JP2022533107A - ドメイン名を使用したトラフィックフロー制御 - Google Patents

ドメイン名を使用したトラフィックフロー制御 Download PDF

Info

Publication number
JP2022533107A
JP2022533107A JP2021568128A JP2021568128A JP2022533107A JP 2022533107 A JP2022533107 A JP 2022533107A JP 2021568128 A JP2021568128 A JP 2021568128A JP 2021568128 A JP2021568128 A JP 2021568128A JP 2022533107 A JP2022533107 A JP 2022533107A
Authority
JP
Japan
Prior art keywords
domain name
addresses
devices
domain
pcrf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021568128A
Other languages
English (en)
Other versions
JP7376028B2 (ja
Inventor
イーサン ホーウィッシュ
デ ソン キム
ドゥルー エス. ジョンソン
デイビッド フー
ヒュンホ キム
マイケル スティーヴン メイテン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aeris Communications Inc
Original Assignee
Aeris Communications Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aeris Communications Inc filed Critical Aeris Communications Inc
Publication of JP2022533107A publication Critical patent/JP2022533107A/ja
Application granted granted Critical
Publication of JP7376028B2 publication Critical patent/JP7376028B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • H04L12/1407Policy-and-charging control [PCC] architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/66Policy and charging system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Figure 2022533107000001
セルラーネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装システム及び方法が開示されている。接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装方法は、1つ以上のデバイスについてのデバイス情報を受信することと、1つ以上のデバイスがアクセスすることを許可されている、少なくとも1つのドメイン名についてのドメイン名情報を受信することと、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視することと、ドメイン名の1つ以上のIPアドレスを、そのドメインについての1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新することと、を含む。
【選択図】図1

Description

本発明は、一般に、セルラー接続又は無線接続を使用するデバイスにドメイン名を使用してトラフィックフローを制御することに関する。
関連出願の相互参照
本出願は、米国特許法第119(e)条の下、2019年5月21日に出願された米国仮出願第62/851,041号に優先権を主張し、その全体が参照により本明細書に援用されている。
加入者識別モジュール(SIM)などの製品で使用するデータを送受信するための、マシンツーマシン(M2M)又はモノのインターネット(IoT)デバイスとして知られている、テレマティクス機器、センサ、タブレット、電話機又は他のタイプのハードウェアが、ワイヤレス又はセルラーネットワークなどのネットワークへの接続が有効になっているかどうかにかかわらず、これらデバイスの数は増加している。IoTソリューションが大量に展開され、IoTソリューションのセキュリティに対する懸念が高まるにつれて、IoTデバイスがネットワーク上でアクセスすることができるインターネットプロトコル(IP)アドレスを制限する必要性と需要が高まっている。特定のIPアドレスをホワイトリスト又はブラックリストに登録することは、アクセスを制御するための代替手段として許容されているが、それらのアドレスに関する知識と継続的な更新を必要とする。特定のIPアドレスではなく、ドメイン名をホワイトリスト又はブラックリストに登録すると、より簡単で優れたソリューションをもたらすことができる。ただし、特定のドメイン名に関連付けられているIPアドレスが経時的に変更され得ると、これらのルールの適用でエラーが発生する可能性が高くなる。
したがって、必要なのは上記で特定された問題に対処するシステム及び/又は方法である。本発明は、そのような必要性に対処する。
セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装システム、方法及びコンピュータプログラム製品が開示されている。セルラーネットワーク又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装方法は、1つ以上のデバイスについてのデバイス情報を受信することと、このデバイスを、そのデバイスが許可されている、又は許可されていない1つ以上のドメインを指定するサービスプロファイルに関連付けることと、1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報を受信することと、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視することと、ドメイン名の1つ以上のIPアドレスを、そのドメインについての1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新することとを含む。
ドメイン名を使用する自動トラフィックフロー制御のためのシステムは、接続が有効になっている1つ以上のデバイスと、ポリシー及び課金ルール機能(PCRF)ソフトウェアノードと、接続が有効になっているデバイスについてのPCRFによって格納されたサービスプロファイルであって、そのサービスプロファイルを用いてデバイスがアクセスすることを許可されているドメインを識別する、サービスプロファイルと、パケットデータアナライザとを含む。このPCRFは、1つ以上のデバイスについてのデバイス情報、1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報を受信する。そして、そのサービスプロファイルを用いてドメイン名がそのデバイスに許可されているとPCRFが判定する場合、パケットデータアナライザは、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付け、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視し、ドメイン名の1つ以上のIPアドレスを、そのドメインについての1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新する。
一実施形態では、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用するトラフィックフロー制御のためのコンピュータプログラム製品は、接続が有効になっている1つ以上のデバイスにドメイン名を使用するトラフィックフロー制御のためのアプリケーションの実行をコンピュータに制御させるためのコンピュータ可読命令を有し、これらコンピュータ可読命令は、1つ以上のデバイスについてのデバイス情報を受信することと、1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報を受信することと、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視することと、ドメイン名の1つ以上のIPアドレスを、そのドメインについての1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新することとを含む。
本発明の1つ以上の実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御に使用される例示的なシステム100及びプロセスを示す。 本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム200及びプロセスを示す。 本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム300及びプロセスを示す。 本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム400及びプロセスを示す。 本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム400’及びプロセスを示す。 本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム500及びプロセスを示す。 本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム500’及びプロセスを示す。 本発明の1つ以上の実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスの自動セキュアデバイス登録及びプロビジョニングに関する、コンピュータプログラム製品を格納すること、及び/又はプログラムコードを実行することに適したデータ処理システム600を示す。
本発明は、一般に、セルラー接続又は無線接続を使用するデバイスにドメイン名を使用してトラフィックフローを制御することに関する。
以下の説明は、当業者が本発明を作成して使用することを可能にするために提示され、特許出願及びその要件に関連して提供される。本明細書に記載されている好ましい実施形態、ならびに一般的な原理及び特徴に対するさまざまな修正形態は、当業者には容易に明らかであろう。したがって、本発明は、示されている実施形態に限定されることが意図されないが、本明細書に記載されている原理及び特徴と一貫性のある最も広い範囲が与えられるものとする。
本発明は、加入者識別モジュール(SIM)などの接続モジュールを含む製品に関して説明されているが、「製品」という用語は、本明細書で使用される場合、テレマティクス機器、センサ、電化製品、電子モジュール、テレフォニー機器、及びワイヤレス又はセルラーネットワークへの接続が有効になっており、集積回路カード識別子(ICCID)、国際移動体加入者識別番号(IMSI)、携帯機器識別番号(MEID)、又は以下でさらに説明され、本明細書ではサービスを受けるサービスプロバイダに関する「番号」と総称される他のシリアル番号など、その製品の個別の識別番号についての登録が必要なその他の同様の製品と包括的である、交換可能である、及び/又は同義であることが意図される。機能的に異なるタイプの製品が、それらの個別の能力及び/又は展開に特有であることができる、特性、機能及び/又は動作を有することができることが認識されるであろう。
M2M又はモノのインターネット(IoT)デバイスとして知られている、テレマティクス機器、センサ、タブレット、電話機又は他のタイプのハードウェアが、加入者識別モジュール(SIM)など、それらのような製品の使用によってデータを送受信するために、ワイヤレス又はセルラーネットワークなどのネットワークへの接続が有効になっているかどうかにかかわらず、これらデバイスの数は増加している。IoTソリューションが大量に展開され、IoTソリューションのセキュリティに対する懸念が高まるにつれて、IoTデバイスがネットワーク上でアクセスすることができるIPアドレスを制限する必要性と需要が高まっている。
IoTデバイスがアクセスすることができるIPアドレスを制限する1つのアプローチは、セルラーネットワークのパケットゲートウェイ(P-GW)でカスタムアクセスポイント名(APN)及びポリシーを定義することである。このアプローチの不利な点は、一意のIPアドレスセットのそれぞれへのアクセスを許可するには、新しいAPN及びポリシーが必要になり、これらのAPN及びポリシーを定義するには、P-GWのオペレータ側の労力が必要であり、P-GWを誤設定するリスクが伴うことである。代替のアプローチは、P-GWとインターネットとの間にファイアウォールを採用することである。このファイアウォールは、セルラーデバイスに割り当てられたIPアドレス、及びセルラーデバイスが到達すること、及び/又はアクセスすることを許可されているIPアドレスにマッチングするルールを用いて設定されることができる。
ただし、各ファイアウォールルールはそれが適用されるセルラーデバイスを識別する必要があり、ネットワーク上のセルラーデバイス数ごとに許可されるIPアドレスセットが異なる可能性があるため、常にファイアウォールでは、数千又は数百万のルールが必要になる場合がある。さらに、ネットワークオペレータは、IPアドレスをセルラーデバイスに動的に割り当てることができるため、例えば、所与のセルラーデバイスは、1回でパケットデータセッションを確立するときに1つのIPアドレスを有することができ、別の回でパケットデータセッションを確立するときに別のIPアドレスを有することができる。このシナリオでは、そのパケットデータセッションをセルラーデバイスが終了するときに、ネットワークオペレータが同じIPアドレスを別のセルラーデバイスに安全に再割り当てするために、ファイアウォール中のセルラーデバイスについてのルールをアンインストールする、非アクティブ化する、又は除去する必要がある。ファイアウォールにルールを絶えず追加して除去すると、ファイアウォールの動作に大きなオーバーヘッドが発生する。
代替のアプローチは、第3世代パートナーシッププロジェクト(3GPP)によって指定されたエンティティを使用することである。これらのエンティティは、ポリシー及び課金ルール機能(PCRF)と、ポリシー及び課金実施機能(PCEF)である。3GPP技術仕様書29.212は、PCRFがセルラーデバイスごとに、セルラーデバイスがアクセスすることを許可されているIPアドレス、及び許可されていないIPアドレスを指定することができる方法を規定し、効率的にIPアドレスのホワイトリスト及びブラックリストを形成する。次に、PCEFはホワイトリスト及びブラックリストを実施する。PCEFは、P-GW(LTEネットワーク)又はGGSN(GSM及びWCDMAネットワーク)のサブシステムとして実装されてもよい。セルラーネットワーク中でPCRF及びPCEF機能を使用すると、ネットワークのオペレータの操作上の労力及びリスクが軽減される。
どのセルラーデバイスがどのIPアドレスにアクセスすることを許可されているかのマッピングを格納するのに適切なメカニズムを用いて、ネットワークのオペレータは、顧客がウェブポータルなどを介して顧客自身の「ホワイトリストに登録された」(許可された)IPアドレスを指定することを許可することさえできる。
一方では、セルラーデバイスが、IPアドレスを用いてホスト上で実行されているサービスと通信し、そのIPアドレスにセルラーデバイスがアクセスすることを許可されている場合を考えてみる。その第一ホスト上で実行されているサービスを停止し、第二IPアドレスを用いて第二ホスト上で実行されるサービスを開始する場合、その第二IPアドレスにセルラーデバイスがアクセスすることを許可される必要がある。特定のIPアドレスではなく、ドメイン名をホワイトリスト又はブラックリストに登録すると、ドメインネームシステム(DNS)を使用して通信する必要があるサービスのIPアドレスを決定するようにセルラーデバイスのオペレータがセルラーデバイスを設定することができ、かつDNSを使用してホワイトリスト又はブラックリストに登録する必要があるIPアドレスをPCRFが決定することができるという間接的なレベルが導入されるため、より単純で優れたソリューションがもたらされ得る。ただし、特定のドメイン名に関連付けられているIPアドレスが経時的に変更され得ると、これらのルールの適用でエラーが発生する可能性が高くなる。
一般に、PCRFは、IoTデバイスへのアクセスと、IoTデバイスによるアクションを、それらのサービスプロファイルに基づいて制御するように設計される。例えば、PCRFは、パケットデータの伝送を許可すること、パケットデータセッションをドロップさせること、課金コードをトラフィックに割り当てること、及び/又はサービス品質ポリシーを適用することができる。これらのアクションは、ファイアウォールが実行することができるアクションに似ている。PCRFによって実施されることができるもう1つのルールは、トラフィックをホワイトリスト又はブラックリストに登録することである。ホワイトリストに登録することは、デバイスが限られたIPアドレス又はポートのセットとのみ通信することを許可すること、及びその他のすべてを拒否することを含むことができる。例えば、インターネットへの一般的なアクセスではなく特定の用途を目的としたデバイスに、到達可能なエンドポイントを制限するサービスプロファイルを割り当てることができ、PCRFによって、作業者が作業用のウェブサイト以外にアクセスできないようにする、又は温度センサが1つのIPアドレスにのみデータを送信するように要求するようにし得る。トラフィックをブラックリストに登録することは、デバイスが指定されたIPアドレスもしくはポートのセットにアクセスできなくし、その他のすべてを許可すること、又は128.0.0.0/1をブロックし、その他のすべてを許可することを含んでもよい。PCRFは、特定のルールを特定のシナリオに適用するなど、例えば、サブスクライバのデータプランに対して特定のIPアドレスへの、又はそれからのトラフィックに関連付けられたデータパケットをカウントしないことなど、特定のサービスプロファイルを有するデバイスに特別なトラフィック課金ルールを適用するように設定され得る。
ただし、ホワイトリスト又はブラックリストに登録するルール機能を特定のIPアドレスをもとにして構築することは、ホワイトリストに登録されたエンドポイントがウェブサイト又はウェブアプリケーションである状況にはあまり適していない。なぜならば、多くのウェブサイトが外部リソース及びサブドメインを使用しており、それらのようなサイトの外部リソース、サブドメインなどにアクセスするための追加のフィルタルールを学習して適用するには、多くの作業が必要とされる可能性があるからである。さらに、ホワイトリストに登録されたエンドポイントに関連付けられたIPアドレスは頻繁に変更される。IPアドレスを手動で更新すると、コストが高くなり、エラーが発生しやすい結果が生じる可能性がある。
3GPP技術仕様書29.212(Gx参照ポイントを介したポリシー及び課金制御(PCC))を適用することで、セルラーデバイスによって到達可能なIPアドレス(又はアドレスの範囲)がホワイトリストに登録され、ホワイトリストに登録されていないその他のあらゆるIPアドレスもブラックリストに登録され得る。セルラーデバイスは、ホワイトリストに登録されたIPアドレスと通信することができ、ブラックリストに登録されたIPアドレスと通信することを許可されていない。このホワイトリストに登録すること(接続ロック)は、次の例示的な、顧客のアプリケーションがIPアドレスの小さなセットと通信する必要があり、これらのIPアドレスが変更されていない場合、ハッカーがデバイスを乗っ取ろうとして、そのデバイスに、トラフィックを新しいIPアドレスに送信させる可能性があるという懸念がある状況、又はSIMが目的のデバイスから除去され、汎用インターネットアクセスに使用された結果、計画外で望ましくない使用料が発生するという顧客の懸念がある状況では最も適切である。
ポリシー及び課金ルール機能(PCRF)、ならびにポリシー及び課金実施機能(PCEF)は、同じコンピュータプログラム製品の一部であっても、その一部でなくてもよい、2つの異なる機能エンティティである。例えば、ネットワークオペレータはポリシーの作成及び実施の両方の機能を実現するプログラムを書き込むことができるが、それはモノリシックである、又はネットワークオペレータは異なるプログラムを書き込むことができ、1つはポリシーの作成機能を実現し、もう1つはポリシーの実施機能を実現する。例示的な実装では、PCRFは、例えば、ブラックリストに登録する、ホワイトリストに登録するなど、どのポリシーが、ある特定のセルラーデバイスに適用される必要があるか、コンピュータネットワークを介してPCEFに通信する。
ネットワークプロバイダは、PCRFを実装して、セルラーデバイスセットについてのサービスプロファイルをデータベースに格納してもよく、このサービスプロファイルでは、それらのデバイスについてのホワイトリスト又はブラックリストに登録されるIPアドレスがリストにされ、このデータベース中のサービスプロファイル及びデータをPCRFが参照して、1つのそのようなセルラーデバイスとの間でPCRFによって観測されるIPパケットごとに、取る必要があるアクション、及び適用する必要があるルールを決定するように設定されてもよい。サービスプロファイルがIPアドレス又はIPアドレスの範囲へのアクセスを許可する場合、それらのIPアドレスはホワイトリストに登録されていると称される。
望ましくないデータの請求を減らし、セキュリティの問題を軽減するために、ホワイトリストに登録された特定の宛先セットに顧客のデバイスが通信することができるインターネットの宛先を、顧客は制限したい場合がある。現在、それは、仮想プライベートネットワーク(VPN)の統合、又はPCRFに格納され、PCRFによって適用されるサービスプロファイルによるIPアドレスベースのホワイトリスト登録を介して行われることができる。ただし、VPNの管理にはリソースが必要になる可能性があり、PCRFによるIPアドレスベースのホワイトリスト登録は十分な柔軟性がない場合がある。さらに、サービスプロファイルに許可された宛先を入力する担当者は、それらの宛先についての正確な数値IPアドレスを知っている必要がある。これにより、数値IPアドレスの許可されている、又は禁止されている宛先名が視覚的に表示されないことから、手動入力でエラーが発生する可能性、及びポリシールールのレビューが直感的に使えなくなる可能性の両方がもたらされる。ユニフォームリソースロケータ(URL)ウェブアドレスなどのホスト名に基づいたホワイトリスト登録により、さらなる柔軟性及び単純性がもたらされる場合がある。
ドメイン名の使用によるトラフィック制御を有効にするために、PCRFに格納されているデバイスのサービスプロファイルは、そのデバイスに許可されている、又は拒否されている宛先のドメイン名、そのデバイスに関連付けられている数値IPアドレス、又はその両方のいずれかをリストにすることができる。PCRFは、3GPP技術仕様書29.212に従って、実際のIPアドレスを使用してトラフィックを許可する、又はブロックするためのルールを適用する。ドメイン名がサービスプロファイルに格納されているが、数値IPアドレスが格納されていない場合、PCRFは独自のDNSクエリを実行して、ドメイン名を数値IPアドレスに変換することができる。ドメイン名に関連付けられた特定の数値IPアドレスは頻繁に変更されることができるが、結果として、PCRF、及びルールのインストールプロシージャに基づいてPCEF中のホスト名に関連付けられたIPアドレスがもはや正しくなくなる場合、接続試行が失敗する可能性がある。本発明によって提示される実施形態は、ドメイン名に関連付けられた1つ以上の特定の数値IPアドレスが最新の状態に保たれることを確保する。
ネットワークプロバイダによって制御される環境中にスニファ又はパケットデータアナライザをインストールして使用すると、ドメインネームシステム(DNS)ルックアップを使用して、ドメイン名に関連付けられた1つ以上のIPアドレスにおける変更があったかどうかを見いだすことができる。パケットデータアナライザは、PCRF中のそのデバイスについてのサービスプロファイル内で許可されている(ホワイトリストに登録されている)又は禁止されている(ブラックリストに登録されている)1つ以上のIPアドレスを更新するように自動的に設定され得る。ネットワークオペレータは、独自のDNSサーバをホストし、例えば、ダイナミックホストコンフィグレーションプロトコル(DHCP)を介して、それらのDNSサーバを使用するようにセルラーデバイスに指示することができる。それらのセルラーデバイスのオペレータは、例えばDHCPを介してネットワークオペレータによってアドバタイズされたDNSサーバ、又はセルラーデバイスによって到達可能な任意の他のDNSサーバを使用するようにセルラーデバイスをプログラムすることができる。パケットデータアナライザはDNSルックアップの宛先に関係なく、ネットワークオペレータによって管理されるすべてのセルラーデバイスのDNSルックアップをインターセプトして読み出すことができるため、パケットデータは、結果が正しいこと、例えば、PCRFのサービスプロファイル中の改正されたホワイトリストに登録されているIPアドレスが、セルラーデバイスが到達しようとするIPアドレスにマッチングすることを確保することができる。ネットワークプロバイダのDNSサーバはスプーフィング又はキャッシュポイズニングなど、デバイスをだまして望ましくないIPアドレスに訪問させようとする悪意のある行為を行うものが使用する一般的な手法に耐性があるため、DNSサーバを使用することでセキュリティが強化され得る。
本発明の一実施形態は、ログなどのネットワークプロバイダ担当者による周期的又は定期的な監査及び監視を可能にする出力を含んでもよい。
本明細書で説明される実施形態は、以下の表1などのように、ネットワークオペレータ又は別のエンティティによって提供されるDNSサーバと連携して使用されることができる。
Figure 2022533107000002
本発明の例示的な実装は、ネットワークオペレータによって実行されるDNSサーバにパケットデータアナライザを組み込む。セルラーデバイスが暗号化(例えば、DNS-over-TLS又はDNS-over-HTTPS)を使用して、それらのDNSルックアップの機密性又は完全性を強化する場合、パケットデータアナライザは、例えば、DNSサーバのプログラムによって呼び出される機能、方法、又はプロシージャの形式を取ることができ、DNSサーバがDNSクエリへの回答を受信するときは必ずパケットデータアナライザを呼び出すことによって、その結果をパケットデータアナライザに通知することができる。ドメイン名に関連付けられている1つ以上のIPアドレスにいずれかの不一致が見いだされる場合、そのドメイン名についての1つ以上のIPアドレスは、自動的に更新され、ネットワークプロバイダのデータベースで最新の状態に保たれるため、そのドメイン名についての実際のIPアドレスと同期している。特定のドメイン名についての1つ以上のIPアドレスのこの継続的な更新により、1つ以上のIPアドレスではなくドメイン名に基づいて、顧客がホワイトリスト/ブラックリストをセットアップすることができる。一例として、制限なしで、いずれかの宛先との間のトラフィックが許可されることができ、<ipchicken.com>及び<aeris.com>をホワイトリストに登録することで、<ipchicken.com>及び<aeris.com>へのトラフィックがいずれかの他の宛先へのトラフィックを通過させること、及びブロックすることが許可され、<facebook.com>をブラックリストに登録することで、<facebook.com> へのトラフィックがブロックされ、いずれかのその他の宛先へのトラフィックが通過することが許可される。
車両又はセンサにインストールされるテレマティクスデバイスなどの製品(それらの中にインストールされているSIMなど)によってIoTデバイスがワイヤレス又はセルラーネットワークと接続することが有効にされているという状況の中で、本発明の特徴をより詳細に説明するには、以下の議論と併せて添付の図面を参照する。これらの例は説明のみを目的として使用されており、制限として解釈されるべきではない。
本明細書に記載の実施形態は、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装方法及びシステムを開示する。
セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装システム、方法及びコンピュータプログラム製品が開示されている。
セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装方法は、1つ以上のデバイスについてのデバイス情報を受信することと、1つ以上のデバイスを、それらのようなデバイスがアクセスすることを許可されているドメイン名をリストにするサービスプロファイルに関連付ける、1つ以上のデバイスがアクセスしようとしている少なくとも1つのドメイン名についてのドメイン名情報を受信することと、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視することと、ドメイン名の1つ以上のIPアドレスを、そのドメインについての1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新することとを含む。
ドメイン名を使用する自動トラフィックフロー制御のためのシステムは、接続が有効になっている1つ以上のデバイス、PCRF、及びパケットデータアナライザを含み、PCRFは、1つ以上のデバイスについてのデバイス情報、1つ以上のデバイスがアクセスすることを許可されているドメイン名をリストにするPCRFに格納されるサービスプロファイルに1つ以上のデバイスを関連付ける、1つ以上のデバイスがアクセスしようとしている少なくとも1つのドメイン名についてのドメイン名情報を受信し、パケットデータアナライザは、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付け、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視し、ドメイン名の1つ以上のIPアドレスを、そのドメインについてのIPアドレスにおけるいずれかの変更が見いだされる場合に更新する。
一実施形態では、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用するトラフィックフロー制御のためのコンピュータプログラム製品は、接続が有効になっている1つ以上のデバイスにドメイン名を使用するトラフィックフロー制御のためのアプリケーションの実行をコンピュータに制御させるためのコンピュータ可読命令を有し、これらコンピュータ可読命令は、1つ以上のデバイスについてのデバイス情報を受信することと、1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報を受信することと、少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、少なくとも1つのドメインを、そのドメインについての1つ以上のIPアドレスにおける変更について監視することと、ドメイン名の1つ以上のIPアドレスを、そのドメインについての1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新することとを含む。
図1は、本発明の1つ以上の実施形態による、接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御に使用される例示的なシステム100及びプロセスを示す。一実施形態では、PCRFエンティティは、図1に示されるように、それらの「group」及び「id」フィールドによって合わせてリンクされる。これらのリンクは、リレーショナルデータベースにおける「外部キー」のように機能する。サブスクライバがデータセッションを要求すると、PCRFはこれらのリンクに従ってルールをアセンブルし、サブスクライバのトラフィックルールを形成する。図は、これらのリンクを示す。例えば、PCRFは、サブスクライバのデータセッションについての要求を処理するとき、サブスクライバに関連付けられているポリシー及び課金制御(PCC)サービスプロファイル101を検査する。PCRFは、PCCサービスプロファイル101に関連付けられているPCCルールプロファイル102a及び102bをデータストアからロードし、PCCルールプロファイル102a及び102bに関連付けられているPCCルール103a及び103bをデータストアからロードし、PCCルール103a及び103bに関連付けられているフローコンフィグ104a、104b及び105aをデータストアからロードし、フローコンフィグ104a及び104b中に存在するフロー情報と、PCCルール103a中に含まれるルール情報から課金ルールオブジェクトを作成し、フローコンフィグ105a及びPCCルール103b中に存在するフロー情報から課金ルールオブジェクトを作成し、これらの課金ルールオブジェクトを使用して、設定されたトラフィックポリシーを実施する。
図2は、本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム及びプロセス200を示す。一実施形態では、ポリシー及び課金制御(PCC)ルール224は、ルール名(ポリシー及び課金ルール実施機能(PCEF)を有する識別子として使用される)、サービス識別子(サービスデータフローが関連するサービス又はサービスコンポーネントを識別する)、サービスデータフローフィルタ(複数可)(ルールが適用されるトラフィックを選択する)、優先順位(1つより多いルールが適用される場合にはルールを選択する)、ゲートステータス(パケットのアップリンク/ダウンリンクを許可する/ブロックする)、QoSパラメータ(ビットレート、割り振り/保持など)、課金キー(すなわち、格付けグループ)、その他の課金パラメータ(オンライン、オフラインなど)、及び監視キー(使用状況の監視用)からなる。
ポリシーエンティティ又はPCRF206は、PCCサービスプロファイル(service_profile)220、PCCルールプロファイル(rule_profile)222、PCCルールコンフィグレーション(rule_conf)224、フローコンフィグレーション(flow_conf)226、サービス品質プロファイル(qos_profile)230、課金プロファイル(charging_profile)232、使用状況モニタ(usage_monitor)228、及びサブスクライバプロファイル(subs_profile)218を含むオブジェクトからポリシー及び課金制御ルール224をアセンブルする。PCCサービスプロファイル(service_profile)220は、1つ以上のルールプロファイル (rule_profile)オブジェクトを含むPCCポリシーを形成する。
ルールプロファイル(rule_profile)オブジェクトは、適用されるルール、及びそれらが適用される時刻を提供するルールプロファイルを形成する。ルールコンフィグレーション(rule_conf)224は、例えばトラフィックのドロップ、課金とQoSと監視の適用などのアクションを提供し、これらのアクションは、フローコンフィグレーション(flow_conf)226がパケットを記述する場合にはパケット上で行われる。
フローコンフィグレーション(flow_conf)226は、例えばユーザ機器への、ユーザ機器からの、又はその両方に対する、例えばネットワーク及びユーザ機器のIPアドレス、ネットワーク及びユーザ機器のポート、プロトコル、及び方向などのパケットヘッダ情報に基づいてトラフィックを識別する方法を提供する。サービス品質プロファイル(qos_profile)230は、最大ビットレート、保証ビットレート、qosクラスなどのサービス品質属性を提供する。
課金プロファイル(charging_profile)232は、このサービスフロー、例えば、フローコンフィグレーション(flow_confs)226によってカテゴリー化されたトラフィックなどが課金される方法を記述する(例えば、PCEFがパケットを取得するとき、課金レコードに記録される情報はオフライン課金システム(OfCS)又はオンライン課金システム(OCS)に送信される)。
使用状況モニタ(usage_monitor)228はデバイスのトラフィックについての監視情報を定義し、サブスクライバプロファイル(subs_profile)218はPCCポリシーをユーザ機器(UE)にマッピングする。これらのうち、一般的にサービスプロファイル(service_profile)220、ルールプロファイル(rule_profile)220、ルールコンフィグレーション(rule_conf)224、フローコンフィグレーション(flow_conf)226、及びサブスクライバプロファイル(subs_profile)218は、IPアドレス及び/又はポートをブラックリスト/ホワイトリストに登録するために使用される。
ポリシー及び課金ルール機能(PCRF)206、ならびにポリシー及び課金実施機能(PCEF)は、同じコンピュータプログラム製品の一部であっても、その一部でなくてもよい、2つの異なる機能エンティティである。例示的な実装では、PCRF206は、ある特定のセルラーデバイスに適用される必要があるポリシー(ブラックリストに登録する、ホワイトリストに登録するなど)を、コンピュータネットワークを介してPCEFに通信する。PCEFは、PCRF206のサブモジュールとして、又はPGW(LTEネットワーク)もしくは(GSM及びWCDMAネットワーク)208のサブモジュールとして実装されてもよい。
当業者は、グループを作成するためにフィルタ及び/又は属性の複数の例が本明細書に提供されているが、さまざまな他の属性がさまざまな属性に基づいたグループの作成に使用されてもよいことを理解することができる。
図3は、本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム及びプロセス300を示す。一実施形態では、トラフィックは、カテゴリー化のためにマッチングされ、サービス品質ポリシー324が割り当てられ、EPSベアラ318を介してユーザ機器302に配信される。
図4Aは、本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム及びプロセス400を示す。
図4Aに示されるように、パケットデータは、E-UTRAN402又はUTRAN426のセルラーネットワーク中のサブスクライバから発信され、パケット配信ネットワーク(PDN)412に向かう途中で、サービングゲートウェイ(SGW)406及びパケットゲートウェイ(PGW)408(LTEネットワーク)又はサービスGPRSサポートノード(SGSN)422及びゲートウェイGPRSサポートノード(GGSN)420(GSM及びWCDMAネットワーク)を通過し、パケットデータアナライザ(428)によって解析され、このパケットデータアナライザ(428)は、例えばステップ(1)を介したPGW408、GGSN420、及びPDN412の間のネットワーク上でポートミラーリングによって、サブスクライバからのパケットデータを監視することができる。パケットデータは、PGW408(LTEネットワーク)又はGGSN420(GSM及びWCDMAネットワーク)のサブモジュールとして一般的に実装される、ポリシー及び課金実施機能(PCEF)430によって、インストールされたポリシー及び課金ルールに対するコンプライアンスについても監視される。
パケットデータアナライザ(PDA)428が特定のセルラーサブスクライバに対するドメインネームシステム(DNS)要求及び応答を検出すると、パケットデータアナライザ(PDA)428は、ステップ(3)を介してIPアドレスへのドメイン名のマッピングについてポリシー及び課金ルール機能(PCRF)416に通知することができ、PCRF416は、DNS応答中に見いだされるIPアドレスへの、又はそれからのパケットデータを許可する、又は許可しない、更新されたポリシー及び課金ルールをステップ(4)を介してPCEF430に通知することができる。追加のエンティティのオンライン課金システム(OCS)410、GSMサービス制御機能(gsmSCF)424、及びオフライン課金システム(OfCS)418は、参照のみのために示されている。ステップ(5)は、ネットワークオペレータのDNSサーバ427へのDNS要求、又はネットワークオペレータのDNSサーバ427からの応答ではないセルラーサブスクライバのトラフィックを示すために提供され、PDA428がいずれかのDNSサーバへのDNS要求を捕捉するため、ここでは示されていない。
パケットデータアナライザ(PDA)428は、PCRF416又はパケットデータゲートウェイ(PGW)408(LTEネットワーク)又はGGSN420(GSM及びWCDMAネットワーク)にインストールされてもよい、及び/又はそれと連携して動作してもよい。
ドメイン名の使用によるトラフィック制御を有効にするために、PCRF416に格納されているデバイスのサービスプロファイルは、その宛先の、ドメイン名、そのデバイスに関連付けられている数値IPアドレス、又はその両方のいずれかをリストにすることができる。PCRF416は、3GPP技術仕様書29.212に従って、実際のIPアドレスを使用してトラフィックを許可する、又はブロックするためのルールを適用する。ドメイン名がサービスプロファイルに格納されているが、数値IPアドレスが格納されていない場合、PCRFは独自のDNSクエリを実行して、ドメイン名を数値IPアドレスに変換することができる。ドメイン名に関連付けられた特定の数値IPアドレスは頻繁に変更されるが、結果として、PCRF416(及び、ルールのインストールプロシージャに基づいてPCEF430)中のホスト名に関連付けられたIPアドレスがもはや正しくなくなる場合、接続試行が失敗する可能性がある。本発明によって提示される実施形態は、ドメイン名に関連付けられた特定の数値IPアドレスが最新の状態に保たれることを確保することができる。
したがって、図4Aに示されるように、パケットデータアナライザは、DNS要求及び応答を搬送するネットワークリンク(複数可)を「ワイヤタッピング」している。
図4Bに示され、以下に説明される一実施形態では、パケットデータアナライザは、システムの一部、例えば、サブスクライバからDNS要求を受信し、DNS応答をサブスクライバに送り返すネットワークオペレータのDNSサーバ(複数可)である。したがって、図4Aと図4Bとの間の違いは、パケットデータアナライザがDNS要求及び応答に関連している点である。
図4Bは、本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム400’及びプロセスを示す。
図4Bに示されるように、一実施形態では、システム400’は、ネットワークオペレータによって操作されるDNSサーバ427’のサブコンポーネントとして、パケットデータアナライザ(PDA)として、又はDNS要求及び応答アナライザ(DRRA)としてプロトコルデータアナライザ428’を含んでもよい。セルラーデバイスからのDNSクエリは、ステップ(1’)を介してネットワークオペレータによってDNSサーバ427’に向けられる。DNSサーバ427’は、例えば(2’)を介して適切な権威ネームサーバにクエリを送信することによって、DNSクエリに回答し、DNSサーバ427’が回答を受信すると、DNSサーバ427’は、応答に関するプロトコルデータアナライザ428’を呼び出す。プロトコルデータアナライザ428’を呼び出す方法は、機能を呼び出すこと、又はメッセージバス上にメッセージを置くことを含むことができるが、これらに限定されない。プロトコルデータアナライザ428’が受信する情報は、限定されないが、DNS要求及び応答のパケットデータ及び/又はコンピュータ可読表現、例えば、C構造体、Javaオブジェクトなどを含むことができるが、当業者は、同様の機能を達成する他の実装もまた使用され得ることを理解することができる。
プロトコルデータアナライザ428’は、ドメイン名のIPアドレスに対する更新を送信し、ステップ(3’)を介してPCRF416’に通信する。次に、PCRF416’は、ステップ(4’)を介して、更新されたIPアドレスに関するPCEF430’にインストールされている課金ルールを更新する。これは、プロトコルデータアナライザ428’がIPアドレスへのドメイン名のマッピングを監視するためにネットワークトラフィックを直接監視せず、パースしないという点で図4Aとは異なるが、代わりに、その情報がDNSサーバ427’によって提供されることにより、その機能の問題としてDNS要求及び応答をパースし得る必要がある。ステップ(5’)は、ネットワークオペレータのDNSサーバ427’へのDNS要求、又はネットワークオペレータのDNSサーバ427’からの応答ではないセルラーサブスクライバのトラフィックを示すために提供される。
図5Aは、本発明の一実施形態による、セルラー又はワイヤレスネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための例示的なシステム及びプロセス500を示す。この例示的なシステムでは、セルラーネットワークサービスプロバイダの顧客は、それらの管理システム512(例えばコンピュータプログラムによって支援される人間の管理者であることができる)を使用して、例えばREST APIであり得る、インターネットフェイシング管理システム516にトラフィックルール514を転送する。これは、図5Aのステップ(1)に示される。
インターネットフェイシング管理システムは、セルラーネットワークサービスプロバイダのポリシーに従って顧客トラフィックルールを検証して調整し、調整され検証されたトラフィックポリシー520をポリシー及び課金制御(PCC)522のためのデータストレージメカニズムに格納する、ステップ(2)を介して、顧客トラフィックルールを内部プロビジョニングシステム518に転送する。これは図中のステップ(3)である。
さらに、セルラーネットワークサービスプロバイダの顧客は、インターネットフェイシング管理に、顧客のセルラーサブスクライバのうちの1つ以上を顧客のトラフィックルールに関連付ける、又はプロビジョニングするように要求することができる。この関連付けは、データストレージメカニズムであるサブスクライバプロファイルレジストリ(SPR)524に格納される。これらのステップは、例示的なシステムの「ポリシープロビジョニングフェーズ」を含む。
顧客のセルラーサブスクライバ502がセルラーネットワーク(eNodeB504及びサービングゲートウェイ(SGW)506を含むがこれらに限定されない)上でパケットデータセッションを確立するとき、セルラーネットワークサービスプロバイダのパケットゲートウェイ(PGW)508のポリシー及び課金実施機能(PCEF)509は、セルラーサブスクライバの国際移動体加入者識別番号532を含むがこれに限定されない、クレジット制御要求530のメッセージを送信することによって、セルラーネットワークサービスプロバイダのポリシー及び課金ルール機能(PCRF)528と通信する。これは図中のステップ(4)である。
PCRF528は、PCC522及びSPR524のデータストレージメカニズムからサブスクライバのトラフィックポリシー526を取得する。これは図中のステップ(5)である。次に、PCRF528は、サブスクライバのトラフィックポリシーを使用して、サブスクライバのトラフィックポリシー526を表すPCCルール(536)のセットを含むクレジット制御回答(CCA)メッセージ534を構築し、CCA534をPGW508に送り返す。これは図中のステップ(6)である。
サブスクライバのデータセッションが確立されると、PGW508の一部としてのPCEF509は、サブスクライバとパケット配信ネットワーク510との間を通過するパケット上にサブスクライバのトラフィックポリシーを実施する。PCRF528によってCCA536中のPGW508に提供されるPCCルールは、PGW508に「インストール」されると称される。これらのステップは、例示的なシステムの「デバイスアタッチメントフェーズ」を含む。
図5Aに示されるように、一実施形態では、システム500のパケットデータアナライザ(PDA)537は、DNSトラフィックがPGW508及びパケットデータネットワーク510からルーティングされると、セルラーサブスクライバ502のDNSクエリ及び応答(DNSトラフィック)を受動的にリッスンすることができる(例えば、ルータ上のspanポートを使用して)。これは図中のステップ(7)である。監視されているドメイン名が1つ以上のIPアドレスを変更したことが見いだされると、パケットデータアナライザはPCCデータベース522中のレコードを更新する。これは図中のステップ(8)である。PCRF528は、この更新について通知されてもよい(例えば、データベーストリガ又はメッセージバスを介して)。これは図中のステップ(9)である。PCRF528は、いずれかの改正されたPCCルール539を含むPGWに再認証要求(RAR)メッセージ538を送信することができる。これは図中のステップ(10)である。これらのステップは、例示的なシステムの「サービスフェーズ中のデバイス」を形成する。
別の実施形態では、図5Bに示されるように、スニファ又はパケットデータアナライザ(PDA)537’は、例えば、ネットワークプロバイダによって制御される環境であるPCRF528’中にインストールされてもよい。図5Bに示されるように、DNS要求及び応答は、ネットワーク要素NE540、例えば、spanポート及びファイアウォールルール、又はspanポート及びtcpdumpなどのパケットキャプチャツールを介してPDAに転送され得る。PDA537’は、DNSトラフィックを解析して、ドメイン名について1つ以上のIPアドレスにおける変更を監視する。その他のすべてのコンポーネント及びそれらの動作は、図5Aに示されているものと同じであり、図5Aに付随する説明に記載されている。したがって、パケットデータアナライザ(PDA)537’は、図5Bに示されるようにPCRF528’、又は図5Aに示されるようにPGW508(LTEネットワーク)もしくはGGSN(GSM及びWCDMAネットワーク)にインストールされてもよい、及び/又はそれと連携して動作してもよい。
ドメイン名の使用によるトラフィック制御を有効にするために、PCRF528’に格納されているデバイスのサービスプロファイルは、そのデバイスに許可されている、又は拒否されている宛先のドメイン名、数値IPアドレス、又はその両方のいずれかをリストにすることができる。PCRF528’は、3GPP技術仕様書29.212に従って、実際のIPアドレスを使用してトラフィックを許可する、又はブロックするためのルールを適用する。ドメイン名がサービスプロファイルに格納されているが、数値IPアドレスが格納されていない場合、PCRFは独自のDNSクエリを実行して、ドメイン名を数値IPアドレスに変換することができる。ドメイン名に関連付けられた特定の数値IPアドレスは頻繁に変更されるが、結果として、PCRF528’(ならびに、ステップ4、5及び6ではルールのインストールプロシージャに基づいてPCEF509’)中のホスト名に関連付けられたIPアドレスがもはや正しくなくなる場合、接続試行が失敗する可能性がある。本発明によって提示される実施形態は、ドメイン名に関連付けられた特定の数値IPアドレスが最新の状態に保たれることを確保することができる。
図6は、本発明の一実施形態による、コンピュータプログラム製品を格納する、及び/又はプログラムコードを実行するのに適したデータ処理システム600を示す。データ処理システム600は、システムバス606を介してメモリ要素604a~bに結合されるプロセッサ602を含む。一実施形態では、データ処理システム600は、1つより多いプロセッサを含むことができ、各プロセッサは、システムバスを介して1つ以上のメモリ要素に直接的に、又は間接的に結合されることができる。
メモリ要素604a~bは、プログラムコードの実際の実行中に使用されるローカルメモリ、バルクストレージ、及びキャッシュメモリを含むことができ、これらは、実行中にバルクストレージからコードを取得しなければならない回数を減らすために、少なくともいくつかのプログラムコードの一時的なストレージを提供する。示されるように、入力/出力又はI/Oデバイス608a~b(キーボード、ディスプレイ、ポインティングデバイスなどを含むがこれらに限定されない)は、データ処理システム600に結合される。I/Oデバイス608a~bは、介在するI/Oコントローラ(図示せず)によって直接的又は間接的にデータ処理システム600に結合されてもよい。
図6では、ネットワークアダプタ610は、データ処理システム602に結合されて、データ処理システム602が通信リンク612を介して他のデータ処理システム又はリモートプリンタ又はストレージデバイスに結合されるようになることを可能にする。通信リンク612は、プライベートネットワーク又はパブリックネットワークであり得る。モデム、ケーブルモデム、及びイーサネットカードは、現在利用可能なネットワークアダプタのタイプのほんの一部である。
本明細書で説明される実施形態は、完全なハードウェア実装、完全なソフトウェア実装、又はハードウェア要素とソフトウェア要素の両方を含む実装の形式を取ることができる。実施形態は、アプリケーションソフトウェア、ファームウェア、常駐ソフトウェア、マイクロコードなどを含むが、これらに限定されないソフトウェアに実装されてもよい。
本明細書に記載のステップは、任意の適切なコントローラ又はプロセッサ、及び任意の適切なストレージ位置又はコンピュータ可読媒体に格納されることができるソフトウェアアプリケーションを使用して実施されてもよい。ソフトウェアアプリケーションは、プロセッサが受信器に本明細書に記載の機能を実行させることを可能にする命令を提供する。
さらに、実施形態は、コンピュータ又は任意の命令実行システムによって、又はそれに関連して使用されるためのプログラムコードを提供するコンピュータ使用可能又はコンピュータ可読媒体からアクセス可能なコンピュータプログラム製品の形態を取ることができる。この説明の目的のために、コンピュータ使用可能又はコンピュータ可読媒体は、命令実行システム、装置、もしくはデバイスによって、又はそれに関連して使用されるためのプログラムを含む、格納する、通信する、伝播する、又は移すことができる任意の装置であることができる。
媒体は、電子、磁気、光学、電磁気、赤外線、半導体システム(又は装置もしくはデバイス)、又は伝播媒体であってもよい。コンピュータ可読媒体の例は、半導体又はソリッドステートメモリ、磁気テープ、リムーバブルコンピュータディスケット、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、剛性磁気ディスク、及び光ディスクを含む。光ディスクの現在の例は、デジタル多用途ディスク(DVD)、コンパクトディスク読み出し専用メモリ(CD-ROM)、及び読み出し/書き込みコンパクトディスク(CD-R/W)を含む。
本明細書に記載の理論、動作メカニズム、証明、又は発見は、本発明の理解をさらに深めることを意図しており、本発明をそのような理論、動作メカニズム、証明、又は発見に何らかの形で依存させることを意図するものではない。上記の説明における、好ましい、好ましくは、又は好ましいという言葉の使用が、そのように説明された特徴がより望ましい場合があることを示すが、それは必要でなくてもよく、同じものを欠く実施形態が本発明の範囲内のものとして企図され、その範囲が以下の特許請求の範囲によって定義され得ることを理解されたい。
本明細書で使用されるように、製品、デバイス、電化製品、端末、リモートデバイス、ワイヤレスアセットなどの用語は、互いに、そして本発明の目的のための他の同様の通信に基づいた機器に関して、包括的である、交換可能である、及び/又は同義であることが意図されるが、機能的にはそれぞれが、その個別の能力及び/又は展開に特有であることができる、固有の特性、機能及び/又は動作を有してもよいことが認識されるであろう。
同様に、通信ネットワークという用語が1つ以上の通信アーキテクチャ、方法、及びネットワークを使用するネットワーク(M2Mのネットワークなど、ただしそれに限定されない)を介した通信を含むことが本発明によって想定され、このネットワークは、符号分割多元接続(CDMA)、グローバル移動体通信システム(GSM)(「GSM」はGSM Associationの商標である)、ユニバーサルモバイルテレコミュニケーションシステム(UMTS)、ロングタームエボリューション(LTE)、第4世代セルラーシステム(4G)LTE、5G、ワイヤレスローカルエリアネットワーク(WLAN)、及び1つ以上の有線ネットワークを含むが、これらに限定されない。
本発明は示された実施形態に従って説明されてきたが、当業者は、実施形態に変形形態があり得、それらの変形形態が本発明の趣旨及び範囲内にあることを容易に認識するであろう。したがって、多くの修正形態は、本発明の趣旨及び範囲から逸脱することなく当業者によって行われてもよい。

Claims (19)

  1. 接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのコンピュータ実装方法であって、
    前記1つ以上のデバイスについてのデバイス情報を受信することと、
    前記1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報を受信することと、
    前記少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、
    少なくとも1つのドメインを、そのドメインについての前記1つ以上のIPアドレスにおける変更について監視することと、
    前記ドメイン名の前記1つ以上のIPアドレスを、そのドメインについての前記IPアドレスにおけるいずれかの変更が見いだされる場合に更新することと、
    を含む、前記方法。
  2. 前記デバイス情報は、デバイス識別子、前記デバイスの製造元及びモデル、ならびに国際移動体装置識別番号(IMEI)、国際移動体加入者識別番号(IMSI)のうちの1つ以上を含む、請求項1に記載の方法。
  3. 前記デバイスは、それらにインストールされたSIMなどの製品を用いてワイヤレス又はセルラーネットワークと接続することが有効にされている1つ以上のIoTデバイスを含む、請求項1に記載の方法。
  4. 前記少なくとも1つのドメインをそのドメインについての前記1つ以上のIPアドレスにおける変更について監視することは、ドメインネームシステム(DNS)ルックアップを使用して、ドメイン名に関連付けられた前記1つ以上のIPアドレスにおける変更があったかどうかを判定し、ポリシー及び課金ルール機能(PCRF)において前記1つ以上のデバイスについてのサービスプロファイル内の前記1つ以上のIPアドレスを自動的に更新することをさらに含む、請求項1に記載の方法。
  5. データベース内の前記ドメイン名の前記IPアドレスに変更があるとき、前記PCRFにおいて前記1つ以上のデバイスについてのサービスプロファイルにおける変更をポリシー及び課金ルール実施機能(PCEF)に通知することをさらに含む、請求項1に記載の方法。
  6. 前記PCRFによって前記PCEFに送信されたポリシー及び課金ルールを実施することをさらに含む、請求項1に記載の方法。
  7. セルラーネットワークを介した接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のためのシステムであって、
    接続が有効になっている1つ以上のデバイス、ポリシー及び課金ルール機能(PCRF)、プロトコルデータアナライザ、ならびにデータベースを含み、
    前記PCRFは、
    前記1つ以上のデバイスについてのデバイス情報、
    前記1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報、
    を受信し、
    前記プロトコルデータアナライザは、前記少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付け、
    少なくとも1つのドメインを、そのドメインについての前記1つ以上のIPアドレスにおける変更について監視し、
    前記データベース内の前記ドメイン名の前記1つ以上のIPアドレスを、そのドメインについての前記1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新する、前記システム。
  8. 前記デバイス情報は、デバイス識別子、前記デバイスの製造元及びモデル、ならびに国際移動体装置識別番号(IMEI)、国際移動体加入者識別番号(IMSI)のうちの1つ以上を含む、請求項7に記載のシステム。
  9. 前記デバイスは、それらにインストールされたSIMなどの製品を用いてワイヤレス又はセルラーネットワークと接続することが有効にされている1つ以上のIoTデバイスを含む、請求項7に記載のシステム。
  10. 前記少なくとも1つのドメインをそのドメインについての前記1つ以上のIPアドレスにおける変更について監視することは、ドメインネームシステム(DNS)ルックアップを使用して、ドメイン名に関連付けられた前記1つ以上のIPアドレスにおける変更があったかどうかを判定し、前記PCRFにおいて前記1つ以上のデバイスについてのサービスプロファイル内の前記1つ以上のIPアドレスを自動的に更新することをさらに含む、請求項7に記載のシステム。
  11. ポリシー及び課金ルール実施機能(PCEF)をさらに含み、前記PCEFは前記PCRFによって前記PCEFに送信されたポリシー及び課金ルールを実施する、請求項7に記載のシステム。
  12. 前記データベース内の前記ドメイン名の前記IPアドレスに変更があるとき、前記PCRFは、前記PCRFにおいて前記1つ以上のデバイスについてのサービスプロファイルにおける前記変更を前記PCEFに通知する、請求項7に記載のシステム。
  13. 接続が有効になっている1つ以上のデバイスにドメイン名を使用する自動トラフィックフロー制御のための転送不可能なコンピュータ可読媒体上に格納されるコンピュータプログラム製品であって、
    接続が有効になっている1つ以上のデバイスについてのドメイン名を使用する自動トラフィックフロー制御のためのアプリケーションの実行をコンピュータに制御させるためのコンピュータ可読命令を含み、
    前記コンピュータ可読命令は、
    前記1つ以上のデバイスについてのデバイス情報を受信することと、
    前記1つ以上のデバイスがアクセスすることを許可されている少なくとも1つのドメイン名についてのドメイン名情報を受信することと、
    前記少なくとも1つのドメイン名を1つ以上のインターネットプロトコル(IP)アドレスに関連付けることと、
    少なくとも1つのドメインを、そのドメインについての前記1つ以上のIPアドレスにおける変更について監視することと、
    前記ドメイン名の前記1つ以上のIPアドレスを、そのドメインについての前記1つ以上のIPアドレスにおけるいずれかの変更が見いだされる場合に更新することと、
    を含む、前記コンピュータプログラム製品。
  14. 前記デバイス情報は、デバイス識別子、前記デバイスの製造元及びモデル、ならびに国際移動体装置識別番号(IMEI)、国際移動体加入者識別番号(IMSI)のうちの1つ以上を含む、請求項13に記載のコンピュータプログラム製品。
  15. 前記デバイスは、それらにインストールされたSIMなどの製品を用いてワイヤレス又はセルラーネットワークと接続することが有効にされている1つ以上のIoTデバイスを含む、請求項13に記載のコンピュータプログラム製品。
  16. 前記少なくとも1つのドメインをそのドメインについての1つ以上のIPアドレスにおける変更について監視することは、ドメインネームシステム(DNS)ルックアップを使用して、ドメイン名に関連付けられた前記1つ以上のIPアドレスにおける変更があったかどうかを判定し、ポリシー及び課金ルール機能(PCRF)において前記1つ以上のデバイスについてのサービスプロファイル内の前記1つ以上のIPアドレスを自動的に更新することをさらに含む、請求項13に記載のコンピュータプログラム製品。
  17. 前記データベース内の前記ドメイン名の前記1つ以上のIPアドレスに変更があるとき、前記PCRFにおいて前記1つ以上のデバイスについての前記サービスプロファイルにおける変更をポリシー及び課金ルール実施機能(PCEF)に通知する命令をさらに含む、請求項13に記載のコンピュータプログラム製品。
  18. 前記PCEFが前記PCRFによって前記PCEFに送信されたポリシー及び課金ルールを実施する命令をさらに含む、請求項13に記載のコンピュータプログラム製品。
  19. 前記プロトコルデータアナライザは、パケットデータアナライザ、又はDNS要求及び応答アナライザのうちのいずれかを含む、請求項7に記載のシステム。
JP2021568128A 2019-05-21 2020-05-20 ドメイン名を使用したトラフィックフロー制御 Active JP7376028B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201962851041P 2019-05-21 2019-05-21
US62/851,041 2019-05-21
US16/879,087 2020-05-20
PCT/US2020/033778 WO2020236919A1 (en) 2019-05-21 2020-05-20 Traffic flow control using domain name
US16/879,087 US11115378B2 (en) 2019-05-21 2020-05-20 Traffic flow control using domain name

Publications (2)

Publication Number Publication Date
JP2022533107A true JP2022533107A (ja) 2022-07-21
JP7376028B2 JP7376028B2 (ja) 2023-11-08

Family

ID=73456460

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021568128A Active JP7376028B2 (ja) 2019-05-21 2020-05-20 ドメイン名を使用したトラフィックフロー制御

Country Status (5)

Country Link
US (1) US11115378B2 (ja)
EP (1) EP3973689A4 (ja)
JP (1) JP7376028B2 (ja)
CN (1) CN113906771A (ja)
WO (1) WO2020236919A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11416604B2 (en) 2017-09-25 2022-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Enclave handling on an execution platform
US11704442B2 (en) 2018-03-27 2023-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Instance handling of a trusted execution environment
US11416605B2 (en) * 2018-03-27 2022-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Trusted execution environment instances licenses management
US11240257B2 (en) 2019-03-07 2022-02-01 Lookout, Inc. Domain name and URL visual verification for increased security
US11811806B2 (en) * 2020-09-25 2023-11-07 Barracuda Networks, Inc. System and apparatus for internet traffic inspection via localized DNS caching
CN113242298B (zh) * 2021-05-10 2023-01-06 广州瀚信通信科技股份有限公司 一种基于pcc架构下针对https协议的取号方法
CN115174479B (zh) * 2022-07-19 2023-10-13 天翼云科技有限公司 一种流量控制方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040228335A1 (en) * 2003-05-12 2004-11-18 Samsung Electronics Co., Ltd. System and method for deleting tunnelling in connection between mobile node and correspondent node
US20070299941A1 (en) * 2006-06-26 2007-12-27 Nokia Corporation Device identification number based name service
CN104995868A (zh) * 2013-02-19 2015-10-21 交互数字专利控股公司 融合网关的计费架构
US20160014082A1 (en) * 2011-05-25 2016-01-14 Palo Alto Networks, Inc. Dynamic resolution of fully qualified domain name (fqdn) address objects in policy definitions
JP2018102005A (ja) * 2018-03-09 2018-06-28 Kddi株式会社 通信システム
US20180367571A1 (en) * 2017-06-15 2018-12-20 Palo Alto Networks, Inc. Mobile user identity and/or sim-based iot identity and application identity based security enforcement in service provider networks

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101959192A (zh) * 2009-07-17 2011-01-26 华为技术有限公司 业务处理方法及通信设备
US9015318B1 (en) * 2009-11-18 2015-04-21 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
US9294380B2 (en) * 2010-07-09 2016-03-22 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for traffic classification
CN102377831B (zh) * 2010-08-17 2014-05-21 中国移动通信集团公司 一种策略控制实体地址的获取方法、设备和系统
EP2622495A4 (en) * 2010-09-27 2015-08-12 Lantronix Inc VARIOUS METHODS AND APPARATUSES FOR ACCESSING NETWORK DEVICES WITHOUT ADDRESSES ACCESSIBLE THROUGH VIRTUAL IP ADDRESSES
US20120084423A1 (en) * 2010-10-04 2012-04-05 Openwave Systems Inc. Method and system for domain based dynamic traffic steering
US9065936B2 (en) 2010-12-09 2015-06-23 Allot Communications Ltd. Cellular traffic monitoring and charging using application detection rules
US9369345B2 (en) * 2011-11-11 2016-06-14 Pismo Labs Technology Limited Method and system for allowing the use of domain names in enforcing network policy
CN103546434A (zh) * 2012-07-13 2014-01-29 中国电信股份有限公司 网络访问控制的方法、装置和系统
US9444916B2 (en) 2013-08-26 2016-09-13 Seven Networks, Llc Enhanced caching of domain name system (DNS) and reverse DNS queries for traffic management for signaling optimization in a mobile network
WO2015103338A1 (en) 2013-12-31 2015-07-09 Lookout, Inc. Cloud-based network security
US10469514B2 (en) 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
CN104092698A (zh) * 2014-07-21 2014-10-08 北京网秦天下科技有限公司 对网络资源的访问控制方法及装置
US20170041332A1 (en) 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
US9942252B1 (en) 2015-09-08 2018-04-10 EMC IP Holding Co. LLC Graph-based techniques for detecting coordinated network attacks
US10686753B2 (en) 2016-07-13 2020-06-16 DNSthingy Inc. Method and router to permit or block internet protocol (IP) connectivity based on originating domain name server (DNS) requests
US11153271B2 (en) * 2018-02-16 2021-10-19 Apple Inc. Managing bearers in a radio access network
CN109600385B (zh) * 2018-12-28 2021-06-15 绿盟科技集团股份有限公司 一种访问控制方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040228335A1 (en) * 2003-05-12 2004-11-18 Samsung Electronics Co., Ltd. System and method for deleting tunnelling in connection between mobile node and correspondent node
US20070299941A1 (en) * 2006-06-26 2007-12-27 Nokia Corporation Device identification number based name service
US20160014082A1 (en) * 2011-05-25 2016-01-14 Palo Alto Networks, Inc. Dynamic resolution of fully qualified domain name (fqdn) address objects in policy definitions
CN104995868A (zh) * 2013-02-19 2015-10-21 交互数字专利控股公司 融合网关的计费架构
JP2016513422A (ja) * 2013-02-19 2016-05-12 インターデイジタル パテント ホールディングス インコーポレイテッド 収束ゲートウェイのための課金アーキテクチャ
US20180367571A1 (en) * 2017-06-15 2018-12-20 Palo Alto Networks, Inc. Mobile user identity and/or sim-based iot identity and application identity based security enforcement in service provider networks
JP2018102005A (ja) * 2018-03-09 2018-06-28 Kddi株式会社 通信システム

Also Published As

Publication number Publication date
US11115378B2 (en) 2021-09-07
WO2020236919A1 (en) 2020-11-26
US20200374262A1 (en) 2020-11-26
CN113906771A (zh) 2022-01-07
EP3973689A4 (en) 2023-01-11
EP3973689A1 (en) 2022-03-30
JP7376028B2 (ja) 2023-11-08

Similar Documents

Publication Publication Date Title
JP7376028B2 (ja) ドメイン名を使用したトラフィックフロー制御
US9992625B2 (en) System and method for location reporting in an untrusted network environment
US9603058B2 (en) Methods, systems, and computer readable media for triggering a service node to initiate a session with a policy and charging rules function
EP2507972B1 (en) Method, system, and computer readable medium for diameter protocol harmonization
EP3264686B1 (en) Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality
US12010148B2 (en) Access point name and application identity based security enforcement in service provider networks
EP3701676B1 (en) Master user device, method and electronic arrangement for policy regulation of electronic communication devices
US11985127B2 (en) Systems and methods for automated network-based rule generation and configuration of different network devices
US11528253B2 (en) Security platform for service provider network environments
JP2022502913A (ja) モバイルネットワークにおけるネットワークスライスベースのセキュリティ
KR20130143622A (ko) 통신 네트워크에서 사용자 장비와 데이터 네트워크 간의 통신을 위한 기술
US10791464B2 (en) Method for establishing a secure connection
CN107006052A (zh) 使用ott服务的基于基础设施的d2d连接建立
US11871214B2 (en) Traffic flow control using domain name
US9531756B2 (en) System and method for providing error handling in an untrusted network environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230221

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230517

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231017

R150 Certificate of patent or registration of utility model

Ref document number: 7376028

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150