)層中從該設備傳輸到一存取節點,在該存取節點中複製到用於一使用者平面的一通用封包式無線電服務(GPRS)隧道協定(GTP)層(GTP-U)層,並且在該GTP-U層中從該存取節點傳輸到一封包資料網路(PDN)閘道(P-GW)。
  14. 一種用於網路通訊的設備,包括:一網路通訊介面,其被配置為經由一無線網進行通訊;及一處理電路,其耦合到該網路通訊介面,該處理電路被配置為:使用使用者平面訊息傳遞來發起與一應用伺服器的一連接,該應用伺服器與一或多個應用服務相關聯;回應於發起該連接,從該應用伺服器獲得一網路符記,其中該網路符記:是經由與該設備及該應用伺服器分離的一閘道藉一函數取得的,該函數具有一組輸入參數,該組輸入參數包括該設備未知且該應用伺服器未知的一金鑰,與一或多個流的一集合中的一第一流相關聯,與該一或多個應用服務中的一第一應用服務相關聯,以及經由一或多個使用者平面訊息提供給該設備;及在該使用者平面中,將該網路符記連同一或多個上行鏈路(UL)封包從該設備一起發送到該應用伺服器。
  15. 一種可在一網路中的一閘道設備處操作的方法,包括以下步驟:在該閘道設備處經由一使用者平面接收一第一資料封包;經由評估該第一資料封包來決定是否請求了一網路符記;若請求了該網路符記,則獲得該網路符記,其中該網路符記是基於由該網路維護的一設備訂制簡檔在該閘道設備本端取得的;若請求了該網路符記,則利用該第一資料封包來包括該網路符記;及將該第一資料封包和網路符記發送到一目的地。
  16. 如請求項15之方法,其中該第一資料封包要被發送到一應用伺服器,並且該網路符記是一上行鏈路網路符記。
  17. 如請求項15之方法,其中該第一資料封包要被發送到一應用伺服器,並且該網路符記是一下行鏈路網路符記。
  18. 如請求項15之方法,其中該第一資料封包要被發送到一設備,並且該網路符記是一下行鏈路網路符記。
  19. 如請求項18之方法,亦包括以下步驟:在該閘道設備處,從該設備接收包括該下行鏈路網路符記的一第二資料封包;及將該第二資料封包和該下行鏈路網路符記發送到一應用伺服器。
  20. 如請求項15之方法,其中該網路符記是一上行鏈路網路符記和一下行鏈路網路符記,該上行鏈路網路符記與該下行鏈路網路符記不同。
  21. 如請求項15之方法,其中該閘道設備是一封包資料網路(PDN)閘道(P-GW)。
  22. 如請求項15之方法,其中該第一封包包括對該網路符記的一顯式請求。
  23. 如請求項15之方法,該第一封包表示對該網路符記的一隱式請求。
  24. 如請求項15之方法,其中決定是否請求了該網路符記基於決定要向其發送該第一封包的一應用伺服器或者從其接收該第一封包的一應用伺服器是否要求該網路符記。
  25. 如請求項15之方法,其中該網路符記是使用具有一組輸入參數的一函數來取得的,該等輸入參數包括:該閘道設備已知的一金鑰、一類索引、一源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或一服務品質類別辨識符(QCI)。
  26. 如請求項25之方法,其中該類索引定義用於網路符記取得的欄位。
  27. 如請求項25之方法,其中該網路符記是該類索引和該函數的一輸出的一串聯。
  28. 一種閘道設備,包括:一網路通訊介面,其被配置為經由一無線網進行通訊;一處理電路,其耦合到該網路通訊介面,該處理電路被配置為:在該閘道設備處經由一使用者平面接收要被發送到一應用伺服器的一封包;經由評估該封包來決定是否請求了一網路符記;若請求了該網路符記,則獲得該網路符記,其中該網路符記是基於一設備訂制簡檔在該閘道設備本端取得的;若請求了該網路符記,則利用該封包來包括該網路符記;及將該封包和網路符記發送到該應用伺服器。
  29. 一種可在一閘道設備處操作的方法,包括以下步驟:回應於從一設備發送到一應用伺服器的對一第一網路符記的一請求,在該閘道設備處藉一第一函數取得該第一網路符記,該應用伺服器與一或多個應用服務相關聯;在該閘道設備處接收來自該設備的一資料封包,該資料封包至少包括與該應用伺服器相對應的一目的位址首碼,並且該資料封包包括一第二網路符記;校驗該第二網路符記,其中該校驗步驟包括藉該第一函數重新取得該第一網路符記的一複件;若該校驗不成功,則丟棄該資料封包;及若該校驗成功,則將該資料封包發送到該應用伺服器。
  30. 如請求項29之方法,其中該資料封包是在一使用者平面訊息中接收的。
  31. 如請求項29之方法,其中該閘道設備是一封包資料網路(PDN)閘道(P-GW)。
  32. 如請求項29之方法,其中該第一函數使用從該資料封包獲得的輸入參數和該閘道設備已知的一金鑰;及其中校驗該第二網路符記的步驟進一步包括:將該第一網路符記的該複件與該第二網路符記進行比較,其中若該第一網路符記的該複件等於該第二網路符記,則校驗成功。
  33. 如請求項29之方法,其中該第二網路符記是在與一IP標頭分離的一墊層標頭中從該設備傳輸到該閘道設備的。
  34. 如請求項29之方法,其中該第二網路符記是在網際網路協定(IP)版本6(IPv6)中定義的一IP擴展標頭中從該設備傳輸到該閘道設備的。
  35. 如請求項29之方法,其中該第二網路符記在一封包資料彙聚協定(PDCP)層中從該設備傳輸到一存取節點,在該存取節點中複製到用於一使用者平面的一通用封包式無線電服務(GPRS)隧道協定(GTP)層(GTP-U)層,並且在該GTP-U層中從該存取節點傳輸到該閘道設備。
  36. 一種閘道設備,包括:一網路通訊介面,其被配置為經由一無線網進行通訊;一處理電路,其耦合到該網路通訊介面,該處理電路被配置為:回應於從一設備發送到一應用伺服器的對一第一網路符記的一請求,藉一第一函數取得該第一網路符記,該應用伺服器與一或多個應用服務相關聯;從該設備接收一資料封包,該資料封包至少包括與該應用伺服器相對應的一目的位址首碼,並且該資料封包包括一第二網路符記;校驗該第二網路符記,其中該校驗步驟包括藉該第一函數重新取得該第一網路符記的一複件;若校驗不成功,則丟棄該資料封包;及若校驗成功,將該資料封包發送到該應用伺服器。
  37. 一種可在一應用伺服器處操作的方法,包括以下步驟:經由與一或多個應用服務相關聯的該應用伺服器發送用於發起與一設備的一第一應用服務的一請求;回應於發送該用於發起該第一應用服務的請求,獲得一網路符記,其中該網路符記:是經由與該設備及該應用伺服器分離的一閘道藉一函數取得的,該函數具有一組輸入參數,該組輸入參數包括該設備未知且該應用伺服器未知的一金鑰,與一或多個流的一集合中的一第一流相關聯,與該第一應用服務相關聯,以及經由一或多個使用者平面訊息發送到該設備;及在該使用者平面中,將該網路符記連同從該應用伺服器發送的一或多個下行鏈路(DL)封包一起發送到該設備。
  38. 如請求項37之方法,其中該網路符記是經由一核心網路的一閘道設備取得的。
  39. 如請求項37之方法,其中該網路符記是基於該設備的一設備訂制簡檔及/或該第一應用服務的一策略的。
  40. 如請求項37之方法,其中該網路符記反映由一核心網路針對該設備實施的一策略。
  41. 如請求項37之方法,其中該用於發起該第一應用服務的請求包括對該網路符記的一顯式請求。
  42. 如請求項37之方法,其中發送該用於發起該第一應用服務的請求包括發送用於表示對該網路符記的一隱式請求的一封包。
  43. 一種應用伺服器,包括:一網路通訊介面;一處理電路,其耦合到該網路通訊介面,該處理電路被配置為:發送用於發起與一設備的一應用服務的一請求;回應於發送該用於發起與該設備的該應用服務的請求,獲得一網路符記,其中該網路符記:是經由與該設備及該應用伺服器分離的一閘道藉一函數取得的,該函數具有一組輸入參數,該組輸入參數包括該設備未知且該應用伺服器未知的一金鑰,與一或多個流的一集合中的一第一流相關聯;與該一或多個應用服務中的一第一應用服務相關聯;及經由一或多個使用者平面訊息發送到該設備。
TW105101139A 2015-02-24 2016-01-14 用於針對服務-使用者平面方法使用網路符記的高效策略實施之方法及設備 TWI668976B (zh)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201562120159P 2015-02-24 2015-02-24
US62/120,159 2015-02-24
US201562161768P 2015-05-14 2015-05-14
US62/161,768 2015-05-14
US14/866,425 2015-09-25
US14/866,425 US10505850B2 (en) 2015-02-24 2015-09-25 Efficient policy enforcement using network tokens for services—user-plane approach

Publications (2)

Publication Number Publication Date
TW201644238A TW201644238A (zh) 2016-12-16
TWI668976B true TWI668976B (zh) 2019-08-11

Family

ID=56690617

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105101139A TWI668976B (zh) 2015-02-24 2016-01-14 用於針對服務-使用者平面方法使用網路符記的高效策略實施之方法及設備

Country Status (8)

Country Link
US (4) US10505850B2 (zh)
EP (1) EP3262821B1 (zh)
JP (1) JP6687636B2 (zh)
KR (1) KR102487923B1 (zh)
CN (1) CN107409125B (zh)
BR (1) BR112017018021A2 (zh)
TW (1) TWI668976B (zh)
WO (1) WO2016137598A2 (zh)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US10448435B2 (en) * 2015-06-25 2019-10-15 Telefonaktiebolaget Lm Ericsson (Publ) Setting up a dedicated bearer in a radio communication network
US11290425B2 (en) * 2016-02-01 2022-03-29 Airwatch Llc Configuring network security based on device management characteristics
WO2017152345A1 (en) * 2016-03-07 2017-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Method for traffic steering, network device and terminal device
EP3440869B1 (en) * 2016-04-08 2022-12-14 Nokia Technologies Oy Method and apparatus for u-plane sub-service flow mapping
CN108076459B (zh) * 2016-11-08 2021-02-12 北京华为数字技术有限公司 网络接入控制方法、相关设备及系统
US10356830B2 (en) * 2017-01-17 2019-07-16 Cisco Technology, Inc. System and method to facilitate stateless serving gateway operations in a network environment
US10784986B2 (en) 2017-02-28 2020-09-22 Intel Corporation Forward error correction mechanism for peripheral component interconnect-express (PCI-e)
US10250436B2 (en) 2017-03-01 2019-04-02 Intel Corporation Applying framing rules for a high speed data link
EP3614621B1 (en) * 2017-05-09 2021-04-28 Huawei Technologies Co., Ltd. Data packet checking method and device
US12238104B2 (en) 2017-06-27 2025-02-25 Applied Invention, Llc Secure communication system
US10868806B2 (en) * 2017-06-27 2020-12-15 Applied Invention, Llc Secure communication network
US11856027B2 (en) 2017-06-27 2023-12-26 Applied Invention, Llc Secure communication system
US10419446B2 (en) 2017-07-10 2019-09-17 Cisco Technology, Inc. End-to-end policy management for a chain of administrative domains
US10666624B2 (en) * 2017-08-23 2020-05-26 Qualcomm Incorporated Systems and methods for optimized network layer message processing
CN110167067B (zh) * 2018-02-13 2021-10-22 展讯通信(上海)有限公司 数据传输方法及装置、存储介质、终端、基站
US11108812B1 (en) * 2018-04-16 2021-08-31 Barefoot Networks, Inc. Data plane with connection validation circuits
WO2020036947A1 (en) * 2018-08-13 2020-02-20 Intel Corporation Techniques in evolved packet core for restricted local operator services access
CN109614147B (zh) * 2018-12-03 2022-02-22 郑州云海信息技术有限公司 一种phy寄存器读写方法和装置
US10771189B2 (en) 2018-12-18 2020-09-08 Intel Corporation Forward error correction mechanism for data transmission across multi-lane links
US11637657B2 (en) 2019-02-15 2023-04-25 Intel Corporation Low-latency forward error correction for high-speed serial links
US11249837B2 (en) 2019-03-01 2022-02-15 Intel Corporation Flit-based parallel-forward error correction and parity
US11503471B2 (en) * 2019-03-25 2022-11-15 Fortinet, Inc. Mitigation of DDoS attacks on mobile networks using DDoS detection engine deployed in relation to an evolve node B
US11296994B2 (en) 2019-05-13 2022-04-05 Intel Corporation Ordered sets for high-speed interconnects
CN110392061A (zh) * 2019-08-06 2019-10-29 郑州信大捷安信息技术股份有限公司 一种网络接入控制系统及方法
WO2021032304A1 (en) * 2019-08-22 2021-02-25 Huawei Technologies Co., Ltd. Gateway devices and methods for performing a site-to-site communication
KR102739176B1 (ko) * 2019-10-16 2024-12-06 현대자동차주식회사 차량 통신 연결 장치 및 그 방법
US11740958B2 (en) 2019-11-27 2023-08-29 Intel Corporation Multi-protocol support on common physical layer
US11469890B2 (en) * 2020-02-06 2022-10-11 Google Llc Derived keys for connectionless network protocols
CN111356157B (zh) * 2020-03-15 2024-10-25 腾讯科技(深圳)有限公司 实现网络能力开放的方法及相关设备
GB2598084A (en) * 2020-07-16 2022-02-23 The Sec Dep For Foreign Commonwealth And Development Affairs Acting Through The Government Communica Payload assurance at a network boundary
US12189470B2 (en) 2020-09-18 2025-01-07 Intel Corporation Forward error correction and cyclic redundancy check mechanisms for latency-critical coherency and memory interconnects
US11818097B2 (en) * 2021-04-25 2023-11-14 A10 Networks, Inc. Packet watermark with static salt and token validation
US11546358B1 (en) * 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system
WO2023224424A1 (en) * 2022-05-20 2023-11-23 Samsung Electronics Co., Ltd. Application server assisted content management in cellular network
US11895213B2 (en) 2022-05-20 2024-02-06 Samsung Electronics Co., Ltd. Application server assisted content management in cellular network
CN115396186B (zh) * 2022-08-24 2025-01-17 江铃汽车股份有限公司 一种基于车载网关的车内通信防火墙系统的运行方法
US20240414210A1 (en) * 2023-06-09 2024-12-12 Fortinet, Inc. Systems and methods for edge processing using selectively suspended network security
US20250247702A1 (en) * 2024-01-25 2025-07-31 Qualcomm Incorporated Downlink message protection for ambient wireless devices

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064695A (zh) * 2007-05-16 2007-10-31 杭州看吧科技有限公司 一种P2P(Peer to Peer)安全连接的方法
US20080062986A1 (en) * 2006-09-08 2008-03-13 Cisco Technology, Inc. Providing reachability information in a routing domain of an external destination address in a data communications network
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US20080127320A1 (en) * 2004-10-26 2008-05-29 Paolo De Lutiis Method and System For Transparently Authenticating a Mobile User to Access Web Services
US20100306547A1 (en) * 2009-05-28 2010-12-02 Fallows John R System and methods for providing stateless security management for web applications using non-http communications protocols
US20110185039A1 (en) * 2010-01-28 2011-07-28 Fujitsu Limited Computer-readable medium storing access control program, access control method, and access control device
US20120106338A1 (en) * 2010-10-28 2012-05-03 Gergely Pongracz Dynamic control of air interface throughput
CN102622350A (zh) * 2011-01-26 2012-08-01 腾讯科技(深圳)有限公司 一种写数据的方法、装置及系统
US20130139241A1 (en) * 2011-11-29 2013-05-30 Michael Leeder Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains
WO2014056523A1 (en) * 2012-10-08 2014-04-17 Nokia Solutions And Networks Oy Methods, devices, and computer program products for keeping devices attached without a default bearer

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07307752A (ja) * 1994-05-10 1995-11-21 Toshiba Corp 計算機の通信方式
US7370004B1 (en) 1999-11-15 2008-05-06 The Chase Manhattan Bank Personalized interactive network architecture
US6621793B2 (en) * 2000-05-22 2003-09-16 Telefonaktiebolaget Lm Ericsson (Publ) Application influenced policy
US6941326B2 (en) * 2001-01-24 2005-09-06 Microsoft Corporation Accounting for update notifications in synchronizing data that may be represented by different data structures
FI115687B (fi) * 2002-04-09 2005-06-15 Nokia Corp Pakettidatan siirtäminen langattomaan päätelaitteeseen
CN101120573A (zh) * 2004-12-22 2008-02-06 高通股份有限公司 使用灵活协议配置的连接建立
US7990998B2 (en) 2004-12-22 2011-08-02 Qualcomm Incorporated Connection setup using flexible protocol configuration
WO2006114628A2 (en) 2005-04-26 2006-11-02 Vodafone Group Plc Sae/lte telecommunications networks
WO2007142566A1 (en) * 2006-06-09 2007-12-13 Telefonaktiebolaget Lm Ericsson (Publ) Access to services in a telecommunications network
US8955088B2 (en) 2007-11-07 2015-02-10 Futurewei Technologies, Inc. Firewall control for public access networks
EP2241081B1 (en) 2008-01-26 2018-05-02 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
US8452011B2 (en) * 2008-10-24 2013-05-28 Qualcomm Incorporated Method and apparatus for billing and security architecture for venue-cast services
WO2010066295A1 (en) * 2008-12-10 2010-06-17 Telefonaktiebolaget Lm Ericsson (Publ) Token-based correlation of control sessions for policy and charging control of a data session through a nat
US8750370B2 (en) * 2009-09-04 2014-06-10 Brocade Communications Systems, Inc. Congestion-adaptive compression
US8301895B2 (en) 2009-12-02 2012-10-30 Microsoft Corporation Identity based network policy enablement
US8949978B1 (en) * 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
US9398517B2 (en) * 2010-01-11 2016-07-19 Blackberry Limited System and method for enabling discovery of local service availability in local cellular coverage
CN102469020B (zh) * 2010-11-19 2017-10-17 华为技术有限公司 一种业务控制方法及系统、演进基站、分组数据网网关
CN102625271B (zh) * 2011-01-26 2016-09-07 中兴通讯股份有限公司 一种共设mtc设备的信令优化方法和系统
US8978100B2 (en) * 2011-03-14 2015-03-10 Verizon Patent And Licensing Inc. Policy-based authentication
TWI491298B (zh) 2011-03-30 2015-07-01 Htc Corp 行動通訊系統中註冊控制方法
KR101929533B1 (ko) * 2011-04-01 2018-12-17 인터디지탈 패튼 홀딩스, 인크 공통 pdp 컨텍스트를 공유하기 위한 시스템 및 방법
US20120323990A1 (en) * 2011-06-15 2012-12-20 Microsoft Corporation Efficient state reconciliation
US8976813B2 (en) 2011-09-08 2015-03-10 Motorola Solutions, Inc. Secure quality of service
US9490980B2 (en) * 2012-02-27 2016-11-08 Nachiket Girish Deshpande Authentication and secured information exchange system, and method therefor
US8621590B2 (en) 2012-03-19 2013-12-31 Cable Television Laboratories, Inc. Multiple access point zero sign-on
US9818161B2 (en) * 2012-06-05 2017-11-14 Apple Inc. Creating a social network message from an interface of a mobile device operating system
EP2901766A2 (en) 2012-09-27 2015-08-05 Interdigital Patent Holdings, Inc. End-to-end architecture, api framework, discovery, and access in a virtualized network
DE102013102487A1 (de) 2013-03-12 2014-09-18 Deutsche Telekom Ag Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte
US9098687B2 (en) 2013-05-03 2015-08-04 Citrix Systems, Inc. User and device authentication in enterprise systems
WO2015023537A2 (en) * 2013-08-16 2015-02-19 Interdigital Patent Holdings, Inc. Methods and apparatus for hash routing in software defined networking
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US9648141B2 (en) * 2015-03-31 2017-05-09 Cisco Technology, Inc. Token delegation for third-party authorization in computer networking
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080127320A1 (en) * 2004-10-26 2008-05-29 Paolo De Lutiis Method and System For Transparently Authenticating a Mobile User to Access Web Services
US20080062986A1 (en) * 2006-09-08 2008-03-13 Cisco Technology, Inc. Providing reachability information in a routing domain of an external destination address in a data communications network
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
CN101064695A (zh) * 2007-05-16 2007-10-31 杭州看吧科技有限公司 一种P2P(Peer to Peer)安全连接的方法
US20100306547A1 (en) * 2009-05-28 2010-12-02 Fallows John R System and methods for providing stateless security management for web applications using non-http communications protocols
US20110185039A1 (en) * 2010-01-28 2011-07-28 Fujitsu Limited Computer-readable medium storing access control program, access control method, and access control device
US20120106338A1 (en) * 2010-10-28 2012-05-03 Gergely Pongracz Dynamic control of air interface throughput
CN102622350A (zh) * 2011-01-26 2012-08-01 腾讯科技(深圳)有限公司 一种写数据的方法、装置及系统
US20130139241A1 (en) * 2011-11-29 2013-05-30 Michael Leeder Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains
WO2014056523A1 (en) * 2012-10-08 2014-04-17 Nokia Solutions And Networks Oy Methods, devices, and computer program products for keeping devices attached without a default bearer

Also Published As

Publication number Publication date
EP3262821A2 (en) 2018-01-03
KR20170118732A (ko) 2017-10-25
WO2016137598A3 (en) 2016-11-03
JP2018508146A (ja) 2018-03-22
US20220150699A1 (en) 2022-05-12
US20230091356A1 (en) 2023-03-23
EP3262821B1 (en) 2024-08-14
US11910191B2 (en) 2024-02-20
BR112017018021A2 (pt) 2018-04-10
KR102487923B1 (ko) 2023-01-11
CN107409125A (zh) 2017-11-28
US20190349306A1 (en) 2019-11-14
US11265712B2 (en) 2022-03-01
WO2016137598A2 (en) 2016-09-01
US10505850B2 (en) 2019-12-10
JP6687636B2 (ja) 2020-04-22
TW201644238A (zh) 2016-12-16
CN107409125B (zh) 2021-02-19
US11570622B2 (en) 2023-01-31
US20160248682A1 (en) 2016-08-25

Similar Documents

Publication Publication Date Title
TWI668976B (zh) 用於針對服務-使用者平面方法使用網路符記的高效策略實施之方法及設備
US11290382B2 (en) Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach
TWI625951B (zh) 使用用於服務c平面方法的網路符記的高效策略實施
US10986501B2 (en) Secure telephone identity (STI) certificate management system
US11063990B2 (en) Originating caller verification via insertion of an attestation parameter
EP4513926A1 (en) Systems and methods for end user authentication