CN113906771A - 使用域名的通信流控制 - Google Patents
使用域名的通信流控制 Download PDFInfo
- Publication number
- CN113906771A CN113906771A CN202080037335.4A CN202080037335A CN113906771A CN 113906771 A CN113906771 A CN 113906771A CN 202080037335 A CN202080037335 A CN 202080037335A CN 113906771 A CN113906771 A CN 113906771A
- Authority
- CN
- China
- Prior art keywords
- addresses
- domain
- devices
- domain name
- pcrf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims description 58
- 230000001413 cellular effect Effects 0.000 claims abstract description 79
- 238000000034 method Methods 0.000 claims abstract description 34
- 230000008859 change Effects 0.000 claims abstract description 32
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 238000004590 computer program Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 14
- 230000006870 function Effects 0.000 description 23
- 230000008569 process Effects 0.000 description 15
- 238000012545 processing Methods 0.000 description 10
- 230000015654 memory Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 238000013500 data storage Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 108020001568 subdomains Proteins 0.000 description 2
- 230000001154 acute effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
- H04L12/1407—Policy-and-charging control [PCC] architecture
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/66—Policy and charging system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种使用能够通过蜂窝网络连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的系统和方法。使用能够进行连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的方法包括:接收一个或更多个装置的装置信息;接收一个或更多个装置被允许访问的至少一个域名的域名信息;将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测至少一个域以发现该域的一个或更多个IP地址的改变;以及如果发现该域的一个或更多个IP地址的任何改变,则更新该域名的一个或更多个IP地址。
Description
相关申请的交叉引用
根据35USC 119(e),本申请要求2019年5月21日提交的美国临时申请No.62/851,041的优先权,通过引用将该申请全部内容并入本文。
技术领域
本发明总体上涉及使用蜂窝或无线连接的装置的域名来控制通信流。
背景技术
越来越多的装置(无论是远程信息处理设备、传感器、平板电脑、电话还是被称为机器对机器(M2M)或物联网(IoT)装置的其他类型的硬件)能够连接至网络(如无线网络或蜂窝网络),用于发送或接收数据,用于与产品(如用户身份识别模块(SIM))一起使用。随着IoT解决方案被大量部署,并且随着对IoT解决方案的安全性的担忧的增加,限制IoT装置可在网络上访问的互联网协议(IP)地址的需要和需求变得更强烈。列入白名单或列入黑名单的特定IP地址是用于控制访问的可接受的备选方案,但是需要那些地址的知识和那些地址的连续更新。将域名而非特定IP地址列入白名单或列入黑名单可提供更简单且更好的解决方案。然而,由于与特定域名相关联的IP地址可能随时间而改变,因此在应用这些规则时出错的可能性增加。
因此,需要解决以上标识的问题的系统和/或方法。本发明解决了这样的需要。
发明内容
公开了一种使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的系统、方法和计算机程序产品。使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的方法包括:接收一个或更多个装置的装置信息;将装置与服务配置文件相关联,所述服务配置文件指定被允许或不被允许用于该装置的一个或更多个域;接收所述一个或更多个装置被允许访问的至少一个域名的域名信息;将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测至少一个域以发现所述域的所述一个或更多个IP地址的改变;以及如果发现该域的一个或更多个IP地址的任何改变,则更新该域名的一个或更多个IP地址。
使用域名进行自动通信流控制的系统包括:能够连接的一个或更多个装置、策略和计费规则功能软件节点(PCRF)、与PCRF一起存储的针对能够连接的装置的服务配置文件、以及分组数据分析器,所述服务配置文件标识具有该服务配置文件的装置被允许访问的域,其中,PCRF接收:所述一个或更多个装置的装置信息、所述一个或更多个装置被允许访问的至少一个域名的域名信息;并且其中,如果PCRF确定域名被允许用于具有所述服务配置文件的所述装置,则分组数据分析器将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测所述至少一个域以发现所述域的所述一个或更多个IP地址的改变;以及如果发现所述域的一个或更多个IP地址的任何改变,则更新域名的一个或更多个IP地址。
在实施例中,用于使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行通信流控制的计算机程序产品具有用于使计算机使用能够连接的一个或更多个装置的域名来控制用于通信流控制的应用的执行的计算机可读指令,所述计算机可读指令包括:接收一个或更多个装置的装置信息;接收一个或更多个装置被允许访问的至少一个域名的域名信息;将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测至少一个域以发现所述域的所述一个或更多个IP地址的改变;以及如果发现该域的一个或更多个IP地址的任何改变,则更新该域名的一个或更多个IP地址。
附图说明
图1示出了根据本发明的一个或更多个实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统100和过程。
图2示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统200和过程。
图3示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统300和过程。
图4A示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统400和过程。
图4B示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统400’和过程。
图5A示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统500和过程。
图5B示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统500’和过程。
图6示出了根据本发明的一个或更多个实施例的数据处理系统600,该数据处理系统600适用于存储计算机程序产品和/或执行与能够通过蜂窝或无线网络连接的一个或更多个装置的自动安全装置注册和提供有关的程序代码。
具体实施方式
本发明总体上涉及利用使用蜂窝或无线连接的装置的域名来控制通信流。
呈现以下描述以使得本领域普通技术人员能够制造和使用本发明,并且以下描述是在专利申请及其要求的背景下提供的。对本文描述的优选实施例和一般原理与特征的不同修改对于本领域技术人员将是显而易见的。由此,本发明并非旨在限于所示出的实施例,而是要符合与本文中所描述的原理和特征一致的最广范围。
尽管本发明是关于包括连接模块(如用户身份识别模块(SIM))的产品进行描述的,如本文所使用的,术语“产品”旨在包括以下各项、能够与以下各项互换和/或与以下各项同义:远程信息处理装备、传感器、电器、电子模块、电话设备和其他类似产品,所述远程信息处理装备、所述传感器、所述电器、所述电子模块、所述电话设备和所述其他类似产品能够连接至无线或蜂窝网络并且需要注册具有不同识别号码的产品,所述不同识别号码诸如集成电路卡识别码(ICCID)、国际移动用户识别码(IMSI)、移动设备识别码(MEID)或如以下进一步描述的并且本文统称为“号码”的其他序列号,在服务提供商接收服务的情况下,将认识到,功能方面不同类型的产品可以具有特定于其个体能力和/或部署的特性、功能和/或操作。
越来越多的装置(无论是远程信息处理设备、传感器、平板电脑、电话还是被称为M2M或物联网(IoT)装置的其他类型的硬件)能够通过使用诸如用户身份识别模块(SIM)的此类产品来连接至网络(诸如无线或蜂窝网络)以用于发送或接收数据。随着IoT解决方案被大量部署,并且随着对IoT解决方案的安全性的担忧的增加,限制IoT装置能够在网络上访问的IP地址的需要和需求变得更强烈。
限制IoT装置可访问的IP地址的一种方法是在蜂窝网络的分组网关(P-GW)处定义自定义接入点名称(APN)和策略。该方法的缺点是允许访问每个唯一的IP地址的集合需要新的APN和策略;定义这些APN和策略需要P-GW的运营商部分的努力并且涉及错误配置P-GW的风险。可选的方法是在P-GW和互联网之间采用防火墙,其中防火墙可以配置有规则以匹配蜂窝装置的分配的IP地址和允许蜂窝装置到达和/或访问的IP地址。
然而,因为每个防火墙规则将需要识别它所应用的蜂窝装置,并且因为网络上多个蜂窝装置中的每个蜂窝装置的允许IP地址的集合可能不同,所以在任何时间防火墙中可能需要存在数千或数百万条规则。此外,网络运营商可以将IP地址动态地分配给蜂窝装置,使得例如给定的蜂窝装置在某一时间建立分组数据会话时可以具有一个IP地址,而在不同的时间建立分组数据会话时可以具有不同的IP地址。在这种场景下,防火墙中的蜂窝装置的规则在该蜂窝装置终止其分组数据会话时将必须被卸载、停用或移除,以使网络运营商将相同的IP地址安全地重新分配给另一蜂窝装置。不断向防火墙添加和移除规则将对防火墙的操作形成令人印象深刻的开销。
一种替代方法是使用由第三代合作伙伴计划(3GPP)指定的实体。这些实体是策略和计费规则功能(PCRF)以及策略和计费执行功能(PCEF)。3GPP技术规范29.212定义了PCRF如何可以为每个蜂窝装置指定该蜂窝装置被允许和不被允许访问什么IP地址,从而有效地形成IP地址的白名单和黑名单。然后,PCEF执行白名单和黑名单。PCEF可以被实现为P-GW(LTE网络)或GGSN(GSM和WCDMA网络)的子系统。在蜂窝网络中使用PCRF和PCEF功能降低了对网络运营商的操作方面的努力和风险。
利用用于存储允许什么蜂窝装置访问什么IP地址的映射的适当机制,网络运营商甚至可以允许他们的客户通过例如网络门户指定他们自己的“白名单”(允许的)IP地址。
然而,考虑蜂窝装置与运行在具有IP地址的主机上的服务通信,并且蜂窝装置已经被允许访问该IP地址的情况。如果服务停止在该第一主机上运行,并且开始在具有第二IP地址的第二主机上运行,则将需要允许蜂窝装置访问该第二IP地址。将域名而不是特定IP地址列入白名单或黑名单可提供更简单且更好的解决方案,因为它引入了间接级别:蜂窝装置的运营商可以配置蜂窝装置以通过使用域名系统(DNS)来确定它需要与之通信的服务的IP地址,并且PCRF也可以通过使用DNS来确定将什么IP地址列入白名单或黑名单。然而,由于与特定域名相关联的IP地址可能随时间而改变,因此在应用这些规则时出错的可能性增加。
通常,PCRF被设计为基于IoT装置的服务配置文件来控制IoT装置的访问和动作。例如,PCRF可以允许分组数据传输,使得分组数据会话丢弃,向通信分配计费代码,和/或应用服务质量策略。这些动作类似于防火墙可以采取的动作。PCRF可以实施的另一规则是将通信列入白名单或黑名单。列入白名单可以包括:允许装置仅与有限的IP地址或端口的集合通信,并且拒绝其它一切。例如,可以向旨在用于特定用途而不是用于对互联网的一般访问的装置分配限制可以到达的、通过PCRF实施的、将防止工作人员访问工作网站之外的任何事物或者将需要温度传感器向仅一个IP地址发送数据的端点的服务配置文件。将通信列入黑名单可以包括:防止装置访问指定的IP地址或端口的集合并允许任何其他,或者阻止128.0.0.0/1并允许任何其他。PCRF可以被配置为将特殊的通信计费规则应用于具有特定服务配置文件的装置,诸如针对特定场景应用特定规则,该特定场景例如,不针对用户的数据计划对与去往或来自特定IP地址的通信相关联的数据分组进行计数。
然而,关于特定IP地址的规则功能列入白名单或黑名单不是很适合于其中列入白名单的端点是网站或网络应用的情形,因为许多网站使用外部资源和子域,并且学习和应用用于访问这样的站点的外部资源、子域等的附加过滤规则可能潜在地需要许多工作。此外,与列入白名单的端点相关联的IP地址频繁地改变。手动更新IP地址成本过高,并且可能产生易于出错的结果。
3GPP技术规范29.212(Gx参考点上的策略和计费控制(PCC))的应用能够将蜂窝装置可到达的IP地址(或地址范围)列入白名单,并且将未列入白名单的任何其他IP地址列入黑名单。蜂窝装置将能够与列入白名单的IP地址通信,并且将不被允许与列入黑名单的IP地址通信。这个白名单(连接锁定)在以下示例性情形下是最合适的,在这些情形下,客户的应用需要与小的IP地址的集合通话,并且这些IP地址不改变,担心黑客可能试图接管装置并使装置向新的IP地址发送通信,或者存在客户担心SIM将从预期的装置移除并用于通用互联网访问,从而导致计划外的和不期望的使用费用。
策略和计费规则功能(PCRF)以及策略和计费执行功能(PCEF)是两个不同的功能实体,它们可以是或可以不是同一计算机程序产品的一部分。例如,网络运营商可以编写满足创建策略和执行策略的功能的程序,但是该程序将是单片的,或者网络运营商可以编写不同的程序,其中一个程序满足创建策略的功能,而另一个程序满足执行策略的功能。在示例性实现中,PCRF通过计算机网络向PCEF传送应当向特定蜂窝装置应用什么策略,例如黑名单、白名单等。
网络提供商可以实现PCRF以在数据库中存储用于一组蜂窝装置的服务配置文件,该服务配置文件列出了那些装置的将被列入白名单或黑名单的IP地址,并且配置PCRF来查阅该数据库中的服务配置文件和数据,以确定要采取什么动作以及对PCRF所观察的来自或去往一个这样的蜂窝装置的每个IP分组应用的规则。如果服务配置文件允许访问IP地址或IP地址范围,则将这些IP地址称为列入白名单。
为了减少不需要的数据记帐且减轻安全问题,客户可能希望将客户装置可与之通信的互联网目的地限制到特定的列入白名单的目的地集合。目前,这可以通过PCRF中存储并由PCRF应用的服务配置文件,经由虚拟专用网络(VPN)集成或基于IP地址的白名单来完成。然而,管理VPN可能需要资源,并且通过PCRF的基于IP地址的白名单可能不够灵活。此外,在服务配置文件中输入允许的目的地的人员必须知道这些目的地的精确数字IP地址,这引入了手动输入出错的机会,并且使得策略规则的检查不太直观,因为数字IP地址不能可视地显示允许或禁止的目的地的名称。基于诸如统一资源定位符(URL)网址的主机名的白名单可以提供附加的灵活性和简单性。
为了使得能够通过使用域名进行通信控制,存储在PCRF中的装置的服务配置文件可以列出针对该装置允许或拒绝的目的地的域名、与该装置相关联的数字IP地址、或两者;PCRF将应用允许或阻止使用遵循3GPP技术规范29.212的实际IP地址的通信的规则。如果域名存储在服务配置文件中,但是没有存储数字IP地址,则PCRF可以执行其自身的DNS查询,以将域名解析成数字IP地址。然而,与域名相关联的特定数字IP地址可能频繁地改变,如果与PCRF中的主机名相关联的IP地址不再正确,以及通过规则安装程序PCEF不再正确,则这可能导致不成功的连接尝试。本发明提出的实施例确保特定的数字IP地址或与域名相关联的地址保持最新。
在由网络提供商控制的环境中安装嗅探器或分组数据分析器可以用于使用域名系统(DNS)查找以发现与域名相关联的一个或更多个IP地址是否已经发生改变。分组数据分析器可以被自动地配置为更新PCRF中的该装置的服务配置文件中的所允许(被列入白名单)或禁止(被列入黑名单)的IP地址或多个IP地址。网络运营商可以托管其自己的DNS服务器,并且通过例如动态主机配置协议(DHCP)引导蜂窝装置使用那些DNS服务器。那些蜂窝装置的运营商可以编程蜂窝装置以使用由网络运营商通过例如DHCP或蜂窝装置可到达的任何其他DNS服务器广播的DNS服务器。因为分组数据分析器可以拦截和读取由网络运营商管理的所有蜂窝装置的DNS查找,而不考虑DNS查找的目的地,所以分组数据可以确保结果是正确的,例如,PCRF的服务配置文件中的经修改的列入白名单的IP地址与蜂窝装置将试图到达的IP地址匹配。因为网络提供商的DNS服务器将抵抗由试图欺骗装置访问不想要的IP地址(诸如欺骗或高速缓存中毒)的恶意行为者使用的通用技术,所以使用DNS服务器可提供附加的安全性。
本发明的实施例可以包括输出,以实现由网络提供商人员(如日志)的周期或定期的审计和监测。
本文描述的实施例可以与网络运营商或另一实体提供的DNS服务器协同使用,例如,如下表1:
本发明的示例性实现方式将把分组数据分析器结合到由网络运营商运行的DNS服务器中。如果蜂窝装置使用加密(例如,通过TLS的DNS或通过HTTPS的DNS)来增强它们的DNS查找的机密性或完整性,则分组数据分析器可以采取例如由DNS服务器的程序调用的函数、方法或过程的形式:每当DNS服务器接收到对DNS查询的应答时,它可以通过调用分组数据分析器来向分组数据分析器通知结果。如果发现与域名相关联的IP地址或多个IP地址中的任何不一致,则该域名的IP地址或多个IP地址被自动更新并且在网络提供商的数据库中保持最新,使得其与该域名的实际IP地址同步。特定域名的IP地址或多个IP地址的这种连续更新将允许客户基于域名而不是IP地址或多个IP地址建立白名单/黑名单。例如,没有限制可允许去往/来自任何目的地的通信;白名单<ipchicken.com>和<aeris.com>将允许去往<ipchicken.com>和<aeris.com>的通信,以通过和阻止去往任何其他目的地的通信;黑名单<facebook.com>将阻止去往<facebook.com>的通信并且允许去往任何其他目的地的通信通过。
为了在IoT装置(例如,安装在车辆或传感器中的远程信息处理装置)的背景下更详细地描述本发明的特征,结合以下讨论参考附图,该IoT装置能够通过安装在其中的产品(例如,SIM)与无线或蜂窝网络连接。这些示例仅用于说明的目的,并且不应被解释为限制。
本文所描述的实施例公开了一种使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的方法和系统。
公开了一种使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的系统、方法和计算机程序产品。
这种使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的方法包括:接收该一个或更多个装置的装置信息;接收一个或更多个装置试图访问的至少一个域名的域名信息,将一个或更多个装置与服务配置文件相关联,所述服务配置文件列出这类装置被允许访问的域名;将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测至少一个域以发现所述域的一个或更多个IP地址的改变;以及如果发现该域的一个或更多个IP地址的任何改变,则更新该域名的一个或更多个IP地址。
使用域名进行自动通信流控制的系统包括:能够连接的一个或更多个装置、PCRF以及分组数据分析器,其中,该PCRF接收:一个或更多个装置的装置信息、一个或更多个装置试图访问的至少一个域名的域名信息、将一个或更多个装置与存储在该PCRF中的服务配置文件相关联,该服务配置文件列出一个或更多个装置被允许访问的域名;并且其中,分组数据分析器将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测至少一个域以发现所述域的一个或更多个IP地址的改变;以及如果发现该域的IP地址的任何改变,则更新该域名的一个或更多个IP地址。
在一个实施例中,使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行通信流控制的计算机程序产品具有用于使计算机使用能够连接的一个或更多个装置的域名来控制用于通信流控制的应用的执行的计算机可读指令,所述计算机可读指令包括:接收一个或更多个装置的装置信息;接收所述一个或更多个装置被允许访问的至少一个域名的域名信息;将至少一个域名与一个或更多个互联网协议(IP)地址相关联;监测至少一个域以发现所述域的一个或更多个IP地址的改变;以及如果发现该域的一个或更多个IP地址的任何改变,则更新该域名的一个或更多个IP地址。
图1示出了根据本发明一个或更多个实施例的使用能够连接的一个或更多个装置的域名进行自动通信流控制的示例性系统100和过程。在实施例中,PCRF实体通过它们的“组”和“id”字段链接在一起,如图1中所示。这些链接像关系数据库中的“外键”一样起作用。当用户请求数据会话时,PCRF将遵循这些链接以组装规则从而形成用户的通信规则。该图示展示了这些链接。例如,当PCRF处理用户的数据会话的请求时,它检查与用户相关联的策略和计费控制(PCC)服务配置文件101。PCRF从数据存储器加载与PCC服务配置文件101相关联的PCC规则配置文件102a和102b;从数据存储器加载与PCC规则配置文件102a和102b相关联的PCC规则103a和103b;从数据存储器加载与PCC规则103a和103b相关联的流配置104a、104b和105a;根据存在于流配置104a和104b中的流信息以及PCC规则103a中包含的规则信息创建计费规则对象;根据流配置105a和PCC规则103b中存在的流信息创建计费规则对象;并且使用这些计费规则对象来执行所配置的通信策略。
图2示出了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统和过程200。在实施例中,策略和计费控制(PCC)规则224包括:规则名称(用作标识符w/策略和计费规则执行功能(PCEF))、服务标识符(识别服务数据流所涉及的服务或服务组件)、服务数据流过滤器(选择规则应用的通信)、优先级(在应用一个以上规则的情况下选择规则)、门状态(允许/阻止分组上行链路/下行链路)、QoS参数(比特率、分配/保留等)、计费关键字(即,评级组)、其他计费参数(在线、离线等)以及监测关键字(用于使用监测)。
策略实体或PCRF 206根据包括PCC服务配置文件(service_profile)220、PCC规则配置文件(rule_profile)222、PCC规则配置(rule_conf)224、流配置(flow_conf)226、服务质量配置文件(qos_profile)230、计费配置文件(charging_profile)232、使用监控器(usage_monitor)228和用户配置文件(sub_profile)218的对象组装策略和计费控制规则224。PCC服务配置文件(service_profile)220形成包括一个或更多个规则配置文件(rule_profile)对象的PCC策略。
规则配置文件(rule_profile)对象形成规则配置文件,该规则配置文件提供将应用什么规则以及这些规则将在一天中的哪个时间应用。规则配置(rule_conf)224提供如果流配置(flow_conf)226描述分组则将在分组上采取的动作,例如,丢弃通信、应用收费和QoS和监测等。
流配置(flow_conf)226提供如何基于分组报头信息来识别通信,所述分组报头信息例如网络和用户设备IP地址、网络和用户设备端口、协议和例如至用户设备的方向、来自用户设备的方向、或两者的方向等。服务质量配置文件(QoS_profile)230提供服务质量属性,例如最大比特率、保证比特率、qos等级等。
计费配置文件(charging_profile)232描述了该服务流(例如,通过流配置(flow_confs)226分类的通信)如何得到计费(例如,当PCEF得到分组时,计费记录中的信息被发送到离线计费系统(OfCS)或在线计费系统(OCS)系统)。
使用监控器(usage_monitor)228为装置的通信定义监测信息,并且用户配置文件(subs_profile)218将PCC策略映射到用户设备(UE)。其中,通常,服务配置文件(service_profile)220、规则配置文件(rule_profile)220、规则配置(rule_conf)224、流配置(flow_conf)226以及用户配置文件(subs_profile)218用于将IP地址和/或端口列入黑名单/列入白名单。
策略和计费规则功能(PCRF)206以及策略和计费执行功能(PCEF)是两个不同的功能实体,其可以是或可以不是相同的计算机程序产品的一部分。在示例性实现方式中,PCRF206通过计算机网络与PCEF通信应当将什么策略(黑名单、白名单等)应用于某个蜂窝装置。PCEF可以被实现为PCRF 206的子模块或PGW(LTE网络)或(GSM和WCDMA网络)208的子模块。
本领域技术人员可以理解,虽然本文提供了用于创建组的过滤器和/或属性的多个示例,但是可以使用不同其他属性来基于不同属性创建组。
图3图示了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统和过程300。在实施例中,通信被匹配用于分类,被分配服务质量策略324,并且经由EPS载体318被递送到用户设备302。
图4A展示了根据本发明的实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统和过程400。
如图4A所示,分组数据源于E-UTRAN 402或UTRAN 426蜂窝网络中的用户,在其到分组分布网络(Packet Distribution Network)(PDN)412的路上通过服务网关(SGW)406和分组网关(PGW)408(LTE网络)或服务GPRS支持节点(SGSN)422和网关GPRS支持节点(GGSN)420(GSM和WCDMA网络),并且由分组数据分析器(428)分析,分组数据分析器(428)可以经由步骤(1)通过例如PGW 408、GGSN 420和PDN 412之间的网络上的端口镜像来监测来自用户的分组数据。分组数据还由策略和计费执行功能(PCEF)430监测,为了遵从安装的策略和计费规则,PCEF 430通常被实现为PGW 408(LTE网络)或GGSN 420(GSM和WCDMA网络)的子模块。
当分组数据分析器(PDA)428检测到针对特定蜂窝用户的域名系统(DNS)请求和响应时,分组数据分析器(PDA)428可以经由步骤(3)向策略和计费规则功能(PCRF)416通知关于域名到IP地址的映射,并且PCRF 416可以经由步骤(4)向PCEF 430通知更新的策略和计费规则以允许或不允许去往或来自在DNS响应中发现的IP地址的分组数据。附加实体在线计费系统(OCS)410、GSM服务控制功能(gsmSCF)424和离线计费系统(OfCS)418仅为了参考而被示出。提供步骤(5)以示出不是到网络运营商的DNS服务器427的DNS请求或来自网络运营商的DNS服务器427的响应的蜂窝用户的通信,这里未示出,因为PDA 428将捕获到任何DNS服务器的DNS请求。
分组数据分析器(PDA)428可以安装在PCRF 416或分组数据网关(PGW)408(LTE网络)或GGSN 420(GSM和WCDMA网络)中和/或与PCRF 416或分组数据网关(PGW)408(LTE网络)或GGSN 420(GSM和WCDMA网络)协同工作。
为了使得能够通过使用域名进行通信控制,存储在PCRF 416中的装置的服务配置文件可以列出目的地的域名、与该装置相关联的数字IP地址、或两者;PCRF 416将应用允许或阻止使用遵循3GPP技术规范29.212的实际IP地址的通信的规则。如果域名存储在服务配置文件中,但是没有存储数字IP地址,则PCRF可以执行其自身的DNS查询,以将域名解析成数字IP地址。然而,与域名相关联的特定数字IP地址频繁地改变,如果与PCRF 416中的主机名相关联的IP地址(以及PCEF 430借助于规则安装程序)不再正确,则这可能导致不成功的连接尝试。本发明提出的实施例可以确保与域名相关联的特定数字IP地址保持最新。
因此,如图4A所示,分组数据分析器“窃听”携带DNS请求和响应的网络链路。
在由图4B所示并且在下文描述的实施例中,分组数据分析器是系统的一部分,例如,网络运营商的DNS服务器,分组数据分析器接收来自用户的DNS请求并且将DNS响应发送回用户。因此,图4A和4B之间的差异在于分组数据分析器与DNS请求和响应相关。
图4B展示了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统400’和过程。
如图4B所示,在实施例中,系统400’可以包括作为分组数据分析器(PDA)或作为DNS请求和响应分析器(DRRA)的协议数据分析器428’,作为由网络运营商操作的DNS服务器427’的子组件。来自蜂窝装置的DNS查询由网络运营商经由步骤(1’)引导到DNS服务器427’。DNS服务器427’将例如通过经由(2’)向适当的权威名称服务器发送查询来应答DNS查询,并且一旦DNS服务器427’接收到应答,DNS服务器427’就将调用具有响应的协议数据分析器428’。用于调用协议数据分析器428’的方法可包括但不限于调用功能或在消息总线上放置消息。由协议数据分析器428’接收的信息可以包括但不限于分组数据和/或DNS请求和响应的计算机可读表示,例如,C结构、Java对象等,尽管本领域技术人员可以实现也可以使用实现类似功能的其他实现方式。
协议数据分析器428’将发送对域名的IP地址的更新,这些域名的IP地址经由步骤(3’)被传送至PCRF 416’。PCRF 416’然后将经由步骤(4’)用更新后的IP地址来更新安装在PCEF 430’中的计费规则。这与图4A的不同之处在于,协议数据分析器428’不直接监测和解析网络通信以便监测域名到IP地址的映射,而是由DNS服务器427’给予该信息,出于其功能考虑,DNS服务器427’需要能够解析DNS请求和响应。提供步骤(5’)以示出不是到网络运营商的DNS服务器427’的DNS请求或来自网络运营商的DNS服务器427’的响应的蜂窝用户的通信。
图5A图示了根据本发明实施例的使用能够通过蜂窝或无线网络连接的一个或更多个装置的域名进行自动通信流控制的示例性系统和过程500。在该示例性系统中,蜂窝网络服务提供商的客户使用他们的管理系统512(其可以是例如由计算机程序辅助的人类管理员)来向面向互联网的管理系统516(其可以是例如REST API)传输通信规则514。这在图5A中由步骤(1)示出。
经由步骤(2),面向互联网的管理系统将客户通信规则传送到内部提供系统518,内部提供系统518根据蜂窝网络服务提供商的策略验证和调整客户通信规则,并将所调整和所验证的通信策略520存储到用于策略和计费控制(PCC)522的数据存储机构中。这是图中的步骤(3)。
另外,蜂窝网络服务提供商的客户可以请求面向互联网的管理以将一个或更多个客户的蜂窝用户与客户通信规则相关联或向一个或更多个客户的蜂窝用户提供客户通信规则;这种关联被存储在数据存储机构,即用户配置文件注册表(SPR)524中。这些步骤包括示例性系统的“策略提供阶段”。
当客户的蜂窝用户502在蜂窝网络(包括但不限于eNodeB 504和服务网关(SGW)506)上建立分组数据会话时,蜂窝网络服务提供商的分组网关(PGW)508的策略和计费执行功能(PCEF)509通过发送包含但不限于蜂窝用户的国际移动用户标识符532的信用控制请求530消息来与蜂窝网络服务提供商的策略和计费规则功能(PCRF)528通信。这是图中的步骤(4)。
PCRF 528从PCC 522和SPR 524数据存储机构检索用户的通信策略526。这是图中的步骤(5)。PCRF 528然后使用用户的通信策略来构造信用控制应答(CCA)消息534,信用控制应答消息534包含表示用户的通信策略526的一组PCC规则(536),并将CCA534发送回PGW508。这是图中的步骤(6)。
一旦建立了用户的数据会话,作为PGW 508的一部分的PCEF 509将对在用户和分组分布网络510之间传递的分组上执行用户的通信策略。由PCRF 528向CCA 536中的PGW508提供的PCC规则被称为“安装”在PGW 508中。这些步骤包括示例性系统的“装置附接阶段”。
如图5A所示,在实施例中,当从PGW 508和分组数据网络510路由DNS通信时,系统500的分组数据分析器(PDA)537可以(例如,使用路由器上的跨接端口)被动地监听蜂窝用户502的DNS查询和响应(DNS通信)。这是图中的步骤(7)。在发现所监测的域名已经改变了IP地址或多个IP地址时,分组数据分析器更新PCC数据库522中的记录。这是图中的步骤(8)。(例如,通过数据库触发器或消息总线)PCRF 528可以被通知这个更新。这是图中的步骤(9)。PCRF 528可以向PGW发送包含任何经修改的PCC规则539的重新认证/授权请求(Re-Auth-Request)(RAR)消息538。这是图中的步骤(10)。这些步骤形成了示例性系统的“装置服务阶段”。
在另一个实施例中,如图5B所示,可以在例如PCRF 528’中安装嗅探器或分组数据分析器(PDA)537’,PCRF 528’是由网络提供商控制的环境。如图5B所示,DNS请求和响应可以通过网络单元NE 540,例如,Span端口和防火墙规则或Span端口和分组捕获工具,例如tcpdump等,转发到PDA,其中PDA 537’分析DNS通信以监测域名的IP地址或多个IP地址的改变。所有其它组件及其工作与图5A所示和伴随图5A的描述中所述的相同。因此,分组数据分析器(PDA)537’可以被安装在如图5B所示的PCRF 528’中和/或与PCRF 528’协同工作,或者安装在如图5A所示的PGW 508(LTE网络)或GGSN(GSM和WCDMA网络)中和/或与PGW 508(LTE网络)或GGSN(GSM和WCDMA网络)协同工作。
为了通过使用域名实现通信控制,PCRF 528’中存储的装置的服务配置文件可以列出该装置的允许或拒绝的目的地的域名、数字IP地址或两者;PCRF 528’将应用用于允许或阻止使用遵循3GPP技术规范29.212的实际IP地址的通信的规则。如果域名被存储在服务配置文件中,但是没有存储数字IP地址,则PCRF可以执行它自己的DNS查询,以将域名解析为数字IP地址。然而,与域名相关联的特定数字IP地址频繁地改变,如果与PCRF 528’中的主机名相关联的IP地址(以及PCEF 509’借助于步骤4、5和6中的规则安装程序)不再正确,则这可能导致不成功的连接尝试。本发明所提供的实施例可以确保与域名相关联的特定数字IP地址保持最新。
图6示出了根据本发明的实施例的适于存储计算机程序产品和/或执行程序代码的数据处理系统600。数据处理系统600包括通过系统总线606耦接到存储器元件604a-b的处理器602。在实施例中,数据处理系统600可以包括多于一个的处理器,并且每个处理器可以通过系统总线直接或间接地耦接到一个或更多个存储器元件。
存储器元件604a-b可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储器、以及提供至少一些程序代码的临时存储以便减少在执行期间必须从大容量存储器取回代码的次数的高速缓冲存储器。如图所示,输入/输出或I/O装置608a-b(包括但不限于键盘、显示器、定点装置等)耦接到数据处理系统600。I/O装置608a-b可以直接或通过中间I/O控制器(未示出)间接耦接到数据处理系统600。
在图6中,网络适配器610耦接到数据处理系统602,以使数据处理系统602能够通过通信链路612耦接到其它数据处理系统或远程打印机或存储装置。通信链路612可以是专用或公共网络。调制解调器、电缆调制解调器和以太网卡只是几种当前可用的网络适配器类型。
本文描述的实施例可以采取完全硬件实现、完全软件实现或包含硬件和软件元件两者的实现的形式。实施例可以用软件来实现,该软件包括但不限于应用软件、固件、驻留软件、微代码等。
本文所述的步骤可使用任何合适的控制器或处理器以及软件应用程序来实现,软件应用程序可存储在任何合适的存储位置或计算机可读介质上。软件应用提供指令,该指令使处理器能够使接收机执行本文描述的功能。
此外,实施例可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式,所述计算机可用或计算机可读介质提供由计算机或任何指令执行系统使用或与计算机或任何指令执行系统结合使用的程序代码。为了本说明书的目的,计算机可用或计算机可读介质可以是能够包含、存储、通信、传播或传输由指令执行系统、设备或装置使用或与指令执行系统、设备或装置结合使用的程序的任何设备。
该介质可以是电、磁、光、电磁、红外、半导体系统(或设备或装置)或传播介质。计算机可读介质的示例包括半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前示例包括数字通用盘(DVD)、光盘只读存储器(CD-ROM)和光盘读/写(CD-R/W)。
本文所述的任何理论、操作机构、证据或发现旨在进一步增强对本发明的理解,而不是旨在使本发明以任何方式依赖于这些理论、操作机构、证据或发现。应当理解,尽管在以上描述中使用词语“优选”、“优选地”或“择优的”指示如此描述的特征可能是更期望的,但是它可能不是必需的,并且缺少该特征的实施例可以被认为在本发明的范围内,该范围由所附权利要求限定。
如本文所使用的,术语产品、装置、电器、终端、远程装置、无线资产等旨在是包含性的、可互换的、和/或彼此同义的,并且对于本发明来说与其他类似的基于通信的设备同义,尽管将认识到功能上每个都可以具有独特的特性、功能和/或操作,这些特性、功能和/或操作可以特定于其单独的能力和/或部署。
类似地,本发明预期术语通信网络包括使用一个或更多个通信架构、方法和网络的网络(例如M2M的网络,但不限于此)上的通信,包括但不限于:码分多址(CDMA)、全球移动通信系统(GSM)(“GSM”是GSM协会的商标)、通用移动电信系统(UMTS)、长期演进(LTE)、第四代蜂窝系统(4G)、LTE、5G、无线局域网(WLAN)以及一个或更多个有线网络。
尽管已经根据所示的实施例描述了本发明,但是本领域的普通技术人员将容易认识到,可以存在对实施例的变化,并且这些变化将在本发明的精神和范围内。因此,本领域的普通技术人员可以在不偏离本发明的精神和范围的情况下进行许多修改。
Claims (19)
1.一种使用能够进行连接的一个或更多个装置的域名进行自动通信流控制的计算机实现的方法,包括:
接收所述一个或更多个装置的装置信息;
接收所述一个或更多个装置被允许访问的至少一个域名的域名信息;
将所述至少一个域名与一个或更多个互联网协议(IP)地址相关联;
监测至少一个域以发现所述域的所述一个或更多个IP地址的改变;以及
如果发现所述域的所述IP地址的任何改变,则更新所述域名的所述一个或更多个IP地址。
2.根据权利要求1所述的方法,其中,所述装置信息包括以下各项中的一项或更多项:装置标识符、所述装置的品牌和型号以及国际移动设备识别码(IMEI)、国际移动用户识别码(IMSI)。
3.根据权利要求1所述的方法,其中,所述装置包括一个或更多个IoT装置,所述一个或更多个IoT装置能够通过安装在所述一个或更多个IoT装置中的诸如SIM的产品与无线或蜂窝网络连接。
4.根据权利要求1所述的方法,其中,监测所述至少一个域以发现所述域的所述一个或更多个IP地址的改变,还包括使用域名系统(DNS)查找来确定与域名相关联的所述一个或更多个IP地址是否已经改变,并且自动更新策略和计费规则功能(PCRF)中的所述一个或更多个装置的所述服务配置文件中的所述一个或更多个IP地址。
5.根据权利要求1所述的方法,还包括当数据库中的所述域名的所述IP地址存在改变时,向策略和计费规则执行功能(PCEF)通知所述PCRF中的所述一个或更多个装置的所述服务配置文件的改变。
6.根据权利要求1所述的方法,还包括执行由所述PCRF发送到所述PCEF的策略和计费规则。
7.一种使用能够通过蜂窝网络进行连接的一个或更多个装置的域名进行自动通信流控制的系统,所述系统包括:能够连接的一个或更多个装置、策略和计费规则功能(PCRF)、协议数据分析器和数据库,
其中,所述PCRF接收:
所述一个或更多个装置的装置信息,
允许所述一个或更多个装置访问的至少一个域名的域名信息;以及
其中所述协议数据分析器将所述至少一个域名与一个或更多个互联网协议(IP)地址相关联;
监测至少一个域以发现所述域的所述一个或更多个IP地址的改变;以及
如果发现所述域的所述一个或更多个IP地址的任何改变,则更新所述数据库中所述域名的一个或更多个IP地址。
8.根据权利要求7所述的系统,其中,所述装置信息包括以下各项中的一项或更多项:装置标识符、所述装置的品牌和型号以及国际移动设备识别码(IMEI)、国际移动用户识别码(IMSI)。
9.根据权利要求7所述的系统,其中,所述装置包括一个或更多个IoT装置,所述一个或更多个IoT装置能够通过安装在所述一个或更多个IoT装置中的诸如SIM的产品与无线或蜂窝网络连接。
10.根据权利要求7所述的系统,其中,监测所述至少一个域以发现所述域的所述一个或更多个IP地址的改变,还包括使用域名系统(DNS)查找来确定与域名相关联的所述一个或更多个IP地址是否已经改变,并且自动更新所述PCRF中的所述一个或更多个装置的所述服务配置文件中的所述一个或更多个IP地址。
11.根据权利要求7所述的系统,还包括策略和计费规则执行功能(PCEF),其中,所述PCEF执行由所述PCRF发送到所述PCEF的策略和计费规则。
12.根据权利要求7所述的系统,其中,当所述数据库中的所述域名的所述IP地址存在改变时,所述PCRF向所述PCEF通知所述PCRF中的所述一个或更多个装置的所述服务配置文件的改变。
13.一种存储在不可转移计算机可读介质上的计算机程序产品,所述计算机程序产品用于使用能够进行连接的一个或更多个装置的域名进行自动通信流控制,所述计算机程序产品包括计算机可读指令,所述计算机可读指令用于使计算机控制用于使用能够进行连接的一个或更多个装置的域名进行自动通信流控制的应用的执行,所述计算机可读指令包括:
接收所述一个或更多个装置的装置信息;
接收所述一个或更多个装置被允许访问的至少一个域名的域名信息;
将所述至少一个域名与一个或更多个互联网协议(IP)地址相关联;
监测至少一个域以发现所述域的所述一个或更多个IP地址的改变;以及
如果发现所述域的所述一个或更多个IP地址的任何改变,则更新所述域名的所述一个或更多个IP地址。
14.根据权利要求13所述的计算机程序产品,其中,所述装置信息包括以下各项中的一项或更多项:装置标识符、所述装置的品牌和型号以及国际移动设备识别码(IMEI)、国际移动用户识别码(IMSI)。
15.根据权利要求13所述的计算机程序产品,其中,所述装置包括一个或更多个IoT装置,所述一个或更多个IoT装置能够通过安装在所述一个或更多个IoT装置中的诸如SIM的产品与无线或蜂窝网络连接。
16.根据权利要求13所述的计算机程序产品,其中,监测所述至少一个域以发现所述域的所述一个或更多个IP地址的改变还包括使用域名系统(DNS)查找来确定与域名相关联的所述一个或更多个IP地址是否已经改变,并且自动更新策略和计费规则功能(PCRF)中的所述一个或更多个装置的所述服务配置文件中的所述一个或更多个IP地址。
17.根据权利要求13所述的计算机程序产品,还包括用于当所述数据库中的所述域名的所述一个或更多个IP地址存在改变时,向策略和计费规则执行功能(PCEF)通知所述PCRF中的所述一个或更多个装置的所述服务配置文件的改变的指令。
18.根据权利要求13所述的计算机程序产品,还包括用于所述PCEF执行由所述PCRF发送到所述PCEF的策略和计费规则的指令。
19.根据权利要求7所述的系统,其中,所述协议数据分析器包括以下中的任一者:分组数据分析器或DNS请求与响应分析器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962851041P | 2019-05-21 | 2019-05-21 | |
| US62/851,041 | 2019-05-21 | ||
| PCT/US2020/033778 WO2020236919A1 (en) | 2019-05-21 | 2020-05-20 | Traffic flow control using domain name |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113906771A true CN113906771A (zh) | 2022-01-07 |
Family
ID=73456460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080037335.4A Pending CN113906771A (zh) | 2019-05-21 | 2020-05-20 | 使用域名的通信流控制 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11115378B2 (zh) |
| EP (1) | EP3973689A4 (zh) |
| JP (1) | JP7376028B2 (zh) |
| CN (1) | CN113906771A (zh) |
| WO (1) | WO2020236919A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019057314A1 (en) | 2017-09-25 | 2019-03-28 | Telefonaktiebolaget Lm Ericsson (Publ) | MANAGING ENCLAVES ON AN EXECUTION PLATFORM |
| EP3776315A1 (en) * | 2018-03-27 | 2021-02-17 | Telefonaktiebolaget LM Ericsson (publ) | Trusted execution environment instances licenses management |
| WO2019185126A1 (en) | 2018-03-27 | 2019-10-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Instance handling of a trusted execution environment |
| US11240257B2 (en) | 2019-03-07 | 2022-02-01 | Lookout, Inc. | Domain name and URL visual verification for increased security |
| US11811806B2 (en) * | 2020-09-25 | 2023-11-07 | Barracuda Networks, Inc. | System and apparatus for internet traffic inspection via localized DNS caching |
| CN113242298B (zh) * | 2021-05-10 | 2023-01-06 | 广州瀚信通信科技股份有限公司 | 一种基于pcc架构下针对https协议的取号方法 |
| CN115174479B (zh) * | 2022-07-19 | 2023-10-13 | 天翼云科技有限公司 | 一种流量控制方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040228335A1 (en) * | 2003-05-12 | 2004-11-18 | Samsung Electronics Co., Ltd. | System and method for deleting tunnelling in connection between mobile node and correspondent node |
| CN101959192A (zh) * | 2009-07-17 | 2011-01-26 | 华为技术有限公司 | 业务处理方法及通信设备 |
| CN102377831A (zh) * | 2010-08-17 | 2012-03-14 | 中国移动通信集团公司 | 一种策略控制实体地址的获取方法、设备和系统 |
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| EP2591573A1 (en) * | 2010-07-09 | 2013-05-15 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for traffic classification |
| CN103546434A (zh) * | 2012-07-13 | 2014-01-29 | 中国电信股份有限公司 | 网络访问控制的方法、装置和系统 |
| CN104092698A (zh) * | 2014-07-21 | 2014-10-08 | 北京网秦天下科技有限公司 | 对网络资源的访问控制方法及装置 |
| US9015318B1 (en) * | 2009-11-18 | 2015-04-21 | Cisco Technology, Inc. | System and method for inspecting domain name system flows in a network environment |
| CN107959732A (zh) * | 2011-11-11 | 2018-04-24 | 柏思科技有限公司 | 允许在推行网络策略过程中使用域名的方法和系统 |
| CN109600385A (zh) * | 2018-12-28 | 2019-04-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI20060616A0 (fi) | 2006-06-26 | 2006-06-26 | Nokia Corp | Laiteen tunnistusnumeroon perustuva nimipalvalu |
| WO2012044277A1 (en) * | 2010-09-27 | 2012-04-05 | Lantronix, Inc. | Various methods and apparatuses for accessing networked devices without accessible addresses via virtual ip addresses |
| US9065936B2 (en) | 2010-12-09 | 2015-06-23 | Allot Communications Ltd. | Cellular traffic monitoring and charging using application detection rules |
| US8621556B1 (en) | 2011-05-25 | 2013-12-31 | Palo Alto Networks, Inc. | Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions |
| WO2014130446A1 (en) | 2013-02-19 | 2014-08-28 | Interdigital Patent Holdings, Inc. | Charging architecture for a converged gateway |
| US9444916B2 (en) | 2013-08-26 | 2016-09-13 | Seven Networks, Llc | Enhanced caching of domain name system (DNS) and reverse DNS queries for traffic management for signaling optimization in a mobile network |
| US20150188949A1 (en) | 2013-12-31 | 2015-07-02 | Lookout, Inc. | Cloud-based network security |
| US10469514B2 (en) | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
| US20170041332A1 (en) | 2015-08-07 | 2017-02-09 | Cisco Technology, Inc. | Domain classification based on domain name system (dns) traffic |
| US9942252B1 (en) | 2015-09-08 | 2018-04-10 | EMC IP Holding Co. LLC | Graph-based techniques for detecting coordinated network attacks |
| EP3270573B1 (en) | 2016-07-13 | 2020-04-01 | DNSthingy Inc. | Method and router to permit or block internet protocol (ip) connectivity based on originating domain name server (dns) requests |
| US10708306B2 (en) | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
| US11153271B2 (en) * | 2018-02-16 | 2021-10-19 | Apple Inc. | Managing bearers in a radio access network |
| JP6610908B2 (ja) | 2018-03-09 | 2019-11-27 | Kddi株式会社 | 通信システム |
-
2020
- 2020-05-20 WO PCT/US2020/033778 patent/WO2020236919A1/en unknown
- 2020-05-20 EP EP20809507.5A patent/EP3973689A4/en active Pending
- 2020-05-20 JP JP2021568128A patent/JP7376028B2/ja active Active
- 2020-05-20 US US16/879,087 patent/US11115378B2/en active Active
- 2020-05-20 CN CN202080037335.4A patent/CN113906771A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040228335A1 (en) * | 2003-05-12 | 2004-11-18 | Samsung Electronics Co., Ltd. | System and method for deleting tunnelling in connection between mobile node and correspondent node |
| CN101959192A (zh) * | 2009-07-17 | 2011-01-26 | 华为技术有限公司 | 业务处理方法及通信设备 |
| US9015318B1 (en) * | 2009-11-18 | 2015-04-21 | Cisco Technology, Inc. | System and method for inspecting domain name system flows in a network environment |
| EP2591573A1 (en) * | 2010-07-09 | 2013-05-15 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for traffic classification |
| CN102377831A (zh) * | 2010-08-17 | 2012-03-14 | 中国移动通信集团公司 | 一种策略控制实体地址的获取方法、设备和系统 |
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| CN107959732A (zh) * | 2011-11-11 | 2018-04-24 | 柏思科技有限公司 | 允许在推行网络策略过程中使用域名的方法和系统 |
| CN103546434A (zh) * | 2012-07-13 | 2014-01-29 | 中国电信股份有限公司 | 网络访问控制的方法、装置和系统 |
| CN104092698A (zh) * | 2014-07-21 | 2014-10-08 | 北京网秦天下科技有限公司 | 对网络资源的访问控制方法及装置 |
| CN109600385A (zh) * | 2018-12-28 | 2019-04-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3973689A1 (en) | 2022-03-30 |
| JP2022533107A (ja) | 2022-07-21 |
| JP7376028B2 (ja) | 2023-11-08 |
| US20200374262A1 (en) | 2020-11-26 |
| US11115378B2 (en) | 2021-09-07 |
| WO2020236919A1 (en) | 2020-11-26 |
| EP3973689A4 (en) | 2023-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11115378B2 (en) | Traffic flow control using domain name | |
| US9560053B2 (en) | Parental control management and enforcement based on hardware identifiers | |
| US9603058B2 (en) | Methods, systems, and computer readable media for triggering a service node to initiate a session with a policy and charging rules function | |
| EP3264686B1 (en) | Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality | |
| US12010148B2 (en) | Access point name and application identity based security enforcement in service provider networks | |
| US20180367578A1 (en) | Radio access technology based security in service provider networks | |
| US20180367569A1 (en) | Location based security in service provider networks | |
| US20180367571A1 (en) | Mobile user identity and/or sim-based iot identity and application identity based security enforcement in service provider networks | |
| US11777994B2 (en) | Dynamic per subscriber policy enablement for security platforms within service provider network environments | |
| US11528253B2 (en) | Security platform for service provider network environments | |
| US11871214B2 (en) | Traffic flow control using domain name | |
| US9906887B2 (en) | PCRN home network identity | |
| US7949769B2 (en) | Arrangements and methods relating to security in networks supporting communication of packet data | |
| EP4068824A1 (en) | Security enforcement and assurance utilizing policy control framework and security enhancement of analytics function in communication network | |
| US20150350343A1 (en) | Method and device for an adaptive handling of data traffic | |
| US11438802B2 (en) | Method and system for quality-of-service authorization based on type of radio access technology and other data session attributes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |