CN109076102B - 用户设备容器和网络切片 - Google Patents
用户设备容器和网络切片 Download PDFInfo
- Publication number
- CN109076102B CN109076102B CN201780023815.3A CN201780023815A CN109076102B CN 109076102 B CN109076102 B CN 109076102B CN 201780023815 A CN201780023815 A CN 201780023815A CN 109076102 B CN109076102 B CN 109076102B
- Authority
- CN
- China
- Prior art keywords
- container
- network slice
- containers
- slice
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/289—Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
通信设备(405)包括具有多个容器(图4,容器1‑x)的容器环境,每个容器具有一个或多个应用(图4,APP 1.1‑x.p)并且每个容器可连接到网络切片(图4,切片1‑x);以及容器管理器(图4,容器管理器),被配置为控制所述应用和网络切片之间的通信,其中容器管理器禁止第一容器中的第一应用与第二容器中的第二应用之间的通信。
Description
相关申请的交叉引用
本申请要求2016年4月15日提交的美国临时专利申请No.62/323,349的优先权,其公开内容通过引用整体并入本文。
技术领域
所公开的主题总体涉及电信。某些实施例更具体地涉及诸如网络切片、容器以及用户设备(“UE”)之类的概念。
背景技术
网络切片是逻辑网络,通常服务于已定义的商业目的或客户。网络切片可以采用例如网络部分或子网的形式。网络切片通常包括一起配置的一组所需网络资源。例如,控制平面和用户平面资源是网络切片的一部分。
在某些上下文中,网络切片可以通过管理功能进行创建、改变或修改。这些功能可以通过例如移动性管理、会话管理、身份管理、访问管理等实现。另外,网络切片通常在提供商内部端到端地实现。这意味着无线电接入网络(RAN)与到其他网络的网关之间的端到端通信所需的所有网络实体都是切片的一部分(或在多个切片之间共享,例如,单个AMF实例可以被同一UE用于多个切片)。
网络切片通常充当服务的启动器,而不是服务本身。例如,切片可以实现移动宽带或语音服务,但是通过移动宽带或语音服务所需的任何互联网协议(IP)多媒体子系统(IMS)服务器访问的内容不是网络切片的一部分。网络切片的资源可以是物理的或虚拟的,并且它们可以是专用的或共享的。例如,RAN节点的部分需要硬件(如天线),而其他部分可以在虚拟化环境中实现为软件,并且两者可以由多个设备共享并且用于多个切片。其他示例包括核心网络功能,例如用户平面功能(UPF),其可以在虚拟化环境中实现并且仅针对特定切片进行实例化。虽然不同的网络切片可以共享网络资源,但网络切片通常在逻辑上独立或与其他网络切片隔离。另外,网络切片可以集成来自除了操作网络切片的提供商之外的提供商的服务,这可以促进例如聚合和漫游。
图1示出了示例系统100,其中网络通信网络105经由网络切片125向用户(例如,商业、客户等)提供服务/产品110。
参考图1,通信网络105包括资源/组件115、网络切片125和网络切片管理120。在该示例中,资源/组件115可以包括例如访问资源、传输资源、云资源、网络功能和网络管理。在网络切片管理120的控制下,网络切片125使用资源/组件115来向用户提供服务/产品110。在该示例中,服务/产品110可以包括例如逻辑移动宽带(MBB)网络、逻辑企业网络或逻辑移动数据网络(MDN)。网络切片125的使用允许以隔离方式向不同用户提供不同的服务/产品,这意味着可以调整那些服务/产品以满足那些用户的特定需求。
发明内容
在所公开的主题的一些实施例中,一种设备包括:容器环境,该容器环境包括多个容器,每个容器具有一个或多个应用并且每个容器可连接到网络切片;以及容器管理器,被配置为控制所述应用和网络切片之间的通信,其中容器管理器禁止第一容器中的第一应用和第二容器中的第二应用之间的通信。
在某些相关实施例中,该设备还包括设备资源,其中容器管理器控制应用对设备资源的访问。
在某些相关实施例中,不同容器中的应用共享设备资源。
在某些相关实施例中,每个容器一次只与一个网络切片确切地相关联。在一些这样的实施例中,容器和网络切片之间的关联包括使用用于网络切片的专用接入点名称(APN)。在一些其他这样的实施例中,容器和网络切片之间的关联包括使用容器和网络切片之间的经由共享接入点名称(APN)的加密通信。在又其他这样的实施例中,容器和网络切片之间的关联包括使用容器和网络切片之间的隧穿。
在某些相关实施例中,每个容器使用其自己的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。在某些其他相关实施例中,至少两个容器使用相同的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
在某些相关实施例中,至少两个网络切片由同一运营商服务。
在某些相关实施例中,至少一个网络切片对应于虚拟运营商。
在某些相关实施例中,容器管理器定义每个容器的规则并控制容器之间的通信,使得在同一容器中的应用之间允许通信并且在不同容器中的应用之间禁止通信。
在某些相关实施例中,该设备还包括设备资源,其中每个容器具有容器配置策略,该容器配置策略管理容器对设备资源的访问。
在某些相关实施例中,容器并行操作。
在某些相关实施例中,该设备还包括设备操作系统和多个容器操作系统,每个容器操作系统与多个容器中的对应容器相关联。
在某些相关实施例中,容器管理器包括:寄存器,该寄存器包括识别容器和网络切片之间的关联的信息;朝向容器和网络切片的接口;以及存储编码指令的存储器,该编码指令在由容器管理器处理器执行时,使容器管理器通过网络切片接口接收容器的清单,生成所述清单定义的至少一个容器,根据清单中的约束条件为生成的容器生成规则集,在生成的容器和对应的网络切片之间建立连接,以及根据生成的规则集控制生成的容器与对应的网络切片之间的通信。
在某些相关实施例中,所述指令使容器管理器将所述清单与生成的规则集一起存储在容器切片寄存器中。
在某些相关实施例中,所述指令使容器管理器维持容器关注指针,该容器关注指针基于运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估规则集时优先考虑所指示的条目。
在所公开的主题的一些实施例中,提供了一种用于管理包括容器环境和容器管理器的设备中的容器的方法,该容器环境包括多个容器,每个容器包括一个或多个应用,每个容器可连接到网络切片。该方法包括经由网络切片接口接收容器的清单,根据所述清单生成容器,根据所述清单中的约束条件为生成的容器生成规则集,在生成的容器和相应的网络切片之间建立连接,根据生成的规则集控制生成的容器与对应的网络切片之间的通信。
在某些相关实施例中,该方法还包括将所述清单存储在容器切片寄存器中。
在某些相关实施例中,该方法还包括维持容器关注指针,该容器关注指针基于运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估规则集时给予所指示的条目优先。
在所公开的主题的一些实施例中,操作通信设备的方法包括:提供包括多个容器的容器环境,每个容器具有一个或多个应用并且每个容器可连接到网络切片;以及操作容器管理器以控制所述应用和网络切片之间的通信,其中容器管理器禁止第一容器中的第一应用和第二容器中的第二应用之间的通信。
在某些相关实施例中,通信设备还包括设备资源,并且该方法还包括操作容器管理器以控制所述应用对设备资源的访问。
在某些相关实施例中,不同容器中的应用共享设备资源。
在某些相关实施例中,每个容器一次只与一个网络切片相关联。
在某些相关实施例中,容器和网络切片之间的关联包括使用用于网络切片的专用接入点名称(APN)。
在某些相关实施例中,容器和网络切片之间的关联包括使用容器和网络切片之间的经由共享接入点名称(APN)的加密通信。
在某些相关实施例中,容器和网络切片之间的关联包括使用容器和网络切片之间的隧穿。
在某些相关实施例中,每个容器使用其自己的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。在某些其他相关实施例中,至少两个容器使用同一电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
在某些相关实施例中,至少两个网络切片由同一运营商服务。在某些其他相关实施例中,至少一个网络切片对应于虚拟运营商。
在某些相关实施例中,容器管理器定义每个容器的规则并控制容器之间的通信,使得允许在同一容器中的应用之间进行通信并且禁止在不同容器中的应用之间进行通信。
在某些相关实施例中,无线设备还包括设备资源,其中每个容器具有容器配置策略,该容器配置策略管理容器对设备资源的访问。
在某些相关实施例中,容器并行操作。
在某些相关实施例中,该方法还包括经由网络切片接口接收容器的清单,生成所述清单所定义的至少一个容器,根据清单中的约束条件生成用于所生成的容器的规则集,在生成的容器和对应的网络切片之间建立连接,以及根据生成的规则集控制生成的容器与对应的网络切片之间的通信。在一些这样的实施例中,该方法还包括将清单与生成的规则集一起存储在容器切片寄存器中。在一些这样的实施例中,该方法还包括维持容器关注指针,该容器关注指针基于运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估规则集时给予所指示的条目优先。
附图说明
附图示出了所公开主题的所选择的实施例。在附图中,相同的附图标记表示相同的特征。
图1示出了包括多个网络切片的系统。
图2示出了根据所公开主题的实施例的系统,该系统包括具有多个容器的设备和具有多个网络切片的网络。
图3示出了根据所公开主题的另一实施例的系统,该系统包括具有多个容器的设备和具有多个网络切片的网络。
图4示出了根据所公开主题的又一实施例的系统,该系统包括具有多个容器的设备和具有多个网络切片的网络。
图5示出了根据所公开主题的又一实施例的系统,该系统包括具有多个容器的设备和具有多个网络切片的网络。
图6示出了根据所公开主题的实施例的被配置为执行安全切片通信的系统。
图7示出了根据所公开主题的实施例的设备。
图8示出了根据所公开主题的实施例的具有容器管理单元的设备。
图9示出了根据所公开主题的实施例的具有容器/清单寄存器的设备。
图10示出了根据所公开主题的实施例的操作包括容器环境和容器管理器的设备的方法。
图11示出了根据所公开主题的实施例的管理包括容器环境和容器管理器的设备中的容器的方法。
具体实施方式
以下描述呈现了所公开主题的各种实施例。这些实施例被呈现为教导示例,并且不被解释为限制所公开的主题的范围。例如,在不脱离所述主题的范围的情况下,可以修改、省略或扩展所述实施例的某些细节。
提出某些实施例是为了认识到与常规技术相关联的缺点,例如以下示例。在常规系统中,特定设备使用单个网络切片。但是,可能存在运行在服务于不同商业目的的设备上的应用。这些用例既没有在设备上明确分离,也没有与特定网络切片相关联,因此每个应用必须保护自己,并且没有机制将应用分配给特定切片并确保只有属于同一切片的应用才使用相同的能力并且访问相同的数据。这可能引起企业对安全的关注。
与常规的一种或多种技术相比,某些实施例还可以提供益处,诸如以下示例。首先,某些实施例可以通过例如使用容器来防止恶意软件传播和/或增加对恶意应用的鲁棒性来改善安全性。其次,某些实施例可以通过例如将私有和商业应用保持在分离的容器中,和/或使用不同容器的不同规则集来限制应用能力(例如,没有用户数据记录,没有针对手电筒应用的呼叫或地址簿记录等)来改善私密性。第三,某些实施例可以提供满足服务水平协议(SLA)的增强能力,例如,通过使UE容器与网络切片相关,可以实现受保证的流量性能(例如,系统服务关键性能指标[S-KPI])。
在下面描述的某些实施例中,设备包括多个容器,每个容器与网络切片相关联并且唯一地识别该关联。该设备阻止放置在一个容器中的应用与其他容器中的应用之间的通信。
每个容器通常一次只与一个网络切片相关联。例如,针对网络切片使用专用接入点名称(APN)、或通过经由共享APN(例如因特网APN)的加密通信、或从设备上的每个容器去往网络切片和经由网络切片的的除了互联网协议安全性(IPsec)之外的其他类型的隧穿,可以实现这种关联。
一些实施例可以包括所描述的特征的组合,诸如如果受访网络支持则使用专用网络切片并且使用作为“回退(fallback)”的经由共享APN的加密通信。而且,在一些实施例中,每个容器可以使用其自己的(软/e)SIM来访问用于认证和授权的凭证。
设备上的若干容器可以使用相同的eSIM。这通常需要使用每个容器的附加切片标识符以用于通信。
来自容器的通信是通过设备支持的访问。运营商可以服务多个切片,并且虚拟运营商可以由一个网络切片或多个网络切片代表。并行使用不同的蜂窝无线电接入以访问多个非虚拟运营商可能需要多个无线电模块的支持。
设备可以具有其自己的支持容器环境的操作系统(设备OS),并且每个容器可以另外具有仅用于该容器的专用操作系统(容器OS)。网络切片和容器两者都具有身份,并且这些身份在设备中相关联。身份可以基于设备中的现有身份。在容器具有容器OS的实施例中,该设备可以包括可运行容器OS的虚拟化平台(例如,管理器)。
设备OS支持其中运行或执行用于特定网络切片的特定应用的容器。可以防止在一个特定容器中运行的应用访问另一个容器中的应用、数据和/或服务,因为设备OS将容器彼此屏蔽。应用或服务可以访问与其他容器共同的设备资源,例如网络接口、调制解调器、相机等。
每个网络切片在设备上提供约束条件,其限定该设备可以访问网络切片的方式和程度。这些约束条件可以在用于网络切片的清单中呈现(“切片清单”或“容器清单”),并且它们可以管理例如访问类型、设备位置、设备资源的使用、用应用对容器的填充、容器的使用,或容器和应用的修改。
术语“设备”可以指具有到网络的连接的任何装置。示例包括最终用户设备,例如用户设备(UE)或个人计算机(PC),或未明确指示为最终用户设备的设备,诸如,例如物联网(IOT)设备。
术语“连接”可以指任何形式的连接(例如,有线或无线),其使得设备能够向网络发送信息和/或从网络接收信息。示例有线连接技术包括局域网(LAN)和数字订户线(DSL)。示例无线连接技术包括2G或3G无线电技术中的通用分组无线电服务(GPRS)、4G长期演进(LTE)和5G下一代无线电技术。设备还可以使用一些其他技术来连接到网络,例如WiFi或蓝牙。
设备可以使用任何有线或无线技术与网络建立多个连接。备选地,可以限制设备一次使用一个连接,或者可以支持并行使用多个连接。
图2示出了根据所公开主题的实施例的包括设备205和网络210的系统200。
参考图2,设备205包括多个容器1-x,并且网络210包括对应于各个容器1-x的多个网络切片1-x。设备205还包括所有容器1-x共用的OS。
术语“容器”可以指受保护的环境,其中一个或多个应用可以在设备中运行并且该受保护的环境与网络切片相关联。容器内的应用可以相互通信,只要它们自己允许通信。容器外的应用无法与容器内的应用通信。这防止了容器外的应用窃听、扫描、嗅探、添加跟踪、添加标记或以其他方式获取仅意图用于容器内应用的信息。这可以包括通过应用交换的信息,还包括设备OS、存储器、寄存器或其他设备资源中的任何信息。恶意应用还可能操纵或访问其他应用和/或数据,这可以通过使用容器来防止。
设备通常具有至少两个容器,并且所有应用都在容器内,即容器外没有应用。设备中实际使用的容器数量取决于设备的最终用途。第一容器清单为用于私人或其他通用目的的默认容器。在某些实施例中,对放置在该容器内的应用没有设置限制。为了特定目的,其他容器与网络切片相关联。特定目的还可以规定和与网络切片相关联的容器相关的约束条件。如果网络具有默认使用的切片,则第一容器与该切片相关联以供默认使用。容器和网络切片之间的关联可以看作是网络切片到设备和容器中的扩展。
虽然可以将容器连接到多个网络切片,但可能需要解决多个网络切片提供的约束条件之间的冲突。对于其余部分,除非另有说明,否则预期容器和网络切片之间的一对一关联。
一些实施例包括一个容器,其中私人应用配置在容器外部。容器外的应用存在潜在的安全风险。应采取预防措施,例如在激活具有一个应用的容器之前,将停用该容器外的所有应用,此后不能激活这些应用。这可以通过设备重启来实现。
也可以是设备具有一个容器且在容器外没有应用。这可能是有效的,例如在利用物联网(IOT)设备的情况下。拥有一个容器向网络切片确保任何约束条件和身份元素被保护。
设备可以具有容器管理器功能以控制设备的容器环境。容器管理功能可以是设备OS的一部分。它也可以是操作系统顶上的附加软件功能。容器管理器功能也可以实现为设备的专用硬件模块/单元。模块/单元甚至可以替换设备自己的操作系统。容器管理器定义每个容器的规则并控制容器和网络之间的通信。
例如,容器管理器可以使用由网络切片提供的约束条件以定义容器的一组规则。基于这些规则,容器管理器可以执行以下任何一个示例动作:(a)添加、更新或移除容器,(b)在容器中添加、更新或移除应用,(c)激活和停用应用,(c)控制容器中应用进行的网络访问,(d)路由、加密和解密容器中的应用与网络切片之间的消息,或(e)控制容器中的应用对设备资源的访问。
设备可具有某种形式的唯一身份。一个示例是移动电话中的USIM/UICC卡。另一个示例是3GPP 2G,3G和4G无线电技术中使用的设备身份(IMEI)。除SIM卡提供的身份外,这是唯一的设备标识符。另一种可能的标识符是软SIM或eSIM。容器可能需要耦合到唯一标识符。多于一个的容器可以使用相同的唯一标识符。容器也可能需要多于一个的标识符。例如,可能需要唯一设备标识符和SIM卡提供的用户身份两者以允许在设备中的容器中建立或运行应用。
与设备一样,网络切片也可以使用标识以能够寻址并与之连接。这可以通过专用于网络切片的特定APN来实现。另一种可能的替代方案是在添加了切片特定标识符的情况下的所有可用切片的公共APN。还存在识别切片的其他可能性。在本说明书中,术语“切片标识符”将用于指代任何上述或其他可能的替代方案。
在一些实施例中,容器可以使用设备OS并且不需要容器OS。使用容器OS的一些注意事项包括以下内容。首先,容器OS可能会改善容器的隔离,因为设备OS是潜在的漏洞。容器OS可以是完整的操作系统或提供保护层的最小化的操作系统。其次,容器OS可以允许每个容器的不同操作系统或配置。这种容器OS的一个示例是使用存储器加密的应用代码的容器。仅解密和使用运行时所需的代码部分。这将防范被例如附接到存储器芯片的分析仪读出的外部存储器。第三,容器OS可以抑制某些设备功能,因为容器OS可能缺少USB、表面贴装设备(SMD)卡或任何其他数据输入/输出的驱动器连接。
图3-5示出了系统200的变型。具体地,图3示出了包括与图2的设备205类似的设备305的系统300,除了容器1-x中的每一个还包括容器OS和在容器OS上运行的对应应用之外。图4示出了包括与设备305类似的设备405的系统400,除了设备OS还包括容器管理器之外。图5示出了包括类似于设备405的设备505的系统500,除了容器管理器和设备OS还连接到诸如GUI、音频接口等的输入/输出(IO)接口之外。
通常,网络可以在许可设备对其切片之一的访问之前对该设备施加约束条件。这种切片相关约束条件可以具有各种形式的实现。一个示例是当设备请求第一次访问或重复访问时提供给设备的切片清单,并且切片清单自上次请求以来已经改变。切片清单也可以随每个请求一起发送,提示设备检查是否有任何改变。当网络检测到与设备的网络的第一连接时,网络还可以未经请求地发送切片清单(没有来自设备的特定请求)。该检测可以由用于第一联系人的用户或设备身份触发,或者设备提供支持容器的标识。
网络可以基于身份提供一个或多个切片清单,或者可以例如在提供支持容器的标识的设备上广告可能的网络切片。这也将避免在不支持容器的设备处接收广告或切片清单。
与向设备提供约束条件的形式和时间无关,切片清单可以包括以任何适当组合的以下任何非限制性项目:(a)访问约束条件,例如以黑名单或白名单的形式,(b)位置约束条件,(c)资源使用约束条件,(d)容器填充约束条件,(e)容器使用约束条件,以及(f)容器修改约束条件。
访问
如上所述,该设备可以具有可用于与网络切片连接的多于一种类型的访问。切片清单可以包含指示允许哪些访问类型的白名单,或者指示不允许哪些访问类型的黑名单。可能的区别可能是例如有线与无线接入(无线电窃听)、公共WIFI和热点被拒绝(本地黑客)、2G/3GGPRS被拒绝(传输速度太低)、蓝牙被拒绝、网络共享(tethering)被拒绝。切片清单还可以包含每个允许访问类型(访问列表)的特定细节,并且可以包括:切片身份、要使用的APN、IP地址、端口号、发起安全隧穿的安全凭证。请注意,与应用相关的任何安全性或其他信息都被包含在应用列表中,请参阅下文。
位置
对于从其固定位置移除的移动设备或固定设备,可以提供切片相关的约束条件。位置限制可能是允许或不允许的APN的形式。其他可能是接入点的国家代码,例如3GPP。也可以使用类似于用于固定连接的端点标识。设备自己的独立位置确定(如GPS)可用于限制的区域或允许的区域。可能很清楚,各种其他位置相关的限制是可能的。
资源
设备可以具有许多种资源,并且切片特定约束条件可以允许或禁止特权使用或限制使用。在一个示例中,通过不允许例如SD卡或其他可移动存储器、USB端口、NFC等禁止本地数据导出。在另一个示例中,不允许本地数据导入。因此,可以打印页面但不能上传潜在的有害内容。示例实现可以仅允许输出到如前所述的资源。另一个示例是特权使用,这可以防止例如音频窃听。当所讨论的容器中的应用使用最终用户设备的麦克风时,不允许所讨论的容器外部的应用或其他容器同时使用来自麦克风的音频。另外,在所讨论的容器中的应用使用最终用户设备的扬声器的情况下,不允许所讨论的容器外部的应用或其他容器同时使用来自麦克风的音频。
容器填充
容器通常仅在填充有一个或多个应用时才有效。网络切片可以调节可以将哪些应用添加到容器中。此规则的一种可能机制是黑名单,其指定不能安装在容器中的应用或不允许的通信类型(例如,不允许FTP)。另一种可能的机制是白名单,其指定可安装的应用或允许的通信类型(例如,不受限制的,仅安全的超文本传输协议[SHTTP])。切片清单还可以指定用于获取可以在容器中运行的应用的源位置。另一个示例是锁定的容器,其中设备的用户无法添加或移除应用。应用在切片清单中作为强制应用列表提供。这包括应用的源位置。对于强制应用,切片清单可以指定应用的自动激活。例如,这对于物联网类设备可能是有益的。可以指示自动激活。
容器使用
原则上,不同容器中的应用可以并行运行。当两个容器允许其各自的应用使用相同的资源时,这可能会导致问题。一个示例是最终用户设备中的麦克风。用户可能需要关注使用麦克风的任一容器。只有关注中的容器才使用资源而其他容器则不使用资源。实现容器关注的示例包括设备上的可用容器的可视表示,并且提示用户选择一个以便关注。
锁定关注是上述的扩展。如果已经关注容器并且出于安全原因,本地操作系统或应用必须完成任务,则可以防止用户临时改变关注直到任务完成。一个示例是例如银行帐户的登录程序,其中登录和加密设置是不可分割的任务。一旦建立加密,用户就可以改变关注。
特权使用是一种严格的关注类型。并行运行多个容器中的应用可能意味着它们共享单个处理元件,其提供与寄存器读出相关的风险,并且通常绕过用于非法访问代码/数据段的存储器管理。特权容器使用意味着当容器及其中的任何应用处于活动状态时,没有其他容器或应用处于活动状态。这可以通过在事先禁用所讨论容器外的任何应用以及任何其他容器的情况下重新启动设备来实现。
冻结容器是容器的暂时停用。来自/去往网络切片的冻结容器的应用之间的任何通信或对设备资源的访问被禁止。冻结选项可以用于例如当与网络切片的连接丢失或者当需要暂停动作直到完成冻结容器的安全扫描为止时。
容器修改
网络切片的约束条件集可对多个设备有效。在这种情况下,切片清单的更新可被视为多个设备中的每个设备的新切片清单。因此,一种实现可以是更新的切片清单使得设备根据更新的切片清单创建新容器并丢弃前一容器(强制更新)。这意味着切片清单可能会提到替换的切片清单(以及容器)的先前版本。
强制更新有一些潜在的缺点和潜在的好处。应用历史提供了一个潜在的好处。在某些情况下,丢弃应用历史数据对于切片可能是有益的。在其他情况下,这可能是缺点。因此,切片清单可以另外指示是否可以维持历史数据以及针对哪些应用维持历史数据。
除了切片清单之外,应用还可能经受定期更新。根据用于更新的切片策略,它可能会冻结每个容器版本的更新,或者允许在容器更新之外进行应用更新。
在示例实施例中,针对锁定容器提供应用列表。该列表可以包含每个应用的强制更新、所需版本、是否允许更新以及是否可以维持历史数据,以及检索应用的位置。它还可以为应用指定任何安全相关信息或其他凭证,例如证书。它还可以指定自动激活,例如当设备检测到的事件未触发应用的激活时。当切片没有提供整个容器的强制更新时,设备可以创建新容器,但基于应用列表复制特定应用代码和/或数据。
容器管理器是容器和设备功能之间的层,设备功能例如是图形用户界面(GUI)、音频、相机、通用串行总线(USB)、安全数字(SD)卡、湿度传感器、全球定位系统(GPS)、热传感器、接近度传感器、振动传感器等,以及设备自身的操作系统和与网络的连接。容器可以完全或基本上与其外部世界屏蔽,并且任何请求、数据等可以通过容器管理器运行。容器管理器可以基于例如“容器清单”中的约束条件使用规则集以控制容器环境。
容器管理功能可以实现为由独立于设备的操作系统的设备处理器执行的编码指令,例如如图7中所示,也可以是分离的单元,即集成在设备中的容器管理单元,例如如图8中所示。该单元的示例实施例可以是连接到设备内部总线的单元。在以下描述中,术语“容器管理器”可以意指容器管理器功能或容器管理单元。
容器管理器可以具有其自己的身份以用于其自己的通信。
启动时,例如在如果容器管理器是交付时设备的组成部分则在安装容器管理器或初始启动后重新启动设备时,设备准备容器环境。这可以根据包含的脚本来完成(例如当容器管理器是设备的组成部分时),或者通过发现和后续脚本来完成。
在发现的情况下,发现设备类型,并且在内部或通过网络访问在外部获得所需的设置。备选地,容器管理器直接发现设备能力。设备能力集是在应用容器的约束条件时有关这些能力的规则的基础。
设置容器环境后,容器管理器可以开始创建容器。容器创建的各种选项包括创建哪些容器(或网络切片),何时以及谁发起创建。这里将讨论这些选项中的一些作为示例,包括(a)具有设备内部配置脚本的IOT设备,(b)具有内部配置脚本的最终用户设备,(c)没有内部配置脚本的最终用户设备,以及(d)没有配置脚本的IOT设备。
具有设备内部配置脚本的IOT设备
在制造期间,通过配置脚本在设备中预编程特定网络切片的约束条件和其他细节,该配置脚本可被视为设备存储的容器清单。容器管理器创建并利用应用填充容器,以及基于容器清单中的约束条件和设备能力来准备规则集。准备就绪后,容器管理器建立与网络切片的连接。在本地容器清单中的任何过时信息的情况下,可以通过网络提供的更新的容器清单来修复这些,类似地应用于应用的更新。
具有内部配置脚本的最终用户设备
在制造期间,通过配置脚本在设备中预编程用于专用网络切片的约束条件和其他细节,该配置脚本可被视为设备存储的清单。容器管理器创建容器并基于清单中的约束条件和设备能力准备规则集。准备就绪后,容器管理器建立与网络切片的连接。这可以是默认容器或特定容器,例如为IOT设备定制的容器。然后,用户可以根据需要向容器添加应用。设备还可以基于网络(或接入点)对可用网络切片的广告添加新容器,可选地在用户确认之后。所广告的集合可以被网络限制为用于公共使用的切片,并且可以避免广告,例如,公司切片。
没有内部配置脚本的最终用户设备
容器管理器创建没有约束条件的默认容器。没有为该容器创建规则集。准备就绪后,容器管理器设置与默认网络切片的连接。然后,用户可以根据需要向容器添加应用。用户还可以根据以上描述如在“具有内部配置脚本的最终用户设备”中实现的那样添加新容器。
没有配置脚本的IOT设备
IOT设备可以通常用于连接到多个公司切片,例如盗抢/火灾检测单元,其可以连接到属于各种安全公司的各种公司网络切片。当准备容器环境时,容器管理器提示运营商/设备的程序员输入要使用的网络切片的凭证。当连接到网络切片时,容器管理器接收初始清单并基于此配置容器和可适用的规则。替代方案是网络检测初始附着并且在发送实际清单之前首先将用户/运营商引导到网页应用等以用于认证和使用网络切片的允许。
添加新容器可以是用户触发的或网络触发的。用户可以从网络广告的集合中选择网络切片,或者可以手动输入网络切片标识。当网络确定允许设备访问该网络切片时,网络根据设备的请求提供正确的网络切片清单。
作为基于用户请求的替代,网络可以在没有设备请求的情况下发送网络切片清单。这对于IOT类设备或未表示为最终用户设备的其他设备是潜在有益的。
容器管理器接收容器清单并相应地动作。特别地,容器管理器可以作为接收容器清单的结果执行以下操作。它创建容器,然后根据容器清单中的约束条件和设备特性配置规则集。此后,它使用清单中声明为强制的应用填充容器。这还可以包括应用的配置。然后,容器管理器可以验证并激活填充的容器。激活可以包括激活强制应用。非强制的应用也可能会自动激活,但通常这可能是用户或设备运营商任务。容器的激活还可以包括设备资源的配置。资源的激活(或使用)由请求来自容器管理器的此类使用的应用触发。容器管理器还可能需要重启设备以根据程序制定改变。
通过接收切片清单(或容器清单)来触发容器的更新。每次设备附着时、当需要更新时、或者与无论何时设备连接和需要更新无关地,网络可以发送切片清单。更新可以发送到所有设备并且对所有设备有效,或者仅针对特定设备。
更新容器的一个原因可以是对约束条件或应用列表的改变。更新可以包括强制更新整个容器和所有应用,其包括丢弃用户添加的应用并且仅安装强制应用。然后,用户必须手动添加他的常规应用。后者的一个示例是当容器和应用的组合不再适当工作时用户请求“重置”,其中网络发送“重置”切片清单。
如上所述,容器管理器接收切片清单并开始执行它。在强制更新整个容器的情况下,容器管理器可以添加新容器。验证完成后,容器管理器移除旧容器,然后激活新容器。切片清单还可以包含容器管理器要遵循的特定脚本。这样的脚本可以适用于例如公司切片和关键任务应用。通常在旧容器中的旧应用停用之前,验证新容器中新应用的正确运行。
如果不需要强制更新整个容器,则容器管理器可以检查切片清单并将其与用于建立网络切片的当前容器的切片清单进行比较。这意味着容器管理器已保存了它用于该容器的最新切片清单。
当约束条件发生改变时,容器管理器可以与创建新容器的强制更新行为类似,并移除旧容器。然而,关于强制更新的不同之处在于容器管理器可以维持某些应用数据(例如,编码、数据、历史等),只要切片清单中的应用列表允许并且不需要进一步修改。
当改变仅专注于单个应用时,容器管理器可以保留当前容器并仅对相关应用执行应用更新。这可以包括添加新应用(通常是强制的)或移除应用(黑名单)。在某些情况下,容器管理器可以强制重启设备以实现改变。
移除容器通常将是用户/运营商请求。在某些情况下,也可以间接地(由于更新切片清单)或直接(在终止或结束例如用于内容传递的订阅时)从网络侧执行或请求移除。
容器管理器可以移除容器、容器中的应用以及任何相关数据。容器管理器还可以在可适用的情况下更新设备资源的配置。在某些情况下,容器管理器强制重启设备以使改变处于活动状态。
设备的用户/运营商可以在切片清单允许的范围内添加或移除应用(例如,基于所包括的应用列表)。当容器管理器接收到新的(更新的)切片清单时,添加或移除应用也可以是网络触发的。在这两种情况下,容器管理器都添加或移除应用。在用户/运营商请求的情况下,容器管理器检查容器的切片清单以确定应用是否未列入黑名单(用于添加)或是强制的(用于移除)。容器管理器可以调整设备资源配置,甚至强制重启设备以实现任何改变。
容器管理器的附加动作可以是当在用户指定的一个容器中不允许添加应用时,容器管理器检查是否存在可以添加应用的其他容器并且向用户/运营商提议这些其他容器。
容器管理器的进一步动作可以是要提议添加的应用的验证。如果应用包含在切片清单的应用列表中,则通常会对其进行验证或其通常会具有允许轻松验证的证书。用户/运营商输入的应用更可能不正确。容器管理器尝试获取证书。如果可能没有经过认证的标识或验证失败,则容器管理器不添加该应用。
容器中的应用可以具有不同的类别。应用可以由用户/运营商激活并处于活动状态,直到用户/运营商停用为止。从最初激活开始,应用可以持续运行。应用可以由容器管理器激活和停用,如同由设备事件触发一样。用户/运营商动作也可以被视为与热量传感器值或接近度警告等项目相当的设备相关事件。容器管理器用于包含应用的容器的规则集可以提供值、触发级别的限制以及有效性表述。
如上所述,容器管理器屏蔽容器,这意味着应用的所有通信都通过容器管理器运行。设备还可以具有使用如上所述的不同技术的多种访问可能性。
容器管理器通常涉及至少两个功能,包括访问可能性的控制,以及容器(应用)和网络之间的流量路由。下面将更详细地讨论这两种功能。
所有容器原则上可以使用相同的无线电或有线接口,但是特定容器可以被限制为仅允许在某个接口上进行通信。另一方面,特定网络切片可能限制访问可能性。这有助于根据网络切片满足某些SLA。此外,其他原因(例如安全级别、传输速率或其他QoS方面)可能需要限制与某些技术的通信。
容器通常使用在设备处可用并且由特定网络切片支持的接口来使用/访问特定网络切片。
在一些实施例中,容器管理器限制关于某个容器(或其中的应用)可以使用哪个接口的访问。原则上,从容器的角度来看,这将是一对一的关系。但是,某些容器可使用相同的接口以连接到不同的切片。这种情况如图6所示,其中,单个无线电信道(标记为“设备到网络连接”)连接网络和设备,但在信道内部,每个容器存在分离的信道(标记为“安全切片隧道”)。尽管这里使用术语“信道”,但在上下文中,术语“承载”或“隧道”可与“信道”互换使用。
在移动设备或作为回退(fallback)的情况下,可能存在多与一个的访问接口和网络切片身份的组合。一个示例是用于电影流媒体的@Home,其中由于电影的权利,不允许在家以外的其他位置。但是,当房屋被多与一个WiFi站覆盖时,也可能存在多与一个组合。WiFi和4G的回退将提供多与一个的组合。
容器管理器根据容器规则进行动作,该容器规则指示当容器中的应用需要与网络通信时,允许哪个接口用于容器以及它应该连接到哪个网络切片。
如果(用于连接到网络切片的)网络中存在改变,则关于此的网络信息到达容器管理器,并且容器管理器相应地改变访问。这通常可以在例如这种情况下发生:设备正在移动并发生切换,或者当发生使用不同接口的回退时。
容器管理器可以通过在网络切片和容器之间建立安全隧道来增加屏蔽。这并未消除应用也可以在此隧道内建立安全隧道以与网络切片中或经由网络切片的特定服务进行通信的可能性。容器隧道所需的认证和加密由容器管理器执行。
作为替代方案,当容器具有其自己的容器OS时,可以由容器OS执行加密和解密。由于与其他容器中的应用隔离,这可以增加安全级别。网络切片清单可以指定相对于执行加密和解密的位置放置更高信任级别的位置。
通常,传入流量最终将结束于容器管理器/由容器管理器控制。在实现方面,容器管理器可以控制内部路由引擎,但是这样的路由引擎可以不必是容器管理器的一部分。信令可以取决于层(将主要是L1)停止于相关接口中。它然后一直到容器管理器以确定信号或消息是用于自己还是用于容器。消息的接口和切片身份的组合指示消息意图所针对的容器。此信息用于对消息进行路由。当加密级别位于容器管理器处时,在容器管理器可以采取第二次传递之前,还需要此信息来加密消息。当加密级别位于容器处时,在到容器的加密消息的情况下进行路由。在这种情况下,没有第二次传递。在第二次传递中,容器管理器根据消息确定它是意图用于容器中的应用还是意图用于由容器管理器处理的控制目的。原则上,容器管理器处理寻址到容器管理器自身身份的消息,以及更一般地说,处理未寻址到容器中存在的特定应用的任何消息。
针对某个容器中某个应用的传入消息可能是用于激活该应用的事件触发。
传出流量由容器中的应用生成,或在某些情况下由容器管理器本身生成。应用不需要知道所使用的网络切片,因为这可以从应用和容器之间的关系直接获得。只有在允许容器同时使用多与一个接口的情况下,应用才必须指定它所需的接口。容器管理器基于容器(以及所需的接口,如果需要)将切片身份耦合到路由之前/期间的消息。当存在连续隧道时,容器管理器直接发送消息,否则可以为此目的设置临时隧道。当加密级别在容器管理器处时,它会在路由之前加密消息,并在加密之前完成与切片身份的耦合。
设备OS的传入和传出消息最初被视为容器管理器通信。操作系统可以通过直接寻址接口来绕过容器管理器,但是在创建容器环境时,应该将接口驱动程序的控制更改为由容器管理器控制。
如果需要,容器管理器将接收到的针对其本身的消息进一步传递给设备OS。容器管理器检查设备OS的传出消息,并在需要时发出。
当容器具有其自己的OS时,容器的消息由容器管理器转发到容器OS,容器OS负责向容器中的应用递送,除非消息被寻址到容器OS本身。传出遵循相反的方向。
容器管理器可以单独负责管理设备资源。某些例外包括存储器和磁盘存储,以及内部总线直接存储器访问(DMA)、中断系统等,它们通常由操作系统并入。一个独特的案例是合并的设备容器管理器,它也执行操作系统任务。因此,设备将不再具有操作系统,而是仅具有相应动作的容器管理器。利用操作系统的标准化,当通过BIOS等捕获低级驱动时,这可能是非常适用的。
图5示出了如下情况:OS控制诸如存储器管理、总线DMA和中断系统之类的基本项目,并且容器管理器控制其他资源,例如访问接口、扬声器、相机、GPS接收器、用于振动、热量、接近度等的任何传感器。USB和SMD卡。
当容器管理器设置容器环境时,它可以预先配置它可以控制的资源,使得它们仅由容器管理器控制。这可包括低级别驱动程序中的设置。然后,此配置可以对所有容器有效。
利用安装特定容器,容器管理器可以对资源进行进一步配置,并且在安装特定应用时甚至可以进行进一步的配置。然而,在某些实施例中,容器管理器解决跨不同级别的冲突配置。在这样的实施例中,在出现冲突的情况下,完成初始设置,但是在特定应用使用之前需要重新配置。容器管理器在发生冲突的情况下保留每个应用和容器的配置设置集。备选地,容器管理器保留配置设置集,以用于针对允许其使用的资源所安装的所有应用。
当应用想要使用资源时,容器管理器可能需要重新配置所讨论的资源。在此之前,容器管理器检查其规则集是否在当前情况下允许所述资源。如果不允许该资源,则可能会拒绝应用的访问。
在某些实施例中,可以关注特定的一个或多个容器。特别是对于具有多个容器的最终用户设备,最终用户可能对一个或另一个容器给予关注。然后,在访问冲突的情况下,关注中的容器将具有优先权,并且容器管理器在评估其规则集时可以将其考虑在内。
如上所述,容器管理器可以是设备内部其自己的硬件单元,或者它可以是设备的存储器中的编码指令集,当由设备的处理器执行编码指令集时使得设备执行容器管理器的功能。在后一种情况下,容器管理器使用的寄存器等也位于设备的存储器中。
另外,容器管理器可以是设备OS顶上的层,或者它可以包括OS功能或甚至完全替换设备的操作系统。这与容器管理器是作为软件还是作为硬件单元实现的问题无关。
图7-9示出了根据所公开主题的各种替代实施例的不同设备架构。在图7的实施例中,设备700包括处理器710、可操作地耦合到处理器710的存储器715、输入/输出(IO)接口720以及网络接口725。在图8的实施例中,设备800类似于设备700,除了它还包括可操作地耦合到处理器710和存储器715、IO接口720和网络接口725的容器管理单元805。在图9的实施例中,设备900包括共同用作如本文所述的容器管理器的特征。具体地,设备900包括容器/清单寄存器905(或“容器切片寄存器”),其包括指向关注容器的指针。指针,也称为“容器关注指针”,基于运营商/用户提供的关注指示寄存器905中的条目,因此当评估由容器管理器生成的规则集时,设备900优先考虑所指示的条目。容器/清单寄存器905可操作地耦合到处理器910和存储器915。处理器910可操作地耦合到容器接口920、网络切片接口925和设备资源接口930。
如果容器管理器被实现为一个或多个软件功能,则处理器和存储器实际上可以是设备的处理器和存储器。相同的原理可适用于具有关注指针的容器清单寄存器。在硬件实现的容器管理器的情况下,处理器和存储器可以是容器管理单元的一部分。
容器管理器可以具有容器/清单寄存器,其中针对每个容器存储清单。该寄存器还可以包括容器的规则集、配置设置和每个容器的其他特定细节。容器管理器自己的专用处理器或设备处理器执行容器管理器自己的存储器或设备存储器中的编码指令集。执行的编码指令执行容器管理器的功能。
容器管理器的示例功能包括以下内容:(a)在设备中创建容器环境,(b)添加、修改或移除由容器清单操纵的容器,(c)添加、修改或移除由容器清单操纵的应用,(d)设备资源的配置,(e)容器与对应网络切片的连接,(f)处理容器内的应用和网络切片之间的通信,以及(g)处理应用和设备资源之间的通信。
图10示出了根据所公开主题的实施例的操作包括容器环境和容器管理器的设备的方法1000。这种方法可以通过例如一种如关于图1-9中的一个或多个所述的装置来执行。在这样的实施例中,该方法可以通过至少处理电路和存储器的适当组合来实现,所述处理电路和存储器共同被配置为执行或实现所述功能。此外,在一些实施例中,该方法可以由模块实现,其中模块包括被配置为执行或实现所述功能的硬件和/或软件的任何合适组合。
参考图10,该方法包括提供包括多个容器的容器环境,每个容器具有一个或多个应用并且每个容器可连接到网络切片(S1005),并且操作容器管理器以控制应用和网络切片之间的通信,其中容器管理器禁止第一容器中的第一应用和第二容器中的第二应用之间的通信(S1010)。提供容器环境可以包括导致容器环境的操作的任何机制或功能。例如,可以通过为容器环境配置硬件和/或软件,和/或存储和/或执行操作容器环境的指令来实现该提供。类似地,容器管理器的操作可以包括导致如所描述的控制应用和网络切片之间的通信的任何机制或功能。
在某些相关实施例中,通信设备还包括设备资源,并且该方法还包括操作容器管理器以控制所述应用对设备资源的访问。
在某些相关实施例中,不同容器中的应用共享设备资源。
在某些相关实施例中,每个容器一次只与一个网络切片相关联。在一些这样的实施例中,容器和网络切片之间的关联包括使用用于网络切片的专用接入点名称(APN)。在其他这样的实施例中,容器和网络切片之间的关联包括使用容器和网络切片之间的经由共享接入点名称(APN)的加密通信。在又其他这样的实施例中,容器和网络切片之间的关联包括使用容器和网络切片之间的隧穿。
在某些相关实施例中,每个容器使用其自己的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
在某些相关实施例中,至少两个容器使用同一电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
在某些相关实施例中,至少两个网络切片由同一运营商服务。
在某些相关实施例中,至少一个网络切片对应于虚拟运营商。
在某些相关实施例中,容器管理器定义每个容器的规则并控制容器之间的通信,使得允许在同一容器中的应用之间进行通信并且禁止在不同容器中的应用之间进行通信。
在某些相关实施例中,无线设备还包括设备资源,其中每个容器具有容器配置策略,该容器配置策略管理容器对设备资源的访问。
在某些相关实施例中,容器并行操作。
在某些相关实施例中,该方法还包括经由网络切片接口接收容器的清单,生成所述清单所定义的至少一个容器,根据清单中的约束条件生成用于所生成的容器的规则集,在生成的容器和对应的网络切片之间建立连接,以及根据生成的规则集控制生成的容器与对应的网络切片之间的通信。在一些这样的实施例中,该方法还包括将清单与生成的规则集一起存储在容器切片寄存器中。在一些这样的实施例中,该方法还包括维持容器关注指针,该容器关注指针基于运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估规则集时给予所指示的条目优先。
图11示出了管理包括容器环境和容器管理器的设备中的容器的方法,该容器环境包括多个容器,每个容器包括一个或多个应用,每个容器可连接到网络切片。该方法例如可以由诸如图2-5中的任何一个中所示的那些设备来执行。
参考图11,该方法包括经由网络切片接口接收容器的清单(S1105),根据所述清单生成容器(S1110),根据清单中的约束条件生成用于所生成的容器的规则集(S1115),建立生成的容器与对应的网络切片之间的连接(S1120),并根据生成的规则集控制生成的容器与对应的网络切片之间的通信(S1125)。
在某些相关实施例中,该方法还包括将所述清单存储在容器切片寄存器中。在某些其它相关实施例中,该方法还包括维持容器关注指针,该容器关注指针基于运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估规则集时给予所指示的条目优先。
在本书面描述中特别使用以下缩写。
2G,3G,4G 3GPP定义的无线电接入技术的第二代、第三代和第四代,
3GPP 第三代合作伙伴计划,
APN 接入点名称,
BIOS 基本输入/输出系统,
DMA 直接存储器访问,
DSL 数字订户线路,
GPRS GSM分组无线电系统,
GPS 全球定位系统,
GUI 图形用户界面,
IMEI 国际移动设备身份,
IOT 物联网,
LAN 局域网,
LTE 长期演进,
MAC 媒体访问控制,
NFC 近场通信,
OS 操作系统,
PC 个人计算机,
QoS 服务质量,
SIM 订户身份模块,也表示为USIM/UICC,
SLA 服务水平协议,
SD 存储卡,
UE 用户设备,
USB 通用串行总线,
WiFi 无线保真。
尽管以上已经参考各种实施例呈现了所公开的主题,但是应当理解的是,在不脱离所公开的主题的总体范围的情况下,可以对所描述的实施例进行形式和细节上的各种改变。
Claims (36)
1.一种通信设备(405),包括:
包括多个容器(容器1-X)的容器环境,每个容器具有一个或多个应用并且每个容器能连接到网络切片(切片1-X);以及
容器管理器,被配置为控制所述应用和网络切片之间的通信,其中容器管理器禁止第一容器中的第一应用和第二容器中的第二应用之间的通信,
其中,每个容器一次只与一个网络切片相关联。
2.根据权利要求1所述的通信设备,还包括设备资源,其中所述容器管理器控制应用对设备资源的访问。
3.根据权利要求2所述的通信设备,其中,不同容器中的应用共享设备资源。
4.根据权利要求1所述的通信设备,其中,所述容器和所述网络切片之间的关联包括针对所述网络切片使用专用接入点名称(APN)。
5.根据权利要求1所述的通信设备,其中,所述容器与所述网络切片之间的关联包括使用所述容器与所述网络切片之间的经由共享接入点名称(APN)的加密通信。
6.根据权利要求1所述的通信设备,其中,所述容器和所述网络切片之间的关联包括使用所述容器和所述网络切片之间的隧穿。
7.根据权利要求1-6中任一项所述的通信设备,其中,每个容器使用其自己的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
8.根据权利要求1-6中任一项所述的通信设备,其中,所述容器中的至少两个使用相同的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
9.根据权利要求1-6中任一项所述的通信设备,其中,所述网络切片中的至少两个由同一运营商服务。
10.根据权利要求1-6中任一项所述的通信设备,其中,所述网络切片中的至少一个对应于虚拟运营商。
11.根据权利要求1-6中任一项所述的通信设备,其中,所述容器管理器定义每个容器的规则并控制容器之间的通信,使得允许在同一容器中的应用之间进行通信,而禁止在不同容器中的应用之间进行通信。
12.根据权利要求1-6中任一项所述的通信设备,还包括设备资源,其中每个容器具有容器配置策略,所述容器配置策略管理所述容器对设备资源的访问。
13.根据权利要求1-6中任一项所述的通信设备,其中,所述容器并行操作。
14. 根据权利要求1-6中任一项所述的通信设备,还包括:
设备操作系统;以及
多个容器操作系统,每个容器操作系统与所述多个容器中的对应容器相关联。
15.根据权利要求1-6中任一项所述的通信设备,其中,所述容器管理器包括:
包括识别容器和网络切片之间的关联的信息的寄存器;
朝向容器和网络切片的接口;以及
存储编码指令的存储器,当由所述容器管理器处理器执行所述编码指令时,使所述容器管理器:
经由所述网络切片接口接收容器的清单;
生成由所述清单定义的至少一个容器;
根据所述清单中的约束条件生成用于所生成的容器的规则集;
在所生成的容器和对应的网络切片之间建立连接;以及
根据所生成的规则集控制所生成的容器与对应的网络切片之间的通信。
16.根据权利要求15所述的通信设备,其中,所述指令使所述容器管理器将所述清单与所生成的规则集一起存储在所述容器切片寄存器中。
17.根据权利要求15所述的通信设备,其中,所述指令使所述容器管理器维持容器关注指针,所述容器关注指针基于由运营商/用户提供的关注来指示所述容器切片寄存器中的条目,并且在评估所述规则集时给予所指示的条目优先。
18.一种管理通信设备(400)中的容器的方法(1100),所述通信设备包括容器环境和容器管理器,所述容器环境包括多个容器(容器1-x),每个容器包括一个或多个应用,每个容器能连接到网络切片(切片1-x),所述方法包括:
经由网络切片接口接收容器的清单(S1105);
根据所述清单生成容器(S1110);
根据所述清单中的约束条件生成用于所生成的容器的规则集(S1115);
在所生成的容器和对应的网络切片之间建立连接(S1120);以及
根据所生成的规则集控制所生成的容器与对应的网络切片之间的通信(S1125),
其中,每个容器一次只与一个网络切片相关联。
19.根据权利要求18所述的方法,还包括将所述清单存储在容器切片寄存器中。
20.根据权利要求18或19所述的方法,还包括维持容器关注指针,所述容器关注指针基于由运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估所述规则集时给予所指示的条目优先。
21. 一种操作通信设备(400)的方法(1000),包括:
提供包括多个容器(容器1-x)的容器环境,每个容器具有一个或多个应用并且每个容器能连接到网络切片(切片1-x)(S1005);以及
操作容器管理器以控制所述应用和所述网络切片之间的通信,其中所述容器管理器禁止第一容器中的第一应用和第二容器中的第二应用之间的通信(S1010),
其中,每个容器一次只与一个网络切片相关联。
22.根据权利要求21所述的方法,其中,所述通信设备还包括设备资源,并且所述方法还包括操作所述容器管理器以控制应用对设备资源的访问。
23.根据权利要求22所述的方法,其中,不同容器中的应用共享设备资源。
24.根据权利要求21所述的方法,其中,所述容器和所述网络切片之间的关联包括针对所述网络切片使用专用接入点名称(APN)。
25.根据权利要求21所述的方法,其中,所述容器和所述网络切片之间的关联包括使用所述容器和所述网络切片之间的经由共享接入点名称(APN)的加密通信。
26.根据权利要求21所述的方法,其中,所述容器和所述网络切片之间的关联包括使用所述容器和所述网络切片之间的隧穿。
27.根据权利要求21-26中任一项所述的方法,其中,每个容器使用其自己的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
28.根据权利要求21-26中任一项所述的方法,其中,所述容器中的至少两个使用相同的电子订户身份模块(eSIM)来访问用于认证和/或授权的凭证。
29.根据权利要求21-26中任一项所述的方法,其中,所述网络切片中的至少两个由同一运营商服务。
30.根据权利要求21-26中任一项所述的方法,其中,所述网络切片中的至少一个对应于虚拟运营商。
31.根据权利要求21-26中任一项所述的方法,其中,所述容器管理器定义每个容器的规则并控制容器之间的通信,使得允许在同一容器中的应用之间进行通信,而禁止在不同容器中的应用之间进行通信。
32.根据权利要求21-26中任一项所述的方法,其中,所述通信设备还包括设备资源,其中,每个所述容器具有容器配置策略,所述容器配置策略管理所述容器对所述设备资源的访问。
33.根据权利要求21-26中任一项所述的方法,其中,所述容器并行操作。
34.根据权利要求21-26中任一项所述的方法,还包括:
经由网络切片接口接收容器的清单;
生成由所述清单定义的至少一个容器;
根据所述清单中的约束条件生成用于所生成的容器的规则集;
在所生成的容器和对应的网络切片之间建立连接;以及
根据所生成的规则集控制所生成的容器与对应的网络切片之间的通信。
35.根据权利要求34所述的方法,还包括将所述清单与所生成的规则集一起存储在所述容器切片寄存器中。
36.根据权利要求34所述的方法,还包括维持容器关注指针,所述容器关注指针基于由运营商/用户提供的关注来指示容器切片寄存器中的条目,并且在评估所述规则集时给予所指示的条目优先。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111207223.1A CN113949567B (zh) | 2016-04-15 | 2017-04-03 | 用户设备容器和网络切片 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662323349P | 2016-04-15 | 2016-04-15 | |
US62/323,349 | 2016-04-15 | ||
PCT/IB2017/051896 WO2017178921A1 (en) | 2016-04-15 | 2017-04-03 | User equipment containers and network slices |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111207223.1A Division CN113949567B (zh) | 2016-04-15 | 2017-04-03 | 用户设备容器和网络切片 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109076102A CN109076102A (zh) | 2018-12-21 |
CN109076102B true CN109076102B (zh) | 2021-11-05 |
Family
ID=58549180
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780023815.3A Active CN109076102B (zh) | 2016-04-15 | 2017-04-03 | 用户设备容器和网络切片 |
CN202111207223.1A Active CN113949567B (zh) | 2016-04-15 | 2017-04-03 | 用户设备容器和网络切片 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111207223.1A Active CN113949567B (zh) | 2016-04-15 | 2017-04-03 | 用户设备容器和网络切片 |
Country Status (7)
Country | Link |
---|---|
US (1) | US11323478B2 (zh) |
EP (1) | EP3437306B1 (zh) |
CN (2) | CN109076102B (zh) |
PL (1) | PL3437306T3 (zh) |
RU (1) | RU2710879C1 (zh) |
TW (1) | TWI652925B (zh) |
WO (1) | WO2017178921A1 (zh) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4096189A1 (en) * | 2017-03-24 | 2022-11-30 | Huawei Technologies Co., Ltd. | Network slice configuration method, apparatus, and system |
US10484886B2 (en) * | 2017-05-05 | 2019-11-19 | Qualcomm Incorporated | Method for broadcast information on supported and non-supported slices |
CN109560952B (zh) * | 2017-09-27 | 2021-04-09 | 华为技术有限公司 | 一种网络切片管理方法及设备 |
US11382163B2 (en) | 2017-12-19 | 2022-07-05 | At&T Intellectual Property I, L.P. | Instantiating intelligent service delivery parameters within protected hardware |
EP3747223B1 (en) * | 2018-02-02 | 2022-12-07 | Telefonaktiebolaget LM Ericsson (publ) | Network slicing in ims |
JP6845168B2 (ja) * | 2018-02-27 | 2021-03-17 | 日本電信電話株式会社 | 通信システム、及びスライス制御方法 |
US11483762B2 (en) * | 2019-02-22 | 2022-10-25 | Vmware, Inc. | Virtual service networks |
TWI699095B (zh) * | 2019-04-29 | 2020-07-11 | 宏碁股份有限公司 | 藍牙配對方法及電子系統 |
US11354145B2 (en) * | 2019-08-28 | 2022-06-07 | International Business Machines Corporation | Creating process fingerprints based on virtualized containers for determining software product usage |
US11184381B2 (en) | 2020-01-08 | 2021-11-23 | Bank Of America Corporation | Real-time validation of application data |
US11627152B2 (en) | 2020-01-08 | 2023-04-11 | Bank Of America Corporation | Real-time classification of content in a data transmission |
US11297085B2 (en) * | 2020-01-08 | 2022-04-05 | Bank Of America Corporation | Real-time validation of data transmissions based on security profiles |
US20230049987A1 (en) * | 2020-02-04 | 2023-02-16 | Qualcomm Incorporated | Certificate based application descriptors for network slice selection |
CN113852483B (zh) * | 2020-06-28 | 2023-09-05 | 中兴通讯股份有限公司 | 网络切片连接管理方法、终端及计算机可读存储介质 |
US20220035685A1 (en) * | 2020-08-03 | 2022-02-03 | Juniper Networks, Inc. | Device access control for applications of multiple containers |
WO2022027161A1 (zh) * | 2020-08-03 | 2022-02-10 | 北京小米移动软件有限公司 | 业务的切片激活方法、业务的切片激活装置及存储介质 |
US11836225B1 (en) * | 2020-08-26 | 2023-12-05 | T-Mobile Innovations Llc | System and methods for preventing unauthorized replay of a software container |
EP3968570A1 (en) | 2020-09-09 | 2022-03-16 | Hewlett Packard Enterprise Development LP | Controlling equipment access to slices in a 5g network |
CN113015164B (zh) * | 2021-02-24 | 2022-09-30 | 中国联合网络通信集团有限公司 | 应用程序认证方法及装置 |
CN113115329B (zh) * | 2021-03-16 | 2022-11-18 | 中国人民解放军战略支援部队信息工程大学 | 基于容器的网络切片实例部署装置及方法 |
CN113133072B (zh) * | 2021-04-13 | 2022-11-29 | 北京字节跳动网络技术有限公司 | 控制终端的方法、装置、终端及存储介质 |
US11877349B2 (en) * | 2021-06-29 | 2024-01-16 | T-Mobile Innovations Llc | Slices for applications based on multiple active sim profiles |
CN113840312B (zh) * | 2021-10-25 | 2023-09-05 | 全球能源互联网研究院有限公司 | 一种5g网络切片业务的配置方法及装置 |
US11751058B2 (en) * | 2022-01-14 | 2023-09-05 | T-Mobile Innovations Llc | 5G network slice device security protection |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009071431A1 (en) * | 2007-12-05 | 2009-06-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Allocation of resources to shared spectrum operators |
WO2012054016A1 (en) * | 2010-10-19 | 2012-04-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for generation of authorized virtual appliances |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9552497B2 (en) * | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US8566653B2 (en) * | 2009-12-22 | 2013-10-22 | At&T Intellectual Property I, L.P. | Infrastructure for rapid service deployment |
US9851969B2 (en) * | 2010-06-24 | 2017-12-26 | International Business Machines Corporation | Function virtualization facility for function query of a processor |
US9336060B2 (en) * | 2011-06-17 | 2016-05-10 | Microsoft Technology Licensing, Llc | Middleware services framework for on-premises and cloud deployment |
US8880651B2 (en) * | 2011-07-25 | 2014-11-04 | Sony Computer Entertainment America, LLC | Method and system for efficient download of data package |
US8767597B2 (en) * | 2011-11-18 | 2014-07-01 | The University Of Tokyo | Wireless communication apparatus |
CN102611690A (zh) * | 2011-12-22 | 2012-07-25 | 南京邮电大学 | 一种基于超文本传输协议流化的容器格式转化方法 |
TW201443775A (zh) | 2013-05-02 | 2014-11-16 | Enterproid Hk Ltd | 用於客製化應用程式容器的用途測量 |
US20160205082A1 (en) * | 2013-08-12 | 2016-07-14 | Graphite Software Corporation | Secure authentication and switching to encrypted domains |
US9992606B2 (en) * | 2015-02-27 | 2018-06-05 | Bank Of America Corporation | Segmented network mobile device provisioning system |
US10638354B2 (en) * | 2015-03-13 | 2020-04-28 | Nec Corporation | Communication apparatus, system, method allocation apparatus, and non-transitory recording medium |
US9775045B2 (en) * | 2015-09-11 | 2017-09-26 | Intel IP Corporation | Slicing architecture for wireless communication |
CN108701190A (zh) * | 2015-12-18 | 2018-10-23 | 诺基亚通信公司 | 基于信任度的计算 |
WO2017152178A1 (en) * | 2016-03-04 | 2017-09-08 | Bladelogic, Inc. | Provisioning of containers for virtualized applications |
-
2017
- 2017-04-03 CN CN201780023815.3A patent/CN109076102B/zh active Active
- 2017-04-03 WO PCT/IB2017/051896 patent/WO2017178921A1/en active Search and Examination
- 2017-04-03 EP EP17718130.2A patent/EP3437306B1/en active Active
- 2017-04-03 US US15/517,474 patent/US11323478B2/en active Active
- 2017-04-03 PL PL17718130.2T patent/PL3437306T3/pl unknown
- 2017-04-03 CN CN202111207223.1A patent/CN113949567B/zh active Active
- 2017-04-03 RU RU2018140079A patent/RU2710879C1/ru active
- 2017-04-14 TW TW106112661A patent/TWI652925B/zh active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009071431A1 (en) * | 2007-12-05 | 2009-06-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Allocation of resources to shared spectrum operators |
WO2012054016A1 (en) * | 2010-10-19 | 2012-04-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for generation of authorized virtual appliances |
Also Published As
Publication number | Publication date |
---|---|
US20180191782A1 (en) | 2018-07-05 |
CN113949567A (zh) | 2022-01-18 |
US11323478B2 (en) | 2022-05-03 |
WO2017178921A1 (en) | 2017-10-19 |
EP3437306A1 (en) | 2019-02-06 |
CN113949567B (zh) | 2023-10-13 |
EP3437306B1 (en) | 2023-11-22 |
TW201803323A (zh) | 2018-01-16 |
CN109076102A (zh) | 2018-12-21 |
TWI652925B (zh) | 2019-03-01 |
PL3437306T3 (pl) | 2024-04-15 |
RU2710879C1 (ru) | 2020-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109076102B (zh) | 用户设备容器和网络切片 | |
US11595813B2 (en) | Profile handling of a communications device | |
US9882909B2 (en) | System and method for application usage controls through policy enforcement | |
US8650620B2 (en) | Methods and apparatus to control privileges of mobile device applications | |
US8898459B2 (en) | Policy configuration for mobile device applications | |
CN110786034B (zh) | 用于网络切片隐私考虑的方法、用户设备和功能节点 | |
KR102406757B1 (ko) | 보안 모듈의 가입자 프로파일 프로비저닝 방법 | |
Schneider et al. | Towards 5G security | |
US9831903B1 (en) | Update of a trusted name list | |
US8918841B2 (en) | Hardware interface access control for mobile applications | |
US11558427B2 (en) | Access point name and application identity based security enforcement in service provider networks | |
CN114556994A (zh) | 用于处理非公共网络中的未被完整性保护的拒绝消息的方法和装置 | |
US10826945B1 (en) | Apparatuses, methods and systems of network connectivity management for secure access | |
US10498880B2 (en) | Mobile communication device with a plurality of applications activatable via a pin | |
US11595819B2 (en) | Secure attestation packages for devices on a wireless network | |
US11617086B2 (en) | Loading security information with restricted access | |
EP3120585B1 (en) | Accessing data services while roaming | |
Falk et al. | Decentralized reconfiguration control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |