CN116982330A - 关于数据转发过程中的id交换的系统和方法 - Google Patents
关于数据转发过程中的id交换的系统和方法 Download PDFInfo
- Publication number
- CN116982330A CN116982330A CN202180094911.3A CN202180094911A CN116982330A CN 116982330 A CN116982330 A CN 116982330A CN 202180094911 A CN202180094911 A CN 202180094911A CN 116982330 A CN116982330 A CN 116982330A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- policy
- destination
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 230000008569 process Effects 0.000 title abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 205
- 230000004044 response Effects 0.000 claims description 21
- 230000015654 memory Effects 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 12
- 238000007405 data analysis Methods 0.000 claims description 4
- 230000001419 dependent effect Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012517 data analytics Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/44—Distributed routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Abstract
关于隐私数据转发过程中的ID交换的系统和方法。本发明的一个方面提供了一种用于网络通信的方法。这种方法包括:管理功能从策略控制器接收包括数据转发策略的第一消息,其中,所述数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置。这种方法还包括:所述管理功能根据所述第一消息向网络功能发送第二消息。这种方法还包括:所述网络功能根据所述第二消息获取指示数据转发请求的指示和指示ID交换规则的相应标志。
Description
相关申请交叉引用
这是本发明提交的第一份申请。
技术领域
本发明涉及通信网络领域,尤其涉及关于数据转发过程中的ID交换的系统和方法。
背景技术
移动电话用户的个人信息已成为在线广告和其他相关行业的有吸引力的目标。这些个人信息除了可能被用于恶意政治议程的危险外,也可能被滥用以谋取个人利益。因此,隐私已成为现今终端用户在选择和使用电话业务时的主要考虑因素。从监管合规的角度来看,欧盟(European Union,EU)通用数据保护条例(general data protectionregulation,GDPR)对于保护用户个人数据的义务直接适用于移动电话运营商。然而,现有技术可能不足以保护个人信息免受当前网络和未来网络中被动攻击者或主动攻击者的侵害。
因此,需要一种用于隐私数据转发过程中的ID交换的系统和方法,这样的系统和方法消除或减轻了现有技术中的一个或多个限制。
提供背景技术信息是为了揭示申请人认为可能与本发明相关的信息。没有必要认为也不应解释为任何上述信息构成针对本发明的现有技术。
发明内容
本发明提供了一种在数据转发过程中增强ID隐私的方法、装置和系统。各实施例可以提供一种可以增强ID隐私的架构。该架构可以简化数据转发策略并动态调整数据转发策略,以增强用户设备(user equipment,UE)的体验质量(quality of experience,QoE)并提高安全性。各实施例还可以提供数据转发过程中的UP层或CP层中的ID交换,而不会泄露ID隐私。
本发明的一个方面提供了一种用于网络通信的方法。这种方法包括:管理功能从策略控制器接收包括数据转发策略的第一消息,其中,所述数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置。这种方法还包括:所述管理功能根据所述第一消息向网络功能发送第二消息。这种方法还包括:所述网络功能根据所述第二消息获取指示数据转发请求的指示和指示ID交换规则的相应标志。因此,该方面提供了一种技术方案,能够使通信网络中的管理功能根据原始数据发送方的数据转发要求来控制数据转发。
在一些实施例中,所述方法还包括:所述管理功能根据所述第一消息确定所述第二消息,其中,所述第二消息包括所述指示和所述相应标志。在一些实施例中,所述原始数据发送方信任所述管理功能,所述方法还包括:所述管理功能确定包括根据来自所述原始数据发送方的数据包的目的地的位置ID来转发数据的策略的ID交换规则。在这种实施例中,根据所述ID交换规则:所述数据包根据所述位置ID,通过所述网络功能以及所述原始数据发送方和所述目的地之间的其他网络功能转发给所述目的地,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括接收所述指示和所述相应标志的其他网络功能的网络识别。这些实施例提供了一种技术方案,能够使原始数据发送方信任的管理功能在数据转发过程中提供ID隐私保护。
在一些实施例中,所述位置ID由所述管理功能分配给所述数据包的所述目的地。在一些实施例中,所述目的地的所述位置ID根据与所述目的地关联的其他网络功能的ID来分配。
在一些实施例中,所述第二消息包括从管理功能发到第二网络功能的第三消息和从所述第二网络功能发到所述网络功能的第四消息。
在一些实施例中,所述方法还包括:所述管理功能根据所述第一消息,从一组第二网络功能中选择所述第二网络功能;向所述第二网络功能发送所述第三消息,其中,所述第三消息包括所述数据转发策略;所述第二网络功能根据所述数据转发策略确定所述指示和所述相应标志;所述第二网络功能向所述网络功能发送所述指示和所述相应标志。
这些实施例提供了一种技术方案,能够使原始数据发送方信任的第二网络功能通过在数据转发过程中实现ID交换来提供ID隐私,而不会泄露ID隐私。
在一些实施例中,所述原始数据发送方信任所述第二网络功能,所述方法还包括:所述第二网络功能确定包括根据基于部分加密的数据转发策略来转发数据的策略的ID交换规则。在这些实施例中,根据所述ID交换规则:数据包的目的地ID或与所述目的地ID对应的服务ID由所述第二网络功能根据所述原始数据发送方信任的且与所述数据包的目的地关联的其他网络功能的公钥进行加密,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括接收所述指示和所述相应标志的所述其他网络功能的网络识别。
在一些实施例中,所述方法还包括:所述网络功能向接入网(access network,AN)节点发送与所述第二网络功能关联的公钥,用于对数据包的目的地ID进行加密。
在一些实施例中,所述原始数据发送方信任所述第二网络功能,所述方法还包括:所述第二网络功能确定包括根据基于混合区域的数据转发策略来转发数据的策略的ID交换规则。在这些实施例中,根据所述ID交换规则:超过一定数量的发往不同目的地的数据包将由所述第二网络功能转发,所述转发的顺序不同于所述第二网络功能接收所述数据包的顺序,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括所述网络功能的所述网络识别。
在一些实施例中,所述方法还包括:所述第二网络功能根据目的地ID和服务ID的映射关系确定所述服务ID。在一些实施例中,所述方法还包括:所述网络功能向所述策略控制器发送策略请求,以触发所述策略控制器生成所述数据转发策略,其中,所述策略请求包括所述数据转发要求。
在一些实施例中,所述方法还包括:所述网络功能从与所述原始数据发送方关联的所述AN节点获取所述数据转发要求。在一些实施例中,所述数据转发要求包括在来自所述原始数据发送方的数据包中。
在一些实施例中,所述方法还包括:所述策略控制器在接收到所述策略请求之后,生成所述数据转发策略;所述策略控制器向所述管理功能发送包括所述数据转发策略的所述第二消息。
这些实施例提供了一种技术方案,能够使策略控制器根据数据转发要求确定数据转发策略。
在一些实施例中,指示关于如何转发数据的配置的所述数据转发策略还取决于网络流量信息,其中,所述网络流量信息包括与所述网络功能和与所述网络功能关联的其他网络功能中的一个或多个关联的至少一个流量参数。
这些实施例提供了一种技术方案,能够使策略控制器根据数据转发要求和附加的网络流量信息确定数据转发策略。
在一些实施例中,所述方法还包括:所述策略控制器向数据分析管理(dataanalytic management,DAM)功能发送请求所述网络流量信息的网络流量请求,其中,所述网络流量请求包括关于所述网络功能的信息;所述策略控制器从所述DAM功能接收包括所述网络流量信息的网络流量响应,其中,所述数据转发策略基于所述原始数据发送方的所述数据转发要求和所述网络流量信息。在一些实施例中,所述原始数据发送方包括用户设备和转发数据包的网络功能中的一个或多个。
这些实施例提供了一种技术方案,能够使策略控制器根据数据转发要求和附加的网络流量信息确定数据转发策略,其中,附加的网络流量信息由不同的网络功能提供。因此,这种技术方案可以实现从不同的网络功能收集用于策略控制器确定的不同信息。
本发明的另一方面提供了一种由通信网络中的策略控制器执行的方法。所述方法包括:接收策略请求以触发策略控制器生成数据转发策略,其中,所述策略请求包括原始数据发送方的数据转发要求。所述方法还包括:在接收到所述策略请求之后生成所述数据转发策略;向管理功能发送第一消息,其中,所述第一消息包括数据转发策略,所述数据转发策略指示关于如何根据所述数据转发要求来转发数据的配置。这些实施例提供了一种技术方案,能够使策略控制器收集信息,并相应地确定数据转发策略,从而在数据转发过程中支持ID隐私,而不会泄露ID隐私。
本发明的另一方面提供了一种由通信网络中的网络功能执行的方法。所述方法包括:接收包括数据转发策略的消息,其中,所述数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置。所述方法还包括:根据所述数据转发策略,确定指示数据转发请求的指示和指示ID交换规则的相应标志;所述网络功能向其他网络功能发送所述指示和所述相应标志。在所述方法中,所述原始数据发送方信任所述网络功能。这些实施例提供了一种技术方案,能够使原始数据发送方信任的网络功能根据接收到的数据转发策略来控制数据转发,从而在数据转发过程中提供ID隐私,而不会泄露ID隐私。
本发明的其他方面提供了用于实现网络功能和执行本文描述的方法的系统和装置(例如,网元)。
本发明的其他方面提供了包括存储机器可读指令的非瞬时性存储器的机器可读介质,当所述机器可读指令由处理器执行时,实现用于执行本文所述方法的网络功能。
上文已结合本发明的各个方面描述了实施例,这些实施例可以在此基础上实施。本领域技术人员将理解,各实施例可以结合描述这些实施例的方面来实现,但也可以与该方面的其他实施例一起实现。当实施例相互排斥或彼此不兼容时,对于本领域技术人员将是显而易见的。一些实施例可以结合一个方面进行描述,但也可以适用于其它方面,这对本领域技术人员是显而易见的。
附图说明
结合附图,通过以下具体实施方式,本发明的其他特征和优点将变得显而易见,在附图中:
图1示出了本发明实施例提供的未来网络的架构。
图2示出了本发明实施例提供的数据转发策略配置。
图3示出了本发明实施例提供的数据转发过程中的基于混合区域(mix-zone)的数据转发。
图4示出了本发明实施例提供的数据转发过程中的基于部分加密(partialcryptographic)的数据转发。
图5示出了本发明实施例提供的基于位置ID的数据转发。
图6示出了本发明实施例提供的不同数据转发策略的可用业务。
图7示出了本发明实施例提供的用于数据转发策略配置的通话流过程(call flowprocedure)。
图8示出了本发明实施例提供的数据转发过程中的基于混合区域的数据转发的通话流过程。
图9示出了本发明实施例提供的数据转发过程中的基于部分加密的数据转发的通话流过程。
图10是本发明不同实施例提供的用户设备的示意图,所述用户设备可以执行本文显式或隐式描述的上述方法和功能的任何操作或全部操作。
需要说明的是,在整个附图中,相同的特征由相同的附图标记标识。
具体实施方式
5G安全和ID隐私文档通常参考前几代文档来阐述各种安全性要求和隐私要求,主要包括用户身份隐私和用户不可跟踪性(user untraceability)。用户身份隐私可能是指接受业务的用户的永久身份,该身份不会在无线接入链路上遭到窃听。用户不可跟踪性可以指通过向用户提供不同业务来跟踪用户,使得入侵者无法通过在无线接入链路上窃听来推断是否向同一用户提供了不同的业务。
需要说明的是,使用“不会遭到窃听”这个表述并不限于也不应解释为仅指无线接口上的被动攻击者的“窃听”,而且也可能包括主动攻击者的“窃听”。主动攻击者收集、分析、调查各种形式的潜在安全威胁和攻击,例如,DoS攻击、内部恶意攻击或冲突攻击。因此,未来网络需考虑应对主动攻击者。
为了解决现有技术的一个或多个限制,引入了临时ID,临时ID有可能在未来网络中取代真实ID。这样的临时ID可以用于不同玩家之间的通信。临时ID还可以用于解决可跟踪性威胁或攻击,其中临时ID可以被配置为与真实ID不可链接。
各实施例现在将描述用户平面(user plane,UP)层中的数据转发。
网络切片(或业务定制虚拟网络(virtual network,VN))在电信行业受到越来越多的关注。简言之,切片是符合客户业务的业务属性和要求的一组网络资源。网络资源包括云资源和通信链路资源。切片可以提供一个或多个共享相似业务属性和要求的客户业务。客户业务可以包括垂直业务(例如,行业控制)、过顶(over-the-top,OTT)客户业务、针对一组用户的运营商定义业务等。
以预定义切片为例,该切片的任何端点(设备和服务器)都应该能够直接使用预定义切片来传输数据流量,而无需按设备或按会话触发端到端连接建立。在预定义切片中,路由协议可以指定路由器如何相互通信,以根据任意两个节点之间的选定的和预先建立的路由来分发信息。预先建立的路由是指这些路由在数据转发之前建立。因此,数据包通过网络从一个节点转发给另一个节点,直到这些数据包到达其目的地终端。当前的路由技术(例如,距离矢量路由协议、链路状态路由协议、路径矢量路由协议)以知道待路由数据包的目的地为基础,其中路由路径是根据目的地建立的。
为了满足未来网络中的安全性要求,经常改变目的地终端标识符,以保护和增强ID隐私。然而,引入临时ID带来了与数据转发相关的新问题。
由于临时ID可以用于保护ID隐私,因此一个问题可能是确定如何在数据转发过程中映射临时ID。
例如,数据包的目的地标识符可以是DESTI-ID(目的地ID),目的地的服务标识符可以是ID2。网络中的路由节点可能知道服务标识符ID2,但不知道目的地标识符DESTI-ID。因此,这里提出的问题是路由节点如何知道当前DESTI-ID对应于服务ID2。
另一个问题可能是确定谁负责未来网络中的临时ID交换。由于存在不受信任的网络功能或玩家,一个类似的问题可能是确定谁应该具有指示服务标识符(例如,ID2)和目的地标识符(例如,DESTI-ID)之间关系的映射表。又一个问题可能是确定在交换临时ID之后如何使用其他目的地的标识符隐藏服务标识符。隐藏可以防止攻击者将目的地标识符与相应的服务标识符匹配或关联。
各实施例可以提供用于数据转发过程中的数据转发策略配置和ID交换的方法和系统。各实施例可以增强ID隐私。各实施例还可以提供一种简化数据转发策略并动态调整数据转发策略的架构,以增强用户设备(user equipment,UE)的体验质量(quality ofexperience,QoE)并提高安全性。各实施例还可以提供数据转发过程中的UP层或控制平面(control plane,CP)层中的ID交换,而不会泄露ID隐私。
各实施例可以提供一种可以增强ID隐私的架构。该架构可以动态配置数据转发策略,并在数据转发过程中在UP层或CP层交换ID。各实施例还可以提供一种管理数据转发策略的方法。该方法可以包括在数据转发过程中调整数据转发策略或特定数据转发策略的参数。各实施例还可以提供在数据转发过程中交换临时ID的方法和系统,而不会泄露ID隐私。各实施例现在将描述关于数据转发策略配置的过程和关于数据转发的技术方案。
图1示出了本发明实施例提供的未来网络的架构。架构100可以包括以下中的一个或多个:切片或VN拓扑管理器(例如,SONAC-COM)102、移动性管理器104、数据分析管理(data analytic management,DAM)106、数据转发策略控制器(data forwarding policycontroller,DFPC)108或策略控制器,以及可信第三方(例如,ID管理)110。架构100还可以包括虚拟路由(virtual routing,VR)节点116和ID交换VR(ID Swap VR,IDSVR)节点114。该架构还可以包括基础设施118。
可信第三方110可以是完全可信的,并负责ID管理。因此,ID管理可以由可信第三方110控制。可信第三方110可以分散部署。DFPC 108、VR节点116、切片或VN拓扑管理器102和DAM 106可以是由网络部署的半诚实设置。移动性管理器104可以是可信的。可信第三方或ID管理110可以拥有自己的公钥和/或私钥。每个IDSVR 114可以拥有自己的公钥和/或私钥。IDSVR的公钥可以发布给移动性管理器104和VR节点116。VR的公钥可以发布给IDSVR节点114。本领域技术人员可以理解,IDSVR节点114和VR节点116可以连接成网状结构。
切片或VN拓扑管理器102可以负责端到端切片组合,其至少包括客户业务用户平面(user plane,UP)切片,例如,切片112。包括UP切片的端到端切片可以由切片提供商确定,并部署在授权的基础设施网络上。需要说明的是,UP切片包括一组向切片的端点发送数据流量和从切片的端点接收数据流量的资源。此外,需要说明的是,集成基础设施网络可以包括多个技术域,例如,无线接入网(radio access network,RAN)域、传送域等,这些技术域使用不同的技术进行数据流量转发。
移动性管理器104可以负责提供设备的可达性信息,用于通过切片进行流量传输。具体地,移动性管理可以将设备的名称与其位置解耦。设备的位置信息可以与设备的名称关联,设备的当前“位置”可以是接入节点的ID、RAN集群的ID或虚拟锚点功能的ID中的一个或多个。
在一些实施例中,移动性管理器104可以称为管理功能,其可以执行本文所述的移动性管理器104的一个或多个功能。
DAM 106可以负责提供按需网络数据日志和分析。DFPC 108可以负责数据转发策略配置。ID管理实体可以负责管理临时ID。如本文所述,ID管理可以由可信第三方110控制。
VR节点116可以负责选定切片中的节点之间的互连和UP层中的数据转发。VR隧道可以定义为选定切片中的两个VR节点之间的逻辑连接。在RAN域中,一个开放的VR隧道可以定义为VR节点和接入节点之间的逻辑连接。
除了VR节点的职责之外,IDSVR节点114还可以负责ID交换。基础设施118可以负责用户接入并提供物理资源。
本领域技术人员可以理解,在一些实施例中,VR节点116可以称为网络功能116,其可以用于执行本文所述的VR节点116的一个或多个功能。类似地,IDSVR 114也可以称为网络功能,其可以用于执行IDSVR 114的一个或多个功能。
架构100可以包括一个或多个接口。架构100可以包括可信第三方(或ID管理)110和移动性管理器104之间的接口。架构100还可以包括移动性管理器104和切片或VN拓扑管理器102之间的接口。架构100还可以包括切片或VN拓扑管理器102和VR节点116之间的接口。架构100还可以包括切片或VN拓扑管理器102和IDSVR节点114之间的接口。架构100还可以包括移动性管理器104和VR节点116之间的接口。架构100还可以包括移动性管理器104和IDSVR节点114之间的接口。架构100还可以包括切片或VN拓扑管理器102和物理基础设施118之间的接口。架构100还可以包括VR节点116或IDSVR节点114和DFPC 108之间的接口。架构100还可以包括DFPC 108和与DAM 106之间的接口。架构100还可以包括DFPC 108和移动性管理器104之间的接口。
参考架构100,假设选定的UP切片(例如,切片112)可以是预定义切片,如上所述,因此,所有涉及到的VR节点116或IDSVR节点114都可以“知道”如何处理该切片的数据包。这样,VR节点116和IDSVR节点114可以在切片112内具有预先设置的路由路径。这种切片的操作可以简化。例如,可能不需要按设备建立端到端会话,因为切片可以是预定义切片。因此,切片112可以用于预定义切片中的数据传输和为了建立PDU会话而进行的数据传输。可能只需要设备和一个或多个接入节点之间的连接,这可以减少信令。因此,从移动设备到网络的数据传输可以通过“选择”切片的正确“入口点”来执行。例如,这种选择可以在移动设备的移动过程中进行。类似地,从网络到移动设备的下行(downlink,DL)数据传输或到达网络的上行(uplink,UL)数据传输可以通过“选择”切片的正确“出口点”来执行。切片的这种简化操作可以降低相关的复杂性(例如,开销信令和延迟)。
在选定的UP切片(例如,切片112)中,路由协议可以指定路由器如何相互通信,以根据任意两个节点之间的选定的路由和预先建立的路由来分发信息。预先建立的路由是指这些路由在数据转发之前建立。因此,数据包通过网络从一个节点转发到另一个节点,直到这些数据包到达其目的地终端。为了满足未来网络中的安全性要求,经常改变目的地终端的标识符,以保护和增强ID隐私。然而,引入临时ID的带来了与上文所述的数据转发相关的新问题,包括临时ID交换。
需要说明的是,无论UP切片是否存在,都可能需要交换临时ID以便按设备建立端到端会话。因此,与临时ID交换有关的实施例可以适用于UP切片或其他情况。
架构100可以实现更安全的数据转发协议,部分原因是每个UE具有不可链接的临时ID。因此,架构100可以提供针对临时ID可跟踪性攻击的安全性防护。此外,移动性管理器104可以将VR节点标识符与位置解耦,从而为UE位置隐私提供保护。
参考图1,切片或VN拓扑管理器102可以执行若干功能。切片或VN拓扑管理器102可以从基础设施提供商118获取基础设施拓扑信息。切片或VN拓扑管理器102可以创建一个或多个切片或VN。切片或VN拓扑管理器102可以配置一个或多个切片或VN中的VR节点的互连或接口。切片或VN拓扑管理器102可以根据一个或多个VR节点和IDSVR节点的一个或多个标识符配置一个或多个路由表。切片或VN拓扑管理器102可以配置基础设施装备,以便将一个或多个切片逻辑隧道映射到物理基础设施网络。切片或VN拓扑管理器102可以配置一个或多个VR节点和IDSVR节点来控制和管理接入链路资源,从而实现端到端切片。
移动性管理器104可以执行若干功能。移动性管理器104可以维护移动终端临时ID与当前服务VR标识符和IDSVR标识符中的一个或多个之间的映射关系,例如,关系表(例如,VR节点可以覆盖一个或多个小区或一个或多个集群节点等)。
移动性管理器104可以负责位置跟踪或查询。每当移动终端执行位置更新或VR节点监测到变化时,移动性管理器104就可以更新关系位置表。移动性管理器104在接收到位置查询请求时,可以返回当前服务VR ID或IDSVR ID。
移动性管理器104可以负责活动配置和跟踪。移动性管理器104可以配置和跟踪设备的活动状态,例如,配置接入节点侧的调度器来调度DL流量传输,这可以包括调度何时向设备发送数据包。
移动性管理器104可以负责可能的临时ID绑定关系(binding relation)和映射。移动性管理器104可以维护一个或多个包括临时ID的加密映射表。
移动性管理器104可以具有用于重新加密的代理功能。移动性管理器104可以根据位置ID运行数据转发策略。ID管理可以保留包括所有服务临时ID的映射表。
VR节点116可以执行若干功能。VR节点116可以根据切片或VN路由表中的一个或多个确定下一跳(hop)VR节点。VR节点116可以配置隧道,例如,出口VR ID。VR节点116可以配置一个或多个路由表,例如,目的地VR ID、下一VR ID。VR节点116可以向带下划线的物理实体提供下一跳VR节点的物理地址。VR节点116可以将一个或多个数据包转发给目的地移动终端的当前VR节点。VR节点116可以与移动性管理器104关联以查询UE的位置。
IDSVR节点114可以执行若干功能。IDSVR节点114可以执行与VR节点116执行的功能相似的功能。此外,IDSVR节点114可以接收临时ID交换的通知。IDSVR节点114还可以执行临时ID交换。IDSVR节点114还可以执行加密或解密中的一个或多个。IDSVR节点114还可以运行基于混合区域方法的k匿名(k-anonymity)。
DAM 106可以提供数据日志和分析业务。例如,DAM 106可以提供用于优化网络性能的网络流量信息。
DFPC 108可以维护关于数据转发策略的不同确认描述(confirmationdescription)。DFPC 108还可以确定数据转发策略选择。
各实施例可以提供基于位置ID的数据转发。在这些实施例中,移动性管理器104可以执行若干功能。移动性管理器104可以负责位置跟踪并用作解析管理器。移动性管理器104可以从ID管理接收关于变更(例如,DESTI-ID变更为DESTI-ID1)的通知。移动性管理器104可以更新位置表并维护DESTI-ID和DESTI-ID1之间的关系。移动性管理器104可以执行位置跟踪。
移动性管理器104可以执行位置解析。例如,移动性管理器104可以接收包括目的地移动设备ID(例如,DESTI-ID)的位置解析请求。移动性管理器104可以根据目的地移动设备ID(例如,DESTI-ID)搜索相应的位置ID(当前服务虚拟节点ID(数据平面)+R-ID)。例如,如果虚拟节点ID为“001”,R-ID为“11”,则位置ID可以为“00111”。然后,移动性管理器104可以返回目的地的当前位置ID(服务虚拟节点ID+R-ID)。请注意,R-ID(例如,虚拟节点内的端点的唯一ID)由移动性管理器生成,并分配给特定UE。位置ID由移动性管理器映射到特定UE的标识符。
将责任和功能分配给本文所述架构100中包括的实体可以实现基于临时ID的安全数据转发协议。
各实施例现在将描述数据转发策略的配置。
在选定的UP切片中,VR节点116可以是固定的,并且具有其邻居节点的信息,例如,位置和标识符。可以根据一个或多个数据包的目的地使用现有路由协议(例如,泛洪协议)建立数据路由路径。例如,已经到达VR节点的数据包可以包括源标识符和/或目的地标识符。如果该VR节点能够识别目的地标识符,并且知道目的地标识符的位置,则该VR节点可以搜索下一跳节点。如果该VR节点不知道目的地标识符,则该VR节点可以将数据包转发到网络功能,例如,DFPC 108,该功能可以负责配置数据转发策略。在配置之后,数据包可以发送到目的地所在的最终VR节点。
网络功能DFPC 108可以有三个针对数据转发策略的配置选项,即,基于混合区域的数据转发、基于部分加密的数据转发和基于位置ID的数据转发。每个数据转发策略的详细内容会在本文的其他地方讨论。本领域技术人员可以理解,VR节点116或IDSVR节点114可以保留表示数据转发策略状态的标志。该标志的值可以指示数据转发策略的配置选项,例如,标志值“010”可以表示或指示基于混合区域的数据转发,标志值“011”可以表示或指示基于部分加密的数据转发,标志值“000”可以表示或指示基于位置ID的数据转发,其他标志值可以表示网络中没有配置数据转发策略。
本领域技术人员可以理解,本文描述的实施例(包括与数据转发相关的实施例)可以适用并用于基于PDU会话的数据转发(当前的5G PDU会话数据传输)。
图2示出了本发明实施例提供的数据转发策略配置。
在202处,数据包可以从接入节点120到达VR节点116。该数据包可以包括一个或多个参数,例如,流ID、源地址(例如,Source-ID(源ID))、目的地地址(目的地ID(例如,DESTI-account))、数据转发策略要求。在一些实施例中,AN 120可以与原始数据发送方关联,并且VR 116可以从与原始数据发送方关联的接入节点120获取(例如,在202处)数据转发要求。原始数据发送方可以包括用户设备和网络功能(例如,VR或IDSVR)中的一个或多个,其中,该网络功能如本文所述地转发数据包。
在204处,如果VR节点116不知道目的地地址(例如,DESTI-ID),并且标志的值未指示网络中配置了任何数据转发策略,则VR节点116可以向DFPC(策略控制器的示例)108发送数据转发策略请求。该数据转发策略请求可以包括一个或多个参数,例如,流ID和数据转发策略要求。在一些实施例中,数据转发策略请求可以通过IDSVR节点114、移动性管理器104、DAM 106或IDSVR节点114和移动性管理器104这两者发送到DFPC 108。
在一些实施例中,VR 116可以向DFPC 108发送(例如,在204处)策略请求,以触发DFPC 108生成数据转发策略,其中,该策略请求包括数据转发要求。
在206处,在接收到数据转发策略请求之后,DFPC 108可以向DAM 106发送网络流量请求。该网络流量请求可以包括一个或多个参数,例如,网络流量信息(例如,网络中的流量负载、关于VR节点116或IDSVR节点114中的流量负载的信息)。然后,在207处,DAM 106可以将网络流量响应发回DFPC 108。该响应可以包括一个或多个参数,例如,VR节点116或IDSVR节点114中的网络流量负载。
DFPC 108在接收到网络流量响应之后,可以根据网络流量信息和数据转发策略要求来确定数据转发策略。然后,在208处,DFPC 108可以向移动性管理器(例如,CM)104发送数据转发策略配置消息。在一些实施例中,DFPC 108可以在接收到策略请求(例如,在204处接收)之后生成数据转发策略。
数据转发策略配置消息可以包括一个或多个参数,例如,流ID、关于所需数据转发策略的配置描述(例如,指示被激活的数据转发策略的索引)和关于数据转发策略的参数(例如,基于混合区域的数据转发中使用的K值、加密算法和解密算法中的一种或多种、或IDSVR节点选择标准或因素的指示)。
在一些实施例中,移动性管理器104可以从DFPC 108接收(例如,在208处)包括数据转发策略的消息(第一消息),其中,该数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置。如前所述,数据转发要求可以在接入节点120从原始数据发送方接收的数据包中指示。
在一些实施例中,指示关于如何转发数据的配置的数据转发策略取决于数据转发要求和网络流量信息。网络流量信息包括与网络关联的至少一个流量参数,该网络包括VR116或与网络功能116关联的其他网络功能中的一个或多个。因此,在一些实施例中,DFPC108可以向DAM功能106发送(例如,在206处)请求网络流量信息的网络流量请求,其中,该网络流量请求包括关于VR 116的信息。然后,DFPC 108可以从DAM功能106接收(例如,在207处)包括网络流量信息的网络流量响应。因此,数据转发策略可以基于原始数据发送方的数据转发要求和网络流量信息。
在一些实施例中,移动性管理器104(管理功能的示例)可以根据从策略控制器接收(在208处)的第一消息(例如,包括数据转发策略的消息)向VR 116发送(例如,在210处,或者经由211在212处)消息(第二消息)。然后,VR 116可以根据从移动性管理器接收的消息获取(例如,在210或212处)指示数据转发请求的指示和指示ID交换规则的相应标志。
在一些实施例中,移动性管理器104可以根据在208处接收的第二消息确定(例如,在210处)发送到VR 116的指示和相应标志。本领域技术人员可以理解,原始数据发送方可以信任移动性管理器104。
在一些实施例中,在接收到数据转发策略配置消息之后,如果所需的数据转发策略是基于位置ID的数据转发,则移动性管理器(例如,CM)104可以运行配置描述。然后,移动性管理器(例如,CM)104可以向VR节点116发送ID-Swapping-Flag消息(ID交换标志消息)。ID-Swapping-Flag消息可以指示数据转发策略是基于位置ID的。在一些实施例中,移动性管理器(例如,CM)104可以根据IDSVR节点选择标准或因素的指示来选择IDSVR节点114,然后,在211处向IDSVR节点114发送数据转发策略配置消息。
在一些实施例中,IDSVR节点114可以根据数据转发策略配置来设置标志的值并配置数据转发策略的参数。然后,在212处,IDSVR节点114可以向VR节点116发送ID-Swapping-Flag消息,其中,该消息可以指示基于混合区域的数据转发或基于部分加密的数据转发。ID-Swapping-Flag消息可以包括一个或多个参数,例如,流ID和标志的值。
在一些实施例中,如果标志的值指示数据转发是基于部分加密的,则在214处,VR节点116可以将ID-Swapping-Flag消息与IDSVR节点的公钥一起发送到接入节点120。
在一些实施例中,移动性管理器104可以确定包括根据来自原始数据发送方的数据包的目的地的位置ID来转发数据的策略的ID交换规则。
根据ID交换规则,数据包根据位置ID,通过VR 116(网络功能)以及原始数据发送方和目的地之间的其他VR 116(网络功能)转发给目的地。此外,根据ID交换规则,移动性管理器104将数据包中的数据包的目的地ID与数据包的目的地的服务ID进行交换,该服务ID可由包括VR 116的网络识别。
在一些实施例中,位置ID可以由移动性管理器104分配给数据包的目的地。本领域技术人员可以理解,目的地的位置ID可以根据与目的地关联的其它VR的ID来分配,其它VR可能不是图2中的VR 116,而是靠近目的地或与目的地关联的VR。
在一些实施例中,(VR 116从移动性管理器104接收的)第二消息可以包括(从移动性管理器104发到IDSVR 114的)第三消息。在一些实施例中,第二消息可以包括(从IDSVR114发到VR 116的)第四消息。
在一些实施例中,移动性管理器104可以根据第一消息从一组IDSVR中选择IDSVR114。然后,移动性管理器可以向IDSVR 114发送(例如,在211处)包括数据转发策略的第三消息。然后,IDSVR 114可以向VR 116发送(例如,在212处)指示和相应标志。
在一些实施例中,原始数据发送方可以信任IDSVR 114。在一些实施例中,IDSVR114可以确定包括根据基于部分加密的数据转发策略来转发数据的策略的ID交换规则。根据ID交换规则,数据包的目的地ID或与该目的地ID对应的服务ID可以由IDSVR 114根据原始数据发送方信任的且与数据包的目的地关联的其它网络功能(例如,IDSVR)的公钥进行加密。本领域技术人员可以理解,在一些实施例中,只有目的地ID(或与该目的地ID对应的服务ID)可以根据ID交换规则进行加密,而通过ID交换规则指示的其他信息不进行加密。此外,根据ID交换规则,移动性管理器104可以将数据包中的数据包的目的地ID与数据包的目的地的服务ID进行交换,该服务ID可由包括VR 116的网络识别。
在一些实施例中,如本文所述,VR 116可以向AN节点120发送(例如,在214处)与IDSVR 114关联的公钥,用于对数据包的目的地ID进行加密。
在一些实施例中,原始数据发送方可以信任IDSVR 114。在一些实施例中,IDSVR114可以确定包括根据基于混合区域的数据转发策略来转发数据的策略的ID交换规则。根据ID交换规则,超过一定数量的发往不同目的地的数据包可以由IDSVR 114转发,转发的顺序不同于IDSVR 114接收这些数据包(上述一定数量的数据包)的顺序。此外,根据ID交换规则,移动性管理器104可以将数据包中的数据包的目的地ID与数据包的目的地的服务ID进行交换,该服务ID可由包括VR 116的网络识别。
在一些实施例中,IDSVR 114可以根据目的地ID和服务ID之间的映射关系确定(数据包的目的地的)服务ID。
在一些实施例中,DFPC 108可以根据网络流量负载动态调整数据转发策略。在这种情况下,DFPC 108可以向移动性管理器(例如,CM)104或IDSVR节点114发送关于数据转发策略的新配置描述或参数,以重新配置关于数据转发策略的参数。本领域技术人员可以理解,DFPC 108可以将一个数据转发策略切换为另一个数据转发策略,或者可以改变同一数据转发策略的一些参数。
图2中所示的过程和步骤可以实现在数据转发过程中根据网络流量负载和安全要求动态改变数据转发策略。动态改变数据转发策略(例如,在数据转发过程中)可以增强UEQoE并提高ID隐私要求。
各实施例现在将描述数据转发过程中的临时ID交换。
为了说明,在不限制本发明范围的情况下,可以提供关于数据转发过程中的特定UE的ID的一些定义。DESTI-ID可以指目的地的标识符,该标识符可以在来自接入节点的数据包中指示。目的地的服务标识符可以是S-ID,可以为网络所知。最终VR节点或最终IDSVR节点可以是目的地所在的地方。源标识符可以称为Source-ID。
各实施例现在将描述基于混合区域的数据转发。
基于混合区域的数据转发的概念可以基于至少k个不同的临时ID,给定时间段内的ID交换需要这些临时ID。基于混合区域的数据转发的概念还可以基于一个或多个入口数据包和出口数据包,这些数据包可以不与临时ID链接。基于混合区域的数据转发的概念还可以基于混合的入口数据包和出口数据包的顺序。
在基于混合区域的数据转发中,IDSVR节点114的功能可以包括等待至少k个具有不同目的地的入口数据包。IDSVR节点114的功能还可以包括:如果IDSVR节点114不具有所需的位置,则查询这些位置。例如,IDSVR节点114可以向移动性管理器(例如,CM)104请求位置。IDSVR节点114的功能还可以包括向下一跳转发器发送带有已交换的临时ID的出口数据包。
图3示出了本发明实施例提供的数据转发过程中的基于混合区域的数据转发。
参考图3,来自RAN节点120的数据包可以到达VR节点116(例如,VR1 122)。该数据包可以包括一个或多个参数,例如,流ID、数据转发策略要求、源标识符(例如,Source-ID)、目的地标识符(例如,DESTI-ID)、以及数据的内容。VR1节点122可以检查目的地标识符是否在网络中。如果目的地标识符在网络中,则如果VR1节点122不知道目的地的位置,VR1节点122可以搜索目的地的位置。在一些实施例中,VR1节点122可以通过向移动性管理器(例如,CM)104发送请求并接收移动性管理器104的响应来搜索目的地的位置。关于VR1节点122如何搜索目的地的位置的详细内容,参见本文的其他地方。
在一些实施例中,在确定目的地的位置时,VR1节点122可以根据目的地的位置确定下一跳VR节点。然后,VR1节点122可以将数据包转发给目的地VR(例如,VR3 126)。然后,目的地VR(例如,VR3126)可以将数据包转发给目的地RAN节点(例如,RAN节点128)。
在一些实施例中,如果数据包满足一组条件,则VR1节点122可以在302处将数据包转发给IDSVR节点114(例如,IDSVR1节点132)。这一组条件可以包括:目的地标识符不在网络中。这一组条件可以包括:需要基于混合区域的数据转发。这一组条件还可以包括:标志的值指示配置了基于混合区域的数据转发。假设满足这些条件,VR1节点122可以在302处将数据包转发给IDSVR1节点132。IDSVR1节点132可以根据IDSVR1节点132和VR1节点122之间的距离、IDSVR1节点132上的流量负载、或其他选定标准来选择。
当数据包到达IDSVR1节点132时,IDSVR1节点132可以执行一个或多个功能。IDSVR1节点132可以等待至少k个具有不同目的地的数据包,前提是至少k个数据包没有实时或紧急要求。IDSVR1节点132还可以将目的地标识符映射到目的地UE的服务临时ID。如果IDSVR1节点132没有目的地的位置,则IDSVR1节点132可以(例如,在303处)向移动性管理器104发送位置请求。移动性管理器104可以在304处将响应发回IDSVR1节点132。关于IDSVR1节点132如何搜索目的地的位置的详细内容,参见本文的其他地方。IDSVR1节点132还可以根据目的地的位置确定下一跳VR节点。在一些实施例中,下一跳VR节点可能是VR节点或IDSVR节点。
IDSVR1节点132可以转发k个数据包,转发的顺序与k个数据包进入IDSVR1节点132的顺序不同。换句话说,k个数据包进入IDSVR1节点132的顺序可以与k个数据包离开IDSVR1节点132的顺序不同。在按照不同的顺序转发k个数据包时,IDSVR1节点132还可以在305处将在302处(从VR1节点122)接收的数据包转发给VR2节点124。
当来自IDSVR1节点132的数据包到达VR2节点124时,VR2节点124可以执行一个或多个功能。VR2节点124可以在306处将数据包转发给下一跳VR节点(例如,VR3节点126)。下一个VR节点可以重复步骤306,直到数据包到达目的地VR节点(例如,VR3 126)。然后,目的地VR(例如,VR3126)可以(例如,在307处)将数据包转发给目的地RAN节点(例如,RAN节点128)。
本领域技术人员可以理解,该过程可以使用现有技术方案来确定下一跳节点。现有技术方案可以包括距离矢量路由协议,该协议通过数据包必须经过的路由器的数量来测量距离。为了确定跨网络的最佳路由,实施了距离矢量协议的路由器节点可以相互交换信息。交换的信息可能包括路由表与目的地网络的跳数,可能还包括其他流量信息。距离矢量路由协议还可以包括路由器节点,这些节点定期向其邻居节点通知网络拓扑变化。
VR节点116(例如,VR1节点122、VR2节点124或VR3节点126)或IDSVR节点114(例如,ISDVR1节点132)可以经由移动性管理器104搜索数据包目的地的位置。VR节点116或IDSVR节点114可以向移动性管理器104发送位置请求。该位置请求可以包括一个或多个参数,例如,目的地的临时ID。移动性管理器104可以将位置响应发回VR节点116或IDSVR节点114。该位置响应可以包括一个或多个参数,例如,目的地位置的ID。
各实施例现在将描述基于部分加密的数据转发。基于部分加密的数据转发的概念可以基于请求的临时ID和服务临时ID的搜索和映射。基于部分加密的数据转发的概念还可以基于对服务临时ID的加密。
IDSVR节点114在基于部分加密的数据转发中的功能可以包括交换临时ID。IDSVR节点114的功能还可以包括对临时ID进行加密和解密。IDSVR节点114的功能还可以包括查询IDSVR节点114可能不具有或不知道的位置,例如,IDSVR节点114可能不知道如何路由到数据包中指示的位置。IDSVR节点114的功能还可以包括向下一跳转发器发送带有已交换的临时ID的出口数据包。本领域技术人员可以理解,在基于部分加密的数据转发中,IDSVR节点114可以不像基于混合区域的数据转发的情况那样等待至少k个入口数据包,这样可以减少延迟。
图4示出了本发明实施例提供的数据转发过程中的基于部分加密的数据转发。
在402处,数据包可以从无线接入网(radio access network,RAN)节点120到达VR节点116(例如,VR1节点122)。该数据包可以包括一个或多个参数,例如,流ID、数据转发策略要求、源标识符(例如,Source-ID)、目的地标识符(例如,DESTI-ID)、数据的内容,以及IDSVR节点标识符(例如,IDSVR1)。目的地标识符DESTI-ID可以由RAN节点120使用IDSVR节点(例如,IDSVR1节点132)的公钥进行加密。可以连接到VR节点或IDSVR节点的RAN节点可以具有IDSVR节点(例如,IDSVR1节点132)的公钥。通过对DESTI-ID进行加密,VR1节点122可能不知道DESTI-ID。在接收到数据包时,VR1节点122可以在403处直接将数据包转发给IDSVR节点(例如,IDSVR1节点132)。
在接收到数据包之后,IDSVR1节点132可以解密并获得目的地标识符DESTI-ID。IDSVR1节点132可以执行基于第一选项的一个或多个功能。基于第一选项的一个或多个功能可以包括:IDSVR1节点132检查目的地标识符DESTI-ID是否在网络中。如果目的地标识符DESTI-ID在网络中,则如果IDSVR1节点132不知道目的地的位置,IDSVR1节点132可以搜索目的地的位置。基于第一选项的一个或多个功能还可以包括:IDSVR1节点132通过在404处向移动性管理器(例如CM)104发送请求并在405处接收移动性管理器104的响应来搜索目的地的位置。关于ISVR1节点132如何搜索目的地的位置的详细内容,参见本文的其他地方。然后,IDSVR1节点132可以根据目的地的位置确定下一跳VR。
在一些实施例中,IDSVR1节点132在接收到数据包时,可以执行基于第二选项的一个或多个功能。基于第二选项的一个或多个功能可以包括:如果数据包满足一组条件,则IDSVR1节点132交换目的地标识符。这一组条件可以包括:目的地标识符不在网络中。这一组条件还可以包括:需要基于部分加密的数据转发。这一组条件还可以包括:标志的值指示配置了基于部分加密的数据转发。例如,目的地标识符“DESTI-ID”可以映射到目的地的服务标识符“S-ID2”。
在IDSVR1节点132执行基于第一选项的功能的情况下,IDSVR1节点312可以在406处根据目的地的位置将数据包转发给下一跳,例如,VR2节点124,该数据包可以包括一个或多个参数,例如,流ID、Source-ID、目的地标识符DESTI-ID。
在IDSVR1节点132执行基于第二选项的功能的情况下,IDSVR1节点312可以在406处根据目的地的位置将数据包转发给下一跳,例如,VR2节点124,该数据包可以包括一个或多个参数,例如,流ID、Source-ID、目的地的标识符“S-ID2”(使用可用IDSVR节点(例如,IDSVR3节点136)的公钥进行加密),以及可用IDSVR(例如,IDSVR3节点136)的标识符。可以根据目的地的位置来确定可用IDSVR节点,例如,可以选择离目的地的位置最近的IDSVR节点。
VR2节点124可以在407处将数据包转发给目的地VR节点,例如,服务VR节点(例如,VR3节点126),该数据包包括基于上述第一选项或第二选项的相应信息。VR3节点126可以在408处将数据包发送到IDSVR3 136。
在IDSVR1节点132执行基于第一选项的功能的实施例中,目的地节点所在的服务VR节点(即VR3节点126)可以接收数据包,然后VR3节点126可以将数据包发送(例如,在410处)到目的地RAN节点(例如,RAN节点128)。
在IDSVR1节点132执行基于第二选项的功能的实施例中,目的地节点所在的服务VR节点(即VR3节点126)可以接收数据包。VR3节点126可以将数据包发送(例如,在408处)到IDSVR节点(例如,IDSVR3节点136)。在接收到数据包时,IDSVR节点(例如,IDSVR3节点136)可以解密并获得目的地标识符。如果目的地节点在IDSVR3节点136的覆盖范围内,则IDSVR3节点136可以将数据包发送到目的地节点。如果目的地节点在VR3 126的覆盖范围内,则IDSVR3节点136可以在409处将解密后的数据包发送到目的地VR节点(例如,VR3 126)。解密后的数据包可以包括一个或多个参数,例如,流ID、Source-ID、目的地的服务标识符“S-ID2”。
各实施例现在将描述基于位置ID的数据转发。
图5示出了本发明实施例提供的基于位置ID的数据转发。
源VR的服务节点(例如,VR1节点122)可以接收带有目的地移动设备ID(例如,DESTI-ID)的数据包。VR1节点122可以根据DESTI-ID搜索本地端点路由表。如果搜索没有结果,则VR1节点122可以在502处向移动性管理器(例如,CM)104发送对当前位置ID的请求。移动性管理器104可以是信任功能,并且可以用于维护临时ID关系的ID映射表。
VR1节点122可以在503处接收移动性管理器104的响应,该响应包括关于(例如DESTI-ID)和位置ID的信息。位置ID的格式可以包括当前服务虚拟节点(VR)(例如,小区)和R-ID(虚拟节点内的端点的唯一ID)。
然后,VR1节点122可以在504处根据目的地端点的位置ID内的信息将数据包路由到当前服务节点。因此,VR1节点122可以将数据包发送到虚拟服务节点(例如,VR2节点124)。
VR2节点124可以接收数据包,并根据预定义的切片级路由表将数据包转发给目的地端点的虚拟服务节点。因此,VR2节点124可以在506处将数据包转发给目的地VR节点(VR3节点126)的虚拟服务节点(小区)。
VR3节点126可以接收数据包,并在508处根据位置ID内的R-ID信息将数据包发送到目的地RAN节点(例如,RAN节点128)。
结合数据转发策略论述的各实施例可以提供数据转发过程中的临时ID交换。本文实施例中描述的数据转发过程可以提供CP层中的ID交换和UP层中的ID交换。此外,这些实施例可以在数据转发过程中增强对ID隐私的保护。
各实施例现在将描述基于多个选项的定制数据转发策略。根据安全性要求和数据包的QoS要求,DFPC 108可以为数据转发提供不同的选项。数据转发策略还可以根据网络流量信息动态改变。
图6示出了本发明实施例提供的不同数据转发策略的可用业务。如图所示,数据转发策略可以基于混合区域、部分加密和位置ID。此外,根据安全性要求、数据包的QoS要求和网络流量信息,不同的业务可能需要不同的数据转发策略。不同的业务或功能可以包括紧急业务(例如,911业务)、高安全性业务(例如,军事业务)、可靠业务(例如,uRLLC)、正常业务(例如,语音或通话)、低资源业务(例如,mMTC)和漫游业务(例如,V2x)。可以满足紧急业务的安全性要求和QoS要求的数据转发策略可以包括基于部分加密的数据转发策略或基于位置ID的数据转发策略,这是例如因为这两种方案中的延迟低。对于高安全业务,基于部分加密的数据转发策略可以满足安全性要求和QoS要求,因为基于部分加密的数据转发策略可以实现高安全性能。对于低资源业务,基于混合区域的数据转发策略和基于位置ID的数据转发策略可能足以满足安全性要求和QoS要求,因为这两种方案的计算开销低。
如图6所示,基于混合区域的数据转发可以满足正常业务和低资源业务的要求。基于部分加密的数据转发可以满足紧急业务、高安全业务、可靠业务、正常业务和漫游业务的要求。基于位置ID的数据转发可以满足紧急业务、可靠业务、正常业务和低资源业务的要求。
图7示出了本发明实施例提供的用于配置数据转发策略的通话流过程。图7中的过程可以与图2中所示的过程类似。
在702处,接入节点120可以向VR节点116发送数据包。该数据包可以包括一个或多个参数,例如,流ID、源地址(例如,Source-ID)、目的地地址(例如,DESTI-ID)、数据转发策略要求。DESTI-ID也可以称为DESTI-account。
在704处,如果VR 116不知道目的地地址(例如,DESTI-ID),并且标志的值未指示网络中配置了任何数据转发策略,则VR节点116可以向DFPC 108发送数据转发策略请求。该数据转发策略请求可以包括一个或多个参数,例如,流ID和数据转发策略要求。在一些实施例中,数据转发策略请求可以通过IDSVR节点114或移动性管理器104或DAM 106或IDSVR节点114和移动性管理器104两者发送到DFPC 108。
在接收到数据转发策略请求之后,DFPC 108可以在706处向DAM 106发送网络流量请求。该网络流量请求可以包括一个或多个参数,例如,网络流量信息(例如,网络中的流量负载、关于VR节点116或IDSVR节点114中的流量负载的信息)。
在708处,DAM 106可以将网络流量响应发回DFPC 108。该响应可以包括一个或多个参数,例如,VR节点116或IDSVR节点114中的网络流量负载。
DFPC 108在接收到网络流量响应之后,可以根据网络流量信息和数据转发策略要求确定数据转发策略。然后,在710处,DFPC 108可以向移动性管理器(例如,CM)104发送数据转发策略配置消息。该数据转发策略配置消息可以包括一个或多个参数,例如,流ID、所需数据转发策略的配置描述、关于数据转发策略的参数(例如,基于混合区域的数据转发中使用的K值、加密算法和解密算法中的一种或多种、或IDSVR节点选择标准或因素的指示)。
在一些实施例中,在接收到数据转发策略配置消息之后,如果所需的数据转发策略是基于位置ID的数据转发,则移动性管理器(例如,CM)104可以在711处运行配置描述。
移动性管理器104可以根据数据转发策略配置设置标志的值。然后,移动性管理器104可以在712处向VR节点116发送ID-Swapping-Flag消息。ID-Swapping-Flag消息包括一个或多个参数,例如,DESTI-ID和标志的值。
在其他实施例中,如果数据转发策略不基于位置ID,则移动性管理器104可以选择IDSVR节点(例如,IDSVR节点114),然后在714处将数据转发策略配置消息转发给IDSVR节点114。IDSVR节点114可以在715处运行配置描述。IDSVR节点114可以根据数据转发策略配置设置标志的值,然后配置关于数据转发策略的参数。然后,IDSVR节点114可以在716处向VR节点116发送ID-Swapping-Flag消息。该消息可以包括一个或多个参数,例如,流ID、标志的值。
在标志的值表示或指示数据转发基于部分加密的一些实施例中,VR节点116可以在717处将ID-Swapping-Flag消息与IDSVR的公钥一起发送到接入节点120。
图8示出了本发明实施例提供的数据转发过程中的基于混合区域的数据转发的通话流过程。图8中的过程可以与图3中所示的过程类似。
参考图8,在801处,在VR节点(例如,VR1 122)接收到数据包之后,VR1 122可以检查目的地标识符是否在网络中。如果目的地标识符在网络中,则如果VR1节点122不知道目的地的位置,VR1122可以搜索目的地的位置。关于VR1节点122如何搜索目的地位置的详细内容,参见本文的其他地方。VR1 122可以根据目的地的位置确定下一跳转发器。然后,VR1122可以将数据包转发给下一跳,直到数据包到达目的地。数据包可以包括至少一个或多个参数,例如,流ID、数据转发策略要求、源标识符(例如,Source-ID)、目的地标识符(例如,DESTI-ID)、以及数据的内容。
在一些实施例中,如果数据包满足一组条件,则VR节点122可以在802处将该数据包转发给IDSVR节点(例如,IDSVR1节点132)。这一组条件可以包括:目的地标识符不在网络中。这一组条件还可以包括:需要基于混合区域的数据转发。这一组条件还可以包括:标志的值表示或指示配置了基于混合区域的数据转发。IDSVR1节点132可以根据IDSVR1节点132和VR1节点122之间的距离、IDSVR1节点132上的流量负载、或其他选定标准来选择。
在接收到数据包之后,IDSVR节点(例如,IDSVR1节点132)可以将目的地标识符(例如,DESTI-ID)与目的地的服务标识符(例如,S-ID2)交换。如果IDSVR1节点132不知道目的地的位置,则IDSVR节点(例如,IDSVR1 132)可以在804处向移动性管理器(例如,CM)104发送位置请求。该位置请求可能包括一个或多个参数,例如,目的地的服务标识符(例如,S-ID2)和位置粒度。该位置请求可以在安全通信信道中传输。在一些实施例中,如果IDSVR节点(例如,IDSVR1 132)不交换目的地标识符,则位置请求消息中的目的地的当前标识符(例如,DESTI-ID)可以替换目的地的服务标识符。
在806处,移动性管理器(例如,CM)104可以向IDSVR节点(例如,IDSVR1节点132)发送位置响应。该位置响应可以包括S-ID2和目的地的位置。
在接收到移动性管理器104的位置响应之后,IDSVR节点(例如,IDSVR1节点132)可以在808处执行一个或多个功能。如果至少k个数据包不具有实时或紧急要求,则IDSVR1节点132可以等待至少k个具有不同目的地的数据包。IDSVR1节点132还可以将目的地标识符(例如,DESTI-ID)映射到目的地的服务标识符(例如,ID2)。IDSVR1节点132还可以根据目的地的位置使用现有路由协议(例如,距离矢量路由协议(该协议通过数据包必须经过的路由器的数量来测量距离))确定下一跳转发器。
在810处,IDSVR节点(例如,IDSVR1节点132)可以将至少k个数据包转发给下一跳转发器,直到至少k个数据包到达其目的地,转发的顺序与至少k个数据包进入IDSVR(例如,IDSVR1节点132)的顺序不同。例如,如果k=4,则数据包1可以在t1时刻到达IDSVR1节点132,数据包2可以在t2时刻到达IDSVR1节点132,数据包3可以在t3时刻到达IDSVR1节点132,数据包4可以在t4时刻到达IDSVR1节点132,使得t4>t3>t2>t1。然后,数据包的离开顺序可以是随机的,并且与这些数据包到达ISDVR1节点132的顺序不同,例如,数据包离开ISDVR节点132的顺序可以是数据包4、数据包1、数据包3和数据包2。
因此,在814处,IDSVR1节点132可以将数据包发送到下一跳节点,例如,VR2节点124。该数据包可能包括一个或多个参数,例如,流ID、Source-ID和目的地的服务标识符(例如,S-ID2)。
图9示出了本发明实施例提供的数据转发过程中的基于部分加密的数据转发的通话流过程。图9中的通话流过程可能与图4中所示的过程类似。
在902处,当数据包到达第一VR节点(例如,VR1 122)时,VR1节点122可以将数据包转发给分配的IDSVR节点(例如,IDSVR1 132)。该数据包可以包括一个或多个参数,例如,流ID、数据转发策略要求、源标识符(例如,Source-ID)、目的地标识符(例如,DESTI-ID)、数据的内容和IDSVR节点标识符(例如,IDSVR1)。目的地标识符DESTI-ID可以使用IDSVR节点(例如,IDSVR1节点132)的公钥进行加密。请注意,IDSVR节点132可以是最接近第一VR节点(例如,VR1节点122)的节点。
在接收到数据包之后,IDSVR节点(例如,IDSVR1节点132)在904处可能有两个选项。第一选项可能适用于网络不知道目的地标识符(例如,DESTI-ID)的情况。在第一选项中,IDSVR节点(例如,IDSVR1节点132)可以根据IDVSR节点132的临时ID映射表(其可以预先配置给IDSVR1节点132),将目的地标识符与目的地的服务标识符进行交换。例如,DESTI-ID可以与服务标识符S-ID2进行映射。第二选项可能适用于网络知道目的地标识符(例如,DESTI-ID)的情况。
在接收到数据包之后,如果IDSVR节点(例如,IDSVR1 132)不知道目的地的位置,则IDSVR节点可以在906处向移动性管理器(例如,CM)104发送位置请求。该位置请求可以包括一个或多个参数,例如,目的地标识符(例如,DESTI-ID)或目的地的服务标识符(例如,S-ID2)和位置粒度。请注意,该位置请求可以在安全通信信道中传输,以确保目的地标识符的安全性保护。
移动性管理器(例如,CM)104可以在908处向IDSVR节点(例如,IDSVR1节点132)发送位置响应。该位置响应可以包括目的地的位置。
在第一选项适用的实施例中,例如,在网络不知道目的地标识符(例如,DESTI-ID)的情况下,该过程可以遵循910、912和914,如图所示。IDSVR节点(例如,IDSVR1 132)可以建立路由表,并在910处根据目的地的位置将数据包转发给下一跳VR(例如,VR2)。请注意,IDSVR节点132可以使用现有路由协议(例如,距离矢量路由协议)来建立下一跳转发器,该协议通过数据包必须经过的路由器的数量来测量距离。该数据包可以包括一个或多个参数,例如,流ID、Source-ID、目的地的服务标识符“S-ID2”(使用可用IDSVR节点(例如IDSVR3节点136)的公钥进行加密)以及IDSVR的标识符。可以根据目的地的位置来确定可用IDSVR节点,例如,可以选择离目的地的位置最近的IDSVR节点。
当目的地节点所在的服务VR节点(例如,VR2节点124)根据第一选项接收数据包时,服务VR节点可以在912处向IDSVR节点(例如,IDSVR3节点136)发送数据包。
在基于第一选项接收数据包之后,IDSVR节点(例如,IDSVR3节点136)可以解密并获得目的地标识符(S-ID2)。IDSVR节点(例如,IDSVR3节点136)可以在914处将数据包发送到目的地节点或用户140。如果目的地节点不在IDSVR3节点136的覆盖范围内,则数据包可以经过一个或多个VR节点。该数据包可以包括一个或多个参数,例如,流ID、Source-ID和目的地的服务标识符ID2(S-ID2)。
在第二选项适用的实施例中,例如,在网络知道目的地标识符(例如,DESTI-ID)的情况下,则过程可以遵循如图所示的916和918。
根据第二选项,在916处,IDSVR节点(例如,IDSVR1节点132)可以建立路由表,并根据目的地的位置将数据包转发给下一跳VR(例如,VR2节点124)。IDSVR1节点132可以使用现有路由协议(例如,距离矢量路由协议)来建立下一跳转发器,该协议通过数据包必须经过的路由器的数量来测量距离。该数据包可以包括一个或多个参数,例如,流ID、源标识符、目的地标识符(例如,DESTI-ID)。
根据第二选项,在918处,当目的地节点所在的服务VR节点(例如,VR2节点124)接收数据包时,服务VR节点可以直接向目的地用户140发送数据包。
图7、图8和图9中描述的实施例可以分别为图2、图3和图4中所示的过程提供通话流或流程图。
本文描述的各实施例可以提供包括IDSVR节点114和DFPC 109等一个或多个功能的架构。本文描述的架构可以在数据转发过程中为ID隐私提供保护。该架构还可以提供基于不同业务的定制数据转发策略,以保护数据转发过程中的ID隐私。
本文描述的各实施例可以提供数据转发策略配置。各实施例还可以提供DFPC 108功能,其可以提供基于流量负载和数据要求的动态数据转发策略。数据转发策略可以在数据转发过程中保护ID隐私,并提供UP层或CP层中的ID交换。
本文描述的各实施例可以提供基于位置ID的数据转发。本文描述的实施例可以提供基于混合区域的数据转发,包括IDSVR节点114中的增强特征或功能(feature/functionality)。本文描述的实施例可以提供基于部分加密的数据转发,包括IDSVR节点114中的增强特征或功能(feature/functionality)。
应当理解,虽然各实施例描述了由上述特定网络功能执行的某些方法步骤,但在其他实施例中,一些功能可以由其他功能执行。例如,虽然已经讨论了管理功能104执行根据接收到的策略确定和发送指示和相应标志的步骤的实施例,但应当理解,在其他实施例中,IDSVR 114可以执行所有这些步骤中的一些。
本领域技术人员可以理解,本文描述的实施例可以用于物联网(Internet ofThings,IoT)和车联网(Interne of vehicles,IoV)场景。此外,本文描述的实施例可以应用于卫星通信和IoV等应用。在这些场景或应用中,数据包中的目的地标识符可以指UE的标识符,或者终端设备(例如,IoT设备、可穿戴设备、车载设备(vehicular device/vehicle-mounted device/vehicle on-board equipment))的标识符。
图10是本发明不同实施例提供的UE 1000的示意图,UE 1000可以执行本文显式或隐式描述的上述方法和功能的任何操作或全部操作。例如,配备网络功能的计算机可以被配置为UE 1000。本领域技术人员可以理解,UE 1000可以是指终端设备、移动设备、M2M设备或IoT设备。
如图所示,UE 1000可以包括处理器1010,例如,中央处理器(Central ProcessingUnit,CPU)或专用处理器,例如,图形处理单元(Graphics Processing Unit,GPU)或其他此类处理器单元、存储器1020、非瞬时性大容量存储器1030、输入输出接口1040、网络接口1050和收发器1060,所有这些组件都通过双向总线1070通信地耦合。根据某些实施例,可以使用任何或所有所描绘的元件,或者仅使用元件的子集。此外,UE 1000可以包括某些元件的多个实例,例如,多个处理器、存储器或收发器。此外,硬件设备的元件可以直接耦合到没有双向总线的其他元件。此外,或作为处理器和存储器的替代,可以使用集成电路等其他电子元件来执行所需的逻辑操作。
存储器1020可以包括任何类型的非瞬时性存储器,例如,静态随机存取存储器(static random access memory,SRAM)、动态随机存取存储器(dynamic random accessmemory,DRAM)、同步DRAM(synchronous dynamic random access memory,SDRAM)、只读存储器(read-only memory,ROM)、这些存储器的任意组合等。大容量存储单元1030可以包括任何类型的非瞬时性存储设备,例如,固态驱动器、硬盘驱动器、磁盘驱动器、光盘驱动器、USB驱动器或用于存储数据和机器可执行程序代码的任何计算机程序产品。根据一些实施例,存储器1020或大容量存储器1030可以在其上记录由处理器1010可执行的用于执行上述任何方法操作的语句和指令。
本发明的各实施例可以使用电子硬件、软件或其组合来实现。在一些实施例中,本发明由一个或多个计算机处理器执行存储在存储器中的程序指令来实现。在一些实施例中,本发明部分或全部在硬件中实现,例如,使用一个或多个现场可编程门阵列(fieldprogrammable gate array,FPGA)或专用集成电路(application specific integratedcircuit,ASIC)来快速执行处理操作。
应当理解,尽管为了说明,本文已经描述了该技术的具体实施例,但在不脱离该技术的范围的情况下,可以进行各种修改。因此,说明书和附图仅被视为所附权利要求书限定的对本发明的说明,并预期涵盖本发明范围内的任何和所有修改、变化、组合或等同物。具体而言,提供用于存储机器可读取的信号的计算机程序产品或程序元件,或磁线、磁带、磁盘或光线、光带或光盘等程序存储或存储设备,在本技术范围内,用于根据本技术的方法控制计算机的操作和/或根据本技术的系统构造其部分或全部组件。
与本文描述的方法关联的动作可以在计算机程序产品中实现为编码指令。换言之,计算机程序产品是一种计算机可读介质,当计算机程序产品被加载到存储器中并在无线通信设备的微处理器上执行时,软件代码被记录在该介质上以执行方法。
此外,该方法的每个操作可以在任何计算设备上执行,例如,在个人计算机、服务器、PDA等上执行,并根据从任何编程语言(例如,C++、Java等)生成的一个或多个程序元素、模块或对象的一个或多个或一个或多个程序单元、模块或对象的一部分执行。此外,每个操作或实现每个操作的文件或对象等可以由专用硬件或为此目的设计的电路模块执行。
通过上述实施例的描述,本发明可以仅通过硬件实现,也可以通过软件和必要的通用硬件平台实现。基于这些理解,本发明的技术方案可以以软件产品的形式体现。软件产品可以存储在非易失性或非瞬时性存储介质中,该存储介质可以是光盘只读存储器(compact disk read-only memory,CD-ROM)、USB闪存盘或可移动硬盘。软件产品包括使计算机设备(个人计算机、服务器或网络设备)能够执行本发明实施例提供的方法的多个指令。例如,这样的执行可以对应于如本文的逻辑操作的模拟。根据本发明的各实施例,软件产品可以附加地或替代地包括多个指令,这些指令使得计算机设备能够执行配置或编程数字逻辑装置的操作。
虽然已经参考本发明的具体特征和实施例描述了本发明,但很明显,在不脱离本发明的情况下,可以对本发明进行各种修改和组合。因此,说明书和附图仅被视为所附权利要求书限定的对本发明的说明,并预期涵盖本发明范围内的任何和所有修改、变化、组合或等同物。
Claims (36)
1.一种方法,其特征在于,所述方法包括:
管理功能从策略控制器接收包括数据转发策略的第一消息,其中,所述数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置;
所述管理功能根据所述第一消息向网络功能发送第二消息;以及
所述网络功能根据所述第二消息获取指示数据转发请求的指示和指示ID交换规则的相应标志。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述管理功能根据所述第一消息确定所述第二消息,其中,所述第二消息包括所述指示和所述相应标志。
3.根据权利要求2所述的方法,其特征在于,所述原始数据发送方信任所述管理功能,所述方法还包括:
所述管理功能确定包括根据来自所述原始数据发送方的数据包的目的地的位置ID来转发数据的策略的ID交换规则;
其中,根据所述ID交换规则:
所述数据包根据所述位置ID,通过所述网络功能以及所述原始数据发送方和所述目的地之间的其他网络功能转发给所述目的地,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括所述网络功能的网络识别。
4.根据权利要求2或3所述的方法,其特征在于,所述位置ID由所述管理功能分配给所述数据包的所述目的地。
5.根据权利要求4所述的方法,其特征在于,所述目的地的所述位置ID根据与所述目的地关联的其他网络功能的ID来分配。
6.根据权利要求1所述的方法,所述第二消息包括从管理功能发到第二网络功能的第三消息和从所述第二网络功能发到所述网络功能的第四消息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述管理功能根据所述第一消息,从一组第二网络功能中选择所述第二网络功能;
向所述第二网络功能发送所述第三消息,其中,所述第三消息包括所述数据转发策略;
所述第二网络功能根据所述数据转发策略确定所述指示和所述相应标志;以及
所述第二网络功能向所述网络功能发送所述指示和所述相应标志。
8.根据权利要求6或7所述的方法,其特征在于,所述原始数据发送方信任所述第二网络功能,所述方法还包括:
所述第二网络功能确定包括根据基于部分加密的数据转发策略来转发数据的策略的ID交换规则,
其中,根据所述ID交换规则:
数据包的目的地ID或与所述目的地ID对应的服务ID由所述第二网络功能根据所述原始数据发送方信任的且与所述数据包的目的地关联的其他网络功能的公钥进行加密,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括所述其他网络功能的网络识别。
9.根据权利要求6至8中任一项所述的方法,其特征在于,所述方法还包括:
所述网络功能向接入网(AN)节点发送与所述第二网络功能关联的公钥,用于对数据包的目的地ID进行加密。
10.根据权利要求6至8中任一项所述的方法,其特征在于,所述原始数据发送方信任所述第二网络功能,所述方法还包括:
所述第二网络功能确定包括根据基于混合区域的数据转发策略来转发数据的策略的ID交换规则;
其中,根据所述ID交换规则:
超过一定数量的发往不同目的地的数据包将由所述第二网络功能转发,所述转发的顺序不同于所述第二网络功能接收所述数据包的顺序,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括所述网络功能的所述网络识别。
11.根据权利要求8或10所述的方法,其特征在于,所述方法还包括:
所述第二网络功能根据目的地ID和服务ID的映射关系确定所述服务ID。
12.根据权利要求1至11中任一项所述的方法,其特征在于,所述方法还包括:
所述网络功能向所述策略控制器发送策略请求,以触发所述策略控制器生成所述数据转发策略,其中,所述策略请求包括所述数据转发要求。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
所述网络功能从与所述原始数据发送方关联的所述AN节点获取所述数据转发要求。
14.根据权利要求13所述的方法,其特征在于,所述数据转发要求包括在来自所述原始数据发送方的数据包中。
15.根据权利要求1至14中任一项所述的方法,其特征在于,所述方法还包括:
所述策略控制器在接收到所述策略请求之后,生成所述数据转发策略;以及
所述策略控制器向所述管理功能发送包括所述数据转发策略的所述第二消息。
16.根据权利要求1至15所述的方法,其特征在于,指示关于如何转发数据的配置的所述数据转发策略还取决于网络流量信息,其中,所述网络流量信息包括与所述网络功能和与所述网络功能关联的其他网络功能中的一个或多个关联的至少一个流量参数。
17.根据权利要求16所述的方法,其特征在于,所述方法还包括:
所述策略控制器向数据分析管理(DAM)功能发送请求所述网络流量信息的网络流量请求,其中,所述网络流量请求包括关于所述网络功能的信息;以及
所述策略控制器从所述DAM功能接收包括所述网络流量信息的网络流量响应;
其中,所述数据转发策略基于所述原始数据发送方的所述数据转发要求和所述网络流量信息。
18.根据权利要求1至17所述的方法,其特征在于,所述原始数据发送方包括用户设备和转发数据包的网络功能中的一个或多个。
19.一种通信系统,其特征在于,所述通信系统包括:
至少一个处理器;以及
存储机器可读指令的非瞬时性存储器,其中,当所述机器可读指令由所述至少一个处理器执行时,所述机器可读指令实现管理功能、策略控制器和网络功能,所述管理功能、所述策略控制器和所述网络功能用于:
所述管理功能从所述策略控制器接收包括数据转发策略的第一消息,其中,所述数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置;
所述管理功能根据所述第一消息向所述网络功能发送第二消息;
所述网络功能根据所述第二消息获取指示数据转发请求的指示和指示ID交换规则的相应标志。
20.根据权利要求19所述的通信系统,其特征在于,指示关于如何转发数据的配置的所述数据转发策略还取决于网络流量信息,其中,所述网络流量信息包括与所述网络功能和与所述网络功能关联的其他网络功能中的一个或多个关联的至少一个流量参数。
21.一种方法,其特征在于,所述方法包括:
网络功能接收包括数据转发策略的消息,其中,所述数据转发策略指示关于如何根据原始数据发送方的数据转发要求来转发数据的配置;
所述网络功能根据所述数据转发策略确定指示数据转发请求的指示和指示ID交换规则的相应标志;以及
所述网络功能向其他网络功能发送所述指示和所述相应标志,
其中,所述原始数据发送方信任所述网络功能。
22.根据权利要求21所述的方法,其特征在于,所述方法还包括:
所述网络功能104确定包括根据来自所述原始数据发送方的所述数据包的目的地的位置ID来转发数据的策略的ID交换规则,
其中,根据所述ID交换规则:
所述数据包根据所述位置ID,通过所述原始数据发送方和所述目的地之间的一个或多个其他网络功能转发给所述目的地,并且所述网络功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括接收所述指示和所述相应标志的所述其他网络功能的网络识别。
23.根据权利要求22所述的方法,其特征在于,所述位置ID由所述网络功能分配给所述数据包的所述目的地。
24.根据权利要求23所述的方法,其特征在于,所述目的地的所述位置ID根据与所述目的地关联的其他网络功能的ID来分配。
25.根据权利要求21所述的方法,其特征在于,所述网络功能由管理功能从一组网络功能中选择,所述管理功能将所述消息中的所述数据转发策略转发给所述网络功能。
26.根据权利要求25所述的方法,其特征在于,所述方法还包括:
所述网络功能确定包括根据基于部分加密的数据转发策略来转发数据的策略的ID交换规则;
其中,根据所述ID交换规则:
数据包的目的地ID或与所述目的地ID对应的服务ID由所述网络功能根据所述原始数据发送方信任的且与所述数据包的目的地关联的其他网络功能的公钥进行加密,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括接收所述指示和所述相应标志的所述其他网络功能的网络识别。
27.根据权利要求25或26所述的方法,其特征在于,所述方法还包括:
所述网络功能确定包括根据基于混合区域的数据转发策略来转发数据的策略的ID交换规则;
其中,根据所述ID交换规则:
超过一定数量的发往不同目的地的数据包将由所述网络功能转发,所述转发的顺序不同于所述网络功能接收所述数据包的顺序,并且所述管理功能将所述数据包中的所述数据包的所述目的地的ID与所述数据包的所述目的地的服务ID进行交换,所述服务ID可由包括接收所述指示和所述相应标志的所述其他网络功能的网络识别。
28.根据权利要求25至27中任一项所述的方法,其特征在于,所述方法还包括:
所述网络功能根据目的地ID和服务ID的映射关系确定所述服务ID。
29.一种方法,其特征在于,所述方法包括:
策略控制器接收策略请求,以触发所述策略控制器生成数据转发策略,其中,所述策略请求包括原始数据发送方的数据转发要求;
所述策略控制器在接收到所述策略请求之后,生成所述数据转发策略;以及
所述策略控制器向管理功能发送包括数据转发策略的第一消息,其中,所述数据转发策略指示关于如何根据所述数据转发要求来转发数据的配置。
30.根据权利要求29所述的方法,其特征在于,指示关于如何转发数据的配置的所述数据转发策略还取决于网络流量信息,其中,所述网络流量信息包括与所述网络功能和与所述网络功能关联的其他网络功能中的一个或多个关联的至少一个流量参数。
31.根据权利要求30所述的方法,其特征在于,所述方法还包括:
所述策略控制器向数据分析管理(DAM)功能发送请求所述网络流量信息的网络流量请求,其中,所述网络流量请求包括关于所述网络功能的信息;以及
所述策略控制器从所述DAM功能接收包括所述网络流量信息的网络流量响应;
其中,所述数据转发策略基于所述原始数据发送方的所述数据转发要求和所述网络流量信息。
32.一种网元,其特征在于,所述网元包括:
至少一个处理器;以及
存储机器可读指令的非瞬时性存储器,其中,当所述机器可读指令由所述至少一个处理器执行时,用于执行根据权利要求21至31中任一项所述的方法。
33.一种存储指令的机器可读介质,其特征在于,当所述指令由处理器执行时,用于执行根据权利要求21至31中任一项所述的方法。
34.一种装置,其特征在于,所述装置包括用于执行根据权利要求21至31中任一项所述的方法的构件。
35.一种通信系统,其特征在于,所述通信系统包括根据权利要求34所述的一个或多个装置。
36.一种通信系统,其特征在于,所述通信系统包括用于执行根据权利要求1至18中任一项所述的方法的一个或多个装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2021/079434 WO2022187987A1 (en) | 2021-03-06 | 2021-03-06 | Systems and methods on id swapping during data forwarding |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116982330A true CN116982330A (zh) | 2023-10-31 |
Family
ID=83227313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180094911.3A Pending CN116982330A (zh) | 2021-03-06 | 2021-03-06 | 关于数据转发过程中的id交换的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230412499A1 (zh) |
EP (1) | EP4295554A4 (zh) |
CN (1) | CN116982330A (zh) |
WO (1) | WO2022187987A1 (zh) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051557B (zh) * | 2012-12-27 | 2016-07-06 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
US10129186B2 (en) * | 2016-12-07 | 2018-11-13 | Nicira, Inc. | Service function chain (SFC) data communications with SFC data in virtual local area network identifier (VLAN ID) data fields |
CN109246004B (zh) * | 2018-09-27 | 2021-08-17 | 深圳市腾讯网络信息技术有限公司 | 网络数据加速方法和客户端、路由器、服务器 |
US11095688B2 (en) * | 2018-10-05 | 2021-08-17 | Citrix Systems, Inc. | Systems and methods for responsible intermediation of privacy policies |
US20220103638A1 (en) * | 2019-01-07 | 2022-03-31 | Multi-Tech Systems, Inc. | Lpwan system with hybrid architecture |
CN111741508B (zh) * | 2020-06-19 | 2022-08-16 | 北京奇艺世纪科技有限公司 | 建立通信连接的方法、控制器、转发设备、设备及介质 |
CN111917653B (zh) * | 2020-07-21 | 2022-05-13 | 广东省华南技术转移中心有限公司 | 用于sdn网络的数据转发规则同步方法、控制器及系统 |
-
2021
- 2021-03-06 EP EP21929470.9A patent/EP4295554A4/en active Pending
- 2021-03-06 WO PCT/CN2021/079434 patent/WO2022187987A1/en active Application Filing
- 2021-03-06 CN CN202180094911.3A patent/CN116982330A/zh active Pending
-
2023
- 2023-09-01 US US18/241,613 patent/US20230412499A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2022187987A1 (en) | 2022-09-15 |
EP4295554A4 (en) | 2024-04-17 |
US20230412499A1 (en) | 2023-12-21 |
EP4295554A1 (en) | 2023-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sicari et al. | 5G In the internet of things era: An overview on security and privacy challenges | |
Hussain et al. | Integration of VANET and 5G Security: A review of design and implementation issues | |
US11736277B2 (en) | Technologies for internet of things key management | |
US9357331B2 (en) | Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication | |
RU2573771C2 (ru) | Способ и устройство для создания и администрирования виртуальных частных групп в ориентированной на содержимое сети | |
Choyi et al. | Network slice selection, assignment and routing within 5G networks | |
Mershad et al. | A framework for secure and efficient data acquisition in vehicular ad hoc networks | |
Huang et al. | MobiCloud: building secure cloud framework for mobile computing and communication | |
KR101518362B1 (ko) | 애플리케이션들 및 서비스들에 네트워크 통신 연관 정보를 제공하기 위한 방법 및 장치 | |
Conti et al. | BlockAuth: BlockChain based distributed producer authentication in ICN | |
CN110784434B (zh) | 通信方法及装置 | |
EP3231151B1 (en) | Commissioning of devices in a network | |
WO2020001743A1 (en) | A proxy network with self-erasing processing elements | |
Sharma et al. | Secure authentication protocol for 5G enabled IoT network | |
Hallingstad et al. | Protected core networking: an architectural approach to secure and flexible communications | |
Ramamoorthy et al. | Group based dual mode key management scheme for secure communication in vehicular ad hoc networks | |
Duguma et al. | A lightweight D2D security protocol with request-forecasting for next-generation mobile networks | |
Gopi et al. | Securing video cloud storage by ERBAC mechanisms in 5g enabled vehicular networks | |
Poonguzharselvi et al. | Trust framework for data forwarding in opportunistic networks using mobile traces | |
US11910229B2 (en) | Systems and methods for selectable application-specific quality of service parameters in a wireless network | |
Babbar et al. | Qos based security architecture for software-defined wireless sensor networking | |
WO2022187987A1 (en) | Systems and methods on id swapping during data forwarding | |
Nyangaresi et al. | Secure algorithm for IoT devices authentication | |
Yu et al. | Names to Rule Them All: Unifying Mobile Networking via Named Secured Data | |
Edris et al. | Security in network services delivery for 5g enabled d2d communications: Challenges and solutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |