CN107409047B - 用于加密会话的协调分组递送的方法 - Google Patents
用于加密会话的协调分组递送的方法 Download PDFInfo
- Publication number
- CN107409047B CN107409047B CN201580076493.XA CN201580076493A CN107409047B CN 107409047 B CN107409047 B CN 107409047B CN 201580076493 A CN201580076493 A CN 201580076493A CN 107409047 B CN107409047 B CN 107409047B
- Authority
- CN
- China
- Prior art keywords
- application
- metadata
- flow
- service policy
- policy model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
各种通信系统可以受益于安全数据的适当处理。更具体地,某些基于分组的通信系统可以受益于支持一个或多个加密会话的协调分组递送的机制。一种方法可以包括标识用于应用流的元数据,其中应用流被加密。该方法还可以包括在核心网络中发布元数据,其中元数据在发布时未被加密。
Description
相关申请的交叉引用
本申请涉及并要求2014年12月19日提交的美国临时专利申请号62/094,908的权益和优先权,其全部内容通过引用由此并入本文。
技术领域
各种通信系统可以受益于安全数据的适当处理。更具体地,某些基于分组的通信系统可以受益于支持一个或多个加密会话的协调分组递送的机制。
背景技术
移动核心网络、具有移动边缘计算(MEC)的无线电网络、和有线线路网络可以提供用于提供增值服务(VAS)的服务使能器(enabler)的集合,并且可以改进网络运营效率。典型的用户可以基于应用流量类型的订阅或类别得到服务。为了区分和控制基于订阅或各种其他标准的流量,运营商可以在其网络上部署中间设备(middle-box)。
取决于服务的类型,流量可以通过部署在网络中的一个或多个中间设备功能。运营商可以在有线和无线网络上部署中间设备,并且中间设备的目标可以是改进用于网络的运营效率和/或扩展网络。
作为示例,图1图示了由运营商在无线SGi LAN接口中部署的各种中间设备。最常使用的中间设备功能可以包括承载商级网络地址转换(CG-NAT)、防火墙、Web优化器(未示出)、视频优化器、TCP优化器、高速缓存服务器、负载平衡器、代理、分析等。
图1示出了中间设备功能的部署场景以及不同的分组如何经过一系列网络接口。可以连接或链接多个网络功能来提供网络服务。分组可以基于所选择的路径和其遇到的中间设备来得到不同的处理。中间设备在SGI LAN中互连的方式可以称为服务链接。使用服务链接,运营商可以创建新的应用,例如递送提供递增价值的定制服务。通常,大多数中间设备进行深度包检测以进行流标识。
然而,服务链接和中间设备的目前使用可能不是有效的。例如,应用服务提供商(ASP)已经开始通过加密的安全套接层(SSL)流量递送其服务。常规地,当流量以这种方式加密时,运营商不能检查流过其网络的流量。此外,某些类的中间设备在HTTP而不是加密的HTTP上操作。此外,在设备客户端到应用服务器之间的路径上可能存在若干优化器,并且这些优化器可以在没有任何相互协定的标准的情况下运行。
更一般来说,在接入网络之上的利用SSL加密的互联网流量的增长速率对接入网络生态系统和接入技术架构具有即时和长期的影响两者。此处,术语“接入网络”可以包括有线和无线网络架构两者。因此,接入网络可以指代运营商网络内的应用服务器和设备之间的端到端(E2E或e2e)路径的部分。
虽然从最终用户的观点这样的加密可以增加e2e安全性和隐私性,但是中间设备服务提供商(MSP)可能不能在中间检查分组数据。因此,在公共互联网上使用的加密的增加数量可能限制使用传统的深度包检测(DPI)技术来检查订户流的能力。
运营商目前部署DPI功能或其他中间设备来分析网络流量,对订户制作简档(profile),以及对流过其网络的应用制作简档。存在其中传统DPI可能不工作的多种情况,并且由于其,用户体验可能受影响。
可以以各种方式说明这些问题。例如,DPI引擎可以将使用报告为流的部分,并可以将每个流分类为一组可用的应用类。来自DPI的应用洞察可以用于创建服务计划。例如,运营商可能对基于使用创建服务计划感兴趣。在静态服务链接(SC)策略的情况下,ASP和运营商之间的协调的缺乏以及DPI控制的缺乏可能使运营商处于具有动态服务计划创建的困难情形中。当ASP移动到加密会话时,甚至是针对基本服务计划生成的少数常见报告也将不可用。
在这样的情况下,应用洞察可能旨在报告以下内容:消费最多数据的应用;在运营商流量上采取最大数据流的顶级twn应用;在规定的时间段(周或月)之上由应用使用的总数据;在规定的时间段(周或月)之上使用的总移动数据;由用户创建服务计划的平均应用数据速率(KB/min);创建服务计划的平均前台应用数据速率(KB/min);创建服务计划的平均后台应用数据速率(KB/min);以及应用质量和性能。例如,这样的报告的目的可能是使得承载商可以查明其前100名最常用的应用如何影响承载商网络和客户体验。还存在可以被寻求的许多其他具体洞察,其中以上仅仅是示例。
一种常规技术是尝试使用加密来绕过中间设备功能。一些ASP表现得似乎应用客户端反馈对于应用递送是足够的。因此,ASP可以启用加密来绕过接入网络上的所有中间设备和SC功能。从HTTP DASH协议使用,可以看出,用户QoE可能在这样的方法中受到损害。
中间设备中的策略的动态配置可能由ASP期望。例如,ASP可能希望由ASP动态引入任何策略改变。然而,这样的引入可能需要在ASP和运营商之间事先协定。目前采用的DPI策略可以在静态或半静态配置中设置。该方法可能缺乏在接入网络上为ASP引入新服务的灵活性。
通过网站URL单独分类流量可能具有问题,原因在于URL不提供关于接入技术的完整信息。此外,协议行为上下文的理解、访问互联网模式的用户、以及流量的类型可能需要在网络内部可用。
可能需要知晓流量的类型,例如比如HTTP、FTP、BitTorrent、SIP、RTP等的协议。作为下一步,该特定协议的参数(例如针对RTP,本地IP地址、注册IP地址、CALL-ID等)可能需要在电信网络内是可访问的。这样的信息可以使得能够实现诸如流量准入、优先化和整形之类的可执行的操作、诸如家长控制之类的访问的限制、以及针对电信网络中的新服务和收入模型的支持。
当通过加密的SSL流量提供ASP服务时,上述信息可能不可访问,因为运营商网络内的任何网络元件可能都不能检查流过它们的流量。
发明内容
根据第一实施例,方法可以包括标识用于应用流的元数据,其中所述应用流被加密。该方法还可以包括在核心网络中发布元数据,其中元数据在发布时未被加密。
在变型中,该方法可以由深度包检测中介(mediatory)实体执行。
在变型中,所述发布由运营商的网络元件执行,其中所述发布针对所述运营商的网络。
在变型中,可以相对于所述应用,在带内或带外执行发布元数据。
在变型中,标识包括与应用服务器或设备中的应用协商元数据。
在变型中,标识包括从应用服务器或设备中的应用接收元数据。
在变型中,接收响应于请求。
在变型中,该方法可以包括接收注册所述元数据的通知的请求,其中所述发布响应于所述请求。
在变型中,该方法可以包括检查新的或现有的流以确定是否需要应用流元数据;以及当需要应用流元数据时,扩充所述应用流。
在变型中,扩充包括扩充所述应用流的报头。
在变型中,扩充包括从应用服务器或设备中的应用请求应用流元数据。
在变型中,该方法还可以包括基于所述应用流的接收器列表创建服务策略模型,以及发送服务策略模型。
在变型中,发送服务策略模型可以包括扩充服务流的报头。
在变型中,服务策略模型可以包括应用流的标识符。
在变型中,该方法还可以包括指示服务策略模型的标识符要被丢弃。
在变型中,标识符要被丢弃的指示可以相对于用户平面中的应用流在控制平面中执行。
根据第二实施例,一种方法可以包括接收用于应用流的元数据,其中所述应用流被加密,并且其中所述元数据未被加密。该方法还可以包括接收所述应用流。该方法还可以包括在根据元数据处理应用流之后转发应用流。
在变型中,该方法可以由中间设备执行。
在变型中,该方法还可以包括注册所述元数据的通知,其中所述元数据被接收为通知。
在变型中,可以相对于用户平面中的应用流在控制平面上执行所述注册。
在变型中,该方法还包括接收用于所述应用流的服务策略模型,其中所述处理基于所述服务策略模型。
在变型中,服务策略模型可以包括应用流的标识符。
在变型中,该方法还可以包括接收要丢弃所述服务策略模型的标识符的指示,以及基于所述指示而丢弃所述标识符。
根据第三实施例,一种方法可以包括接收生成用于应用流的元数据的请求。该方法还可以包括响应于所述请求而提供所述元数据。
在变型中,该方法可以由设备上的应用或应用服务器执行。
在变型中,该方法还可以包括认证提供所述请求的请求者,其中提供元数据取决于请求者的成功认证。
在变型中,该方法还可以包括在所述应用流的每个数据报头中包括所述元数据。
在变型中,元数据可以包括应用流的标识符。
根据第四至第六实施例,一种装置可以包括用于在其任何变型中分别执行根据第一至第三实施例的方法的部件。
根据第七至第九实施例,一种装置可以包括至少一个处理器和至少一个存储器和计算机程序代码。至少一个存储器和计算机程序代码可以被配置为利用至少一个处理器使得所述装置至少在其任何变型中分别执行根据第一至第三实施例的方法。
根据第十至第十二实施例,一种计算机程序产品可以编码指令,所述指令用于在其任何变型中分别执行包括根据第一至第三实施例的方法的过程。
根据第十三至第十五实施例,一种非暂时计算机可读介质可以编码指令,所述指令当在硬件中执行时在其任何变型中分别执行包括根据第一至第三实施例的方法的过程。
根据第十和第十一实施例,一种系统可以包括分别在其任何变型中根据第四或第七实施例的至少一个装置与根据第五或第八实施例的至少一个装置通信,并且还与根据第六或第九实施例的装置通信。
附图说明
为了恰当理解本发明,应参考附图,其中:
图1图示了由运营商在无线SGi LAN接口中部署的各种中间设备。
图2图示了根据某些实施例的逻辑实体之间的基本协议交互。
图3图示了根据某些实施例的移动网络的MEC平台中的实现。
图4图示了根据某些实施例的方法和系统的信号流图。
图5图示了根据某些实施例的方法。
图6图示了根据某些实施例的另一种方法。
图7图示了根据某些实施例的另一方法。
图8图示了根据某些实施例的系统。
具体实施方式
某些实施例提供了可以使得运营商和ASP能够以协调的方式工作的机制。更具体地,某些实施例可以允许运营商从ASP了解流量特征并支持中间设备功能来检测流以用于其策略实施。此外,某些实施例可以允许运营商即使针对加密的流量也控制服务。
某些实施例可以指定在网络运营商和应用服务提供商之间协商网络和应用友好策略的机制。此外,某些实施例可以指定将来自广泛地包括互联网中的应用服务器或者在设备中运行的应用的ASP的信息发送到运营商网络内的网络元件的协议。
因此,某些实施例可以提供接收应用流信息的机制,否则运营商将从来自应用服务提供商(ASP)的类似DPI的功能得到所述应用流信息,诸如从OTT/应用服务器或在最终用户设备中运行的应用。同时,某些实施例仍然可以保持用户隐私。
更具体地,某些实施例提供了标识机制(用于带内和带外两者)以协商并从应用服务器或设备中的应用接收应用流元数据。应用服务器或设备中的应用可以广泛地称为信息提供器。
某些实施例可以创建服务策略模型并以各种方式将其发送到策略服务器和中间设备。在基于3GPP的架构的情况下,策略服务器可以包括例如PCRF。中间设备可以包括NAT、防火墙、负载平衡器等。
在某些实施例中,可以选择指定的实体(诸如RACS)与ASP网络对接。此外,在某些实施例中,可以允许诸如RACS的指定实体在不暴露运营商网络拓扑的情况下表示中间设备配置要求的统一视图。
在某些实施例中,ASP可以揭示流相关参数,而不会损害对远程运营商网络的合法和隐私要求。此外,在某些实施例中,运营商网络可以利用由ASP供应的信息来标识加密的流。例如,某些实施例可以在IP和SSL层处在传输或隧道模式加密处工作良好。此外,某些实施例可以与3G、Wi-Fi和LTE及以上网络工作良好。此外,某些实施例对于IPv4和IPv6网络架构可以是透明的。
例如,在某些实施例中,协议被指定为允许驻留在运营商网络内的功能实体(其通常可以被称为信息接收器)从诸如运营商网络外部的应用服务器或消费应用服务的设备之类的信息提供器接收应用流信息。
图2图示了根据某些实施例的逻辑实体之间的基本协议交互。如图2所描绘,信息提供器可以是消费应用服务的设备或驻留在运营商的核心网络后或互联网中的应用服务器。
可以是任何合适的网络元件的信息提供器的功能元件可以近实时地向可以是应用服务器或设备的信息接收器信令通知关于上行链路或下行链路接口处的应用流元数据的信息。在通过网络元件和应用服务器之间的协议的业务协商下,带内或带外或两者可以是传输信息的方式。
作为信息接收器的网络元件可以将从应用流元数据信息导出的服务策略模型分布到其他网络实体,比如驻留在运营商网络内的中间设备或策略服务器,以支持流标识,然后策略实施。
信息提供器可以是具有终止加密HTTP/任何应用流并进行应用流量的深度包检测的角色的独立中间设备,或者可以在OTT/ASP应用服务器处运行。如所描绘的,即使诸如终端设备的设备也可以充当信息提供器。
信息接收器可以是有线/无线运营商网络中任何地方的任何内联(inline)网络实体。信息接收器可以从应用流洞察创建服务策略模型,以将其发送到其他网络实体,其他网络实体是具有基于接收到的应用洞察实时执行所需的动作的角色的用户平面流量流中内联的独立中间设备,或者收集用于离线处理(比如大数据分析)的信息的离线软件实体。
在移动网络的情况下,信息接收器可以驻留在移动边缘计算(MEC)平台或移动核心或者设备和互联网之间的接入网络中的任何网络元件处。即使在有线线路网络的情况下,信息接收器也可以是与用户平面流量一致的任何网络元件的部分,并具有在用于传输信息的对应层协议(诸如TCP或IP或HTTP等)上工作的能力。
有效的实现可以涉及可以被称为应用信息提供器的互联网侧实体的可用性,互联网侧实体能够向称为信息接收器的网络侧实体提供相关的应用流洞察,网络侧实体能够收集和核对相关的应用洞察,以创建服务策略模型,并将策略发送到可以称为中间设备的另一个网络侧实体,其能够在中间设备的操作中接收、解释和使用接收到的洞察力。
图3图示了根据某些实施例的移动网络的MEC平台中的实现。在图3中所描绘的示例中,实现可能性是信息接收器在移动网络的无线电接入网络(RAN)中的RACS或MEC平台中。该设备可以称为DPI中介实体(DME)。DME可以充当信息接收器。DME可以是在RACS上运行的软件实体,其范围是从应用服务器或正在对应承载中发送数据的UE连续获取用于每个TCP流的应用数据。此处,应用服务器或UE可以充当信息提供器。流级别上的应用侧洞察可以称为应用流元数据(AFM)。基于AFM,DME可能能够创建服务策略模型(SPM)。
SPM可以是包含由TCP流使用的应用协议、该特定协议的参数和应用流标识符的结构。这导出信息,然后SPM传递到中间设备和策略服务器以执行特定策略实施。例如,策略可能是降低对等到对等(P2P)流量。
在某些实施例中,用于特定应用流的AFM可以在应用会话的开始之后立即在DME处可用。此外,在应用会话的整个生命周期期间,例如,在youbube应用的情况下直到用户观看完成观看所选择的视频,信息提供器(诸如应用服务器或UE)都可以将流标识符连续地嵌入到用户平面分组中。利用来自SPM的已知流标识符,中间设备可以动态地在用户平面流中进行流标识。
AFM可以在带内经由协议报头或经由专用的带外控制连接暴露给信息接收器。AFM提供器可以是外部网络中的任何实体,诸如例如应用服务器、CDN节点、源服务器、充当互联网中的中间设备的适配网关、在设备中运行的应用等等。
向协议报头添加信息是可以在用户平面分组上搭载信息的机制。因此,附加信息可以由具有信息的完整上下文(例如包括UE、流和应用身份)的DME接收。例如,当通过带内的信息的到达不能保证时,可以使用带外连接。例如,在一些通信系统中,中间防火墙可能剥离额外的协议报头。经由带外连接发送的AFM信息可以涉及发送附加上下文信息以标识AFM信息对应于的连接。在纯文本的情况下,带内扩充选项可以通过在TCP报头或IPV6扩展报头或HTTP报头中添加可选/附加字段来完成。
SPM可以经由两种替代方案从DME传送:使用上行链路用户平面分组自身的带内协议报头扩充或经由在DME和中间设备或策略服务器之间建立的专用带外连接。无论SPM接收器的类型如何,SPM接收器都可以在运营商网络内部。报头扩充可以是在用户平面分组上搭载信息的机制。因此,附加信息可以由具有其完整上下文(诸如UE、流和应用身份)的DME接收。当信息接收器不是用户平面流量的内联组件时,如在大数据分析服务器的情况下,可以使用带外连接。经由带外连接发送的服务策略模型信息可以涉及发送附加上下文信息以标识服务策略模型对应于的用户连接。在纯文本的情况下,带内扩充选项可以通过在TCP报头或IPV6扩展报头或HTTP报头中添加可选/附加字段来完成。
SPM类型的信息也可以被传递到eNB以用于支持eNB的流标识。此外,带内和带外信息传输机制两者可能具有关于QoS和安全性的要求。认证和加密机制可以提供信息的完整性和真实性。
AFM也可以在有线线路中的L2TP中或者在具有一些空闲位的所使用的任何其他协议中带内发送。替代地,可以使用专门的协议。
图4图示了根据某些实施例的方法和系统的信号流图。在该示例中,OTT/ASP或应用服务器可以被认为是信息提供器,DPI中介实体可以被认为是信息接收器,而中间设备可以是SPM接收器。
该配置方案涵盖了运营商部署的若干选项。配置和引导系统的三个可能选项如下。根据第一选项,运营商可以配置可以是信息提供器的OTT/ASP服务器、可以是信息接收器的DME、以及可以是信息提供器和/或接收器的对应服务器中的中间设备的IP地址的列表。
根据第二选项,运营商可以向OTT/ASP服务器供应DME IP地址的列表,并且OTT/ASP可以将其服务器配置为接受针对该信息(即针对应用流元数据(AFM))的请求。DME可以实现服务发现协议,以通过使用Rest/HTTP或由OTT/ASP服务器提供的任何web接口周期性地获取OTT/ASP服务器端点IP地址。可以跨DME和OTT服务器共享安全密钥,以用于相应地认证请求和信息。
根据第三选项,运营商可以利用由OTT/ASP供应的特定URL名称以及用于还有DME的另一条目来配置内部DNS服务器(iDNS)。使得DME在系统启动期间通过进行查找以解析IP地址来了解OTT/ASP服务器接入信息,并且中间设备以相同方式了解DME的接入信息。
图4解释了可以收集、分离和上下文化应用流信息以将特定策略模型提供给中间设备以用于加密会话的方式。该图描述了可以在信息提供器、信息中介器和信息接收器之间发生的消息交互,如图3中所示。
如图4中所示,在1处,在启动期间,中间设备可以向DME注册特定类型的服务策略模型、信息共享的类型(带内、带外)、信息需要的频率、信息需要的实时性的类型(按实时或针对批量递送聚合)等。DME可以利用预定义的安全密钥对请求和信息接收器进行认证。
在2处,当OTT/ASP服务通过TCP递送时,可以从客户端向OTT/ASP服务器周期性地生成ACK。该ACK分组可以到达DME。
此外,在3处,DME可以在内部监视流量,以检查流量是否属于配置的OTT/ASP,例如基于HTTP信息中的域名。如果流量属于配置的OTT/ASP,则DME可以通过预配置的带内方法发送针对AFM的请求,诸如向IPV6报头或TCP报头或HTTP报头添加信息。
在4处,当TCP/IP/HTTP分组来自定义的DME时,OTT/ASP服务器可以认证来自DME的请求的完整性并且理解该请求。然后,在5处,OTT/ASP服务器可以使用带内机制以周期性或一次性方式或针对只要应用流存在周期性将应用流元数据转发到DME。可以在OTT/ASP服务器和DME之间预先协商AFM的结构。存在将这样的信息作为HTTP或IPv4或IPv6或TCP报头的部分传达到DME的若干可能方式。这些可以在运营商和OTT/ASP之间协定。然而,信息被递送,然后信息可以被DME消费。
当DME在6处从OTT/ASP服务器接收到AFM时,DME可以在内部处理报头中的信息,并且可以执行必要的分离。DME还可以为不同的中间设备创建相应的服务策略模型。这样的创建可以取决于中间设备的需要。
在7处,DME可以取决于注册(带内或带外)将服务策略模型分布到中间设备。然后,在8处,应用服务器可以向运营商网络以带内选项发送应用流标识符以及该特定应用流中的所有分组。在8’处,当中间设备进行分组报头检查并且分组报头与中间设备的表中的应用流标识符匹配时,中间设备可以实施相应的策略。
在9处,当应用会话终止时,DME可以指令中间设备进行策略拆解。每个中间设备可以从中间设备的数据库中移除该相应应用标识符的任何实例。
因此,根据某些实施例,运营商指定实体和远程ASP驾驶室之间的消息交换是唯一的。如图4中所描述的,实体DME功能可以是唯一的,并且可以容易地标识变成发送/递送的信息。此外,在某些实施例中,用于订户的流的标识和中间设备策略模型的描述在每个中间设备中可以是唯一的。
某些实施例可以具有各种益处和/或优点。例如,在某些实施例中,对于加密会话,运营商可以了解和理解如何提供流/分组处理。此外,在某些实施例中,导出的服务策略模型可以容易可用并且易于集成以供中间设备消费。
此外,某些实施例可以提供可以适于电信云的无探针架构。例如,某些实施例可以基于无探针架构为运营商、应用服务提供和网络供应商提供紧密集成。
图5图示了根据某些实施例的方法。图5的方法可以由以其他方式称为信息接收器的深度包检测中介实体执行。如图5中所示,方法可以包括在510处标识用于应用流的元数据。即使当应用流自身是加密流时,这也可以完成。标识可以包括与应用服务器或设备中的应用协商元数据。此外,标识可以包括从应用服务器或设备中的应用接收元数据。接收可以响应于请求。
该方法还可以包括在520处在核心网络中发布元数据,其中在发布时元数据未被加密。在某些实施例中,发布可以由运营商的网络元件执行,其中发布针对运营商的网络。此外,在某些实施例中,可以相对于应用,在带内或带外执行发布元数据。
该方法还可以包括在515处接收注册元数据的通知的请求。520处的发布可以响应于515处的请求。
该方法还可以包括在530处检查新的或现有的流以确定是否需要应用流元数据,并且在535处,当需要应用流元数据时扩充应用流。扩充可以包括扩充应用流的报头。例如,扩充可以包括在537处从应用服务器或设备中的应用请求应用流元数据。
该方法还可以包括在540处创建服务策略模型。该创建可以基于应用流的接收器列表或基于其他因素。该方法还可以包括在545处发送服务策略模型。发送服务策略模型可以包括与当提供应用流元数据时类似地扩充服务流的报头。服务策略模型可以包括应用流的标识符。
该方法另外可以包括在550处指示服务策略模型的标识符要被丢弃。标识符要被丢弃的指示可以相对于用户平面中的应用流在控制平面中执行。
图6图示了根据某些实施例的另一种方法。图6的方法可以与图5的方法一起可使用。该方法可以由例如中间设备(以其他方式称为信息接收器)执行。
如图6中所示,该方法可以包括在610处接收用于应用流的元数据。应用流可以被加密,并且元数据可以不加密或不通过与应用流自身相同的技术加密。该方法还可以包括在620处接收应用流。该方法另外可以包括在630处在根据元数据处理应用流之后转发应用流。
该方法还可以包括在605处注册元数据的通知。这可以是在图5中的515处接收的相同的注册请求。然后元数据可以被接收为通知,例如作为图5中的520处的发布的元数据。在请求和回复两者或它们中的任一个的方面,注册可以相对于用户平面中的应用流在控制平面上执行。
该方法还可以包括在640处接收用于应用流的服务策略模型。应用流的处理可以基于服务策略模型。
服务策略模型可以包括应用流的标识符。该方法还可以包括在650处接收要丢弃服务策略模型的标识符的指示,并且在655处基于该指示而丢弃该标识符。
图7图示了根据某些实施例的另一方法。图7的方法可以由应用服务器或设备上的应用(以其他方式称为信息提供器)执行。图7的方法可以与图5和图6的方法一起可使用。
如图7中所示,方法可以包括在710处接收生成用于应用流的元数据的请求。这可以是在图5中的537处发送的请求。该方法还可以包括在720处响应于该请求而提供元数据。
该方法还可以包括在715处认证提供请求的请求者。提供元数据可以取决于请求者的成功认证。可以根据请求执行认证。
该方法还可以包括在730处将元数据并入或包括在应用流的每个分组报头中。元数据可以包括应用流的标识符。在流中提供的元数据可以具有先前响应于该请求而提供的相同的标识符,或者可以具有由请求者生成的标识符。提供给请求者的元数据可以是用于生成服务策略模型的元数据。这样的详细元数据不需要被包括在每个分组中。
图8图示了根据本发明的某些实施例的系统。在一个实施例中,系统可以包括多个设备,诸如例如至少一个信息提供器810、至少一个中间设备820(诸如图1中所示的那些中的任何一个)以及至少一个DME 830。
这些设备中的每个可以包括分别指示为814、824和834的至少一个处理器。可以在每个设备中提供至少一个存储器,并分别指示为815、825和835。存储器可以包括其中包含的计算机程序指令或计算机代码。处理器814、824和834以及存储器815、825和835或其子集可以被配置为提供对应于图5-7的各个块的部件。
如图8中所示,可以提供收发器816、826和836,并且每个设备还可以包括分别图示为817、827和837的天线。例如可以提供这些设备的其他配置。例如,除了无线通信或代替无线通信,DME 830可以被配置用于有线通信,并且在这样的情况下,天线837可以图示任何形式的通信硬件,而不需要常规天线。在某些实施例中,所有涉及的设备都是有线线路设备,如上所述。
收发器816、826和836可以均独立地是发送器、接收器或发送器和接收器两者、或者被配置用于发送和接收两者的单元或设备。
处理器814、824和834可以由诸如中央处理单元(CPU)、专用集成电路(ASIC)或类似设备之类的任何计算或数据处理设备体现。处理器可以被实现为单个控制器或多个控制器或处理器。
存储器815、825和835可以独立地是任何合适的存储设备,诸如非暂时计算机可读介质。可以使用硬盘驱动器(HDD)、随机存取存储器(RAM)、闪速存储器或其他合适的存储器。存储器可以与处理器组合在单个集成电路上,或者可以与一个或多个处理器分离。此外,存储在存储器中并且可以由处理器处理的计算机程序指令可以是任何合适形式的计算机程序代码,例如以任何合适的编程语言编写的编译或解释的计算机程序。
存储器和计算机程序指令可以利用用于特定设备的处理器配置为使得诸如信息提供器810、中间设备820和DME 830之类的硬件装置执行本文描述的任何过程(参见例如图5-7)。因此,在某些实施例中,非暂时计算机可读介质可以用计算机指令进行编码,所述计算机指令当在硬件中执行时,执行诸如本文描述的过程之一的过程。替代地,本发明的某些实施例可以完全以硬件执行。
此外,虽然图8图示了包括信息提供器、中间设备和DME的系统,但是本发明的实施例可以适用于其他配置和包含附加元件的配置。例如,未示出,可以存在附加信息提供器,并且可以存在附加的核心网络元件,如图1、3和4中所图示。
本领域普通技术人员将容易理解到,可以利用采用不同次序的步骤和/或利用采用与所公开的那些配置不同的配置的硬件元件来实践如上所讨论的本发明。因此,虽然已经基于这些优选实施例描述了本发明,但是对于本领域技术人员将显而易见的是,某些修改、变化和替代构造将是显而易见的,同时保持在本发明的精神和范围内。
缩写词的列表
ASP 应用服务提供商
CDN 内容递送网络
DL 下行链路
eNB 演进节点B
GW 网关
HSPA 高速分组接入
HTTP 超文本传输协议
IP 网际协议
IR 信息接收器
LTE 长期演进
MEC 移动边缘计算
OTT 过顶
RACS 无线电应用云服务器
RAN 无线电接入网络
RNC 无线电网络控制器
RTCP 实时控制协议
RTP 实时协议
SPM 服务策略模型
TCP 传输控制协议
TLS 传输层安全性
UE 用户设备
UL 上行链路
UMTS 通用移动电信系统
WCDMA 宽带码分多址。
Claims (17)
1.一种用于加密会话的协调分组递送的方法,包括:
标识用于应用流的元数据,其中所述应用流被加密;
在核心网络中发布元数据,其中元数据在发布时未被加密;
检查新的或现有的流以确定是否需要应用流元数据;
当需要应用流元数据时,扩充所述应用流;
基于所述应用流的接收器列表创建服务策略模型;以及
向所述接收器列表的相应接收器发送所述服务策略模型;
其中所述方法由无线电接入网络中的深度包检测中介实体执行;
其中所述发布由运营商的网络元件执行。
2.根据权利要求1所述的方法,其中所述发布针对所述运营商的网络。
3.根据权利要求1所述的方法,其中相对于所述应用,在带内或带外中的至少一个执行发布元数据。
4.根据权利要求1所述的方法,其中所述标识包括与应用服务器或设备中的应用协商元数据。
5.根据权利要求1所述的方法,其中所述标识包括从应用服务器或设备中的应用接收元数据。
6.根据权利要求5所述的方法,其中所述接收响应于请求。
7.根据权利要求1所述的方法,还包括:
接收注册所述元数据的通知的请求,其中所述发布响应于所述请求。
8.根据权利要求1所述的方法,其中所述扩充包括扩充所述应用流的报头。
9.根据权利要求1所述的方法,其中所述扩充包括从应用服务器或设备中的应用请求所述应用流元数据。
10.根据权利要求1所述的方法,其中,发送服务策略模型包括扩充服务流的报头。
11.根据权利要求1所述的方法,其中所述服务策略模型包括所述应用流的标识符。
12.根据权利要求1所述的方法,还包括:
指示服务策略模型的标识符要被丢弃。
13.根据权利要求12所述的方法,其中标识符要被丢弃的指示可相对于用户平面中的应用流在控制平面中执行。
14.一种用于加密会话的协调分组递送的方法,包括:
接收用于应用流的元数据,其中所述应用流被加密,并且其中所述元数据未被加密;
接收所述应用流;
在根据元数据处理应用流之后转发应用流;
根据所述应用流的接收器列表而接收用于所述应用流的服务策略模型,其中所述处理基于所述服务策略模型,
其中所述服务策略模型包括所述应用流的标识符。
15.根据权利要求14所述的方法,其中所述方法由中间设备执行。
16.根据权利要求14所述的方法,还包括:
注册所述元数据的通知,其中所述元数据被接收为通知;
其中,相对于用户平面中的应用流在控制平面上执行所述注册。
17.根据权利要求14所述的方法,还包括:
接收要丢弃所述服务策略模型的标识符的指示;以及
基于所述指示而丢弃所述标识符。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462094908P | 2014-12-19 | 2014-12-19 | |
| US62/094,908 | 2014-12-19 | ||
| PCT/US2015/066838 WO2016100896A2 (en) | 2014-12-19 | 2015-12-18 | Coordinated packet delivery of encrypted session |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107409047A CN107409047A (zh) | 2017-11-28 |
| CN107409047B true CN107409047B (zh) | 2021-06-08 |
Family
ID=56127875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580076493.XA Active CN107409047B (zh) | 2014-12-19 | 2015-12-18 | 用于加密会话的协调分组递送的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10541985B2 (zh) |
| EP (1) | EP3235168B1 (zh) |
| KR (1) | KR102034785B1 (zh) |
| CN (1) | CN107409047B (zh) |
| BR (1) | BR112017013224A2 (zh) |
| WO (1) | WO2016100896A2 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6935391B2 (ja) | 2015-08-28 | 2021-09-15 | メルク、パテント、ゲゼルシャフト、ミット、ベシュレンクテル、ハフツングMerck Patent GmbH | 6,9,15,18−テトラヒドロ−s−インダセノ[1,2−b:5,6−b’]ジフルオレン誘導体、および電子素子におけるそれらの使用 |
| CN107172111B (zh) * | 2016-03-07 | 2020-05-05 | 大唐移动通信设备有限公司 | 一种数据传输方法、装置及系统 |
| EP3580892B1 (en) * | 2017-02-07 | 2024-04-03 | Telefonaktiebolaget LM Ericsson (publ) | Transport layer monitoring and performance assessment for ott services |
| CN114600434A (zh) * | 2019-10-22 | 2022-06-07 | 华为技术有限公司 | 通过带内信令区分服务的系统和方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6963972B1 (en) | 2000-09-26 | 2005-11-08 | International Business Machines Corporation | Method and apparatus for networked information dissemination through secure transcoding |
| US8335824B2 (en) | 2004-12-29 | 2012-12-18 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for providing metadata subscription services |
| GB0506532D0 (en) * | 2005-03-31 | 2005-05-04 | Ibm | System and method for notification of acquired information |
| US8677504B2 (en) * | 2005-07-14 | 2014-03-18 | Qualcomm Incorporated | Method and apparatus for encrypting/decrypting multimedia content to allow random access |
| EP1920393A2 (en) * | 2005-07-22 | 2008-05-14 | Yogesh Chunilal Rathod | Universal knowledge management and desktop search system |
| JP2007053461A (ja) * | 2005-08-16 | 2007-03-01 | Sony Corp | 送受信システムおよび受信方法、受信装置および方法、並びに、プログラム |
| US8782002B2 (en) * | 2005-11-16 | 2014-07-15 | Hewlett-Packard Development Company, L.P. | Distributed processing with metadata placeholders |
| US20100023499A1 (en) * | 2007-12-24 | 2010-01-28 | Brian David Johnson | System and method for a content fingerprint filter |
| US8429255B1 (en) * | 2010-01-27 | 2013-04-23 | Juniper Networks, Inc. | Determining reorder commands for remote reordering of policy rules |
| US8345682B2 (en) | 2010-09-15 | 2013-01-01 | Cisco Technology, Inc. | Data path processing information included in the pseudowire layer of packets |
| US8527748B2 (en) * | 2010-10-01 | 2013-09-03 | Schneider Electric USA, Inc. | System and method for hosting encrypted monitoring data |
| US9130864B2 (en) * | 2011-06-27 | 2015-09-08 | Citrix Systems, Inc. | Prioritizing classes of network traffic to provide a predetermined quality of service |
| US10305937B2 (en) * | 2012-08-02 | 2019-05-28 | CellSec, Inc. | Dividing a data processing device into separate security domains |
| EP2723135A1 (en) | 2012-10-19 | 2014-04-23 | Telefonica S.A. | A method and a system for sharing wireless broadband connection between devices |
| US9256636B2 (en) | 2013-03-15 | 2016-02-09 | Extreme Networks, Inc. | Device and related method for application identification |
| US9721086B2 (en) * | 2013-03-15 | 2017-08-01 | Advanced Elemental Technologies, Inc. | Methods and systems for secure and reliable identity-based computing |
| US9154431B2 (en) * | 2013-05-08 | 2015-10-06 | Sandvine Incorporated Ulc | System and method for managing bitrate on networks |
| US10200883B2 (en) | 2013-08-19 | 2019-02-05 | Nokia Solutions And Networks Oy | Radio access network (RAN) transport evolved packet core (EPC) synergy |
| US20160164826A1 (en) * | 2014-12-04 | 2016-06-09 | Cisco Technology, Inc. | Policy Implementation at a Network Element based on Data from an Authoritative Source |
-
2015
- 2015-12-18 EP EP15871218.2A patent/EP3235168B1/en active Active
- 2015-12-18 US US15/537,599 patent/US10541985B2/en active Active
- 2015-12-18 CN CN201580076493.XA patent/CN107409047B/zh active Active
- 2015-12-18 BR BR112017013224-9A patent/BR112017013224A2/pt active Search and Examination
- 2015-12-18 WO PCT/US2015/066838 patent/WO2016100896A2/en active Application Filing
- 2015-12-18 KR KR1020177020090A patent/KR102034785B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| US10541985B2 (en) | 2020-01-21 |
| CN107409047A (zh) | 2017-11-28 |
| BR112017013224A2 (pt) | 2018-02-06 |
| KR102034785B1 (ko) | 2019-10-21 |
| KR20170096033A (ko) | 2017-08-23 |
| EP3235168B1 (en) | 2020-07-01 |
| US20180270209A1 (en) | 2018-09-20 |
| EP3235168A4 (en) | 2018-09-05 |
| EP3235168A2 (en) | 2017-10-25 |
| WO2016100896A2 (en) | 2016-06-23 |
| WO2016100896A3 (en) | 2016-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3148118B1 (en) | Providing application metadata using export protocols in computer networks | |
| CN107409047B (zh) | 用于加密会话的协调分组递送的方法 | |
| US10171532B2 (en) | Methods and systems for detection and classification of multimedia content in secured transactions | |
| EP3735768B1 (en) | Improving qoe for video and web services using cross-layer information | |
| EP3484101B1 (en) | Automatically determining over-the-top applications and services | |
| US20170142074A1 (en) | Methods and First, Second and Network Nodes for Managing Traffic Characteristics | |
| EP3484102B1 (en) | Cloud computing environment system for automatically determining over-the-top applications and services | |
| US20180048514A1 (en) | Mechanism to support operator assisted parental control | |
| US11082502B2 (en) | Policy architecture for cable networks | |
| US11949663B2 (en) | Cloud-based tunnel protocol systems and methods for multiple ports and protocols | |
| US9277014B2 (en) | Handling of auxiliary NAS | |
| US10812352B2 (en) | System and method for associating network domain names with a content distribution network | |
| Moriarty et al. | Effects of pervasive encryption on operators | |
| US12010553B2 (en) | Cloud-based 5G security network architectures with intelligent steering | |
| KR20240058079A (ko) | 차량 데이터 | |
| US11596027B2 (en) | Mobile and IoT device forwarding to the cloud | |
| Moriarty et al. | RFC 8404: Effects of pervasive encryption on operators | |
| US20240214363A1 (en) | Cloud-based tunnel protocol systems and methods for multiple ports and protocols | |
| US10708188B2 (en) | Application service virtual circuit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |