JP7027348B2 - モバイルエッジにおけるコンピューティングのためのプラットフォーム - Google Patents

モバイルエッジにおけるコンピューティングのためのプラットフォーム Download PDF

Info

Publication number
JP7027348B2
JP7027348B2 JP2018563761A JP2018563761A JP7027348B2 JP 7027348 B2 JP7027348 B2 JP 7027348B2 JP 2018563761 A JP2018563761 A JP 2018563761A JP 2018563761 A JP2018563761 A JP 2018563761A JP 7027348 B2 JP7027348 B2 JP 7027348B2
Authority
JP
Japan
Prior art keywords
platform
network
mec
appliance
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018563761A
Other languages
English (en)
Other versions
JP2019515609A (ja
Inventor
ロス・ニコラス
パイク・ロバート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2019515609A publication Critical patent/JP2019515609A/ja
Priority to JP2022021984A priority Critical patent/JP7415186B2/ja
Application granted granted Critical
Publication of JP7027348B2 publication Critical patent/JP7027348B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W16/00Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
    • H04W16/18Network planning tools
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/344Out-of-band transfers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本特許出願は、参照することによりその全体として本明細書に組み込まれる、2016年2月25日に出願された同時係属米国仮特許出願第62/299,673号の利益を主張する。
本発明の実施形態は、モバイルネットワーク周辺地域において及び/又はモバイルネットワーク周辺地域の近くで計算リソースを提供するためのソフトウェア構成要素及びハードウェア構成要素のプラットフォームに関する。
ネットワークシステム、及び特に無線ネットワークシステム/構造では、ネットワーク周辺地域は、ネットワークのプライベート管理側とネットワークのプロバイダ管理側との間の境界に存在する。モバイル技術及びクラウド技術以前、ネットワーク周辺地域は、プライベートに管理されるネットワークからのサービスが及ぶ、プライベートに管理されるネットワーク(例えば、キャンパス又はオフィスビルの物理的な境界)のサービスの限界であった。しかしながら、モバイル技術及び/又はクラウド技術の到来を受けて、ネットワーク周辺地域はより不定形となり、「物理的な」サービスの限界を越えて広がってきたが、依然としてプライベートに管理されるプラットフォームに限定されている。例えば、クライアントデバイスは法人オフィスから離れた位置で操作されているため、クライアントデバイスは、公に管理されているネットワークの範囲内にある間もプライベートに管理されるネットワークで動作する場合がある。したがって、モバイル技術及びクラウド技術により、クライアントデバイス及びアプリケーションは、ネットワーク周辺地域が、信頼されるプライベートに管理されるネットワークと信頼できない公に管理されるネットワークとの間の境界である場合がある拡大ネットワークで動作する場合がある。
ネットワーク周辺地域において及び/又は近くで計算リソースを提供すると、セキュリティを損なう場合がある信頼できない及び/又は敵対する環境の中での動作につながる場合がある。しかも、セキュリティと操作有効性のバランスをとることは、ネットワーク周辺地域において及び/又はネットワーク周辺地域の近くで動作するクライアントネットワークデバイス及びクライアントネットワークアプリケーションに十分な保護戦略及びセキュリティ方針を与えることを困難にする場合がある。概して、係る操作環境の中でセキュリティと操作必要性のバランスをとることは、係る計算リソースを提供するプラットフォームの拡張性及びスケーラビリティの側面を妨げる傾向がある。
本開示は、上述の問題のうちの1つ以上を克服することを目的とする。
本明細書に開示されるのは、モバイルネットワーク周辺地域において及び/又はモバイルネットワーク周辺地域の近くで計算リソースを提供するためのソフトウェア構成要素及びハードウェア構成要素のプラットフォームである。プラットフォームは、ネットワーク周辺地域において及び/又は近くで提供される少なくとも1つのモバイルエッジ計算(「MEC」)アプライアンス及び少なくとも1つのMECコントローラを介して小型セル無線に隣接して計算リソースを提供するために使用されてよい。MECコントローラ及びMECアプライアンスのネットワークの中での実装は、安全である(例えば、安全なサンドボックス)プラットフォーム、及び分散型ネットワークの中でスケーラビリティ及び拡張性を促進するプラットフォーム(例えば、ネットワークの中での複数のクライアントデバイスの使用)を生成できる。さらに、プラットフォームは、クライアントデバイス及び/又はモバイルネットワーク事業者(「MNO」)のどちらかにより使用されるサードパーティアプリケーションのホスティングをさらに容易にできる。
いくつかの実施形態では、MECアプライアンスは、クライアントデバイスとネットワークとの間のデータフロートラフィックをサポートするためにデータ平面としての機能を果たすことができる。例えば、MECアプライアンスは、サンドボックス方式を介してマルチテナント環境を実装することによってクライアントデバイスでサードパーティアプリケーションを実行するために使用できる。いくつかの実施形態では、MECコントローラは、制御プレーンとしての機能を果たし、すべての管理されているMECアプライアンスデバイスの構成、方針管理、及び動作の帯域外制御を提供できる。MECコントローラ自体は、回復力、スケーラビリティ、及び拡張性のために設計されたマイクロサービスアーキテクチャを使用又は実装できる。プラットフォームは、MNOのコアネットワーク及び/又は関連付けられたマクロセルネットワークトポロジーを分散化し、既存のプラットフォームよりもより柔軟で信頼性が高く且つ高性能であるプラットフォームを生成するために使用できる。
本発明のプラットフォームは、ネットワーク周辺地域において及び/又はネットワーク周辺地域の近くで分散型トポロジーの中での効果的なプライバシー及びアクセスのためのセキュリティアーキテクチャを含む場合がある。これは、MECコントローラの機能に不可欠であり、各MECアプライアンス全体にわたって拡張するセキュリティモジュールを実装することによって達成できる。セキュリティモジュールは、ネットワークへのアクセスを許可される、又はMECアプライアンスの操作環境で1つ以上の構成要素の構成若しくは状態を変更するコマンドを発行する許可を与えられる前に、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において、及び/又はネットワーク周辺地域の近くで任意のプラットフォーム構成要素による任意のアクションを認証するように構成できる。いくつかの実施形態では、セキュリティモジュールのフレームワークは、各構成要素が不正アクセスのリスクを最小限に抑えるために各層での種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構成された、複数の層を確立する複数の構成要素である場合がある。
MECアプライアンスは、MNOのセキュリティゲートウェイへのインターネットプロトコルセキュリティ(「IPSec」)トンネルを開始する小型セル無線の代わりに、それ自体をそのデータ経路にインストールし、小型セル無線へのIPSecサーバ、及びMNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす。MECコントローラは、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームを含む場合があり、無関係に伸縮できる専用インスタンスの集合に対する特定の機能の範囲を分離できるプラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供できる。さらに、MECコントローラとの統合は、コアサービスプラットフォームの中のパブリックゲートウェイモジュールにより厳しく行うことができ、ゲートウェイモジュールと併せて又はゲートウェイモジュールに対する代替物としてサードパーティの統合及び制御を可能にする。
いくつかの実施形態は、ネットワーク周辺地域において/ネットワーク周辺地域の近くの環境(the at/near network perimeter environment)の中での自律的なプロビジョニングを含む場合がある、フィールドのMECアプライアンスのプロビジョニングを担うプラットフォームの構成要素としてディスカバリーサービスを含む場合がある。
分散化手法を用いて、セキュリティモジュールとともに、プラットフォームはネットワーク周辺地域環境の境界に対して及び/又は境界近くでモバイルアプリケーションを配備又は「プッシュ」し、技術的に可能であるエンドユーザに対して直近に位置するモバイルアプリケーションを生じさせることができる。さらに、MNO、及び/又はネットワーク周辺地域環境の中に、ネットワーク周辺地域環境において、及び/又はネットワーク周辺地域環境の近くに位置するアプライアンスを有するクライアントデバイスユーザは、プラットフォームの中の他のモジュールに対する混乱を最小限に又は混乱なく、需要に基づいて容易に且つ効果的に拡大及び/又は縮小できる。
これらの潜在的な優位点は、本明細書に提供される技術的な解決策により可能にされるが、当該優位点は達成されることを必要とされていない。開示される本発明は、これらの潜在的な優位点が個別に又は組み合わせて求められるのか、それとも達成されるのかに関わりなく、技術的な優位点を達成するために実装できる。
本発明の追加の特徴、態様、目的、優位点、及び考えられる応用は、図及び添付の特許請求の範囲と組み合わせて以下に説明される例示的な実施形態及び実施例の検討から明らかになる。
本発明の上記及び他の目的、態様、特徴、優位点、及び考えられる応用は、以下の図面と併せて提示される、以下のそのより詳細な説明からより明らかになる。
本発明とともに使用されてよい例示的なモバイルエッジ計算(「MEC」)サーバの構成を示す図である。 フィールドに廃部されたMECアプライアンスとともに使用されてよい例示的なMECコントローラを示す図である。 MECコントローラのために使用されてよい例示的なコアサービスプラットフォームのマイクロサービスアーキテクチャを示す図である。 本発明のプラットフォームとともに使用されてよいメッセージングアーキテクチャ用の例示的なアーキテクチャ設計を示す図である。 本発明のプラットフォームによって実行されてよいパブリックゲートウェイのモジュールによる例示的な認証実装方式を示す図である。 新しいMECアプライアンスを登録するためにディスカバリーサービスのモジュールによって実行されてよい例示的な処理ステップを示す図である。 無線ネットワーク、ネットワーク事業者、及びインターネットに対するMECアプライアンスとMECコントローラの両方を含む本発明のプラットフォームの例示的な高水準のアーキテクチャを示す図である。 本発明のプラットフォームにおけるMECコントローラエージェントアーキテクチャに加えて、サードパーティのNFV EPC構成要素の例示的な3GPP制御プレーン及びデータ平面アーキテクチャを示す図である。 セキュリティモジュールによって使用されてよい例示的なPKI実装方式を示す図である。 セキュリティモジュールによって使用されてよい例示的なRBAC実装方式を示す図である。
以下の説明は、本発明を実施するために現在意図されている実施形態に関する。本説明は、制限的な意味で解釈されるべきではなく、本発明の一般的な原理及び特徴を説明するためだけに行われる。本発明の範囲は特許請求の範囲に関して決定される必要がある。
開示されているのは、モバイルネットワーク周辺装置において及び/又はモバイルネットワーク周辺地域の近くで計算リソースを提供するためのソフトウェア構成要素及びハードウェア構成要素のプラットフォームである。プラットフォームは、プライベートに管理されるネットワーク(例えば、インターネット又はプライベートインターネット)と接続できる無線ネットワークの中で使用できる。無線ネットワークは、プライベートに管理されるネットワークのクライアントデバイス(例えば、パーソナルコンピュータ、タッチパッド、モバイルスマートフォン等)とサーバ及び/又は別のクライアントデバイスとの間の通信を可能にする少なくとも1つのサーバ(例えば、サーバコンピュータ)を含む場合がある。サーバは、無線ネットワークとの通信を容易にすることができる無線モデムを含んでよい。サーバはさらに、プライベートに管理されるネットワーク及び/又は他のネットワークとの通信を容易にすることができるネットワークインタフェースを含んでよい。したがって、サーバは、ネットワーク間のゲートウェイとしての役割を果たすことができる。サーバのゲートウェイ機能は、ネットワーク間で送信されるデータで任意の必要な変換を行うことができる。いくつかの実施形態では、プライベートに管理されるネットワークは、伝送制御プロトコル/インターネットプロトコル(「TCP/IP」)プロトコルで動作する場合があり、無線ネットワークは、サーバの中に実装されるルータを介してプライベートに管理されるネットワークと通信してよい。
本発明のプラットフォームは、小型セル無線に隣接して計算リソース(例えば、ハードウェア構成要素及びソフトウェア構成要素、モジュール、アプリケーション、アプライアンス他)を提供するために使用されてよい。小型セル無線は、無線接続性のためのアクセスノードとして無線ネットワークで利用されてよい。さらに、小型セル無線のMECデバイスとの組合せは、スマートセル無線を生成するために使用できる。スマートセル無線は、複数のスペクトル範囲及び技術を介した無線接続性のためのアクセスノードとして無線ネットワークで利用されてよい。スマートセル接続は、静的なスペクトルに基づいていない(つまり、使用されているアンテナの構成に依存していない)。代わりに、スマートセル接続は、ソフトウェアを介してスペクトルを制御するその能力のために複数の周波数及び技術を伝送できる。無線接続性は、例えばマクロセル、Wi-Fi等の静的スペクトルに基づいた接続を含む他の手段により達成できる。
本発明のプラットフォームは、ネットワーク周辺地域において又はネットワーク周辺地域の近くに設置された少なくとも1つのモバイルエッジ計算(「MEC」)、並びに少なくとも1つのMECコントローラを含む場合がある。いくつかの実施態様では、MECアプライアンスは、小型セルとモバイルネットワーク事業者(「MNO」)との間で、インラインで設置することができ、MECコントローラはMNOのコアネットワークの中に常駐できる。モバイル事業者のコアネットワークは、マクロセル(例えば、セルラー基地局、セルタワー等)を含む場合があるモバイルネットワークの中心的な部分であり、アクセスネットワークによってモバイルネットワークに接続されたクライアントデバイスにサービスを提供できる。MECコントローラ及びMECアプライアンスの組織的な実装は、分散型ネットワーク(例えば、ネットワーク(複数可)の中での複数のクライアントデバイスの使用)の下でのネットワーク周辺地域において及び/ネットワーク周辺地域の近くでのコンピューティングのために安全なプラットフォームを生成できる。本発明のプラットフォームは、さらに拡張性及びスケーラビリティを容易にし、クライアントデバイスユーザ及び/又はMNOが、ネットワークの機能を拡張する、追加する、削除する、及び/又は修正することを可能にする。本発明のプラットフォームは、さらにクライアントデバイス及び/またはMNOのどちらかによって使用されるサードパーティアプリケーションのホスティングも容易にすることができる。サードパーティは、MNOがネットワークの環境の管理上定義された範囲の委譲された制御のための許可を与えるエンティティである場合がある。
MECアプライアンスは、未検証のサードパーティからの信頼できないプログラムを含む場合があるサードパーティからのプログラムを実行するためのデータサービス及びセキュリティ機構を提供するように構成され得るハードウェア構成要素である。いくつかの実施形態では、MECアプライアンスは、クライアントデバイスとネットワークとの間のデータフロートラフィックをサポートするためにデータ平面としての機能を果たす場合がある。例えば、MECアプライアンスは、データのルートを決定するルータアーキテクチャの一部である場合がある。コンピューティング規格は、MECアプライアンスをネットワークの中の任意の環境で規模を拡大して配備し、管理できるようにする追加の特徴、構成部品、及び/または機能を提供するためにMECアプライアンスによって使用できる。例えば、MECアプライアンスは、MECアプライアンスでサードパーティアプリケーションを実行しながら、メモリ、ファイル記述子、及び/またはシステムスペース等のリソースを制御するためにMECアプライアンスのプログラミング構成で実施されるサンドボクシング方式を介してマルチテナント環境(つまり、ネットワークの中の複数のクライアントデバイス)を実装することによってクライアントデバイス上でサードパーティアプリケーションを実行するために使用できる。一実施態様では、MECアプライアンスは、ネットワーク周辺地域において及び/又はネットワーク周辺地域の近くの環境の中のクライアントデバイスから生じるすべてのデータトラフィックにデータ処理サービスを提供するために第3世代パートナーシッププロジェクト(「3GPP」)規格の発展型パケットコア(「EPC」)インタフェース(例えば、3G、LTE、4G等)と直接的に統合するために使用されてよい。少なくとも1つの実施形態では、すべてのデータサービスは、ローカルアプリケーション及び/又はサービスへのデータトラフィックの選択的なルーティングを可能にする。また、データサービスは、トラフィックを検査し、分析するためにローカル又はリモートのアプリケーション及び/又はサービスの選択的な重複及び送達を可能にしてもよい。
MECコントローラは、所与のMNOのためのすべてのMECアプライアンスのコマンド及び制御のために構造化されてよいハードウェア構成要素及びソフトウェア構成要素の集合体である。MECコントローラは、MECアプライアンス、MNO、及び/又はサードパーティの中に拡張する能力を提供することができ、MECコントローラは、規模を拡大してMECアプライアンスを操作可能にするために使用されてよい。いくつかの実施形態では、MECコントローラは制御プレーンとしての機能を果たし、MECアプライアンスがそれによってデータを転送する制御論理を介して方針及び構成パラメータを提供できる。例えば、MECコントローラは、ネットワークのアクセスポイント名(「APN」)への選択的なアクセスを可能にするために構造化することができ、APNは、音声をIPアプリケーションとして処理できるようにインターネットプロトコル(「IP」)アーキテクチャで音声及びデータを統一すること等であるが、これに限定されるものではないサービスのために使用できる。いくつかの実施形態では、MECコントローラは、MECアプライアンスとMNOの両方に安全でモジュール式且つスケーラブルなサービスを提供するために内部でマイクロサービスアーキテクチャを実装できる。
マイクロサービスアーキテクチャは、回復力、スケーラビリティ、及び拡張性のために設計されてよい。例えば、MECコントローラの各構成要素は、水平に伸縮(例えば、単一のノードにリソースを追加するのと対照的にネットワークにより多くのノードを追加)し、独立して拡張することができる。MECコントローラの各構成要素は、認証され、符号化された通信の使用を含む、暗号によって保護されるだけではなく、障害分離及びセキュリティ分離のためにもさらに構成できる。さらに、MECコントローラは、おもにステートレスで非同期であり、帯域外通信活動を介して動作できる。したがって、MECコントローラは、MECアプライアンスの性能又は可用性に影響を及ぼさずに操作できる。
上述されたように、MECコントローラ及びMECアプライアンスの組織的な実装は、分散型ネットワークの下のネットワーク周辺地域の中で、ネットワーク周辺装置において、及び/又はネットワーク周辺地域の近くでコンピューティング用の安全なプラットフォームを生成できる。本発明のプラットフォームがこれを達成する1つの方法は、MNOのコアネットワーク及び/又は関連付けられたマクロセルネットワークのトポロジーを分散化するためにプラットフォームを利用することである。MECアプライアンス及びMECコントローラを使用することによりトポロジーを分散化することは、既存のプラットフォームよりもより柔軟性があり、信頼性が高く、より高性能のプラットフォームを生成することができる。さらに、スケーラブルなプラットフォームは、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において、及び/又はネットワーク周辺地域環境の近くで動作するすべての形式のクライアントデバイスに利用可能であり、MNOが、ネットワーク周辺地域に及び/又はネットワーク周辺地域の近くに常駐するリソースの高度にスケーラブルな分散型プールを配備できるようにする。例えば、本発明のプラットフォームは、ネットワークで実行するためにサードパーティアプリケーションの汎用x86プラットフォームエコシステムを送達するリソースを配備することを可能にし、任意のレガシーシステム、レガシー製品、又はレガシー技術のために設計された入力と動作できる命令セットを助長する。これらのソフトウェアリソースは、モバイルネットワークのアーキテクチャを収容するために変更される必要はなく、代わりに、当該ソフトウェアリソースがあたかも従来の企業ローカルエリアネットワーク(「LAN」)で実行しているかのように配備できる。
係る分散化は、クライアントデバイスと実行中のアプリケーションとの間で直接的なアクセスを可能にすることによってクラウドコンピューティングで重大な機能拡張、つまり本明細書でクラウドエッジコンピューティングと呼ばれる動作を提供し得る。言い換えると、モバイルネットワークの外で動作する既存のインフラストラクチャアズアサービス(「IaaS」)又はプラットフォームアズアサービス(「PaaS」)のクラウドコンピュータサービスとは異なり、本発明のプラットフォームは、モバイルネットワーク周辺地域境界に対するアプリケーションの配備を可能にし、技術的に可能であるエンドユーザ(例えば、ネットワーク周辺地域における及び/又はネットワーク周辺地域の近くのクライアントデバイス)の直近に位置するアプリケーションを生じさせる場合がある。無線伝送を使用するクライアントデバイスにとって最も分散され、最も低遅延のネットワークを容易にするプラットフォームをアプリケーション開発者に提供するために、MECアプライアンスは、小さいユーザ対ホスト率のためにプログラミングされたコンパクト且つ強力なアプライアンスとしてさらに構成することができる。
上述されたように、本発明のプラットフォームは、ネットワーク周辺地域の境界において及び/又はネットワーク周辺地域の境界の近くに常駐するx86計算リソースの保護された分散型ネットワーク環境を構築するために使用できる。これは、プラットフォームの中の種々の構成要素によってサポートされたサービスの組織的な実装を通して達成できる。例えば、MECアプライアンスサービスは、1)構成及び方針の施行、2)報告及びモニタリング、並びに3)ソフトウェア分散及びバージョニングを含んでよいが、これに限定されるものではない。MECコントローラ及び/又はMNOサービスは、1)サードパーティエンティティに委譲されたアクセスのためのサポートを含んだ、MECアプライアンス及び関連付けられたサービスの制御のためのオープンソース情報空間(例えば、ワールドワイドウェブ)のソフトウェアアーキテクチャを介してネットワークへのアクセスを調節する方法を生成するために、ロールベースアクセス制御(「RBAC」)で可能にされた代表状態転送(Representational State Transfer)(「REST」)アプリケーションプログラムインタフェース(「API」)、2)選択的なプロビジョニングのためのEPC統合、並びに3)MECアプライアンスからオフロードされ、集中した操作メタデータ処理を含むことがあるが、これに限定されるものではない。サードパーティサービスは、1)隣接するサーバハードウェア上でローカルに実行中のサービスの直接的な接続性をクライアントデバイスに拡張すること、2)既存のユーザ認証サービスへの統合、3)既存の通信サービスへの統合、及び4)委譲された及び/又は許可されたアクションの制御のためのREST APIを含んでよいが、これに限定されるものではない。
本発明のプラットフォームは、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くの分散型トポロジーの中での効果的なプライバシー及びアクセスのためにセキュリティアーキテクチャを含む場合がある。これは、MECコントローラの機能にとって不可欠であり、各MECアプライアンス全体にわたって拡張するセキュリティモジュールの実装によって達成できる。例えば、セキュリティモジュールは、本発明のプラットフォームのホワイトリストに登録されたアクセス及び制御のために使用できる。いくつかの実施形態では、MECコントローラ及びMECアプライアンスのすべての構成要素は、セキュリティモジュールのフレームワークの上部に構築できる。一実施態様では、セキュリティモジュールのフレームワークはゼロトラストモデルである場合があり、それによりネットワーク周辺地域環境の中の、ネットワーク周辺地域環境における及び/又はネットワーク周辺地域環境の近くの任意の構成要素からの通信は、ネットワークへのアクセスを許可される前にそのアイデンティティを証明せざるを得ない場合がある。さらに、セキュリティモジュールは、ネットワークへのアクセスを許可される前に、ネットワーク周辺地域環境の中の、ネットワーク周辺地域環境における及び/又はネットワーク周辺地域環境の近くの任意のプラットフォーム構成要素の任意のアクションを認証するように構成できる。セキュリティモジュールは、いかなるサービス間通信も、通信アプリケーション間のプライバシーを保証するトランスポートレイヤセキュリティ(「TLS」)プロトコルを使用し、暗号化されたセッションとともに使用されるときだけ許可できるようにさらに構成できる。いくつかの実施態様では、暗号化されたTLSセッションは、ローカルインタフェース及び/又はリモートインタフェースを通して許可できる。一実施態様では、TLSプロトコルは、アクセスがネットワークに許可される前に明確な認証を必要とする場合がある。これは、通信伝送のあらゆるインスタンスのためにX.509証明書を使用することによって達成できる。
証明書は、サービス/プリンシプル(principle)のアイデンティティだけではなく、TLSクライアントデバイスのため及びサービス認証のためのセキュリティアーキテクチャを通して広範囲に使用され得る。例えば、本発明のプラットフォームは、外部の公開鍵インフラストラクチャ(「PKI」)環境からの拡張された信頼チェーンですべての証明書を固定するように構造化できるか、又は新しいルートアンカーが確立され得るかのどちらかである。さらに、アクションのバリデーションは、以下のステップ、つまり1)有効なユーザによって要求が行われる、2)要求されたアクションが認証されたユーザに対して許可される、及び3)要求されたアクションがアクションの定義された範囲について許可される、に従う場合がある。バリデーションが成功すると、要求されたアクションは暗号によって署名し、アクションを実行できる目的地サービスに送信することができる。
いくつかの実施形態では、セキュリティフレームワークは、各構成要素が不正アクセスのリスクを最小限に抑えるために、各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化できる、複数の層を確立する複数の構成要素である場合がある。第1のセキュリティ層はMECアプライアンス内にあり、アプライアンスに記憶されたすべての鍵を暗号化するために使用されたマスタ鍵の記憶のためにローカルホストに物理的にアタッチされたトラステッドプラットフォームモジュール(「TPM」)等のハードウェア暗号ユニットを使用し、鍵暗号化の上に成り立っている場合がある。例えば、第1のセキュリティ層は、認証及び暗号化のために公開鍵及び秘密鍵を使用することができ、秘密鍵はクライアントデバイス及び/又はサービス間で共用されない。これは、存在する場合秘密鍵を復号するために使用されるTPMを使用することにより、秘密鍵が保護されることを保証することによって達成できる。秘密鍵が、サービス又はプリンシプルの間で絶対に共用されないことが所望される場合がある。さらに、セキュリティフレームワークは、それが、そのセキュリティを保護するために、サービスであるのか、MECアプライアンスインスタンスであるのか、それともパブリックAPIを使用して操作する人間であるのかに関わりなく、セキュリティフレームワークが秘密鍵の所有者の責任となるように構成されてよい。存在する場合、TPMモジュールの使用は、本発明のプラットフォームで実行中のサービス又はアプライアンスと関連付けられた秘密鍵のための鍵の追加のハードウェア保護を追加できる。
TPMの使用は、ネットワークの中の動作環境の完全性を検証する信頼されるブートプラットフォームである場合がある第2のセキュリティ層の生成を容易にする場合がある。操作環境の中には、アプリケーション及びそのユーザがネットワーク要素と対話する能力を制御するためのセキュリティ機構を有する実行時セキュリティモジュールであってよい、第3のセキュリティ層がある場合がある。実行時セキュリティモジュールは、プロセス分離とメモリ暗号化の両方を使用できる。プロセス分離の使用は、システムリソースへのアクセスを、そのプロセスが実行するために必要とされるそれらのリソースに対してだけに制限することによって攻撃者が利用できる攻撃ベクトルを最小限に抑えてよい。メモリ暗号化の使用は、本発明のプラットフォームの構成要素上で実行中のサービスのためのメモリ内に記憶された極秘データへの不正アクセスからの追加の保護を提供できる。第4のセキュリティ層は、MECアプライアンス及び/又はMECコントローラで実行中の実際のアプリケーションコードによって実装されるセキュリティフレームワークである場合がある。追加の実施形態は、より多い又はより少ないセキュリティ層を含む場合がある。
例示的な実施形態として、セキュリティフレームワークは、MECコントローラAPIへのアクセスを要求する任意のプリンシプルに、又は内部通信バスを介した環境内の構成要素間の通信のために認証、認可、及び課金(「AAA」)サービスを提供してよいセキュリティモジュールとして構成できる。セキュリティモジュールは、プリンシプルのアイデンティティ、役割、及び許可の永続的な記憶のための内部リレーショナルデータベースを実装し、MECアプライアンスの動作環境へのアクセスを制御するための完全なロールベースアクセス制御(「RBAC」)方針フレームワークをセキュリティモジュールに提供できる。セキュリティモジュールにおけるプリンシプルは、プラットフォームの一部であるサービスインスタンス、つまり、パブリックAPIにアクセスする外部サービス、または人間のオペレータを指す場合がある。セキュリティモジュールは、例えば、セキュリティアサーションマークアップ言語(「SAML」)データフォーマットの使用を介して外部アイデンティティプロバイダサービスにプリンシプルの認証及び認可を委譲してよい。また、セキュリティモジュールは、包括的な監査が、セキュリティモジュールによって受けられ、暗号によって署名されるプリンシプルによって実行されるアクションにとって所望される場合があるので、すべてのプリンシプル活動の包括的な監査を提供する場合もある。また、セキュリティモジュールは、プリンシプルの認証及び識別のために使用されるデジタル証明書の発行及び取消しのために公開鍵インフラストラクチャ(「PKI」)も提供できる。PKIにおけるアンカーオブトラスト(anchor of trust)は、MECコントローラルート証明機関によって、又はネットワーク事業者の既存の証明機関によって確立されてよい。セキュリティモジュールは、プリンシプルを暗号によって識別し、要求されたアクションの範囲(具体的にはアクション(複数可)によって影響を受けるサービス又はデバイス)を認証し、当該プリンシプルにより変更がなされることを認めるために、AAAサービス及びPKIサービスを構築することができる。
セキュリティフレームワークは、(1)プリンシプルが、暗号化されたセッションを使用せず、プリンシプルのデジタル証明書を使用し、暗号によって認証される任意の他のプリンシプル又はサービスと通信するのを許されていない、認証された接続確立、(2)直接的な通信が許されていないため、環境の状態を変更又は改変するモジュール間のすべての通信が、セキュリティモジュールを介して通信することによってだけ通信することを必要とされる場合がある、通信の分離、(3)セキュリティモジュールの外部のモジュールは、命令を受け取り、それらの命令の実行から生じる応答を提供するようにだけ構成することができ、すべての命令がセキュリティモジュールに要求として送信されてよく、セキュリティモジュールから暗号によって署名された命令だけがそのそれぞれの構成に変更を加えるために環境内の任意の他のサービスによって受け入れられてよい、認可の制限、(4)セキュリティモジュールが、既存のセキュリティモジュールによって暗号により署名されたデジタル証明書を明示的に認可し、発行しない限り、セキュリティモジュールインスタンスの新しいインスタンスを含んだ構成要素が、環境で通信するために信頼されないように構成できる、非セキュリティモジュール構成要素に対する信頼の前提がないこと、及び(5)セキュリティモジュールが、モジュールが機能を共用せず、したがって独立した攻撃ベクトルを有するように構成することができ、あるモジュールのセキュリティ上の弱点が別のモジュールの機能又はセキュリティに直接的に影響を与えないことを意味する範囲及び機能の分離によって層を提供できる。
図1は、本発明のプラットフォームとともに使用され得る例示的なMECサーバ構成を示す。MECアプライアンスは、強化されたLinux(登録商標)動作環境を実行する埋め込みx86ハードウェアデバイス、MECコントローラエージェント(つまり、アプライアンスサービスエージェント)、選択されたデータ平面ネットワーク機能仮想化(「NFV」)EPCモジュール、及びコアサードパーティアプリケーションである場合がある。Linux(登録商標)動作環境及びNFV EPCデータ平面モジュールは、通信セッションの各IPパケットを認証し、暗号化するための安全なインターネットプロトコル(「IPsec」)スイートを介してMECアプライアンスの中に及びMECアプライアンスの中からデータを受信し、送信することができる。MECアプライアンスは、MECコントローラエージェントと、NFV EPCデータ平面モジュール及びMECアプライアンスで実行中のローカル音声サービスによって提供される音声フィックスド・モバイル・カバレージ(Fixed Mobile Coverage)(「FMC」)機能性と、NEV EPCデータ平面モジュールとを含む場合がある。例示的なサードパーティアプリケーションは、コンテンツ配信ノード(「CDN」)、企業アプリパブリックウェブインタフェース、及びビデオ解析プローブであることが示されている。MECアプライアンスは、1)キャッシング-サードパーティキャッシングアプリケーションを介するローカルアプライアンス上でのコンテンツの選択的なキャッシング及び/又は記憶、2)ローカルIPアクセスとも呼ばれるローカルブレイクアウト-ローカルサービス又はローカルにアタッチされたサーバへの選択トラフィックのルーティング、及び3)エッジスイッチポートアナライザ(「SPAN」)-データ分析のためのすべてのトラフィックのミラーリングを含んでよいが、これに限定されるものではないコアデータ処理機能を提供できる。
MNOのセキュリティゲートウェイへのIPSecトンネルを開始する小型セル無線の代わりに、MECアプライアンスは、それ自体をそのデータ経路にインストールし、小型セル無線へのIPSecサーバ及びMNOのセキュリティゲートサーバへのIPSecクライアントデバイスとしての役割を果たすことができる。したがって、小型セル無線の機能及び制御は、このトポロジーの下で変化する必要はない。むしろ、MECアプライアンスは、ネットワーク事業者のコアネットワークに送信される前に新しいデータ処理機能を追加できる。この機能は単独で、MECアプライアンスを、例えば屋外スタジアム又は共通オフィスエリア等の敵対する信頼できない環境での動作に適切にすることができる。
MECコントローラは、複数のプラットフォームモジュールを介して、モバイルエッジコンピューティングのアプライアンス、機能、及びサービスのための集中プロビジョニング及び管理プラットフォームを提供できる。これらは、コアサービスプラットフォーム、キャリアサービスゲートウェイ、企業サービスゲートウェイ、アプライアンスサービスエージェント、及びディスカバリーサービスを含んでよいが、これに限定されるものではない。集合的に、プラットフォームモジュールは、以下のコアサービス、つまり1)ネットワーク周辺地域において/ネットワーク周辺地域の近くの環境の中のすべてのコンピューティングアプライアンスのハードウェア構成要素及びソフトウェア構成要素の集中した組織化、2)ネットワーク周辺地域において/ネットワーク周辺地域の近くの環境の中で実行中のサービスのためのサードパーティAPIのアグリゲーション及び正規化の選択、3)(動作環境を含む)アプライアンスファームウェア及びソフトウェア、コアアプライアンスソフトウェア特徴、並びにサードパーティソフトウェアのライフサイクル及び構成管理、4)集中報告及び容量計画、並びに5)RBAC、MECアプライアンス、及び既存のEPCモジュール及びサードパーティインフラストラクチャへの統合を伴うユーザプロビジョニングを提供してよい。
図2は、例示的なトポロジー及び種々の構成要素間の関係を示す。コアサービスプラットフォームは、MECコントローラのコアとして機能してよく、それは制御プレーン及び操作サービスの処理のためのすべてを実行できる。例えば、コアサービスプラットフォームは、プラットフォームによって提供されるすべての機能の中央制御及びアグリゲーションを提供するマイクロサービスアーキテクチャとして設計できる。この設計は、特定の機能の範囲を、独立したスケーリング、障害、及び攻撃ベクトル分離のための専用インスタンスの集合に分離できる。企業サービスゲートウェイ及びキャリアサービスゲートウェイは、クライアントデバイスユーザ及びキャリアオペレータユーザそれぞれにウェブユーザインタフェースを提供するためのパブリックインタフェースであり、以下により詳細に説明される。
図3~図4に示されるように、コアサービスプラットフォームは、複数の構成要素及び/又はモジュールを含む場合がある。これらは、1)セキュリティモジュール、2)アプライアンスモジュール、3)テレメトリモジュール、4)EPCモジュール、及び5)パブリックゲートウェイを含む場合があるが、これに限定されるものではない。コアサービスプラットフォームは、サービス間APIとして図3に示されるように、標準化されたAPIを通して各マイクロサービスと通信できる。
セキュリティモジュールは、発行されたX.509証明書のサポートを介してすべてのアクションを暗号によって認証し、署名できる。いくつかの実施態様では、アクションは、所与のプリンシプル(例えば、ユーザ又はサービス)のための所望される範囲に対して認可できる。セキュリティモジュールは、連邦情報処理規格(「FIPS」)186-4及び/又は国家安全保障局(「NSA」)スイートB規格を使用できる。セキュリティモジュールは、内蔵RBAC機能及び監査機能を用いてあらゆるアクションを明示的に認可し、追跡するようにさらに構成できる。すべてのサービス及びプリンシプルは、そのアイデンティティをデジタルアイデンティティのために発行されたX.509証明書を介して提供できる。
図9を参照すると、セキュリティモジュールPKIトポロジーは、ルート証明機関(「CA」)又はMNOによって管理される既存のPKIによって署名される中間CAのどちらかを実装するトラストアンカーを有する場合がある。各セキュリティモジュールは、トラストアンカーに対して中間CAとしての役割を果たすことができ、任意の1つのセキュリティモジュールインスタンスは、プリンシプルにデジタルアイデンティティを発行し、オンライン証明書状態プロトコル(「OCSP」)を介してすべてのサービスのための証明書チェーンを認証するために使用できる。
アプライアンスモジュールは、MECアプライアンスの1対多の管理用に構成できる。例えば、アプライアンスモジュールは、配備されたMECアプライアンスとの通信を容易にすることができる。アプライアンスモジュールは、アプリケーション及びアプライアンスのライフサイクル管理を容易にすることができる。アプライアンスモジュールは、アプライアンスとの持続的な通信を維持するようにさらに構成でき、追加される最大100,000+のアプライアンスまで可能にするために水平に拡大させることができる。したがって、モジュールは、ノースバウンドビジネスサポートシステム(「BSS」)及びオペレーショナルサポートシステム(「OSS」)のプラットフォームへの組織化及び統合を簡略化してよい。アプライアンスモジュールは、MECアプライアンスに送信される非同期コマンドの状態の追跡を管理し、他のモジュールに要求の最終状態を観察するための抽象化を提供してよい。また、アプライアンスモジュールは、認証されたメッセージで指示されるように、コアサービスプラットフォームから受け取られた、認証され、認可されたメッセージの1つ以上のMECアプライアンスへの分散を管理してもよい。
テレメトリモジュールは、統計及びロギングのために使用できる。例えば、MECアプライアンス及びMECコントローラの両方からのすべてのイベント及びメトリックスは、テレメトリモジュールによって取り込むことができる。また、テレメトリモジュールは、トリガベースのアクションをサポートし、環境全体のほぼリアルタイムの分析を提供し、MECアプライアンスからテレメトリ分析をオフロードできる。いくつかの実施態様では、すべてのイベントデータ処理は、テレメトリモジュールを介して実施される。これは、他のどこかでイベントデータ処理を実行することと比較して、アプライアンスの計算リソース要件を削減し得る。また、テレメトリモジュールは、コアサービスプラットフォームを支援して使用されるサードパーティアプリケーションからイベント処理のためのインタフェースを提供してもよい。例えば、サービングゲートウェイ(「SGW」)の制御プレーン要素は、テレメトリモジュールの一部である傾聴サービスに所有権通知を送信してよい。テレメトリモジュールは、コールバック機能、具体的には、閾値を超えられた場合、又は特定のイベントが発生した場合に異なるサービスを通知する能力を提供してよい。これは、適切なサービスに対する、それらのサービスが通知を受け取ることを希望している状況の種類について非同期プッシュ通知を可能にし、これは追加の取扱い及び処理に使用できる。
EPCモジュールは、MNOのEPC構成部品と通信し、このようにしてネットワークプロビジョニング及び方針施行のために統合及びMNO EPCとの通信を可能にできる。EPCモジュールは、NFV EPC制御プレーンSGW及びパケットデータネットワークゲートウェイ(「PGW」)要素を含む場合がある。EPCモジュールは、Gxインタフェース、S5インタフェース、及びS11インタフェースをサポートするだけではなく、方針変更及びユーザ変更を実行するようにさらに構成できる。EPCモジュールは、MECアプライアンスがそれぞれ配備されるか、デコミッショニングされるかのどちらかのとき、MECアプライアンスで実行中のデータ平面インスタンスの追加又は削除に備えることができる。
パブリックゲートウェイモジュールは、MECコントローラ及び/又はMECアプライアンスにパブリックREST APIを提供し、このようにして外部サービス及びユーザにプラットフォームへのREST API端点を提供することを可能にする。本発明のプラットフォームは、パブリックゲートウェイモジュールがコアサービスプラットフォームにアクセスするためのサードパーティ消費者用の唯一のパブリックインタフェースとなるように構成できる。言い換えると、本発明のプラットフォームとインタフェースをとる唯一の方法は、パブリックゲートウェイモジュールのREST APIを介してだろう。パブリックゲートウェイモジュールは、ネットワークへのすべてのアクセスが(例えば、MECアイデンティティストアを介して)事業者によって認可されるように構成できる。パブリックゲートウェイモジュールは、さらに、接続の試行を認可するためにセキュリティモジュールによって提供されるAAA認証フレームワークを使用し、ウェブユーザインタフェースゲートウェイをサポートするように構成することができ、スタンドアロンとして、又は既存のクライアントポータルREST APIをさらに拡張する若しくは消費するために構築できる。
MECコントローラとの統合は、コアサービスプラットフォームの中でパブリックゲートウェイモジュールによって提供されるREST APIを通して厳しく行い、企業サービスゲートウェイ及び/若しくはキャリアサービスゲートウェイと併せて、又は企業サービスゲートウェイ及び/若しくはキャリアサービスゲートウェイに対する代替品としてサードパーティの統合及び制御を可能にできる。したがって、コアサービスプラットフォームとのユーザ対話は、企業サービスゲートウェイ及び/若しくはキャリアサービスゲートウェイを通して又はコアサービスプラットフォームパブリックゲートウェイAPIと準拠するサードパーティ製品を通してのどちらかで実行できる。
さらに、プラットフォームは、任意のMECアプライアンスの制御が完全にアプライアンスとコアサービスプラットフォームとの間の安全で持続的な接続にだけ制限されるように構造化できる。上述されたように、任意のMECアプライアンスの制御は、コアサービスプラットフォームの機能の中核を成す場合がある。したがって、セキュリティフレームワークのコアは、コアサービスプラットフォームの中のセキュリティモジュールによって実装し、提供することができる。ソフトウェアのこのスイートは、ネットワークと通信しようと意図する任意の構成要素へのアクセスを許可することを担う場合がある。また、セキュリティモジュールは、任意のコマンドの完全性及び有効性を認証するために他のサービスに対するすべてのコマンドに暗号によって署名できる。
図4を参照すると、セキュリティフレームワークは、例えばX.509証明書を使用する明確な認証なしにモジュールが別のモジュールと通信するために信頼されないように、コアサービスプラットフォーム全体にわたって実装できる。内部的に、コアサービスプラットフォーム(サービス間API)のモジュール間のすべての通信は、独占のJavaScript(登録商標)オブジェクト表記法(「JSON」)メッセージフォーマットによって処理し、別のモジュールから任意のあるモジュールの実装を取り除くアドバンストメッセージキューイングプロトコル(「AMQP」)を介してトランスポートできる。交換されるメッセージは、範囲、アクション、及び受信側マイクロサービスで実行されるために要求されるアクションのパラメータを表す、コマンドメッセージと呼ばれる統一フォーマットであってよい。標準化されたコマンドメッセージフォーマットは、遠隔マイクロサービスの設計又はアーキテクチャに対して依存することなく異なるマイクロサービスが通信できるようにする。AMQP準拠のメッセージバスは、サービス間でメッセージの安全で、分離された、及び/又は制御された送達を提供してよく、リモートプロシージャコール(「RPC」)等の同期通信又は非同期通信を実装するために使用できる。さらに、メッセージバスは、任意の1つの所与のマイクロサービスが、状態又は遠隔マイクロサービスとの通信を管理することを担わないように、障害ドメインの分離を可能にしてよい。コアサービスプラットフォームは、遠隔マイクロサービスで呼び出される非同期コマンドの状態を追跡し、記録するためのJSON鍵-値ストアを使用してよい。
したがって、メッセージングプロトコルは、所与のモジュールの完全なアーキテクチャ分離を可能にし、以下の目的、つまり1)モジュールの基本的な実装を変更する、2)特徴を拡張又は追加する、3)生産におけるモジュールインスタンス数を増加又は減少させる、4)障害分離、及び5)攻撃ベクトル分離のために他のモジュールに影響を与えることなく、独立を可能にできる。係る設計は、さらにコアサービスプラットフォームを任意のクラウドホスティング環境で動的にスケーラブルにすることができる。追加の又はさらに多くの詳細なテレメトリデータが収集される必要がある場合、例えば、他のモジュールに影響を及ぼすことなく追加の処理要件を処理するために、追加のテレメトリモジュールを配備できる。このスケーリング方式は、コアサービスプラットフォームの中の任意のモジュールに適用でき、リソースを、それを必要とする正確な機能だけに割り当てることを可能にする。
上述されるように、MECコントローラのコアサービスプラットフォーム構成要素は、REST APIを提供できる。企業サービスゲートウェイ及びキャリアサービスゲートウェイは、MECコントローラに対してRESTクライアントを実装するウェブユーザインタフェースを提供できる。これらの企業サービスゲートウェイ及びキャリアサービスゲートウェイは、ヒューマンインタフェースを環境に提供する唯一の機能を果たさせることができる。図5に示されるように、企業サービスゲートウェイ及びキャリアサービスゲートウェイは、MECコントローラによって要求される証明書認証を実装し、従来のユーザ認証方法を実装し、プロキシすることができる。したがって、本発明のプラットフォームは、企業サービスゲートウェイ及びキャリアサービスゲートウェイがプラットフォームのオプションの構成要素となるように構成できる。例えば、MNOの環境の制御のためにユーザインタフェースを実装する外部サービスは、企業サービスゲートウェイ及びキャリアサービスゲートウェイの存在を必要とすることなく、REST APIを消費できる。外部サービスは、MECコントローラのパブリックREST APIゲートウェイ仕様と準拠するRESTクライアントを作成することによって、及びREST APIとの認証された接続を開くために発行されたX.509デジタルアイデンティティ証明書を使用することによってREST APIを直接的に消費できる。
アプライアンスサービスエージェントは、MECアプライアンスで実行中のすべての構成要素とサービスとの間のインタフェースとしての機能を果たすことができ、それらのサービスはMECコントローラによって管理されている。MECコントローラは、モバイルネットワークを介してデータを処理するためにMECアプライアンスに対して必要とされていないが、プラットフォームは、任意のコマンド及び制御機能がMECコントローラからだけ発行され得るように構成できる。例えば、(モバイルネットワークの周辺地域の境界に設置される)新しいMECアプライアンスが初期化され、ネットワークに接合されるとき、アプライアンスサービスエージェントは、EPC制御プレーン要素を更新するためにコアサービスプラットフォームと通信することを担い、このようにしてアプライアンスの中に常駐するEPCデータ平面モジュールに対する制御を確立できる。したがって、アプライアンスサービスエージェントは、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くでMECアプライアンスのエコシステムを安全に管理する手段を提供できる。さらに、アプライアンスサービスエージェントは、MECアプライアンスで実行中のサードパーティアプリケーションの間で、API変換及び局所化メッセージング及び通知を提供できる。例えば、アプライアンスサービスエージェントは、位置情報を処理するために必要とされるデータを中継してよい、又はアプライアンスサービスエージェントは、ともにローカルで実行し、アプライアンスサービスエージェントによって仲介される、あるサービスから別のサービスに情報を転送してよい。
ディスカバリーサービスは、自律的なプロビジョニングを含む場合があるフィールドで(つまり、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くで)MECアプライアンスのプロビジョニングを担う場合がある本発明のプラットフォームの構成部品である場合がある。ディスカバリーサービスは、MNOの外部に常駐してよい。ディスカバリーサービスは、新しい工場配達のMECアプライアンスが、MNOに登録し、すべての通信及び認証のためにMNOに特有の暗号鍵及び署名済みのX.509デジタルアイデンティティ証明書を確立できるようにする。例えば、クライアントデバイスは、単にクライアントデバイスの電源を投入するだけで証明書を自動的に(つまり、自律的なプロビジョニング)登録し、入手するためにネットワーク事業者に接続できる。別個の機能及び/又は動作は、ネットワークに接合するクライアントデバイスを承認できるが、認証及びバリデーションのプロセスは、ディスカバリーサービスを介して自動にすることができる。図6は、秘密鍵が自律的なプロビジョニングの間の任意の時点で共用又は伝送されないことを保証するために、MECアプライアンス、クラウドでホストされるディスカバリーサービス、及びMNOの中で実行中のMECコントローラの間の通信を含む場合がある、関与され得る処理ステップを示す。このプロセスは、TLSクライアント認証の使用を含んでよい。
上述されたように、本発明のプラットフォームは、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くでクラウドエッジコンピューティングに備えることができる。MNO及び/又はフィールドに位置するアプライアンスを有するクライアントデバイスユーザは、プラットフォームの中の他のモジュールに対する混乱を最小限に又は混乱なく、需要に基づいて容易に且つ効果的に拡大及び/又は縮小できる。これは、部分的にはMNOのコアネットワークを分散化することによって行うことができ、ゼロトラストのセキュリティモジュールによって管理される複数の小さいシステムを生じさせる。プラットフォームは、ネットワーク周辺地域の境界でモバイルアプリケーションを配備することができ、技術的に可能であるエンドユーザに対して直近に位置するモバイルアプリケーションを生じさせることができる。MNOのコアネットワークを分散化することは、モジュールに対する混乱なく、及びアプライアンスが追加されるたびにセキュリティフレームワークに対する調整なしにデータフロー要求を満たすために強化されたスケーリング管理をさらに容易にすることができる。さらに、MECアプライアンスは、MECコントローラから送信されたすべての通信及びコマンドの有効性を検証できる。したがって、クライアントデバイスは(例えば、クライアントデバイスをリブートするために)アプライアンスにコマンドを送信する場合、システムに加えてMECアプライアンスが、このアクションを認証できる。
上述されたように、テレメトリモジュールは、MECアプライアンス及びMECコントローラの両方からすべてのイベント及びメトリックスを取り込むことができ、このようにしてMECアプライアンスで発生するあらゆるイベントはテレメトリモジュールに送信できる。クライアントデバイスユーザが、MECアプライアンスによって実行できない要求を発行する場合、そのイベントはテレメトリモジュールによって記録できる。この情報は、同じものに対する以後の要求を実行できるように、アプライアンスを更新するために使用できる。
図7を参照すると、本発明のプラットフォームの例示的な高水準アーキテクチャが開示される。本実施形態は、無線ネットワーク、ネットワーク事業者、及びインターネットに対するMECアプライアンスとMECコントローラの両方を有するプラットフォームを示す。図中、MECアプライアンスは、モバイルエッジに常駐し、少なくとも1つの小型セル無線及びMNO EPCベンダと、セキュリティモジュールによって形成された暗号化されたトンネルを介して通信していると示されている。
図8は、図7のアーキテクチャで使用されてよい、MECコントローラエージェントアーキテクチャに加えてサードパーティNFV EPC構成要素の例示的な3GPP制御プレーオン及びデータ平面アーキテクチャを示す。
図9は、セキュリティモジュールによって使用されてよい例示的なPKI実装方式又はPKIトポロジーを示し、これは、トラストアンカーを通して発生し得るセキュリティモジュールの種々のインスタンスを明示する。
図10は、セキュリティモジュールによって使用されてよい例示的なRBAC実装方式を示す。
説明されている実施例及び実施形態の多数の変更形態及び変形形態が、本開示の上記教示を鑑みて可能であることが当業者に明らかになる。開示されている実施例及び実施形態は説明のためだけに提示される。他の代替実施形態が、本明細書に開示される特徴のいくつか又はすべてを含むことがある。したがって、その全容を示されるべきである本発明の真の範囲内に入る可能性があるすべての係る変更形態及び代替実施形態をカバーすることが意図である。さらに、一連の値の開示を含むその範囲の中のあらゆる数値の開示である。

Claims (22)

  1. 無線ネットワークの中でのコンピューティングのためのプラットフォームであって、
    プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるハードウェアデバイスを備えるモバイルエッジ計算(「MEC」)アプライアンスであって、前記プライベートに管理されるネットワークの境界において又は前記プライベートに管理されるネットワークの境界の近くに設置される前記MECアプライアンスと、
    前記MECアプライアンスの命令及び制御が可能なMECコントローラであって、モバイルネットワーク事業者(「MNO」)のコアネットワークの中に常駐する前記MECコントローラと、
    各構成要素が各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化された、複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MECコントローラの機能に不可欠であり、前記MECアプライアンス全体にわたって拡張する前記セキュリティモジュールと
    を備え、
    前記プライベートに管理されるネットワークのネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである環境が分散型トポロジーであり、
    前記プラットフォームが、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである環境の中で少なくとも1つのサードパーティアプリケーションをホストするために計算リソースを提供し、
    前記セキュリティモジュールが、前記プライベートに管理されるネットワークへのアクセスを許可される前に、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである前記環境の中で任意のプラットフォーム構成要素による任意のアクションを認証するように構成され、前記セキュリティモジュールのセキュリティフレームワークは、前記セキュリティモジュールを介したモジュール同士の通信により、モジュール間の通信を分離することにより、又は、前記セキュリティモジュールが機能を共有せず、独立した攻撃ベクトルを有するように構成されることにより、前記セキュリティモジュールにセキュリティ層を提供する、
    プラットフォーム。
  2. 前記MECアプライアンスがデータ平面としての機能を果たすことができる、請求項1に記載のプラットフォーム。
  3. 前記MECコントローラが制御プレーンとしての機能を果たすことができる、請求項1に記載のプラットフォーム。
  4. 前記MECアプライアンスが、小型セル無線とMNOとの間で、インラインで設置される、請求項1に記載のプラットフォーム。
  5. 前記MECアプライアンスが、前記MNOのセキュリティゲートウェイサーバへのインターネットプロトコルセキュリティ(「IPSec」)トンネルによって画定されたデータ経路にそれ自体をインストールし、前記小型セル無線へのIPSecサーバ及び前記MNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす、請求項4に記載のプラットフォーム。
  6. 前記MECコントローラが、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームをさらに備え、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリング、障害、攻撃ベクトル分離のために専用のインスタンスの集合に特定の機能の範囲を分離できる、請求項1に記載のプラットフォーム。
  7. 前記コアサービスプラットフォームが、配備されたMECアプライアンスとの通信のためのアプライアンスモジュールと、前記プラットフォームのホワイトリストに登録されたアクセス及び制御のためのセキュリティモジュールと、ネットワークプロビジョニング及び方針施行のためのMNO EPCとの統合及び通信のためのEPCモジュールと、統計及びロギングのためのテレメトリモジュールと、外部サービス及びユーザのためのプラットフォームにREST API端点を提供するためのパブリックゲートウェイモジュールとをさらに備える、請求項6に記載のプラットフォーム。
  8. 前記テレメトリモジュールが、前記MECアプライアンス及び前記MECコントローラの両方からすべてのイベント及びメトリックスを取り込むことができる、請求項7に記載のプラットフォーム。
  9. すべてのイベントデータ処理が、前記テレメトリモジュールを介して実施される、請求項7に記載のプラットフォーム。
  10. 前記ハードウェアデバイスがx86ハードウェアデバイスを備える、請求項1に記載のプラットフォーム。
  11. 前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである前記環境の中での前記MECアプライアンスのプロビジョニングを担うディスカバリーサービスをさらに備える、請求項1に記載のプラットフォーム。
  12. ネットワークシステムの中でのコンピューティングのためのプラットフォームであって、
    プライベートに管理されるネットワークと接続できる無線ネットワークと、
    それぞれが前記プライベートに管理されるネットワークと関連付けられた、複数のクライアントデバイスと、
    少なくとも1つのサーバであって、前記無線ネットワークの一部であり、前記無線ネットワークと前記プライベートに管理されるネットワークとの間のゲートウェイとしての役割を果たし、各クライアントデバイスと前記サーバとの間の通信を可能にする、前記少なくとも1つのサーバと、
    前記複数のクライアントデバイスと前記無線ネットワークとの間の無線接続性を助長するアクセスノードと、
    前記プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるハードウェアデバイスを備えるモバイルエッジ計算(「MEC」)アプライアンスであって、前記プライベートに管理されるネットワークの境界において又は前記プライベートに管理されるネットワークの境界の近くに設置される前記MECアプライアンスと、
    前記MECアプライアンスの命令及び制御が可能なMECコントローラであって、MNOのコアネットワークの中に常駐する前記MECコントローラと、
    複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MNOのコアネットワークとの通信を確立する任意のプラットフォーム構成要素による任意のアクションを確証するように構成され、前記セキュリティモジュールのセキュリティフレームワークは、前記セキュリティモジュールを介したモジュール同士の通信により、モジュール間の通信を分離することにより、又は、前記セキュリティモジュールが機能を共有せず、独立した攻撃ベクトルを有するように構成されることにより、前記セキュリティモジュールにセキュリティ層を提供す前記セキュリティモジュールと
    を備え、
    前記プラットフォームが、前記MNOのコアネットワーク又は関連付けられたマクロセルネットワークトポロジーを分散化するようにさらに構成され、
    前記プラットフォームが、少なくとも1つのクライアントデバイスで使用される少なくとも1つのサードパーティアプリケーションをホストするための計算リソースを提供する、
    プラットフォーム。
  13. 前記MECアプライアンスがデータ平面としての機能を果たすことができる、請求項12に記載のプラットフォーム。
  14. 前記MECコントローラが制御プレーンとしての機能を果たすことができる、請求項12に記載のプラットフォーム。
  15. 前記MECアプライアンスが、前記MNOのセキュリティゲートウェイサーバへのインターネットプロトコルセキュリティ(「IPSec」)トンネルによって画定されたデータ経路にそれ自体をインストールし、前記アクセスノードへのIPSecサーバ及び前記MNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす、請求項12に記載のプラットフォーム。
  16. 前記MECアプライアンスが、前記アクセスノードとMNOとの間で、インラインで設置される、請求項15に記載のプラットフォーム。
  17. 前記アクセスノードが小型セル無線である、請求項15に記載のプラットフォーム。
  18. 前記MECコントローラが、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームをさらに備え、前記コアサービスプラットフォームが、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリングのために専用のインスタンスの集合に特定の機能の範囲を分離できる、請求項12に記載のプラットフォーム。
  19. 前記コアサービスプラットフォームが、統計及びロギングが可能であるテレメトリモジュールをさらに備える、請求項18に記載のプラットフォーム。
  20. 前記MECアプライアンスのプロビジョニングを担うディスカバリーサービスモジュールをさらに備える、請求項12に記載のプラットフォーム。
  21. 前記ハードウェアデバイスが、x86ハードウェアデバイスを備える、請求項12に記載のプラットフォーム。
  22. 無線ネットワークの中でのコンピューティングのためのプラットフォームであって、
    プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるx86ハードウェア装置を備えるモバイルエッジ計算(「MEC」)アプライアンスであって、小型セル無線とMNOとの間にインラインで設置される前記MECアプライアンスと、
    前記MECアプライアンスの命令及び制御を可能にするMECコントローラであって、前記MECコントローラが前記MNOのコアネットワークの中に常駐し、
    マイクロサービスアーキテクチャとして設計され、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリングのために専用インスタンスの集合に特有の機能の範囲を分離できる、コアサービスプラットフォームであって、
    すべてのアクションを暗号によって認証し、署名するために認証、認可、及び課金を提供するセキュリティモジュールと、
    複数のMECアプライアンスの1対多の管理のために構成されたアプライアンスモジュールと、
    統計及びロギングが可能であるように構成されたテレメトリモジュールと、
    前記MNOのEPC構成要素との通信のために構成された発展型パケットコア(「EPC」)モジュールと、
    前記コアサービスプラットフォームにアクセスするために前記サードパーティプロバイダに唯一のパブリックインタフェースを提供するように構成されたパブリックゲートウェイモジュールと
    を備える前記コアサービスプラットフォームと、
    それぞれクライアントデバイスユーザ及びキャリアオペレータユーザにウェブユーザインタフェースを提供できる企業サービスゲートウェイ及びキャリアサービスゲートウェイと、
    前記MECアプライアンスで実行中のすべての構成要素とサービスとの間のインタフェースとしての機能を果たすためのアプライアンスサービスと、
    前記MECアプライアンスのプロビジョニングを担う前記プラットフォームの構成要素としてのディスカバリーサービスモジュールと
    を備える前記MECコントローラと、
    各構成要素が各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化された、複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MECコントローラの機能に不可欠であり、前記MECアプライアンス全体にわたって拡張する前記セキュリティモジュールと
    を備え、
    前記プライベートに管理されるネットワークのネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである環境が分散型トポロジーであり、
    前記プラットフォームが、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである環境の中で少なくとも1つのサードパーティアプリケーションをホストするために計算リソースを提供し、
    前記セキュリティモジュールが、前記プライベートに管理されるネットワークへのアクセスを許可される前に、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くにおいてのうちの少なくとも1つである前記環境の中で任意のプラットフォーム構成要素による任意のアクションを確証するように構成され、前記セキュリティモジュールのセキュリティフレームワークは、前記セキュリティモジュールを介したモジュール同士の通信により、モジュール間の通信を分離することにより、又は、前記セキュリティモジュールが機能を共有せず、独立した攻撃ベクトルを有するように構成されることにより、前記セキュリティモジュールにセキュリティ層を提供する、
    プラットフォーム。
JP2018563761A 2016-02-25 2017-02-24 モバイルエッジにおけるコンピューティングのためのプラットフォーム Active JP7027348B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022021984A JP7415186B2 (ja) 2016-02-25 2022-02-16 モバイルエッジにおけるコンピューティングのためのプラットフォーム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662299673P 2016-02-25 2016-02-25
US62/299,673 2016-02-25
PCT/US2017/019247 WO2017147355A1 (en) 2016-02-25 2017-02-24 Platform for computing at the mobile edge

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022021984A Division JP7415186B2 (ja) 2016-02-25 2022-02-16 モバイルエッジにおけるコンピューティングのためのプラットフォーム

Publications (2)

Publication Number Publication Date
JP2019515609A JP2019515609A (ja) 2019-06-06
JP7027348B2 true JP7027348B2 (ja) 2022-03-01

Family

ID=59680056

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018563761A Active JP7027348B2 (ja) 2016-02-25 2017-02-24 モバイルエッジにおけるコンピューティングのためのプラットフォーム
JP2022021984A Active JP7415186B2 (ja) 2016-02-25 2022-02-16 モバイルエッジにおけるコンピューティングのためのプラットフォーム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022021984A Active JP7415186B2 (ja) 2016-02-25 2022-02-16 モバイルエッジにおけるコンピューティングのためのプラットフォーム

Country Status (10)

Country Link
US (1) US10341868B2 (ja)
EP (2) EP3982272A1 (ja)
JP (2) JP7027348B2 (ja)
KR (1) KR20180119162A (ja)
CN (2) CN109074346B (ja)
AU (2) AU2017223831B2 (ja)
CA (1) CA3015632A1 (ja)
GB (2) GB2579745B (ja)
MX (2) MX2018010156A (ja)
WO (1) WO2017147355A1 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109428881B (zh) * 2017-09-05 2021-10-26 中国移动通信有限公司研究院 网络安全防护方法、网元设备、系统及计算机存储介质
US10887198B2 (en) * 2017-09-29 2021-01-05 Nec Corporation System and method to support network slicing in an MEC system providing automatic conflict resolution arising from multiple tenancy in the MEC environment
US10440559B2 (en) * 2017-10-25 2019-10-08 Futurewei Technologies, Inc. Private mobile edge computing data center in a telecommunication network
EP3703337B1 (en) * 2017-11-22 2022-12-21 Huawei Technologies Co., Ltd. Mobile edge host-machine service notification method and apparatus
US11064057B2 (en) * 2017-11-30 2021-07-13 Intel Corporation Multi-access edge computing (MEC) translation of radio access technology messages
US10541942B2 (en) 2018-03-30 2020-01-21 Intel Corporation Technologies for accelerating edge device workloads
US11343660B2 (en) 2018-06-07 2022-05-24 Nokia Technologies Oy Mobile edge computing applications management for wireless networks
WO2020020442A1 (en) 2018-07-24 2020-01-30 Huawei Technologies Co., Ltd. Edge computing topology information exposure
CN109144485B (zh) * 2018-09-10 2022-02-15 南方电网科学研究院有限责任公司 一种微服务的部署方法、装置、设备及可读存储介质
US10944796B2 (en) 2018-09-27 2021-03-09 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US10574670B1 (en) 2018-09-27 2020-02-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
US10884814B2 (en) * 2018-09-28 2021-01-05 Intel Corporation Mobile edge-cloud security infrastructure
CN109302483B (zh) * 2018-10-17 2021-02-02 网宿科技股份有限公司 一种应用程序的管理方法及系统
KR102148704B1 (ko) * 2018-11-02 2020-08-27 경희대학교 산학협력단 Mec 환경에서 자율 주행을 위한 딥러닝 기반 캐싱 시스템 및 방법
US10624148B1 (en) 2018-11-05 2020-04-14 Microsoft Tehnology Licensing, LLC Implementation of core cellular networking stack on cloud infrastructure
TWI699135B (zh) * 2018-11-19 2020-07-11 中華電信股份有限公司 基於行動邊緣運算用戶資訊之訊務處理及分流的系統與方法
KR102365031B1 (ko) * 2018-11-29 2022-02-21 한국전자통신연구원 유연성을 지원하는 확장성 이벤트 전달 시스템 및 이벤트 전달 방법
US10827537B2 (en) 2018-12-03 2020-11-03 At&T Intellectual Property I, L.P. Network core software defined networking enabled onboarding of micro services for an advanced wireless communications system
US11340877B2 (en) * 2018-12-19 2022-05-24 Network Native, Inc. System and method for holistic application development and deployment in a distributed heterogeneous computing environment
US11210142B2 (en) * 2018-12-28 2021-12-28 Intel Corporation Technologies for multi-tenant automatic local breakout switching and data plane dynamic load balancing
US11290561B2 (en) * 2019-02-07 2022-03-29 Verizon Patent And Licensing Inc. Methods and systems for managing applications of a multi-access edge computing environment
KR102326521B1 (ko) 2019-03-15 2021-11-16 한국전자통신연구원 Mec 플랫폼, 그것을 갖는 디지털 트윈 서비스 시스템 및 그것의 동작 방법
WO2020198157A1 (en) * 2019-03-28 2020-10-01 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
US11716246B2 (en) 2019-03-29 2023-08-01 Samsung Electronics Co., Ltd Device and method for providing edge computing service in wireless communication system
CN110177101A (zh) * 2019-05-28 2019-08-27 四川城市职业学院 基于5g通信的信息处理方法和装置及相关设备
CN110187973B (zh) * 2019-05-31 2021-01-26 浙江大学 一种面向边缘计算的服务部署优化方法
KR102471536B1 (ko) 2019-06-17 2022-11-28 한국전자통신연구원 멀티-액세스 엣지 컴퓨팅 플랫폼 기반 시뮬레이션 서비스 제공 장치 및 그것의 동작 방법
FR3096535A1 (fr) * 2019-06-26 2020-11-27 Orange Procédés et dispositifs de sécurisation d’un réseau de périphérie à accès multiple
US11409874B2 (en) * 2019-07-03 2022-08-09 International Business Machines Corporation Coprocessor-accelerated verifiable computing
CN110381131B (zh) * 2019-07-15 2022-01-28 北京奇艺世纪科技有限公司 Mec节点标识的实现方法、移动终端、服务器和存储介质
CN112399370B (zh) * 2019-08-02 2022-07-22 华为云计算技术有限公司 一种车联网安全通信的方法
US20210045193A1 (en) * 2019-08-11 2021-02-11 Parallel Wireless, Inc. 5G/4G/3G/2G Cloud-Native OpenRAN Architecture
CN112437031A (zh) * 2019-08-23 2021-03-02 金田产业发展(山东)集团有限公司 一种基于异构网络的多端融合国土资源移动政务系统
CN112637909B (zh) * 2019-09-24 2023-04-07 中国移动通信集团重庆有限公司 锚点网络的智能配置方法及装置
CN110784391B (zh) * 2019-11-01 2021-10-15 恒安嘉新(北京)科技股份公司 小基站与网关通信的方法、装置、存储介质及终端
TWI727496B (zh) * 2019-11-11 2021-05-11 財團法人工業技術研究院 多邊緣雲之網路通訊控制方法及邊緣運算系統
KR102389666B1 (ko) 2019-11-25 2022-04-25 경희대학교 산학협력단 공존 에지 컴퓨팅에서 분산 게임 이론을 기반으로 무선 및 컴퓨팅 리소스를 관리하는 장치 및 방법
US11470481B2 (en) 2019-11-25 2022-10-11 University-Industry Cooperation Group Of Kyung Hee University Apparatus and method using a decentralized game approach for radio and computing resource allocation in co-located edge computing
US11343148B2 (en) * 2020-03-09 2022-05-24 Microsoft Technology Licensing, Llc Secure management of devices
US11799860B2 (en) * 2020-04-27 2023-10-24 Zscaler, Inc. Client forwarding policies for zero trust access for applications
KR102384555B1 (ko) * 2020-05-13 2022-04-07 고려대학교 산학협력단 모바일 에지 컴퓨팅 시스템의 비동기식 자원 할당 방법 및 장치
CN111654541B (zh) * 2020-06-02 2021-12-07 中国联合网络通信集团有限公司 面向边缘计算业务的服务功能链编排方法、系统及编排器
US11005721B1 (en) 2020-06-30 2021-05-11 Juniper Networks, Inc. Scalable control plane for telemetry data collection within a distributed computing system
US11516199B2 (en) 2020-07-17 2022-11-29 Cisco Technology, Inc. Zero trust for edge devices
US11190579B1 (en) 2020-07-17 2021-11-30 Cisco Technology, Inc. Edge to multi-cloud data processing and governance
KR20220012042A (ko) * 2020-07-22 2022-02-03 삼성전자주식회사 엣지 컴퓨팅 시스템 및 방법
KR20220012054A (ko) * 2020-07-22 2022-02-03 삼성전자주식회사 엣지 컴퓨팅 시스템 및 연결 기기 추천 방법
US11700309B2 (en) 2020-08-13 2023-07-11 Alibaba Group Holding Limited Network parameter provisioning for instantiation of a network entity
KR20220023471A (ko) * 2020-08-21 2022-03-02 에스케이텔레콤 주식회사 엣지 통합 제어장치 및 엣지 통합 제어장치의 동작 방법
CN112367188B (zh) * 2020-10-16 2023-08-29 零氪科技(北京)有限公司 一种基于零信任模型的私有化安全系统及实现方法
CN112423027B (zh) * 2020-10-22 2021-10-22 武汉理工大学 一种基于差分隐私的移动流媒体边缘协作分发装置及方法
KR102565678B1 (ko) 2020-10-26 2023-08-14 (주)케이티엔에프 현장 온도를 감내하기 위한 엣지컴퓨팅시스템
KR102565749B1 (ko) 2020-10-26 2023-08-16 (주)케이티엔에프 러기드 환경을 위한 엣지컴퓨팅시스템
KR102304477B1 (ko) 2020-11-19 2021-09-17 광운대학교 산학협력단 지능형 영상 보안을 위한 적응적 컨텍스트 공유 및 엣지 서버간 자율협업 시스템
CN115134357A (zh) * 2021-03-10 2022-09-30 中国移动通信有限公司研究院 一种能力部署方法、装置及边缘计算业务运营设备
KR102613336B1 (ko) * 2021-08-19 2023-12-15 한국건설기술연구원 스마트 하우징 플랫폼 및 스마트 홈 서비스 방법
KR102510258B1 (ko) 2021-08-31 2023-03-14 광운대학교 산학협력단 지능형 영상 보안 환경에서 컴퓨팅 리소스 예측 기반의 엣지 서버간 협업 시스템
US11778514B2 (en) 2021-09-20 2023-10-03 T-Mobile Innovations Llc Data router connectivity to wireless communication slices
CN115987534A (zh) * 2021-10-14 2023-04-18 华为技术有限公司 一种资源访问方法及装置
US20240073032A1 (en) * 2022-08-24 2024-02-29 Sap Se Secure tenant-based chaos experiments using certificates

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030058874A1 (en) 2001-09-21 2003-03-27 Nokia Corporation System and method for enabling mobile edge services
JP2012060357A (ja) 2010-09-08 2012-03-22 Kddi Corp 移動体システムのリモートアクセス制御方法
WO2015035121A1 (en) 2013-09-09 2015-03-12 Vmware, Inc. System and method for managing configuration of virtual switches in a virtual machine network

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100481970C (zh) * 2003-09-04 2009-04-22 富士通株式会社 信息提供方法及信息提供程序
US20060041938A1 (en) 2004-08-20 2006-02-23 Axalto Inc. Method of supporting SSL/TLS protocols in a resource-constrained device
US8499031B1 (en) * 2005-10-21 2013-07-30 Oracle America, Inc. Markup language messaging service for secure access by edge applications
WO2009070430A2 (en) 2007-11-08 2009-06-04 Suridx, Inc. Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones
US9185122B2 (en) * 2008-05-31 2015-11-10 Hewlett-Packard Development Company, L.P. Methods and systems for managing security in a network
US8023425B2 (en) * 2009-01-28 2011-09-20 Headwater Partners I Verifiable service billing for intermediate networking devices
US8121600B2 (en) 2008-12-30 2012-02-21 Motorola Mobility, Inc. Wide area mobile communications over femto-cells
US8627426B2 (en) * 2010-04-26 2014-01-07 Vmware, Inc. Cloud platform architecture
CN101969391B (zh) * 2010-10-27 2012-08-01 北京邮电大学 一种支持融合网络业务的云平台及其工作方法
US8793780B2 (en) * 2011-04-11 2014-07-29 Blackberry Limited Mitigation of application-level distributed denial-of-service attacks
EP2716132A2 (en) * 2011-06-02 2014-04-09 Interdigital Patent Holdings, Inc. Methods, apparatus, and systems for managing converged gateway communications
US10069854B2 (en) * 2012-11-17 2018-09-04 The Trustees Of Columbia University In The City Of New York Methods, systems and media for evaluating layered computer security products
US20150304736A1 (en) * 2013-06-04 2015-10-22 Reshma Lal Technologies for hardening the security of digital information on client platforms
US9276750B2 (en) * 2013-07-23 2016-03-01 Intel Corporation Secure processing environment measurement and attestation
US10348825B2 (en) * 2014-05-07 2019-07-09 Verizon Patent And Licensing Inc. Network platform-as-a-service for creating and inserting virtual network functions into a service provider network
US10552619B2 (en) * 2015-07-20 2020-02-04 Intel Corporation Technologies for secure trusted I/O access control
US10135622B2 (en) * 2016-06-03 2018-11-20 Intel Corporation Flexible provisioning of attestation keys in secure enclaves
US10592435B2 (en) * 2016-07-14 2020-03-17 Intel Corporation System, apparatus and method for secure monotonic counter operations in a processor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030058874A1 (en) 2001-09-21 2003-03-27 Nokia Corporation System and method for enabling mobile edge services
JP2012060357A (ja) 2010-09-08 2012-03-22 Kddi Corp 移動体システムのリモートアクセス制御方法
WO2015035121A1 (en) 2013-09-09 2015-03-12 Vmware, Inc. System and method for managing configuration of virtual switches in a virtual machine network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ETSI GS MEC-IEG 004 V1.1.1,ETSI,2015年11月,https://www.etsi.org/deliver/etsi_gs/MEC-IEG/001_099/004/01.01.01_60/gs_MEC-IEG004v010101p.pdf
Mobile-Edge Computing - Introductory Technical White Paper,ETSI,2014年09月,https://portal.etsi.org/Portals/0/TBpages/MEC/Docs/Mobile-edge_Computing_-_Introductory_Technical_White_Paper_V1%2018-09-14.pdf

Also Published As

Publication number Publication date
EP3420465A4 (en) 2019-08-14
AU2017223831A1 (en) 2018-09-13
AU2022202999A1 (en) 2022-05-26
JP7415186B2 (ja) 2024-01-17
WO2017147355A1 (en) 2017-08-31
AU2017223831B2 (en) 2022-04-07
EP3420465A1 (en) 2019-01-02
US10341868B2 (en) 2019-07-02
GB2565656B (en) 2020-04-15
EP3420465B1 (en) 2021-12-08
MX2022001353A (es) 2022-03-25
GB2565656A (en) 2019-02-20
JP2022084588A (ja) 2022-06-07
GB201813735D0 (en) 2018-10-10
US20170251368A1 (en) 2017-08-31
EP3982272A1 (en) 2022-04-13
GB2579745A (en) 2020-07-01
JP2019515609A (ja) 2019-06-06
CN109074346A (zh) 2018-12-21
CA3015632A1 (en) 2017-08-31
CN114584977A (zh) 2022-06-03
GB2579745B (en) 2021-02-03
KR20180119162A (ko) 2018-11-01
GB202002995D0 (en) 2020-04-15
MX2018010156A (es) 2019-01-31
CN109074346B (zh) 2022-04-15

Similar Documents

Publication Publication Date Title
JP7415186B2 (ja) モバイルエッジにおけるコンピューティングのためのプラットフォーム
US10904240B2 (en) System and method of verifying network communication paths between applications and services
Ferrazani Mattos et al. AuthFlow: authentication and access control mechanism for software defined networking
EP3843329B1 (en) Device authentication based upon tunnel client network requests
US11848962B2 (en) Device authentication based upon tunnel client network requests
US11032247B2 (en) Enterprise mobility management and network micro-segmentation
JP2016067054A (ja) ワイヤレス・ネットワークにおいてデジタル証明書を管理するためのフレキシブルなシステムおよび方法
US20230131703A1 (en) Systems and methods for configuring a network function proxy for secure communication
WO2023197942A1 (zh) 一种公共云的扩展方法、设备、系统及存储介质
US10375055B2 (en) Device authentication based upon tunnel client network requests
US11681813B2 (en) System and method for enforcing context-based data transfer and access
Forsberg Secure distributed AAA with domain and user reputation
CN117240457A (zh) 一种基于第三方基础设施的密码计算服务方法及系统

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20191009

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191010

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20191010

A625 Written request for application examination (by other person)

Free format text: JAPANESE INTERMEDIATE CODE: A625

Effective date: 20200221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200224

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20200710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20200710

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210604

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220118

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220216

R150 Certificate of patent or registration of utility model

Ref document number: 7027348

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150