CN104521249B - 方法和设备 - Google Patents
方法和设备 Download PDFInfo
- Publication number
- CN104521249B CN104521249B CN201380034579.7A CN201380034579A CN104521249B CN 104521249 B CN104521249 B CN 104521249B CN 201380034579 A CN201380034579 A CN 201380034579A CN 104521249 B CN104521249 B CN 104521249B
- Authority
- CN
- China
- Prior art keywords
- application
- unloading
- information
- network
- property
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种方法包括向应用环境提供用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
Description
某些实施例涉及方法和设备且特别地但并非排他地涉及供在卸载应用的上下文中使用的方法和设备。
可以将通信系统视为一种使能与通信系统相关联的诸如通信设备之类的两个或更多实体之间的通信的设施,通信设备例如移动台(MS)或用户设备(UE)和/或网络元件或节点,例如节点B或收发基站(BTS)。通信系统通常根据给定标准或规范进行操作,其阐述了允许与通信系统相关联的各种实体做什么和其应如何实现。
无线通信系统包括各种蜂窝式或其他移动通信系统,其将无线电频率用于在各站之间、例如在通信设备与收发机网络元件之间发送语音或数据。无线通信系统的示例可包括公共陆地移动网(PLMN),诸如全球移动通信系统(GSM)、通用分组无线电服务(GPRS)和通用移动电信系统(UMTS)。
移动通信网络可在逻辑上划分成无线电接入网(RAN)和核心网络(CN)。核心网络实体通常包括用于使能经由许多无线电接入网的通信且还用于使单个通信系统与一个或多个通信系统、诸如与其他无线系统(诸如无线因特网协议(IP)网络)和/或固定线路通信系统(诸如公用交换电话网(PSTN))对接的各种控制实体和网关。无线电接入网的示例可包括UMTS陆地无线电接入网络(UTRAN)和GSM/EDGE无线电接入网(GERAN)。
被无线电接入网覆盖的地理区域被划分成定义由收发机网络元件、诸如基站或节点B提供的无线电覆盖的小区。单个收发机网络元件可服务于许多小区。多个收发机网络元件通常被连接到控制器网络元件,诸如无线电网络控制器(RNC)。
可经由无线电接入网为用户设备或移动台提供对由核心网络支持的应用的访问。在某些情况下,可设立分组数据协议(PDP)上下文以提供用户设备上的应用层与核心网络所支持的应用之间的业务流。
根据实施例,提供了一种方法,包括:向应用环境提供用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
网络性质和运营商性质中的至少一个或多个可包括涉及虚拟环境中的所述应用的部署的网络和/或运营商性质。
所述方法可包括向所述应用环境提供定义所述应用的信息。
该应用信息可包括涉及所述应用的身份信息。
该应用信息可包括定义允许多个数据流中的哪一个访问应用的信息。
定义允许多个数据流中的哪一个访问应用的应用信息可包括承载参数、订户标识信息和标识从其查询应用策略的服务器的信息中的一个或多个。
该应用信息可包括关于应用相对于至少一个其他应用的优先级的信息。
该应用信息可包括关于相对于所述应用的计费中的一个或多个的信息;关于用于恢复的应用的所述业务和优先级的合法拦截的信息。
应用信息可包括证明所述应用信息的证书。
根据实施例,提供了一种方法,包括:接收用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
接收可以是在应用卸载环境中。
该方法可包括检查所述证书。
该方法可包括检查应用信息的有效性。
所述证书的有效性的检查可包括使用加密秘钥进行检查。
所述证书的有效性的检查可包括使用证明者(certifier)的私有秘钥进行检查。
该方法可包括通过计算用于应用信息的至少一部分的摘要并与在所述应用信息中提供的至少一个摘要相比较来所述检查应用信息的有效性。
根据另一实施例,提供了一种被配置成执行(一个或多个)前述方法的设备。该设备可包括管理实体。可在应用环境中提供该设备。应用环境可包括服务器。在某些实施例中,该设备可包括应用管理代理。
还可提供包括适合于执行(一个或多个)方法的程序代码装置的计算机程序。可借助于载体介质来存储和/或否则体现该计算机程序。
根据另一实施例,提供了一种设备,其包括至少一个处理器和包括用于一个或多个程序的计算机代码的至少一个存储器,所述至少一个存储器和所述计算机代码被用所述至少一个处理器配置成使得所述设备至少:向应用环境提供用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
网络性质和运营商性质中的至少一个或多个可包括涉及虚拟环境中的所述应用的部署的网络和/或运营商性质。
可用所述至少一个处理器将所述至少一个存储器和所述计算机代码配置成使得所述设备向所述应用环境提供定义所述应用的信息。
该应用信息可包括涉及所述应用的身份信息。
该应用信息可包括定义允许多个数据流中的哪一个访问应用的信息。
定义允许多个数据流中的哪一个访问应用的应用信息可包括承载参数、订户标识信息和标识从其查询应用策略的服务器的信息中的一个或多个。
该应用信息可包括关于应用相对于至少一个其他应用的优先级的信息。
该应用信息可包括关于相对于所述应用的计费中的一个或多个的信息;关于用于恢复的应用的所述业务和优先级的合法拦截的信息。
应用信息可包括证明所述应用信息的证书。
该设备可包括管理实体。可在应用环境中提供该设备。应用环境可包括服务器。在某些实施例中,该设备可包括应用管理代理。
该设备可包括管理实体。可在应用环境中提供该设备。应用环境可包括服务器。在某些实施例中,该设备可包括应用管理代理。
根据另一实施例,提供了一种设备,包括至少一个处理器和包括用于一个或多个程序的计算机代码的至少一个存储器,所述至少一个存储器和所述计算机代码被用所述至少一个处理器配置成使得所述设备至少接收用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
接收可以是在应用卸载环境中。
可用所述至少一个处理器将所述至少一个存储器和所述计算机代码配置成使得所述设备检查所述证书。
可用所述至少一个处理器将所述至少一个存储器和所述计算机代码配置成使得所述设备检查应用信息的有效性。
可用所述至少一个处理器将所述至少一个存储器和所述计算机代码配置成使得所述设备检查所述使用加密秘钥的有效性。
可用所述至少一个处理器将所述至少一个存储器和所述计算机代码配置成使得所述设备使用证明者的私有秘钥来检查所述证书的有效性。
可用所述至少一个处理器将所述至少一个存储器和所述计算机代码配置成使得所述设备通过计算用于所述应用信息的至少一部分的摘要来检查应用信息的有效性并与在所述应用信息中提供的至少一个摘要相比较。
该设备可包括管理实体。可在应用环境中提供该设备。应用环境可包括服务器。在某些实施例中,该设备可包括应用管理代理。
在上文中,已描述了许多不同实施例。应理解可由上述实施例中的任何两个或更多的组合来提供其他实施例。
下面参考附图仅以示例的方式来描述实施例,在所述附图中:
图1示出了根据某些实施例的无线电接入网和核心网络的示意性一般概述;
图2a至2d示出了应用服务器的不同实现;
图3示出了应用服务器的一个示例的框图;以及
图4示出了根据某些实施例的系统和方法。
可使用其中存在本地疏导(break out)和卸载解决方案的实施例。这可以是在3GPP无线电环境或任何其他适当环境的上下文中。在某些实施例中,可使用例如云样式应用部署将应用部署到卸载点。
本地疏导功能可提供用以由本地应用服务于业务的机制。换言之,将因特网内容等带到本地疏导点。存在本地化的许多用例。举例来说,这可以是本地内容递送网(CND)、本地透明高速缓存、用于移动终端和/或网络的本地内容优化、其他种类服务的本地托管(移动终端所使用)以及机器对机器(M2M)终端的本地服务,例如聚合功能等中的一个或多个。
可替代地或另外将本地疏导应用于其他类型的无线电网络,诸如Wi-Fi、WiMax和毫微微网络。在此类实施例中,卸载可以是在核心网络与因特网渡越/对端之间。
可在移动核心网络的Gi/SGi接口中使用到本地应用的业务卸载。此接口可在PDN(分组数据网络)网关与运营商服务之间。当前,数据路径上的同时应用的数量可能是有限的。当前,通过例如使应用更接近于无线电接口而限制应用的数量或3GPP(e增强)UTRAN中的卸载点的数量的缩放的一个问题已经是要求的集成工作量。即使使用虚拟化来简化卸载环境中的应用的集成,也可能需要主要手动地完成联网连接性的配置。
当前,本地疏导设备或移动网关可与无线电设备和应用服务器分离。本地疏导设备或移动网关当前需要通过站点传输基础设施与复杂类型的解决方案连接并集成。利用集成,业务路由策略可确保预期应用业务与另一业务分离,并且业务路由策略与应用的可用性或生命周期同步。
现在参考图1,其示出了实施例中的分布式卸载部署情形的一个示例。在本示例中,可在RAN水平将应用服务器与卸载能力集成。图1中的应用后端指的是可具有分布式和集中式部件的应用。
网络架构广泛地包括无线电接入侧32和移动分组核心34。无线电接入侧包括用户设备1。用户设备被配置成与各无线电接入网通信。在图1中,示出了第一无线电接入网RAN37、第二无线电接入网39和第三无线电接入网40。每个RAN可包括多个接入节点。该接入节点可包括任何适当的接入节点。根据涉及到的标准,接入节点可以是基站,诸如节点B或增强型节点B。后者指的是由3GPP(第三代合作伙伴计划)标准化的通用移动电信系统(UMTS)的长期演进(LTE)。可提供用于基站的控制器。在某些标准中,控制器可以是无线电网络控制器。无线电网络控制器能够控制所述多个基站。在其他实施例中,提供了一种分布式控制功能且每个基站结合了该控制功能的一部分。
第一无线电接入网37包括与I-HSPA(因特网—高速分组接入)基站36或任何其他类型的基站集成的RAN服务器。RAN服务器包括应用服务器功能。
第二无线电接入网39具有与RNC 38集成的RAN服务器。
应理解,诸如在应用功能在没有服务器的情况下被集成到RAN的节点(例如RAN或基站)中的情况下另外或替代地可设想其他实施例。在某些实施例中,物理实现将是相同集成硬件中的RNC/基站加应用服务器。在某些实施例中,物理实现或硬件可以是不同的。因此物理实现可以是不同的(例如,集成的一个),即使在某些实施例中软件功可以相同或类似的。
移动分组核心34包括移动网关节点46和48。移动分组核心34还包括移动网络控制部分54。此部分包括SGSN(服务GPRS(通用分组无线电服务)支持节点)和MME(移动管理实体)实体56和58。
在某些实施例中,移动分组核心34可包括允许授权机构监视通信的合法拦截功能。
无线电接入部分32能够经由连接和传输功能62与移动分组核心进行通信。
穿过应用(pass through application)是通过已修改或未修改来传递端到端分组流、潜在地改变分组的调度的应用。这些有时称为虚拟设备。穿过应用可以是具有完整应用功能的虚拟机映像,诸如包含透明高速缓存的服务器。终止应用是终止端到端分组流、提供服务且因此作为IP流端点对使用网络的终端可见的应用。终止应用可以是具有完整应用功能的虚拟机映像,诸如用于内容递送网络的服务器。分析应用是需要看到端到端分组流但不修改分组内容或流调度的应用。
当在Gi/SGi接口中部署被部署为虚拟机的透明应用时,可将它们正常地连接为透明L2桥或L3下一跳路由器。正常地可通过使用L3/L4策略路由来连接终止应用。在某些环境中,可将虚拟设备部署为单独服务器或服务器集群,例如刀片系统。可借助于传输节点、利用路由器、交换机或两者来完成集成。
当前,存在用于每种应用的专用服务器。设备可使用可提供向上和/或向下可缩放性的虚拟化。然而,此类部署可能难以配置。已经认识到的是用于虚拟化和联网的单独管理域的存在可导致与管理域重叠的被管理对象的不一致配置。在某些实现中,可存在虚拟化主机的嵌入式桥接器的能力与附着网络的能力之间的不一致。缺少公共配置信息可能意味着在某些情况下阻止统一管理解决方案。
为了在(e)URTRAN中或在满足某些通信网络所需的某些安全性、性能和可用性水平的移动分组核心Gi/SGi接口处的类似卸载设置中创建与本地疏导集成的自动化云样式应用基础设施,本发明人已注意到以下领域中的一个或多个可引起关注。
到应用的业务路由:虚拟应用或设备与业务具有不同类型的关系和/或对不同类型的业务感兴趣。当前,此信息并未与应用相关联,而是被认为是通过网络基础设施的管理平面配置的。这可用策略路由功能来完成。结果,当引入新的应用时,可使用系统特定路由配置。
业务路由的可用性&管理:用应用的穿过类型,存在可用性的问题。如果应用不能再传送业务,可能需要将隔离应用,否则通过它路由的分组将被丢掉。类似情况可在应用生命周期管理动作要求临时地关掉应用、例如用于软件更新时应用。可使用针对每个应用手动地配置的路由器或交换机,再次地在某些情形中阻碍自动化。
应用顺序: 在系统集成了若干应用且应用中的某些是穿过的情况下,可存在应通过它们来路由业务的顺序的问题; 可存在以改变或产生端到端业务的本地疏导环境为目标的应用,意味着例如如果在穿过应用之后接收到该业务,则终止应用可能不能理解业务。当前提议要求手动配置以解决这些问题。
安全性:应注意的是具有对业务的不同访问的应用可要求不同的信任水平。在本地疏导或Gi/SGi上具有穿过访问的应用可具有对与过滤器匹配的所有业务的访问。在某些情况下,可存在对所有用户的窃听可能性。这些类型的应用应来自可信源,并且可能需要验证该信任。在某些情况下,针对端对端安全性,验证此类应用来自可信源并不够。这可手动地完成,但是可导致其中允许不可信应用访问违反被操作网络中的策略或原理的业务的不期望情况。应用的数量越大,可能越难以管理此风险。本发明人已认识到这可能是因为某些当前提议不具有以可安全验证方式与应用相关联的业务路由配置。
商业问题:可存在为什么一方(例如系统供应商)应能够验证仅某些应用操纵网络中的某个业务的操作模型、商业模型或契约原因。这可能是因为供应商在契约方面被委托至针对整个系统的关键性能指标的一定水平,包括本地疏导点或Gi/SGi处的应用。另一示例是其中商业模型要求对什么应用在网络中的某些点处可以处理什么业务的某些控制。
某些实施例可至少部分地解决上述问题中的一个或多个。
某些实施例可提供应用服务器或应用服务器平台。某些实施例可使用业务卸载。仅以示例的方式,某些实施例可使用SIPTO(所选IP业务卸载)。SIPTO可例如允许因特网业务从毫微微小区直接地流动至因特网,绕过运营商的核心网络。然而,应认识到的是SIPTO是业务卸载的一个示例,并且可替代地或另外将其他实施例与任何其他业务卸载一起使用。
某些实施例可提供用于被集成到通信网络数据路径中的应用和/或虚拟设备的业务配置。可将某些实施例与使用本地疏导的应用一起使用。本地疏导点可能在移动无线电接入网中。可将应用集成到UTRAN或eUTRAN网络元件中或被连接或耦合到UTRAN或eUTRAN网络元件的服务器中。
可替代地或另外在3GPP移动网络的Gi/SGi接口中使用某些实施例,应用被集成到移动分组网关和/或在服务器中运行的应用中,其被连接或耦合到移动分组网关。
在任何其他适当情况下可使用其他实施例。例如,在私有和公共网络之间的边界处的非军事区等中可使用某些实施例。
实施例可将虚拟联网接口用于卸载业务。此接口可能能够托管穿过、终止和/或分析应用。
“本地疏导”情形为系统提供选择特定IP流并将它们路由到本地网络的能力,与将它们隧道传输至归属网络相反。举例来说,在3GPP rel 10中以SIPTO(所选IP业务卸载,3GPP TR 23.829 v10.1)之名描述了此类情形。
其有时可称为业务卸载功能(TOF)的所谓的“泄漏承载”业务流疏导允许根据例如RNC处或无线电接入网的Iu接口处的预配置业务过滤器而提取或插入现有PDP上下文的IP流。举例来说,在(TR 23.829的小节“5.5 Solution 4: Selected IP Traffic Offload atIu-PS”)中描述了此类业务卸载功能(TOF)。可以可互换地使用术语业务卸载功能和“泄漏承载”。
当然应认识到的是可与上述标准和/或不同标准的其他版本相结合地使用实施例。
在实施例中,在称为应用服务器的逻辑实体内运行应用。仅仅举例来说,可在如图2中所示的以下情形中的一个或多个中将应用服务器实例化。
RAN 200包括RNC、I-HSPA、eNode B、节点B、基站和/或任何其他控制器和/或任何其他类型的无线电接入节点中的一个或多个。应认识到的是可由相关标准来定义包括RAN的元件。分组核心元件204可包括SGSN和/或GGSN。
在图2a中,在RAN 200与分组核心204之间提供应用服务器202。
对图2b进行参考,其中,替代地或另外,应用服务器被连接到RAN 200而不是直接到分组核心网络元件204。应用服务器202将经由RAN被连接到分组核心。
图2c示出了被集成在RAN内的应用服务器202。可在RAN的部件中的一个或多个中集成应用服务器202。RAN 200被耦合到分组核心204。
在图2d中,可将应用服务器202集成在分组核心204内。可将应用服务器结合在分组核心元件中的一个或多个中。分组核心204被连接到RAN 200。
网络或系统可包括图2中所示的选项中的一个或多个。
现在将描述系统的概述。
现在对图4进行参考。示出了应用环境400。应用环境包括诸如虚拟机之类的一个或多个隔离应用容器。应用容器运行时环境可能是虚拟机、Java虚拟机等。应用环境可由例如服务器提供。服务器可以是具有VMM(虚拟机管理器)的虚拟化服务器。
提供了应用管理器402。这可例如在运营商操作中心中提供。应用管理器可接收应用策略406。
可以任何适当方式创建应用策略406且其可由例如网络管理员创建。此应用策略可由人类输入或/或由软件创建。因此,应用管理器402用应用管理代理420将应用部署到应用环境中。这向卸载服务提供卸载配置、安装包并将其在作为虚拟机的容器中实例化。卸载服务将把相关业务流从数据路径路由到应用并返回。卸载服务可由软件、一个或多个交换机和/或一个或多个路由器提供。
提供了证明者408。证明者可以是例如系统提供商。
还提供了应用供应商410,其提供要卸载的应用和应用卸载配置。
现在将描述应用包和应用卸载配置。
应用包由例如应用供应商或开发者410创建。应用开发者可开发或编译应用包。应用包可以是虚拟机包412或包含应用二进制信息且可包含部署配置的另一类型的应用包。应用包是封装软件或虚拟设备,其被配置成在提供应用与连接之间的隔离的虚拟化或被包含应用环境中运行。此封装被配置成在应用环境400上运行。应用开发者可除应用包之外还提供应用卸载配置文件。
应用包412包括虚拟机包,其包括(一个或多个)二进制或盘映像414以及由正在讨论中的包格式定义的部署配置416。配置416可包括关于映像信息的格式的信息,诸如由DMTF(分布式管理任务组)定义的OVF(开放虚拟化格式)。二进制或盘映像414和配置416包括一个或多个虚拟机映像封装格式的内容,其包括(一个或多个)虚拟机盘映像和用于虚拟机的配置两者。OVF仅仅是此类格式的一个示例。在替代实施例中可使用替代格式。
应用卸载配置418是与卸载配置有关的部署时间配置描述。可单独地提供应用卸载配置或如果该包格式支持添加自定义信息则连同应用包一起封装应用卸载配置。
典型应用包可包括例如以下各项中的一个或多个:
—虚拟机映像包,例如用于虚拟基础设施或IaaS(基础设施即服务)环境,
—虚拟系统映像,由多个虚拟机组成;以及
—应用包,用于平台即服务(PaaS)环境。
应用卸载配置是定义以下各项中的一个或多个的一组性质:
—应用类型(终止、穿过等)
—递送类型(例如GTP-U(GPRS(通用分组无线电服务)隧道传输协议
—用户平面或IP)
—将路由什么业务;
—如何将业务路由至应用;
—应用之间的排序;以及
—如何将应用链接到底层虚拟网络。
现在将更详细地描述应用卸载配置。该配置包括一组可配置性质。这些性质可采取机器和/或人可读格式。可将性质提供为单个文件或一组文件。
性质可包括以下性质中的一个或多个:
—应用标识。其可采取任何适当格式,并且可以是例如标识供应商的信息、标识应用的信息和/或标识应用的版本的信息中的一个或多个;
—一组业务终止点(TTP)。TTP可以是管理对象和/或用于在虚拟机/虚拟设备内部要路由到应用或其一部分的分组流的集合的概念。每个业务终止点可包括以下各项中的一个或多个:业务终止点标识;业务选择规则,诸如分组过滤器规则;针对应用注册的完全资格域名的列表;环境特定TTP接口和/或网络选项的定义;关于此TTP(或应用)相对于其他TTP(或其他应用)的递送顺序的信息;和/用于TTP的允许卸载方向;
—卸载配置和应用包或其一部分上的密码证书,诸如应用包所包含的一个或所有二进制映像;
—可借助于单独声明(manifest)文件来实现证书。(在某些实施例中这可由证明者添加);
—声明文件,其是整个卸载配置和虚拟机包或其一部分两者的密码哈希值/摘要的集合,如上所述。在某些实施例中可由证明者用密码算法等来证明此声明文件。在某些实施例中,这是用于软件完整性保护或安全的;
—每个TTP可包含可选地指示可修改性质的列表。当计算声明中的密码哈希值/摘要时排除配置的这些性质。例如,如果将卸载配置呈现为XML结构,则可获得XML结构的临时拷贝,并且可去除可修改性质,并且只有那时才确定XML结构上的密码哈希值/摘要;
—到TTP与卸载服务之间的连接的物理实现的链接。卸载服务可以是软件模块或路由器。例如,这可提供虚拟网络名称、VLAN(虚拟局域)标签或实现朝向应用的TTP连接的平台所使用的其他标识。
在一个示例中,分组过滤器规则可包括用于L3报头(IPv4或IPv6)和/或L4报头(TCP(传输控制协议)、UDP(用户数据报协议)、SCTP(流控制传输协议)等)中的字段值的一组5元组匹配过滤器。该匹配过滤器可替代地或另外包含具有位掩码、范围等的值。可对5元组匹配过滤器内的当前值应用布尔函数,诸如AND运算。可在过滤器规则集内的不同的5元组匹配过滤器之间应用布尔算子OR。可在被转发至TTP的分组的选择中和/或当应用通过TTP来发送数据时应用过滤器。
终止应用可例如定义用于IP目的地地址和/或L4协议和/或到针对该应用要卸载的快速业务的端口的规则。相应地,另一穿过类型的应用可例如定义仅L4协议和希望卸载应用的一组端口。
过滤使用用以检查是否要将包卸载的准则。应认识到的是包过滤器规则的上述示例仅仅是可使用的包过滤器规则的两个示例。替代地或另外,可使用任何其他方法来确定是否要卸载包。
环境特定TTP接口和/或网络选项的定义在例如终止或穿过情况下可包括诸如预期协议层和/或应用的行为模型之类的信息。作为示例,应用可指示其是穿过类型的,并且将充当透明L2桥接器。
卸载方向可包括以下选项中的一个或多个:向终端发送、从终端接收、向网络发送、从网络接收。作为示例,穿过类型的应用正常地将定义所需的所有四个卸载方向。
定义TTP之间的排序。这可针对上行链路卸载路由器(稍后讨论)和下行链路卸载路由器(稍后讨论)两者单独地完成。可将TTP定义为是一个或每个方向上的TTP卸载链的第一个或最后一个或在中间。例如,字节高速缓存应用—其为穿过类型—可去除应用的两个实例之间的端到端包的净荷,所述两个实例中的一个位于(e)UTRAN中的应用服务器中,并且另一个位于移动分组核心网络中。现在,应用需要将其TTP定义为是上行链路卸载链中的最后一个以及下行链路卸载链中的第一个,以便在任何其他应用之后去除上行链路分组的净荷;并且在任何其他应用之前恢复下行链路分组的净荷。用于具有专用域名或IP地址的终止应用的TTP可按照任何顺序驻留于上行链路和/或下行链路卸载链的中间;因此具有用于两个方向的中间位置。可使用具有超过三个位置(或者甚至两个位置)的更细粒列举,以允许更详细的排序。
当计算哈希值/摘要时可省略被列为可修改的性质,允许运营商或管理员改变值中的某些。
可在应用包412中提供此卸载配置,或者可替代地在单独包中提供此卸载配置。
应用包格式可以是任何应用包格式。
可以机器可读格式来提供应用卸载配置。可将该应用卸载配置与应用包集成或为该应用卸载配置提供应用包。在某些实施例中,在应用的部署期间应用该布置时这可以使能在没有人类交互的情况下使能自动化。这可例如在虚拟化应用环境中。
现在将描述证明者408。
证明者可以是例如可以由任何适当提供商提供的系统供应商或运营商。证明可手动地完成和/或可以由例如一个或多个适当的已编程设备执行。证明者408确认应用卸载配置。该证明者还可测试或确认应用的功能和/或性能。然而,这在某些实施例中是可选的。证明者还可证明应用卸载配置。证明者408可检查包括其声明的应用卸载配置的有效性,并且可以用私有秘钥来创建声明。具有其已证明卸载配置的应用可被公布,可用于安装。
在某些实施例的情况下,应用卸载配置是可信的。通过具有可信应用卸载配置,这可允许有对安全和隐私问题敏感的网络(诸如移动网络)中的虚拟化环境中的应用的自动化配置的可能性。虚拟环境可以是云样式虚拟化卸载环境。完整应用卸载配置是可信的,并且通过使用任何适当的密码方法来证明配置文件而使得其不可修改,配置文件至少包括应用卸载配置和可选的应用包格式的标准配置部分。
在实施例中,可以创建可信配置与该配置被发布到的原始应用版本之间的可信一对一关系。这避免了改变或修改应用或将配置重用于另一应用的可能性。这可以任何适当方式来实现,并且例如可通过以声明的形式在应用包中包括部件的一部分或全部的摘要(单向散列函数或其他适当函数)来实现。这可替代地或另外通过要求通过在部署或开始应用之前计算系统中的相应应用部件上的摘要并与声明中的相应的一些匹配来验证用于应用卸载配置所包含的声明中的应用部件的所有摘要而实现。
在实施例中,证明者可以可选地通过在计算卸载配置的摘要时将诸如IP地址的应用卸载配置的所选性质排除来将其留在证明之外。这些所选性质因此可被管理员等修改。可将从摘要的计算中排除且因此可修改的性质的列表提供给管理员。可在摘要的计算中包括当前且可修改性质的列表(而不是性质的值)。
通过提供已证明且可信的卸载配置,可在其中安全和/或信任可能是问题的环境中实现自动化配置。此类环境可以是例如移动网络。已证明且可信的配置可消除由网络管理员进行的不受控的故意配置的可能性。这是因为卸载配置中的至少某些不能改变。此外,两者都不能是与卸载配置相关联的应用或其一部分。
证明者的使用可能意味着可以提供应用的配置和应用本身的独立的一次性证明。可在不需要用于应用的相同版本的应用卸载配置的重新证明的情况下在稍后用独立证书来证明应用包,如果该应用包具有其自己的证书和声明的话,例如由OVF提供。
某些实施例可通过留下由网络管理员等可修改的应用卸载配置定义的配置部分来支持运营商特定配置。
在某些实施例中,可提供灵活的证明过程。如先前所述,应用开发者可仅仅将应用卸载配置和可选地应用部件的摘要发送到证明者,该证明者在其被证明的情况下将其发送回来。替代地,证明者另外可测试和/或验证应用本身。
通过使用证明,可以实现如下操作情况,其中一方或网络运营商想要或不得不具有对能够在卸载平台上运行的已证明应用的控制。这可以例如保证仅仅为了控制的原因而安装已测试和/或已验证应用。
现在将更详细地描述应用策略406。
网络策略可定义应用的一般运营商/网络特定性质且可以是由网络管理员可修改的。该应用策略可包括一组可配置性质。这些可定义用于应用的操作特定策略。
该应用策略可包含以下各项中的一个或多个:
—应用身份信息,诸如应用供应商信息、应用名信息、版本信息和/或可以如在卸载配置中定义的;
—在网络卸载的情况下,策略可定义关于哪些PDP上下文和/或PDN连接有权访问特定TTP的规则。例如,这可通过定义诸如业务类别、其他RAB(无线电访问承载)参数等一个或多个承载参数来实现。另外或替代地,这可通过例如定义订户标识信息来实现。例如,可定义IMSI(国际移动用户身份)、MCC(移动云计算)和/或MNC(移动网络代码)的范围。替代地或另外,标识可能从其查询每个订户应用策略的策略服务器的信息。在某些实施例中,此后一种选项可以是定义订户信息的替代;
—出于恢复目的的应用的临界性;
—出于超载保护目的的应用和其TTP中的每个的优先级;
—用于穿过每个TTP的业务流的计费特性;
—是否存在对用于穿过每个TTP的业务的合法拦截的需要;
—策略上的声明以及用于声明的运营商证书。这可允许运营商处的可信任的人和/或设备一次将策略配置成被应用于应用版本。
实施例可提供机器可读应用策略。这可定义用于应用及其TTP的运营商和/或网络特定性质。这是除已证明卸载配置之外的。此策略可使能每个PDP上下文类型的静态策略的定义。这可基于哪个TTP针对匹配PDP上下文被使能的RAB参数。该策略可使能每个订户群组的简单静态应用TTP策略的定义。这可基于IMSI信息和/或网络代码。替代地或另外,某些实施例可允许基于策略服务器的每个订户应用策略的定义。
某些实施例可允许创建可信且自动化的应用策略。这可通过将声明和运营商签署证书(由证明者提供)插入应用策略中来实现。可在应用的部署和/或开始时间处检查此证书。可通过参考可信应用卸载配置中的唯一应用身份来将可信策略关联到应用的特定版本。
应用策略配置在自动化应用部署中可以是自动化的。在某些实施例中,这可由被供应到目标应用环境的应用的机器可读策略来促进。可证明可信策略配置。此证明可由运营商完成。
在某些实施例中,创建策略的权限可局限于网络运营商处的可信设备或个人。
在某些实施例中,可由运营商证书来保护用于每个应用TTP的计费和/或合法拦截性质的自动化和可信配置的使能。
在某些实施例中,可提供用于应用的可信、自动化运营商特定策略的创建。这可以按照TTP应用。这可提供超载情况期间的应用的优先级、失败情形中的应用的临界性、计费准则和/或拦截准则。
在某些实施例中,可将运营商特定应用策略配置与更加全局适用的卸载配置的其余部分分离。
可将应用策略提供给应用管理代理或应用管理器402。应用管理器可以是Iaas/虚拟化基础设施的本地代理。
可以任何适当方式来实现应用策略且其可例如是XML文件。
在某些实施例中,网络的运营商或管理员可配置应用策略。运营商或管理员可部署新的应用并用应用管理器来管理新的应用。
现在将描述应用管理器。
可将应用管理器402配置成将应用策略与应用一起传递至应用服务器400的应用管理代理420。在某些实施例中,可将应用策略的仅一部分提供给应用管理代理420。在其他实施例中,可将所有应用策略提供给应用管理代理420。
现在将描述应用服务器。
对图3进行参考,其示出了应用环境303的框图。更详细地,此应用服务器可以是图2和4的应用服务器。
RAN 302提供PDP上下文/无线电访问承载304和306。为了简单起见,未描述PDP上下文/RAB 304的处理。此图仅示出了用于PDP上下文/RAB 306的分组流。PDP上下文或PDN连接被卸载路由器块301拦截。如果拦截点处的分组被封装在GTP-U协议中,则将GTP-U协议解封以便向NAT(网络地址翻译)提供端到端IP分组。如果该分组未被标识为因特网协议分组,则令其透明地穿过。
NAT块310执行网络地址翻译。这有时称为一对一NAT。这可例如如在IETF RFC2663中定义的。NAT块可将用户设备的IP地址翻译成对于虚拟网络域中的应用可见的私有IP地址。该地址可从在例如IETF RFC 5735中定义的私有IP子网中的一个或多个分配。在替代实施例中可使用任何其他适当的地址分配。
NAT块可在来自PDP上下文306的分组进入上行链路卸载路由器312或下行链路卸载路由器314时执行该翻译。这可隐藏用户设备的原始IP地址,其改善隐私性。这是因为每当用户设备进入应用服务器的服务区时,用户设备获得不同的地址。这可解决潜在地重叠的IP地址的问题。这种解决方案可为用户设备提供有限且已知的私有IP子网,其被用于应用虚拟机内部的路由。
NAT 310的输出被提供给上行链路L3/L4卸载路由器312。此卸载路由器将基于每个业务终止点TTP的过滤器规则集来实现选择性卸载。该规则集可包括被针对每个分组的报头进行匹配的L3(IP)和/或L4(TCP、UDP、SCTP等)匹配规则。该规则集还包括指示其中允许应用发送或接收业务(从/向终端、从/向网络(例如因特网))的方向。卸载路由器可基于针对TTP定义的排序规则而实现应用之间的路由。卸载路由器可支持用于每个PDP上下文或PDN连接的不同规则集。
例如,web服务应用可例如如下定义TTP匹配过滤器规则集:具有A.B.C.D的特定IP目的地地址的单个5元组;6(TCP)的协议ID;端口80(HTTP);允许从UE接收和向UE发送;以及在上行链路和下行链路方向两者上位于TTP卸载链的中间。
在另一示例中,穿过类型的字节高速缓存应用可例如定义具有仅定义6(TCP)的协议ID的单个5元组的匹配过滤器规则集;允许从两个方向进行接收和发送;以及作为最后TTP而位于上行链路卸载链中并作为第一TTP位于下行链路卸载链中。
在图3中,示出了三个业务终止点TTP 326、328和330。在其他实施例中,可提供多于或少于三个TTP。基于过滤器规则集,按照定义顺序将相关分组传递至各业务终止点。业务终止点可包括具有应用卸载配置的一组性质,其定义要路由到应用内的独立管理端点的所有业务流的子集。应用卸载配置可包括一个或多个TTP。
每个业务终止点具有链路层。链路层342与第一TTP 326相关联,链路层340与第二TTP 328相关联且链路层338与第三TTP 330相关联。与每个TTP相关联的是相应的TTP管理功能。第一TTP管理功能332与第一TTP 326相关联。第二TTP管理功能334与第二TTP 328相关联。第三TTP管理功能330与第三TTP 330相关联。
专用虚拟网络被用于每个业务终止点。虚拟网络通常包括虚拟以太网桥VEB。在穿过应用的情况下,每个TTP存在两个虚拟以太网桥。一个将在UE与应用之间载送业务,并且另一个在应用与网络之间载送业务。在终止应用的情况下,每个TTP将存在一个VEB。在图3中所示的示例中,第一TTP 326与穿过应用相关联。因此,存在与第一TTP 326相关联的第一VEB 348和第二VEB 350。
在第二TTP 328的情况下,其也与穿过应用相关联,并且因此存在与该第二TTP328相关联的VEB 360和VEB 362。第三TTP 330是终止应用,并且因此存在一个VEB 370。专用VEB的使用能够根据卸载过滤器规则集而将应用从能够拦截或生成除以其为目的地的之外的业务隔离;例如,虚拟机390的vNIC 374和376仅被连接到VEB 348和350,并且因此应用384和虚拟机390两者都不能使用其他应用的VEB 360、362和370。用于穿过类型TTP的两个专用VEB的使用可使能应用的透明桥接和L3下一跳路由行为中的任一者或两者的实现。
在第一和第二链路层块326和340的情况下,这些块将如下为穿过应用接口提供透明以太网桥接。每个TTP存在使用的两个VEB。如图3中所示,每个VEB将具有朝向应用的一个端口和朝向卸载路由器的一个端口。VEB中的一个用来向或从终端载送业务且VEB中的另一用来向/从网络载送业务。在第一链路层342的情况下,第一VEB 348具有朝向平台的端口344和朝向应用的第二端口352。此VEB用来向/从终端载送业务。
第二VEB 350具有朝向链路侧342的端口346和朝向应用的第二端口354。第二VEB用来向/从网络载送业务。链路层块以以太网帧来载送端到端IP分组。这可在在太网顶部上和/或封装在诸如IP/UDP/GTP-U之类的另一协议组合内,如它们那样。链路层块可将帧中的MAC地址的源设置成等于链路层342的端口344后面的源接口的MAC地址。链路层块可将帧中的目的地和MAC地址设置成等于链路层342的端口346后面的目的地接口的MAC地址。该链路层块可从应用采取以下行为。应用充当使用如前所述的MAC地址透明地将帧从一个VEB 348传递至另一VEB 350的以太网桥。操作在相反方向上类似地工作,在那里交换MAC地址。替代地或另外,作为以太网桥的替代,应用可修改、终止或生成分组或改变其调度序列。
在图3中所示的实施例中,第二链路层340能够为穿过应用接口提供L3下一跳/IP路由器模式。再次地,每个TTP存在两个VEB。第一VEB 360用来向/从终端载送业务并具有朝向链路层340的端口356和朝向应用的第二端口364。VEB 362中的另一个用来向/从网络载送业务。第二VEB 362具有朝向链路层340的第一端口358和朝向应用的第二端口366。链路层将把帧中的目的地MAC地址选择成等于虚拟机392中的端口364后面的vNIC(虚拟网络接口控制器)378的MAC地址。端口356和358后面的链路层340的每个接口充当用于应用的IP网关或路由器。该链路层340将从应用采取以下行为。应用充当IP路由器,从一个VEB 360向另一362或在相反方向上路由分组。存在用于已翻译终端IP地址通过vNIC 378到VEB 360的朝向目的地子集的路由。用于卸载业务的默认路由是通过vNIC 380到另一VEB 362。使应用修改、终止或生成分组或改变其调度/序列是可能的。
在一个实施例中,另外或替代地,IP协议和ARP(地址解析)协议都不需要在连接到应用的卸载路由器的链路层的接口中可用。这是假设每个应用虚拟机中的两个vNIC的MAC地址例如借助于配置而被数据路由器的链路层所知。另外或替代地,数据路由器的链路层的两个接口的MAC地址例如经由配置被每个应用虚拟机所知。替代地或另外,应用虚拟机具有针对表示卸载路由器的链路层的两个接口的IP地址来配置静态MAC地址解析的能力。这将替代地运行用于这些地址的地址解析协议ARP。
第三链路层块338提供已终止应用接口。在某些实施例中,可将这实现为透明以太网桥接或L3下一跳/路由模式的简化的一个接口版本。可仅要求朝向终端的接口。因此,一个VEB 370是用于第三TTP 330的仅有VEB。VEB 370具有朝向链路层338的第一端口368和朝向应用的第二端口372。此链路层可提供分析应用接口。在实践中,可将这实现为其他接口中的任一个,但不转发被发送到应用或虚拟设备的任何帧。在这种情况下,卸载路由器转发端到端分组的拷贝。
在某些实施例中,TTP管理块332、334和336可以是可选的。在提供的情况下,TTP管理块可提供各TTP的监督。如果应用被检测为不能够处理业务,则可将TTP隔离。例如,卸载路由器可停止向被隔离TTP转发分组。TTP管理块可通过例如通过TTP接口发送监督分组且预期它们透明地流过来提供用于穿过应用的监督。用透明以太网桥接TTP和L3下一跳/IP路由器节点,卸载路由器可例如使用来自已翻译用户设备子网的非预留IP地址来发送ICMP(互联网控制消息协议)重复(echo)请求并预期透明地看到穿过。换言之,看到不重复答复。TTP管理块还可提供用于已终止应用的监督,并且除ICMP重复请求/响应之外还可使用任何标准上层机制。
应用服务器平台还具有应用管理代理420。应用管理代理420负责应用容器的生命周期管理。换言之,代理是虚拟机监视代理。应用容器是应用在其中运行的所包含的虚拟环境,例如虚拟机、虚拟PaaS应用容器或应用虚拟机。生命周期提供运营商从应用管理器402控制的运营商状态。这些状态可以是开始/停止、挂起/继续、保存/恢复中的一个或多个。
应用管理代理可验证卸载配置中的证书,确保应用的配置和定义部分是有效的。
应用管理代理可将已验证负载配置供应给卸载服务或路由器。
应用管理代理可提供用于应用程管理器402管理应用生命周期的接口。这提供API(应用编程接口)/接口,通过该接口,应用管理器可以控制生命周期管理。
现在将描述从UE到应用且返回的分组的流动。从RAN 302接收分组。此分组在PDP上下文/无线电接入承载306上。分组去往网络地址翻译器310。具有已翻译地址的分组被发送到上行链路卸载路由器。这假设该地址满足与特定应用相关联的过滤器准则。根据正在讨论中的应用,分组被发送到TTP中的一个。然后由链路层和关联VEB将分组传递至应用。该应用可生成对该分组的响应,并且其由另一VEB、链路层和TTP输出到下行线路卸载路由器。该分组被输出到反向NAT 308,其使地址反向。该分组然后被输出到PDP上下文/RAB 306并输出回到RAN 302。
现在将描述从UE到互联网等的分组的流动。从RAN 302接收分组。此分组在PDP上下文/无线电接入承载306上。分组去往网络地址翻译器310。具有已翻译地址的分组被发送到上行链路卸载路由器。这假设该地址满足与特定应用相关联的过滤器准则。根据正在讨论中的应用,分组被发送到TTP中的一个。然后由链路层和关联VEB将分组传递至应用。该应用可生成对该分组的响应,并且这由另一VEB、链路层和TTP输出到上行链路卸载路由器312。该分组被输出到反向NAT 316,其使地址反向。该分组然后被输出到PDP上下文/RAB306至移动网关324。
现在将描述从互联网等到UE的分组的流动。从移动网关324接收分组。此分组在PDP上下文/无线电接入承载306上。分组去往网络地址翻译器318。具有已翻译地址的分组被发送到下行链路卸载路由器。这假设该地址满足与特定应用相关联的过滤器准则。根据正在讨论中的应用,分组被发送到TTP中的一个。然后由链路层和关联VEB将分组传递至应用。该应用可生成对该分组的响应,并且其由另一VEB、链路层和TTP输出到下行链路卸载路由器314。该分组被输出到反向NAT 308,其使地址反向。该分组然后被输出到PDP上下文/RAB 306至RAN 302。
对于某些终止应用而言,卸载路由器312将向第三TTP 328提供分组。该分组然后将被提供给第三应用。该分组在应用中终止。应认识到的是可以相同的方式来处理下行链路分组以便终止应用。
应用管理器可以是虚拟机/Iaas云管理器。这可将应用包部署到应用环境并提供接口以管理生命周期,如先前所讨论的那样。应用配置工具可以是集中式的或者集成在与应用环境相同的服务器中。
某些实施例可提供两个简单的基于IP/以太网的虚拟联网接口以用于SIPTO卸载业务,从移动网络中的PDP上下文/PDN连接提取。这些可能是L2透明桥接口和基于L3下一跳/IP路由的接口。然而,在其他实施例中可提供多于或少于两个接口。在替代实施例中可使用其他类型的接口。
在某些实施例中,可每个TTP/应用、每个PDP上下文/PDN连接和/或每个业务方向(向/从终端,向/从网络)应用不同的分组卸载规则集。
移动GW可包括或被耦合到诸如图3中所示的布置或具有图3的特征中的至少某些的布置。
针对Gi/SGi卸载,可使用图3的布置中的至少某些。
现在将描述图4的方法流程的描述。
在步骤S1中,应用开发者如先前所讨论地那样编译应用包。此应用包因此包括应用卸载配置,具有配置信息的虚拟机/系统映像。这如先前所讨论的那样。
应用供应商或开发者在步骤S2中向证明者发送整个应用包或卸载配置。证明者可测试应用本身或仅仅卸载配置。在证明者仅对测试配置信息感兴趣的情况下,其在某些实施例中可从应用包提取。
在步骤S3中,证明者可执行例如应用的测试和/或验证以验证和测试其功能和/或性能。应认识到的是此步骤是可选的。
在步骤S4中,证明者可检查应用卸载配置的有效性。此检查可包括其声明或类似密码哈希值/摘要并基于声明等来创建证书。这可使用与声明相关联的私有秘钥。
应认识到的是在某些实施例中,应用供应商或开发者可能能够证明应用包本身。这是假设此自我证明得到封装格式的支持。
在某些实施例中,可由与证明卸载配置的不同的一方来执行应用本身的证明。应认识到的是在证明卸载配置中,可有效地由证明者来证明应用的部分,其密码哈希值/摘要可包括在卸载配置的声明中。该声明可以是应用卸载配置文件的一部分,或者其可以是与卸载配置和证明声明的证书一起封装的单独声明文件。
在步骤S5中,公布具有其卸载配置的应用包且其可用于安装。应认识到的是这将在应用包中或用应用包包括证书信息。此应用包可被证明者提供给应用管理器402。应认识到的是其中证明者仅证明可经由不同路由将其他应用信息发送到应用管理器的应用卸载配置。
与此无关,证明者可证明卸载配置文件与之相关联的部分或整个应用包。如果卸载配置的声明包含应用的摘要的话则这是可能的。在一个实施例中,可将已证明卸载配置发送回到应用供应商410。应用供应商可将应用用已证明应用卸载配置提供给应用管理器402。
在步骤S6中,网络管理员或运营商创建用于新应用的应用策略。这可以由人类操作员来完成和/或可以是计算机化的。可创建用于新应用和/或新应用版本的应用策略。可证明该应用策略。此证明可由网络运营商或任何其他适当实体来完成。
网络管理员或运营商可使用应用管理器402来在步骤S7中部署应用。应用管理器402可向应用管理代理420提供应用包、应用卸载配置(其中与应用包分离)和应用策略。
在步骤S8中,应用管理代理向卸载服务器(其可由图3的卸载路由器提供)提供应用卸载配置和应用策略。可通过再现摘要并将部件与声明中的那些相比较来验证包括在应用卸载配置的声明中的应用部件的有效性。该验证可由例如应用管理代理420执行。
可针对证明者的私有秘钥和/或由某些其他密码方法来检查应用卸载配置中的证书的有效性。这可由图3中的卸载服务器或卸载路由器执行。
可通过计算整个配置上的摘要、排除在排除列表中列出的性质并将针对存储在声明中的配置的摘要进行比较来验证应用卸载配置的有效性。
可例如由卸载服务器针对证明者的私有秘钥来检查应用策略中的证书。替代地或另外可使用其他密码方法。
可通过计算整个策略配置上的摘要来验证应用策略的有效性。
在步骤S9中,应用管理代理将应用实例化成虚拟机。
在步骤S10中,卸载路由器开始向应用384、386或388提供数据。
应认识到的是证明者可以是可信方,诸如例如系统提供商。
某些实施例可允许自动化和/或验证业务路由配置。这可以机器可处理格式来完成。替代地或另外,这可以可验证格式例如用密码手段来完成。
某些实施例可允许用于被集成到通信网络中的数据路径中的网络应用和设备的完全自动化应用云的实现。
在某些实施例中,可使应用策略配置与卸载配置分离。然而,在其他实施例中,一方可提供应用策略配置和卸载配置两者。可由与提供卸载应用和/或应用策略的一方不同的一方来提供证明。在某些实施例中,可由与提供卸载配置和/或应用策略的一方相同的一方来提供证明。
可使用其中存在相对复杂的卸载配置和/或用于安全性和/或可用性的相对高标准的某些实施例。
某些实施例可与虚拟化基础设施和虚拟机一起使用。其他实施例可与诸如PaaS云等其他类型的云应用一起使用。
某些实施例可使得应用部署更简单,因为可减少或避免配置错误的风险。某些实施例可减少集成新应用所需的努力。某些实施例可减少管理员错误配置的可能性。
某些实施例可使能应用的独立一次性配置,无论许多网络中的部署数量如何。
当加载在适当的数据处理设备上时,可将适当适配的一个或多个计算机程序代码产品用于实现某些实施例,例如用于确定基于地里边界的操作和/或其他控制操作。可在适当的载体介质上存储、借助于该载体介质来提供和体现用于提供操作的程序代码产品。可在计算机可读记录介质上体现适当的计算机程序。可能性是经由数据网络来下载程序代码产品。一般地,可用硬件或专用电路、软件、逻辑或其任何组合来实现各种实施例。因此可在诸如集成电路模块之类的各种部件中实施实施例。集成电路的设计大体上是高度自动化的过程。复杂且强大的软件工具可用于将逻辑级设计转换成准备要被蚀刻并形成在半导体基板上的半导体电路设计。
在本文中还应注意的是虽然上文描述了本发明的示例性实施例,但在不脱离本发明的范围的情况下存在可对公开的技术方案进行的若干变化和修改。
Claims (23)
1.一种用于卸载应用的方法,包括:
向应用环境提供用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
2.如权利要求1所述的方法,其中,网络性质和运营商性质中的至少一个或多个包括涉及虚拟环境中的所述应用的部署的网络和/或运营商性质。
3.如前述权利要求中的任一项所述的方法,包括向所述应用环境提供定义所述应用的信息。
4.如权利要求1或2中所述的方法,其中,所述应用信息包括涉及所述应用的身份信息。
5.如权利要求1或2中所述的方法,其中,所述应用信息包括定义允许多个数据流中的哪个访问应用的信息。
6.如权利要求5所述的方法,其中,定义允许多个数据流中的哪个访问应用的所述应用信息包括承载参数、订户标识信息和标识从其查询应用策略的服务器的信息中的一个或多个。
7.如权利要求1或2中所述的方法,其中,所述应用信息包括关于应用相对于至少一个其他应用的优先级的信息。
8.如权利要求1或2中所述的方法,其中,所述应用信息包括关于相对于所述应用的计费中的一个或多个的信息;关于用于恢复的应用的业务和优先级的合法拦截的信息。
9.如权利要求1或2中所述的方法,其中,所述应用信息包括证明所述应用信息的证书。
10.一种用于卸载应用的方法,包括:
接收用于应用的卸载配置信息和应用信息,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
11.如权利要求10所述的方法,其中,所述应用信息包括证书且所述方法包括检查所述证书的有效性。
12.如权利要求11所述的方法,其中,所述证书的有效性的所述检查包括使用加密秘钥和/或使用证明者的私有秘钥进行检查。
13.如权利要求10至12中的任一项所述的方法,其中,所述方法包括检查应用信息的有效性。
14.如权利要求13所述的方法,其中,所述检查应用信息的有效性包括确定用于所述应用信息的至少一部分的摘要。
15.一种用于卸载应用的设备,包括:
用于向应用环境提供用于应用的卸载配置信息和应用信息的装置,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
16.如权利要求15所述的设备,其中,网络性质和运营商性质中的至少一个或多个包括涉及虚拟环境中的所述应用的部署的网络和/或运营商性质。
17.如权利要求15或16所述的设备,其中,所述应用信息包括以下各项中的至少一个:
涉及所述应用的身份信息;
定义允许多个数据流中的哪个访问应用的信息;
关于应用相对于至少一个其他应用的优先级的信息;
关于相对于所述应用的计费中的一个或多个的信息;关于用于恢复的应用的业务和优先级的合法拦截的信息;以及
证书,证明所述应用信息。
18.一种用于卸载应用的设备,包括:
用于接收用于应用的卸载配置信息和应用信息的装置,所述应用信息包括用于所述应用的网络性质和运营商性质中的一个或多个。
19.如权利要求18所述的设备,其中,所述应用信息包括证书且方法包括用于检查所述证书的有效性的装置。
20.如权利要求19所述的设备,其中,用于检查所述证书的有效性的所述装置包括用于使用加密秘钥和/或使用证明者的私有秘钥进行检查的装置。
21.如权利要求18至20中的任一项所述的设备,其中,方法包括用于检查应用信息的有效性的装置。
22.如权利要求21所述的设备,其中,用于检查应用信息的有效性的所述装置包括用于确定用于所述应用信息的至少一部分的摘要的装置。
23.一种计算机可读记录介质,其上存储计算机程序,所述计算机程序包括适合于执行权利要求1至15中的任一项的方法的计算机程序代码装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261641531P | 2012-05-02 | 2012-05-02 | |
| US61/641531 | 2012-05-02 | ||
| PCT/EP2013/059129 WO2013164396A1 (en) | 2012-05-02 | 2013-05-02 | Methods and apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104521249A CN104521249A (zh) | 2015-04-15 |
| CN104521249B true CN104521249B (zh) | 2019-06-18 |
Family
ID=48325690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380034579.7A Active CN104521249B (zh) | 2012-05-02 | 2013-05-02 | 方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9319457B2 (zh) |
| EP (1) | EP2850850B1 (zh) |
| CN (1) | CN104521249B (zh) |
| WO (1) | WO2013164396A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2479936B (en) * | 2010-04-30 | 2014-06-04 | Ubiquisys Ltd | Management of macro network kpi impacts for a mass deployment of femtocells |
| CN104412621B (zh) * | 2012-05-02 | 2018-05-15 | 诺基亚通信公司 | 方法和设备 |
| WO2014134630A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Modeling social behavior |
| US9344373B2 (en) * | 2014-06-13 | 2016-05-17 | International Business Machines Corporation | Packet I/O support for a logical switch router architecture |
| WO2016036287A1 (en) | 2014-09-02 | 2016-03-10 | Telefonaktiebolaget L M Ericsson (Publ) | Network node and method for handling a traffic flow related to a local service cloud |
| EP3189690B1 (en) * | 2014-09-04 | 2018-05-30 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatuses for enabling routing of data packets between a wireless device and a service provider based in the local service cloud |
| CN107005431B (zh) * | 2014-11-21 | 2020-01-31 | 华为技术有限公司 | 更改基于服务的数据平面配置的系统和方法 |
| CN104754030B (zh) * | 2015-02-12 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 用户信息获取方法及装置 |
| US10985990B2 (en) * | 2015-09-15 | 2021-04-20 | Huawei Technologies Co., Ltd. | Software defined topology (SDT) for user plane |
| US11475124B2 (en) * | 2017-05-15 | 2022-10-18 | General Electric Company | Anomaly forecasting and early warning generation |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
| US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
| US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
| US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
| US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
| US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
| US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
| US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
| US11489862B2 (en) | 2020-01-22 | 2022-11-01 | Forcepoint Llc | Anticipating future behavior using kill chains |
| US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
| US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
| US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
| US11080032B1 (en) * | 2020-03-31 | 2021-08-03 | Forcepoint Llc | Containerized infrastructure for deployment of microservices |
| US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
| US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
| US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
| US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
| US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
| US11206179B1 (en) | 2020-12-16 | 2021-12-21 | American Express Travel Related Services Company, Inc. | Computer-based systems for management of big data development platforms based on machine learning techniques and methods of use thereof |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102109997A (zh) * | 2009-12-26 | 2011-06-29 | 英特尔公司 | 通过利用虚拟OpenCL设备作为与计算云的接口来加速OpenCL应用 |
| CN102209348A (zh) * | 2011-05-26 | 2011-10-05 | 中国电信股份有限公司 | 流量卸载方法、系统及分组数据网网关 |
| CN102300263A (zh) * | 2011-09-23 | 2011-12-28 | 电信科学技术研究院 | 一种pcrf确定方法、装置及系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7424710B1 (en) * | 2002-12-18 | 2008-09-09 | Vmware, Inc. | TCP/IP offloading for virtual machines |
| US7580415B2 (en) * | 2005-04-27 | 2009-08-25 | Hewlett-Packard Development Company, L.P. | Aggregation of hybrid network resources operable to support both offloaded and non-offloaded connections |
| US8296759B1 (en) * | 2006-03-31 | 2012-10-23 | Vmware, Inc. | Offloading operations to a replicate virtual machine |
| US7707185B1 (en) * | 2006-10-19 | 2010-04-27 | Vmware, Inc. | Accessing virtual data storage units to offload operations from a computer system hosting a virtual machine to an offload server |
| US8839387B2 (en) | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| WO2011038359A2 (en) * | 2009-09-26 | 2011-03-31 | Cisco Technology, Inc. | Providing services at a communication network edge |
| TWI519098B (zh) | 2009-12-28 | 2016-01-21 | 內數位專利控股公司 | 機器對機器閘道架構 |
| US9703586B2 (en) * | 2010-02-17 | 2017-07-11 | Microsoft Technology Licensing, Llc | Distribution control and tracking mechanism of virtual machine appliances |
| US9300688B2 (en) * | 2010-04-18 | 2016-03-29 | Ca, Inc. | Protected application stack and method and system of utilizing |
| EP2403290B1 (en) | 2010-07-02 | 2013-09-11 | Vodafone IP Licensing limited | Radio resource management based on location prediction |
| JP5772946B2 (ja) * | 2010-07-21 | 2015-09-02 | 日本電気株式会社 | 計算機システム、及び計算機システムにおけるオフローディング方法 |
| US8824433B2 (en) * | 2010-07-23 | 2014-09-02 | Verizon Patent And Licensing Inc. | Data offloading with distributed IP management and routing |
| US8595289B2 (en) * | 2010-09-21 | 2013-11-26 | Telefonaktiebolaget L M Ericsson (Publ) | Cloud phone with distributed processing |
-
2013
- 2013-05-02 US US13/875,614 patent/US9319457B2/en active Active
- 2013-05-02 EP EP13720917.7A patent/EP2850850B1/en active Active
- 2013-05-02 CN CN201380034579.7A patent/CN104521249B/zh active Active
- 2013-05-02 WO PCT/EP2013/059129 patent/WO2013164396A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102109997A (zh) * | 2009-12-26 | 2011-06-29 | 英特尔公司 | 通过利用虚拟OpenCL设备作为与计算云的接口来加速OpenCL应用 |
| CN102209348A (zh) * | 2011-05-26 | 2011-10-05 | 中国电信股份有限公司 | 流量卸载方法、系统及分组数据网网关 |
| CN102300263A (zh) * | 2011-09-23 | 2011-12-28 | 电信科学技术研究院 | 一种pcrf确定方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2850850B1 (en) | 2020-04-01 |
| CN104521249A (zh) | 2015-04-15 |
| WO2013164396A1 (en) | 2013-11-07 |
| US9319457B2 (en) | 2016-04-19 |
| EP2850850A1 (en) | 2015-03-25 |
| US20130297729A1 (en) | 2013-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104521249B (zh) | 方法和设备 | |
| CN104412621B (zh) | 方法和设备 | |
| US11743767B2 (en) | Compression of ethernet packet header | |
| US20210409335A1 (en) | Multi-access management service packet classification and prioritization techniques | |
| US10555171B2 (en) | WiFi protected access 2 (WPA2) pass-through virtualization partition | |
| US11711754B2 (en) | Dynamic functional partitioning for security pass-through virtual network function (VNF) | |
| US10785683B2 (en) | Native fragmentation in WiFi protected access 2 (WPA2) pass-through virtualization protocol | |
| US20130297934A1 (en) | Method and apparatus | |
| WO2017200978A1 (en) | Security-based slice selection and assignment | |
| US20180227221A1 (en) | Mtc service selection in the (s)gi-lan | |
| TWI543564B (zh) | 固定式行動匯流網路中之網際網路協定映射解析 | |
| US8036161B2 (en) | Wireless switch with virtual wireless switch modules | |
| US11102176B2 (en) | Community WiFi access point (AP) virtual network function (VNF) with WiFi protected access 2 (WPA2) pass-through | |
| US20180227837A1 (en) | Notification and trigger for service layers and applications in a small cell network | |
| US20220353684A1 (en) | System And Methods For Transit Path Security Assured Network Slices | |
| US20130294335A1 (en) | Methods and apparatus | |
| KR102397750B1 (ko) | 앵커리스 백홀의 지원을 위한 gtp 터널 | |
| CN114365454B (zh) | 无状态安全功能的分布 | |
| Singh et al. | Unified heterogeneous networking design | |
| WO2021155918A1 (en) | Sending data to a network function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |