CN103141148A - 使用本地连接由网络发起的针对设备的告警 - Google Patents
使用本地连接由网络发起的针对设备的告警 Download PDFInfo
- Publication number
- CN103141148A CN103141148A CN2011800471875A CN201180047187A CN103141148A CN 103141148 A CN103141148 A CN 103141148A CN 2011800471875 A CN2011800471875 A CN 2011800471875A CN 201180047187 A CN201180047187 A CN 201180047187A CN 103141148 A CN103141148 A CN 103141148A
- Authority
- CN
- China
- Prior art keywords
- local
- main process
- process equipment
- access network
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 213
- 238000004891 communication Methods 0.000 claims abstract description 69
- 230000008569 process Effects 0.000 claims description 192
- 230000015654 memory Effects 0.000 claims description 16
- 230000009471 action Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 4
- 230000001052 transient effect Effects 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 17
- 230000005641 tunneling Effects 0.000 description 17
- 230000011664 signaling Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000007774 longterm Effects 0.000 description 5
- 238000000926 separation method Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000005577 local transmission Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000003550 marker Substances 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1446—Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/20—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于管理网络接入点和主机设备之间的本地通信的系统和技术。在主机设备连接到接入点时,在所述接入点和所述主机设备之间建立本地连接链路。可以在所述接入点和所述主机设备之间建立网络连接,其中所述网络连接能够经过所述主机设备而使得能够与接入网络通信以及在接入网络之外通信,所述接入点提供了对于所述接入网络的连接。可以通过所述本地连接链路在所述接入点和所述主机设备之间传递本地消息,这与可通过所述网络连接发生的通信分开且无关。
Description
相关申请的交叉引用
本申请要求2010年8月6日提交的美国临时专利申请No.61/371,269的优先权,在此引入该申请的全部内容作为参考。
技术领域
本发明的示例性和非限制性实施例一般涉及无线本地通信链路(例如像通过无线LAN的本地链路),并且涉及相关方法、设备以及有形体现的计算机程序软件。
背景技术
在说明书和/或附图中可找到的缩写定义如下:
AP 接入点
ARP 地址解析协议
DHCP 动态主机配置协议
IANA 因特网名称分配机构
IEEE 电气和电子工程师协会
IP 因特网协议
IPsec 因特网协议–安全
NAT 网络地址转换
SIG 专门兴趣小组
SCTP 流控制传输协议
SP 服务提供商
TCP 传输控制协议
UDP 用户数据报协议
VPN 虚拟专用网
UE 用户设备
Wi-Fi 用于IEEE 802.11x网络的名称
WLAN 无线本地接入网
IEEE 802.11 SIG的一个优先考虑的问题是允许无线网络热点“推送”信息,即,向连接到该热点的设备发送例如像通知或通告这样的未经请求的信息。举例来说,可以发送通知来警告各个连接设备的用户:所授权的连接时间接近到期了。在一种普遍的做法中,当首次附接到公共热点(例如,在机场)时,用户被定向至捕获门户(captive portal)。捕获门户可以向用户呈现用于因特网接入的一个或多个选项,诸如为限定时间段付费或接受免费接入条件,并且无论是付费还是免费,无线网络运营商仅授权在限定时间段的接入,此后可能要求支付额外费用或更新接受条件。一旦用户满足接入条件,在指定时间段期间,Wi-Fi网络运营商为用户的因特网接入打开大门。以上设想的通知将使得用户能够满足持续接入的条件,诸如在当前会话到期之前购买额外的接入时间。
公共场所中的企业用户经常接入热点来建立与安全服务器的VPN连接。用户启动VPN客户端,并且由此在用户的主机设备与企业网络中的VPN网关之间建立IPsec隧道。主机设备中的VPN客户端创建虚拟接口,并且通往主机设备的所有业务使用IPsec隧道和VPN接口。通过隧道的业务被加密(IPsec ESP隧道模式)并且因此是安全的。尽管实际上安全VPN隧道通过热点本身,但是热点本身并不能在安全VPN链路中加入消息来警告主机设备它的网络接入时间即将到期。存在超出了企业连接之外的各种原因使得对VPN的使用日益增多。
Wi-Fi联盟(WFA)发起了新的活动(热点2.0),其针对为802.11接入点和客户端指定行为,以便使得能够实现以上提及的通知。具体地,将存在用于自动更新和用于推送通知的选项,WFA要求文档将其描述如下:
·自动更新:当具有有限Wi-Fi计划(例如,基于时间)的终端用户处于热点中的会话中时,以及当该计划即将到期时,终端用户在他或她的设备上收到关于当前会话即将到期的通知。用户不需要打开web浏览器。该通知向终端用户提供了延长会话的能力,并且不需要要求终端用户重新输入永久或临时凭证(例如,信用卡)。
·推送通知:用于通知的通用接口还可被用于由SP限定的其他目的(关于预订的信息、营销信息、服务通告的推送,等等)。
常规上可能使用分离VPN(split VPN)来发送自动更新消息和推送通知,在分离VPN中,主机设备上的客户端中的选择器被配置以便只有有限的应用集使用IPSec VPN隧道,并且因而可在该有限集外部发送自动更新和推送通知。但是该方法开启了潜在的安全脆弱性,因此许多企业网络不允许分离VPN,这通常在主机设备上不能被无视。出于该原因,WFA规定即使在分离隧道被禁用时,至少自动更新功能也是会运行的。
本领域所需要的是一种用于接入网络的接入点或其他节点向用户设备发送以上所设想的消息的方式,无论该用户设备是否作为主机连接到安全VPN。
发明内容
在本发明的第一实施例中,一种方法包括:使用用于主机设备和用于接入网络的节点的并且与本地通信链路相关联的地址,在所述主机设备与所述接入网络的所述节点之间建立所述本地通信链路;使用用于所述主机设备和用于所述接入网络的所述节点的并且与经过所述接入网络的网络通信链路相关联的地址,建立来自所述主机设备并且经过所述接入网络的网络通信链路;以及通过所述本地通信链路在所述主机设备与所述节点之间传送消息,其中,在所述主机设备与所述节点之间传送消息是独立于所述网络通信链路的。
在本发明的第二实施例中,一种装置包括:至少一个处理器以及存储了计算机程序代码的至少一个存储器。所述存储器和所述计算机程序代码被配置为与所述处理器一起促使所述装置:使用用于所述装置和用于接入网络的接入节点的并且与本地通信链路相关联的地址,建立通往所述接入节点的所述本地通信链路;使用用于所述主机设备和用于所述接入网络的所述节点的并且与经过所述接入网络的网络通信链路相关联的地址,建立来自所述装置并且经过所述接入网络的安全连接链路;以及通过所述本地通信链路从所述节点接收消息。在所述主机设备与所述节点之间传送所述消息是独立于所述安全通信链路的。
在本发明的第三实施例中,提供了一种存储指令的程序的计算机可读介质。通过处理器执行所述指令促使装置实施包括如下的动作:使用用于主机设备和用于接入网络的节点的并且与本地通信链路相关联的地址,在所述主机设备与所述接入网络的所述节点之间建立所述本地通信链路;使用用于所述主机设备和用于所述接入网络的所述节点的并且与经过所述接入网络的网络通信链路相关联的地址,建立来自所述主机设备并且经过所述接入网络的所述网络通信链路;以及通过所述本地通信链路在所述主机设备与所述节点之间传送消息,其中,在所述主机设备与所述节点之间传送消息是独立于所述网络通信链路的。
附图说明
图1是示例性的但非限制性的环境的示意图示,可以在该环境中实践本发明的实施例,在所述实施例中,主机设备与VPN-GW之间具有VPN,该VPN进一步经过Wi-Fi AP、单独的路由器和因特网。
图2是示出在主机设备与诸如Wi-Fi网络的接入网络的若干节点中的任何一个节点之间的本地通信链路的示意图示。
图3是根据本发明示例性实施例来建立图2的本地链路和图1的VPN连接的信令图。
图4是用于实施本发明的各个方面的各种设备的高级框图。
图5是示出根据本发明示例性实施例的响应于执行所含软件程序或由设备采取的措施的流程图。
具体实施方式
本发明的示例性实施例至少解决了上述这样的问题:不管与用户设备的任何IPsec连接如何,通过在用户设备与接入网络的节点之间建立本地通信链路(传输层连接),即使在存在VPN连接的情况下,也向用户设备递送管理消息。然后可以使用为本地通信链路指定的至少一个端口,在本地通信链路上将消息(例如其可以是超时消息或通告)发送到用户设备。作为示例,用户设备可以是便携式用户设备,而接入网络的节点可以是可以与或者可以不与Wi-Fi热点接入点本身共址的路由器或服务器。尽管下文具体示例采用Wi-Fi/WLAN网络作为接入网络,但这对于此处更广泛的教导来说仅是示例性和非限制性的。
在示例性但非限制性的实施例中,可以存在同时通往使用传输(链路-本地)地址的本地通信链路的VPN连接。即使VPN链路是分离VPN隧道,上述消息也不在VPN链路本身上发送。而是在本地链路上将它们发送到用户设备,并且因此,这些消息不依赖于根据VPN管理员要求而在用户设备处实现的特定安全策略。在分离VPN隧道的情况中,可以在分离VPN隧道的非安全部分上另外发送一些消息。结合分离隧道VPN所使用的本发明示例性实施例因此可以表示可将管理消息发送到用户设备的第二种手段。
以下详述实现上述一般概念的三个示例性但非限制性的实施例种类。
·在第一示例性实施例种类中,该本地链路是诸如TCP、UPD、SCTP等的传输层连接,其中该连接使用链路-本地IP地址。指定端口在Wi-Fi AP或第一跳路由器/服务器上。主机设备通过适当机制获知该端口的身份,服务器在它的本地链路上使用该身份进行通知递送。这种机制的例子包括层2信令或DHCP、使用先验已知的默认端口,或者使用地址解析协议(ARP)或邻居发现。一旦端口的身份是已知的,主机设备就建立到该指定服务器端口的传输层连接以便从服务器接收通知。
·在第二示例性实施例种类中,主机设备指定其本地链路上它自己的端口之一,并且建立用于接收通知的监听套接字(listening socket)。主机设备例如经由层2信令、ARP或邻居发现、DHCP或者使用服务器先验已知的默认端口来通知Wi-Fi AP或路由器/服务器该指定端口。主机设备在该指定端口上建立监听套接字,并且接收根据服务器的链路-本地地址来寻址的到达该指定端口的消息。在落入该第二示例性种类内的各种实施例中,在主机设备处接收的消息可以通过为该目的而明确建立的传输连接。传输连接可以是例如TCP、UDP或SCTP连接等。
·在第三示例性实施例种类中,AP向用户设备指派IP地址。进行响应的用户设备要么指定它自己的端口之一作为如上述第二实施例中那样的监听端口,要么服务器通知用户设备哪个服务器端口将被用于如上述第一种类中那样的本地通信链路(或者可以使用DHCP或默认端口)。但在该第三种类中,没有与指定端口相关联的链路-本地地址。相反,相关的全局可路由IP地址与该端口相关联。这种方法对于不具有VPN能力的主机设备是特别有用的,因为在那种实例中由于用户设备缺乏能力,IP地址不能用于VPN连接。将IP地址用于本地通信链路避免了对于在IP地址与不同链路-本地地址之间可能的地址转换的需要。
在深入研究这三类非限制性实施例种类的实现细节之前,首先详述可在其中实践落入这些种类内的各种实施例的网络环境,以避免对于此处所使用的术语的任何模糊。举例来说,但不限于此,图1的Wi-Fi热点是在诸如像机场或网吧这样的公共场所运行。终端用户通过主机设备102来表示。主机设备102在此处被示为膝上型计算机,但可以是任何合适的设备,诸如蜂窝电话手机、因特网平板或其他这种便携式无线电设备。Wi-Fi热点104被体现为AP,并且还示出了路由器106。如上所述,路由器106可以与AP104共址,但为了清晰起见被单独示出。第一端终止于主机设备102处的本地链路可以经过AP104,并且如果AP104和路由器106不共址的话,则终止于路由器106处的相对应的第二端,或者如果AP104和路由器106共址的话,则终止于AP104。AP104和/或路由器106也可以具有服务器的功能,其中用于本地链路的IP或传输地址(因为该情况可用于不同实施例)被指派给所述服务器,并且因此一般而言,本地链路的相对应的第二端可被认为是终止于接入网络的节点处。
进一步地,在图1中示出因特网108,要理解,路由器106和/或VPN网关110可被视为位于因特网108内。对因特网108的图示是为了示出在路由器106和VPN-GW110之间可以有更多的中间节点。VPN-GW110是门户,通过该门户准许接入企业网络112,并且VPN-GW110更一般地被称为安全服务器,因为它确保只有授权方/设备被给予对于企业网络112的接入。可以有单独的认证服务器(未示出)与VPN-GW110通信以帮助实现该目的。在常规的VPN术语中以及如本文所使用的,主机设备102处于VPN主机的位置并且运行VPN客户端,VPN客户端是发起VPN连接或隧道的计算机软件程序。
图1中还示出了端点在主机设备102和VPN-GW110处的VPN隧道120。VPN隧道120总是至少穿过接入网络的AP104,而且可以穿过或者可以不穿过作为本地通信链路的网络侧末端的节点(在该节点不与AP104共址的情况下)。常规而言,因为VPN120上的数据被安全加密,所以AP104或路由器106无法将它自己的消息加入到VPN120隧道本身中;上述分离VPN隧道选项并不真正将消息加入到VPN120的安全部分中,而是表示平行隧道(有别于携带加密数据的那条隧道),诸如AP104和路由器106的非企业节点能够将其用于它们自己的消息。如上所述,WFA偏好针对不依赖于分离VPN隧道传输的可用性的超时警告消息和推送通知的解决方案。
链路-本地地址已被定义用于IPv4和IPv6,并且至少早在IPv4就规定了链路-本地地址。作为示例,IPv4前缀169.254/16被注册于IANA用于链路-本地地址,并且被指派给网络接口。在IPv6的情境中的链路-本地地址也被明确规定并且被很好地得到理解。由于链路-本地地址的一般性质在无线通信领域是众所周知的,此处不再进一步详述这种地址,要理解,在不背离这些教导的情况下,可以在IP规范的稍后版本中修改涉及如何定义链路-本地地址的细节。
不同于全局可路由的通用IP地址,使用链路-本地地址限于在主机设备102和Wi-Fi网络之间的本地通信链路。在图1中,这种网络被体现为Wi-Fi AP104以及可与AP104共址的路由器106。在本地链路上从Wi-Fi网络到主机设备102的IP通信可以使用主机设备102的链路-本地地址作为目的地地址。
现在进一步详述以上概述的三个示例性但非限制性实施例种类。在第一示例性实施例种类中,接入网络向主机设备102指派链路-本地地址,例如使用执行该指派的AP104或路由器106。接入网络确保链路-本地地址对于附接到该共享链路的每个主机都是唯一的。举例来说,可以通过实施重复地址检测(DAD)来保证唯一性。在以下描述中,出于简单起见,本地链路一般被描述为终止于服务器104-106,服务器104-106可以是AP104、路由器106,或者接入网络中与AP104或路由器106分开的特定服务器105。可以理解,AP104、路由器106和服务器105中的两个或更多可被组合成单个单元,并且还可以理解,并不是此处呈现的所有示例性设备104-106都是必需的,在无损本发明的情况下,可以使用其他设备来实施此处描述的功能。
可以适当地如下实现落入第一种类内的示例性实施例。当主机设备102已经经由Wi-Fi热点/AP102获得在某个限定持续时间的网络接入时,Wi-Fi热点的管理员跟踪连接的生命周期。在该连接被授权时启动计时器,这通常是由被提供给进行授权或保证支付的Wi-Fi网络的成功支付或凭证来表示的。主机设备102的用户然后可以发起VPN连接。如上文背景部分所指出的,在常规的实践中,发起该VPN将防止热点接入网络向用户传输任何管理消息,但分离VPN隧道传输(由于其安全脆弱性,这是极为少见的)的情况除外。
根据该示例性实施例,使用主机设备102的链路-本地地址建立了与服务器104-106的长期传输连接(TCP、UPD、SCTP或诸如此类)。主机的链路-本地地址可以派生自MAC地址或某种其他本地标识符,或者在连接建立时经由DHCP被配置用于主机设备102。替代地,可以在连接时发现服务器104-106地址,例如像在IPv4情况中那样使用地址解析协议ARP,或者在IPv6情况中那样使用邻居发现。在针对要使用DHCP的情况的非常特定的实施例中,可以指定新的DHCP选项来指示服务器104-106的地址。服务器104-106本身位于主机设备102所接附到的本地通信链路上,并且是作为本地通信链路终止地的接入网络的节点。
在主机设备102和企业VPN网关110之间建立的VPN连接使用全局可路由的IPv4或IPv6地址。IPv4地址可以是专用IPv4地址,但不管怎样,它被主机设备102用作VPN连接的端点地址。通过使用网络地址转换或NAT,这是可行的。
无论是否启用分离隧道传输,使用链路-本地地址的本地传输连接都不受由于存在或不存在任何VPN连接所造成的影响。服务器104-106跟踪通过Wi-Fi热点/AP104的连接的生命周期。当连接接近到期时,服务器104-106通过主机设备102先前使用链路-本地地址所建立的到服务器104-106的本地传输连接(诸如TCP、UPD、SCTP等)来发送管理消息。在这种情况下,主机设备102需要知道它必须向其建立长期TCP或其他类型的传输连接的服务器的端口号。在各种示例性实施例中,这可以是热点组内定义的众所周知的默认端口号;或者它可以是主机设备102通过DHCP而获知的端口;或者它可以是接入网络经由层2信令向主机设备102发送的端口。
当服务器104-106需要向主机设备102发送消息时,其使用由主机设备102早先建立的与节点或服务器的长期TCP或其他类型的传输连接。向主机设备102递送消息促使例如弹出窗口出现在主机设备102的图形显示接口上。该弹出窗口提供诸如连接生命周期、连接的到期时间和剩余时间这样的信息。这种通知将使得在主机设备102处的用户能够延长连接时间,诸如通过购买额外的时间或者以另外的方式延长或更新授权,或者替代地,优雅地关闭正在使用该连接的应用,将它们置于离线模式,或者至少意识到应用将只在离线模式下可用。
即使当主机设备102具有进行中的VPN连接120时也可向主机设备102处的用户递送这种管理消息的能力改善了用户体验,因为它防止了连接以及相关软件应用在没有警告情况下的中断。在第一实施例的一种实现中,主机设备102处的VPN客户端发起了长期TCP或其他传输连接(或者当连接断路时重新建立它),所以VPN客户端中的防火墙不会阻止由服务器104-106发送的消息,因为正在使用由客户端VPN本身所发起的TCP或其他现有传输连接来发送这种管理(或其他非安全的)消息。
图2示意性地示出了可建立本地通信链路的各种方式。所示出的是主机设备102、AP104以及不与AP104或路由器106共址的单独服务器105。假设图2所示的AP104、路由器106和服务器105全都是Wi-Fi/WLAN接入网络的一部分。经由因特网108可接入图1所示的企业网络,但未在图2具体示出。对于本地通信链路终止于AP104本身处的情况,本地通信链路通过参考标记131示出,并且与网络侧链路-本地地址相关联的指定通信端口在AP104处。
对于本地通信链路终止于与AP104分开(但仍位于接入/Wi-Fi网络内)的某个服务器105的情况,本地通信链路如参考标记130所示,并且与网络侧链路-本地地址相关联的指定通信端口在服务器105处。在后一种实例中,本地链路仍旧经过AP104和路由器106,尽管出于简单图示起见,没有在图2中示出该具体细节。在该情况中,AP104和路由器106简单地充当交换机,并且不引发通往主机设备102的管理消息。
不论图2中接入网络的哪个节点是本地通信链路所终止的节点,如果存在VPN连接如图1所示那样路由,则VPN隧道经过AP104并且可以经过或者可以不经过服务器105和/或路由器106(如果这种服务器或路由器不与AP104共址的话)。
图3是示出建立图2的本地通信链路和图1的VPN连接的信令图。图3所示的节点是图2所示的那些,但在图3增加了认证服务器109,认证服务器109进行操作,以便验证已经针对主机设备102经由AP104接入到因特网108而进行了支付或者满足了附加的或替代的条件。
消息302是一种交换,通过所述交换,主机设备102经由接入网络选择因特网接入的时间段,并且向该接入网络提供信用卡授权或者其他对支付或权限的验证。AAA服务器109可以验证该信息并且使其不受接入网络中其他节点危害。
消息304示出了一旦已满足接入条件便发生的交换。使用本地链路所终止处的诸如服务器105、AP104或路由器106这样的节点的链路-本地地址,主机设备102发起通往通信端口号X的连接。主机设备102通过适当机制(诸如以上详述的通过选择默认端口、DHCP或层2信令)获知或发现该端口号X。
作为回报,服务器105向主机设备/站台102发回连接接受消息306。在此时,已在主机设备102与接入网络的服务器105之间建立了本地通信链路。
接下来,主机设备102决定在消息交换308处发起VPN连接。这种发起通常是利用企业网络来进行的,主机设备102对于该企业网络具有适当的用户名和数字认证密钥。在VPN连接正在进行期间的某点处,触发由接入网络的接入点所监控的计时器310。可以设置这种触发发生在任何所需时间处,但一个合适的时间可以是处在消息交换302中授权的时间到期之前的10-15分钟范围内。
响应于计时器310到期,服务器105通过由消息304和306所建立的本地链路向主机设备102发送超时警告消息312。消息312提供信息来警告所授权的时间即将到期。甚至在VPN连接308正在进行时也发送该消息312。
在一些实施例中,取决于接入网络的具体配置,图3分开示出的节点中的某些节点可被组合到AP104或某个其他节点中。
根据落入上述第二种类内的示例性实施例,在链路层处定义了指示,以便指示AP是否支持通知。该指示可以是显式或隐式的。例如,对于这种支持的隐式指示可以是AP热点104表明它依从“热点2.0”而进行的指示。根据该指示,主机设备102可以识别出AP热点支持通知,或者更一般地,接入网络支持同时通往相同主机设备的本地链路和VPN连接,其中本地链路可被用于通知递送/接收。然后,主机设备102可以使用层2过程(诸如可在WFA中根据这些教导而被定义的过程),以便为服务器104-106标识出主机设备通信端口中被指定用于本地通信链路的通信端口。一旦主机设备102已经识别出AP设备104支持通知并且已经标识出在本地通信链路中使用的指定端口,主机设备102便在该指定端口上建立监听套接字。在一个示例性实施例中,可以随机选择主机设备102处的该指定端口,因为预期不太可能在本地链路的主机设备侧有端口冲突。这样做的原因是:主机设备102不太可能正在使用已与用于某个其他预先存在的会话的链路-本地地址相关联的该指定通信端口。
主机设备102例如通过上述ARP或邻居发现而生成供其自己使用的链路-本地地址。对于要用来生成链路-本地地址的机制的特定选择可以至少部分地取决于要使用的IP地址族。主机设备102适合使用所述生成的链路-本地地址来获知服务器104-106的链路-本地地址。
然后,主机设备102在链路-本地地址上以及在先前已建立的指定通信端口上建立其监听套接字。然后,服务器104-106可以向主机设备102推送其必须发送的任何消息,诸如上述超时警告消息或通告消息。在本发明的一个示例性实施例中,可以在UDP分组中发送该消息。在本发明的第二示例性实施例中,服务器104-106可以建立通往主机设备102的TCP或其他传输连接(诸如SCTP连接),并且然后将该消息作为TCP数据帧来进行发送。
在一个经常发生的可在其中采用本发明的各种实施例的情况中,非IPsec防火墙将在主机设备102中操作。可以例如经由链路层信令将该防火墙配置为打开被指定用于本地通信链路的端口号。如上所述,在本发明的一个示例性实施例中,在链路-本地地址关联阶段的层2信令期间,该端口可被标识用于服务器104-106。在一个实施例中,主机设备102可以在其防火墙中创建规则,以便允许接收起源于服务器的链路-本地地址并被定向到指定主机设备端口的消息。
举例来说,并且假设AP104是本地链路的网络侧终止,这种规则可采用以下形式:ALLOW(my_link_local_address,my_local_port,AP_link_local_address,AP_any_port,any_protocol)。
两种考虑与第二实施例种类中的这种示例性规则是特别相关的。首先,在服务器处指定的端口的特定身份具有很小的相关性或没有相关性。重要的只是消息起源于服务器的传输地址并且消息到达或阐明了被指定用于本地通信链路的主机设备102的通信端口。在上面示例规则中的“any protocol(任何协议)”指定允许防火墙让TCP和UDP消息都获得通过(假定服务器104-106对于管理消息可以采取的形式有更多选项)。其次,值得注意的是,该规则与VPN接口上的过滤无关。如上所述,对于VPN连接的持续时间,在安全VPN链路上的所有过滤均由主机设备102的IPSec引擎来处理,并且到达传输层连接上的消息旁路了该IPSec引擎。
所建立的VPN连接允许分离隧道传输的情况是类似的,除了在该情况下,一部分VPN隧道的消息不通过IPsec引擎来进行解密。可以常规处理在VPN隧道的所述非安全部分上到达的消息,并且在该具体实例中,可以认为本地通信链路平行于VPN分离隧道的安全和非安全部分。除了VPN分离隧道的非安全部分之外,还可以认为本地通信链路是用于定向到主机设备102的管理消息的第二通路。
对于如上所述的第一或第二实施例种类,考虑如下情况:主机设备是移动的并且需要从第一接入网络切换到第二接入网络。落入上述第一和第二种类的各种具体实施例是通过第一接入网络完成的,并且本地链路是第一本地链路。为了跨越切换而保持VPN隧道,主机设备102通常需要在第二接入网络允许针对主机设备的因特网接入之前接受第二接入网络的条款和条件。
在本发明的这种具体实施例中,可以在主机设备102和第二接入网络之间建立第二本地链路,主机设备102通过第二本地链路可以接受所述条款和条件。然后在切换时,可以将VPN隧道从通过第一接入网络被路由到主机设备切换到通过第二接入网络被路由到主机设备,而无需断开并且然后重新建立VPN隧道。新的TCP地址被用于第二本地链路,并且端口号可以与或者可以不与用于第一本地链路的那些相同,即使在切换后第一本地链路断路。
更具体地,在根据本发明的一个实施例的场景中,在诸如主机设备102的主机设备中的移动IP软件客户端在图1的VPN-GW110处或在企业网络112内的其他地方建立与归属代理(Home Agent)的安全隧道。移动IP需要发送所谓的绑定更新到归属代理,以便向归属代理注册用于主机设备102的新IP地址。用于主机设备102的新IP地址由第二接入网络指派,但第二接入网络通常阻止通往所述新IP地址的业务,直到其条款和条件被主机设备接受后为止。可以经由第二本地链路实施这种阻止。与此同时,可以通过第一接入网络保持VPN隧道,直到它可被切换为止。与接受条款和条件类似,在一个实施例中,向第二接入网络登记或在线签订主机设备也同样通过第二本地通信链路来进行,因为上述例子中所分配的新IP地址被绑定到了VPN隧道。
根据落入第三种类内的实施例,本地通信链路使用与端口而不是与传输层地址(诸如TCP地址)相关联的IP地址。IP地址是全局可路由的,因此不需要地址转换,不论所讨论的地址是公共还是私有IP地址。主机设备102可以与服务器104-106的已知端口或者与使用机制(诸如使用ADP、邻居发现或DHCP)发现的端口建立长期传输连接(诸如TCP、UDP、SCTP等)。进一步替代地,主机设备可以打开由服务器104-106在链路层关联阶段发信号通知给它的端口上的监听套接字。
然而,在该第三实施例种类中,没有可用于主机设备102的IP地址来用于单独的VPN连接,因为存在与主机设备的IP地址相关联的主机设备端口。于是在该实例中,对于主机设备102来说,如果其替代地使用了在传输层上所用的相同IP地址来建立VPN连接的话,那么便会没有容量来接收超时警告或其他非安全消息。
该第三实施例种类对于这样的主机设备102是更有利的,其中所述主机设备102不是利用VPN客户端来建立并且因此无论如何也无法建立VPN连接。存在很多这种用户设备可以作为诸如主机设备102的主机设备,并且该第三种类内的实施例为服务器104-106启用了更为流线化的过程,以便服务各种主机设备而只是过程稍有不同;将传输地址或IP地址与用于本地链路的指定端口相关联,并且仅对使用传输地址的情况转换地址。
由于落入上述第一和第二种类内的各种示例性实施例可被设计以便即使在存在同时的VPN连接的情况下也功能齐全,因此还存在额外的安全考虑。期望可对能够支持同时的通往相同用户设备的传输层链路和安全VPN链路的作为热点角色来进行服务的AP进行设计,以便提供信息来允许主机设备102在主机设备与该热点相关联之前验证该热点的身份。预期可以实现该目标的一个机制是用于AP发送信标来指示其是“依从热点2.0的”。该指示或者其他这样的显式或隐式指示被主机设备102解释为:该接入网络能够支持同时通往相同用户设备的传输层链路和安全VPN链路。通过这种方式,主机设备102能够验证依从热点2.0的服务器104-106的身份。这种方法将任何额外的安全顾虑保持为最小,因为通过这些教导,在主机设备102与服务器相关联之前就经由信标/广播而验证了服务器的身份。
类似地,对于主机设备102直到关联于热点/AP104之后才能验证服务器104-106的身份的情况,应当有一些附加的安全顾虑,因为验证仍会在建立上述实施例中详述的传输层/本地通信链路和VPN连接(如果有的话)之前发生。
作为附加安全特征,对于主机设备102无法验证热点AP104的身份的情况,不应当建立本地通信链路和VPN链路。但对于AP的身份被验证的情况,主机设备102于是信任接入点104,而不管设备是否建立了VPN连接。
上述示例性实施例中某些实施例的技术优势包括对用户体验的显著改善,因为即使当VPN连接被启用并且在使用时也防止了在没有任何警告的情况下中断连接。附加的技术优势包括:Wi-Fi热点服务提供商有办法通过使用链路-本地地址向用户发送管理消息,并且任何增加的安全问题都是有限的,因为用于这种管理消息的传输层连接的范围限于本地链路并且没有牵连VPN连接(如果建立了VPN连接的话)。
现在参考图4,图4示出了适于在实践本发明示例性实施例时使用的各种电子设备的简化框图。图4中,无线接入网络9适于经由接入网络的接入点12或其它接入节点与用户/主机设备102的位置处的UE10或非AP站台(针对特定于无线本地接入网络的实现方式)之间的通信。网络9可以包括更高控制节点(未示出,作为非限制性例子有网关GW、用户平面实体UPE、移动性管理实体MME或系统架构演进网关SAE-GW)以及图2示出的路由器106和服务器105。对于服务器105或路由器106不与AP104共址的情况,这种服务器或路由器具有如图4所示的用于AP104的类似功能块,但却可以具有或者可以不具有无线发射机和接收机12D,而是只有耦合于端口12G的调制解调器。尽管可能存在图1-2的不同布置,但是为简单起见,AP12被示为直接对接到因特网。
UE10包括数据处理器(DP)10A、存储了程序(PROG)10C的存储器(MEM)10B,以及耦合于一个或多个天线10E的用于通过数据链路13与AP12进行双向无线通信的适当的射频(RF)发射机和接收机10D。在数据链路13内是如上详述的本地通信链路和VPN连接。AP12还包括DP12A、存储了PROG12C的存储器12B,以及耦合于一个或多个天线12E的适当的RF发射机和接收机12D。AP12可以经由数据路径13耦合于因特网或其他更宽的通信网络。同样,在UE10和AP12处的是用于在IP地址和传输层地址(举例来说,如以上对于第一和第二实施例种类所详述的诸如TCP、UDP、SCTP的类似地址)之间进行转换的地址转换器10F,12F。端口10G和12G一般被示出为指示如上对于三个示例实施例所详述的被指定用于本地链路的通信端口。
PROGs10C和12C中的至少一个被假设为包括程序指令,所述程序指令当被相关联的DP执行时使得电子设备能够根据如上详述的本发明示例性实施例来进行操作。
一般而言,可以通过可由UE10的DP10A和其他DP执行的计算机软件,或者通过硬件,或者通过软件和/或固件和硬件的组合来实现本发明的示例性实施例。出于获得超出此处具体示例的对本发明更广泛方面的理解所需要的详细程度,主要逻辑元件之间的交互对于本领域技术人员应当是显而易见的。应当指出的是,可以通过如下方式来实现本发明:专用集成电路ASIC、现场可编程门阵列FPGA、数字信号处理器或实现本发明的预期功能的其他合适的处理器,包括中央处理器、随机存取存储器RAM、只读存储器ROM,以及用于如上详述的在AP12和UE10之间的通信的通信端口。
一般而言,UE10的各种实施例可以包括但不限于:蜂窝电话、具有无线通信能力的个人数字助理(PDA)、具有无线通信能力的便携式计算机、具有无线通信能力的诸如数字相机的图像捕获设备、具有无线通信能力的游戏设备、具有无线通信能力的音乐存储设备和重放工具、允许无线因特网接入和浏览的因特网工具,以及合并了这些功能组合的便携式单元或终端。
MEM10B和12B可以具有适于本地技术环境的任何类型,并且可以使用任何适合的数据存储技术(诸如基于半导体的存储设备、磁存储设备和系统、光存储设备和系统、固定存储器和可装卸存储器)来实现。DP10A和12A可以具有适于本地技术环境的任何类型,并且可以包括作为非限制性例子的以下中的一个或多个:通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器。
假设所述存储器中的至少一个有形地体现了软件程序指令,所述软件程序指令当被相关联的处理器执行时使得电子设备能够根据如上示例所详述的本发明示例性实施例来进行操作。如此,可以至少部分地通过可由网络元件12或UE10的控制器/DP执行的计算机软件,或者通过硬件,或者通过软件和硬件的组合来实现本发明的示例性实施例。
基于上文,应当显而易见的是,本发明的示例性实施例提供了一种用于实施如图5所示的那些操作的方法。在其它实施例中,存在诸如图4所示的那些中的任意一个的装置,所述装置包括至少一个处理器和存储了计算机程序代码的至少一个存储器,其中,所述处理器和存储了代码的存储器被配置为促使所述装置执行图5所述的动作。在其它实施例中,存在至少一个有形地存储了计算机程序的计算机可读存储器,所述计算机程序当被处理器执行时促发包括图5所示的那些动作的动作。
更具体地,图5的框502示出的动作包括:在主机设备(诸如主机设备102)与接入网络的节点(诸如由设备104-106中的一个或多个设备所表示的节点)之间建立本地通信链路。本地通信链路可以适当地采用用于主机设备102和所述节点的本地地址,其中所述本地地址与本地通信链路相关联。在一个示例性实现中,建立链路可以在连接到接入网络之后立即发生。
框504示出的动作包括:建立来自主机设备并且经过接入网络的网络连接。所述网络连接适合在主机设备和接入节点处具有本地终止点,并且允许主机设备与比接入点远的设备进行通信。网络连接适合使用用于主机设备和接入节点的与该网络连接相关联的地址。
框506示出了以下动作:通过本地通信链路(诸如在主机设备102与服务器105之间的本地通信链路130、在主机设备102与Wi-Fi AP104之间的本地通信链路131,或者其他合适的本地通信链路)在主机设备与节点之间传送消息。可以使用被指定用于本地通信链路并且与第一和第二本地地址中的至少一个相关联的至少一个通信端口来传送消息。消息的传送适合独立于安全的或是其他类型的任何网络通信链路(其终止于主机设备并且经过接入网络)。
图5中所表示的动作可以涵盖众多实现方式和变化,其中的一些已经在上面进行了详述,为避免繁冗而没有在图5中示出。这些变化中的一些变化可以单独发生,或者也可以被组合,并且根据需要可以包括:
·通过接入网络在主机设备与虚拟专用网的网关之间建立安全通信链路,而框502的本地通信链路是活动的(active),其中,所述安全通信链路平行于所述本地通信链路;
·框506处所传送的消息包括指示了剩余时间量的超时警告消息,在所述剩余时间量之后,上文指出的安全连接链路或因特网连接中的至少一个将到期,除非在主机设备处采取措施;
·框506处所传送的消息包括通告;
·通过经由在主机设备与第二接入网络之间所建立的第二本地通信链路而接受第二接入网络的条款和条件,将主机设备切换到第二接入网络而不中断安全通信链路;
·框502的本地通信链路包括诸如TCP、UDP、SCTP等的传输层连接,并且本地地址是传输地址;
·在框502处建立本地通信链路发生在主机设备附接到无线接入网络之后,以及响应于主机设备确定接入网络支持通知递送而发生。这种确定可以通过来自接入网络的显式指示来告知,并且可以指示接入网络支持例如与单个主机设备的平行的安全和本地链路的能力。所述指示可以包括来自由接入节点或其它设备所传输的信标信号的以下指示:接入网络是依从通知递送的。
根据落入以上详述的第一种类内的一个或多个实施例,无论是否包括上述变化中的任何一个或多个,框506的指定通信端口均处在接入网络的节点上并且与第二本地地址相关联,并且所述动作还包括以下中的任何一个:使用层2信令来向主机设备通知节点的指定通信端口;或者主机设备使用DHCP来发现节点的指定通信端口;或者使用主机设备先验已知的节点的默认端口作为指定通信端口。主机设备和节点可以经由如上详述的DHCP、邻居发现或ARP来发现彼此的端口号和IP地址。
根据落入以上详述的第二种类内的一个或多个实施例,无论是否包括上述变化中的任何一个,框506的指定通信端口均处在主机设备上并且与第一本地地址相关联,并且所述动作还包括以下中的任何一个:使用层2信令来向节点通知指定通信端口;节点使用层2信令来向主机设备指明指定通信端口,主机设备应当针对所述指定通信端口来监听通知;或者节点使用DHCP来发现主机设备的指定通信端口;或者指定通信端口是该节点先验已知的默认端口。在落入该第二种类内的特定实施例中,通信端口是动态的,并且主机设备将动态通信端口配置为用于非安全消息的监听套接字。如落入第一种类内的各种实施例一样,在落入第二种类内的实施例中,主机设备和节点也可以经由如上详述的DHCP、邻居发现或ARP来发现彼此的端口号和IP地址。
现在,在落入如上详述的第三示例性种类内的一个或多个实施例中,在主机设备附接到接入网络的节点之后,该节点指示接入网络支持通知递送,存在指定通信端口,通过所述指定通信端口,在主机设备与接入网络的节点之间传送通知,其特征在于以下中的至少一个:主机设备在处于该主机设备上的指定端口上建立监听套接字(诸如使用以上为落入第一和第二种类内的实施例所指定的方法),或者主机设备获知处于该节点上的指定端口(诸如使用以上为落入第一和第二种类内的实施例所指定的方法)。使用该指定端口建立连接,并且通过该连接发送通知消息。在对于落入该第三种类内的实施例的特定的各种实现中,可以实现以下中的至少一个:指定通信端口处在主机设备上并且与主机设备的因特网协议地址相关联;和/或指定通信端口处在接入网络的节点上并且与该节点的因特网协议地址相关联。
在以上概述的实施例的更具体的变化中,还存在使用以下任意一个的进一步的动作:层2信令向主机设备以及接入网络的节点中的至少一个通知哪个端口与因特网协议地址相关联;使用DHCP来发现指定端口,或者使用先验已知的默认端口作为指定端口。
一般而言,各种示例性实施例可以在硬件或专用电路、软件、逻辑或其任何组合中来实现。例如,某些方面可以在硬件中实现,而其他方面可以在固件或可由控制器、微处理器或其他计算设备执行的软件中实现,尽管本发明不限于此。尽管本发明示例性实施例的各个方面可被示出和描述为框块和信令图,但要理解,此处描述的这些框块、装置、系统、技术或方法可以在作为非限制性示例的硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或者其某种组合中实现。
鉴于以上描述并结合附图进行阅读,对本发明前述示例性实施例的各种修改和调配对于相关领域的技术人员来说可变得显而易见。然而,任何修改并且所有修改都仍将落入本发明的非限制性和示例性实施例的范围内。
此外,本发明的各种非限制性和示例性实施例的特征中的一些可以是有利的,而不必相应地使用其他特征。如此,上文的描述应被视为仅是对本发明的原理、教导和示例性实施例的说明,而不是限制性的。
Claims (20)
1.一种方法,其包括:
使用用于主机设备和用于接入网络的节点的并且与本地通信链路相关联的地址,在所述主机设备与所述接入网络的所述节点之间建立所述本地通信链路;
使用用于所述主机设备和用于所述接入网络的所述节点的并且与经过所述接入网络的网络通信链路相关联的地址,建立来自所述主机设备并且经过所述接入网络的所述网络通信链路;以及
通过所述本地通信链路在所述主机设备与所述节点之间传送消息,其中,在所述主机设备与所述节点之间传送所述消息是独立于所述网络通信链路的。
2.根据权利要求1所述的方法,其中,所述网络通信链路是安全通信链路,其提供了通过所述接入网络在所述主机设备与虚拟专用网的网关之间的连接性。
3.根据权利要求1所述的方法,其中,所述网络通信链路平行于所述本地通信链路。
4.根据权利要求1所述的方法,其中,所述消息包括超时警告消息,其指示所提供的与所述接入网络相关联的服务将终止。
5.根据权利要求1所述的方法,其中所述接入网络是第一接入网络并且所述本地通信链路是第一本地通信链路,所述方法进一步包括所述主机设备切换到第二接入网络而不中断所述安全通信链路,并且其中切换包括:经由在所述主机设备与所述第二接入网络之间建立的第二本地通信链路而与所述第二接入网络的通信。
6.根据权利要求1所述的方法,其中,所述消息包括通告。
7.根据权利要求1所述的方法,其中,所述本地通信链路是传输层连接。
8.根据权利要求7所述的方法,其中,与所述本地通信链路相关联的地址是链路-本地IP地址。
9.根据权利要求7所述的方法,其中,在所述主机设备的指定端口处建立用于接收通知的监听套接字。
10.根据权利要求1所述的方法,其中,与所述本地连接相关联的地址是全局可路由的IP地址。
11.一种装置,其包括:
至少一个处理器;
存储了计算机程序代码的至少一个存储器;
其中,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起促使所述装置:
使用用于所述装置和用于接入节点的并且与本地连接链路相关联的地址,建立与接入网络的所述接入节点的所述本地连接链路;
使用用于所述主机设备和用于所述接入网络的所述节点的并且与经过所述接入网络的网络通信链路相关联的地址,建立来自所述装置并且经过所述接入网络的安全连接链路;以及
通过所述本地通信链路向所述节点发送消息或从所述节点接收消息,其中,在所述主机设备与所述节点之间传送所述消息是独立于所述安全通信链路的。
12.根据权利要求11所述的装置,其中,所述存储器和所述计算机程序代码被进一步配置为与所述处理器一起促使所述装置:建立所述装置的指定端口来发送或接收所述消息。
13.根据权利要求12所述的装置,其中,所述存储器和所述计算机程序代码被进一步配置为与所述处理器一起促使所述装置:向所述接入节点通知所述指定端口的身份。
14.根据权利要求11所述的装置,其中,所述存储器和所述计算机程序代码被进一步配置为与所述处理器一起促使所述装置响应于来自所述接入网络的以下显式指示而建立所述本地连接链路:所述接入网络能够独立于安全通信链路而通过本地连接链路来递送通知。
15.根据权利要求11所述的装置,其中,所述显式指示包括广播消息。
16.一种存储了指令的程序的非瞬态计算机可读介质,通过处理器执行所述指令促使装置实施包括如下的动作:
使用用于主机设备和用于接入网络的节点的并且与本地通信链路相关联的地址,在所述主机设备和所述接入网络的所述节点之间建立所述本地通信链路;
使用用于所述主机设备和用于所述接入网络的所述节点的并且与经过所述接入网络的网络通信链路相关联的地址,建立来自所述主机设备并且经过所述接入网络的所述网络通信链路;以及
通过所述本地通信链路在所述主机设备与所述节点之间传送消息,其中,在所述主机设备与所述节点之间传送所述消息是独立于所述网络通信链路的。
17.根据权利要求1所述的计算机可读介质,其中,所述网络通信链路是安全通信链路,其提供了通过所述接入网络在所述主机设备与虚拟专用网的网关之间的连接性。
18.根据权利要求1所述的计算机可读介质,其中,所述消息包括超时警告消息,其指示所提供的与所述接入网络相关联的服务将终止。
19.根据权利要求1所述的计算机可读介质,其中所述接入网络是第一接入网络并且所述本地通信链路是第一本地通信链路,其进一步包括所述主机设备切换到第二接入网络而不中断所述安全通信链路,并且其中切换包括:经由在所述主机设备与所述第二接入网络之间建立的第二本地通信链路而与所述第二接入网络的通信。
20.根据权利要求1所述的计算机可读介质,其中,所述本地通信链路是传输层连接。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US37126910P | 2010-08-06 | 2010-08-06 | |
US61/371,269 | 2010-08-06 | ||
PCT/FI2011/050679 WO2012017132A1 (en) | 2010-08-06 | 2011-08-01 | Network initiated alerts to devices using a local connection |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103141148A true CN103141148A (zh) | 2013-06-05 |
CN103141148B CN103141148B (zh) | 2015-07-01 |
Family
ID=45556935
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180047187.5A Active CN103141148B (zh) | 2010-08-06 | 2011-08-01 | 使用本地连接由网络发起的针对设备的告警 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9577984B2 (zh) |
EP (1) | EP2601815B1 (zh) |
CN (1) | CN103141148B (zh) |
WO (1) | WO2012017132A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283720A (zh) * | 2014-10-29 | 2015-01-14 | 迈普通信技术股份有限公司 | 一种应用于移动互联网的拨号方法、系统及用户设备 |
CN107078951A (zh) * | 2014-11-21 | 2017-08-18 | 思科技术公司 | 从虚拟端口信道对等体故障恢复 |
CN110418375A (zh) * | 2018-04-27 | 2019-11-05 | 慧与发展有限责任合伙企业 | 自动确定网络设备的网状网角色 |
CN112866074A (zh) * | 2019-11-28 | 2021-05-28 | 烽火通信科技股份有限公司 | 一种虚拟网络连接方法及虚拟网络系统 |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9137104B2 (en) | 2011-05-26 | 2015-09-15 | Kaseya Limited | Method and apparatus of performing remote management of a managed machine |
US9124494B2 (en) | 2011-05-26 | 2015-09-01 | Kaseya Limited | Method and apparatus of performing remote management of a managed machine |
US8799459B2 (en) * | 2011-09-12 | 2014-08-05 | Microsoft Corporation | Event-driven detection of device presence for layer 3 services using layer 2 discovery information |
US8656015B2 (en) | 2011-09-12 | 2014-02-18 | Microsoft Corporation | Detecting device presence for a layer 3 connection using layer 2 discovery information |
US20130073671A1 (en) * | 2011-09-15 | 2013-03-21 | Vinayak Nagpal | Offloading traffic to device-to-device communications |
US9166732B2 (en) * | 2012-04-19 | 2015-10-20 | At&T Mobility Ii Llc | Facilitation of security employing a femto cell access point |
US9549336B2 (en) | 2012-05-31 | 2017-01-17 | Lg Electronics Inc. | Method for obtaining policy information for making traffic detour |
US20150139210A1 (en) * | 2012-06-29 | 2015-05-21 | Nokia Corporation | Method and apparatus for access parameter sharing |
KR101907487B1 (ko) | 2012-11-16 | 2018-10-12 | 삼성전자주식회사 | 휴대단말기의 ap 연결 방법 및 장치 |
WO2015171075A1 (en) * | 2014-05-06 | 2015-11-12 | Mediatek Singapore Pte. Ltd. | Method for discovering services |
CN105098268B (zh) * | 2014-05-14 | 2019-03-12 | 中兴通讯股份有限公司 | 一种终端的充电方法及装置 |
CN104168171B (zh) * | 2014-08-12 | 2017-12-01 | 深信服科技股份有限公司 | 接入点的访问方法及装置 |
US10567381B1 (en) * | 2015-12-17 | 2020-02-18 | Amazon Technologies, Inc. | Refresh token for credential renewal |
US10574331B2 (en) * | 2016-05-10 | 2020-02-25 | Nokia Technologies Oy | Antenna co-location and receiver assumptions |
TWI648968B (zh) * | 2017-08-15 | 2019-01-21 | 智易科技股份有限公司 | 遠端網路連線系統及其接取設備及其連線方法 |
US11503056B1 (en) * | 2021-08-09 | 2022-11-15 | Oversec, Uab | Providing a notification system in a virtual private network |
US11729148B1 (en) * | 2022-09-04 | 2023-08-15 | Uab 360 It | Optimized utilization of internet protocol addresses in a virtual private network |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101356770A (zh) * | 2005-12-22 | 2009-01-28 | 京瓷公司 | 在便携式通信设备中进行位置信息管理的装置、系统和方法 |
US20090097459A1 (en) * | 2007-10-15 | 2009-04-16 | Sony Ericsson Mobile Communications Ab | Method for wan access to home network using one time-password |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7155740B2 (en) * | 2000-07-13 | 2006-12-26 | Lucent Technologies Inc. | Method and apparatus for robust NAT interoperation with IPSEC'S IKE and ESP tunnel mode |
US7036143B1 (en) * | 2001-09-19 | 2006-04-25 | Cisco Technology, Inc. | Methods and apparatus for virtual private network based mobility |
US7149219B2 (en) * | 2001-12-28 | 2006-12-12 | The Directtv Group, Inc. | System and method for content filtering using static source routes |
KR100886550B1 (ko) * | 2002-09-17 | 2009-03-02 | 삼성전자주식회사 | 아이피 어드레스 할당 장치 및 방법 |
US8331907B2 (en) * | 2003-02-18 | 2012-12-11 | Roamware, Inc. | Integrating GSM and WiFi service in mobile communication devices |
GB2430849B (en) * | 2004-01-09 | 2009-03-25 | Matsushita Electric Ind Co Ltd | IP Device Management Server and Network System |
US20060046728A1 (en) * | 2004-08-27 | 2006-03-02 | Samsung Electronics Co., Ltd. | Cellular mobile communication system and method using heterogeneous wireless network |
US7443825B2 (en) * | 2005-03-08 | 2008-10-28 | Terence Edward Sumner | Method and apparatus for providing a stand-alone wireless web service |
JP4615345B2 (ja) * | 2005-03-25 | 2011-01-19 | Okiセミコンダクタ株式会社 | 無線lanにおけるハンドオーバー方法 |
US7568220B2 (en) * | 2005-04-19 | 2009-07-28 | Cisco Technology, Inc. | Connecting VPN users in a public network |
US7668140B2 (en) * | 2005-05-11 | 2010-02-23 | Alcatel-Lucent Usa Inc. | Roaming between wireless access point |
WO2007048023A2 (en) * | 2005-10-22 | 2007-04-26 | Revnx, Inc. | A method and system for device mobility using application label switching in a mobile communication network |
US20070248085A1 (en) * | 2005-11-12 | 2007-10-25 | Cranite Systems | Method and apparatus for managing hardware address resolution |
EP1833274A1 (en) * | 2006-03-08 | 2007-09-12 | Matsushita Electric Industrial Co., Ltd. | Method and system for fast handovers using dynamic router advertisements |
EP1833204A1 (en) * | 2006-03-08 | 2007-09-12 | Matsushita Electric Industrial Co., Ltd. | Fast configuration of a default router for a mobile node in a mobile communication system |
US20090016529A1 (en) * | 2007-07-11 | 2009-01-15 | Airtight Networks, Inc. | Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols |
US20110022651A1 (en) * | 2008-03-18 | 2011-01-27 | Samsung Electronics Co., Ltd. | Method and apparatus for receiving notification |
US20090276314A1 (en) * | 2008-04-04 | 2009-11-05 | Anchorfree, Inc. | Advertising supported vpn |
US20090274094A1 (en) * | 2008-04-30 | 2009-11-05 | Nortel Networks Limited | Advertising support for a plurality of service networks by a wireless access point |
US8520589B2 (en) * | 2008-05-19 | 2013-08-27 | Motorola Mobility Llc | Mobile device and method for intelligently communicating data generated thereby over short-range, unlicensed wireless networks and wide area wireless networks |
JP5722228B2 (ja) * | 2008-11-17 | 2015-05-20 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | ローカルネットワークへのリモートアクセス |
US8671172B2 (en) * | 2009-07-09 | 2014-03-11 | International Business Machines Corporation | Network device configuration |
-
2011
- 2011-08-01 CN CN201180047187.5A patent/CN103141148B/zh active Active
- 2011-08-01 WO PCT/FI2011/050679 patent/WO2012017132A1/en active Application Filing
- 2011-08-01 EP EP11814157.1A patent/EP2601815B1/en active Active
- 2011-08-05 US US13/204,175 patent/US9577984B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101356770A (zh) * | 2005-12-22 | 2009-01-28 | 京瓷公司 | 在便携式通信设备中进行位置信息管理的装置、系统和方法 |
US20090097459A1 (en) * | 2007-10-15 | 2009-04-16 | Sony Ericsson Mobile Communications Ab | Method for wan access to home network using one time-password |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283720A (zh) * | 2014-10-29 | 2015-01-14 | 迈普通信技术股份有限公司 | 一种应用于移动互联网的拨号方法、系统及用户设备 |
CN107078951A (zh) * | 2014-11-21 | 2017-08-18 | 思科技术公司 | 从虚拟端口信道对等体故障恢复 |
CN107078951B (zh) * | 2014-11-21 | 2020-09-29 | 思科技术公司 | 从虚拟端口信道对等体故障恢复 |
US10819563B2 (en) | 2014-11-21 | 2020-10-27 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
CN110418375A (zh) * | 2018-04-27 | 2019-11-05 | 慧与发展有限责任合伙企业 | 自动确定网络设备的网状网角色 |
US11405275B2 (en) | 2018-04-27 | 2022-08-02 | Hewlett Packard Enterprise Development Lp | Automatically determining mesh network role of network device |
CN110418375B (zh) * | 2018-04-27 | 2022-12-02 | 慧与发展有限责任合伙企业 | 自动确定网络设备的网状网角色 |
CN112866074A (zh) * | 2019-11-28 | 2021-05-28 | 烽火通信科技股份有限公司 | 一种虚拟网络连接方法及虚拟网络系统 |
CN112866074B (zh) * | 2019-11-28 | 2022-04-29 | 烽火通信科技股份有限公司 | 一种虚拟网络连接方法及虚拟网络系统 |
Also Published As
Publication number | Publication date |
---|---|
US20120036271A1 (en) | 2012-02-09 |
WO2012017132A1 (en) | 2012-02-09 |
EP2601815A4 (en) | 2017-06-14 |
EP2601815A1 (en) | 2013-06-12 |
EP2601815B1 (en) | 2023-09-06 |
CN103141148B (zh) | 2015-07-01 |
US9577984B2 (en) | 2017-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103141148A (zh) | 使用本地连接由网络发起的针对设备的告警 | |
CN101416176B (zh) | 动态主机配置和网络访问验证 | |
CN1799241B (zh) | Ip移动性 | |
EP3720100A1 (en) | Service request processing method and device | |
US8626122B2 (en) | Un-ciphered network operation solution | |
EP2858418B1 (en) | Method for updating identity information about packet gateway, aaa server and packet gateway | |
US20170026896A1 (en) | Terminal device, relay terminal device, and communication control method | |
CN103442347A (zh) | 移动节点、归属代理和重新定向方法 | |
CN102695236B (zh) | 一种数据路由方法及系统 | |
EP2810422B1 (en) | Dad-ns triggered address resolution for dos attack protection | |
Kim et al. | Mobile oriented future internet (MOFI): Architectural design and implementations | |
US7933253B2 (en) | Return routability optimisation | |
CN104917605A (zh) | 一种终端设备切换时密钥协商的方法和设备 | |
EP3096544A1 (en) | Security method and system for supporting prose group communication or public safety in mobile communication | |
EP3711311B1 (en) | Method and system for providing signed user location information | |
US7969933B2 (en) | System and method for facilitating a persistent application session with anonymity between a mobile host and a network host | |
US10178591B2 (en) | Client-based access network handover | |
CN103167461A (zh) | 会话处理方法及装置 | |
CN102308622B (zh) | WiFi网络与WiMAX网络互通的方法、装置及系统 | |
CN102098671B (zh) | 鉴权方法及系统 | |
US8751796B2 (en) | Method and apparatus for use in a communications network | |
CN110663261B (zh) | 通信设备及通信方法 | |
Zhang et al. | A comparison of migration and multihoming support in IPv6 and XIA | |
US20110055570A1 (en) | Location update of a mobile node | |
EP2193674A2 (en) | Local break out in case of wimax roaming |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20160126 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |