CN110933019B

CN110933019B - 用于前台应用程序的网络策略管理的方法

Info

Publication number: CN110933019B
Application number: CN201910462205.4A
Authority: CN
Inventors: S·哈特利
Original assignee: GM Global Technology Operations LLC
Current assignee: GM Global Technology Operations LLC
Priority date: 2018-09-19
Filing date: 2019-05-30
Publication date: 2022-04-05
Anticipated expiration: 2039-05-30
Also published as: CN110933019A; US20200092295A1; US10862893B2; DE102019114530A1

Abstract

本发明题为“用于前台应用程序的网络策略管理的方法”。提供了用于管理客户端上的应用程序的网络策略的系统和方法，该方法包括：由客户端发现第一网络；确定该第一网络是否是受限网络；当该第一网络是受限网络时，将受限网络规则应用于该客户端；当该第一网络是受限网络时，降低该第一网络的网络得分；以及与该第一网络相关联。

Description

用于前台应用程序的网络策略管理的方法

背景技术

本公开整体涉及用于在无线通信系统中管理客户端和服务提供商之间的前台应用程序的网络策略的系统和方法。

无线通信系统，包括用于无线局域网(WLAN)和无线保真(Wi-Fi)接入点的基础设施，通常在电气和电子工程师协会(IEEE)802.11系列标准的协议下操作。近来人们致力于开发一系列标准以简化漫游时客户端诸如移动设备与公共Wi-Fi热点或蜂窝网络的连接。例如，Wi-Fi

支持Wi-Fi Certified Passpoint^TM的认证程序和技术规范，也称为Wi-Fi热点2.0，其可在客户端和服务提供商(诸如，公共Wi-Fi热点或蜂窝网络)之间实现安全自动连接，即使在漫游时也是如此。其他示例包括IEEE 802.11u技术规范，其提供接入网络查询协议(ANQP)和无线宽带联盟下一代热点计划。

当客户端经由热点接入点连接到各种Wi-Fi网络时，这些Wi-Fi网络可能受限。受限Wi-Fi网络具有网络策略，这些网络策略可限制某些前台应用程序(即，具有在前台的客户端上运行的活动或服务的应用程序，使得用户知道该应用程序)访问受限网络的能力。目前，网络策略使用应用程序唯一标识符(UID)基于每个应用程序仅对后台应用程序实施。在限制应用程序访问网络的情况下，应用程序被阻止访问任何网络。因此，本领域需要一种网络策略管理系统和方法，其允许被批准的应用程序访问受限网络，同时允许被禁止的应用程序访问其他非受限网络。

发明内容

根据多个方面，一种用于管理客户端上的应用程序的网络策略的方法包括：由客户端发现第一网络；确定该第一网络是否是受限网络；当该第一网络是受限网络时，将受限网络规则应用于客户端；当该第一网络是受限网络时，降低第一网络的网络得分；以及连接到该第一网络。

在另一方面，降低该第一网络的网络得分包括减小网络得分的数值。

在另一方面，该方法包括连接到第二网络。

在另一方面，该方法包括向该第二网络设置第二网络得分，并且其中降低该第一网络的网络得分包括将网络得分降低为低于第二网络得分。

在另一方面，将具有最高网络得分的网络设置为默认网络。

在另一方面，确定该第一网络是否是受限网络包括确定客户端是否具有用于该第一网络的每个提供商订阅管理对象(PPS-MO)。

在另一方面，确定网络是否是受限网络包括确定PPS-MO是否包括应用程序策略。

在另一方面，应用程序策略设置对客户端上的应用程序的第一网络的访问权限。

在另一方面，PPS-MO还包括用于已由第一网络的服务提供商提供的凭据和相关联数据的节点。

在另一方面，PPS-MO与一组协议相关联，该组协议允许客户端通过在每次客户端连接到第一网络时保存客户端凭据并重新提交客户端凭据来与第一网络连接。

在另一方面，应用程序策略包括指示应用程序策略设置的访问权限种类的访问类型。

在另一方面，该访问类型包括其中应用程序对第一网络具有非受限访问的类型。

在另一方面，该访问类型包括白名单类型，其中如果应用程序在应用程序策略名单上，则该应用程序对第一网络具有非受限访问，并且如果应用程序不在应用程序策略名单上，则该应用程序被阻止访问第一网络。

在另一方面，访问类型包括黑名单类型，其中如果应用程序不在应用程序策略名单上，则该应用程序对第一网络具有非受限访问，并且如果应用程序在应用程序策略名单上，则该应用程序被阻止访问第一网络。

在另一方面，访问类型包括供应商类型，其中仅允许与特定供应商相关联的应用程序访问第一网络。

在另一方面，由客户端发现第一网络包括使用IEEE 802.11u和接入网络查询协议(ANQP)下的预关联发现。

在另一方面，将受限网络规则应用于客户端包括使用用于第一网络的每个提供商订阅管理对象(PPS-MO)来设置确定应用程序是否具有对第一网络的访问权限的应用程序策略。

在另一方面，该应用程序是前台应用程序。

根据多个其他方面，一种用于管理具有第一网络和第二网络的网络策略的系统包括：被配置为与该第一网络和该第二网络无线通信的收发器；连接到该收发器的处理器；以及用于存储由该处理器执行的计算机代码的存储器，该计算机代码被配置为：发现该第一网络；确定该第一网络是否是受限网络；当该第一网络是受限网络时，将受限网络规则应用于客户端；向该第一网络设置第一网络得分；向该第二网络设置第二网络得分；当该第一网络是受限网络时，降低第一网络的第一网络得分，使得该第二网络成为默认网络；并连接到第一网络。

根据多个其他方面，一种存储指令的非暂态机器可读存储介质，该指令在执行时：发现第一网络；与第二网络连接；确定该第一网络是否是受限网络；当该第一网络是受限网络时，将受限网络规则应用于客户端；向该第一网络设置第一网络得分；向该第二网络设置第二网络得分；当该第一网络是受限网络时，降低该第一网络的第一网络得分，使得该第二网络成为默认网络，并且对该第一网络不具有访问权限的应用程序可以访问第二网络；并连接到第一网络。

根据本文提供的描述，其他适用领域将变得显而易见。应当理解，该描述和具体示例仅旨在用于说明的目的，并非旨在限制本公开的范围。

附图说明

本文描述的附图仅用于说明目的，并非旨在以任何方式限制本公开的范围。

图1是示例性多网络架构的示意图；

图2是示例性客户端的示意图；并且

图3是示出用于管理网络策略的方法的示例性实施方案的流程图。

具体实施方式

以下描述本质上仅是示例性的，并非旨在限制本公开、应用或用途。

参考图1，与本发明一起使用的多网络架构的示例通常以参考标号10表示。多网络架构10通常包括能够由客户端12访问的两个或更多个网络。在所提供的示例中，多网络架构10包括Wi-Fi网络14、电信网络16和以太网络18。应当理解，在不脱离本公开的范围的情况下，其他网络可用于多网络架构10中。

客户端12是能够连接到多网络架构10的任何移动设备。例如，客户端12可以是电话或智能电话12A、平板电脑或计算机12B或者机动车辆12C等。简要地参考图2，客户端12通常包括：控制器18，其是具有预编程数字计算机或处理器20的非通用电子控制设备；存储器或非暂态计算机可读介质22，其用于存储数据诸如控制逻辑、软件应用程序、指令、计算机代码、数据、查找表等；收发器24；以及任意数量的输入/输出端口26。计算机可读介质包括能够被计算机访问的任何类型的介质，诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频盘(DVD)或任何其他类型的存储器。“非暂态”计算机可读介质不包括有线通信链路、无线通信链路、光学通信链路或者传输暂态电信号或其他信号的其他通信链路。非暂态计算机可读介质包括可以永久存储数据的介质以及可以存储数据并随后重写数据的介质，诸如可重写光盘或可擦除存储器设备。计算机代码包括任何类型的程序代码，包括源代码、目标代码和可执行代码。处理器20被配置为执行代码或指令。处理器20与非暂态计算机可读介质22、收发器24和输入/输出端口26通信。收发器24被配置为使用IEEE 802.11x下的Wi-Fi协议与Wi-Fi网络14进行无线通信和/或使用蜂窝数据通信协议诸如LTE等与电信网络16进行无线通信。输入/输出端口被配置为与以太网络18通信。在客户端12是机动车辆12C的情况下，控制器18可以是专用Wi-Fi控制器或引擎控制模块、传输控制模块、身体控制模块、信息娱乐控制模块等。

客户端12还包括一个或多个应用程序28。应用程序28是被配置为执行特定功能或功能组的软件程序。应用程序28可包括适于在合适的计算机可读程序代码中实现的一个或多个计算机程序、软件部件、指令集、过程、功能、对象、类、实例、相关数据或其一部分。应用程序28可以存储在存储器22内或者存储在另外或单独的存储器中。应用程序28的示例包括音频或视频流服务、游戏、浏览器、社交媒体等。在所提供的示例中，应用程序28包括后台应用程序和前台应用程序两者。前台应用程序具有在前台的客户端12上运行的活动或服务，使得用户知道该应用程序。

回到图1，无线网络14优选地根据IEEE 802.11u技术规范进行配置并且使用接入网络查询协议(ANQP)。无线网络14可具有其他配置，包括在无线宽带联盟下一代热点计划下作为Wi-Fi Certified Passpoint^TM(版本2或更高版本)Wi-Fi网络(下文称为“热点2.0”)操作的网络。在2016Wi-Fi联盟热点2.0(版本2)技术规范版本1.2中提供了对热点2.0的描述，其通过引用方式并入本文。Wi-Fi网络14可以是非受限的或受限的。在Wi-Fi网络14受限的情况下，Wi-Fi网络14限制某些应用程序28对Wi-Fi网络14的访问。哪些应用程序28被限制以及哪些被允许由提供商订阅管理对象(PPS-MO)确定，如下文将描述。一般来讲，Wi-Fi网络14包括热点30，该热点与客户端12、漫游合作方或服务提供商32以及互联网协议网络34(诸如，互联网)通信。

热点30是使用Wi-Fi接入网络提供对分组数据服务(诸如，互联网34)的访问的站点。热点30可以是公共的或私有的。热点30包括接入点36和本地服务器38。接入点36是将包括安全和认证的任何所需IEEE802.11逻辑功能实例化的设备或设备组(诸如，路由器)，如IEEE 802.11-2012中所定义的。接入点36可包括附加的控制、用户和管理功能。本地服务器38是本地认证、授权与记帐(AAA)服务器和本地在线注册(OSU)服务器。

服务提供商32提供热点30的网络服务。服务提供商32包括远程AAA服务器、远程OSU服务器、用户管理系统以及归属位置寄存器(HLR)和高速串行(HSS)接口等。

电信网络16包括用于移动设备的任何无线网络提供商。电信网络16被配置为使用高速无线通信协议(诸如，LTE、4G、5G等)进行通信。电信网络16提供语音到语音通信以及对互联网34的访问。以太网络18是连接两个或更多个设备以形成局域网的有线网络连接。以太网络18使用以太网协议根据IEEE 802.3进行通信。

现在转到图3，示出了用于管理通用第一网络和/或第二网络之间的网络策略的方法，通常以参考标号100表示。方法100被配置为在客户端12的控制器18上操作。方法100发生在多网络架构10内并管理Wi-Fi网络14(即第一网络)和电信网络16、以太网络18或另一网络中的一者或多者(即第二网络)之间的网络策略。在所提供的示例中，客户端12在方法100的执行期间连接到第二网络。方法100开始于框102，在此处客户端12扫描或发送探测请求，以用于要连接的接入点。在框104处，客户端12发现要连接的接入点36。客户端12使用IEEE 802.11u和ANQP下的预关联发现机制，并且可使用可扩展认证协议(EAP)来发现接入点36。

一旦发现接入点36，客户端12就在框106处确定接入点36是否具有保存的应用程序策略。应用程序策略存储在每个提供商订阅管理对象(PPS-MO)中。PPS-MO建立凭据信息并向客户端12提供用于接入点36的所选热点30和服务提供商32的策略信息。PPS-MO可已经存储在客户端12内或者由服务提供商32提供。在客户端12先前未连接到热点30的情况下，客户端12与接入点26通信并且与热点30和服务提供商32设立新帐户。然后，服务提供商16向客户端12提供PPS-MO。

PPS-MO包括包含数据的节点、对象或字段。与方法100一起使用的PPS-MO的示例在2018年6月20日提交的共同转让的美国申请16/013,279中有所描述，该申请据此全文以引用方式并入本文。PPS-MO包括应用程序策略。应用程序策略设置存储在客户端12内的一个或多个应用程序28相对于服务提供商32的访问权限。

该应用程序策略包括访问类型和应用程序策略名单。访问类型包含与应用程序策略所设置的访问权限种类相关的信息。访问权限的示例包括其中应用程序28对服务提供商32具有非受限访问的类型。在该示例中，Wi-Fi网络14被表征为非受限的。在另一个示例中，访问类型包括白名单类型、黑名单类型或供应商类型，所有这些类型都表征受限Wi-Fi网络14。在白名单类型中，如果应用程序28在应用程序策略名单上，则该应用程序28对服务提供商32具有非受限访问，并且如果应用程序28不在应用程序策略名单上，则该应用程序被阻止访问服务提供商32。在黑名单类型中，如果应用程序28不在应用程序策略名单上，则该应用程序28对服务提供商32具有非受限访问，并且如果应用程序28在应用程序策略名单上，则该应用程序被阻止访问服务提供商32。在供应商类型中，仅允许与特定供应商相关联的应用程序28访问服务提供商32。应用程序策略名单包括要为其定义访问权限的应用程序28的名单。在一个示例中，应用程序28根据唯一应用程序标识符(ID)列出。应用程序ID可以是与Android操作系统和/或Apple操作系统相关联的那些ID。

如果在框106处，接入点36不包括保存的应用程序策略或不能提供PPS-MO，则方法100返回到框102并继续扫描接入点。如果接入点36包括保存的应用程序策略，则方法100前进到框108，在框108处客户端12确定Wi-Fi网络14是否是受限网络。如上所述，如果PPS-MO内的应用程序策略将一个或多个应用程序28的访问权限限制为Wi-Fi网络14，则Wi-Fi网络14被认为是受限网络。

如果Wi-Fi网络14受限，则方法前进到框110。如果Wi-Fi网络14不受限，则方法前进到框112。在框110处，客户端12将受限Wi-Fi网络(RWN)规则应用于客户端12的应用程序28并设置网络得分。RWN规则包括将PPS-MO的规则应用于应用程序28，包括应用程序策略。

网络得分是应用于客户端12所连接的所有网络的动态数字得分。因此，客户端12为电信网络16和以太网络18或任何其他连接的网络设置网络得分。将具有最高网络得分的网络设置为默认网络。如果应用程序28没有请求其他网络，则默认网络是应用程序28将用来发送数据包的网络。某些应用程序28可使用默认网络或者可请求对特定网络(包括受限Wi-Fi网络16)的特定访问。在框110处，客户端12降低受限Wi-Fi网络16的网络得分的数值。优选地将受限Wi-Fi网络16的网络得分降低为小于任何连接的非受限网络的网络得分。因此，如果包括前台应用程序在内的应用程序28被PPS-MO限制访问受限Wi-Fi网络16，则应用程序28将使用默认网络(其被有目的地设置为不是受限Wi-Fi网络16)来发送数据包和访问互联网34。因此，不允许使用受限Wi-Fi网络16的应用程序28将在电信网络16或以太网络18中的一者上工作而不中断服务。具有使用受限Wi-Fi网络16的权限的应用程序28将具有对受限Wi-Fi网络16的访问权。在框112处，客户端12与接入点36相关联并在RWN规则和降低的网络得分下操作。当客户端12与热点30成功关联和认证时，应用程序28可以访问客户端12已订阅的服务。

方法100允许前台应用程序无缝控制使用受限Wi-Fi网络，而应用程序不必知道该受限Wi-Fi网络。不具有对受限Wi-Fi网络的访问权的前台应用程序将被允许使用连接到客户端12的任何其他非受限网络，而不是被阻止访问互联网34。因此，方法100改进了客户端12的功能并改进了网络管理和应用程序使用的功能。

本公开的描述本质上仅是示例性的，并且不脱离本公开的主旨的变型旨在落入本公开的范围内。不应将这些变型视为脱离本公开的实质和范围。

Claims

1.一种用于管理客户端上的应用程序的网络策略的方法，所述方法包括：

由所述客户端发现第一网络；

确定所述第一网络是否是受限网络；

当所述第一网络是受限网络时，将受限网络规则应用于所述客户端；

当所述第一网络是受限网络时，降低所述第一网络的网络得分；其中降低所述第一网络的所述网络得分包括减小所述网络得分的数值；

与所述第一网络相关联；以及

无缝地控制应用程序使用受限网络，而不需要应用程序知道受限网络，并且当其他应用程序被阻止访问受限网络时，将其他应用程序同时连接到非受限网络；

所述方法还包括向第二网络设置第二网络得分，并且其中降低所述第一网络的所述网络得分包括将所述网络得分降低为低于所述第二网络得分；连接到第二网络。

2.根据权利要求1所述的方法，其中将具有最高网络得分的网络设置为默认网络。

3.根据权利要求1所述的方法，其中确定所述第一网络是否是受限网络包括确定所述客户端是否具有用于所述第一网络的每个提供商订阅管理对象(PPS-MO)。

4.根据权利要求3所述的方法，其中确定所述第一网络是否是受限网络包括确定所述PPS-MO是否包括应用程序策略。

5.根据权利要求4所述的方法，其中所述应用程序策略设置对所述客户端上的所述应用程序的所述第一网络的访问权限。

6.根据权利要求3所述的方法，其中所述PPS-MO还包括用于已由所述第一网络的服务提供商提供的凭据和相关联数据的节点。

7.根据权利要求3所述的方法，其中所述PPS-MO与一组协议相关联，所述一组协议允许所述客户端通过在所述客户端每次连接到所述第一网络时保存客户端凭据并重新提交所述客户端凭据来与所述第一网络连接。

8.根据权利要求3所述的方法，其中应用程序策略包括指示应用程序策略设置的访问权限种类的访问类型；该访问类型包括其中应用程序对第一网络具有非受限访问的类型；该访问类型包括白名单类型，其中如果应用程序在应用程序策略名单上，则该应用程序对第一网络具有非受限访问，并且如果应用程序不在应用程序策略名单上，则该应用程序被阻止访问第一网络；访问类型包括黑名单类型，其中如果应用程序不在应用程序策略名单上，则该应用程序对第一网络具有非受限访问，并且如果应用程序在应用程序策略名单上，则该应用程序被阻止访问第一网络；访问类型包括供应商类型，其中仅允许与特定供应商相关联的应用程序访问第一网络。