CN103098432A - 提供安全基础设施的方法、系统和设备 - Google Patents
提供安全基础设施的方法、系统和设备 Download PDFInfo
- Publication number
- CN103098432A CN103098432A CN2011800143781A CN201180014378A CN103098432A CN 103098432 A CN103098432 A CN 103098432A CN 2011800143781 A CN2011800143781 A CN 2011800143781A CN 201180014378 A CN201180014378 A CN 201180014378A CN 103098432 A CN103098432 A CN 103098432A
- Authority
- CN
- China
- Prior art keywords
- network
- service
- ipsec
- information
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 106
- 230000006855 networking Effects 0.000 claims description 26
- 238000013459 approach Methods 0.000 claims description 9
- 230000015572 biosynthetic process Effects 0.000 claims description 6
- 230000011664 signaling Effects 0.000 claims description 4
- 230000002776 aggregation Effects 0.000 claims description 2
- 238000004220 aggregation Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 72
- 230000006870 function Effects 0.000 description 65
- 230000005540 biological transmission Effects 0.000 description 39
- 238000004891 communication Methods 0.000 description 34
- 230000015556 catabolic process Effects 0.000 description 21
- 238000006731 degradation reaction Methods 0.000 description 21
- 230000008093 supporting effect Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 18
- 238000005516 engineering process Methods 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 14
- 230000004044 response Effects 0.000 description 14
- 238000012360 testing method Methods 0.000 description 13
- 230000014509 gene expression Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 11
- 230000000875 corresponding effect Effects 0.000 description 11
- 238000012795 verification Methods 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 9
- 238000003860 storage Methods 0.000 description 9
- 230000003044 adaptive effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 239000004744 fabric Substances 0.000 description 5
- 230000008447 perception Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 201000006549 dyspepsia Diseases 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000001976 improved effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- NJPPVKZQTLUDBO-UHFFFAOYSA-N novaluron Chemical compound C1=C(Cl)C(OC(F)(F)C(OC(F)(F)F)F)=CC=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F NJPPVKZQTLUDBO-UHFFFAOYSA-N 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5691—Access to open networks; Ingress point selection, e.g. ISP selection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用于例如通过以下步骤在非安全网络基础设施上自动地提供安全网络基础设施的方法和设备:自动地生成通过非安全网络的IPSec隧道,在边界设备端接该IPSec隧道和创建合适的服务以在IPSec隧道与安全网络之间桥接业务。各种不同的实施例提供了安全网络基础设施、适配于特定客户需求的安全网关(SEG)实施例和各种不同的商业方法的快速提供。
Description
相关申请的交叉引用
本申请主张2010年3月16日提交的标题为“METHOD,SYSTEM AND APPARATUS FOR IPSEC INFRASTRUCTUREPROVISIONING,MANAGEMENT AND APPLICATIONSTHEREOF”的美国专利申请号61/314,448的权利,在此引入其全部内容作为参考。
技术领域
本发明一般地涉及通信网络,更具体地(但不仅仅)涉及在非安全传输层上提供安全服务。
背景技术
例如第四代(4G)无线网络的各种不同的网络支持大量的运行一个或多个应用程序的无线用户。业务被打包并且经由IP网络按照多个网络单元被传输,该多个网络单元使用不同的传输技术、被施加以服务质量(QoS)策略等等。这种网络本身很复杂并且对于网络服务提供商和他们为确保向其移动用户稳定地递送高品质服务所依赖的网络管理工具提出了新挑战。
联合传输层来提供和监控安全基础设施层(例如IPSec基础设施层)是复杂的并且易于出错,其中该安全基础设施层构建于该传输层之上。传输网络最初被提供用于支持针对各种不同的客户目标而必需的带宽。当需要安全联网时,IPSec基础设施然后被构建在所提供的网络之上。
传输网络提供过程和IPSec基础设施提供过程是彼此独立的。这种独立性导致低效率和缺乏这两个层之间的互相感知,这在故障排除、更新、网络管理和其他功能期间会产生问题。例如,在IPSec层之下的传输网络单元内的任何故障将例如通过降级终端用户或终端客户的虚拟专用远程网(VPRN)来影响IPSec层的功能性。
发明内容
现有技术中的各种缺陷通过用于在非安全网络基础设施上提供安全网络基础设施的实施例而得到解决。各种不同的实施例提供了安全网络基础设施、适合于特定的客户需求的安全网关(SEG)实施例和各种商业方法等的快速提供。
各种实施例用于配置现有非安全网络环境内的单元以实现支持用于由用户经由非安全网络接入安全网络的接入点之间的安全隧道化所必需的服务,例如第三层(L3)虚拟专用网(VPN)服务、VPRN(虚拟专用远程网)服务、IES(因特网增强业务)服务和/或其它服务。当被配置时,安全网络(例如企业网)就用户经由非安全网络(例如因特网)接入企业网而言是受到保护的(例如IPSec连接到企业或其它安全网络)。
在安全网关(SEG)实施例中,关联于边界设备的路由器用作安全网络的安全客户端,而各种不同的用户用作路由器的安全客户端。这样,关联于用户的IPSec业务在安全网关的边界设备被端接,而不是在关联于安全网络的端接点。通过避开安全网络内的多个用户IPSec隧道的端接,网络的安全性被增强,提供复杂度被降低,并且企业网络可以保留现有的服务和协议(例如L2VPN)。
附图说明
参考附图,通过考虑下面的详细描述,能够容易地理解本发明的教学,其中:
图1示出了根据一个实施例的示例性结构;
图2更详细地示出了接近于图1的结构中的路由器内的边界卡的网络协议;
图3是说明由图2的示例性管理系统执行的服务创建和关联过程的高级框图;
图4是大规模视频服务结构的高级框图;
图5示出了适用于各种不同的实施例中的示例性管理系统;
图6示出了根据一个实施例的包括管理系统的示例性无线通信系统;
图7-8是说明根据各种不同的实施例的由管理系统执行的发现和管理过程的高级框图。
为了促进理解,在可能的情况下使用相同的参考号码来表示图中共用的相同单元。
具体实施方式
本发明将主要在特定实施例的上下文中被描述,然而,读过本发明的本领域技术人员应当认识到,本发明也适用于其他技术领域和/或实施例。
一般而言,各种不同的实施例能够支持和/或改进与构建安全基础设施层(例如IPSec基础设施层)相关联的提供和监控,该安全基础设施层是在所提供的网络传输层之上被构建的以提供如这种服务所需要的安全联网服务。
各种不同的实施例也适用于以下背景:安全套接层(SSL)虚拟专用网(VPN)、动态多点VPN、随机加密等的上下文。受益于这种服务的各种不同的实施例也将被讨论,包括经由一个或多个非安全核心和/或接入网而接入安全企业网、提供视频点播(VoD)和其他电视/广播服务等。
各种不同的实施例适用于支持安全联网技术(例如IPSec隧道传输)的任何接入或核心网环境,包括现有的和将来的有线和/或无线IP网络或使用IP型控制协议的网络。例如,在这里就与长期演进(LTE)有关的环境(通常经由eNodeB接入)而描述的各种不同的系统、装置、方法、功能、程序、拓扑等也适用于其他环境,例如经由数字用户线(DSL)、缆线调制解调器和其他现有的和将来的接入技术而接入的环境。发明人也设想其他各种不同的LTE部件也可以使用根据本发明的安全隧道,例如MME、SGW、PCRF(DSC)和/或(PGW)。一般而言,LTE网络或其他网络的任何部件可以受益于拥有经由安全网关(SEG)的安全隧道。尽管事实上eNodeB是针对这种功能性的最通用的客户端。
各种不同的实施例用于配置现有非安全网络环境内的单元以实现支持接入点之间的安全隧道传输所必需的服务,所述接入点用于经由非安全网络接入安全网络,所述服务例如是第3层(L3)虚拟专用网(VPN)服务、VPRN(虚拟专用路由网)服务(例如2547bis)、IES(互联网增强型服务)服务和/或其它服务。当被配置时,就用户经由非安全网络(例如因特网)接入企业网而言(例如至企业或其它安全网络的IPSec连接),安全网络(例如企业网)是受保护的。
在安全网关(SEG)环境下,关联于边界设备的路由器用作至安全网络的安全客户端,而各种不同的用户用作至路由器的安全客户端。以这种方式,关联于用户的IPSec业务在安全网关的边界设备处被端接,而不是在关联于安全网络的端接点。通过避免安全网络内的多个用户IPSec隧道的端接,网络的安全性被增强,提供复杂度被降低并且企业网可以保留现有的服务和协议(例如L2VPN)。
提供安全基础设施层
一般而言,各种不同的实施例实现、支持和/或改进关联于构建安全基础设施层(例如IPSec基础设施层)的提供和监控,该安全基础设施层是被构建于所提供的网络传输层之上的从而当需要这种服务时提供安全联网服务,例如提供经由一个或多个非安全核心和/或接入网而至安全企业网的接入。
这里描述的各种不同的实施例适用于支持安全联网技术(例如IPSec隧道传输)的任何接入和核心网络环境,包括现有的和将来的有线和/或无线IP网络或使用IP型控制协议的网络。例如,这里就与长期演进(LTE)有关的环境(经由eNodeB接入)而描述的各种不同的系统、设备、方法、功能、程序、拓扑等也适用于其他环境,例如经由数字用户线(DSL)、缆线调制解调器和其他现有的和将来的接入技术而接入的环境。
各种不同的实施例用于配置现有非安全网络环境内的单元以实现支持接入点之间的安全隧道传输所必需的服务,所述接入点用于用户经由非安全网络接入安全网络,所述服务例如是第3层(L3)虚拟专用网(VPN)服务、VPRN(虚拟专用路由网)服务、IES(互联网增强型服务)服务和/或其他服务。当被配置时,就用户经由例如互联网的非安全网络接入企业网而言(例如至企业或其他安全网络的IPSec连接),安全网络(例如企业网)是受保护的。
在安全网关(SEG)环境中,关联于边界设备的路由器用作至安全网络的安全客户端,而各种不同的用户用作至路由器的安全客户端。以这种方式,关联于用户的IPSec业务在安全网关的边界设备处被端接,而不是在关联于安全网络的端接点。通过避免安全网络内的多个用户IPSec隧道的端接,网络的安全性被增强,提供复杂度被降低并且企业网可以保留现有的服务和协议(例如L2VPN)。
图1示出了根据一个实施例的简化结构。具体地,图1的简化的结构100示出了较大网络(未显示)的一部分,其中两个用户经由各自的通过非安全网络的安全路径而相互通信,每个安全路径在非安全网络的接入点处被发起并且在安全企业网处被端接,该安全企业网用于连接用户以由此构成用户间的安全路径。
参考图1,第一用户1101经由各自的接入设备1201接入第一非安全网络8301,第二用户1102经由各自的接入设备1202接入第二非安全网络8302。在第一接入设备1201与第一路由设备1401之间通过第一非安全网络8301内的一个或多个链路/路径来传输业务,并且在第二用户1102和第二路由设备1402之间通过第二非安全网络8302内的一个或多个链路/路径来传输业务。
根据要由用户设备110接入的非安全网络130的类型,相应的接入设备120可以包括数字用户线(DSL)、缆线调制解调器、eNodeB或其它接入设备或聚集点。
每个路由设备140都包括或关联于边界设备142或类似的端接/桥接机构以端接来自非安全网络130的业务、端接来自安全网络140的业务并且在非安全130和安全140网络之间适当地桥接所端接的业务。
路由设备140可以包括能够提供路由、桥接和/或这里描述的其它功能的任何路由器或交换设备或其组合。在一个实施例中,路由设备140包括其中安装了IPSec边界卡142的Alcatel-Lucent7750服务路由器。
因此,在一个实施例中,每个用户设备经由在各自的接入设备120与例如各自的路由器中的各自的IPSec边界卡的非安全侧之间的链路进行通信。IPSec边界卡的安全网络侧经由安全企业网络相互通信。
在安全网络内行进的分组不需要IPSec隧道传输以穿过那里。一般而言,安全企业网络使用第3层VPN或其它安全基础设施来传输业务以使得对企业网络内的这种业务的进一步加密是不必要的(事实上,进一步加密可能使得所加密的分组变得不可读取)。
穿过非安全网络的分组是经由(加密的)IPSec会话来传送的,该IPSec会话由各种不同的传输层硬件、软件、协议等支持。
边界设备142被用来利用L3 VPN、VPRN等来创建/端接通过非安全网络的安全(加密)服务。也就是说,安全IPSec会话是在用户设备(具有其自己的IP地址)与边界设备(也具有其自己的IP地址)之间被创建的。以这种方式,边界设备将来自经由非安全网络而提供的安全(加密)服务的分组传送到安全企业网络以说明性地传播至安全企业网络内的用户或安全企业网络外的用户(例如图1中的第二用户)。
可选地,边界设备也支持针对安全IPSec会话的互联网增强型服务(IES)。下面将参考图2更详细地描述边界设备142。
图1也示出了提供用于管理非安全网络130的管理功能的管理系统(MS)170。MS 170可以以任何适当的方式与非安全网络130通信。下面将参考图5描述适于用作图1的MS 170的示例性管理系统。
在图1中,虚线代表加密的IPSec会话的路径。应当指出,第一和第二用户二者都关联于在各自的路由设备140处端接的各自的加密IPSec会话。可选地,边界设备在将分组传递至安全网络之前解除该分组的加密,因为如果不解除则该分组可能变得难以理解。
尽管图1只显示了两个用户,然而应当认识到,不止两个用户可以相互通信并且每个用户可以与不止一个其他用户通信。
尽管图1示出了每个用户110经由各自的接入设备120接入各自的非安全网络130,然而该用户事实上可以通过各自的或通用的接入设备而接入通用的非安全网络。此外,用户可以同时接入多个非安全网络,例如移动设备用户接入3G/4G/xG网络和本地802.11x网络或热点。
尽管图1示出了用户110与路由设备140之间的单个非安全网络,然而在各种不同的实施例中,用户业务将经由多个非安全网络被传输,例如经由接入网和核心网。
应当指出,一个或多个用户可以经由一个或多个说明性地用作安全网关(SEG)的路由设备140而连接到安全网络。此外,在各种不同的实施例中,一个或多个路由设备140可以从多个网络接入。例如在各种不同的实施例中,这里在图1中显示的两个非安全网络130都可以接入两个路由设备140。这可能是这样的情况,即特定的非安全网络130将基于成本考虑而宁愿选择特定的路由设备140;然而,接入多个路由设备140的能力在各种不同的实施例的上下文中提供了冗余和/或弹性。
在各种不同的实施例中,Alcatel-Lucent的通用服务模块(VSM)被用来实现服务的交叉连接。
上述实施例由路由设备支持,该路由设备用作至安全网络140的安全网关。例如,包括边界设备的路由器(例如具有多个边界卡的7750路由器、交换模块等)可以被配置为安全网关产品,其在被安装到服务提供商的网络内时提供和/或支持这里描述的各种不同的安全传输和管理功能。
图2示出了根据一个实施例的示例性安全网关(SEG)。具体地,图2示出了包括标记为I/O接210的第一多个输入/输出接口、交换结构220、边界设备230和第二多个I/O接240。
当根据各种不同的实施例被提供时,安全网关(SEG)200在这里描述的各种不同的实施例的上下文中提供端接、路由和桥接功能性。也就是说,加密的用户业务经由在边界设备230的第一部分230A被端接的IPSec隧道通过去往/来自安全网关200的非安全网络130而被传输。非加密用户业务通过去往/来自安全网关200的安全网络150而被传输并且在边界设备230的第二部分230B被端接。
在图2的实施例中,边界设备230的第一和第二部分包括各自的第一230A和第二230B边界卡。在其他实施例中,使用单个边界卡。在其他实施例中,仍使用其他边界设备机构。
例如,尽管图2示出了说明性地以HA和负载均衡模式而部署的两个边界卡的使用,然而在各种不同的实施例的上下文中可以使用更多或更少的边界卡。例如,进入和外出IPSec接口二者都可以在同一边界设备或边界卡上,因为在各种不同的实施例中,这些IPSec接口是仅提供支持IPSec服务的所需功能性的虚拟接口。
第一多个输入/输出接口标记为I/O接口2101、2102、2103等等直到210N,而每个I/O接口包括多个进入端口、外出端口、缓冲器等等(未显示)。加密的用户业务在第一多个I/O接口210与边界设备230的第一部分230A之间说明性地经由交换结构220的第一部分2201被传送。
第二多个输入/输出接口标记为I/O接口2401、2402、2403等等直到240M,而每个I/O接口包括多个进入端口、外出端口、缓冲器等等(未显示)。未加密的用户业务在第二多个I/O接口210与边界设备230的第二部分230B之间说明性地经由交换结构220的第二部分2202被传送。
在图2的实施例中,交换结构220显示为包括第一和第二部分用于在边界设备230分别与第一多个输入/输出接口210和第二多个输入/输出接口220之间交换业务。交换结构220可以在无需分离的部分和/或全部忽略的情况下被实现。例如,在各种不同的实施例中,非常少量的第二多个输入/输出接口被使用,因为SEG200可以被部署为服务于非常少数的安全网络的需求(例如在指定位置的几个企业客户端。)
为了经由在边界设备230的第一部分230A处被端接的IPSec隧道而支持加密的用户业务,边界设备必须被配置成支持那些实现这种IPSec隧道传输的协议,例如之前提到的L3VPN、IES、VPRN等。
图3示出了用于在非安全传输基础设施上自动提供安全传输基础设施的方法的流程图。图3的方法300可以响应于服务请求或关于为客户(例如具有与服务提供商的非安全网络通信的安全网络的企业客户)提供安全服务的其他指示而被触发。
在步骤310,安全网络被选择用于保护。例如,参考图1和2,安全网络150可以包括关联于服务提供商的企业客户的企业网络。在这种情况下,企业客户希望给予一个或多个用户至企业网络的安全接入,而一个或多个用户将经由非安全网络访问。要保护的安全网络可以包含于客户服务请求内,由操作员直接输入的服务请求内的配置文件信息内,等等。
在步骤320,选择安全网关(SEG)。例如,参考图1和2,接近于企业网络150并且具有边界设备142的路由设备140可以被选择用作安全网关200。参考框325,被选定使用的特定的SEG可以包括多个可用的有IPSec能力的网关设备之一。SEG可以根据一个或多个以下准则而被自动选择:成本(例如就最短路径而言的最低成本或其它措施)、与客户的接近度、与服务提供商的接近度、利用率等级(可用带宽或处理资源)和/或其它准则。用于选择特定网关以用作安全网关SEG的各种其它机制也可以被采用。在NOC的实施例中,潜在SEG的列表可以就上述准则而被可视地呈现给操作员以帮助进行选择。
在步骤330,例如一个或多个SG中的一个或多个IPSec卡或组的一个或多个边界设备被选择用于保护安全网络。多个边界设备可以被用来提供冗余、弹性或者处理大量的带宽业务。
在步骤340,选择、创建或提供例如L3 VPN服务的安全联网服务以连接所选边界设备(例如IPSec卡)和安全网络。所选择的、所创建的或所提供的服务关联于面向安全网络的边界设备130的那部分,例如边界卡230的第二部分230B。例如,如果安全网络150经由与L3 VPN不同的机构耦合到所选网关设备,则合适的L3 VPN服务被创建以使得IPSec功能性/基础设施可以连接到安全网络150。
在步骤350,选择、创建或提供用于托管公共IP地址以由例如IPSec客户端的安全客户端使用的服务,例如IES、VPN和/或VPRN服务。由IES、VPN和/或VPRN服务托管的公共IP地址由IPSec客户端使用以发起IPSec隧道的创建。所选择的、所创建的或所提供的服务关联于边界设备130面向非安全网络的那部分,例如边界卡230的第一部分230A。例如,用户设备110将需要地址来用于端接IPSec隧道,该地址将由关联于边界卡的第一部分的IES、VPN和/或VPRN服务提供。
在步骤360,IPSec接口被创建以在单个组内配对或关联非安全网络的公共业务和关联于待保护网络的安全业务以使得该安全网络经由合适的隧道接收来自合适用户的公共业务并且经由合适的隧道将业务传送至合适的用户。公共业务包括由在边界设备的面向非安全网络的那部分被端接的IPSec隧道所传送的业务,而私人业务包括在边界设备的面向安全网络的那部分被端接的业务。传送关联于安全网络的业务的那些IPSec隧道化路径与安全网络业务路径一起被编组。
在步骤370,每个服务对关联于各自的封装标识符以使得关联于不同服务对(受保护,分发;安全,公共)的所标识业务可以被分割。以这种方式,公共/私人路径经由边界设备被桥接以提供安全公共地址给安全网络的合适的或授权的用户。
在各种不同的实施例中,组被用来捆绑边界卡,其将IPSec功能性给予在IPSec组的上下文中被创建的IPSec接口。在各种不同的实施例中,每组有两个IPSec接口,一个公共的和一个私人的。两个接口上的封装必须匹配以绑定一个公共L3 VPN和私人L3 VPN。这个封装使得几个服务绑定能够被分配给单个IPSec接口对(例如在端口提供VLAN以将业务从一个网络或用户中分割给另一个)。
图3的方法300提供了这样一种提供机制,其中至由服务提供商的企业或其它客户所拥有的安全网络的接入可以由该服务提供商自动提供。在操作中,非安全网络内的许多接入点可以被授权接入安全网络。每个接入点将经由安全隧道传输来自和去往任何SEG的业务。在各种不同的实施例中,多个SG可以被使用以保护安全网络。在这些实施例中,各种不同的接入点中的每一个都将关联于特定的SEG,并且每个SEG都可以被用来端接来自各种不同的接入点的一个或多个隧道。
在一些实施例中,根据用户的服务质量需求、关联于用户的服务等级协议、用户与安全网络之间的业务类型、用户的指定接入设备等,选择关联于特定用户的特定SEG。一些路由器可能能够提供非常大容量/带宽的SEG功能,而其他路由器可能只能够提供不太大的容量来保护安全网络。在一些实施例中还设想具有指定边界设备能力、带宽能力等的专用路由器被部署在接近于服务提供商客户的安全网络的位置以使得安全基础设施的快速实例化或构建可以如这里讨论的那样被快速提供。
在各种不同的实施例中,步骤340、360和/或370基于资源可用性而被自动调用,例如特定服务、已使用的封装标识或关联、具有超额容量的边界设备或子设备(例如IPSec模块或卡)等的存在。这些步骤可以通过如这里描述的服务感知管理器(SAM)而被自动化,以使得来自操作员的指定输入对于创建或提供安全隧道、业务在安全隧道与受保护网络之间流动所凭借的机制等而言不是必需的。
内容提供商实施例
在一个实施例中,内容提供商在一天中的指定时间经由安全IPSec路径将内容递送至用户(例如补充客户端DVR设备的Netflix)。支持必要IPSec路径以提供内容给用户的IPSec基础设施当用户基础更改时也更改。周期性地,内容提供商发送服务请求至服务创建引擎(经由网络管理系统),该请求导致适配IPSec基础设施的服务创建引擎供给所请求的服务,例如请求附加的IPSec路径以将内容流式传输至指定地理区域中的用户。
电视/视频/视频点播(VoD)的全部实施例
图4示出了用于递送电视、视频和/或VoD服务至远端位置的系统的高级框图。具体地,图4的系统400提供了这样一种机制,其中不是由较大内容分发公司(缆线公司、电信公司等)服务的相对较小的市场可以经由中间或大型公司接收这种服务。
具体地,多个缆线接入相邻单元410中的每一个散布在不同的地理区域。每个缆线接入相邻单元410都关联于各自的多个用户设备110。参考图4,第一缆线接入相邻设备4101显示为服务于多个用户设备1101、1102等等,直到110N。用户设备110可以包括机顶盒、无线网络或任何其他能够获得通过缆线接入相邻单元410内的设备的接入的用户设备类型。
每个缆线接入相邻单元410与提供至网络430的接入的接入点420通信。在各种不同的实施例中,网络430包括通过任何类型的物理层(光、电、微波等)传送的公共IP网络。
网络430与包括边界设备442的安全网关(SEG)440通信。SEG 440与安全网络450通信,该安全网络内包括关联于电视、视频和/或VoD服务提供商的昂贵设备。例如,图4示出了安全网关440经由安全网络150与头端460通信。头端460包括与卫星电视传输系统474和陆地电视传输系统480中的一个或二者相关联的下行链路机制等等。
SEG 440以与图1-3中所描述的类似的方式操作。在图4所示的整个视频服务结构的上下文中,SEG 440在地理上接近于头端460以减少关联于安全网络450的费用。
图4的整个视频结构用于通过提供至一个或多个交换机/路由器(说明性地是服务路由器)的安全网络通信来减少昂贵设备设施的数量(例如缆线电视头端等),其中所述交换机/路由器服务于远端全部缆线电视购买者(例如小型城域系统运营商)。
具体地,缆线电视头端从陆地电视发射机和卫星电视发射机中的一个或二者接收广播视频、广播电视、用于本地存储的视频节目安排等等。
头端经由安全网络与SEG 440通信,类似于上述安全企业网络。这个网络包括防火墙和各种其他安全部件。SEG 440说明性地位于距头端较近的位置以降低成本。
SEG 440与多个缆线电视端点410(例如三个)中的每一个通信,例如较小的批发商或甚至是用户110。SEG 440、接入点和缆线电视端点之间的距离可能非常大、可能穿过一个或多个公共网络等等。一般而言,适于在SEG 440与缆线电视端点之间提供视频服务的指定传输层基础设施可以是公共/非安全的。
为了保持内容安全性,IPSec基础设施被配置为提供一个或多个安全IPSec路径或会话以支持缆线电视端点。安全IPSec路径的提供和监控是由如上所述的网络管理软件/硬件来执行的。
单一形式提供实施例
在各种不同的实施例中,服务提供商说明性地在网络操作中心(NOC)经由与用户终端中的图形用户接口内的一个或多个窗口互动的运营商而为客户提供服务。为了高效地提供这种服务,一个实施例设想单一形式入口,其中只提供了与待保护的安全网络相关联的最少量数据(例如安全网络的标识)。另一个实施例设想响应于其中提供了待保护安全网络的客户请求而自动提供这种服务。
因此,各种不同的实施例提供了利用单一配置形式来配置IPSec系统的能力,而不是关联于配置这种系统所必需的多个步骤中的每一个的多个配置形式。以这种方式,避免了网络操作人员的通常是耗时的交互,其中每个交互通常关联于数据入口的特定形式(例如,选择和提供网络设备、链路等的形式、提供对冗余功能编组的形式、提供安全服务的形式、配置密钥策略的形式等)。
在一个实施例中,NOC用户说明性地在支持其中提供安全IPSec建立形式的图形用户接口的计算机终端中调用根据各种不同的实施例的方法。该形式作为输入而接受与所期望的安全IPSec功能性相关联的各种不同的准则。
第一,选择要保护的网络(例如企业网络、内联网、因特网、网络的单个或多个租赁部分等等)。
第二,选择至所选网络的指定的入口或接入点,其将被用来支持所期望的安全IPSec功能性。这些入口点可以说明性地包括待保护网络(例如图1的安全或企业网络)与接入或核心网(例如图1的非安全或服务提供商网络)之间的网桥(例如路由器)。可选地,可以使用默认的接入点。
希望在远端工人的上下文中使用其安全企业网络的公司提供包括针对每个工人的接入点或更可能地是针对N个工人中的每一个的接入点的服务请求,其中N是大于一旦小于工人总数的整数。通常不需要针对每个远程用户提供一个接入点,除非所有用户必须同时接入远程网络。
各种不同的接入点的物理位置适配于远程用户的可能位置。如果远程用户遍布于广泛的地理区域,则将所有接入点分配给一个物理位置是无益的。在该情况下,地理相距较远的那些远程用户将被迫使用一个或多个接入网而只是为了到达接入点,这必然降低体验的质量并且可能增加经由敷设于非安全公共网络上的安全IPSec基础设施而接入安全公司网络的成本。支持工人穿过任何网络的安全IPSec隧道对于将工人连接到边界卡而言是必需的。
第三,选择要使用的IPSec提供的类型,例如能够与桥接机构通信的公共或私人接入点或接入点类型,以及支持这种通信的协议等等。可选地,可以使用默认的IPSec提供。
然后,被选择为受保护的网络以及任何接入点、IPSec提供信息或其它信息由服务创建引擎来处理以生成IPSec基础设施。所生成的IPSec基础设施可以被优化、部分或整体生效或在实现之前被改善。
服务创建引擎(SCE)实施例
一个实施例包括响应于包括各种配置文件信息(例如所选安全网络、网络入口点和IPSec提供类型)的服务请求而创建整个IPSec基础设施/服务层的服务创建引擎(SCE)。服务创建引擎检查被配置用于适合该应用的各种不同的IPSec隧道或动态VPN隧道的可用交叉连接(公共/私人),调用各种不同的提供算法等等。
服务创建引擎确定哪些服务要受到保护以及需要哪些节点来提供至客户端或公司的期望的接入。例如当所创建的IPSec层的一个或多个部分穿过由服务提供商控制的网络设备时,由服务创建引擎创建的IPSec基础设施/服务层可选地被提供给服务提供商用于分析。服务提供商分析服务创建引擎的输出以识别满足所创建的IPSec基础设施/服务层所必需的设备,例如关于添加、缩放或更新必需设备的请求、用于加密和密钥交换的算法、密钥等等。
隧道模板可以包括用于实现对传输分组的加密/解密的各种不同的信令参数。此外,各种不同的规则/策略被用来管理业务流,例如在特定范围内将IP地址分配给相应的特定服务,由此将那些IP地址映射到特定的服务。此外,对IPSec隧道的部分使用可以被用来管理为各种不同的服务所预留的容量,例如服务网关(SEG)内的带宽或交换容量。
在各种不同的实施例中,客户提供包括与要建立的安全服务相关联的各种不同的配置文件信息的服务请求给网络提供商。该配置文件信息基本上如上文所述,并且可以包括要保护的企业服务器的身份、关于安全服务而使用的接入点、要使用的协议、要使用的密钥等等。
作为响应,服务创建引擎处理该服务请求从而自动生成安全IPSec基础设施以用于满足该服务请求。所生成的安全IPSec基础设施的起源可能需要中间服务提供商的进一步分析以确保与所生成的基础设施相关联的假设是适当的。如果不是,则服务提供商响应以建议(希望是)或者至少是关于所生成的安全IPSec基础设施的哪些部分不可行的指示。
在各种不同的实施例中,SCE接收与期望的IPSec服务有关的参数(例如配置文件)并且作为响应而实现基础通信信道(传输层)的提供和合适的IPSec基础设施在提供传输层上的敷设。这个实施例提供了一种自动化或半自动化系统,其中客户能够提供服务请求,该服务请求定义了该客户希望提供接入的网络(例如安全企业网或内联网)和关联于该接入的各种不同的参数,例如远程用户的数量、用户接入网络的指定接入点等等。SCE可以被用于自主模式以提供响应于所接收的参数的提供规划。
SCE可以被用于用户经由单一形式入口屏幕(相对于目前使用的多个屏幕/形式)的例如网络操作中心内的交互式模式。网络管理器软件可以与关联于中间网络云的管理软件交互以确定IPSec基础设施假设对于各种不同的参数而言是否是合适的,例如其他(例如第三方所拥有的)网络云。也设想其他变型。各种不同的实施例包括SCE本身、由NOC用户使用的软件、包括SCE、用户、配置文件和/或关联于其他网络云的第三方管理软件之间的交互的方法。
IPSec基础设施监控实施例
在创建/提供安全IPSec基础设施之后,该方法的另一个实施例进入操作的主动监控模式。在该实施例中,关联于每条路径的链路和各种不同的网络单元是已知的,例如在各种不同的通信或管理系统(例如由Alcatel-Lucent制造的用于管理LTE系统的服务感知管理器Lucent(SAM))的上下文中。
这里讨论的各种不同的管理功能可以在关联与每个路径和/或IPSec隧道有关的传输层单元的实施例的上下文中被使用以便提供改进的网络管理能力。以这种方式,关联于特定安全IPSec基础设施路径的服务降级可以被用来识别该路径所必需的哪个网络单元或链路降级。类似地,关联于特定网络单元或链路的服务降级可以被用来识别与降级的网络单元或链路有关的安全IPSec基础设施路径中的哪一个可能出现问题。
响应于故障(例如在接入点、链路或网络单元),封装实体自动将该故障关联于安全IPSec路径和/或支持该路径的一个或多个传输层单元,封装实体和管理功能、包括边界卡的交换机或路由器、服务感知管理器(SAM)等等。进一步,执行影响分析以确定哪些其他安全IPSec路径和/或传输层单元已经出故障或降级。
可选地,网络探头或测试向量被执行以识别可能降级或出故障的指定安全IPSec路径、移动服务、网络单元、链路等。这些测试实时地测量网络性能并且在这种降级导致更大的问题或故障之前评估错误条件或其他网络降级指示。
在各种不同的实施例中,所提供的IPSec基础设施被监控以确定是否检测到指示了可能的服务降级或故障的任何错误条件或其他异常。该监控可以是被动的,其中错误条件、告警条件等当出现时被发送到网络管理系统,其中电子管理系统采取合适的校正动作。该监控可以是主动的,其中测试向量和/或其他审核机制被用来测试或练习传输层单元以试图识别即将发生的错误条件。例如,导致增加的带宽使用的测试向量可以被用来施压于支持一个或多个安全IPSec路径的各种不同的部件以确定带宽使用的增加是否将导致服务降级。
图5示出了适于用在各种不同的实施例中的示例性管理系统。如图5所示,MS 500包括处理器510、存储器520、网络接530N和用户接530I。处理器510耦合到存储器520、网络接530N和用户接530I中的每一个。
处理器510适于与存储器520、网络接530N、用户接530I和支持电路540配合以为网络130提供各种不同的管理功能,例如上述参考不同附图所讨论的非安全网络130。
一般而言,存储器520存储数据和适于为网络130提供各种不同的管理功能的工具。该存储器包括发现引擎(DE)521、发现数据库(DD)522、关联引擎(CE)523、路径数据库(PD)524、分析器工具(ANT)525、核查工具(AUT)526、跟踪工具(TT)527、服务创建引擎(SCE)528和服务数据库(SD)529。可选地,提供公平管理工具(FMT)方法(未显示)。
在一个实施例中,DE 521、CE 523、ANT 525、AUT 526、TT 527、SCE 528和SD 529是利用可由处理器(例如处理器510)执行以执行这里描述的各种不同的管理功能的软件指令来实现的。
发现数据库(DD)522和路径数据库(PD)524每个都存储数据,该数据可由存储器520的引擎和工具中的一种和/或组合来生成和使用。DD 522和PD 524可以被组合成单个数据库或可以被实现为各自的数据库。组合的或各自的数据库中的任一种都可以以本领域技术人员已知的任何安排而被实现为单个数据库或多个数据库。
尽管就其中引擎、数据库和工具中的每一个被存储在存储器120内的实施例进行了描述,然而本领域技术人员应当认识到,所述引擎、数据库和/或工具可以被存储在位于MS 500内部和/或外部的一个或多个其他存储设备中。引擎、数据库和/或工具可以跨越位于MS 500内部和/或外部的任何合适数目和/或类型的存储设备而分布。这里将详细描述存储器520,包括存储器520的引擎、数据库和工具中的每一个。
网络接口530N适于促进与网络130的通信。例如,网络接口530N适于接收来自网络130的信息(例如适用于确定网络拓扑的发现信息、由MS 500对网络130发起的测试的结果等,以及可由MS 500从网络130接收以支持由MS 500执行的管理功能的任何其他信息)。类似地,例如,网络接口530N适于发送信息至网络130(例如,关于发现适于由MS 500使用以确定网络拓扑的信息的发现请求、关于核查部分网络130的核查请求等等,以及可由MS 500发送至网络130以支持由MS 500执行的管理功能的任何其他信息)。
用户接口530I适于促进与一个或多个用户工作站(说明性地是用户工作站550)的通信,以使得一个或多个用户能够执行针对网络130的管理功能。该通信包括去往用户工作站550的通信(例如用于呈递由MS 500生成的图像)和来自用户工作站550的通信(例如用于接收具有经由用户工作站550而呈递的信息的用户交互)。尽管主要描述为MS 500与用户工作站550之间的直接连接,然而应当认识到,MS 500与用户工作站550之间的连接可以利用任何合适的基础通信能力来提供,以便用户工作站550可以位于接近于MS 500的位置(例如如果MS 500和用户工作站550二者都位于网络操作中心(NOC)内)或与MS 500相距较远(例如如果MS 500与用户工作站550之间的通信可以被长距离传输)。
尽管这里主要就一个用户工作站进行描述,然而应当认识到,MS 500可以与任何合适数目的用户工作站通信,以使得任何数目的用户可以执行针对网络130的管理功能(例如如果NOC的技术团队经由各自的用户工作站接入MS 500以执行针对网络130的各种不同的管理功能)。尽管主要就用户工作站进行描述,然而应当认识到,用户接口530I可以适于支持与适用于经由MS 500管理网络130的任何其他设备通信(例如用于在一个或多个NOC显示屏上显示由MS 500生成的图像、用于使得用户能够经由远程计算机实现至MS 500的远程虚拟专用网(VPN)接入等,以及其各种组合)。本领域技术人员应当理解使用用户工作站来通过与管理系统的交互而执行管理功能。
如这里所描述的,存储器520包括发现引擎(DE)521、发现数据库(DD)522、关联引擎(CE)523、路径数据库(PD)524、分析器工具(ANT)525、核查工具(AUT)526、跟踪工具(TT)527、服务创建引擎(SCE)528、服务数据库(SP)529以及可选地公平管理工具(FMT)方法(未显示)。DE 521、DD522、CE 523、PD 524、ANT 525、AUT 526、TT 527和FMT 528相互配合以提供这里描述的各种不同的管理功能。尽管这里主要描述了通过和/或利用存储器520的引擎、数据库和/或工具中的指定的一种所执行的指定功能,然而应当认识到,这里描述的任何管理功能都可以通过和/或利用520的引擎、数据库和/或工具中的一种或多种来执行。
引擎和工具可以以任何适当的方式被激活。在一个实施例中,例如,引擎和工具可以通过以下方式被激活:响应于由用户通过用户工作站发起的人工请求、响应于由MS 500发起的自动化请求等以及其各种组合。
例如,如果引擎或工具被自动激活,则该引擎或工具可以通过以下方式被激活:响应于所调度的请求、响应于由MS 500基于在MS 500所执行的处理而发起的请求(例如如果由CE 523所生成的结果指示ANT 525应当被调用,例如如果由ANT 525执行的核查的结果指示TT 527应当被调用,例如如果由TT执行的移动会话路径跟踪的结果指示FMT 528应当被调用等等,以及其组合)。下面描述MS 500的引擎、数据库和工具。
在一个实施例中,如果自动触发的引擎或工具开始消耗计算或其它资源到一个阈值水平之上,则后续的引擎或工具的自动触发受到约束。在该实施例中,为网络管理器提供告警或状态指示符以指示受约束的自动触发条件,以便该网络管理器或操作人员可以假设对引擎或工具的直接的或人工的控制。
通用网络实施例
上述实施例用于配置现有非安全网络环境内的单元以实现为支持在用于用户经由非安全网络接入安全网络的接入点之间的安全隧道传输所必需的服务,例如第3层(L3)虚拟专用网(VPN)服务、VPRN、IES和/或其它服务。当被配置时,安全网络(例如企业网)就用户通过例如因特网的非安全网络接入企业网络(例如至企业或其它安全网络的IPSec连接)而言是受到保护的。
在安全网关(SEG)的实施例中,关联于边界设备的路由器用作至安全网络的安全客户端,而各种不同的用户用作至路由器的安全客户端。以这种方式,关联于用户的IPSec业务在安全网关的边界设备处被端接,而不是在关联于安全网络的端接点。通过避免多个用户IPSec隧道在安全网络内的端接,网络的安全性被增强,提供复杂度被降低,并且企业网可以保留现有的服务和协议(例如L2VPN)。
各种不同的实施例可用于多个网络环境中的任一个中。一般而言,各种不同的实施例提供系统、设备、方法、功能、程序拓扑等以支持这样一种机制,其中非安全网络内的传输层单元被发现、配置和关联于由那些传输层单元所支持的路径,以使得包括后续的发现和配置功能的各种不同的管理功能可以更加高效地被实现。
利用LTE网络实施例的详细实例
现在将在LTE网络的上下文中描述各种不同的实施例。特别地,将关于LTE相关的网络环境更详细地描述各种不同的管理功能,包括网络分析功能、故障分析功能、核查功能、跟踪功能、公平或带宽管理功能等等。读过本发明的本领域技术应当认识到,这里就LTE相关的网络环境所描述的系统、设备、方法、功能、程序、拓扑等也适用于其他网络环境,例如上述各种不同的网络以及其他类型的网络、系统、拓扑等。
利用LTE实例的路径和传输层单元的关联
各种不同的实施例使用传输层单元和它们支持的IPSec路径之间的已知关联。这里就IPSec描述的各种不同的实施例中的任一种都可以以任何方式互相组合并且与下面描述的各种不同的实施例中的任一种相组合,例如根据这里所描述的提供IPSec相关的管理功能、工具、方法、设备、系统、数据结构等。
提供用于管理第四代(4G)长期演进(LTE)无线网络的管理能力。该管理能力可以包括分析工具、核查工具、跟踪工具、执行工具等中的一个或多个以及其组合。尽管这里主要在4G LTE无线网络内提供管理功能的上下文中进行描述,然而应当认识到,这里描述的管理功能可以用于其他类型的无线网络。
图6示出了包括根据一个实施例的管理系统的示例性无线通信系统。具体地,图6示出了包括多个用户设备(UE或UD)602、长期演进(LTE)网络610、IP网络630和管理系统(MS)640的示例性无线通信系统600。LTE网络610支持UE 602与IP网络630之间的通信。MS 640被配置成支持针对LTE网络610的各种不同的管理功能,例如就图5的MS 500所描述的以及这里进一步描述的。
UE 602是能够接入无线网的无线用户设备,该无线网例如是LTE网络610。UE 602能够支持控制信令,该信令支持承载会话。UE 602可以是手机、PDA、计算机或任何其他无线用户设备。
LTE网络610是示例性LTE网络。本领域技术人员应当理解LTE网络的配置和操作。示例性LTE网络610包括两个eNodeB6111和6112(共同地写为eNodeB 611)、两个服务网关(SGW)6121和6122(共同地写为SGW 612)、分组数据网络(PDN)网关(PGW)613、两个移动性管理实体(MME)6141和6142(共同地写为MME 614)以及策略和计费规则功能(PCRF)615。eNodeB 611为UE 602提供无线接入接口。SGW 612、PGW 613、MME 614和PCRF 615以及为了清楚而省略的其他部件相互配合以提供支持利用IP的端到端服务递送的分组核心演进(EPC)网络。
eNodeB 611支持UE 602的通信。如图6所示,每个eNodeB611都支持各自的多个UE 602。eNodeB 611与UE 602之间的通信是利用关联于每个UE 602的LTE-Uu接口而被支持的。
SGW 612支持eNodeB 611的通信。如图6所示,SGW 6121支持eNodeB 6111的通信,而SGW 6122支持eNodeB 6112的通信。SGW 612与eNodeB 611之间的通信是利用各自的S1-u接口被支持的。S1-u接口支持每承载的用户平面隧道传输和切换期间的eNodeB间的路径切换。
PGW 613支持SGW 612的通信。PGW 613与SGW 612之间的通信是利用各自的S5/S8接口而被支持的。S5接口提供的功能例如是用于在PGW 613与SGW 612之间通信的用户平面隧道化传输和隧道管理、由于UE移动性而造成的SGW重新定位等等。作为S5接口的公共陆地移动网(PLMN)变型的S8接口提供了PLMN间的接口,其提供了拜访PLMN(VPLMN)中的SGW与归属PLMN(HPLMN)中的PGW之间的用户和控制平面连通性。PGW 613促进了LTE网络610与IP网络630之间经由SGi接口的通信。
MME 614提供了支持UE 602的移动性的移动性管理功能。MME 614支持eNodeB 611。MME 6141支持eNodeB 6111而MME6142支持eNodeB 6112。MME 614与eNodeB 611之间的通信是利用各自的S 1-MME接口来被支持的,其提供用于在MME 614与eNodeB 611之间通信的控制平面协议。
PCRF 615提供动态管理能力,服务提供商可以通过该能力来管理与通过LTE网络610提供的服务有关的规则和与对通过LTE网络610提供的服务计费有关的规则。
如图6所示,LTE网络610的各单元经由各单元之间的接口通信。就LTE网络610而描述的接口也可以称作会话。
LTE网络610包括演进分组系统/解决方案(EPS)。在一个实施例中,EPS包括EPS节点(例如eNodeB 611、SGW 612、PGW613、MME 614和PCRF 615)以及EPS相关的互联性(例如S*接口、G*接口等)。EPS相关的接口这里可以称作EPS相关的路径。
IP网络630包括UE 602可以经由其访问内容、服务等的一个或多个分组数据网络。
MS 640提供用于管理LTE网络610的管理功能。MS 640可以与LTE网络610以任何合适的方式通信。在一个实施例中,例如,MS 640可以与LTE网络610经由不穿过IP网络630的通信路径641通信。在一个实施例中,例如,MS 640可以与LTE网络610经由IP网络630所支持的通信路径642通信。通信路径641和642可以利用任何合适的通信能力来实现。参考图5描述了适于用作图6中的MS 640的一种示例性管理系统。
图6还示出了关联于示例性移动服务601的路径。如图6所示,示例性移动服务601包括eNodeB 1111、SGW 1121、PGW 113、eNodeB 1111与SGW 1121之间的S1-u接口、SGW 1121与PGW113之间的S5/S8接口、PGW 113与IP网络130之间的SGi接口、eNodeB 1111与MME 1141之间的S1-MME接口、SGW 1121与MME 1141之间的S1-u接口以及PGW 113与PCRF 115之间的S7接口。示例性移动服务601在图6中用实线标记。可选的实施例可以例如包括MME 1141和PCRF 115。
EPS-路径-IPSec基础设施关联
如之前参考图6指出的,LTE网络110的各种不同的实施例包括演进分组系统/解决方案(EPS)基础设施,该基础设施具有EPS节点(例如eNodeB 111、SGW 112、PGW 113、MME 114和PCRF 115)以及EPS相关的互联性(例如S*接口、G*接口等)。在本公开的上下文中,EPS相关的接口在这里称作EPS相关的路径或简单路径。
基础设施被构建成提供合适的和必需的EPS节点用以支持由网络服务提供商提供的无线服务。网络服务提供商管理网络以用用户期望的方式提供其服务提供给其无线/移动用户。例如,无线/移动用户(例如购买各种不同的语音、数据或其他服务提供的标准电话、智能电话、计算机等的用户)期望近乎完美的电话/语音服务,非常接近完美的数据服务、无障碍的流式传输媒体等等。为其自己的用户购买服务包的第三方服务提供商期望相同的情形,以及管理级别接口和提供各种不同网络之间的互操作性的其他机制。客户期望可以包括假设的或期望的服务等级、在服务等级协议(SLA)中定义的服务等级等等。
各种不同的实施例涉及网络管理系统和工具,其中每个EPS相关的互连关联于支持该功能性所必需的指定基础设施。也就是说,对于每个EPS相关的路径,使其关联于支持该路径所必需的指定基础设施,这包括网络单元、子单元、链路等,其在出故障或降级的情况下将导致关联EPS相关的路径的故障或降级。
通过理解哪些业务流或路径包括单元、子单元或链路作为必需的支持单元,网络管理系统能够知道哪些业务流或路径受到指定单元、子单元或链路的降级/故障的影响。此外,网络管理系统能够知道哪些IPSec隧道受到指定业务流或路径的降级/故障的影响。这在分析工具的上下文中特别有用,如将更详细讨论的那样。
类似地,通过理解哪个IPSec隧道或业务流或路径已经出故障或降级,网络管理系统能够识别哪些单元、子单元或链路对于支持该IPSec隧道或业务流或路径而言是必需的。以这种方式,网络管理器降低了识别故障/降级的单元、子单元和/或链路或关联于故障或降级的IPSec隧道或业务流的单元或子单元的复杂度。这在跟踪工具的上下文中特别有用,如这里更详细讨论的那样。
在关联的上下文中,管理系统可以针对网络单元或子单元之间的每个连接而创建服务表示。
在各种不同的实施例中,在物理级(例如缆线或其他物理级链路)或服务级(例如广义云或其他服务级链路)中的任一个或二者处的端口之间提供连接。
在一个物理级连接实施例中,如果第一网络单元(NE)上的端口(或其他子单元)出故障,则第二NE上的相应或连接的端口(或其他子单元)将显示链路故障状态(LLDP)。以这种方式,第二NE感知第一NE的故障。在另一物理级连接实施例中,这种感知是在相邻网络单元的上下文内被提供的,例如路由器或交换机和/或它们各种不同的子单元。
在一个服务级实施例中,第一NE上的端口(或其他子单元)可以直接连接到第二NE上的端口(或其他子单元),或经由一个或多个NE(即第一与第二NE之间的多个跳)的一个或多个端口(或其他子单元)。在该实施例中,如果第一或任何中间NE上的端口(或其他子单元)出故障或降级,则管理系统由于NE序列中的上一个NE的操作状态而不会感知到存在故障/降级。然而,由于这里讨论的管理技术和工具,网络管理器能够感知最初的或中间的故障/降级。该行为的各种不同的原因包括拥塞、本地/区域重新路由等等。简言之,状态指示符是绿色(指示合适的操作),但是这个网络部分的性能是受约束的或降级的。这个受约束的或降级的网络操作是通过这里讨论的各种不同的实施例而被关联和说明的。
发现工具/功能
发现引擎(DE)521通常适于提供网络发现功能以发现关于LTE网络110的信息。一般而言,DE 521执行发现过程,在该过程中配置信息、与构成网络的单元和子单元有关的状态/操作信息和连接信息被收集、检索、推断和/或生成,如下文将更详细讨论的那样。
发现过程可以是动态的,因为LTE网络内的基础单元、子单元和链路可能由于本地网络适配、重新路由、故障、降级、调度维护等而随时间变化。因此,在由ANT 525、AUT 526、TT 527和FMT 528中的任一个检测到或导致网络变化之后,可以调用DE 521。
在第一发现级别,网络管理系统(NMS)使用任何传统的数据库信息以发现构成待管理网络的各种不同的单元(和相应的子单元)。也就是说,这个发现中的一些包括使用现有的数据库信息,其提供了待管理网络的通用蓝图。这种数据库中的信息包括与构成网络的主要功能单元、在网络内建立的主要管道或通道等相关联的信息。尽管这种信息可以非常详细,然而该信息并不反映路径级网络操作。
在第二发现级别,网络管理系统从所管理网络内的每个网络单元请求配置信息、状态/操作信息和连接信息。所请求的信息包括用于确定支持各种不同业务流的网络单元内的指定交换机、端口、缓冲器、协议等的信息。
网络管理系统也可以使用现有的数据库信息来推断所管理网络内的网络单元和子单元和连接之间的可能连接。例如,现有数据库信息可以被构造成描述了可以支持它们之间的业务流的相连网络单元的序列。然而,现有数据库信息可能不包括标识了支持各种不同业务流的网络单元内的指定交换机、端口、缓冲器、协议、所接收/所发送分组的地址信息等。
配置信息包括标识网络单元的信息、网络单元的功能和/或配置、构成网络单元的子单元的功能和/或配置等等。配置信息说明性地包括(但不限于)标识了网络单元类型、网络单元所支持的协议、网络单元所支持的服务等的信息。配置信息说明性地包括与网络单元内的各种不同的子单元有关的信息,例如关联于构成网络单元的子单元的输入端口、交换机、缓冲器和输出端口等。
状态/操作信息包括与网络单元和/或构成网络单元的子单元的操作状态相关联的状态/操作信息。状态/操作信息说明性地包括(但不限于)提供操作状态/告警指示符的信息,包括与度量有关的信息,所述度量例如是分组计数、使用级部件经过/故障指示、误码率(BER)等等。
连接信息包括用于确定或推断网络单元和/或子单元之间的连接的信息,例如接收自网络单元或其子单元的数据的源、由网络单元或其子单元发送的数据的目的地等等。也就是说,连接信息是由网络单元从网络单元的主观视角而提供的信息。网络单元不必具有专门标识它从其接收分组的网络单元或它向其发送分组的网络单元的信息。
连接信息说明性地包括(但不限于)关联于所接收分组的源地址信息、关联于所发送分组的目的地址信息、关联于分组流的协议信息、关联于分组流的服务信息、深度分组检测结果数据等。
在第三发现级别,网络管理系统使用所发现的信息以构成代表构成网络基础设施的单元、子单元和链路中的每一个以及它们各自的不同互连的详细构架。
一般而言,DE 521可以发现关联于LTE网络110的任何合适的信息,其在这里可以共同称作发现信息并且被进一步划分为配置信息、状态/操作信息和连接信息。
在各种不同的实施例中,DE 521发现LTE网络110的部件和关联于LTE网络110的部件的信息,例如所述网络单元(EPC网络单元、非EPC网络单元等)、网络单元的子单元(例如基座、业务卡、控制卡、接口、端口、处理器、存储器等)、连接网络单元的通信链路、支持网络单元之间的通信的接口/会话(例如LTE-Uu会话、S*会话等)、参考点、功能、服务等,以及其组合。
DE 521可能发现LTE网络110的网络单元(例如EPC网络单元,例如eNodeB 111、SGW 112、PGW 113、MME 114、PCRF115等;促进经由EPC网络单元之间的会话的通信的非EPC网络单元等;以及其组合)。DE 521可能发现关联于LTE网络110的网络单元的网络单元配置信息(例如基座配置、线卡、线卡上的端口、处理器、存储器等,其可以取决于对其执行发现的网络单元的类型)。DE 521可以发现接口/会话信息(例如关联LTE-Uu会话的信息、关联于S*会话的信息等等,以及其组合)。DE 521可能发现LTE网络110的参考点。DE 521可能发现功能、服务等,以及其组合。DE 521可能发现关联于LTE网络110并且可能适用于提供这里描述的各种不同的管理功能的任何其他信息。
DE 521可能以任何合适的方式(例如从任何合适的源、在任何合适的时间、利用任何合适的协议、以任何合适的格式等,以及其组合)发现关联于LTE网络110的信息。
所发现的信息被存储在一个或多个数据库中以促进网络操作人员和/或其他用户的快速检索,例如发现数据库(DD)522。DD522可以以任何合适的格式存储发现信息,如本领域技术人员应当理解的那样。DD 522提供发现信息储存库以由CE 523使用并且可选地由ANT 525、AUT 526、TT 527和FMT 528中的一个或多个使用以提供它们各自的管理功能。
关联引擎工具/功能
关联引擎(CE)523提供用于支持这里描述的管理功能的信息关联。CE 523使用说明性地由DE 521提供且存储于DD 522中的的配置信息、状态/操作信息和/或链接信息,以将所发现的网络单元、子单元和链路功能关联于指定的客户业务流和/或支持客户服务的路径。也就是说,利用代表网络内的每个单元、子单元和链路以及它们的不同互连的框架,CE 523将每个客户服务、业务流和/或EPS路径关联于支持客户服务、业务流和/或路径所必需的指定单元、子单元和链路。
关联过程可以是动态的,因为对于任何给定路径而言,支持该路径的基础的单元、子单元和链路可能由于本地网络适配、重新路由、故障、降级、调度维护等而随时间变化。因此,在ANT 525、AUT 526、TT 527和FMT 528中的任一个检测到或造成网络变化之后,CE 523可以被调用。
CE 533用于维护支持关联于每个客户服务、业务流和/或路径的基础设施的必需物的当前表示。通过提供这个表示,响应于客户服务故障或降级的努力,可以聚焦于支持受影响的客户服务的指定单元、子单元和链路功能(例如通过使用跟踪工具(TT)527)。类似地,响应于单元、子单元和链路功能故障或降级的努力,可以聚焦于由受影响的单元、子单元和链路功能所支持的指定客户和/或服务。
典型地,支持特定的路径只需要特定单元内的较小的子单元子集。因此,关联于单元内的其他子单元的故障不影响该特定路径。通过只将支持该路径所必需的单元关联于每个路径,由于避免了关联于非基本单元(从特定路径的角度看)的处理/存储需求,减少了关联于管理单独路径的处理/存储负担。
在一个实施例中,CE 523可以处理存储于发现数据库(DD)522中的发现信息以确定支持LTE网络110的路径的基础传输单元,其然后被存储于路径数据库(PD)524中。在一个实施例中,被存储在PD 524中并且由CE 523确定的路径相关的传输单元信息包括LTE网络110的EPS相关的路径。通常,EPS相关的路径是这样一种路径,其是代表两个EPS参考点之间的对等关系的传输机构,其中EPS参考点是实现存在于4G规范中的一个或多个协议(例如使用GTP、PMIP或任何其他合适的协议等,以及其组合)的LTE网络110的任何节点的端接点。路径相关的传输单元信息可以包括网络单元通信链路、子网、协议、服务、应用、层以及其任何部分。这些传输单元可以由网络管理系统或其部分来管理。网络管理系统可以简单地感知这些传输单元。
在一个实施例中,存储于PD 524中且由CE 523确定的路径相关的传输单元信息包括其他类型的路径(例如与EPS相关的路径不同的路径)。例如,其他类型的路径可以包括以下各项中的一个或多个:(1)构成EPS相关的路径的子部分的路径(例如如果EPS相关的路径是利用基础通信技术来支持的,则构成EPS相关的路径的子部分的路径可以是关联于基础通信技术的路径),(2)包括多个EPS相关的路径的路径(例如穿过S1-u和S5/S8会话二者的从eNodeB到PGW的路径、穿过LTE-Uu会话和S1-u会话二者的从UE到SGW的路径等等),和(3)端到端移动会话路径(例如UE与IP网络之间的路径)。存储于PD 524中且由CE 523确定的路径相关的传输单元信息包括与各种不同的路径类型相关联的其他信息。
存储于PD 524中且由CE 523确定的路径相关的传输单元信息可以利用任何合适的处理来确定。
CE 523适于实现LTE网络110的所发现部件之间的直接关联。
CE 523适于实现与LTE网络110的所发现部件之间的关联有关的推断。
在一个实施例中,CE 523操作于其中的网络管理器基本上包括与不同EPS路径(包括S1-u)的对等有关的所有信息。根据该对等信息,CE 523可以识别路径的每一端上的节点并且然后识别或检查相应的相邻节点。根据相邻节点信息,CE 523因而可以识别或检查下一组相邻节点等。
当发现路径来自所管理的网络单元时,关联引擎开始处理该路径。当发现该路径时,关联引擎计算、推断和/或发现支持该路径的各种不同的基础设施单元、子单元和链路。在一个实施例中,发现SGW中的初始S1-u参考点。当任何参考点或S对等体被发现时,因而构成相应的S-路径。
由CE 523确定的路径可以具有与其关联的任何合适的路径信息。在一个实施例中,例如,关联于EPS相关的路径的路径信息可以包括指示了支持EPS相关的路径的基础通信能力的任何信息。例如,针对EPS相关的路径的路径信息可以包括标识了构成EPS相关的路径的端点的S*参考点的信息、标识了支持该路径的网络单元(例如路由器、交换机等)的信息、标识了支持该路径的网络单元上的端口的信息、标识了支持该路径的IP接口的信息、指定了支持该路径的IP接口的配置的信息、指定了支持该路径的网络单元的端口的配置的信息(例如管理配置、操作配置等)等等,以及其组合。
在各种不同的实施例中,按照共用的单元、子单元、链路、服务、提供商、第三方服务承租人等,路径在逻辑结构中被组合在一起。
一个包可以是共享共用单元的路径的逻辑编组,例如共用端点单元、开始点单元等。在该上下文中,打包被用于标识将受到共用单元的故障影响的所有路径。也就是说,来自公共类型的多个其他网络单元的在特定网络单元被端接的若干路径可以被定义为包或组。例子包括“所有eNodeB单元与SGWx通信”(其中SGWx代表指定的SGW);或“所有SGW与PGWx通信”(其中PGWx代表指定的PGW)。这些和其他包或组可以被定义成实现网络单元或子单元的快速标识,其中该网络单元或子单元就与它们相连的共用网络单元或子单元而言是类似定位的。
关联的信息被存储在一个或多个数据库中以促进网络操作人员和/或其它用户的快速检索,例如路径数据库(PD)524。PD 524存储由CE 523确定的路径相关的传输单元信息。PD 524可以以任何格式存储路径相关的传输单元信息和关联的路径信息。PD524提供路径和网络单元相关的信息的储存库以由ANT 525、AUT526、TT 527和FMT 528中的一个或多个使用从而提供它们各自的管理功能。
图7示出了说明由根据一个实施例的管理系统执行的发现和关联过程的高级框图。如图7所示,并且如这里参考各附图所描述的那样,由示例性MS 140执行的发现和关联过程700是由DE521、DD 522、CE 523和PD 524来执行的。DE 521发现关联于LTE网络110的信息并且将发现信息存储到DD 522中,DE 521和DD 522提供发现信息给CE 523以由CE 523用来关联发现信息从而识别LTE网络的路径并且存储与所识别的LTE网络路径相关联的路径相关的传输单元信息到PD 524中。
图8示出了说明由适用于各种不同的实施例的示例性管理系统执行的发现和关联过程的高级框图。如图8所示,并且如这里参考各附图所描述的那样,由示例性MS 140执行的服务创建和关联过程800是由服务创建引擎528、关联引擎523、路径数据库524和服务数据库529来执行的。
服务创建引擎528生成构建于由LTE网络110的传输层基础设施所支持的各种不同路径之上的例如IPSec服务层的服务层,并且存储服务层信息到服务数据库529中。服务创建引擎528也可以修改、更新、使生效或更改服务层,在该情况下服务数据库529中的服务层信息也更改。
服务创建引擎528和服务数据库529提供服务信息给CE 523以由CE 523用来将服务关联于之前识别的LTE网络110的路径(并且支持传输层单元)并且将该服务相关的路径以及作为扩展的LTE网络110的关联于服务相关的路径的传输单元信息存储到PD 524中。图8的发现和关联过程800可以通过参考图1-5和相应的描述而得到更好地理解。
分析器工具(ANT)525将LTE网络的EPS单元构造到移动服务中。在一个实施例中,EPS单元包括EPS网络单元(例如eNodeB、SGW、PGW、MME、PCRF和/或任何其他EPS相关的网络单元)和EPS网络单元之间的EPS相关的互联性(例如S*会话、G*会话等)。例如,参考图1的LTE网络110,ANT 525将LTE网络110的EPS单元构造到移动服务中(例如eNodeB 111、SGW 112、PGW113、MME 114、PCRF 115、S*会话等)。以这种方式,移动服务是EPS网络单元和EPS网络单元之间的EPS相关的互联性的表示。
移动服务针对每个网络单元存储与该网络单元相连的所有其他网络单元的列表。因此,对于特定的eNodeB,移动服务存储包括与eNodeB通信的SGW和PGW的列表。类似地,对于特定的SGW,移动服务存储包括与SGW通信的eNodeB和PGW的列表。可以使用其他共用的或锚定的单元来构成这种包。这些例子分别设想了特定的eNodeB作为锚定或共同的单元以及特定的SGW作为锚定或共用的单元。可以在各种不同的实施例的上下文内定义其他锚定或共用的单元。
ANT 525可以利用任何合适的信息(例如利用关联于来自PD524的EPS相关的路径的基础传输单元、通过处理来自DD 522的发现信息等等,以及其组合)将LTE网络110的EPS单元构造到移动服务中。在一个实施例中,ANT 525被配置成当DE 521发现LTE网络110的区域时自动地创建移动服务。
分析器功能/工具
ANT 525使得LTE网络的服务提供商能够具有经由LTE网络边缘的eNodeB接入节点的来自IP核心网的服务递送分发网络的当前状态概览。ANT 525使得LTE网络的服务提供商能够以逻辑的级别监控LTE网络的状态。这对于高效诊断妨碍LTE网络内的移动业务递送的问题或潜在问题而言是有利的。例如,LTE网络的设备可能是可操作的,但是SGW上的错误配置可能阻止移动业务的递送。
在各种不同的实施例中,其他网络参数被监控或由这里讨论的各种不同的工具和技术来处理。例如,除了监控每个指定IPSec隧道之外,指定隧道所属的IPSec服务也可以被监控。附加监控可以在有益的情况下被提供,例如监控SEG、公共和私人L3VPN、IPSec卡和组、接口等等。ANT 525使得LTE网络的服务提供商能够快速且容易地识别出LTE网络110的哪些部件负责在LTE网络110的移动服务级别所识别的问题或潜在问题,例如通过识别哪个/哪些EPS单元负责所述问题或潜在问题,并且然后进一步识别负责的EPS单元的哪个/哪些部件负责该问题或潜在问题。
例如,这可以包括在IPSec隧道或移动服务级别识别负责所述问题的指定EPS网络单元,并且然后在负责该问题的EPS网络单元上向下挖掘以识别该EPS网络单元中的负责该问题的部件。EPS网络单元的部件可以包括EPS网络单元中的任何部件(例如业务卡、控制卡、端口、接口、处理器、存储器等)。
ANT 525可以以任何合适的方式在EPS单元上向下挖掘,这可能取决于期望其部件信息的EPS单元的类型(例如利用存储于DD 522中的发现信息以确定EPS单元的部件、利用路径相关的传输单元、子单元、系统和存储于PD 524中用于确定EPS相关的路径中的部件的其他信息等,以及其组合)。ANT 525可以针对由ANT 525确定的IPSec隧道或移动服务而执行一个或多个管理功能。
在一个实施例中,ANT 525可以收集关联于IPSec隧道或移动服务的统计信息(例如关联于IPSec隧道或移动服务的端到端统计信息、关联于单独部件的统计信息和/或IPSec隧道或移动服务的部件子集等等,以及其组合)。ANT 525可以分析所收集的统计信息以识别关联于IPSec隧道或移动服务的拥塞的出现,或阻止拥塞出现。ANT 525可以主动地基于所述分析而确定用于解决或预防拥塞的方案。
在一个实施例中,ANT 525可以发起核查以检验IPSec隧道或移动服务(例如为了确保由ANT 525当前所维护的IPSec隧道或移动服务的概览是准确的并且不需要被更新,为了在需要进行更新的情况下更新IPSec隧道或移动服务的概览等,以及其组合)。
在一个实施例中,ANT 525可以针对IPSec隧道或移动服务而发起操作、管理和维护(OAM)测试。
在一个实施例中,ANT 525可以执行IPSec隧道或移动服务的故障分析。ANT 525可以基于其重要性来分类所检测的事件。
在一个实施例中,ANT 525可以发起适于被显示的图像的生成以为服务提供商的网络技术人员提供事件的可视表示(例如事件的位置、事件的范围等)。
在一个实施例中,ANT 525可以发起关联于事件的移动服务的一个或多个OAM测试(例如ping、路由跟踪等),从而确定提供了对事件的范围和影响的更好理解的附加信息。
ANT 525可以执行关联于由ANT 525确定的IPSec隧道或移动服务的任何其他合适的管理功能。
一般而言,分析器工具可以在网络管理器发现网络单元及其连接之后被调用,如前文所述。服务感知管理器识别LTE型网络单元,例如PGW、SGW、eNodeB、MME、PCRF、SGSN等。最令人感兴趣的是PGW、SGW和eNodeB。在这些网络单元之间是具有网络单元上的关联参考点的EPS路径,其中该EPS路径/参考点标记为S1-u、S5、SGi等。因此,数据库中所存储的是针对PGW、SGW和eNodeB等的“网络单元”型的以及针对EPS路径的“连接器”型的模块化部件的集合。
在发现网络单元和连接器之后,服务感知管理器通过连接或级联两种模块化部件(即网络单元和连接器)来定义多个IPSec隧道或移动服务,例如经由指定eNodeB所服务的客户与在PGW接收自IP核心网的数据流或其它服务之间的网络单元和连接器的序列。因此,在一个实施例中,移动服务包括具有网络单元和连接器的级联序列的结构或包装器。移动服务可以就特定客户、特定eNodeB、特定APN等而被定义。移动服务可以包括网络单元上的EPS的一个或多个实例,例如单个或共用网络单元上的SGW或PGW中的一个或多个。
在定义了IPSec隧道和/或移动服务之后,IPSec隧道或移动服务可以被分析或测试。这种测试可以是针对构成移动服务、关联于移动服务的端点等的部件。这种测试可以针对构成移动服务的指定部件或端点的指定部分。
在一个实施例中,通过收集来自构成IPSec隧道或移动服务的特定个体或组的每个移动服务模块化部件的统计信息,来分析单独的IPSec隧道或移动服务或IPSec隧道或移动服务的组。也就是说,(人工或自动生成的)移动服务分析请求被管理系统解释成关于收集属于构成移动服务的每个模块化部件(例如网络单元和连接器)的统计信息的请求。
因此,用以构成IPSec隧道或移动服务的例如“网络单元”和“连接器”的模块化部件的逻辑表示实现了要在各种不同的实施例的上下文内实现的准确的核查、分析和跟踪功能。
核查器功能/工具
核查工具(AUT)526被配置成提供用于核查网络的核查能力。AUT 526实现了对网络的基础设置的主动核查以识别并处理妨碍或可能妨碍终端用户业务的网络故障或潜在网络故障。AUT526支持对网络故障或潜在网络故障的快速检查、用于确定故障影响或潜在网络故障的潜在影响的影响分析、以及任何网络故障或潜在网络故障的矫正。
AUT 526提供了以任何的粒度等级在LTE网络110上执行深度的网络健康或健全检查的能力,例如为了检查以下各项的健康:端口、线卡、物理连通性、逻辑连通性、S*参考点、网络路径、终端用户的端到端移动会话等以及其组合。AUT 526在管理LTE网络方面提供了很多优势,因为这种网络本质上相当复杂并且因而非常容易遭受造成难以关联移动用户数据的网络故障的影响,其中该移动用户数据已经被打包以在跨越了使用不同的传输技术和所实施QoS策略的多个网络单元的IP网络上传输。
在一个实施例中,AUT 526支持核查LTE网络110内的互联性。对互联性的核查可以包括主动地监控连通性、测试连通性以及执行相似的核查功能。
跟踪器功能/工具
跟踪工具(TT)527被配置成提供移动会话跟踪能力。移动会话跟踪能力使得UE的移动会话的路径能够经由无线网络而被跟踪。简言之,TT 527使之能够确定经由无线网络的IPSec隧道或移动会话的路径以及可选地确定关联于该移动会话的附加信息。IPSec隧道移动会话跟踪能力使得无线服务提供商能够基于所确定的经由无线网络的IPSec隧道或移动会话的路径来执行管理功能。
公平管理器功能/工具
公平管理器工具(FMT)528提供了适于控制移动用户对网络资源的使用的各种不同的公平管理机制。简言之,FMT 528强制例如通过服务等级协议(SLA)等定义的客户的适当资源(例如带宽)使用。公平管理器强制了多种执行机制中的任一种的适当带宽使用。公平管理器用于强制与各种不同的用户、用户组、客户、第三方网络购买者等相关联的适当的资源消耗等级,而不管这些等级是通过协议还是通过可接受实践而被定义的。
支持各种不同实施例的环境的实例
一般而言,各种不同的实施例使得用户能够与管理系统/软件交互并且由此通过显示与由用户经由用户接口选择的上层路径单元相关联的下层路径单元来从上到下层级更深地“挖掘”路径单元。用户可以是使用计算机终端或具有图形用户接口(GUI)的其他用户工作站的网络操作中心(NOC)中的用户。
在一个实施例中,移动会话路径信息通过生成“子地图”并且显示所生成的子地图而被显示,其中该子地图只包括支持移动会话的网络部件。例如,如果无线网络的图形显示包括许多eNodeB、SGW和PGW,则移动会话的子地图将只包括每种单元中的一个以及每种单元之间的会话,由此突出显示无线网络的哪些网络单元支持移动会话。
在该例子中,子地图可以以任何合适的方式被显示(例如同时地在其中显示无线网络的不同窗口部分中的窗口中显示、在为了显示子地图而打开的新窗口中显示等)。在该例子中,如在之前的例子中那样,移动会话路径或是移动会话路径中的部件和子部件(例如物理设备、物理通信链路、物理通信链路上的子信道等),可以是可选择的以便当被用户选择时向用户呈现关联于该移动会话的附加移动会话路径信息。
根据所述实例,应当认识到,关联于移动会话路径的附加信息的显示可以以任何合适的方式来提供(例如在显示窗口内刷新以包括移动会话路径信息、打开包括移动会话路径信息的新窗口等,以及其组合)。
各种不同的方法的实现可选地产生了一个或多个路径、支持该一个或多个路径的基础传输单元以及如上所述的各种不同的协议、硬件、软件、固件、域、子网、网络单元和/或子单元连接的逻辑的和/或物理的表示。所述物理的和/或逻辑的表示中的任一种都可以是在图形用户接口(GUI)上下文内的可视表示。此外,这些物理的和/或逻辑的表示之间的各种不同的交互和对应性也可以被可视地表示,包括受限于指定准则的表示,例如“支持路径所必需的”表示、“支持客户端/客户所必需的”表示、“关联于单个客户端/客户”的表示等等。这种图形表示和关联的图像以统计的或动态的方式提供了网络的基础设施的概览(即从一个或多个传输单元的角度)或服务概览(即从一个或多个服务的角度)。
适用于执行这里描述的功能的计算机可以说明性地包括处理器单元(例如中央处理单元(CPU)和/或其它合适的处理器)、存储器(例如随机访问存储器(RAM)、只读存储器(ROM)等)、管理模块/处理器以及各种不同的输入/输出设备(例如用户输入设备(例如键盘、小型键盘、鼠标等))、用户输出设备(例如显示器、扬声器等)、输入端口、输出端口、接收器/发送器(例如网络连接或其它合适类型的接收器/发送器)以及存储设备(例如硬盘驱动器、磁盘驱动器、光盘驱动器等)。在一个实施例中,关联于用于调用各种不同实施例的方法的计算机软件代码能够被载入存储器并且由处理器执行来实现如上所述的功能。关联于用于调用各种不同实施例的方法的计算机软件代码能够被存储在计算机可读存储介质上,例如RAM存储器、磁或光驱动器或软盘等。
应当指出,这里描述的功能可以被实现在软件和/或软件和硬件的组合中,例如利用通用计算机、一个或多个专用集成电路(ASIC)和/或任何其它硬件等价物。
设想这里作为软件方法而讨论的一些步骤可以在硬件内实现,例如作为与处理器配合以执行不同方法步骤的电路。这里描述的部分功能/单元可以被实现为计算机程序产品,其中计算机指令当被计算机处理时适配计算机的操作以使得这里讨论的方法和/或技术能够被调用或被提供。用于调用本发明方法的指令可以被存储在有形的固定或可移除介质中、在有形或无形的广播或其它信号承载介质中通过数据流被发送、和/或被存储在按照该指令操作的计算设备内的存储器中。
尽管这里主要就其中管理能力被用于管理LTE无线网络的实施例进行了描述,然而应当认识到,管理能力可以被用于管理其它类型的无线网络,包括(但不限于)其它类型的4G无线网络、3G无线网络、2.5G无线网络、2G无线网络等,以及其组合。
公开了用于在非安全网络基础设施上提供IPSec网络的各种不同的方法,其中非安全网络基础设施可以包括适于支持多个服务的多个网络单元和通信链路,该方法可以包括识别与安全网络安全通信的一个或多个交换设备;检索关联于所识别交换设备的配置信息;确定支持IPSec网络所必需的非安全网络基础设施内的传输层单元;以及将所识别的必需传输层单元的操作适配于IPSec网络以便在IPSec网络与安全网络之间提供安全通信。识别一个或多个交换设备可以通过网络操作中心(NOC)中的入口形式来提供。支持IPSec网络所必需的非安全网络基础设施的传输层单元可以利用关联传输层单元和移动服务的数据来识别。关联传输层单元和移动服务的数据是按照这里讨论的各种不同的技术来被发现的。
各种不同实施例的各方面在权利要求中阐明。各种不同实施例的所述和其他方面在以下编号的各条款中阐明:
1.一种用于在非安全网络基础设施上生成安全服务层的方法,包括:
接收关联于期望的IPSec服务的服务请求,该服务请求信息包括待保护的安全网络的至少一个标识;
选择包括边界设备的至少一个路由设备用作安全网关(SEG);
提供安全联网服务以在所述边界设备的第一部分端接来自所述安全网络的安全业务;
提供安全联网服务以在所述边界设备的第二部分端接来自非安全网络的隧道化公共业务;
创建接口以对隧道化业务和相应的安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
2.根据条款1的方法,包括:
选择被授权接入所述安全网络的所述非安全网络内的一个或多个接入点。
3.根据条款2的方法,其中,所述非安全网络内的多个接入点被授权接入所述安全网络,该方法还包括:
将每个接入点关联于合适的SEG;和
配置每个SEG的安全联网服务以端接来自相应接入点的隧道化公共业务。
4.根据条款1的方法,其中,端接来自所述安全网络的安全业务的所述安全联网服务包括第3层虚拟专用网(L3 VPN)服务。
5.根据条款1的方法,其中,端接来自所述非安全网络的隧道化业务的所述安全联网服务包括第3层虚拟专用网(L3 VPN)服务、VPRN(虚拟专用路由网)服务和IES(因特网增强业务)服务中的一个。
6.根据条款1的方法,其中,端接来自所述安全网络的安全业务的所述安全联网服务实现了所端接的IPSec隧道与第2层(L2)VPN安全网络之间的通信。
7.根据条款1的方法,其中,所述安全服务层包括IPSec基础设施并且所述隧道化公共业务包括IPSec隧道化业务。
8.根据条款1的方法,其中,对包括边界设备的所述至少一个路由设备的所述选择包括:
识别与待保护的安全网络接近的一个或多个路由器;和
按照以下准则中的一个或多个来选择所述路由器之一:成本、与客户的接近度、与服务提供商的接近度以及使用率等级。
9.根据条款1的方法,其中,所生成的IPSec服务层包括用于将多个用户安全地连至所述安全网络的服务,所述方法还包括:
将所述用户划分为多个组;和
将关联于每个组的业务定向至各自的接入点。
10.根据条款9的方法,其中,所述用户组是按照用户位置来定义的。
11.根据条款10的方法,还包括在地理上接近于用户组的交换单元聚集关联于该用户组的业务。
12.根据条款11的方法,其中,所聚集的业务包括视频服务业务,所聚集的业务在所述地理上接近的交换单元与视频服务提供商的头端之间被传送。
13.根据条款12的方法,其中,所述视频服务提供商包括缆线显示系统、MSO、电信系统提供商和广播网络中的一个。
14.根据条款1的方法,其中,所述方法由在关联于网络服务提供商的计算机内被实例化的服务创建引擎(SCE)来执行。
15.根据条款1的方法,其中,所述方法由在网络服务提供商的网络操作中心(NOC)内被实例化的服务创建引擎(SCE)来执行。
16.根据条款14的方法,其中,所述请求包括关联于要经由一个或多个所识别接入点的安全连接类型的配置信息。
17.根据条款14的方法,其中,所述安全连接类型包括IPSec隧道。
18.根据条款14的方法,其中,所述安全网络包括以下各项中的至少一个:安全企业网、安全内联网、单个第三方网络的一个或多个部分和多个第三方网络的一个或多个部分。
19.根据条款14的方法,其中,所述请求还包括识别关联于与所述安全网络安全通信的一个或多个接入点的信息。
20.根据条款19的方法,其中,每个所述接入点都包括交换设备、路由器和所述安全网络与所述非安全网络之间的网桥中的至少一个。
21.根据条款20的方法,其中,所述非安全网络包括核心网和接入网中的一个。
22.根据条款19的方法,其中,所述接入点包括路由器,该路由器包括用于在所述安全网络端接来自所生成的IPSec服务层的IPSec业务的IPSec边界设备。
23.根据条款19的方法,其中:
所生成的IPSec层通过将来自每个用户的业务经由各自的IPSec隧道而路由至所述安全网络的各自的接入点,来支持来自接入所述非安全网络的用户间的安全业务;以及
对于具有至所述安全网络的不同接入点的用户而言,所述用户间的业务是在所述不同的接入点之间经由所述安全网络被路由的;和
对于具有至所述安全网络的公共接入点的用户而言,所述用户间的业务是直接通过所述公共接入点而被路由的。
24.根据条款1的方法,还包括使得一个或多个移动服务的操作适配于所生成的IPSce服务层以由此提供所期望的IPSec服务。
25.根据条款1的方法,还包括适配一个或多个传输层单元的操作,所述传输层单元支持与包含于所生成的IPSec服务层内的移动服务相关联的路径。
26.根据条款1的方法,其中,所述服务请求是通过在网络操作中心(NOC)被输入单个表格中的数据来被提供的。
27.根据条款26的方法,其中,所述服务请求是通过包含于由客户提供的单个表格内的数据而被提供的,该方法还包括查看所述服务请求以符合关联于该客户的服务级协议(SLA)。
28.根据条款1的方法,其中,所述请求关联于隧道模板,该隧道模板包括与隧道化业务流相关联的信令参数。
29.根据条款28的方法,其中,所述隧道模板还包括与隧道化业务流有关的策略。
30.根据条款29的方法,其中,所述策略包括特定IP地址之间的关联和相应服务中的一个或多个。
31.根据条款29的方法,其中,所述策略规定了对IPSec隧道的部分使用。
32.根据条款1的方法,还包括:
确定所生成IPSec服务内的移动服务的任何部分是否穿过了未受管理的网络;和
向所述未受管理的网络的管理器转发请求用以使得经由关联于所述未受管理的网络的移动服务部分而传送的所生成IPSec服务生效。
33.根据条款1的方法,还包括向未受管理的网络的管理器转发请求用以使得对穿过所述未受管理的网络的所生成IPSec服务内的一个或多个移动服务部分的支持生效。
34.根据条款33的方法,还包括:
响应于指示了缺乏由所述未受管理的网络对移动服务部分的支持的消息,向所述未受管理的网络的所述管理器转发请求用以适配所述移动服务部分的提供从而提供对所述移动服务部分的支持。
35.根据条款1的方法,其中,关联于至其各自的传输层基础设施的每条路径的数据被存储于最初在发现过程期间生成的数据库中。
36.根据条款6的方法,其中,按照迭代地关联与基础传输层结构有关的路径结构和存储该关联的结果的步骤,来生成所述数据库。
37.根据条款1的方法,其中,所述非安全网络包括LTE网络,所述方法还包括:
识别关联于一个或多个所识别接入点的IES和VPRN服务,每个移动服务都包括至少一个路径,每个路径都由所述非安全网络内的传输层基础设施来支持;和
利用所述移动服务中的一个或多个来生成IPSec服务层。
38.一种包括软件指令的计算机可读介质,该软件指令当被处理器执行时实现用于在非安全网络基础设施上生成安全服务层的方法,包括:
接收关联于期望的IPSec服务的服务请求,该服务请求信息包括待保护的安全网络的至少一个标识;
选择包括边界设备的至少一个路由设备用作安全网关(SEG);
提供安全联网服务以在所述边界设备的第一部分端接来自所述安全网络的安全业务;
提供安全联网服务以在所述边界设备的第二部分端接来自非安全网络的隧道化公共业务;
创建接口以对隧道化业务和相应的所端接安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
39.一种计算机程序产品,其中,计算机用于处理软件指令,该软件指令适配所述计算机的操作以使得该计算机能够执行用于在非安全网络基础设施上生成安全服务层的方法,包括:
接收关联于期望的IPSec服务的服务请求,该服务请求信息包括待保护的安全网络的至少一个标识;
选择包括边界设备的至少一个路由设备用作安全网关(SEG);
提供安全联网服务以在所述边界设备的第一部分端接来自所述安全网络的安全业务;
提供安全联网服务以在所述边界设备的第二部分端接来自非安全网络的隧道化公共业务;
创建接口以对隧道化业务和相应的安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
40.一种安全网关(SEG),包括:
第一多个端口,其接受关联于非安全网络的业务;
第二多个端口,其接受关联于安全网络的业务;和
边界设备,其适于提供安全联网服务以在第一部分端接来自所述安全网络的安全业务、提供安全联网服务以在第二部分端接来自所述非安全网络的隧道化公共业务、以及创建接口以对隧道化业务和相应地安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
尽管这里已经详细地描述和示出了包含本发明教导的各种不同的实施例,然而本领域技术人员能够容易地设想许多其他仍包含这些教导的变型实施例。
Claims (10)
1.一种用于在非安全网络基础设施上生成安全服务层的方法,包括:
接收关联于期望的IPSec服务的服务请求,该服务请求信息包括要保护的安全网络的至少一个标识;
选择包括边界设备的至少一个路由设备以用作安全网关(SEG);
提供安全联网服务以在所述边界设备的第一部分处端接来自所述安全网络的安全业务;
提供安全联网服务以在所述边界设备的第二部分处端接来自非安全网络的隧道化公共业务;
创建接口以对隧道化业务和相应的安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
2.根据权利要求1所述的方法,还包括:
选择被授权接入所述安全网络的所述非安全网络内的多个接入点;
将每个接入点关联于合适的SEG;和
配置每个SEG的安全联网服务以端接来自相应接入点的隧道化公共业务。
3.根据权利要求1所述的方法,其中,用于端接来自所述非安全网络的隧道化业务的所述安全联网服务包括第三层虚拟专用网(L3 VPN)服务、VPRN(虚拟专用路由网)服务和IES(因特网增强业务)服务中的一个。
4.根据权利要求1所述的方法,其中,对包括边界设备的所述至少一个路由设备的所述选择包括:
标识接近于要保护的所述安全网络的一个或多个路由器;和
按照以下准则中的一个或多个来选择所述路由器之一:成本、与用户的接近度、与服务提供商的接近度和使用率等级。
5.根据权利要求1所述的方法,其中,所生成的IPSec服务层包括用于将多个客户安全地连接到所述安全网络的服务,所述方法还包括:
将所述用户划分成按照用户位置而限定的多个组;和
在各自的地理上接近的交换单元聚集关联于每个用户组的业务;
其中,所聚集的业务包括视频服务业务,所聚集的业务在所述地理上接近的交换单元与视频服务提供商的头端之间被传送;
所述视频服务提供商包括有线电视系统、MSO、电信系统提供商和广播网络中的一个。
6.根据权利要求1所述的方法,其中,所述方法是由服务创建引擎(SCE)执行的,该服务创建引擎是在关联于网络服务提供商的网络运营中心(NOC)的计算机内被实例化的,所述服务请求是通过被输入单个表格中的数据来提供的。
7.根据权利要求7所述的方法,其中,所述安全网络包括以下各项中的至少一个:安全企业网络、安全内联网、单个第三方网络的一个或多个部分以及多个第三方网络的一个或多个部分。
8.根据权利要求1所述的方法,其中,所述请求关联于包括关联于隧道化业务流的策略和信令参数的隧道模板,所述策略包括特定IP地址与相应服务之间的关联。
9.一种包括软件指令的计算机可读介质,所述软件指令当被处理器执行时实现用于在非安全网络基础设施上生成安全服务层的方法,该方法包括:
接收关联于期望的IPSec服务的服务请求,该服务请求信息包括要保护的安全网络的至少一个标识;
选择包括边界设备的至少一个路由设备以用作安全网关(SEG);
提供安全联网服务以在所述边界设备的第一部分处端接来自所述安全网络的安全业务;
提供安全联网服务以在所述边界设备的第二部分处端接来自非安全网络的隧道化公共业务;
创建接口以对隧道化业务和相应的被端接安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
10.一种安全网关(SEG),包括
第一多个端口,其接受关联于非安全网络的业务;
第二多个端口,其接受关联于安全网络的业务;和
边界设备,其适于:提供安全联网服务以在第一部分端接来自所述安全网络的安全业务,提供安全联网服务以在第二部分端接来自所述非安全网络的隧道化公共业务,以及创建接口以对隧道化业务和相应的安全业务进行适当的编组从而构成安全网络业务路径,其中每个组都关联于各自的封装标识符。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US31444810P | 2010-03-16 | 2010-03-16 | |
US61/314,448 | 2010-03-16 | ||
US13/047,859 | 2011-03-15 | ||
US13/047,859 US20110231654A1 (en) | 2010-03-16 | 2011-03-15 | Method, system and apparatus providing secure infrastructure |
PCT/US2011/028658 WO2011116089A1 (en) | 2010-03-16 | 2011-03-16 | Method, system and apparatus providing secure infrastructure |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103098432A true CN103098432A (zh) | 2013-05-08 |
Family
ID=44648150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011800143781A Pending CN103098432A (zh) | 2010-03-16 | 2011-03-16 | 提供安全基础设施的方法、系统和设备 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20110231654A1 (zh) |
EP (1) | EP2548356A1 (zh) |
JP (1) | JP5707481B2 (zh) |
KR (1) | KR101445468B1 (zh) |
CN (1) | CN103098432A (zh) |
WO (1) | WO2011116089A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110945892A (zh) * | 2017-07-28 | 2020-03-31 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
CN113660126A (zh) * | 2021-08-18 | 2021-11-16 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8953443B2 (en) * | 2011-06-01 | 2015-02-10 | At&T Intellectual Property I, L.P. | Method and apparatus for providing congestion management for a wireless communication network |
RU2595942C2 (ru) * | 2011-11-29 | 2016-08-27 | Амазон Текнолоджис, Инк. | Интерфейс непосредственного управления одноранговыми сетевыми узлами |
US8724642B2 (en) | 2011-11-29 | 2014-05-13 | Amazon Technologies, Inc. | Interfaces to manage direct network peerings |
US10015083B2 (en) | 2011-12-22 | 2018-07-03 | Amazon Technologies, Inc. | Interfaces to manage inter-region connectivity for direct network peerings |
WO2013126638A1 (en) * | 2012-02-24 | 2013-08-29 | Interdigital Patent Holdings, Inc. | Methods, apparatus and methods for mobile cloud bursting |
US9516462B2 (en) * | 2012-06-19 | 2016-12-06 | Lg Electronics Inc. | Location update method for terminal supporting multiple radio access technologies |
KR101753030B1 (ko) * | 2012-06-29 | 2017-07-03 | 닛본 덴끼 가부시끼가이샤 | Mtc 디바이스 트리거 전달의 최적화 |
US9270692B2 (en) * | 2012-11-06 | 2016-02-23 | Mediatek Inc. | Method and apparatus for setting secure connection in wireless communications system |
US9871766B2 (en) * | 2013-03-15 | 2018-01-16 | Hewlett Packard Enterprise Development Lp | Secure path determination between devices |
WO2015003751A1 (en) * | 2013-07-12 | 2015-01-15 | Telefonaktiebolaget L M Ericsson (Publ) | A node and method for private mobile radio services |
DE102013220246A1 (de) * | 2013-07-24 | 2015-01-29 | Rohde & Schwarz Sit Gmbh | Verfahren und System zur manipulationssicheren Übertragung von Datenpaketen |
US9794244B2 (en) * | 2013-08-06 | 2017-10-17 | Nec Corporation | Method for operating a network and a network |
TWI521496B (zh) * | 2014-02-11 | 2016-02-11 | 聯詠科技股份有限公司 | 緩衝電路、面板模組及顯示驅動方法 |
US10217145B1 (en) | 2014-02-18 | 2019-02-26 | Amazon Technologies, Inc. | Partitioned private interconnects to provider networks |
CN104113544B (zh) * | 2014-07-18 | 2017-10-31 | 重庆大学 | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 |
CN107211489A (zh) | 2015-01-13 | 2017-09-26 | 富士通株式会社 | 无线通信系统、控制站和终端 |
US10320753B1 (en) * | 2015-11-19 | 2019-06-11 | Anonyome Labs, Inc. | Method and system for providing persona masking in a computer network |
KR102274204B1 (ko) * | 2017-03-13 | 2021-07-07 | 한국전자통신연구원 | 소프트웨어 정의 네트워크에서 보안 기능을 지원하는 방법 및 이를 위한 네트워크 장치 및 소프트웨어 정의 컨트롤러 |
CN109891841B (zh) * | 2017-08-30 | 2023-02-21 | Ntt通信公司 | 网络控制装置、通信系统、网络控制方法、及记录介质 |
CN107911212A (zh) * | 2017-11-09 | 2018-04-13 | 安徽皖通邮电股份有限公司 | 一种桥接传输加密的方法 |
EP3565195A1 (en) * | 2018-04-30 | 2019-11-06 | Hewlett-Packard Enterprise Development LP | Internet protocol security messages for subnetworks |
JP7115497B2 (ja) * | 2020-03-16 | 2022-08-09 | 富士通株式会社 | 無線通信システムおよび基地局 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020091921A1 (en) * | 2001-01-05 | 2002-07-11 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
US20040255164A1 (en) * | 2000-12-20 | 2004-12-16 | Intellisync Corporation | Virtual private network between computing network and remote device |
US20060020787A1 (en) * | 2004-07-26 | 2006-01-26 | Vinod Choyi | Secure communication methods and systems |
CN1957568A (zh) * | 2004-05-20 | 2007-05-02 | 阿尔卡特公司 | 用于配置跨域电信服务的开放式服务发现和路由选择机制 |
EP1885082A1 (en) * | 2006-08-02 | 2008-02-06 | O2 Micro, Inc. | Policy based VPN configuration for firewall/VPN security gateway applicance |
US20090031415A1 (en) * | 2007-07-26 | 2009-01-29 | International Business Machines Corporation | Dynamic Network Tunnel Endpoint Selection |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7174564B1 (en) * | 1999-09-03 | 2007-02-06 | Intel Corporation | Secure wireless local area network |
US6986061B1 (en) * | 2000-11-20 | 2006-01-10 | International Business Machines Corporation | Integrated system for network layer security and fine-grained identity-based access control |
US20040148439A1 (en) * | 2003-01-14 | 2004-07-29 | Motorola, Inc. | Apparatus and method for peer to peer network connectivty |
US8286002B2 (en) * | 2005-12-02 | 2012-10-09 | Alcatel Lucent | Method and apparatus for providing secure remote access to enterprise networks |
JP4154615B2 (ja) * | 2005-12-08 | 2008-09-24 | 日本電気株式会社 | Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム |
US7921187B2 (en) * | 2007-06-28 | 2011-04-05 | Apple Inc. | Newsreader for mobile device |
-
2011
- 2011-03-15 US US13/047,859 patent/US20110231654A1/en not_active Abandoned
- 2011-03-16 KR KR1020127024140A patent/KR101445468B1/ko not_active IP Right Cessation
- 2011-03-16 WO PCT/US2011/028658 patent/WO2011116089A1/en active Application Filing
- 2011-03-16 JP JP2013500180A patent/JP5707481B2/ja not_active Expired - Fee Related
- 2011-03-16 EP EP11711197A patent/EP2548356A1/en not_active Withdrawn
- 2011-03-16 CN CN2011800143781A patent/CN103098432A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040255164A1 (en) * | 2000-12-20 | 2004-12-16 | Intellisync Corporation | Virtual private network between computing network and remote device |
US20020091921A1 (en) * | 2001-01-05 | 2002-07-11 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
CN1957568A (zh) * | 2004-05-20 | 2007-05-02 | 阿尔卡特公司 | 用于配置跨域电信服务的开放式服务发现和路由选择机制 |
US20060020787A1 (en) * | 2004-07-26 | 2006-01-26 | Vinod Choyi | Secure communication methods and systems |
EP1885082A1 (en) * | 2006-08-02 | 2008-02-06 | O2 Micro, Inc. | Policy based VPN configuration for firewall/VPN security gateway applicance |
US20090031415A1 (en) * | 2007-07-26 | 2009-01-29 | International Business Machines Corporation | Dynamic Network Tunnel Endpoint Selection |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110945892A (zh) * | 2017-07-28 | 2020-03-31 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
US11228905B2 (en) | 2017-07-28 | 2022-01-18 | Huawei Technologies Co., Ltd. | Security implementation method, related apparatus, and system |
CN113660126A (zh) * | 2021-08-18 | 2021-11-16 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
CN113660126B (zh) * | 2021-08-18 | 2024-04-12 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
Also Published As
Publication number | Publication date |
---|---|
JP5707481B2 (ja) | 2015-04-30 |
EP2548356A1 (en) | 2013-01-23 |
JP2013523021A (ja) | 2013-06-13 |
KR20120123558A (ko) | 2012-11-08 |
US20110231654A1 (en) | 2011-09-22 |
WO2011116089A1 (en) | 2011-09-22 |
KR101445468B1 (ko) | 2014-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103098432A (zh) | 提供安全基础设施的方法、系统和设备 | |
US11218376B2 (en) | Algorithmic problem identification and resolution in fabric networks by software defined operations, administration, and maintenance | |
US10999189B2 (en) | Route optimization using real time traffic feedback | |
US11038972B2 (en) | Service providing method, apparatus, and system | |
EP3338414B1 (en) | Dynamic vpn policy model with encryption and traffic engineering resolution | |
Walia et al. | 5G network slicing strategies for a smart factory | |
US10122829B2 (en) | System and method for providing a control plane for quality of service | |
CN110972208B (zh) | 一种切片信息处理方法及装置 | |
CN102771155B (zh) | 用于跟踪移动会话的方法和装置 | |
US9615318B2 (en) | Multiplexing core networks in RAN sharing | |
CN208656813U (zh) | 一种企业分支机构访问请求处理系统 | |
CN104322094A (zh) | 用于分析移动服务递送的方法和装置 | |
CN110971626A (zh) | 一种企业分支机构访问请求处理方法、装置及系统 | |
US20210226866A1 (en) | Threat detection of application traffic flows | |
US7822872B2 (en) | Multi-location distributed workplace network | |
CN104426801A (zh) | 一种ptn网络的规划方法及装置 | |
Hadžić et al. | Server placement and selection for edge computing in the ePC | |
CA3029862C (en) | System and method for providing a control plane for quality of service | |
TW201822521A (zh) | 電信網路因應行動裝置應用程式之優化系統與方法 | |
CN106411732B (zh) | 一种报文转发方法及装置 | |
US10749699B1 (en) | Predictive indicator based on network performance | |
Bennett et al. | Transforming a Modern Telecom Network—From All-IP to Network Cloud | |
CN104427556A (zh) | 无线局域网服务质量等级控制的方法与装置 | |
Tuna et al. | Performance evaluations of next generation networks for smart grid applications | |
Gopal | Model based framework for implementing situation management infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130508 |