CN107006052A - 使用ott服务的基于基础设施的d2d连接建立 - Google Patents
使用ott服务的基于基础设施的d2d连接建立 Download PDFInfo
- Publication number
- CN107006052A CN107006052A CN201580065013.XA CN201580065013A CN107006052A CN 107006052 A CN107006052 A CN 107006052A CN 201580065013 A CN201580065013 A CN 201580065013A CN 107006052 A CN107006052 A CN 107006052A
- Authority
- CN
- China
- Prior art keywords
- equipment
- identifier
- connection
- route entity
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/23—Manipulation of direct-mode connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/12—Wireless traffic scheduling
- H04W72/1215—Wireless traffic scheduling for collaboration of different radio technologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了使得蜂窝设备的终端用户能够从在他们的设备上运行的过顶(OTT)应用内建立与其它设备的基于基础设施的D2D连接的方法和系统。该方法基于动态地对保护不同终端用户设备的相应网络级防火墙进行重新配置。
Description
技术领域
本公开总体上涉及电信网络的领域。特别但非必然地,本公开涉及一种用于对电信网络进行动态重新配置以便在连接至电信网络的第一和第二设备之间进行基于基础设施的设备至设备(D2D)通信的方法、系统和计算机程序产品。
背景技术
在未来,设备的配对之间的通信可能有所增多。这样的通信的示例可以在有所增加的诸如游戏机、电视和加热系统的家用设备的连接的应用以及在近期加入的平板计算机和智能电话中找到。这些设备中的一些能够出于各种目的而通过它们之间的直接数据连接来发送和接收数据,作为示例,诸如使用智能电话或平板计算机来控制电视或加热系统,从相机向膝上电脑或个人计算机(PC)无线传输图像和运动画面,等等。目前,这样的通信通常通过将两个设备都连接至诸如有线或无线的家庭或办公网络之类的相同网络来实施。由于这并非始终都可能或期望如此,所以为了在并不处于相同网络中的两个设备之间进行数据交换,所述设备不得不利用在线服务来中继数据,而有时这也并不是所期望的。
经常,在并不连接至共同的局部网络且并不使用在线服务而互相进行直接通信会具有优势的设备是连接至蜂窝电信网络的设备。已经开发出了被称作“接近度服务”或“直接模式”的技术,它使得两个蜂窝设备之间能够利用为该用途所分配的无线电资源进行直接数据连接。常规的蜂窝设备利用一个或多个电信网络的网络基础设施,该基础设施至少包括互相通信的至少一个基站,然而这样的设备之间的直接模式通信的特征在于:它们能够彼此建立直接无线数据连接而并不需要用户数据经过网络基础设施。
将期望能够在并非如以上所描述的直接模式通信所要求的那样彼此接近而且也并不处于相同的局部网络中的两个蜂窝设备之间进行设备至设备(D2D)通信。使得这样的通信对蜂窝设备难以实现的一个因素在于,蜂窝设备可能被订阅于不同模式的网络运营商,因此处于不同的防火墙之后。甚至对于相同移动运营商网络中的设备而言,安全规范也可能防止这两个设备直接通信。针对该问题的一种平常的解决方案会是移除防火墙并且使得每个设备都能够从运营商网络内部和外部这两处被直接寻址。随之而来的可能问题在于:运营商并且因此设备的用户将无法对被允许到达设备的数据加以控制。例如,恶意网站或黑客因此能够不断向某些设备发送数据,这会导致终端用户将面临数据使用的高额账单,和/或网络运营商将无法对非请求数据计费,导致运营商的损失。
还将期望的是,为了让两个蜂窝设备上的两个软件应用交换数据,设备和应用应当了解设备之间的连接是可用的以及它们应当预期数据分组或者能够在该连接上发送数据分组。优选地,允许这样的通信的技术将是无缝的并且易于被应用开发方和设备的终端用户这两者所使用。
本领域所需要的是一种使得能够在连接至单一移动运营商的相同或不同的(多个)电信网络或者不同移动网络运营商的电信网络的两个蜂窝设备之间以能够解决至少一些以上所描述的问题的方式建立连接的技术。
发明内容
为了解决以上所描述的一个或多个问题,提出了一种在这里被称作“基于基础设施的D2D通信”的技术,其中术语“基于基础设施的D2D通信”是指在两个设备之间发现并建立直接数据连接以便使得就像这些设备位于相同网络中那样能够进行数据交换。换句话说,基于基础设施的D2D通信允许设备在出于该目的所建立的连接上直接交换数据分组,作为示例,诸如传输控制协议(TCP)/互联网协议(IP)和用户数据报协议(UDP)/IP分组,该连接在这里被称作“基于基础设施的D2D连接”。在下文中,除非另外有所规定,否则术语“通信”和“连接”分别是指基于基础设施的D2D通信和连接。
在最为一般的情形中,设备连接至不同移动网络运营商(MNO)的电信网络。然而,在各种单独情形中,设备可能连接至单个MNO的两个不同电信网络,以及连接至单个MNO的相同电信网络。
在本发明的一个方面,提出了一种计算机实施的用于第一移动网络运营商(MNOA)所控制的第一路由实体的方法,该方法能够在连接至第一移动网络运营商的电信网络的第一设备和连接至第二移动网络运营商(MNO B)的电信网络的第二设备之间建立基于基础设施的D2D连接。这样的设备可以是任何的智能设备或终端,优选地是移动终端,在标准化形式中更为正式地被称作“用户设备”(UE)或“移动站点”(MS),并且有时也被简称为“用户”、“终端”或“蜂窝设备”。这样的设备还包括诸如膝上电脑、平板电脑、智能手表、智能眼镜等的设备。该方法包括由第一路由实体所执行的以下步骤:从第一设备接收包括第二设备的第一标识符的连接请求,将所接收的第二设备的第一标识符解析为第二设备的第二标识符,该第二标识符识别第二移动网络运营商(MNO B)所控制的第二路由实体,并且通过向该第二路由实体提供对第一设备和第二设备之间的连接的连接请求而使用该第二标识符联系所识别的第二路由实体,该连接请求包括第二设备的第一标识符和/或第二标识符。该方法进一步包括步骤:向第二路由实体提供第一设备的联系信息,从第二路由实体接收第二设备的联系信息,并且依据第一设备的联系信息和第二设备的联系信息配置第一防火墙以便通过第一设备和第二设备之间的基于基础设施的D2D连接进行数据交换。该第一防火墙是第一设备与之连接的电信网络的防火墙(即,它不同于可以在第一设备自身上实施的防火墙),该第一防火墙被配置为充当第一设备的防火墙(即,被配置为保护第一设备)。
在本发明的另一个方面,还公开了一种计算机实施的要由以上所描述的第二路由实体所执行的方法。该方法包括由第二路由实体所执行的步骤:从第一路由实体接收针对第一设备和第二设备之间的连接的连接请求,如以上所描述的,该连接请求包括第二设备的第一标识符和/或第二标识符,对所接收到的第一标识符和/或第二标识符进行解析以确定第二设备的第三标识符,并且通过向所确定的第三标识符所识别的第二设备提供连接请求或者其衍生形式使用所确定的第三标识符联系第二设备。该方法可以进一步包括步骤:从第一路由实体接收第一设备的联系信息,可选地从第二设备接收第二设备接受该连接请求的指示,向第一路由实体提供第二设备的联系信息,并且依据第一设备的联系信息和第二设备的联系信息对第二防火墙进行配置以便通过第一设备和第二设备之间的基于基础设施的D2D连接进行数据交换。该第二防火墙是第二设备与之连接的电信网络的防火墙(即,它不同于可以在第二设备自身上实施的防火墙),该第二防火墙被配置为充当第二设备的防火墙(即,被配置为保护第二设备)。
在下文中,出于简明的原因,第一和第二防火墙分别被称作第一和第二设备的防火墙。然而,依据以上所提供的这些防火墙的解释,所要理解的是,这些防火墙是指网络级别的防火墙(即,由电信网络和/或MNO所控制的防火墙),而不是在设备自身上实施或由设备自身所控制的防火墙。
在下文中,通过参考连接至不同移动网络运营商的相应电信网络的第一和第二设备而针对最为一般的情形对由第一和第二路由实体所执行的方法进行描述。然而,这里所描述的方法同样能够应用于其中第一和第二设备连接至相同移动网络运营商的相同电信网络的特定情形,以及应用于其中第一和第二设备连接至相同移动网络运营商的不同电信网络的特定情形。换句话说,如在权利要求中所使用的,第一移动网络运营商可以与第二移动网络运营商相同,但并非必然如此,并且在第一移动网络运营商与第二移动网络运营商相同的情况下,第一设备与之连接的电信网络可以与第二设备与之连接的电信网络相同,但并非必然如此。
如本文所使用的,术语“第一标识符”是指智能蜂窝设备和互联网上的过顶(over-the-top)应用(作为示例,诸如Facebook、Twitter等)所使用的应用级别的标识符。应用级别的标识符的一些示例包括但并不局限于登录名、好友名称、识别具体用户的在线应用所生成的数字串、电子邮件地址等等。
如这里所使用的,术语“第二标识符”是指移动网络运营商(MNO)所使用的网络级别的标识符。网络级别的标识符的一些示例包括但并不局限于国际移动订户标识符(IMSI)、移动站点国际订户目录编号(MSISDN)、通用资源标识符(URI)等。这些网络级别的标识符通常被构建为使得它们识别该网络级别的标识符属于哪个移动网络运营商或者域。因此,网络级别的标识符可以被用来识别并联系所识别的移动网络运营商所控制的路由实体。
如这里所使用的,术语“第三标识符”是指第二网络在内部使用以寻址第二设备和/或路由通信业务至第二设备的标识符。这样的标识符的确切形式—例如IMSI、临时移动订户身份(TMSI)、IP地址、sip地址或国际移动设备身份(IMEI)—取决于网络的实施方式。
本发明的实施例所基于的想法在于,期望让蜂窝设备的终端用户能够在他们的设备上运行的OTT应用之内建立与其它设备的基于基础设施的D2D连接,即该OTT应用应当对建立这样的连接进行掌控。例如,如果玛丽(Mary)想要通过Facebook向约翰(John)发送照片,她应当能够选择“约翰(John)”,打开情境菜单并且选择“通过D2D发送”。随后出现的问题是:如果应用应当这样做,则在该应用中使用的设备的标识符(即,第一标识符)应当能够被链接至被用于在第二设备的移动网络运营商的电信网络中进行路由的设备标识符(即,第二和第三标识符)。该问题通过在发起与另一个蜂窝设备(第二设备)的D2D通信的一个蜂窝设备(“第一设备”)一侧上实施路由实体(第一路由实体)以及在第二设备一侧上实施路由实体(第二路由实体)而被解决。第一路由实体能够将第二设备的第一标识符解析为第二设备的第二标识符,假设第二设备过去已经向OTT服务提供商或另一数据库注册了其网络级别标识符以及其应用级别标识符之间的关联,并且基于此识别第二路由实体并且随后利用包含第二设备的第一和/或第二标识符的连接请求来联系第二路由实体。第二路由实体能够将所接收的第二设备的第一标识符和/或第二标识符解析为该设备的第三标识符。这两个路由实体进一步被配置为在交换第一和第二设备的联系信息并且配置它们相应的边缘防火墙(即,针对每个相应的MNO,核心网络与诸如互联网的另外网络之间的防火墙)时进行协作,以便在设备之间进行数据交换。以这种方式,可以在均处于相应的网络级别防火墙(即,它们的相应电信网络和/或MNO所控制的防火墙)之后的一对设备之间建立基于基础设施的D2D连接。
在一个实施例中,第一路由实体所执行的方法可以进一步包括步骤:从第一设备接收终止第一设备和第二设备之间的连接的命令,指示第一设备的防火墙终止该连接,并且可选地向第二路由实体提供该连接将被终止的指示。相对应地,第二路由实体所执行的方法于是可以进一步包括步骤:从第一路由实体接收第一设备发出了终止第一设备和第二设备之间的连接的命令的指示,并且指示第二设备的防火墙终止该连接,和/或向第二设备提供该连接将要被终止的指示。以这种方式,第一设备可以发起连接的终止。
在另一个实施例中,第一路由实体所执行的方法可以进一步包括步骤:从第二路由实体接收第二设备发出了终止第一设备和第二设备之间的连接的命令的指示,并且指示第一设备的防火墙终止该连接,和/或向第一设备提供该连接将要终止的指示。相对应地,第二路由实体所执行的方法于是可以进一步包括步骤:从第二设备接收终止第一设备和第二设备之间的连接的命令,指示第二设备的防火墙终止该连接,并且可选地,向第一路由实体提供该连接将被终止的指示。这样的实施例允许第二设备发起连接的终止。
在一个实施例中,第一路由实体对第二设备的第一标识符进行解析以确定第二设备的第二标识符可以包括第一路由实体向与OTT应用相关联的服务器发送包括第一标识符的请求,并且接收包括第二标识符的响应。在另一个实施例中,第一路由实体对第二设备的第一标识符进行解析以确定第二设备的第二标识符可以包括第一路由实体访问用于基于第一标识符构建第二标识符的逻辑,并且对所接收的第二设备的第一标识符应用该逻辑以构建第二设备的第二标识符。在又另一个实施例中,第一路由实体对第二设备的第一标识符进行解析以确定第二设备的第二标识符可以包括第一路由实体使用与OTT应用相关联的服务器的公钥对所接收的第一标识符进行解密。在一个实施例中,第二设备的第二标识符可以与第二设备的第一标识符相同。
在一个实施例中,第二路由实体对第二设备的第二标识符进行解析以确定第二设备的第三标识符可以包括第二路由实体访问包括(识别)多个第二标识符和多个第三标识符的数据库,该多个第三标识符中的每一个对应于该多个第二标识符中的一个或多个,并且将该数据库中所存储的多个第三标识符中对应于所接收的第二设备的第二标识符的一个识别为第二设备的第三标识符。在另一个实施例中,第二路由实体对第二设备的第二标识符进行解析以确定第二设备的第三标识符可以包括第二路由实体访问用于基于第二标识符构建第三标识符的逻辑,并且对所接收的第二设备的第二标识符应用该逻辑以构建第二设备的第三标识符。在一个实施例中,第三标识符可以与第二标识符相同。在一个实施例中,第二标识符可以利用第二路由实体所知的密钥进行加密从而获得第三标识符。
在一个实施例中,第一设备的联系信息可以包括要被用于通过连接传输数据的第一设备的IP地址以及一个或多个端口号,并且第二设备的联系信息可以包括要被用于通过连接传输数据的第二设备的IP地址以及一个或多个端口。
在优选实施例中,第一路由实体可以包括第一移动网络运营商的电信网络的核心网络内的直接模式控制中心(DMCC),而第二路由实体可以包括第二移动网络运营商的电信网络的核心网络内的相似DMCC。
在本发明的又另一个方面,公开了一种要由以上所描述的第一设备所执行的计算机实施的方法。该方法包括由第一设备所执行的步骤:从连接至第一移动网络运营商的电信网络外部以及第二移动网络运营商的电信网络外部的网络的OTT服务提供商获取第二设备的第一标识符,向以上所描述的第一路由实体提供包括第二设备的第一标识符的连接请求,并且可选地,从第一路由实体接收第二设备的联系信息。在一个实施例中,这样的方法可以进一步包括第一设备向第一路由实体提供终止第一设备和第二设备之间的连接的命令的步骤,或者第一设备从第一路由实体接收该连接要被终止的指示的步骤。
在本发明再另一个方面,公开了一种要由以上所描述的第二设备所执行的计算机实施的方法。该方法包括由第二设备所执行的步骤:向连接至第一移动网络运营商的电信网络外部以及第二移动网络运营商的电信网络外部的网络的OTT服务提供商提供第二设备的第一标识符,从以上所描述的第二路由实体接收针对第一设备和第二设备之间的连接的连接请求,可选地,向第二路由实体提供第二设备接受该连接请求的指示,以及可选地,从第二路由实体接收第一设备的联系信息。在一个实施例中,这样的方法可以进一步包括第二设备向第二路由实体提供终止第一设备和第二设备之间的连接的命令的步骤,或者第二设备从第二路由实体接收该连接要被终止的指示的步骤。
根据本发明的其它方面,提供了用于实施这里所描述的方法步骤的数据处理系统和装置。该数据处理系统和装置的每一个包括至少一个被配置为实施这里所描述的方法步骤的处理器。这样的数据处理系统可以被包括在该装置之内。
本公开还可以涉及到在计算机可读存储介质上实施的计算机程序,以及存储这样的计算机程序的优选为非瞬态的计算机可读存储介质。该计算机程序可以包括软件代码部分,所述软件代码部分被配置为在计算机上运行时执行根据本公开中所描述的任一种方法的方法步骤。
在之前的实施例中,第二设备可替换地可以连接至不同于第二网络运营商(MNOA)的电信网络的第二网络。例如,该第二网络可以是例如第二运营商或第一运营商的固定或无线网络。该无线网络可以是WiFi网络,例如包括无线接入点或热点。该第二设备可以经由私有网络连接至第二网络,上述私有网络诸如是家庭网络或公司网络,所述第二网络可以是固定的和/或无线的,例如WiFi网络。如之前实施例中所描述的,在第二设备和第二设备与之连接的第二网络之间可以存在第二防火墙。第二防火墙例如可以是能够被配置为防火墙的家庭网关。第二防火墙可以处于来自第二网络的运营商控制之下,即,所述运营商能够从第二网络改变防火墙设置,和/或第二防火墙可以从私有网络进行控制,例如,第二设备可以改变防火墙设置。然而,如果存在第二防火墙,则改变第二设备和第二网络之间的防火墙设置可能是复杂的,受到各种防火墙控制策略的影响,并且可能具有安全风险。因此,在下面的多个方面和实施例中提出了在连接请求从第一设备发起的情况下也让连接从第二设备通过第二防火墙来建立,因为通过防火墙的外出通信业务通常是能被允许的。有利的是,在网络之一并非移动网络的情况下,能够建立不同网络或不同网络区段之间的D2D连接。
在以下的多个方面和实施例中,第二设备可以向包括注册数据库的第二路由实体注册其第一标识符(应用级别标识符)以及其第二标识符(运营商级别标识符)。第二网络可以包括第二路由实体,例如DMCC。第二路由实体可以不被配置为对第二防火墙进行配置,但是并不排除如此。第一标识符和第二标识符可以被存储在该注册数据库中。第一标识符和第二标识符之间的关系能够以本领域技术人员认为有用的任何方法进行存储。第二路由实体可以将第一标识符和第二标识符转发至OTT服务。这允许第一路由实体将第二设备的第一标识符解析为第二设备的第二标识符,并且因此识别第二路由实体。将设备的第一标识符解析为第二标识符的方式在以上已经有所描述,并且这里不再重复。
可替换地,第二路由实体可以处于OTT服务提供商的控制之下。一种优势可能在于:对于至少针对相同的OTT服务向第二路由实体注册其第一标识符和第二标识符的设备而言,运营商和用户能够共享相同的第二路由实体。
连接可以在第二设备和第二路由实体之间保持开放,从而始终都能够从第二路由实体联系到第二设备,例如用以递送连接请求。诸如OTT提供商所提供的通知也可以被用来向第二设备递送连接请求,所述递送例如经由第二网络或者经由第二设备也可以与之进行连接的不同网络,例如移动网络。递送推送通知的通知服务使得能够向设备发送消息而并不要求去往电话的IP级别的连接,因此减少了电池消耗。
第二设备可以在第二设备建立连接之前或者期间向第二路由实体进行注册,例如在必要时在第二设备建立期间进行配置。第二设备在向第二路由实体注册以及在向OTT服务注册第二标识符之前可能已经使用(U)SIM、软SIM、SIM AKA过程或者类似方法获得了第二标识符。例如,移动设备与向移动网络运营商的订阅相关联,或者它已经从另一个设备获得了凭证(例如,参见申请13190078.9)。
在本发明的另一个方面,公开了一种用于第一移动网络运营商所控制的第一路由实体的计算机实施的方法。该方法使得能够在连接至第一移动网络运营商的电信网络的第一设备与连接至第二电信网络的第二设备之间建立连接。该方法包括要由第一路由实体所执行的步骤:从第一设备接收包括第二设备的第一标识符的连接请求;将第二设备的第一标识符解析为识别第二路由实体的第二设备的第二标识符;向第二路由实体提供针对第一设备和第二设备之间的连接的连接请求,该连接请求包括第二设备的第一标识符和/或第二标识符;向第二路由实体提供第一设备的联系信息;从第二路由实体接收第二设备的联系信息;以及依据第一设备的联系信息和第二设备的联系信息配置第一防火墙以便通过第一设备和第二设备之间的连接进行数据交换,其中该第一防火墙是第一设备与之连接的电信网络的、被配置为保护第一设备的防火墙。
在本发明的又另一个方面,公开了一种用于第二路由实体的计算机实施的方法。该方法使得能够在连接至第一移动网络运营商的电信网络的第一设备与连接至第二电信网络的第二设备之间建立连接。该方法包括要由第二路由实体所执行的步骤:从第一移动网络运营商所控制的第一路由实体接收针对第一设备和第二设备之间的连接的连接请求,该连接请求包括第二设备的第一标识符和/或第二标识符;对第二设备的第一标识符和/或第二标识符进行解析以确定第二设备的第三标识符;向第三标识符所识别的第二设备提供连接请求或者其衍生形式;从第一路由实体接收第一设备的联系信息;可选地,从第二设备接收第二设备接受该连接请求的指示;并且向第一路由实体提供第二设备的联系信息。
在本发明的另一个方面,公开了一种用于连接至第一移动网络运营商的电信网络的第一设备的计算机实施的方法。该方法使得能够在第一设备与连接至第二电信网络的第二设备之间建立连接。该方法包括:从连接至第一移动网络运营商的电信网络外部以及第二电信网络外部的网络的过顶(over-the-top, OTT)服务提供商获取第二设备的第一标识符;向第一移动网络运营商所控制的第一路由实体提供包括第二设备的第一标识符的连接请求;以及可选地,从第一路由实体接收第二设备的联系信息。
在本发明的又另一个方面,公开了一种用于连接至第二电信网络的第二设备的计算机实施的方法。该方法使得能够在连接至第一移动网络运营商的电信网络的第一设备与该第二设备之间建立连接。该方法包括:向连接至第一移动网络运营商的电信网络外部以及第二电信网络外部的网络的过顶(OTT)服务提供商提供第二设备的第一标识符;向第二路由实体注册第二设备的第一标识符和第二标识符;从第二路由实体接收针对第一设备和第二设备之间的连接的连接请求;可选地,向第二路由实体提供第二设备接受该连接请求的指示;以及可选地,从第二路由实体接收第一设备的联系信息。
在本发明另外的方面中,公开了一种用于第二路由实体的计算机实施的方法。该方法使得能够在连接至第一移动网络运营商的电信网络的第一设备与连接至第二电信网络的第二设备之间建立连接,该方法包括:从第二设备接收包括第一设备的第一标识符的连接请求;将第一设备的第一标识符解析为第一设备的第二标识符,该第二标识符识别第一路由实体;向第一路由实体提供针对第一设备和第二设备之间的连接的连接请求,该连接请求包括第一设备的第一标识符和/或第二标识符;向第一路由实体提供第二设备的联系信息;从第一路由实体接收第一设备的联系信息;并且向第二设备提供第一设备的联系信息。
在本发明再另外的一个方面,公开了一种用于由第一移动网络运营商所控制的第一路由实体的计算机实施的方法。该方法使得能够在连接至第一移动网络运营商的电信网络的第一设备和连接至第二电信网络的第二设备之间建立连接。该方法包括:从第二路由实体接收针对第一设备和第二设备之间的连接的连接请求,该连接请求包括第一设备的第一标识符和/或第二标识符;对第一设备的第一标识符和/或第二标识符进行解析以确定第一设备的第三标识符;向第三标识符所识别的第一设备提供连接请求或者其衍生形式;从第二路由实体接收第二设备的联系信息;可选地,从第一设备接收第一设备接受该连接请求的指示;向第二路由实体提供第一设备的联系信息;并且依据第一设备的联系信息和第二设备的联系信息对第一防火墙进行配置以便通过第一设备和第二设备之间的连接进行数据交换,其中该第一防火墙是第一设备与之连接的电信网络的、被配置为对第一设备进行保护的防火墙。
在第一路由实体(例如,DMCC)从第一设备接收到包括第二设备的第一标识符的连接请求时,第一路由实体例如通过向OTT服务发送包括第一标识符的请求并且然后接收第二标识符来将第二设备的第一标识符解析为第二设备的第二标识符。第一路由实体基于第二标识符确定第二路由实体,并且将包括第二设备的第一和/或第二标识符的连接请求发送至第二路由实体。如果连接在第二设备和第二路由实体之间保持开放,则该连接可以被用来向第二设备发送连接请求。可替换地,可以使用推送服务来向第二设备发送连接请求。优选地,该连接请求包括第一设备的联系信息(例如,公共IP地址,以及可选地端口号)。第一设备的连接信息也可以被分开地递送至第二设备。第一路由实体可以从第一设备或从第一防火墙获得第一设备的联系信息,其中该第一防火墙是处于第一设备与之连接的电信网络中并且被配置为保护第一设备的防火墙。第二设备接收该连接请求,并且可以拒绝或接受该请求。第二设备可以接收连接请求中所包括的第一设备的联系信息,或者可以分开地接收第一设备的联系信息。第二设备可以向第一路由实体发送响应,该响应包含用于第一设备和第二设备之间的连接的第二设备的联系信息(例如,公共IP地址,以及可选地端口号)。第一路由实体依据第一设备的联系信息以及第二设备的联系信息对第一防火墙进行配置以便通过第一设备和第二设备之间的连接进行数据交换,其中该第一防火墙是处于第一设备与之连接的电信网络中并且被配置为保护第一设备的防火墙。第二设备现在能够基于第一设备的连接信息而在第一设备和第二设备之间建立连接。通过指示防火墙终止该连接而终止第一设备和第二设备之间的连接可以如之前所描述的实施例中那样执行,在此不再重复。该连接也可以在预定义的时间之后被终止。
可选地,去往第二设备的连接请求中可以包括认证令牌,第二设备能够在其响应中使用该认证令牌向第一设备和/或向第一网络中诸如第一防火墙的网络元件认证其自身为第二设备。该认证令牌可以由第一路由实体、第一防火墙或者第一网络的任何其它元件所生成,并且可以在第一网络的元件之间进行共享。
当第二设备想要建立至第一设备的连接时,该第二设备联系第二路由实体。如果并未注册,第二设备可能必须首先如以上所描述的进行注册。第二路由实体从第二设备接收包括第一设备的第一标识符的连接请求。第二路由实体将第一设备的第一标识符解析为识别第一路由实体的第一设备的第二标识符。因此有利的是,第二设备能够建立至涉及不同路由实体—例如涉及不同运营商—的设备的连接。第二路由实体可以将连接请求转发至第一路由实体。对第二设备和第一设备之间的连接的连接请求随后被第一路由实体所接收。第一路由实体对第二设备的第一和/或第二标识符进行解析以确定第一设备的第三标识符。第一路由实体将该连接请求或者其衍生形式提供至该第三标识符所识别的第一设备。第一设备从第一路由实体接收该连接请求,并且可以拒绝或接受该请求。第一设备可以向第一路由实体发送包括IP地址以及可选地端口号的响应。第一路由实体可以向第一防火墙请求第一设备的联系信息(例如,公共IP地址以及可选地端口号,它们可能与来自第一设备的信息有所不同,例如因为防火墙执行了NAT转换)。第一路由实体例如经由第二路由实体向第二设备发送包括第一设备的联系信息的响应。第一路由实体依据第一设备的联系信息以及第二设备的联系信息对第一防火墙进行配置以便通过第一设备和第二设备之间的连接进行数据交换,其中第一防火墙是第一设备与之连接的电信网络的、被配置为保护第一设备的防火墙。第二设备现在能够基于第一设备的联系信息而与第一设备建立连接。
如本领域技术人员将会意识到的,本发明的多个方面可以被体现为系统、方法或计算机程序产品。因此,本发明的多个方面可以采取完全硬件的实施例、完全软件的实施例(包括固件、驻留软件、微代码等),或者将软件和硬件方面相结合的实施例(它们全部可以在这里被统称为“电路”、“模块”或“系统”)的形式。本公开中所描述的功能可以被实施为由计算机的微处理器所执行的算法。此外,本发明的多个方面可以采用体现于一个或多个计算机可读介质中的计算机程序产品的形式,上述一个或多个计算机可读介质在其上体现—例如存储—计算机可读程序代码。
可以采用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质例如可以是但并不局限于电子、磁性、光学、电磁、红外或半导体系统、装置或设备,或者它们的任何适当组合。计算机可读介质的更为具体的示例(非穷举列表)可以包括以下:具有一个或多个接线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式紧致盘只读存储器(CD-ROM)、光学存储设备、磁性存储设备,或者它们的任何适当组合。在本文的上下文中,计算机可读存储介质可以是任何的有形介质,该介质能够包含或存储程序以供由指令执行系统、装置或设备使用或者与之相结合使用。
计算机可读信号介质可以在基带中或者作为载波的一部分包括传播数据信号,所述传播数据信号在其中体现有计算机可读程序代码。这样的传播信号可以采用任何不同形式,包括但并不局限于电磁、光学,或者它们的任何适当组合。计算机可读信号介质可以是并非计算机可读存储介质并且能够通信、传播或传输程序以便由指令执行系统、装置或设备使用或者与之相结合使用的任何计算机可读介质。
体现于计算机可读介质上的程序代码可以使用任何适当介质进行传送,任何适当介质包括但并不局限于无线、有线、光纤、线缆、RF等,或者它们的任何合适组合。用于实施本发明多个方面的操作的计算机程序代码可以采用一种或多种编程语言的任何组合来编写,所述一种或多种编程语言包括诸如Java(TM)、Smalltalk、C++等的面向对象编程语言,以及诸如“C”编程语言或类似编程语言的传统过程编程语言。程序代码可以作为独立软件包整体在用户计算机上执行,部分在用户计算机上执行,部分在用户计算机上且部分在远程计算机上执行,或者整体在远程计算机或服务器上执行。在后者的情形中,远程计算机可以通过任何类型的网络连接至用户计算机,所述任何类型的网络包括局域网(LAN)或广域网(WAN),或者可以(例如,使用互联网服务提供商而通过互联网)针对外部计算机形成连接
以下参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图对本发明的多个方面进行描述。将要理解的是,流程图和/或框图的每个框,以及流程图和/或框图中的框的组合能够由计算机程序指令来实施。这些计算机程序指令可以被提供至通用计算机、专用计算机或者其它可编程数据处理装置的处理器—特别是微处理器或中央处理器(CPU)—以产生机器,而使得经由计算机、其它可编程数据处理装置或其它设备的处理器执行的指令创建用于实施流程图和/或框图的一个或多个框中所指定的功能/动作的构件。
这些计算机程序指令也可以存储在计算机可读介质中,上述计算机可读介质能够指示计算机或其它可编程数据处理装置或者其它设备以特定方式进行工作,而使得存储至计算机可读介质中的指令产生包括实施流程图和/或框图的一个或多个框中所指定的功能/动作的指令的制造品。
计算机程序指令还可以被加载到计算机、其它可编程数据处理装置或其它设备上以使得一系列操作步骤得以在该计算机或其它可编程装置或其它设备上被执行以产生出计算机实施的过程,从而使得在计算机或其它可编程装置上执行的指令提供用于实施流程图和/或框图的一个或多个框中所指定的功能/动作的过程。
附图中的流程图和框图示出了根据本发明各个实施例的系统、方法和计算机程序产品的可能实施方式的架构、功能和操作。在这方面,流程图或框图的每个框可以表示包括用于实施所指定的(多种)逻辑功能的一个或多个可执行指令的模块、区段或代码部分。还应当注意的是,在一些可替换的实施方式中,框中所指示的功能可以采用与图中所示有所不同的次序来发生。例如,根据所涉及的功能,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反顺序执行。还将要注意的是,框图和/或流程图中的每个框以及框图和/或流程图中的框的组合可以由执行所指定功能或操作的基于专用硬件的系统来实施,或者由专用硬件和计算机指令的组合来实施。
将参考附图对本公开进一步进行阐述,上述附图示意性地示出了根据本公开的实施例。将要理解的是,本公开并不以任何方式被限制于这些具体实施例。此外,任何实施例和限定的多种组合都被本公开所预期。
附图说明
将通过参考图中所示出的示例性实施例更为详细地对本发明的多个方面进行解释,其中:
图1示出了根据本发明一个实施例的电信系统的示意性图示;
图2提供了根据本发明一个实施例的使得能够在两个设备之间建立基于基础设施的D2D连接的系统的示意图;
图3图示了根据本发明一个实施例的用于建立图2所示的第一和第二设备之间的基于基础设施的D2D连接的消息传送图;
图4图示了根据本发明一个实施例的在第一设备发起的终止图2所示的第一和第二设备之间的基于基础设施的D2D连接的方法的消息传送图;
图5图示了根据本发明一个实施例的在第二设备发起的终止图2所示的第一和第二设备之间的基于基础设施的D2D连接的方法的消息传送图;
图6提供了根据本发明一个实施例的包括由多个防火墙保护的多个区段的电信系统的示意图;和
图7示出了图示根据本公开实施例的可以在辅助建立第一和第二设备之间的基于基础设施的D2D连接时所使用的示例性数据处理系统的框图。
具体实施方式
图1示出了电信系统100的示意图。电信系统100包括无线电接入网络102(在图1中也表示为E-UTRAN或(UT)RAN),以及包含如下文进一步详细描述的各种元件或节点的核心网络104。
在图1的电信系统中,出于简明起见,三代网络被一起示意性地进行描绘。架构和概述的更为详细的描述可以在3GPP TS 23.002中找到,3GPP TS 23.002通过引用其全文被包括在本申请中。
图1的下部表示GPRS或UMTS电信网络。
对于GSM/GPRS电信网络(即,2G/2.5G电信网络),无线电接入网络102包括多个基站(BTS)以及一个或多个基站控制器(BSC),它们在图1中未单个示出。核心网络104包括网关GPRS支持节点(GGSN)、服务GPRS支持节点(用于GPRS的SGSN)或移动交换中心(用于GSM的MSC,图1中未示出)以及与认证中心(AuC)相结合的归属位置寄存器 (HLR)。HLR包含移动设备106(有时称为“用户装备”(user equipment , UE)或用户设备(user device))的订阅信息,并且AuC包含要被用于认证和密钥协商(AKA)过程的共享秘密密钥K.
对于UMTS无线电接入网络(UTRAN)(即3G电信网络),无线电接入网络102包括连接到多个NodeB(节点B)的无线电网络控制器(RNC),也未示出。在核心网络104中,GGSN和SGSN/MSC通常连接到包含移动设备106的订阅信息和共享密钥K的HLR/AuC。
图1的上部表示下一代电信网络,共同地被指示为长期演进(LTE)系统或演进分组系统(EPS)(即4G电信网络)。在这样的网络中,被指示为E-UTRAN的无线电接入网络102包括为移动设备106提供无线接入的演进NodeB(eNodeB或eNB)。核心网络104包括PDN网关(P-GW)和服务网关(S-GW)。EPS的E-UTRAN经由分组网络连接到S-GW。S-GW出于信令目的而连接到归属订户服务器HSS和移动管理实体MME。HSS包括订阅简档库SPR,并且与存储用于AKA过程的共享密钥K的认证中心(AuC)相结合。EPS网络的一般架构的更进一步信息可以在3GPPTS 23.401中找到。
对于GPRS、UMTS和LTE电信网络,核心网络104例如通常使用网关(例如,P-GW)连接到另外的网络108以提供不同运营商之间的连接,上述网络108可以是任何的外部分组交换网络,例如互联网或专用网络。
当然,3GPP所定义以外的例如WiMAX和/或CDMA2000的架构也可以在本公开的上下文中被使用,并且这并不排除诸如5G的未来架构。
图2提供了根据本发明一个实施例的使得能够在运行相同或兼容的OTT应用的两个设备之间建立基于基础设施的D2D连接的系统200的示意图。为了说明的目的,在图2-6的描述中,考虑在两个设备上运行的OTT应用程序都是Facebook。进一步考虑的是,第一设备的终端用户玛丽与第二设备的终端用户约翰在Facebook上是好友,玛丽想使用基于基础架构的D2D通信向约翰发送图片。 如本文所描述的,系统200允许玛丽在她的设备(例如智能电话)上选择约翰,并且选择发送图片。系统200允许约翰接受该请求,结果因此可以在玛丽和约翰的设备之间建立连接。图片可以通过该连接进行发送,并且该连接可以被再次释放。
基于基础设施的D2D通信的其它示例应用可以包括:两个终端用户在他们各自的设备上玩用户对用户(user-to-user)的游戏,将名片从一个终端用户发送给另一个终端用户,从另一个设备(例如,智能电话)对一个设备(例如,电器)的远程控制,一个设备(例如,传感器)向另一个设备发送警报,或者一个设备(例如,平板电脑)向另一个设备(例如打印机)发送打印作业。
如图2所示,系统200包括连接到第一移动网络运营商A的电信网络—以下称为“第一电信网络”—的第一移动设备202(上述场景中的玛丽的设备),这在图2中示出为:设备202被连接到第一电信网络的无线电接入网络204。无线电接入网络204进而连接到第一电信网络的核心网络206。类似地,系统200包括连接到第二移动网络运营商B的电信网络—以下称为“第二电信网络”—的第二移动设备212(上述场景中的约翰的设备),这在图2中示出为:设备212连接到第二电信网络的无线电接入网络214。无线电接入网络214进而连接到第二电信网络的核心网络216。
无线电接入网络204和214中的每一个可以是图1所图示的无线电接入网络102之一,而核心网络206和216中的每一个可以是图1所图示的核心网络104之一。移动设备202和212中的每一个可以是图1所图示的移动设备106,它连接到其相应的网络100。此外,类似于图1所图示的架构,核心网络206和216连接到另一个网络222以提供不同MNO之间的连接,类似于图1所示的另外的网络108,该网络222可以是任何的外部分组交换网络,作为示例,诸如互联网或专用网络。诸如Facebook的OTT服务提供商224的服务器连接到互联网222。
如图2中进一步示出的,处于MNO A控制之下的核心网络206包括边缘防火墙208。类似地,处于MNO B控制之下的核心网络216包括边缘防火墙218。
边缘防火墙208和218是旨在确保那些防火墙后面的网络和设备被保护免受诸如端口扫描、登录尝试等网络攻击的组件,其中“网络”可以包括运营商的任何网络,其范围从包括其订户的设备的运营蜂窝网络到办公室网络以及没有订户的其它网络。因此,防火墙208和218也保护订户免受非请求数据的影响。如果设备没有自行发起这些至相应订户的设备(分别为第一和第二设备)的通信,则防火墙208和218有效地阻止至相应订户的设备(分别为第一和第二设备)的任何通信。换句话说,防火墙防止至设备的进入连接。因此,如果被这样的防火墙所保护或者如本领域所说的处于该防火墙“之后”的设备想要接收来自并非处于相同防火墙之后的另一个设备的连接,需要对这些防火墙进行重新配置。在某些情况下,这甚至可能适用于相同防火墙之后的两个设备。例如,路由协议仍然可以强制处于相同防火墙之后的两个设备之间的任何通信业务都必须通过该防火墙,这使得防火墙有可能不允许这样的通信业务。在这种情况下,需要重新配置保护防火墙以允许这两个设备相互直接连接。
在移动电信网络中,防火墙功能有时在网络的P-GW内执行。因此,根据本申请的实施例,被称为“防火墙”的内容应当被理解为可能还包括P-GW,或者是防火墙和P-GW的组合。
此外,在一些网络中,可以使用在公共IP地址和网络内部的IP地址—称为私有IP地址—之间进行转换的网络设备。这样的转换在本领域中称为网络地址转换或“NAT”,并且可以由防火墙来执行。在常见网络技术中,同时进行地址转换并且作为防火墙工作的设备被称为NAT防火墙。防火墙208和218中的一个或两个可以包括这样的NAT防火墙。
还在图2所示的,处于MNO A控制之下的核心网络206进一步包括第一路由实体210。类似地,处于MNO B控制之下的核心网络216进一步包括第二路由实体220。
第一和第二路由实体210和220中的每一个可以在DMCC上实施。这里所述的DMCC是实施ProSe功能并且包括ProSe应用服务器的设备。如本领域已知的,ProSe功能是用于使得能够在UE之间进行直接通信的控制功能。如3GPP的TS 23.303中所述,这样的ProSe功能可以向UE提供必要参数以便使用ProSe直接发现和ProSe直接通信,其中“直接”是指支持被发现或进行通信ProSe的UE之间的直接无线电链路。ProSe功能可以被配置以跟踪ProSe直接发现中使用的ProSe应用ID和ProSe应用代码的映射,其中“应用ID”是指识别支持ProSe的UE的应用相关信息的全局唯一标识符,而“代码”则是指与ProSe应用ID相关联并且被用于发现过程的代码。在本申请的上下文中,“应用”是指安装在移动操作系统上的应用,诸如LinkedIn、Facebook等。ProSe功能还可以被配置为向UE提供用于发现和通信的必要无线电或网络参数和安全材料,处理和维护用户应用标识符和订户的注册表,维护被授权使用ProSe发现服务的应用的注册表,等等。此外,ProSe功能可以包括用于检测两个UE的接近度和/或传输两个UE与其它运营商的ProSe功能的接近度的方法和功能。
ProSe应用服务器可以保存EPC ProSe用户ID和ProSe功能ID的注册表,并且被配置为映射应用层用户ID和EPC ProSe用户ID。EPC ProSe用户ID例如可以是UE可以在诸如无线局域网(WLAN)的无线电信道上广播或监听的标识符。ProSe功能ID指代运营商网络中的ProSe功能。
再进一步地,ProSe功能可以被配置为向UE通知何时特定直接模式设备处于另一个直接模式设备附近并且接收到这些设备中的任何设备对直接通信请求。根据这样的要求,ProSe功能可以与ProSe应用服务器和应用进行协作从而为UE提供附近好友的列表。如这里所使用的,术语“好友”是指任何好友列表,例如订户已经把任何好友列表提供给ProSe功能以便查询应用服务。
这里,应用服务器或服务(例如,应用)被称作“过顶服务”或“OTT服务”。
根据本发明的实施例,DMCC 210和220进一步被扩展以分别控制边缘防火墙208和218。通过在移动设备和相应DMCC之间添加信令信道,可以实现对防火墙中的孔洞(hole)的更好控制,这导致了与不受控制的防火墙开孔技术相比有所提升的安全性。
在第一和第二设备202、212连接到单个MNO的相同电信网络的情况下,DMCC 210和220可以被实施为单个DMCC。当然,在各种实施例中,DMCC 210和220的功能可以进行组合或在任何数量的逻辑设备上进行分布。
图3图示了根据本发明一个实施例的用于建立第一设备202和第二设备212之间的基于基础设施的D2D连接的方法300的消息传送图。
第一设备202可以包括用户界面,所述用户界面允许用户(即玛丽)指示第一设备202的用户想要使用第一和第二设备202、212之间的基于基础设施的D2D通信向另一个移动设备的用户—例如向约翰的第二设备212—发送例如图片的数据。第一和第二设备202、212知晓玛丽和约翰在OTT应用上进行连接,例如是Facebook上的“好友”。
响应于接收到指示玛丽想要以这种方式向约翰发送数据的用户输入,在图3所示的步骤302中,第一设备202可以向OTT服务提供商224请求第二设备212的第一标识符。如果OTT服务提供商224并不拥有第二设备212的第一标识符,则OTT服务提供商224将利用下文更详细描述的步骤303所示的过程向第二设备212请求这样的标识符。如果OTT服务提供商224知晓第二设备212的第一标识符(例如,由于第二设备212例如使用较早的过程303已经向OTT服务提供商224提供了它的第一标识符),则可以省略步骤303。
在步骤304,OTT服务提供商224利用第二设备212的第一标识符对第一设备202进行答复。这样的标识符可以是电话号码或者另一种标识符,只要第一路由实体210能够将该标识符解析给MNO B即可。例如,device2@mno-b.countrycode(设备2@mno-b.国家代码)可以是这样一个标识符的一个示例。可选地,第一标识符还可以包括更多的信息,诸如它所用于的应用—例如facebook.device2@mno-b.countrycode,或者具体的对等方—例如device-a.facebook.device2@mno-b.countrycode。以下提供了第一标识符的另外示例。
可选地,第一设备202可以被配置为在任何时间段内存储从OTT服务提供商224所获得的第一标识符,以便后续使用而无需再次执行步骤304。
第一设备202然后在消息306中将第二设备的第一标识符转发到DMCC 210。在该消息中,可选地,第一设备202还可以包括指示所使用应用的单独信息(例如,应用标识符)。此外,第一设备202还可以包括第一设备打算用于通信的IP地址和端口号。如果是这种情况,则DMCC 210可以检查所接收的IP地址是否是公共IP地址。如果不是,则例如通过查询防火墙208和/或第一电信网络的另一个防火墙(如步骤308所示),DMCC 210可以获得能够被用于第一设备202的通信会话的公共IP地址和端口号。在步骤310返回给DMCC 210的IP地址和端口号可以形成要被用于基于基础设施的D2D通信的第一设备202的至少一部分联系信息。
在可替换实施例中,第一设备202可以在独立于消息306的消息中和/或在早于或晚于消息306的任何时点提供第一设备打算使用的IP地址和端口号。
在另一个可替换实施例中,第一设备202可以让DMCC 210来处理与OTT服务224的通信。在这样的实施例中,消息302、304和306的顺序和端点可以按如下改变。除第一标识符之外,第一设备将首先向DMCC 210发送包含来自消息302和306的信息的单个消息。然后,DMCC 210将消息302发送到OTT服务,并且OTT服务将利用消息304向DMCC 210进行答复。以这种方式, DMCC 210能够有效地代表第一设备202处理与OTT服务的通信。
响应于从第一设备202接收到第二设备的第一标识符,DMCC 210可以检查它是否可以将第一标识符解析为第二标识符以识别具体MNO(即,第二设备212的MNO),从而使得能够联系到第二设备的MNO/DMCC。因此,第二标识符允许识别第二设备,并且第二标识符的至少一部分(例如,域名、移动网络代码或国家代码)可以被用来通过获知第二个设备属于哪个MNO而与第二设备的DMCC 220进行联系。用于联系具体DMCC 220的确切过程取决于在第二标识符的至少一部分中所使用的类型信息,并且是本领域技术人员已知的。为此,在各个实施例中,DMCC 210可以与OTT服务提供商224进行交互以将第一标识符解析为第二标识符,与诸如域名服务器(DNS)的公共数据库进行交互,或者与可至少由MNO A和B所访问的数据库(例如,基础设施DNS,或者MNO B的HLR)进行交互。
例如,在一个实施例中,DMCC 210能够解析第一标识符,因为第一标识符包含第二标识符的所有相关位。在这种情况下,DMCC 210可以使用DMCC 210已知的一些逻辑通过删除或添加部分或者通过查询MNO A和B在彼此之间共享的数据库—作为示例,诸如HLR查找查询—来构造第二标识符。
在另一个实施例中,在第一标识符不包含第二标识符的所有相关位的情况下,DMCC 210可以被配置为如图3中所示利用查询消息312向OTT服务提供商224查询第二标识符。在图3中示出利用消息314 OTT服务提供商做出响应,该响应具有第二标识符或者然后允许DMCC 210确定第二标识符的信息。下文在更为详细地讨论不同类型的标识符时,对该方法的不同优点进行讨论。
一旦DMCC 210已经将第一标识符成功解析为第二标识符,然后因为已经识别出MNO B,DMCC 210能够识别第二设备的DMCC 220,并且在步骤316,DMCC 210能够使用所解析的第二标识符向MNO B的DMCC 220发送消息316,该消息具有对第二设备212的连接请求。该连接请求可以包括第一和/或第二标识符,并且可选地,可以包括第一设备的联系信息和/或所使用应用的指示(例如,应用标识符)。
DMCC 220然后可以检查第二设备212的第二标识符的有效性,检查第二设备212是否处于影响的范围之内,并且如果是,检查它是否正在漫游。DMCC 220然后可以例如通过使用其自己的标识符数据库而将连接请求中所接收的第一和/或第二标识符解析为第三标识符。DMCC 220然后可以向第二设备212发送具有来自第一设备的连接请求的消息318。根据该配置,第二设备212可以包括用户界面,该用户界面用于向用户显示所接收到的连接请求,在所使用的具体OTT应用的指示作为第一标识符的一部分被提供或者作为单独信息要素被添加在消息318或另一个消息中的情况下,所述显示可以在具体OTT应用内进行,该用户界面还用于接收有关是否接受该请求的用户输入。第二设备320然后可以利用向DMCC220指示该连接请求已经被接受或拒绝的消息320向DMCC 220进行答复。在该消息或者单独消息中,第二设备212还可以包括第二设备打算用于与第一设备202的基于基础设施的D2D通信的IP地址和端口号。
假设第二设备已经接受了该连接请求,则在接收到指示接受的消息320时,DMCC220可以检查所接收的第二设备212的联系信息是否是公共IP地址。如果不是,则DMCC 220可以例如通过查询防火墙218而获得用于该通信的公共IP地址和端口号。为此,如图3所示,DMCC 220可以在消息322中将接收到的第二设备的IP地址和端口号发送给防火墙218。防火墙218可以创建NAT规则,为NAT选择端口号,并且在消息324中将它的外部IP地址和所选择的端口号向回提供给DMCC 220。在建立TCP / IP会话时,外部IP地址和所选择的端口号然后形成第一设备应当使用的第二设备的“联系信息”。
在步骤326,DMCC 220向DMCC 210通知该连接被协定同意。在该步骤或单独的消息中,DMCC 220可以包括第二设备的联系信息。
虽然在当前网络中,联系信息通常是设备能够用来互相联系的IP地址和端口号,但是本发明的实施例同样能够应用于允许设备互相联系的任何其它类型的联系信息。例如,在IPv6网络中,可以提供IP地址的范围或列表IP地址。
DMCC 210将包括第二设备的联系信息的连接接受消息转发到第一设备,如所示利用消息328进行,并且如果它还没有在例如上述消息316或单独消息中这样做,则它通知DMCC 220第一设备将要使用哪个联系信息来联系第二设备,如所示利用消息330进行。DMCC210还在消息332中通知防火墙208将很快在第一和第二设备之间建立连接从而使得该防火墙能够相应地进行配置。
在步骤334,DMCC 220根据所指定的联系信息通知防火墙218以期待从第一设备202到第二设备212的进入的通信业务,从而使得防火墙218能够被相应地进行配置。
一旦防火墙208和218已经依据第一和第二设备的联系信息进行了适当配置,则在步骤336中,可以进行从第一设备到第二设备的TCP/IP会话连接建立,并且第一设备然后可以通过所建立的TCP连接向第二设备发送数据,反之亦然。 可替换地,步骤336可以包括第一设备和第二设备使用诸如像UDP的无状态协议来交换数据,上述无状态协议不需要在交换数据之前建立连接。
如图4和图5所图示的,第一或第二设备例如响应于接收到这样做的用户输入可以终止连接。
图4图示了根据本发明一个实施例的在第一设备202发起的终止第一设备202和第二设备212之间的基于基础设施的D2D连接的方法400的消息传送图。如图4中所示利用消息402,第一设备202可以指示DMCC 210终止该连接。如所示利用消息404,DMCC 210然后可以通知防火墙208该连接可以被终止。如所示利用消息406,DMCC 210还可以通知DMCC 220该连接将很快被终止。决定如何处理此信息然后可以取决于DMCC 220的特定配置。在一个实施例中,DMCC 220还可以使用消息408向其防火墙218通知该连接的终止,和/或使用消息410通知第二设备212(第二设备212然后可以通知防火墙218),这会是一种良好的安全实践。
图5图示了根据本发明一个实施例的在第二设备212发起的终止的第一设备202和第二设备212之间的基于基础设施的D2D连接的方法500的消息传送图。如图5中所示利用消息502,第二设备212可以指示DMCC 220终止该连接。DMCC 220可以向防火墙218发送消息504以相应地重新配置,并且向DMCC 210发送消息506以通知该连接关闭。DMCC 210然后可以向防火墙208发送消息508和/或向第一设备202发送消息510(第一设备202然后可以通知防火墙208),上述消息510指示该连接将被终止。
在优选实施例中,根据图4或5的终止会在会话336或相对应的应用级会话正确终止之后发生。根据图4或5的步骤序列然后会再次关闭相应的防火墙,并且防止了往来于设备的未经请求的数据或分组的额外成本。
虽然图4和图5图示了所涉及移动设备之一所进行的会话终止,但是在又另一个实施例中,第一和/或第二电信网络也可以例如由于超时、预付费用户余额用尽、订户超过所允许直接连接的最大数量等而发起会话终止。其它原因可能是应用中的安全违背或入侵检测系统(IDS)或者防火墙208和/或218所触发的事件的消息。在一个实施例中,当第一或第二电信网络发起终止时,它可以分别发送类似于消息402或502的连接终止消息,并分别从步骤404或504开始连接终止过程。
本发明的实施例预见到由其它实体识别第一和第二设备以及解析标识符的各种方法。以下对一些示例性方法进行描述,本领域技术人员可以基于此而想出另外的方法,所有这些方法都处于本发明的范围之内。
第一标识符
如本文之前所描述的,第一标识符存在于应用级别,其中它是在第一设备和OTT应用之间使用的标识符。因此,在一个实施例中,第一标识符可以包含OTT应用的标识。可替换地,独立的应用标识符可以连同第一标识符一起被发送。此外,根据实施方式,第一标识符可以包括以下所描述的其它标识。
在一个实施例中,第一标识符可以进一步包括第二设备212的MNO的标识。例如,标识符可以看起来像“application.device2@mno-b.nl(应用.设备2@mno-b.nl)”或“application.device2.mno-b.nl(应用.设备2.mno-b.nl)”,或者这些示例的任何加密的和/或混淆化的表示。
这样的第一标识符可以被划分为三个部分:应用部分、第二设备部分,以及第二设备的MNO部分。
也可以作为独立标识符被发送的应用部分将使用以下来识别应用:诸如像“Facebook”的它的常见名称,诸如“facebook.com”的域名,或者诸如像“5”或“App=5”的、指代所协定的应用列表上的条目的数字值,并且可选地,也可以包括诸如“FacebookV2”或“v2.facebook.com”的版本编号。在这个实施方式中,标识符中的应用用作向第二设备提供有关哪个应用正在寻求建立基于基础设施的D2D连接的指示的用途。
第二设备部分在第一标识符中是可选的。当存在时,该部分将包括第二设备的标识,作为示例,诸如电话号码的数字表示,例如6 1234 5678或者第二设备的IMSI。另一种可能是第二设备部会包括定制标识符,仅DMCC 220能够把所述定制标识符解析为联系第二设备212它所需的标识符,例如电话号码的加密表示(可能包括加盐(salt))或者出于该目的而特别精心生成的唯一数字。DMCC 220能够通过对第一标识符的该部分使用查找表或者使用一些逻辑和/或解密来进行解析。
第二设备的MNO部分意在识别所要联系的MNO(即,第二设备的MNO),从而使得DMCC210将能够把连接请求转发至适当的其它DMCC。在一个实施例中,第二设备的MNO的标识符例如可以使用公钥加密法进行加密。在这样的情况下,在第二设备212或DMCC 220知晓正是将从DMCC 210接收连接请求的情况下,第二设备212或DMCC 220可以使用DMCC 210的公钥对该标识符进行加密。可替换地,在加密之前并不知道接收的DMCC时,它可以使用DMCC 220的私钥。预期后一种实施方式更为常见。在两种实施方式中,标识符和/或伴随的消息将指示已经使用了什么密钥。该实施例的一种优势在于:能够使用MNO级别的标识符来识别第二设备,MNO级别的标识符诸如TMSI或移动站点国际用户目录编号(MSISDN),它们并不透露给OTT 224或第一设备202。
在另一个实施例中,第一标识符可以进一步包括第二设备的普通标识符。在这样的情况下,两个MNO已知的电话号码或任何其它标识符可以被用作标识符。此外,应用能够作为独立实体或者作为标识符的一部分—例如采用以“电话号码/应用”或者“应用@电话号码”的形式—被提供在相同的连接请求消息中。
在又另一个实施例中,第一标识符可以进一步包括XML消息,该XML消息例如包含第二标识符、应用、有效日期、所要联系的MNO或DMCC、DMCC 220对信息的签名、认证票据(在本领域也被称作“Kerberos票据”),和/或DMCC 210和/或DMCC 220可以使用来验证该标识符有效并且帮助DMCC 210解析正确的DMCC和正确的第二设备的其它相关部分。以下提供了这样的XML消息的一个示例:
<xml>
<identifier(标识符)>
<devicename(设备名)>device2(设备2))</devicename(设备名)>
<validuntil(有效直到)>15-12-2015</validuntil(有效直到)>
<application(应用)>Facebook</application(应用)>
<MNO>KPN</MNO>
<signature(签名)>18fkaag8250gan31589ajdagna78wt9</signature(签名)>
</identifier(标识符)>
</xml>。
在又另一个实施例中,第一标识符可以进一步包括OTT服务提供商224所生成的随机代码,OTT提供商能够将该随机代码关联回以上所描述但是现在存储在OTT处的标识符的实施例。例如,OTT服务提供商224能够提供“some-code-here@application.domain(一些代码在这里@应用.域)”形式的标识符。当DMCC 210将接收这样的第一标识符时,它将被配置为联系OTT服务提供商224以获得第二标识符,该第二标识符允许DMCC 210通过存储在OTT服务提供商224处的以上所描述的标识符的加密表示连同指示DMCC 210向OTT 224查询未加密版本的消息一起或者通过OTT服务提供商224对于第二设备212所具有的IP地址(因为第二设备在该IP地址上连接至OTT服务提供商224的一个或多个服务器)来识别第二设备212的MNO和/或DMCC。
第二标识符
如本文之前所描述的,第二标识符是允许DMCC 210联系DMCC 220的标识符。在各个实施例中,如果第二标识符并不包含DMCC 220的明确标识,则它至少包含MNO B的标识,从而DMCC 210会知晓为了联系到DMCC 220要联系哪个MNO。因此,在各个实施例中,第二标识符可以提供例如以下的指示:
- 统一资源标识符(URI),作为示例,诸如DMCC.mno-b.nl,它可以使用现有的DNS查找进行解析,
- IP地址和端口号,作为能够无需查找而直接连接的可路由地址(对于并非基于IP的网络而言,针对多种路由协议存在类似地址),
- 仅MNO B的移动网络代码。在这种情况下,DMCC 210将被配置为使用例如根据标准的某一逻辑来找出如何联系到MNO B中的DMCC(假定根据所设定的标准能够联系到MNO B中的DMCC),
- IMSI或MSISDN,它能够使用HLR查找而被解析为IMSI。
第三标识符
在各个实施例中,第三标识符可以包括第二设备的MSISDN、第二设备的内部或公共IP地址、第二设备的IMSI、第二设备的TMSI,或者第二电信网络能够用来发起寻呼功能或者直接与第二设备212对话的任何其它标识符。
以下的表1提供了第一、第二和第三标识符以及DMCC 210和DMCC 220为了解析标识符所要采取的动作的示例列表:
返回到图3所图示的步骤,在一个实施例中,步骤303可以包括以下内容。OTT服务提供商224或第二设备212可以发起该过程。例如,设备212可以根据DMCC 220和第二设备212已经协定的某一逻辑来生成本文所描述的一个或多个第一标识符。可替换地或附加地,设备212可以请求DMCC 220协助生成一个或多个第一标识符。以这种方式,DMCC 220可以确保标识符为正确格式并且是根据所设定的标准的。这样的标识符的示例可以是由DMCC 220生成的随机数,或者诸如用于号码携带性的临时电话号码等的临时电话号码。可选地,可以利用MNO B的私钥或者MNO A的公钥对一个或多个第一标识符进行加密(假定已知这样的加密标识符将被提供给MNO A的DMCC)。可选地,可以生成多个第一标识符,每一个用于具体的MNO。第二设备212然后可以向OTT服务提供商224提供所生成的一个或多个第一标识符。
在一个实施例中,步骤303的过程可以隐含地例如通过第二设备212联系OTT服务提供商224完成。在这样的实施例中,OTT服务提供商224将获得第二设备的IP地址,并且能够根据请求将此作为第二设备的第一标识符转发到第一设备。
接下来,对消息332、334、404、408、504和508的实施方式的实施例进行描述。
消息332和334分别指示防火墙208和218基于来自DMCC 210和220的指令而打开。消息404、408、504和508还指示相应的防火墙也基于来自相应DMCC的指令而再次关闭。出于说明的目的且为了简单起见,下文描述了依据IPv4进行操作的防火墙,但是在对本领域技术人员显然的小幅修改之下,该描述也能够应用于根据IPv6进行操作操作的防火墙。此外,以下描述假设防火墙仅针对基于IP的通信进行工作,并且从标识符到IP地址的转换以前例如已经由DMCC所完成。
在扁平网络架构中,每个防火墙208和218可以是相应电信网络边缘上的单个防火墙。在那种情况下,消息332和334的实施方式可以按照如下(采用高级防火墙语言):
-允许进入的通信业务从IP.Address.Device2:Prt(IP.地址.设备2:Prt) 到IP.Address.Device1:Prt(IP.地址.设备1:Prt)
-允许出去的通信业务从IP.Address.Device1:Prt到IP.Address.Device 2:Prt。
该IP地址然后会被添加至相应防火墙的防火墙规则。在防火墙是NAT防火墙的实施例中,该规则将相应地有所改变以反映通信业务现在是被转发而不是让经过,在这种情况下,需要关心的是再次关闭该连接。在一个实施例中,防火墙可以保持该规则直到它被明确去掉,从而使得相对应的DMCC例如在某个持久存储中也应当对这些规则进行跟踪,并且在连接被终止时再次明确地去除所述规则。在另一个实施例中,相对应的DMCC可以被配置为指示每个规则的到期日期。
例如根据防火墙供应商,如何实现防火墙和相对应DMCC之间的通信可能存在变化。在一个实施例中,DMCC可以被提供有登录凭证以及充分的权限以允许该DMCC为某些IP地址和接口添加或去除规则。在另一个实施例中,供应商用于其防火墙配置的一些专用协议可以在相对应的DMCC中实施,例如能够使用复制API将新规则推送到规则被复制到的防火墙。
在一个实施例中,条目可以被插入到防火墙的NAT表中(在NAT防火墙的情况下)或者被插入到对开放连接保持跟踪的表中(在有状态—即并非无状态—的防火墙的情况下)。这样的实施例之所以可以是有利的是因为相对应的DMCC不必保持所有连接的管理并且因为导致在任一表格中的条目被去除的防火墙技术仍然有效。然后,相对应的DMCC可以被配置为向防火墙查询表中的条目并且找出哪个条目是相关的。
在以上讨论中,假设相应电信网络由保护特定设备的单个防火墙进行管理。然而,实际上,电信网络内的设备可以被多个防火墙所保护,并且可以被分段成单独的功能。电信网络的不同网络区段的示例包括使得一个网络区段用于计费过程中所涉及的所有机器,另一个区段则用于被用来进行配置管理的机器,另一个区段用于测试目的,再另一个区段则用于一般办公室使用,等等。在图6中提供了这样的电信网络600的一部分的示例。在图6中,电信网络600的办公区段被示为区段602。示为区段604的另一个区段可以是包含管理员针对其日常活动所使用的机器的区段。区段606可以是包括形成核心网络的网络元件的区段,作为示例,上述核心网络诸如图1的核心网络104。区段608可以是包括信令和计费相关活动中所涉及机器的区段。然后,区段610可以是包括提供连接性的网络元件的区段,上述连接性诸如无线电接入网络,作为示例,诸如RAN 102。图6所示的元件612、614和616图示了用于不同接入技术的用户设备。在这样的网络中存在多个防火墙。如图6所图示,防火墙620可以被配置为在访问图2的外部网络222时保护办公室网络区段602,防火墙622可以被配置为保护管理网络区段604和核心网络区段606,防火墙624可被配置为与防火墙622并行运行但是仅被配置为保护核心网络区段606,并且如果不同的MNO(如图6所示的MNO 642、644和646)连接在专用网络上,则防火墙626可以被配置为针对不同MNO之间的通信业务而保护核心网络区段606。另外,还如图6所示,防火墙628可以被配置为确保区段606的核心网络元件可以由从区段604工作的管理员进行控制,防火墙630可以被配置为针对计费区段608执行相同操作,而防火墙632则可以被配置为针对办公区段602执行相同操作。元件636-640是防止具体无线电接入网络内的设备直接相互通信的防火墙。元件634和648分别是管控无线电接入网络和核心网络之间以及无线电接入网络和计费区段之间的通信业务的防火墙。
在这样的网络中,本文所描述的一般原则仍然适用。例如能够在网路区段608中实施的这样的电信网络的(多个)DMCC—被示为元件650—然后可以配置多个防火墙,优选地基本上同时进行配置。因此,如果设备612可用于来自MNO 642的设备的直接通信,则DMCC650将不得不向防火墙634、636和626通知进入的通信业务以及所需配置。这可以通过单独通知每个防火墙或按照策略变化而一次通知所有防火墙来实现。后者是防火墙配置的常用技术。
对于执行方法300、400和500的步骤中所涉及的每个实体,例如第一路由实体210、第二路由实体220、第一设备202或第二设备212,由这样的实体所执行的相应步骤可以由任何类型的数据处理系统来执行,所述任何类型的数据处理系统包括被配置为执行方法300的各个步骤的至少一个处理器或微处理器。图7中图示了这样的数据处理系统的示例。此外,虽然结合图2并且特别地参考作为第一和第二路由实体的示例的DMCC描述了方法步骤300、400和500,但是本领域技术人员将认识到,被配置为以任何顺序来执行该方法步骤的任何系统都处于本发明的范围之内。
图7示出了图示根据本公开实施例的可以在辅助建立第一和第二设备之间的基于基础设施的D2D连接时所使用的示例性数据处理系统700的框图。
如图7所示,数据处理系统700可以包括通过系统总线710耦合到存储器元件704的至少一个处理器702。因此,所述数据处理系统可以将程序代码存储在存储器元件704内。此外,处理器702可以执行经由系统总线710从存储器元件704访问的程序代码。在一个方面,数据处理系统700可以被实现为适合于存储和/或执行程序代码的计算机。然而,应当理解,系统700可以采用能够执行本说明书中描述的功能的、包括处理器和存储器的任何系统的形式来实现。
存储器元件704可以包括一个或多个物理存储器设备,作为示例,诸如本地存储器706以及一个或多个大容量存储设备708。本地存储器可以是指通常在程序代码的实际执行过程期间中所使用的随机存取存储器或其它非持久存储器件(多个)。大容量存储设备可以被实现为硬盘驱动器或其它持久数据存储设备。处理系统700还可以包括一个或多个高速缓存存储器(未示出),所述一个或多个高速缓存存储器提供至少一些程序代码的临时存储,以便在执行期间减少必须从大容量存储设备708获取程序代码的次数。
被描绘为输入设备712和输出设备714的输入/输出(I/O)设备可选地可以耦合到数据处理系统。输入设备的示例可以包括但不限于例如键盘、诸如鼠标的定向设备等。输出设备的示例可以包括但不限于例如监视器或显示器、扬声器等。系统700还可以包括例如采用触敏显示器(也称为“触摸屏”)的形式的组合的输入/输出设备,所述触敏显示器能够采用用户可能地利用触控笔或用户手指而与显示器进行交互的形式显示信息并且接收用户输入。如果数据处理系统700被配置为用作UE 106或者它的一部分,则这样的实施例可以变得特别有用。
输入设备和/或输出设备(多个)可以直接或通过居间的I/O控制器耦合至数据处理系统。
网络适配器716也可以耦合到数据处理系统,以使它能够通过居间的私有或公共网络而耦合到其它系统、计算机系统、远程网络设备和/或远程存储设备。网络适配器可以特别地包括用于接收由所述系统、设备和/或网络传送到所述数据的数据的数据接收器718,以及用于向所述系统、设备和/或网络传送数据的数据传送器720。调制解调器、电缆调制解调器和以太网卡是可以供数据处理系统700使用的不同类型的网络适配器的示例。
存储器元件704可以存储应用(未示出)。应当意识到的是,数据处理系统700可以进一步执行能够促进应用执行的操作系统(未示出)。采用可执行程序代码的形式所实现的应用可以由数据处理系统700来例如通过处理器702来执行。响应于执行该应用,数据处理系统700可以被配置为例如作为DMCC 210、DMCC 220、第一设备202或第二设备212而执行本文所描述的一个或多个方法步骤。
本领域技术人员将会认识到,虽然元件702-720在图7中被示为分开的元件,但是在其它实施例中,它们的功能可以在更少数量的个体元件中实现或者在更多数量的组件上进行分布。
本发明的各个实施例可以被实施为供计算机系统或处理器使用的程序产品,其中该程序产品的(多个)程序定义了实施例(包括本文所描述的方法)的功能。在一个实施例中,程序(多个)可以被包含在各种非瞬态计算机可读存储介质(通常称为“存储”)上,其中如本文所使用的,“非瞬态计算机可读存储介质”的表述包括所有计算机可读介质,唯一的例外是瞬时的传播信号。在另一个实施例中,(多个)程序可以包含在各种瞬态计算机可读存储介质上。说明性的计算机可读存储介质包括但不限于:(i)信息在其上永久存储的不可写存储介质(例如,计算机内的只读存储器设备,诸如可由CD-ROM驱动器读取的CD-ROM盘,ROM芯片,或者任何类型的固态非易失性半导体存储器);以及(ii)在其上存储可变信息的可写存储介质(例如,闪速存储器,磁盘驱动器内的软盘或硬盘驱动器,或者任何类型的固态随机存取半导体存储器)。计算机程序可以在本文所描述的处理器1202上运行。
所要理解的是,关于任何一个实施例所描述的任何特征都可以单独使用或者与所描述的其它特征相结合地使用,并且还可以与任何其它实施例的一个或多个特征或者任何其它实施例的任何组合相结合地使用。此外,本发明并不局限于以上所描述的实施例,它可以在所附权利要求的范围内有所变化。
本文所使用的术语仅是出于描述特定实施例的目的而并非意在对本发明进行限制。如本文所使用的,除非上下文明确另外指出,否则单数形式“一个”,“一”,“该”,“所述”意在也包括复数形式。将要进一步理解的是,当在该说明书中使用时,术语“包括”和/或“包括了”指定存在所提到的特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或增加一个或多个其它特征、整数、步骤、操作、元件、组件和/或其群组。
相对应的结构、材料、动作和所有构件或步骤的等同形式加上以下权利要求中的功能要素意在包括与特别请求保护的其它请求保护要素相结合地执行该功能的任何结构、材料或动作。本发明的描述已经出于说明和描述的目的被给出,但是其并非意在对所公开形式的本发明是穷尽的或者被局限于所公开形式的本发明。许多修改和变化对于本领域技术人员将是显然的而并不背离本发明的范围和精神。实施例被选择并描述以便对本发明的原则和实践应用进行最佳解释并且使得本领域技术人员能够针对具有适用于所考虑到的特定使用的各种修改的各个实施例理解本发明。
Claims (17)
1.一种用于由第一移动网络运营商(MNO A)所控制的第一路由实体(210)的方法,该方法能够在连接至第一移动网络运营商的电信网络的第一设备(202)和连接至第二移动网络运营商(MNO B)的电信网络的第二设备(212)之间建立连接,该方法包括:
从第一设备接收(306)包括第二设备的第一标识符的连接请求;
将第二设备的第一标识符解析为第二设备的第二标识符,该第二标识符识别第二移动网络运营商(MNO B)所控制的第二路由实体(220);
向第二路由实体提供(316)对第一设备和第二设备之间的连接的连接请求,该连接请求包括第二设备的第一标识符和/或第二标识符;
向第二路由实体提供(316/330)第一设备的联系信息;
从第二路由实体接收(326)第二设备的联系信息;以及
依据第一设备的联系信息和第二设备的联系信息配置(332)第一防火墙(208)以便通过第一设备和第二设备之间的连接进行数据交换,其中该第一防火墙(208)是第一设备与之连接的电信网络的、被配置为保护第一设备的防火墙。
2.根据权利要求1所述的方法,进一步包括:
从第一设备接收(402)终止该连接的命令;
指示(404)第一防火墙(208)终止该连接;以及
可选地,向第二路由实体(220)提供该连接将被终止的指示(406)。
3.根据权利要求1所述的方法,进一步包括步骤:
从第二路由实体(220)接收(506)第二设备发出了终止该连接的命令的指示;以及
指示(508)第一防火墙(208)终止该连接和/或向第一设备(202)提供该连接要被终止的指示(510)。
4.一种用于由第二移动网络运营商(MNO B)所控制的第二路由实体(220)的方法,该方法能够在连接至第一移动网络运营商(MNO A)的电信网络的第一设备(202)与连接至第二移动网络运营商的电信网络的第二设备(212)之间建立连接,该方法包括:
从第一移动网络运营商(MNO A)所控制的第一路由实体(210)接收(316)对第一设备和第二设备之间的连接的请求,该连接请求包括第二设备的第一标识符和/或第二标识符;
对第二设备的第一标识符和/或第二标识符进行解析以确定第二设备的第三标识符;
向第三标识符所识别的第二设备(212)提供(318)连接请求或者其衍生形式;
从第一路由实体接收(316/330)第一设备的联系信息;
可选地,从第二设备(212)接收(320)第二设备接受该连接请求的指示;
向第一路由实体(210)提供(326)第二设备的联系信息;以及
依据第一设备的联系信息和第二设备的联系信息对第二防火墙(218)进行配置(334)以便通过第一设备和第二设备之间的连接进行数据交换,其中该第二防火墙(218)是第二设备与之连接的电信网络的、被配置为保护第二设备的防火墙。
5.根据权利要求4所述的方法,进一步包括步骤:
从第一路由实体(210)接收(406)第一设备(202)发出了终止第一设备和第二设备之间的连接的命令的指示;并且
指示(408)第二防火墙(218)终止该连接和/或向第二设备(212)提供该连接要被终止的指示(410)。
6.根据权利要求4所述的方法,进一步包括步骤:
从第二设备接收(502)终止该连接的命令;
指示(504)第二防火墙(218)终止该连接;以及
可选地,向第一路由实体(210)提供该连接将被终止的指示(506)。
7.根据之前任一项权利要求的方法,其中该第一设备的联系信息包括要被用于通过该连接传送数据的第一设备的IP地址以及可选地一个或多个端口,并且第二设备的联系信息包括要被用于通过该连接传送数据的第二设备的IP地址以及可选地一个或多个端口。
8.一种用于连接至第一移动网络运营商(MNO A)的电信网络的第一设备(202)的方法,该方法能够在第一设备(202)与连接至第二移动网络运营商(MNO B)的电信网络的第二设备(212)之间建立连接,该方法包括:
从连接至第一移动网络运营商的电信网络外部以及第二移动网络运营商的电信网络外部的网络(222)的过顶(OTT)服务提供商获取(302, 304)第二设备的第一标识符;
向第一移动网络运营商所控制的第一路由实体(210)提供(306)包括第二设备的第一标识符的连接请求;以及
可选地,从第一路由实体(210)接收(328)第二设备的联系信息。
9.根据权利要求8所述的方法,进一步包括:
向第一路由实体(210)提供(402)终止该连接的命令;或者
从第一路由实体(210)接收(510)该连接要被终止的指示。
10.一种用于连接至第二移动网络运营商(MNO B)的电信网络的第二设备(212)的方法,该方法能够在连接至第一移动网络运营商(MNO A)的电信网络的第一设备(202)和第二设备(212)之间建立连接,该方法包括:
向连接至第一移动网络运营商的电信网络外部以及第二移动网络运营商的电信网络外部的网络(222)的过顶(OTT)服务提供商(224)提供(300)第二设备的第一标识符;
从第二移动网络运营商所控制的第二路由实体(220)接收(318)对第一设备和第二设备之间的连接的连接请求;
可选地,向第二路由实体(220)提供(320)第二设备接受该连接请求的指示;以及
可选地,从第二路由实体(220)接收第一设备的联系信息。
11.根据权利要求10所述的方法,进一步包括:
向第二路由实体(220)提供(502)终止该连接的命令;或者
从第二路由实体(220)接收(410)该连接要被终止的指示。
12.一种优选地存储在计算机可读的非瞬态存储介质上的计算机程序产品,包括软件代码部分,所述软件代码部分被配置成在计算机中执行时实施根据权利要求1-11中任一项所述的方法步骤。
13.一种节点(210),包括:
体现有计算机可读程序代码的计算机可读存储介质(704);和
耦合至该计算机可读存储介质的处理器(702),优选地为微处理器,其中响应于执行该计算机可读程序代码,该处理器被配置为执行实施根据权利要求1-3和7中任一项所述的方法步骤的可执行操作,
优选地该节点包括或者是第一移动网络运营商的电信网络的核心网络内的直接模式控制中心(DMCC)。
14.一种节点(220),包括:
体现有计算机可读程序代码的计算机可读存储介质(704);和
耦合至该计算机可读存储介质的处理器(702),优选地为微处理器,其中响应于执行该计算机可读程序代码,该处理器被配置为执行实施根据权利要求4-6和7中任一项所述的方法步骤的可执行操作,
优选地该节点包括或者是第二移动网络运营商的电信网络的核心网络内的直接模式控制中心(DMCC)。
15.一种第一设备(202),包括:
体现有计算机可读程序代码的计算机可读存储介质(704);和
耦合至该计算机可读存储介质的处理器(702),优选地为微处理器,其中响应于执行该计算机可读程序代码,该处理器被配置为执行实施根据权利要求8或9所述的方法步骤的可执行操作。
16.一种第二设备(212),包括:
体现有计算机可读程序代码的计算机可读存储介质(704);和
耦合至该计算机可读存储介质的处理器(702),优选地为微处理器,其中响应于执行该计算机可读程序代码,该处理器被配置为执行实施根据权利要求10或11所述的方法步骤的可执行操作。
17.一种系统,包括以下的两个或更多个:
- 根据权利要求13所述的节点(210),
- 根据权利要求14所述的节点(220),
- 用于用作根据权利要求1-11中任一项的方法步骤中的第一设备的用户装备(UE),
- 用于用作根据权利要求1-11中任一项的方法步骤中的第二设备的用户装备(UE),
- 用于用作根据权利要求1-3中任一项的方法步骤中的第一防火墙的设备,以及
- 用于用作根据权利要求4-7中任一项的方法步骤中的第二防火墙的设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110244665.7A CN112887941B (zh) | 2014-11-27 | 2015-11-27 | 使用ott服务的基于基础设施的d2d连接建立 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP14195052 | 2014-11-27 | ||
| EP14195052.7 | 2014-11-27 | ||
| PCT/EP2015/077932 WO2016083580A1 (en) | 2014-11-27 | 2015-11-27 | Infrastructure-based d2d connection setup using ott services |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110244665.7A Division CN112887941B (zh) | 2014-11-27 | 2015-11-27 | 使用ott服务的基于基础设施的d2d连接建立 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107006052A true CN107006052A (zh) | 2017-08-01 |
| CN107006052B CN107006052B (zh) | 2021-03-30 |
Family
ID=51999282
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110244665.7A Active CN112887941B (zh) | 2014-11-27 | 2015-11-27 | 使用ott服务的基于基础设施的d2d连接建立 |
| CN201580065013.XA Active CN107006052B (zh) | 2014-11-27 | 2015-11-27 | 用于连接建立的方法、存储介质、节点、设备和系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110244665.7A Active CN112887941B (zh) | 2014-11-27 | 2015-11-27 | 使用ott服务的基于基础设施的d2d连接建立 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US10251210B2 (zh) |
| EP (2) | EP3225071B1 (zh) |
| JP (2) | JP6510646B2 (zh) |
| CN (2) | CN112887941B (zh) |
| WO (1) | WO2016083580A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6510646B2 (ja) * | 2014-11-27 | 2019-05-08 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | Ottサービスを使用するインフラストラクチャ・ベースのd2d接続設定 |
| WO2017068062A1 (en) | 2015-10-22 | 2017-04-27 | Koninklijke Kpn N.V. | Method for enabling establishment of a direct connection |
| CN108702683B (zh) | 2015-12-28 | 2022-02-15 | 皇家Kpn公司 | 用于控制用户装备对本地设备的访问的方法和系统 |
| US10708967B2 (en) | 2015-12-28 | 2020-07-07 | Koninkilijke KPN N.V. | Establishment of a connection between two local devices connected to different networks |
| US10594731B2 (en) * | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
| US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
| US10375563B1 (en) * | 2018-04-05 | 2019-08-06 | T-Mobile Usa, Inc. | Systems and methods for web-based communications consolidation |
| US10846419B2 (en) * | 2018-04-17 | 2020-11-24 | Salesforce.Com, Inc. | Service for users to voluntarily self-identify in over the top (OTT) messaging |
| US11165878B2 (en) * | 2019-07-03 | 2021-11-02 | Buckeye Cablevision, Inc. | System for automated content delivery to high-speed data service client using redirection of internet protocol service flows independent of physical media delivery mechanisms |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1424828A2 (en) * | 2002-11-28 | 2004-06-02 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| US20110258327A1 (en) * | 2010-04-20 | 2011-10-20 | Nokia Corporation | D2D Communications Considering Different Network Operators |
| CN103140833A (zh) * | 2010-10-13 | 2013-06-05 | 中兴通讯(美国)公司 | 用于多媒体多方对等操作(m2p2)的系统和方法 |
| CN103534960A (zh) * | 2011-05-11 | 2014-01-22 | Lg电子株式会社 | 用于无线通信系统中的mtc的方法和设备 |
| US20140092868A1 (en) * | 2012-10-02 | 2014-04-03 | Renesas Mobile Corporation | Direct Communication Among Devices |
| CN103782571A (zh) * | 2011-07-07 | 2014-05-07 | 思科技术公司 | 用于提供基于消息和事件的视频服务控制平面的系统和方法 |
| US20140160990A1 (en) * | 2012-09-20 | 2014-06-12 | Telecommunication Systems, Inc. | Mechanisms for Quality of Service to Over the Top Applications for Use in Commercial Wireless Networks |
| CN103888928A (zh) * | 2014-03-04 | 2014-06-25 | 华为技术有限公司 | 一种业务策略控制方法及系统 |
| CN104067591A (zh) * | 2012-01-17 | 2014-09-24 | 伊帕莱夫股份公司 | 用于全球实时远程通信的设备、软件模块、系统或商业方法 |
| US20140313902A1 (en) * | 2013-04-19 | 2014-10-23 | John D. Bruner | Optimization of over-the-top (ott) services on carrier networks |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7222359B2 (en) * | 2001-07-27 | 2007-05-22 | Check Point Software Technologies, Inc. | System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices |
| ES2236370T3 (es) * | 2002-01-23 | 2005-07-16 | Sony International (Europe) Gmbh | Metodo para permitir la negociacion de la calidad de servicio extremo a extremo por utilizacion del protocolo de negociacion extremo a extremo (e2enp). |
| US7694127B2 (en) * | 2003-12-11 | 2010-04-06 | Tandberg Telecom As | Communication systems for traversing firewalls and network address translation (NAT) installations |
| US7457849B2 (en) * | 2004-06-08 | 2008-11-25 | Printronix, Inc. | Controlled firewall penetration for management of discrete devices |
| JP4619059B2 (ja) * | 2004-08-12 | 2011-01-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム |
| US8886756B2 (en) * | 2011-05-13 | 2014-11-11 | Qualcomm Incorporated | Exchanging data between a user equipment and an application server |
| WO2012178055A1 (en) * | 2011-06-23 | 2012-12-27 | Interdigital Patent Holdings, Inc. | Mobile network virtualization |
| US9038135B2 (en) * | 2012-07-12 | 2015-05-19 | Verizon Patent And Licensing Inc. | Quality of service application |
| KR101879916B1 (ko) * | 2013-01-25 | 2018-07-18 | 코닌클리즈케 케이피엔 엔.브이. | 3gpp lte에서 모바일 통신 디바이스 간의 근접성 발견, 인증 및 링크 설정 |
| KR101868713B1 (ko) | 2013-10-24 | 2018-06-18 | 코닌클리즈케 케이피엔 엔.브이. | 사용자 디바이스들 간의 제어된 크레덴셜 제공 |
| JP6510646B2 (ja) * | 2014-11-27 | 2019-05-08 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | Ottサービスを使用するインフラストラクチャ・ベースのd2d接続設定 |
-
2015
- 2015-11-27 JP JP2017528486A patent/JP6510646B2/ja active Active
- 2015-11-27 CN CN202110244665.7A patent/CN112887941B/zh active Active
- 2015-11-27 CN CN201580065013.XA patent/CN107006052B/zh active Active
- 2015-11-27 US US15/528,655 patent/US10251210B2/en active Active
- 2015-11-27 EP EP15801817.6A patent/EP3225071B1/en active Active
- 2015-11-27 WO PCT/EP2015/077932 patent/WO2016083580A1/en active Application Filing
- 2015-11-27 EP EP21178679.3A patent/EP3913940A1/en active Pending
-
2018
- 2018-11-15 JP JP2018214643A patent/JP6909772B2/ja active Active
-
2019
- 2019-02-13 US US16/274,779 patent/US10616946B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1424828A2 (en) * | 2002-11-28 | 2004-06-02 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| US20110258327A1 (en) * | 2010-04-20 | 2011-10-20 | Nokia Corporation | D2D Communications Considering Different Network Operators |
| CN103140833A (zh) * | 2010-10-13 | 2013-06-05 | 中兴通讯(美国)公司 | 用于多媒体多方对等操作(m2p2)的系统和方法 |
| CN103534960A (zh) * | 2011-05-11 | 2014-01-22 | Lg电子株式会社 | 用于无线通信系统中的mtc的方法和设备 |
| CN103782571A (zh) * | 2011-07-07 | 2014-05-07 | 思科技术公司 | 用于提供基于消息和事件的视频服务控制平面的系统和方法 |
| CN104067591A (zh) * | 2012-01-17 | 2014-09-24 | 伊帕莱夫股份公司 | 用于全球实时远程通信的设备、软件模块、系统或商业方法 |
| US20140160990A1 (en) * | 2012-09-20 | 2014-06-12 | Telecommunication Systems, Inc. | Mechanisms for Quality of Service to Over the Top Applications for Use in Commercial Wireless Networks |
| US20140092868A1 (en) * | 2012-10-02 | 2014-04-03 | Renesas Mobile Corporation | Direct Communication Among Devices |
| US20140313902A1 (en) * | 2013-04-19 | 2014-10-23 | John D. Bruner | Optimization of over-the-top (ott) services on carrier networks |
| CN103888928A (zh) * | 2014-03-04 | 2014-06-25 | 华为技术有限公司 | 一种业务策略控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3225071B1 (en) | 2021-07-21 |
| JP6909772B2 (ja) | 2021-07-28 |
| EP3225071A1 (en) | 2017-10-04 |
| CN107006052B (zh) | 2021-03-30 |
| WO2016083580A1 (en) | 2016-06-02 |
| US10251210B2 (en) | 2019-04-02 |
| EP3913940A1 (en) | 2021-11-24 |
| US20190200411A1 (en) | 2019-06-27 |
| CN112887941A (zh) | 2021-06-01 |
| US20170265246A1 (en) | 2017-09-14 |
| JP2019062543A (ja) | 2019-04-18 |
| JP6510646B2 (ja) | 2019-05-08 |
| US10616946B2 (en) | 2020-04-07 |
| JP2018502491A (ja) | 2018-01-25 |
| CN112887941B (zh) | 2024-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11354136B2 (en) | Machine-to-machine bootstrapping | |
| US10243954B2 (en) | Access network assisted bootstrapping | |
| US10616946B2 (en) | Infrastructure-based D2D connection setup using OTT services | |
| CN112997454B (zh) | 经由移动通信网络连接到家庭局域网 | |
| KR102021679B1 (ko) | Epc로의 imsi-리스 디바이스들의 연결 | |
| CN111869182B (zh) | 对设备进行认证的方法、通信系统、通信设备 | |
| CN102695236B (zh) | 一种数据路由方法及系统 | |
| US11171927B2 (en) | Method for enabling establishment of a direct connection | |
| Lai et al. | Security issues on machine to machine communications | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| US9801050B2 (en) | Formatting an endpoint as a private entity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |