JP6526834B2 - 複数のネットワーク機能インスタンス化にわたるマルチセキュリティレベル/トラフィック管理 - Google Patents
複数のネットワーク機能インスタンス化にわたるマルチセキュリティレベル/トラフィック管理 Download PDFInfo
- Publication number
- JP6526834B2 JP6526834B2 JP2017556825A JP2017556825A JP6526834B2 JP 6526834 B2 JP6526834 B2 JP 6526834B2 JP 2017556825 A JP2017556825 A JP 2017556825A JP 2017556825 A JP2017556825 A JP 2017556825A JP 6526834 B2 JP6526834 B2 JP 6526834B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- security
- type
- network function
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 153
- 238000000034 method Methods 0.000 claims description 27
- 230000015654 memory Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 10
- 230000008901 benefit Effects 0.000 description 19
- 238000007726 management method Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 14
- 230000001413 cellular effect Effects 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000012913 prioritisation Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- MWRWFPQBGSZWNV-UHFFFAOYSA-N Dinitrosopentamethylenetetramine Chemical compound C1N2CN(N=O)CN1CN(N=O)C2 MWRWFPQBGSZWNV-UHFFFAOYSA-N 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000760358 Enodes Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- ZYXYTGQFPZEUFX-UHFFFAOYSA-N benzpyrimoxan Chemical compound O1C(OCCC1)C=1C(=NC=NC=1)OCC1=CC=C(C=C1)C(F)(F)F ZYXYTGQFPZEUFX-UHFFFAOYSA-N 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000003750 conditioning effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001816 cooling Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000008185 minitablet Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000003826 tablet Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明の規範的な実施形態は、一般的に、これに限定されないが、ユニバーサル移動テレコミュニケーションズシステム(UMTS)地上無線アクセスネットワーク(UTRAN)、長期進化(LTE)、進化型UTRAN(E−UTRAN)、等の移動通信ネットワークに関する。例えば、幾つかの規範的実施形態は、バーチャル化ネットワーク機能インスタンス化を含めて、多数のネットワーク機能インスタンス化にわたるマルチセキュリティレベル/トラフィック管理に関する。
ユニバーサル移動テレコミュニケーションズシステム(UMTS)地上無線アクセスネットワーク(UTRAN)は、ベースステーション又はNode−B、及び無線ネットワークコントローラ(RNC)を含む通信ネットワークを指す。UTRANは、ユーザ装置(UE)とコアネットワークとの間の接続を許す。RNCは、1つ以上のNode−Bのための制御機能を与える。RNC及びそれに対応するNode−Bは、無線ネットワークサブシステム(RNS)と称される。
長期進化(LTE)は、改善された効率及びサービス、低いコスト、及び新規スペクトル機会の使用によるUMTSの改善を指す。特に、LTEは、少なくとも50メガビット/秒(Mbps)のアップリンクピークレート及び少なくとも100Mbpsのダウンリンクピークレートを与える第3世代パートナーシッププロジェクト(3GPP)規格である。LTEは、20MHzから1.4MHzまでの拡張可能な搬送波帯域巾をサポートすると共に、周波数分割デュープレックス(FDD)及び時分割デュープレックス(TDD)の両方をサポートする。
上述したように、LTEは、ネットワークのスペクトル効率も改善し、搬送波が所与の帯域巾にわたってより多くのデータ及び音声サービスを提供できるようにする。それ故、LTEは、大容量音声サポートに加えて、高速データ及びマルチメディアトランスポートのニーズを満足するよう設計される。LTEの効果は、例えば、高いスループット、低いレイテンシー、同じプラットホームでのFDD及びTDDサポート、エンドユーザ体験の改善、及び簡単なアーキテクチャーによる低い運転コストを含む。更に、LTEは、IPv4及びIpv6の両方をサポートする完全インターネットプロトコル(IP)ベースのネットワークである。
1つの規範的実施形態は、加入者トラフィックを割り当てる方法であって、第1タイプのセキュリティを与えるように第1ネットワーク機能の第1インスタンス化を構成することを含む方法に向けられる。又、この方法は、第1タイプのセキュリティとは異なる第2タイプのセキュリティを与えるように第1ネットワーク機能の第2インスタンス化を構成することも含む。更に、この方法は、加入者トラフィックの少なくとも幾つかを第1インスタンス化に割り当てることも含む。
規範的実施形態において、加入者トラフィックを第1インスタンス化に割り当てることは、第1ネットワーク機能のセキュリティ要求に基づく。別の規範的実施形態では、この方法は、更に、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティを決め、そして第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの取り扱いのプライオリティを決めることも含む。
規範的実施形態によれば、第1タイプのセキュリティ及び第2タイプのセキュリティは、各々、ユーザごと、加入者ごと、又は企業のポリシーごと、特定のセキュリティレベルに対する支払、又は第1及び第2加入者の現在コンテキスト、のうちの少なくとも1つに基づいて構成される。別の規範的実施形態によれば、第1タイプのセキュリティは、移動管理エンティティのネットワーク機能に関連し、そして第2タイプのセキュリティは、ベアラプレーンセキュリティに関連している。
規範的実施形態において、第1ネットワーク機能に関連したセキュリティのレベルは、ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、第1ネットワーク機能と共に同じハードウェアで実行される第三者アプリケーションの数に基づくセキュリティレベルの低下、及びハードウェアプラットホームがそのハードウェアプラットホームの動的な変化に基づいて第1ネットワーク機能をホストするときのセキュリティレベルの低下を含む。別の規範的実施形態では、第1ネットワーク機能に与えられるセキュリティのレベルは、ネットワーク要素への第三者アクセス、運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、ネットワーク要素の無線アクセスネットワーク共有の存在、マルチポイント送信の存在、Wi−Fiに対応する信頼性レベル、及びネットワーク要素に接続されたユーザ装置の数、の少なくとも1つに基づいて与えられる。
別の規範的実施形態は、加入者トラフィックを割り当てる装置であって、少なくとも1つのプロセッサ、及びコンピュータプログラムコードを含む少なくとも1つのメモリを備えた装置に向けられる。少なくとも1つのメモリ及びコンピュータプログラムコードは、少なくとも1つのプロセッサとで、装置が、少なくとも、第1タイプのセキュリティを与えるように第1ネットワーク機能の第1インスタンス化を構成するようにさせるよう構成される。又、少なくとも1つのメモリ及びコンピュータプログラムコードは、少なくとも1つのプロセッサとで、第1タイプのセキュリティとは異なる第2タイプのセキュリティを与えるように第1ネットワーク機能の第2インスタンス化を構成するよう構成される。更に、少なくとも1つのメモリ及びコンピュータプログラムコードは、少なくとも1つのプロセッサとで、加入者トラフィックの少なくとも幾つかを第1インスタンス化に割り当てるように構成される。
規範的実施形態において、加入者トラフィックを第1インスタンス化に割り当てることは、第1ネットワーク機能のセキュリティ要求に基づく。別の規範的実施形態では、少なくとも1つのメモリ及びコンピュータプログラムコードは、少なくとも1つのプロセッサとで、装置が、少なくとも、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティを決め、そして第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの取り扱いのプライオリティを決めるようにさせるよう構成される。
規範的実施形態によれば、第1タイプのセキュリティ及び第2タイプのセキュリティは、各々、ユーザごと、加入者ごと、又は企業のポリシーごと、特定のセキュリティレベルに対する支払、又は第1及び第2加入者の現在コンテキスト、のうちの少なくとも1つに基づいて構成される。別の規範的実施形態によれば、第1タイプのセキュリティは、移動管理エンティティのネットワーク機能に関連し、そして第2タイプのセキュリティは、ベアラプレーンセキュリティに関連している。
規範的実施形態において、第1ネットワーク機能に関連したセキュリティのレベルは、ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、第1ネットワーク機能と共に同じハードウェアで実行される第三者アプリケーションの数に基づくセキュリティレベルの低下、及びハードウェアプラットホームがそのハードウェアプラットホームの動的な変化に基づいて第1ネットワーク機能をホストするときのセキュリティレベルの低下を含む。別の規範的実施形態では、第1ネットワーク機能に与えられるセキュリティのレベルは、ネットワーク要素への第三者アクセス、運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、ネットワーク要素の無線アクセスネットワーク共有の存在、マルチポイント送信の存在、Wi−Fiに対応する信頼性レベル、及びネットワーク要素に接続されたユーザ装置の数、の少なくとも1つに基づいて与えられる。
別の規範的実施形態は、加入者トラフィックを割り当てる装置であって、第1タイプのセキュリティを与えるように第1ネットワーク機能の第1インスタンス化を構成するための構成手段を備えた装置に向けられる。又、この装置は、第1タイプのセキュリティとは異なる第2タイプのセキュリティを与えるように第1ネットワーク機能の第2インスタンス化を構成するための構成手段も備えている。更に、この装置は、加入者トラフィックの少なくとも幾つかを第1インスタンス化に割り当てるための割り当て手段も備えている。
規範的実施形態において、前記装置は、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティを決めるためのプライオリティ手段、及び第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの取り扱いのプライオリティを決めるためのプライオリティ手段を備えている。別の規範的実施形態において、第1タイプのセキュリティ及び第2タイプのセキュリティは、各々、ユーザごと、加入者ごと、又は企業のポリシーごと、特定のセキュリティレベルに対する支払、又は第1及び第2加入者の現在コンテキスト、のうちの少なくとも1つに基づいて構成される。
規範的実施形態によれば、第1タイプのセキュリティは、移動管理エンティティのネットワーク機能に関連し、そして第2タイプのセキュリティは、ベアラプレーンセキュリティに関連している。別の規範的実施形態によれば、第1ネットワーク機能に関連したセキュリティのレベルは、ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、第1ネットワーク機能と共に同じハードウェアで実行される第三者アプリケーションの数に基づくセキュリティレベルの低下、及びハードウェアプラットホームがそのハードウェアプラットホームの動的な変化に基づいて第1ネットワーク機能をホストするときのセキュリティレベルの低下を含む。
規範的実施形態において、第1ネットワーク機能に与えられるセキュリティのレベルは、ネットワーク要素への第三者アクセス、運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、ネットワーク要素の無線アクセスネットワーク共有の存在、マルチポイント送信の存在、Wi−Fiに対応する信頼性レベル、及びネットワーク要素に接続されたユーザ装置の数、の少なくとも1つに基づいて与えられる。
別の規範的実施形態は、非一時的コンピュータ読み取り可能な媒体で実施されるコンピュータプログラムであって、上述した方法のいずれか1つを遂行するようにプロセッサを制御するように構成されたコンピュータプログラムに向けられる。
本発明を適切に理解するために、添付図面を参照する。
本明細書全体を通して記述する本発明の特徴、構造又は特性は、1つ以上の規範的実施形態において適当な仕方で結合することができる。例えば、本明細書全体にわたり「ある規範的実施形態」、「幾つかの規範的実施形態」という句又は他の同様の表現を使用することは、その規範的実施形態に関連して述べる特定の特徴、構造又は特性が本発明の少なくとも1つの規範的実施形態に含まれることを指す。
従って、本明細書全体にわたり「ある規範的実施形態において」、「幾つかの規範的実施形態において」、「他の規範的実施形態において」という句、又は他の同様の表現が現れることは、必ずしも、全てが同じグループの規範的実施形態を指すものではなく、そこに述べる特徴、構造又は特性は、1つ以上の規範的実施形態において適当な仕方で結合されてもよい。更に、要望があれば、以下に述べる異なる機能を異なる順序で及び/又は互いに同時に遂行してもよい。更に、要望があれば、ここに述べる機能の1つ以上は、任意であり、又は結合されてもよい。従って、以下の説明は、本発明の原理、教示及び規範的実施形態を単に例示するものに過ぎず、それに限定されるものではない。
最も適したレベルのセキュリティを与えると同時にクラウドにおけるネットワーク機能バーチャル化の最大の利益を利用できることが望ましい。これは、例えば、クラウド環境内で考えられる多重化利得の利用を含む。しかしながら、加入者のニーズを満たすセキュリティをどのように決定しつつ、ネットワーク機能がクラウドにおけるネットワーク機能バーチャル化に向かって益々接近するときに利益及び効率を最大にする上で問題が生じる。あるユーザは、おそらく、他のユーザより高いセキュリティ要求を有している。
例えば、セキュリティが比較的重要で且つ通信サービスのコストがあまり重要でない第1のユーザグループがある。逆に、セキュリティがあまり重要でなく且つ通信サービスのコストが比較的重要な第2のユーザグループがある。
別の例では、単一のユーザに対して、ある状況では(例えば、特に機密又は私的な情報が通信リンクを経て交換されるときには)、セキュリティがそのとき比較的重要となる。対照的に、他のとき又は他の状況では、セキュリティがあまり重要でなく、ネットワーク効率がより重要となる。
セルラーネットワークがクラウド及びネットワーク機能バーチャル化に向けて移行するときは、多数の独特の機会が生じる。例えば、第1ネットワーク機能(例えば、移動管理エンティティ(MME)又はサービングゲートウェイ(SGW)機能)において、おそらく、例えば、適度なレイテンシーで所与の加入者にサービスできるそのネットワーク機能の複数のインスタンス化があるが、第1のインスタンス化は、ネットワーク/クラウド容量の観点から最も効率的である(対応的に運営者に対して低いコストで提供される)が、セキュリティのレベルは低い。これとは対照的に、第2のインスタンス化は、ネットワーク/クラウド容量の観点からあまり効率的でなく(若干コストが高く)、より高いレベルのセキュリティを与える。この状況では、適度なレベルのセキュリティを与えると同時に、クラウドにおけるネットワーク機能バーチャル化の利益を最大限利用し、例えば、クラウド環境内で考えられる多重化利得を利用できる独占的及び/又は規格ベースのメカニズムが必要とされる。
本発明の幾つかの規範的実施形態は、第1ネットワーク機能の少なくとも2つのインスタンス化がある独占的及び/又は標準的メカニズムに向けられる。第1のインスタント化は、同じネットワーク機能の第2のインスタンス化より高いレベルのセキュリティを与え、そして第1加入者が第2加入者より高いセキュリティ要求を有することを検出する第1通信ネットワーク要素/第3ネットワーク機能に応答して、第1のインスタンス化による第1加入者のトラフィックの取り扱いのプライオリティ決めを遂行する。
クラウド及びクラウド使用環境にわたるセキュリティ要求を含む多数の異なるセキュリティレベルの知識を利用し及びレバレッジする解決策が要望される。これを銘記して、本発明のある規範的実施形態は、この一般的領域内で動作する。より詳細には、ある規範的実施形態は、広いが特定的でもある解決策を与えることができ、そして規格対処の規範的実施形態は、最も適したセキュリティレベルを与えると同時にクラウドにおけるネットワーク機能バーチャル化の利益を最大限利用する。又、その利用は、クラウド環境内で考えられる多重化利得を利用することも含む。
本発明の規範的実施形態により扱われる支配的問題は、加入者のニーズを最良に満足するセキュリティをどのように可能にしつつ、ネットワーク機能がクラウドにおけるネットワーク機能バーチャル化に向かって益々接近するときに利益及び効率を最大にする課である。より詳細には、クラウド及びネットワーク機能バーチャル化をレバレッジする利益を益々捕えることは、移動ネットワーク運営者の装置が特殊目的で構築されたハードウェア解決策を含むそれらの制御内に完全にあるという慣習的なケースよりも広い範囲のセキュリティレベルを必然的に生成する。例えば、共有環境では、露出のセキュリティ境界を劇的に増加できるマルチテナンシーの結果として、より多数の「タッチポイント」が存在する。動的なプロビジョニングでは、このレベル露出は、多数の異なる次元にわたって更に変化させることができる。
上述したように、問題は、正しいレベルのセキュリティを与えつつ、クラウド/ネットワーク機能バーチャル化に向かうシフトの絶対的最大利益を達成できることである。更に高いレベルのセキュリティを与えることができるが、最高レベルは、一般的に、追加コストを伴い、多くの場合、クラウド/ネットワーク機能バーチャル化の利益をある程度失うことになる。例えば、高いレベルのセキュリティは、更に高いレベルのアクセス制御及び監視を通して、又はいたずら防止ハードウェア、信頼のあるプラットホームモジュール(TPM)の使用による公式の承認プロセスを受けるハードウェア又はソフトウェアの使用を通して、又は物理的に制御される環境における位置決めサービスを通して、達成することができる。
しかしながら、この分野では、全てのトラフィックが同じニーズを有するのではない。例えば、高いレベルのセキュリティを要求しないビデオ/オーディオストリーミングトラフィック(例えば、商業的通信ネットワークにおいて大半のトラフィックをしばしばコンポーズするNetflix(登録商標)、Pandora(登録商標)、Spotify(登録商標))について考える。その結果、トラフィックのこの大きな部分に対する容量の影響をより顕著に減少しながら、他の比較的機密性のトラフィックに与えられるセキュリティレベルに影響を与えないようにすることができる。
例えば、ネットワーク機能に対する最もセキュアなクラウド環境を与えることで、トラフィックごと又は加入者ごとのそのネットワーク機能のコストが倍になる場合には、最もセキュアなネットワーク機能を、それを要求するトラフィックに対してのみ使用することにより、全体的な容量或いはネットワーク機能に対するクラウド解決策のコストを著しく改善することができる。例えば、全体的な容量又はコストは、ビデオ/オーディオストリーミングが典型的にワイヤレスネットワークにより今日搬送されるトラフィック量の大半である場合には、50%以上減少することができる。
あるユーザは、おそらく、他のユーザよりも高いセキュリティ要求を有する。例えば、セキュリティが比較的重要で且つ通信サービスのコストがあまり重要でない第1のユーザグループがある。逆に、セキュリティがあまり重要でなく且つ通信サービスのコストが比較的重要な第2のユーザグループがある。別の例では、単一のユーザに対して、ある状況では(例えば、特に機密又は私的な情報が通信リンクを経て交換されるときには)、セキュリティがそのとき比較的重要となる。対照的に、他のとき又は他の状況では、セキュリティがあまり重要でなく、ネットワーク効率がより重要となる。
セルラーネットワークがクラウド及びネットワーク機能バーチャル化に向けて移行するときは、多数の独特の機会が生じる。特に、共有ハードウェア環境に関してクラウドに分離を生成するための努力がなされるが、クラウドから絶対的に最大の利益を達成すること(上述したように、容量、資本支出(CAPEX)、運営支出(OPEX)等に関する)と、例えば、そのような共有ハードウェア環境に関して分離のための最も頑健な解決策で最高レベルのセキュリティ及び信頼性を与えることとの間にトレードオフがあることも明らかである。
例えば、第1ネットワーク機能(例えば、MME又はサービングゲートウェイ又はディープパケットインスペクション(DPI)又はアプリケーション最適化機能)に関して、おそらく、例えば、適度なレイテンシーで所与の加入者にサービスできるそのネットワーク機能の複数のインスタンス化がある。運営者の慣習的なネットワーク内には、例えば、慣習的なネットワーク売主のハードウェアで実行される1つのインスタンス化がある。
第1ネットワーク機能の第2インスタンス化は、「信頼のある」ハードウェア売主により提供されるハードウェアにおいてクラウドで実行され、ここでは、そのハードウェアにおける全ての計算ソフトウェアが「既知」でもある。第1ネットワーク機能の第3インスタンス化は、信頼性のない第三者により提供されるハードウェアにおいてクラウドで実行され、ここでは、その同じハードウェアが、第三者アプリケーションプロバイダーの未知の、信頼性のないセットにより生成される更に多数の他の計算ソフトウェアも実行する。このケースでは、予想されるセキュリティレベルが、第1インスタンス化において最高で、第2インスタンス化においてより低く、且つ第3インスタンス化において最低である。しかしながら、この例では、多重化利得が大きいために、第3インスタンス化は、ネットワーク/クラウド容量の観点で最も効率的であり(そして対応的に低いコストで運営者に提供され)、第2インスタンス化は、ネットワーク/クラウド容量の観点で効率的が低く(そしてコストが若干高く)、そして第1インスタンス化は、おそらく、効率的なネットワークであり、コストが最も高い。
ハードウェアの地理的位置が問題である例は、合法的傍受(LI)である。傍受ポイントは、特定の権限が適用されるエリア内に位置されることが重要である。別の関連する例は、特定の国又は地域に存在するサーバーのみによりサービスが実行されることをプロバイダーが加入者に「保証」するサービスである。これは、例えば、ある国の2つの住居間のe−メールがその国の中に留まることを「保証」するe−メールプロバイダー又はウェブホストサービスを含む。
この状況では、適切なレベルのセキュリティ及び信頼性を与えると同時に、例えば、基礎的リソースを越えるパワーがほとんど又は全くないようなクラウド環境内で考えられる多重化利得を利用することを含めて、クラウド内のネットワーク機能バーチャル化の最大利益を利用することをネットワーク運営者に許すための特定のイネーブラー及びメカニズムが必要とされる。
図1は、ある規範的な実施形態による規範的システム図である。このシステムは、第1及び第2のUE、UTRAN、移動通信用グローバルシステム(GSM(登録商標))、エンハンストデータレート・フォー・GSMエボルーション(EDGE)無線アクセスネットワーク(GERAN)、及びサービング汎用パケット無線サービスサポートノード(SGSN)を備えている。又、このシステムは、運営者プライベートクラウドコアのネットワーク要素、及び電話会社のセキュリティダッシュボードと相互作用するアプリケーションサーバーのパブリッククラウドも備えている。更に、システムは、脅威予報モジュール、運営者ポリシー、及び自動アクションエンジンが接続される電話会社のセキュリティダッシュボードも備えている。
規範的実施形態によれば、ネットワーク機能インスタンス化への加入者トラフィックの指定を管理するための方法が提供される。この管理/選択機能は、MMEにおいて実行され、これは、特定のインスタンス化「サービング/パケットデータネットワークゲートウェイ(S/P−GW)」ネットワーク機能を選択し、そして加入者の異なるユーザプレーンストリーム又は所与の加入者の全てのトラフィックに対する必要なセキュリティを与えるためにインターネットアクセスルータ/オフロードポイントを識別することができる。従って、これは、例えば、セキュリティの必要性に基づいて、加入者又はそれらのデータストリームをネットワーク機能のあるインスタンス化に指定するために、現在利用できる選択フレームワークと組み合わせて、ネットワーク機能のセキュリティポリシー/認識性を使用することができる。このケースでは、選択は、更に、ホーム加入者サーバー(HSS)からの加入者プロフィールに基づいて行われ、装置のタイプ情報、装置及び/又はアプリケーションソフトウェアバージョン、装置のセキュリティ能力、装置のセキュリティ必要性(例えば、セキュリティモードコマンドに基づく)、及び/又は国際移動装置アイデンティティ(IMEI)及びIMEIソフトウェアバージョン(IMEISV)が、MMEにより使用される。これは、次いで、S/P−GWの選択に影響する。別の規範的実施形態では、eNBが管理/選択機能を遂行し、検討された基準を使用して、使用すべきMMEネットワーク機能のインスタンス化を選択する。
規範的実施形態において、第1ネットワーク機能の少なくとも2つのインスタンス化がある。規範的実施形態において、加入者トラフィックの管理は、ネットワーク機能又はセキュリティオーケストラにより遂行される。ここで使用するネットワーク機能とは、これに限定されないが、例えば、MME、SGW、ポリシーチャージルール機能(PCRF)、DPI又はアプリケーション最適化機能、又はLTEのSGi基準ポイント(PDN GWとパケットデータネットワークとの間の3GPP基準ポイント)、或いは他の同様の又は類似の要素を含む。
第1インスタンス化は、同じネットワーク機能の第2インスタンス化とは異なるタイプのセキュリティを与える。例えば、規範的実施形態において、第1ネットワーク機能の第1インスタンス化は、第1タイプのセキュリティを与え、一方、第1ネットワーク機能の第2インスタンス化は、第2タイプのセキュリティを与える。例えば、第1インスタンス化は、同じネットワーク機能の第2インスタンス化より高いレベルのセキュリティを有し、ネットワーク機能の第2インスタンス化は、第2タイプ(例えば、低い又はベストエフォートレベルの)セキュリティを与える。
別の規範的実施形態によれば、加入者トラフィックの幾つか又は全部を第1ネットワーク機能の所与のインスタンス化に割り当てる判断機能を含む第2ネットワーク機能がある。規範的実施形態において、第2ネットワーク機能は、管理機能を含む。所与のインスタンス化への機能の割り当ては、例えば、LIのケースでは加入者プロフィールに全く依存せず、傍受は、特定の(合法的)権限が適用される(地理的)エリア内に位置され、従って、指定されるネットワーク機能は、傍受されるコールに対応する物理的位置に基づいて判断される。
規範的実施形態によれば、第2ネットワーク機能の判断は、低いセキュリティ要求のような第2タイプの要求をもつ第2加入者より高いセキュリティ要求のような第1タイプのセキュリティ要求を第1加入者が有することを検出する第3ネットワーク機能による応答に依存する。更に、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティが決められる。更に、第1ネットワーク機能の第2インスタンス化による第2加入者の取り扱いのプライオリティも決められる。
規範的実施形態によれば、第1加入者は、例えば、第2加入者に対して高いレベルである第1タイプのセキュリティでサービスを受ける。更に、第1加入者は、多数のファクタの少なくとも1つに基づいて(又はその結果として)サービスを受ける。
第1に、第1加入者は、ユーザごと又は加入者ごと或いは企業のポリシーごとに第1タイプのセキュリティでサービスを受ける。第2に、第1加入者は、高いレベルのセキュリティに対して支払をする第1加入者(又は第1加入者の企業)に基づいて第1タイプのセキュリティでサービスを受ける。例えば、第1加入者は、第2加入者に対して高いレベルのセキュリティでサービスを受けるために高いレベルのサービスに対して支払をする。
第3に、第1加入者は、第1加入者のトラフィックが、少なくとも一部分は、加入者の現在コンテキストの関数として第1タイプのセキュリティを必要とすることを決定するポリシーに基づいて第1タイプのセキュリティでサービスを受ける。加入者の現在コンテキストは、例えば、アプリケーション/サービスのタイプ、app、位置又は被呼者に基づく。例えば、機密性のワークコンタクトへの電話コールは、家族又は友人への電話コールとは異なる/より高いレベルのセキュリティを要求する。
別の例において、金融取引又は「プライベート」Facebook(登録商標)ビデオメッセージは、Netflix(登録商標)、Pandora(登録商標)又はSpotify(登録商標)からのストリーミング音楽/ビデオ、或いは全世界でアクセス可能なブロードキャストFacebook(登録商標)メッセージ又はYouTube(登録商標)アップロード又はダウンロードを伴うデータセッションとは異なるレベルのセキュリティを要求する。各アプリケーションは、それに関連した異なるセキュリティレベル属性(app、オペレーティングシステム(OS)、アプリケーションサーバー及び/又はユーザにより与えられ/設定可能である)を有する。更に、媒体の各断片は、それに関連した異なるセキュリティレベル属性を、例えば、前記Facebook(登録商標)例を含むメタデータに有するか、或いは「プライベート」なフラグ付きカレンダーアイテムについて考える。
別の規範的実施形態では、次の3つのレベルがある:(1)運営者によって提供されるWi−Fiである信頼性のあるWi−Fi;(2)信頼性のないWi−Fi;及び(3)セルラー。
規範的実施形態によれば、ネットワーク機能インスタンス化への加入者トラフィックの指定の管理は、異なるタイプのセキュリティを区別するための以下の規範的実施形態の1つ以上により可能とされる。
規範的実施形態では、セキュリティのタイプは、次のうちの少なくとも1つを含む。例えば、コール制御シグナリング、UE(訪問先セル)履歴へのアクセス、等を含めて、MMEネットワーク機能に関連した第1タイプのセキュリティ。
又、セキュリティのタイプは、例えば、サービングゲートウェイ選択を含めて、ベアラプレーンセキュリティで行うべき第2タイプのセキュリティも含む。セキュリティのタイプは、ゲートウェイの選択に影響を及ぼすが、MME機能選択は、要求されるセキュリティのタイプによる影響を受けない。この例では、シグナリングは、先ず、MMEへ進み、その後、要求されるセキュリティのタイプがベアラプレーン取り扱い/ゲートウェイ選択に影響を及ぼす。更に、各ネットワーク機能の「プロフィール」があり、例えば、コール制御及び位置を含めて、どんなタイプのセキュリティリスクが生じ得るかを示す。
図2は、ある実施形態により複数の値を各々有する異なるタイプ又は次元のセキュリティをもつ一例を示す。特に、図2は、シナリオA−Dと、各シナリオの対応するセキュリティタイプを、MME/制御プレーン、ベアラプレーン、SGi、及び規範的な使用ケースに対して示している。
規範的実施形態によれば、ネットワーク機能インスタンス化への加入者トラフィックの指定の管理は、種々の要素をレバレッジする以下の規範的実施形態の1つ以上により可能とされる。
1つの規範的実施形態では、専用の3GPPコアをレバレッジする専用コア規範的実施形態があり、各専用コアネットワークは、幾つかの特徴を共有するUE専用のものである。専用コアネットワークは、マシンタイプ装置の異なるニーズ及び特徴をサポートする。本発明のある規範的実施形態の状況では、これは、セキュリティ要求基準を可能にして、加入者/トラフィックを、適切なセキュリティレベルをもつ大型コアネットワークの適切なサブセットに関連付けるのに使用される。又、これは、異なる次元及び観点のセキュリティを含むように装置タイプ属性のリストを拡張することも含む。
ネットワーク機能インスタンス化への加入者トラフィックの指定を管理する解決策は、ある規範的実施形態によれば、サービスクオリティ(QoS)に基づいて拡張してセキュリティクオリティ(QoSec)を与える規範的実施形態をレバレッジする。このレバレッジは、例えば、(装置ごとにより静的ではなく)フローごとにより動的なレベルを更に可能にするためのPCRFのレバレッジを含む。それに加えて、レバレッジは、図2に示して上述したもののような異なる次元及び観点のセキュリティを含むためのQoS属性のリストの拡張も含む。
ネットワーク機能インスタンス化への加入者トラフィックの指定を管理する解決策は、ある規範的実施形態によれば、要求されるセキュリティレベル及び/又は信頼性を決定し且つ良好に推定するためにDPIを更にレバレッジする。別の規範的実施形態では、その解決策は、異なるタイプのセキュリティに対して個別のアクセスポイント名(APN)を使用する規範的実施形態をレバレッジする。更に別の規範的実施形態では、その解決策は、例えば、加入者プロフィールの一部分として要求されるセキュリティのタイプがSGW選択に影響を及ぼす規範的実施形態をレバレッジする。
規範的実施形態によれば、その解決策は、異なる公衆地上移動ネットワーク(PLMN)が異なるタイプ又はレベルのセキュリティに対応するような規範的実施形態をレバレッジする。換言すれば、その解決策は、例えば、ネットワークの部分的重畳部分へマッピングするPLMN値で無線アクセスネットワーク(RAN)共有技術をレバレッジすることにより可能とされる。更に、EnodeB(eNB)は、複数のコアアクセスを有し、ルート/コア選択は、PLMN(又は装置タイプ)に基づく。
規範的実施形態によれば、その解決策は、ネットワークのサービング部分が高いセキュリティに関連することを装置が認証(及び検証)するような規範的実施形態をレバレッジする。認証(及び検証)は、セキュリティ証明書、又はリストを伴うUEの事前構成、の少なくとも1つを使用するか、或いは、おそらく、上述した専用コアワークアイテムに関してコアの適切なサブセットを識別するために付加的な装置タイプ識別(ID)/マシンタイプ通信(MTC)装置タイプ能力をレバレッジする。
上述した第1のネットワークインスタンス化は、例えば、合法的傍受を遂行するに充分な高いセキュリティとしての分類に基づき適切なネットワークセキュリティタイプを有するとして識別されたネットワークインスタンス化である。
規範的実施形態によれば、クラウドの特定のネットワークハードウェアプラットホームで実行される特定のネットワーク機能に関連したセキュリティのレベルは、ネットワーク売主のホワイトリスト/ブラックリストポリシー、或いは地理的又は距離的ポリシーを含む。例えば、第1加入者又は加入者の企業は、特定の売主(例えば、ブラックリストに載せられた売主、又はその国の加入者がセキュリティにリスクがあると考えている売主)からのハードウェアで実行されるネットワーク機能の使用を除外するか又は好ましくは回避することを要求する。
同じシステムにおける2つの異なる加入者が2つの異なるブラックリストを有していることがある。例えば、第1加入者は、第1国により提供されるハードウェアのネットワーク機能をトラフィックが通過するのを回避することを希望し(例えば、X国からの加入者は、USからの売主により提供されるハードウェアをトラフィックが通過するのを回避することを希望し)、一方、第2加入者は、第2国により提供されるネットワーク機能をトラフィックが通過するのを回避することを希望する(例えば、Y国からの加入者は、中国を基点とする売主により提供されるハードウェアをトラフィックが通過するのを回避することを希望する)。これらの国々の例は、例示に過ぎず、特定の国々のリストを何ら推奨するものではない。
更に、ハードウェアが、例えば、ネットワーク機能の潜在的なホストである場合を含めて、クラウドのハードウェア要素ごとにプロフィールがある。このハードウェアプロフィールは、ハードウェア売主に関する特定の(認定可能な)情報を与え、種々のセキュリティ関連ポリシーを評価できるようにする。
規範的実施形態によれば、第1ネットワーク機能インスタンス化は、それが完全に運営者ネットワークの内部で実行されるという高いレベルのセキュリティを与える。他の規範的実施形態では、ネットワーク機能バーチャル化インスタンスは、短期メモリストレージの暗号化をレバレッジする他の戦略を通して、セキュリティを高め、容量を失うことがある。
規範的実施形態によれば、特定のネットワーク機能に関連したセキュリティ及び/又は信頼性レベルが低下し、それと共に同じハードウェアで実行される第三者アプリケーションの数が、マルチテナンシー増加のように増加し、セキュリティ/信頼性レベルメカニズムが高いほど、マルチテナンシーでそれと共に存在するそのようなアプリケーションの最大数の限界が低くなる。
規範的実施形態によれば、セキュリティ及び/又は信頼性レベルは、それを収容するハードウェアプラットホームが動的に変化するときに更に低下する。例えば、ハードウェアプラットホームが動的に変化し、高いセキュリティ/信頼性レベルメカニズムは、そのような動的な変化が生じるところの最大レートを上限として働くようになる。
規範的実施形態において、ワイヤレスプロバイダーによって与えられるセキュリティのレベルも(例えば、セルラーサービスオファーを与えるように一緒に働く全てのネットワーク機能を考慮して)、種々のファクタに基づいてセットされる。
第1に、eNBへの多数の、例えば、第三者の物理的アクセスがある場合には、あまりセキュアでないと考えられる。例えば、これは、eNBが、フェムトセル又は閉じた/開いた加入者グループシナリオと同様に、他の加入者の家のケーブルボックス内に本質的にある場合に該当する。ここで直感することは、この場合、ハードウェアを容易に変更でき又はおそらく変更できることがUEに分かるので、セキュリティリスクが生じ得る。
第2に、バックホール又はサイドホールがワイヤレスである場合には、あまりセキュアでないと考えられる。例えば、これは、ワイヤレスバックホールをもつ小型セルの場合である。又、これは、上述したように誰かの家/ケーブルボックス内にeNBがある場合に該当する。その理由は、それがあまりセキュアでないことである。というのは、適用される暗号保護が不充分であるときは、それが、光ファーバーバックホールではなくて、例えば、ワイヤレスでアクセスし易い場合、バックホールでの盗聴又は侵入のリスクが大きいからである。
第3に、RANの共有がある場合には、あまりセキュアでないと考えられる。例えば、2つの異なる運営者が同じeNBを共有している場合には、これは、大きなセキュリティリスクを招く。同様に、より多くの運営者が特定のセルラー電話塔を共有している場合にも、あまりセキュアでないと考えられ、これは、マクロセルの場合にしばしばそうであるが、小型セルでは、そうでもない。
第4に、ワイヤレス装置が整合型マルチポイント送信(COMP)を使用する場合にはあまりセキュアでないと考えられる。その理由は、ユーザとの通信に含まれるeNBが多いほど、潜在的な侵入ポイントが多いほど、従って、セキュリティが高いほど、潜在的に質低下が生じるからである。更に、ワイヤレス装置がWi−Fi及びLTEを経て同時に接続される場合には、あまりセキュアでないと考えられる。直感的には、いつでも、ある程度のトラフィックは、Wi−Fiを経て進み、大きなセキュリティリスクを招き得る。
第5に、別の規範的実施形態において、接続に対して次の3つの異なる信頼性レベルがある:(1)信頼性のないWi−Fi;(2)信頼性のあるWi−Fi(例えば、運営者により提供されるWi−Fi);及び(3)セルラー。更に、複数のセルラー信頼性レベルがあり、ホームオペレータは、信頼性が高く、そして例えば、特定の外国を訪問しているときのローミングセルラーオペレータは、信頼性が低い。
第6に、UE高周波(RF)送信をより「広く」観察できる場合には、あまりセキュアでないと考えられる。より多くの他のUEがキャンピングし又はその特定のeNBを経て接続される場合には、あまりセキュアでないと考えられる。ここで直感的に、同じeNBを共有しているより多くの他の装置は、増分的により多くのセキュリティリスクを招く。又、これは、UEがそのサービング塔から遠く離れている場合にはUE送信電力(eNBへの)が高くなるという更に大きなセキュリティ/信頼性の問題を招く。ここで、セキュリティ/信頼性について直感的に、より少ない他の装置は、UEが塔に接近しているために移動装置が低い電力で送受信する場合には、潜在的にそのトラフィックを観察することができる。このように、サービングセル塔に接近して及び/又は比較的軽い負荷のセルにおいてワイヤレストラフィックを交換するときには、高いRF及びエネルギー効率と、高いセキュリティとの両方になる。
規範的実施形態によれば、ネットワーク機能インスタンス化への加入者トラフィックの指定の管理は、上述した第1及び第2の両ネットワーク機能インスタンス化が、例えば、遅延要件の観点から加入者(一人/複数)の他の要件を満足するように遂行される。換言すれば、本発明の幾つかの規範的実施形態は、両インスタンス化が、例えば、加入者への接近性又はレイテンシーに関して加入者のニーズを満足するが、2つのインスタンス化が上述した異なるレベル又はタイプのセキュリティを与えるようにネットワーク機能インスタンス化への指定をプライオリティ決めするように働く。
図3は、ある規範的実施形態によるシステムの一例を示す。1つの規範的実施形態において、システムは、例えば、少なくとも装置310、320及び330のような複数のデバイスを備えている。
装置310は、UE、セルラーホン、スマートホン、パーソナルデジタルアシスタント、テーブルトップコンピュータ、パーソナルコンピュータ、ラップトップコンピュータ、ミニタブレットコンピュータ、タブレットコンピュータ等のターミナルデバイスである。装置320は、MME、SGW、PCRF、DPI、又はアプリケーション最適化機能SGi、等の任意のタイプのネットワーク機能である。更に、装置330は、通信ネットワークにおけるノード、ホスト又はサーバーであり、又はそのようなネットワークにサービスする。例えば、ある規範的実施形態では、装置330は、ネットワーク要素、無線アクセスネットワークのためのアクセスノード、例えば、UMTSにおけるベースステーション、或いはLTE又はLTE−AにおけるeNBである。しかしながら、他の規範的実施形態では、装置330は、無線アクセスネットワーク内の他のコンポーネントでもよい。
これらデバイスの各々は、情報を処理しそしてインストラクション又はオペレーションを実行するための少なくとも1つのプロセッサ、314、324及び334で各々示す、を備えている。プロセッサ314、324及び334は、任意のタイプの汎用又は特殊目的プロセッサである。図3には、デバイスごとに単一のプロセッサ314、324及び334が示されているが、他の規範的実施形態ではデバイスごとに複数のプロセッサが使用されてもよい。実際に、プロセッサ314、324及び334は、汎用コンピュータ、特殊目的コンピュータ、マイクロプロセッサ、中央処理ユニット(CPU)、デジタル信号プロセッサ(DSP)、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、及び例えば、マルチコアプロセッサアーキテクチャーに基づくプロセッサ、又は他の同等のデバイスを含む。
プロセッサは、単一のコントローラとして、或いは複数のコントローラ又はプロセッサとして実施することができる。又、プロセッサは、これに限定されないが、アンテナ利得/位相パラメータの事前コード化、通信メッセージを構成する個々のビットのエンコード及びデコード、情報のフォーマット化、並びに通信リソースの管理に関連したプロセスを含むシステムの全体的な制御を含めて、システムのオペレーションに関連した機能も遂行することができる。
各デバイスには少なくとも1つのメモリ(内部又は外部)が設けられ、315、325及び335で各々示されている。メモリには、コンピュータプログラムインストラクション又はコンピュータコードが含まれる。プロセッサ314、324及び334、並びにメモリ315、325及び335、又はそのサブセットは、図1及び5に示す種々のブロック及びプロセスに対応する手段を与えるように構成できる。
メモリ315、325及び335は、独立した適当なストレージデバイス、例えば、非一時的コンピュータ読み取り可能な媒体である。ハードディスクドライブ(HDD)、ランダムアクセスメモリ(RAM)、フラッシュメモリ又は他の適当なメモリを使用することができる。メモリは、単一の集積回路上にプロセッサとして結合することもできるし、或いは1つ以上のプロセッサとは個別のものでもよい。更に、メモリに記憶されてプロセッサにより処理されるコンピュータプログラムインストラクションは、適当な形態のコンピュータプログラムコード、例えば、適当なプログラミング言語で書かれたコンパイル型又は解釈型コンピュータプログラムである。
メモリ及びコンピュータプログラムインストラクションは、特定デバイスのプロセッサとで、装置310、320及び330のようなハードウェア装置が、ここに述べるいずれのプロセス(例えば、図1及び5を参照)も遂行するようにさせるよう構成される。それ故、ある規範的実施形態では、非一時的なコンピュータ読み取り可能な媒体は、ハードウェアで実行されたときに、ここに述べるプロセスの1つのようなプロセスを遂行するコンピュータインストラクションでエンコードされる。或いは又、本発明のある規範的実施形態は、完全にハードウェアで遂行することもできる。
図3に示すように、トランシーバ316、326及び336が設けられ、各デバイスは、317、327及び337で各々示すアンテナも備えている。例えば、それらデバイスの他の構成も考えられる。
トランシーバ316、326及び336は、各々、独立した送信器、受信器又は送受信器であるか或いは送信及び受信の両方のために構成されたユニット又はデバイスである。例えば、トランシーバ316、326及び336は、アンテナ317、327及び337により送信するために搬送波に情報を変調し、及び図3に示すシステムの他の要素により更に処理するためにアンテナ317、327及び337を経て受信した情報を復調するように構成される。他の規範的実施形態では、トランシーバ316、326及び336は、信号又はデータを直接的に送信及び受信することができる。
図3は、装置310、320及び330を備えたシステムを示すが、本発明の規範的実施形態は、他の構成、及び付加的な要素を伴う構成にも適用可能である。例えば、図示されていないが、図1に示す付加的なUE、eNB、MME及び/又は要素が存在してもよい。
上述したように、1つの規範的実施形態によれば、図3に示すシステムは、例えば、ネットワーク機能である装置320を備えている。規範的実施形態では、装置320は、上述した種々の機能を遂行するためメモリ325及びプロセッサ324により制御される。
規範的実施形態において、装置320は、第1タイプのセキュリティを与えるように第1ネットワーク機能の第1インスタンス化を構成するためにメモリ325及びプロセッサ324により制御される。又、装置320は、第1タイプのセキュリティとは異なる第2タイプのセキュリティを与えるように第1ネットワーク機能の第2インスタンス化を構成するためにメモリ325及びプロセッサ324により制御される。更に、装置320は、加入者トラフィックの少なくとも幾つかを第1インスタンス化に割り当てるためにメモリ325及びプロセッサ324により制御される。
規範的実施形態によれば、加入者トラフィックを第1インスタンス化に割り当てることは、第1ネットワーク機能のセキュリティ要求に基づく。別の規範的実施形態によれば、第1ネットワーク機能の第1インスタンス化は、第1ネットワーク機能の第2インスタンス化よりセキュリティレベルが高い。
又、規範的実施形態において、装置320は、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティを決め、及び第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの取り扱いのプライオリティを決めるためにメモリ325及びプロセッサ324により制御される。規範的実施形態によれば、前記プライオリティ決めは、第2タイプのセキュリティ要求を伴う第2加入者よりも高い第1タイプのセキュリティ要求を伴う第1加入者に基づく。
規範的実施形態によれば、第1タイプのセキュリティ及び第2タイプのセキュリティは、各々、ユーザごと、加入者ごと、又は企業のポリシーごと、特定のセキュリティレベルに対する支払、又は第1及び第2加入者の現在コンテキスト、のうちの少なくとも1つに基づき構成される。規範的実施形態において、第2加入者のコンテキストは、実施されるアプリケーション/サービスのタイプ、使用されるアプリケーションのタイプ、第2加入者の位置、又は第2加入者が到達を試みる被呼者に基づく。
規範的実施形態によれば、第1タイプのセキュリティは、例えば、コール制御シグナリング及びUE履歴へのアクセスを含めて、移動管理エンティティネットワーク機能に関連している。更に、第2タイプのセキュリティは、例えば、SGW選択を含めて、ベアラプレーンセキュリティに関連している。更に、セキュリティのタイプ及び/又はレベルに対して種々の必要性を有する複数の加入者がいる。例えば、第1、第2、第3、及び第4の加入者が存在することがある。第1加入者は、高いレベルの移動管理セキュリティを必要とし、第2加入者は、高いレベルのベアラプレーンセキュリティを必要とし、第3加入者は、高いレベルの移動管理及びベアラプレーンの両セキュリティを必要とし、そして第4加入者は、通常レベルのセキュリティしか必要としない。
規範的実施形態において、第1ネットワーク機能に関連したセキュリティのレベルは、ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、第1ネットワーク機能と共に同じハードウェアで実行される第三者アプリケーションの数に基づくセキュリティレベルの低下、及びハードウェアプラットホームがそのハードウェアプラットホームの動的な変化に基づいて前記第1ネットワーク機能をホストするときのセキュリティレベルの低下、を含む。
別の規範的実施形態において、第1ネットワーク機能に与えられるセキュリティのレベルは、ネットワーク要素への第三者アクセス、運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、ネットワーク要素の無線アクセスネットワーク共有の存在、マルチポイント送信の存在、Wi−Fiに対応する信頼性レベル、及びネットワーク要素に接続されたユーザ装置の数、の少なくとも1つに基づいて与えられる。
図4は、ある規範的実施形態による装置410を示す。1つの規範的実施形態では、装置410は、図3に関連して上述したネットワーク機能である。当業者であれば、装置410は、図4に示されていない他のコンポーネント又は特徴を含むことが理解されよう。更に、装置410は、信号及び/又はデータを装置410から送信しそして装置410へ受信するための1つ以上のアンテナ420を備えている。
図4に示すように、装置410は、第1タイプのセキュリティを与えるように第1ネットワーク機能の第1インスタンス化を構成し、及び第1タイプのセキュリティとは異なる第2タイプのセキュリティを与えるように第1ネットワーク機能の第2インスタンス化を構成するように構成された構成ユニット430を備えている。又、装置410は、加入者トラフィックの少なくとも幾つかを第1インスタンス化に割り当てるように構成された割り当てユニット440も備えている。更に、装置410は、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティを決め及び第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの取り扱いのプライオリティを決めるように構成されたプライオリティ決めユニット450も備えている。
図5は、ある規範的実施形態による方法の規範的フローチャートである。ある規範的実施形態では、図5の方法は、上述したようなネットワーク機能により遂行される。この方法は、510において、第1タイプのセキュリティを与えるように第1ネットワーク機能の第1インスタンス化を構成することを含む。又、この方法は、520において、第1タイプのセキュリティとは異なる第2タイプのセキュリティを与えるように第1ネットワーク機能の第2インスタンス化を構成することも含む。更に、この方法は、530において、加入者トラフィックの少なくとも幾つかを第1インスタンス化に割り当てることも含む。又、この方法は、540において、第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの取り扱いのプライオリティを決めることも含む。更に、この方法は、550において、第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの取り扱いのプライオリティを決めることも含む。
本発明の規範的実施形態は、いくつかの技術的改善を提供する。例えば、最大レベルのクラウド/ネットワーク機能バーチャル化を達成すると同時に、その最高レベルのセキュリティをそれらの特殊なケースに与えることができる。この最高レベルのセキュリティを全てのトラフィックに常時与えると、ネットワーク機能バーチャル化で達成できる容量及び多重化利得が著しく低下する。さもなければ、セキュリティオーバーレイをここに請求するように合体せずにクラウドをネットワーク機能バーチャル化で使用する解決策で進むと、全ての顧客のニーズが満足されない結果となる。
更に、ビデオ/オーディオストリーミングトラフィックが高いレベルのセキュリティを要求しない場合は、トラフィックのこの大きな部分の容量の影響が著しく低下する一方、他の重要タイプのトラフィックに与えられるセキュリティレベルの低下はない。例えば、ネットワーク機能のための最もセキュアなクラウド環境を与えることで、トラフィックごと又は加入者ごとのそのネットワーク機能のコストが倍増する場合には、それを要求するトラフィックのみに対して最もセキュアなネットワーク機能を使用することにより、ネットワーク機能に対するクラウド解決策の全容量又はコストを50%以上改善することができ、これは、ビデオ/オーディオストリーミングが、典型的に、例えば、今日のワイヤレスネットワークにより搬送されるトラフィック量の大部分である場合を含む。
更に、本発明のある規範的実施形態によれば、適切なレベルのセキュリティを与えると同時に、クラウドにおけるネットワーク機能バーチャル化の利点を最大限利用し、例えば、クラウド環境内で考えられる多重化利得を利用することができる。更に、メカニズムは、標準的な変更を伴い及び伴わずに実施されてもよい。
更に、1つの重要な領域の利点は、容量的に「過剰投資」する必要性を回避しつつ収益損失を防止するために必要容量をリアルタイムでマッチングさせるという非常に良好なジョブをクラウドベースの解決策で実行できるので、低い利用率(リソース、エネルギー、容量及び収益浪費)を回避するようにクラウドをレバレッジできることである。換言すれば、クラウドベース付与に向かう大きな動機は、多重化利得の改善/そうでなければアイドル状態となる装置を使用できることである。例えば、これは、ピーク時間及び他の更に珍しい且つ予想できないネットワーク「イベント」に対する設計によりシステムの容量を確保する必要性を軽減する。マルチテナンシー及び相対的ピーク負荷の平坦化は、この「共有環境」において共有インフラストラクチャー上で非常に多数の組織及びユーザがサービスを受ける場合に利益を生み出す。動的なプロビジョニングは、実際の需要に良好にマッチングしたリソース及びサーバーを計算する際に浪費を更に減少する。又、これは、改善された冷却及び電力コンディショニングを通して電力損失を減少する設計を可能にするので、データセンターの効率も改善できる。
更に、バーチャル化ネットワーク機能の1つの焦点は、コアにおけるネットワーク機能である。例えば、1時間当りのユーザ装置当りのメッセージに関して移動ネットワーク運営者の広い機能組内のMME、PDN/SGW及び他のネットワーク要素にわたるネットワーク利用変動を見ることができる。長期間にわたり、クラウドは、eNBまでずっと延びる機能に対して益々大きな影響を及ぼし、特定のセルが他のセルよりも著しく混雑する状態で、ネットワーク利用の非均一な空間的密度分布から更に大きな浪費が生じる。例えば、ある規範的システムでは、ネットワークの重負荷セルの15%がセルシステムの容量限界を決定する。
更に、ネットワークの弾力性及び柔軟性において、クラウドベースの解決策は、局所的なハードウェア故障に直面してネットワーク弾力性に関して更に付加的な利益を生み出すことができる。加えて、アップグレード及び新規特徴の展開間隔は、クラウドベースの解決策では短いことが予想される。更に、エネルギー効率の場において著しい機会がある。
当業者であれば、上述した本発明は、異なる順序のステップで、及び/又はここに開示されたものとは異なる構成のハードウェア要素で実施されてもよいことが容易に理解されよう。それ故、本発明は、規範的実施形態に基づいて述べたが、本発明の精神及び範囲から逸脱せずに、幾つかの修正、変更及び代替的構造が当業者に明らかであろう。それ故、本発明の限界及び境界を決定するためには、特許請求の範囲を参照されたい。
用語
3GPP:第3世代パートナーシッププロジェクト
ASIC:特定用途向け集積回路
CAPEX:資本支出
COMP:整合型マルチポイント送信
CPU:中央処理ユニット
DSP:デジタル信号プロセッサ
EDGE:エンハンストデータレート・フォー・GSMエボルーション
eNB:進化型NodeB
E−UTRAN:進化型UTRAN
FDD:周波数分割デュープレックス
FPGA:フィールドプログラマブルゲートアレイ
HDD:ハードディスクドライブ
GERAN:GSM EDGE無線アクセスネットワーク
GSM:移動通信用グローバルシステム
HSS:ホーム加入者サーバー
IP:インターネットプロトコル
IMEI:国際移動装置アイデンティティ
IMEISV:IMEIソフトウェアバージョン
LI:合法的傍受
LTE:長期進化
Mbps:メガビット/秒
MME:移動管理エンティティ
MTC:マシンタイプ通信
OPEX:運転支出
OS:オペレーティングシステム
PLMN:公衆地上移動ネットワーク
PDN GW:パケットデータネットワークゲートウェイ
QoS:サービスクオリティ
QoSec:セキュリティクオリティ
RAN:無線アクセスネットワーク
RAM:ランダムアクセスメモリ
RF:高周波
RNC:無線ネットワークコントローラ
RNS:無線ネットワークサブシステム
ROM:リードオンリメモリ
SGSN:サービング汎用パケット無線サービスサポートノード
SGW:サービングゲートウェイ
S/P−GW:サービング/パケットデータネットワークゲートウェイ
TDD:時分割デュープレックス
TPM:信頼型プラットホームモジュール
UE:ユーザ装置
UMTS:ユニバーサル移動テレコミュニケーションシステム
UTRAN:ユニバーサル移動テレコミュニケーションシステム
RAN:無線アクセスネットワーク
3GPP:第3世代パートナーシッププロジェクト
ASIC:特定用途向け集積回路
CAPEX:資本支出
COMP:整合型マルチポイント送信
CPU:中央処理ユニット
DSP:デジタル信号プロセッサ
EDGE:エンハンストデータレート・フォー・GSMエボルーション
eNB:進化型NodeB
E−UTRAN:進化型UTRAN
FDD:周波数分割デュープレックス
FPGA:フィールドプログラマブルゲートアレイ
HDD:ハードディスクドライブ
GERAN:GSM EDGE無線アクセスネットワーク
GSM:移動通信用グローバルシステム
HSS:ホーム加入者サーバー
IP:インターネットプロトコル
IMEI:国際移動装置アイデンティティ
IMEISV:IMEIソフトウェアバージョン
LI:合法的傍受
LTE:長期進化
Mbps:メガビット/秒
MME:移動管理エンティティ
MTC:マシンタイプ通信
OPEX:運転支出
OS:オペレーティングシステム
PLMN:公衆地上移動ネットワーク
PDN GW:パケットデータネットワークゲートウェイ
QoS:サービスクオリティ
QoSec:セキュリティクオリティ
RAN:無線アクセスネットワーク
RAM:ランダムアクセスメモリ
RF:高周波
RNC:無線ネットワークコントローラ
RNS:無線ネットワークサブシステム
ROM:リードオンリメモリ
SGSN:サービング汎用パケット無線サービスサポートノード
SGW:サービングゲートウェイ
S/P−GW:サービング/パケットデータネットワークゲートウェイ
TDD:時分割デュープレックス
TPM:信頼型プラットホームモジュール
UE:ユーザ装置
UMTS:ユニバーサル移動テレコミュニケーションシステム
UTRAN:ユニバーサル移動テレコミュニケーションシステム
RAN:無線アクセスネットワーク
310、320、330:装置
314、324、334:プロセッサ
315、325、335:メモリ
316、326、336:トランシーバ
317、327、337:アンテナ
410:装置
420:アンテナ
430:構成ユニット
440:割り当てユニット
450:プライオリティ決めユニット
314、324、334:プロセッサ
315、325、335:メモリ
316、326、336:トランシーバ
317、327、337:アンテナ
410:装置
420:アンテナ
430:構成ユニット
440:割り当てユニット
450:プライオリティ決めユニット
Claims (17)
- 移動管理エンティティ又はサービングゲートウェイによって加入者トラフィックを割り当てる方法において、
第1タイプのセキュリティレベルを与えるように前記移動管理エンティティ又は前記サービングゲートウェイの第1ネットワーク機能の第1インスタンス化を構成し、
前記第1タイプのセキュリティレベルとは異なる第2タイプのセキュリティレベルを与えるように前記第1ネットワーク機能の第2インスタンス化を構成し、及び
前記加入者トラフィックの少なくとも幾つかを前記第1インスタンス化に割り当て、
前記第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの処理のプライオリティを決め、及び
前記第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの処理のプライオリティを決める、ことを含む方法。 - 前記加入者トラフィックを第1インスタンス化に割り当てることは、前記第1ネットワーク機能のセキュリティ要求に基づく、請求項1に記載の方法。
- 前記第1タイプのセキュリティレベル及び第2タイプのセキュリティレベルは、各々、
ユーザごと、加入者ごと、又は企業のポリシーごと、
特定のセキュリティレベルに対する支払、又は
第1及び第2加入者の現在コンテキスト、
のうちの少なくとも1つに基づいて構成される、請求項1から2のいずれか1項に記載の方法。 - 前記第1タイプのセキュリティレベルは、移動管理エンティティネットワーク機能に関連し、及び
前記第2タイプのセキュリティレベルは、ベアラプレーンに関連している、請求項1から3のいずれか1項に記載の方法。 - 前記第1ネットワーク機能によって与えられるセキュリティのレベルは、
ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、及び
運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、を含む、請求項1から4のいずれか1項に記載の方法。 - 前記第1ネットワーク機能によって与えられるセキュリティのレベルは、
ネットワーク要素への第三者アクセス、
運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、
ネットワーク要素の無線アクセスネットワーク共有の存在、
マルチポイント送信の存在、
Wi−Fiに対応する信頼性レベル、及び
ネットワーク要素に接続されたユーザ装置の数、
の少なくとも1つに基づいて与えられる、請求項1から5のいずれか1項に記載の方法。 - 加入者トラフィックを割り当てる装置であって、
少なくとも1つのプロセッサ、及び
コンピュータプログラムコードを含む少なくとも1つのメモリを備えた装置において、少なくとも1つのメモリ及びコンピュータプログラムコードは、少なくとも1つのプロセッサとで、装置が、少なくとも、
第1タイプのセキュリティレベルを与えるように前記装置の第1ネットワーク機能の第1インスタンス化を構成し、
第1タイプのセキュリティレベルとは異なる第2タイプのセキュリティレベルを与えるように第1ネットワーク機能の第2インスタンス化を構成し、及び
加入者トラフィックの少なくとも幾つかを前記第1インスタンス化に割り当て、
前記第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの処理のプライオリティを決め、及び
前記第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの処理のプライオリティを決める、
ようにさせるよう構成された装置。 - 前記加入者トラフィックを第1インスタンス化に割り当てることは、前記第1ネットワーク機能のセキュリティ要求に基づく、請求項7に記載の装置。
- 前記第1タイプのセキュリティレベル及び第2タイプのセキュリティレベルは、各々、
ユーザごと、加入者ごと、又は企業のポリシーごと、
特定のセキュリティレベルに対する支払、又は
第1及び第2加入者の現在コンテキスト、
のうちの少なくとも1つに基づいて構成される、請求項7から8のいずれか1項に記載の装置。 - 前記第1タイプのセキュリティレベルは、移動管理エンティティのネットワーク機能に関連し、及び
前記第2タイプのセキュリティレベルは、ベアラプレーンに関連している、請求項7から9のいずれか1項に記載の装置。 - 前記第1ネットワーク機能によって与えられるセキュリティのレベルは、
ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、
運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、を含む、請求項7から10のいずれか1項に記載の装置。 - 前記第1ネットワーク機能によって与えられるセキュリティのレベルは、
ネットワーク要素への第三者アクセス、
運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、
ネットワーク要素の無線アクセスネットワーク共有の存在、
マルチポイント送信の存在、
Wi−Fiに対応する信頼性レベル、及び
ネットワーク要素に接続されたユーザ装置の数、
の少なくとも1つに基づき与えられる、請求項7から11のいずれか1項に記載の装置。 - 加入者トラフィックを割り当てる装置において、
第1タイプのセキュリティレベルを与えるように前記装置の第1ネットワーク機能の第1インスタンス化を構成するための構成手段、
前記第1タイプのセキュリティレベルとは異なる第2タイプのセキュリティレベルを与えるように前記第1ネットワーク機能の第2インスタンス化を構成するための構成手段、
前記加入者トラフィックの少なくとも幾つかを前記第1インスタンス化に割り当てるための割り当て手段、
前記第1ネットワーク機能の第1インスタンス化による第1加入者のトラフィックの処理のプライオリティを決めるためのプライオリティ手段、及び
前記第1ネットワーク機能の第2インスタンス化による第2加入者のトラフィックの処理のプライオリティを決めるためのプライオリティ手段、
を備えた装置。 - 前記第1タイプのセキュリティレベル及び第2タイプのセキュリティレベルは、各々、
ユーザごと、加入者ごと、又は企業のポリシーごと、
特定のセキュリティレベルに対する支払、又は
第1及び第2加入者の現在コンテキスト、
のうちの少なくとも1つに基づいて構成される、請求項13に記載の装置。 - 前記第1タイプのセキュリティレベルは、移動管理エンティティのネットワーク機能に関連し、及び
前記第2タイプのセキュリティレベルは、ベアラプレーンに関連している、請求項13から14のいずれか1項に記載の装置。 - 前記第1ネットワーク機能によって与えられるセキュリティのレベルは、
ネットワーク売主ホワイトリスト/ブラックリストポリシー或いは地理的又は距離的ポリシー、及び
運営者ネットワークの完全に内部で実行されるより高いセキュリティレベル、を含む、請求項13から15のいずれか1項に記載の装置。 - 前記第1ネットワーク機能によって与えられるセキュリティのレベルは、
ネットワーク要素への第三者アクセス、
運営者ネットワークのバックホール又はサイドホールがワイヤレスであること、
ネットワーク要素の無線アクセスネットワーク共有の存在、
マルチポイント送信の存在、
Wi−Fiに対応する信頼性レベル、及び
ネットワーク要素に接続されたユーザ装置の数、
の少なくとも1つに基づいて与えられる、請求項13から16のいずれか1項に記載の装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/028533 WO2016175835A1 (en) | 2015-04-30 | 2015-04-30 | Multi-security levels/traffic management across multiple network function instantiations |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018523332A JP2018523332A (ja) | 2018-08-16 |
| JP6526834B2 true JP6526834B2 (ja) | 2019-06-05 |
Family
ID=53175658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017556825A Active JP6526834B2 (ja) | 2015-04-30 | 2015-04-30 | 複数のネットワーク機能インスタンス化にわたるマルチセキュリティレベル/トラフィック管理 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10362040B2 (ja) |
| EP (1) | EP3289748B1 (ja) |
| JP (1) | JP6526834B2 (ja) |
| CN (1) | CN107810623B (ja) |
| WO (1) | WO2016175835A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017071834A1 (en) * | 2015-10-30 | 2017-05-04 | Nec Europe Ltd. | Method for offloading data-plane functions in networks operated with data-plane/control-plane separated network functions |
| US10594734B1 (en) | 2017-04-21 | 2020-03-17 | Palo Alto Networks, Inc. | Dynamic per subscriber policy enablement for security platforms within service provider network environments |
| US10601776B1 (en) | 2017-04-21 | 2020-03-24 | Palo Alto Networks, Inc. | Security platform for service provider network environments |
| US10455016B2 (en) * | 2017-04-26 | 2019-10-22 | Motorola Solutions, Inc. | Methods and systems for merging isolated networks |
| US10708306B2 (en) | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
| US10812532B2 (en) | 2017-06-15 | 2020-10-20 | Palo Alto Networks, Inc. | Security for cellular internet of things in mobile networks |
| US10693918B2 (en) * | 2017-06-15 | 2020-06-23 | Palo Alto Networks, Inc. | Radio access technology based security in service provider networks |
| US11050789B2 (en) | 2017-06-15 | 2021-06-29 | Palo Alto Networks, Inc. | Location based security in service provider networks |
| US10721272B2 (en) | 2017-06-15 | 2020-07-21 | Palo Alto Networks, Inc. | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks |
| US10834136B2 (en) | 2017-06-15 | 2020-11-10 | Palo Alto Networks, Inc. | Access point name and application identity based security enforcement in service provider networks |
| US11743729B2 (en) * | 2020-07-06 | 2023-08-29 | T-Mobile Usa, Inc. | Security system for managing 5G network traffic |
| WO2022027512A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 接入网管理配置的方法、系统及装置 |
| CN113556288B (zh) * | 2021-07-23 | 2022-10-28 | 中国科学技术大学苏州高等研究院 | 多租户云中服务功能链路由更新装置和方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040235452A1 (en) * | 2003-05-22 | 2004-11-25 | Fischer Michael Andrew | Network access point for providing multiple levels of security |
| US7937761B1 (en) * | 2004-12-17 | 2011-05-03 | Symantec Corporation | Differential threat detection processing |
| US20070124244A1 (en) * | 2005-11-29 | 2007-05-31 | Motorola, Inc. | Traffic analyzer and security methods |
| WO2008008536A2 (en) * | 2006-07-14 | 2008-01-17 | United States Postal Service | Operation awareness system |
| JP4594969B2 (ja) | 2007-08-28 | 2010-12-08 | 株式会社バッファロー | 無線lan用アクセスポイント、プログラムおよび記録媒体 |
| US20090205046A1 (en) | 2008-02-13 | 2009-08-13 | Docomo Communications Laboratories Usa, Inc. | Method and apparatus for compensating for and reducing security attacks on network entities |
| US8229812B2 (en) * | 2009-01-28 | 2012-07-24 | Headwater Partners I, Llc | Open transaction central billing system |
| US8589541B2 (en) * | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| EP2504985B1 (en) * | 2009-11-23 | 2019-02-27 | Telefonaktiebolaget LM Ericsson (publ) | Access control according to a policy defined for a group of associated electronic devices comprising a cellular modem |
| US20130042298A1 (en) * | 2009-12-15 | 2013-02-14 | Telefonica S.A. | System and method for generating trust among data network users |
| US20110161657A1 (en) * | 2009-12-31 | 2011-06-30 | Verizon Patent And Licensing Inc. | Method and system for providing traffic hashing and network level security |
| US8675678B2 (en) * | 2010-09-10 | 2014-03-18 | The Johns Hopkins University | Adaptive medium access control |
| US8880869B1 (en) * | 2010-11-22 | 2014-11-04 | Juniper Networks, Inc. | Secure wireless local area network (WLAN) for data and control traffic |
| US8989000B2 (en) * | 2012-12-04 | 2015-03-24 | Verizon Patent And Licensing Inc. | Cloud-based telecommunications infrastructure |
| CN104349317A (zh) * | 2013-07-31 | 2015-02-11 | 中兴通讯股份有限公司 | 一种移动网络的接入方法、ue、安全服务网关和系统 |
| US9565027B2 (en) * | 2013-08-23 | 2017-02-07 | Futurewei Technologies, Inc. | Multi-destination traffic control in multi-level networks |
| CN104753857B (zh) * | 2013-12-26 | 2018-03-09 | 华为技术有限公司 | 网络流量控制设备及其安全策略配置方法及装置 |
-
2015
- 2015-04-30 CN CN201580081393.6A patent/CN107810623B/zh active Active
- 2015-04-30 US US15/570,646 patent/US10362040B2/en active Active
- 2015-04-30 WO PCT/US2015/028533 patent/WO2016175835A1/en active Application Filing
- 2015-04-30 EP EP15722343.9A patent/EP3289748B1/en active Active
- 2015-04-30 JP JP2017556825A patent/JP6526834B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20180295138A1 (en) | 2018-10-11 |
| EP3289748B1 (en) | 2022-03-23 |
| US10362040B2 (en) | 2019-07-23 |
| CN107810623A (zh) | 2018-03-16 |
| WO2016175835A1 (en) | 2016-11-03 |
| JP2018523332A (ja) | 2018-08-16 |
| CN107810623B (zh) | 2021-07-23 |
| EP3289748A1 (en) | 2018-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6526834B2 (ja) | 複数のネットワーク機能インスタンス化にわたるマルチセキュリティレベル/トラフィック管理 | |
| US11019528B2 (en) | Method and system for admission control with network slice capability | |
| US10462828B2 (en) | Policy and billing services in a cloud-based access solution for enterprise deployments | |
| US11316855B2 (en) | Systems and methods for private network authentication and management services | |
| US11589401B2 (en) | Systems and methods for ran slicing in a wireless access network | |
| CN109618335B (zh) | 一种通信方法及相关装置 | |
| KR102190310B1 (ko) | 로컬 운영자에 의한 서비스 프로비저닝 | |
| US11736981B2 (en) | Method, apparatus and computer readable media for enforcing a rule related to traffic routing | |
| US11310151B2 (en) | System and method for managing lookups for network repository functions | |
| US10764918B2 (en) | Wireless communication framework for multiple user equipment | |
| US10827416B2 (en) | Multi-operator spectrum resource sharing management | |
| US8264978B1 (en) | System and method for operating a wireless communication system to process packet payloads to determine RF signal adjustments | |
| US12022576B2 (en) | Cloud-based interworking gateway service | |
| US10873953B2 (en) | Computing channel state information in a 5G wireless communication system in 4G spectrum frequencies | |
| US20220078862A1 (en) | Method and system for policy and subscription influenced always-on pdu sessions | |
| US11606303B1 (en) | Device initiated quality of service | |
| US20210022204A1 (en) | Methods and apparatuses for accessing a service outside a mobile communications network in a multipath connection | |
| US20240073745A1 (en) | Systems and methods for network-based slice access authorization | |
| US11470468B2 (en) | Systems and methods for providing access to shared networks in a private network through a provider network | |
| KR20180040328A (ko) | 무선 엑세스 네트워크에서 QoS를 적용하는 방법 및 장치 | |
| US20230354165A1 (en) | System and method for dynamic network slice subscription and creation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181114 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181126 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190408 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190508 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6526834 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |