KR101846155B1 - 서비스 c-평면 접근법에 대한 네트워크 토큰들을 사용한 효율적인 정책 시행 - Google Patents

서비스 c-평면 접근법에 대한 네트워크 토큰들을 사용한 효율적인 정책 시행 Download PDF

Info

Publication number
KR101846155B1
KR101846155B1 KR1020177023277A KR20177023277A KR101846155B1 KR 101846155 B1 KR101846155 B1 KR 101846155B1 KR 1020177023277 A KR1020177023277 A KR 1020177023277A KR 20177023277 A KR20177023277 A KR 20177023277A KR 101846155 B1 KR101846155 B1 KR 101846155B1
Authority
KR
South Korea
Prior art keywords
network token
network
client device
token
access node
Prior art date
Application number
KR1020177023277A
Other languages
English (en)
Other versions
KR20170118752A (ko
Inventor
수범 이
개빈 버나드 호른
존 월라스 나시엘스키
스테파노 파킨
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20170118752A publication Critical patent/KR20170118752A/ko
Application granted granted Critical
Publication of KR101846155B1 publication Critical patent/KR101846155B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1485Tariff-related aspects
    • H04L12/1496Tariff-related aspects involving discounts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/215Flow control; Congestion control using token-bucket
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/10Flow control between communication endpoints
    • H04W28/12Flow control between communication endpoints using signalling between network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

디바이스는 제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 플로우들을 확립한다. 게이트웨이 디바이스는 제어 평면 시그널링 동안 네트워크 토큰에 대한 요청을 획득한다. 게이트웨이 디바이스는 네트워크 토큰을 도출하고, 제어 평면 시그널링 동안 디바이스 및/또는 액세스 노드로 전송한다. 디바이스 및/또는 액세스 노드는 네트워크 토큰을 획득하며, 여기서, 네트워크 토큰은 하나 이상의 플로우들 중 제 1 플로우, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되고, 제어 평면 시그널링을 통해 디바이스 또는 액세스 노드에 제공된다. 네트워크 토큰은 디바이스로부터 사용자 평면에 전송된 패킷에 포함될 수도 있다. 네트워크 토큰은 암호 함수를 사용하여 액세스 노드 및/또는 게이트웨이 디바이스에서 검증되고, 검증의 결과들에 기초하여 그 목적지로 전송될 수도 있다.

Description

서비스 C-평면 접근법에 대한 네트워크 토큰들을 사용한 효율적인 정책 시행{EFFICIENT POLICY ENFORCEMENT USING NETWORK TOKENS FOR SERVICES C-PLANE APPROACH}
본 출원은 Efficient Policy Enforcement Using Network Access Tokens For Services C-Plane Approach 의 명칭으로 2015년 2월 24일자로 출원된 미국 가출원 제62/120,135호, 및 2015년 8월 21일자로 출원된 미국 정규출원 제14/832,965호에 대한 우선권을 주장하고, 그 출원들의 내용들은 본 명세서에 참조로 통합된다.
일 양태는 일반적으로 네트워크 토큰들에 관한 것으로서, 더 상세하게는, 디바이스가 오직 허가된 어플리케이션 서비스들에만 액세스하고 있다는 검증 및/또는 패킷 스티어링을 용이하게 하기 위해 데이터 플로우들과 연관되는 네트워크 토큰들의 도출, 제공, 및 사용에 관한 것이다.
일부 클라이언트 디바이스들은 네트워크 액세스를 가질 수도 있지만, 그 네트워크 액세스는 어플리케이션 서비스들의 세트로 제한될 수도 있다. 일 예에 있어서, 클라이언트 디바이스의 네트워크 액세스는 특정 어플리케이션 서비스 제공자에 의해 후원될 수도 있다. 클라이언트 디바이스는 어플리케이션 서비스 제공자에 의해 그 서버 상에서 구동된 어플리케이션 서비스들로 제한될 수도 있다. 다른 예에 있어서, 네트워크 액세스를 갖는 클라이언트 디바이스는 주어진 어플리케이션 서비스와 연관된 데이터의 특별한 청구 또는 취급 (예를 들어, 서비스 품질의 비트 레이트) 을 위해 허용하는 약정의 부분일 수도 있다. 예를 들어, 클라이언트 디바이스는 셀룰러 제공자를 통해 셀룰러 가입을 가질 수도 있고, 그 셀룰러 제공자는 클라이언트 디바이스에 대한 하나 이상의 제약들을 부과하길 원할 수도 있다. 일 예에 있어서, 오늘날 소셜 미디어의 제공자로서 공지되지만 셀룰러 제공자로서 공지되지 않은 법인이 셀룰러 제공자로서 역할을 할 수도 있다. 이 예에 있어서, 클라이언트 디바이스는 그 법인으로의 가입을 가질 수도 있다. 그 가입 협정의 부분으로서, 클라이언트 디바이스는 인터넷으로의 액세스를 획득할 수도 있지만 다른 소셜 미디어 사이트들을 제외하고 그 법인의 소셜 미디어 사이트를 사용하도록 제약될 수도 있다. 다른 예로서, 클라이언트 디바이스는 스트리밍 미디어 서비스들의 제공자로의 가입을 가질 수도 있다. 이 예에 있어서, 협정의 부분으로서, 클라이언트 디바이스는 다양한 셀룰러 제공자들을 통한 인터넷으로의 액세스를 획득할 수도 있지만 모든 스트리밍 미디어 서비스들에 대해 미디어 서비스들의 제공자의 사이트를 사용하도록 (스트리밍 미디어 서비스들의 제공자와 다양한 셀룰러 제공자들 및/또는 클라이언트 디바이스의 사용자 간의) 협정에 의해 제약될 수도 있다. 또다른 예로서, 특정 액세스 포인트 네임들 (APN들) 에 대해, 오직 특정 트래픽만이 정책 (policy) 또는 가입 제한에 기초하여 클라이언트 디바이스로부터 전송되도록 허용될 수도 있다.
정책들은, 클라이언트 디바이스가 어떠한 협정들도 위반하지 않고 있음, 주어진 어플리케이션 서비스로의 액세스를 제공받고 있음 및/또는 서비스의 레벨에 대한 협정을 제공받고 있음을 보장하도록 어플리케이션 서비스들과 관련하여 마련될 수도 있다. 그러한 정책들은 클라이언트 디바이스로부터 예를 들어 패킷 데이터 네트워크 (예컨대, 인터넷) 상의 서버를 향해 전송된 업링크 (UL) 패킷들에 대해 시행될 수도 있다.
오늘날, 어플리케이션 서비스들에 대한 정책 시행은 네트워크로의 게이트웨이에서 발생한다. 그러한 게이트웨이의 일 예는 패킷 데이터 네트워크 게이트웨이 (P-GW) 이고, 이는 네트워크 코어 (예를 들어, 진화된 패킷 코어 (EPC)) 와 인터넷과 같은 패킷 데이터 네트워크 사이의 게이트웨이로서 기능한다. 서비스 액세스 정책들의 시행은 클라이언트 디바이스로부터 전송된 모든 UL 패킷들을 유효화하도록 P-GW 에게 요구할 수도 있다는 점에 있어서 하나의 문제점이 존재한다. 더욱이, 각각의 UL 패킷은 특정 베어러를 통해 그 목적지 어드레스로 스티어링될 필요가 있을 수도 있다.
P-GW 에서의 UL 패킷들의 유효화는 클라이언트 디바이스가 패킷들을 오직 허가된 어플리케이션 서비스로만 전송하고 있음을 보장하기 위해 필요할 수도 있다. 유효화는 P-GW 를 통과하는 패킷들의 목적지 어드레스 또는 목적지 어드레스 및 포트 번호를 검증하는 것을 포함할 수도 있다. 부가적으로, 각각의 패킷의 소스 어드레스를 검증하는 것은 (예를 들어, 비허가된 클라이언트 디바이스들로부터의 패킷들이 허가된 클라이언트 디바이스로부터 기인한 것처럼 보임으로써 시스템을 기만하는 것을 방지함으로써) 안티-스푸핑을 위해 유용할 수도 있다. 패킷 스티어링은 서비스 품질 (QoS) 에 대한 협정이 달성됨을 보장하기 위해 필요할 수도 있다.
현행 프랙티스들은 실질적인 오버헤드를 야기하고 프로세싱 지연으로 인해 포워딩 레이턴시를 부가한다. 현행 프랙티스는 통상적으로, 패킷 검사 (예를 들어, 심층 패킷 검사, 단층 패킷 검사) 및 트래픽 플로우 템플릿 (TFT) 그리고 서비스 데이터 플로우 (SDF) 템플릿들을 사용하여 실현된다. P-GW 는, UL 패킷들이 각각의 패킷의 헤더들을 검사함으로써 서비스(들)에 대해 정의된 TFT/SDF 템플릿에 부합함을 확인한다.
미세-입자 정책 제어 (예를 들어, 어플리케이션 당) 는, 부가적인 정책 제어가 부가적인 오버헤드 및 프로세싱 지연을 초래하기 때문에 어려운데, 왜냐하면 패킷이 TFT/SDF 템플릿들에 의해 실현된 부가적인 필터링 규칙들에 대해 테스팅될 필요가 있을 것이기 때문이다. 더욱이, TFT/SDF 템플릿들의 사용은 후원된 접속에 대해 스케일가능하지 않다. 상이한 서비스들의 스폰서들의 수에서의 증가 (앞으로, 아마도 수천개의 서비스들) 는 대응하게 증가된 수의 TFT/SDF 템플릿들을 통해 패킷들을 필터링하는데 필요한 시간에서의 증가를 의미할 것이다. 이는, 다시, 부가적인 오버헤드 및 프로세싱 지연을 초래할 것이다.
패킷 검사를 보충 및/또는 강화하기 위한 대안이 요구된다.
일 양태에 따르면, 일 방법은 디바이스에서 동작할 수도 있다. 그 방법은 제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립하는 단계, 및 제어 평면 시그널링 동안 디바이스에서 제 1 네트워크 토큰을 획득하는 단계를 포함할 수도 있다. 제 1 네트워크 토큰은 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되며, 제어 평면 시그널링을 통해 디바이스에 제공될 수도 있다. 그 방법은 또한, 제 1 플로우와 연관되는 패킷으로 디바이스로부터의 제 1 네트워크 토큰을 전송하는 단계를 포함할 수도 있다. 일부 양태들에 따르면, 그 방법은, 제 1 플로우와 연관되는 디바이스로부터 전송된 모든 패킷으로 디바이스로부터의 제 1 네트워크 토큰을 전송하는 단계를 포함할 수도 있다. 제 1 네트워크 토큰은 네트워크 액세스 정책에 따라 도출될 수도 있다. 이는 제 1 플로우에서의 패킷을 제 1 어플리케이션으로 스티어링하도록 사용될 수도 있다.
제 1 네트워크 토큰은 제 1 네트워크 토큰에 대한 명시적 또는 암시적 요청에 응답하여 제공될 수도 있다. 암시적 요청은 패킷 데이터 네트워크 (PDN) 접속 요청 메시지, 전용 베어러 활성화 요청 메시지, 또는 베어러 수정 요청 메시지 중 하나를 포함할 수도 있다.
일부 양태들에 따르면, 제 1 네트워크 토큰은, 인터넷 프로토콜 (IP) 계층과 매체 액세스 제어 (MAC) 계층 사이의 심 (shim) 계층에서의 심 헤더, 패킷 데이터 수렴 프로토콜 (PDCP) 헤더, 및/또는 IP 버전 6 (IPv6) 에서 정의된 바와 같은 IP 확장 헤더에 있어서, 디바이스로부터 게이트웨이 디바이스로 전송될 수도 있다. 심 헤더에서 전송될 경우, 제 1 네트워크 토큰은 액세스 노드에 투명할 수도 있다. 일부 양태들에 따르면, 제 1 네트워크 토큰은, 인터넷 프로토콜 (IP) 계층과 매체 액세스 제어 (MAC) 계층 사이의 심 계층에서의 심 헤더, 및/또는 패킷 데이터 수렴 프로토콜 (PDCP) 헤더에 있어서, 디바이스로부터 액세스 노드로 전송될 수도 있다.
일부 양태들에 따르면, 제 2 네트워크 액세스 토큰이 제어 평면 시그널링 동안 디바이스에서 획득될 수도 있다. 제 2 네트워크 토큰은, 제 1 토큰을 도출하였던 제 1 디바이스와는 상이한 제 2 디바이스에 의해 도출될 수도 있다. 이는 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되며, 제어 평면 시그널링을 통해 디바이스에 제공될 수도 있다.
디바이스는 네트워크 인터페이스 및 네트워크 인터페이스에 커플링된 프로세싱 회로를 포함할 수도 있다. 프로세싱 회로는 제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립하고, 제어 평면 시그널링 동안 디바이스에서 네트워크 토큰을 획득하도록 구성될 수도 있고, 여기서, 네트워크 토큰은 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되며, 제어 평면 시그널링을 통해 디바이스에 제공된다.
일 양태에 따르면, 게이트웨이 디바이스에서 동작하는 방법은, 게이트웨이 디바이스에서, 클라이언트 디바이스와 연관된 데이터 접속 셋업, 활성화, 또는 수정과 연관된 제어 평면 시그널링 동안 네트워크 토큰에 대한 요청을 획득하는 단계를 포함할 수도 있다. 그 방법은, 게이트웨이 디바이스에서 네트워크 토큰을 도출하는 단계로서, 네트워크 토큰은 액세스 정책에 따라 플로우 및 어플리케이션 서비스와 연관되는, 상기 네트워크 토큰을 도출하는 단계, 및 제어 평면 시그널링을 통해, 제어 평면 시그널링 동안 클라이언트 디바이스로 또는 클라이언트 디바이스와 연관된 액세스 노드로 네트워크 토큰을 전송하는 단계를 더 포함할 수도 있다. 네트워크 토큰은 게이트웨이 디바이스를 통한 네트워크 상으로의 송신 동안 클라이언트 디바이스와 어플리케이션 서비스 사이를 천이하는 패킷들을 스티어링하도록 사용될 수도 있다. 네트워크 토큰에 대한 요청은 명시적일 수도 있다. 네트워크 토큰에 대한 요청은 암시적일 수도 있다. 요청은, 게이트웨이 디바이스에서, 패킷 데이터 네트워크 (PDN) 접속 요청, 전용 베어러 활성화 요청, 또는 베어러 수정 요청을 획득할 시에 암시적으로 인식될 수도 있다.
일 양태에 따르면, 네트워크 토큰의 도출은, 클라이언트 디바이스가 어태치되는 액세스 노드에 특정한 비밀 키에 기초할 수도 있다. 그러한 양태에 따른 방법은 액세스 노드에 비밀 키를 전송하는 단계를 포함할 수도 있다.
일 양태에 따르면, 네트워크 토큰은 업링크 네트워크 토큰, 및 업링크 네트워크 토큰과는 상이한 다운링크 네트워크 토큰으로서 도출될 수도 있다. 업링크 네트워크 토큰의 도출은 게이트웨이 디바이스에 공지된 키에 그리고 클라이언트 디바이스와 연관된 파라미터에 기초할 수도 있다. 다운링크 네트워크 토큰의 도출은 게이트웨이 디바이스에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초할 수도 있다. 그러한 양태에 따르면, 그 방법은 업링크 네트워크 토큰 및 다운링크 네트워크 토큰을 클라이언트 디바이스로 전송하는 단계를 포함할 수도 있다.
일 양태에 따르면, 게이트웨이 디바이스는 네트워크 토큰을 포함한 제 1 패킷을 획득할 수도 있다. 게이트웨이 디바이스는 패킷 검사의 사용없이 제 1 패킷에 포함된 네트워크 토큰과 연관된 데이터를 사용하여 클라이언트 디바이스와 어플리케이션 서비스 사이에서 제 1 패킷을 스티어링할 수도 있다. 게이트웨이 디바이스는 게이트웨이 디바이스에 공지된 키를 사용하여 네트워크 토큰을 검증할 수도 있다. 게이트웨이 디바이스는, 검증이 성공적이지 않으면, 네트워크 토큰을 포함한 제 1 패킷을 폐기함으로써 작동할 수도 있다. 게이트웨이 디바이스는, 검증이 성공적이면, 패킷 검사의 사용없이 제 1 패킷에 포함된 네트워크 토큰을 사용하여 클라이언트 디바이스와 어플리케이션 서비스 사이에서 제 1 패킷을 스티어링함으로써 작동할 수도 있다. 네트워크 토큰을 검증하는 것은 게이트웨이 디바이스에 공지된 키, 및 네트워크 토큰 파라미터 인덱스, 소스 인터넷 프로토콜 (IP) 어드레스, 소스 포트 번호, 목적지 IP 어드레스, 목적지 포트 번호, 프로토콜 식별자 (ID), 어플리케이션 ID, 우선순위, 및/또는 서비스 품질 클래스 식별자 (QCI) 를 포함한 입력 파라미터들의 세트를 갖는 함수로부터 검증 네트워크 토큰을 도출하는 것을 포함할 수도 있다. 그 후, 검증하는 것은 네트워크 토큰을 검증 네트워크 토큰과 비교하는 것을 더 포함할 수도 있다. 일부 양태들에 있어서, 네트워크 토큰 파라미터 인덱스, 소스 인터넷 프로토콜 (IP) 어드레스, 소스 포트 번호, 목적지 IP 어드레스, 목적지 포트 번호, 프로토콜 식별자 (ID), 어플리케이션 ID, 우선순위, 및/또는 서비스 품질 클래스 식별자 (QCI) 는 패킷으로부터 획득된다.
일부 양태들에 따르면, 일 방법은 네트워크 토큰을 검증하기 전에 네트워크 토큰 파라미터 인덱스를 식별하는 단계를 포함할 수도 있고, 여기서, 네트워크 토큰 파라미터 인덱스는 입력 파라미터들의 리스트를 정의한다. 그러한 방법은 또한, 게이트웨이 디바이스에 공지된 키 및 입력 파라미터들의 리스트를 입력으로서 갖는 함수로부터 검증 네트워크 토큰을 도출하는 단계를 포함할 수도 있다. 네트워크 토큰 파라미터 인덱스는 어플리케이션 식별자 (ID) 를 정의할 수도 있다. 입력 파라미터들의 리스트는 게이트웨이 디바이스 내의 테이블에 저장될 수도 있다. 네트워크 토큰은 IP 헤더와는 별개인 심 헤더에서 반송될 수도 있다. 네트워크 토큰은 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP) 헤더에서 반송될 수도 있다. 네트워크 토큰은 인터넷 프로토콜 (IP) 버전 6 (IPv6) 에서 정의된 IP 확장 헤더에서 반송될 수도 있다.
일 양태에 따르면, 게이트웨이 디바이스는 네트워크 인터페이스 및 네트워크 인터페이스에 커플링된 프로세싱 회로를 포함할 수도 있다. 프로세싱 회로는 클라이언트 디바이스와 연관된 데이터 접속 셋업, 활성화, 또는 수정과 연관된 제어 평면 시그널링 동안 네트워크 토큰에 대한 요청을 획득하고, 네트워크 토큰을 획득하는 것으로서, 네트워크 토큰은 액세스 정책에 따라 플로우 및 어플리케이션 서비스와 연관되는, 상기 네트워크 토큰을 획득하고, 그리고 제어 평면 시그널링을 통해, 제어 평면 시그널링 동안 클라이언트 디바이스로 또는 클라이언트 디바이스와 연관된 액세스 노드로 네트워크 토큰을 전송하도록 구성될 수도 있다.
일부 양태들에 따르면, 액세스 노드에서 동작하는 방법은 제어 평면 시그널링 동안 액세스 노드에서 네트워크 토큰을 획득하는 단계를 포함할 수도 있다. 네트워크 토큰은 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되며, 제어 평면 시그널링을 통해 액세스 노드에 제공될 수도 있다. 그 방법은, 액세스 노드로부터, 제 1 플로우와 연관된 패킷으로 네트워크 토큰을 전송하는 단계를 더 포함할 수도 있다. 그 방법은, 액세스 노드로부터, 제 1 플로우와 연관된 모든 패킷으로 네트워크 토큰을 전송하는 단계를 더 포함할 수도 있다. 네트워크 토큰은 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트와 연관될 수도 있다.
다른 양태에 따르면, 액세스 노드에서 동작하는 방법은, 제어 평면 시그널링에 있어서, 게이트웨이 디바이스로부터 액세스 노드에 특정한 비밀 키를 획득하는 단계를 포함할 수도 있다. 그 방법은, 사용자 평면 시그널링에 있어서, 클라이언트 디바이스로부터 액세스 노드에서 패킷을 획득하는 단계를 더 포함할 수도 있으며, 그 패킷은 네트워크 토큰을 포함한다. 액세스 노드는, 게이트웨이 디바이스로부터 획득된 액세스 노드에 특정한 비밀 키를 사용하여 네트워크 토큰을 검증하는 것, 및 네트워크 토큰이 검증되면 패킷 및 네트워크 토큰을 게이트웨이 디바이스로 전송하거나 또는 네트워크 토큰이 검증되지 않으면 패킷 및 네트워크 토큰을 폐기하는 것에 의해, 작동할 수도 있다. 네트워크 토큰은 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP) 헤더에서 게이트웨이 디바이스에 반송될 수도 있다. 네트워크 토큰은 패킷 데이터 수렴 프로토콜 (PDCP) 헤더로부터 일반 패킷 무선 서비스 터널링 프로토콜 헤더 (GTP 헤더) 로 복사되고, GTP 헤더에서 게이트웨이 디바이스에 반송될 수도 있다. 일부 양태들에 따르면, 네트워크 토큰은 어플리케이션 서비스와 연관된 액세스 정책을 시행하기 위한 것이고, 액세스 노드에 특정한 비밀 키는 비허가된 패킷들이 게이트웨이 디바이스에 도달하는 것을 방지하기 위해 패킷들을 게이트웨이 디바이스로 전송하기 전에 액세스 노드에서 수신된 패킷들에 포함된 네트워크 토큰을 유효화하기 위한 것이다.
일 양태에 따르면, 액세스 노드는 네트워크 인터페이스 및 네트워크 인터페이스에 커플링된 프로세싱 회로를 포함할 수도 있다. 프로세싱 회로는, 제어 평면 시그널링에 있어서, 게이트웨이 디바이스로부터 액세스 노드에 특정한 비밀 키를 획득하도록 구성될 수도 있다. 프로세싱 회로는 추가로, 사용자 평면 시그널링에 있어서, 클라이언트 디바이스로부터 액세스 노드에서 패킷을 획득하도록 구성될 수도 있으며, 그 패킷은 네트워크 토큰을 포함한다. 프로세싱 회로는 더 추가로, 게이트웨이 디바이스로부터 획득된 액세스 노드에 특정한 비밀 키를 사용하여 네트워크 토큰을 검증하고, 그리고 네트워크 토큰이 검증되면 패킷 및 네트워크 토큰을 게이트웨이 디바이스로 전송하거나 또는 네트워크 토큰이 검증되지 않으면 패킷 및 네트워크 토큰을 폐기하도록 구성될 수도 있다.
일부 양태들에 따르면, 게이트웨이 디바이스에서 동작하는 방법은, 게이트웨이 디바이스에서, 어플리케이션 서버로부터 패킷을 획득하는 단계를 포함할 수도 있다. 패킷은 다운링크 네트워크 토큰을 포함할 수도 있다. 그 방법은 게이트웨이 디바이스에 공지된 키를 사용하여 다운링크 네트워크 토큰을 검증하는 단계, 검증이 성공적이지 않으면 패킷을 폐기하는 단계, 및 검증이 성공적이면 다운링크 네트워크 토큰을 폐기하고 다운링크 네트워크 토큰에 의해 표현된 파라미터들에 기초하여 패킷을 클라이언트 디바이스로 전송하는 단계를 포함할 수도 있다. 패킷은 인터넷 프로토콜 (IP) 데이터 패킷일 수도 있다.
도 1 은 예시적인 동작 환경을 도시한다.
도 2 는 예시적인 업링크 동작을 도시한다.
도 3 은 네트워크 토큰이 P-GW 에 의해 클라이언트 디바이스에 발행될 수도 있는 예시적인 호 플로우를 도시한 다이어그램이다.
도 4 는 네트워크 토큰이 P-GW 에 의해 액세스 노드 (예를 들어, e노드B) 에 발행될 수도 있는 예시적인 호 플로우를 도시한 다이어그램이다.
도 5 는 P-GW 가 네트워크 토큰을 클라이언트 디바이스에 발행할 수도 있고 또한 액세스 노드에 특정한 비밀 키를 액세스 노드에 발행할 수도 있는 예시적인 호 플로우를 도시한 다이어그램이다.
도 6 은 제 1 네트워크 토큰 (예를 들어, 네트워크 토큰 1) 이 P-GW 에 의해 클라이언트 디바이스에 발행될 수도 있고 그리고 제 1 네트워크 토큰과 상이한 제 2 네트워크 토큰 (예를 들어, 네트워크 토큰 2) 이 클라이언트 디바이스와 연관된 액세스 노드에 의해 클라이언트 디바이스에 발행될 수도 있는 예시적인 호 플로우를 도시한 다이어그램이다.
도 7 은 2개의 네트워크 토큰들 (예를 들어, 업링크 네트워크 토큰 및 다운링크 네트워크 토큰) 이 P-GW 에 의해 클라이언트 디바이스에 발행될 수도 있는 예시적인 호 플로우를 도시한 다이어그램이다.
도 8 은 본 명세서에서 설명된 일 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다.
도 9 는 본 명세서에서 설명된 다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다.
도 10 은 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다.
도 11 은 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다.
도 12 는 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다.
도 13 은 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다.
도 14 는 네트워크 토큰 기반 어플리케이션 액세스를 지원하도록 적응된 예시적인 디바이스를 도시한 블록 다이어그램이다.
도 15 는 디바이스가 네트워크 토큰을 획득할 수도 있는 예시적인 방법이다.
도 16 은 디바이스가 게이트웨이 디바이스로부터 네트워크 토큰을 그리고 액세스 노드로부터 별도의 네트워크 토큰을 획득할 수도 있는 예시적인 방법이다.
도 17 은 토큰 기반 어플리케이션 액세스를 지원하도록 적응된 예시적인 액세스 노드를 도시한 블록 다이어그램이다.
도 18 은 액세스 노드 (예를 들어, e노드B) 에서 네트워크 토큰을 셋업하는 (예를 들어, 네트워크 토큰을 도출하고 네트워크 토큰을 클라이언트 디바이스에 제공하는) 예시적인 방법을 도시한다.
도 19 는 액세스 노드에서 동작하는 예시적인 방법의 플로우 다이어그램이다.
도 20 은 액세스 노드에서 동작하는 다른 예시적인 방법의 플로우 다이어그램이다.
도 21 은 액세스 노드에서 동작하는 또다른 예시적인 방법의 플로우 다이어그램이다.
도 22 는 토큰 기반 어플리케이션 액세스를 지원하도록 적응된 예시적인 게이트웨이를 도시한 블록 다이어그램이다.
도 23 은 게이트웨이 (예를 들어, P-GW) 에서 네트워크 토큰을 셋업하는 (예를 들어, 네트워크 토큰을 도출하고 네트워크 토큰을 클라이언트 디바이스에 제공하는) 예시적인 방법을 도시한다.
도 24 는 게이트웨이 (예를 들어, P-GW) 에서 업링크 및 다운링크 네트워크 토큰들을 셋업하는 예시적인 방법을 도시한다.
도 25 는 게이트웨이에서 동작하는 예시적인 방법의 플로우 다이어그램이다.
다음의 설명에 있어서는, 본 개시가 실시될 수도 있는 특정 실시형태들이 예시에 의해 도시된 첨부 도면들을 참조한다. 그 실시형태들은, 당업자들로 하여금 본 발명을 실시할 수 있게 하도록 본 개시의 양태들을 충분히 상세히 설명하도록 의도된다. 다른 실시형태들이 활용될 수도 있으며, 본 개시의 범위로부터 일탈함없이 개시된 실시형태들에 대한 변경들이 행해질 수도 있다. 다음의 상세한 설명은 한정적인 의미로 취해지지 않으며, 본 발명의 범위는 첨부된 청구항들에 의해서만 정의된다.
용어 "디바이스" 는, 다른 디바이스들 중에서, "모바일 디바이스", "모바일 폰", "모바일 통신 디바이스들", "모바일 컴퓨팅 디바이스들", "디지털 태블릿들", "스마트 폰들", "사용자 장비", "사용자 디바이스", "단말기" 와 같은 칩 컴포넌트 및/또는 클라이언트 디바이스를 지칭하도록 본 명세서에서 사용될 수도 있다.
동작 환경
도 1 은 예시적인 동작 환경 (100) 을 도시한다. 그러한 예시적인 동작 환경 (100) 에 있어서, 하나 이상의 클라이언트 디바이스들 (102, 104) (예를 들어, 클라이언트 디바이스 A, 클라이언트 디바이스 B) 은 액세스 노드 (106) (예를 들어, 노드B, e노드B, 액세스 포인트 (AP)) 와 무선으로 통신할 수도 있다. 액세스 노드 (106) 는 무선 액세스 네트워크 (RAN) (108) (예를 들어, 진화된 유니버셜 지상 무선 액세스 네트워크 (E-UTRAN)) 내에 포함될 수도 있다. 당업자에게 공지된 바와 같이, RAN (108) 은 통상적으로, 1 초과의 액세스 노드 (106) 를 포함한다. 도면에서 클러터를 감소하기 위해 오직 하나의 액세스 노드 (106) 가 도시된다. 셀룰러 통신 시스템 (예를 들어, 4G, LTE, LTE-A) 의 비한정적인 예에 있어서, RAN (108) 은 제어 신호들 및 데이터 트래픽을 코어 네트워크 (CN) (110) (예를 들어, 진화된 패킷 코어 (EPC)) 에 통신할 수도 있다. 도 1 의 예시에 있어서, 파선들은 제어 신호 경로들을 나타내고 실선들은 데이터 트래픽 경로들을 나타낸다. 제어 신호들은 제어 평면을 통해 전달되는 것으로 일컬어진다. 사용자 데이터는 사용자 평면을 통해 전달되는 것으로 일컬어진다.
CN (110) 은 이동성 관리 엔터티 (MME) (112), 서빙 게이트웨이 (S-GW) (116), 홈 가입자 서버 (HSS) (118) 및 패킷 데이터 네트워크 게이트웨이 (P-GW) (120) 를 포함할 수도 있다. P-GW (120) 는 패킷 데이터 네트워크 (PDN) (122) (예를 들어, 인터넷) 와 통신할 수도 있다. 더 상세하게는, P-GW (120) 는 PDN (122) 에 있어서 서버들 (124, 126, 128, 130) (예를 들어, 어플리케이션 서버들) 과 통신할 수도 있다. 서버들 (124, 126, 128, 130) 은, 예를 들어, 판매 서비스, 정보 서비스들, 스트리밍 비디오 서비스들, 및 소셜 미디어 서비스들을 제공하는 서비스 제공자들과 같은 서비스 제공자들과 연관될 수도 있다.
도 2 는 예시적인 업링크 동작 (200) 을 도시한다. 예시적인 업링크 동작들 (200) 은 편의상 롱 텀 에볼루션 (LTE) 시스템의 맥락에서 제시된다. 그 예는 본 명세서에서 설명된 임의의 양태들의 범위에 대해 어떠한 제한을 두도록 의도되지 않는다.
클라이언트 디바이스 (202) (예를 들어, 사용자 장비, 사용자 디바이스, 단말기, 모바일 디바이스), 액세스 노드 (204) (예를 들어, e노드B), 서빙 게이트웨이 (S-GW) (206), 패킷 게이트웨이 (P-GW) (208), 및 패킷 데이터 네트워크 (PDN) (210) (예를 들어, 인터넷) 가 도 2 에 나타내어진다.
도 2 의 예시적인 업링크 동작들 (200) 이 이제 설명된다. (클라이언트 디바이스 (202) 의 어플리케이션들/어플리케이션 서비스들 (212) 로부터의) IP 플로우들 (214) 은 트래픽 플로우 템플릿 (TFT) (216) 에 포함된 패킷 필터들 (도시 안됨) 에 적용된다. 도시된 IP 플로우들 (214) 의 수는 예시적이며, 한정적인 것으로 의도되지 않는다.
TFT (216) 의 패킷 필터들은 IP 플로우들을 베어러들 (218) (예를 들어, 진화된 패킷 시스템 (EPS) 베어러들) 로 필터링한다. 3개의 베어러들 (218) (예를 들어, 베어러 1, 베어러 N-1, 및 베어러 N) 이 설명 목적으로 도시된다. 일 양태에 있어서, 베어러는 다중의 어플리케이션들/어플리케이션 서비스들에 의해 공유될 수 있다. 각각의 베어러는 파라미터들의 고유한 세트와 연관될 수도 있다.
IP 플로우들 (214) 은, 예를 들어, 디폴트 베어러에 또는 하나 이상의 전용 베어러들에 매핑될 수 있다. 디폴트 베어러는 통상적으로 비-보장된 비트 레이트를 가질 수도 있는 한편, 전용 베어러들은 통상적으로 보장된 또는 비-보장된 비트 레이트들 중 어느 하나를 가질 수도 있다. 베어러들은 액세스 노드 (204) 및 S-GW (206) 를 통과할 수도 있다. 액세스 노드 (204) 및 S-GW (206) 의 양태들은 본 명세서에서 설명되지 않으며, 당업자에게 공지되어 있다.
일 양태에 있어서, 베어러들 (218) 로부터의 IP 플로우들 (214) 은 판정 및 프로세싱 회로/기능부/모듈 (220) 에 전달될 수도 있다. 판정 및 프로세싱 회로/기능부/모듈 (220) 은 베어러들 (218) 로부터 수신된 UL 패킷들이 암호-유효화 및 트래픽-스티어링 회로/기능부/모듈 (222) 에 또는 서비스 데이터 플로우 (SDF) 템플릿들 (224) 및 거기에 포함된 패킷 필터들 (도시 안됨) 에 전달되게 할 수도 있다.
네트워크 토큰들이 포함된 UL 패킷들이 암호-유효화 및 트래픽-스티어링 회로/기능부/모듈 (222) 에 전달될 수도 있다. 네트워크 토큰과 연관된 하나 이상의 정책들의 시행은 네트워크 토큰의 성공적인 유효화에 대해 실행될 수도 있다.
네트워크 토큰들이 포함되지 않은 UL 패킷들은 판정 및 프로세싱 회로/기능부/모듈 (220) 에 의해 SDF 템플릿들 (224) 에 전달될 수도 있다. SDF 템플릿들 (224) 의 패킷 필터들의 사용은 암호-유효화 및 트래픽-스티어링 회로/기능부/모듈 (222) 의 사용보다 더 많은 프로세싱 및 메모리 리소스들을 요구할 수도 있다. SDF 템플릿들 (224) 의 패킷 필터들을 사용하여 필터링을 수행하기 위하여, 예를 들어, P-GW (208) 는 각각의 SDF 에 대해 별도의 테이블 엔트리 테이블을 유지해야 한다.
이에 따라, 네트워크 토큰들의 사용 (및 암호-유효화 및 트래픽-스티어링 회로/기능부/모듈 (222) 의 결과적인 사용) 은 리소스들을 보존하고 레이턴시를 감소시킨다. 일 양태에 있어서, 암호 네트워크 토큰 (예를 들어, 소프트웨어 토큰) 이 패킷 검사를 보충/강화하기 위해 사용될 수도 있다. 이러한 양태의 하나의 이점은 스케일가능성을 포함한다. 즉, 어떠한 테이블 엔트리들 또는 상태들도 신속 경로 (별칭으로는, 신속-패스) 를 유지하는데 필요치 않다. 이러한 양태의 다른 이점은 저 레이턴시를 포함한다. 즉, 단일의 암호 동작 (예를 들어, 해시 또는 진보된 암호화 표준 (AES), 어느 것이든 더 신속하게 구동할 수도 있거나 적절히 결정될 수도 있음) 이 액세스 제어를 위해 충분할 수도 있다.
또다른 이점은 유연성을 포함할 수도 있다. 즉, 암호 네트워크 토큰은 다양한 메타 데이터에 기초하여 도출될 수도 있다. 그러한 메타 데이터는, 파라미터들이 TFT/SDF 템플릿들에서 필터링되는 것으로 한정되지 않는다. 부가적으로, 다양한 정책들 (예를 들어, 진정성 정책들 및/또는 패킷 정책들의 허가) 이 네트워크 토큰에 적용될 수도 있다. 또다른 이점은 분산형 서비스 거부 (DDoS) 공격들에 대한 회복력을 포함할 수도 있다. 즉, 오류의/부적절한/진짜가 아닌 암호 네트워크 토큰을 포함한 임의의 패킷은 서버 (예를 들어, 도 1 의 서버 (124, 126, 128, 130)) 로 전송되기 전에 드롭될 것이고, 이에 의해, 서버의 패킷들에 의한 플러딩 (flooding) 을 방지할 것이다. 또다른 이점은 재배치성의 특징에 있을 수도 있다. 이러한 이점의 실현은, 필터링 규칙 (또는 규칙들의 세트) 을 제 1 게이트웨이에서 대응하는 비밀 키에 정의하는 것/매핑하는 것, 및 그후 비밀 키를 제 2 게이트웨이와 공유하는 것에 의해 이해될 수도 있다. 따라서, 제 1 및 제 2 게이트웨이들 간의 핸드오버 동안, 그 양태는 비밀 키의 전송/공유를 통한 SDF 필터들의 재배치를 허용한다. 이는 주어진 SDF 필터와 연관된 필터링 규칙 (또는 규칙들의 세트) 과 관련된 데이터 모두를 전송할 필요성을 제거한다. 따라서, 재배치성의 이점은, 프로세싱 리소스들을 자유롭게 하고, 이는, 그렇지 않았으면, 다른 목적들을 위해 데이터 모두를 전송하도록 사용되었을 수도 있다.
개관
하나의 특징은 일반적으로, 네트워크 토큰의 게이트웨이 디바이스와 같은 디바이스에 의한 도출과 관련된다. 네트워크 토큰은 본 명세서에서 토큰, 네트워크 토큰, 또는 암호 네트워크 토큰으로서 지칭될 수도 있다. 네트워크 토큰은 어플리케이션 및 클라이언트 디바이스와 연관된 네트워크 정책을 반영한 가입 프로파일에 기초할 수도 있다. 일부 양태들에 있어서, 네트워크 토큰은 게이트웨이 디바이스에 의해 도출될 수도 있고, 오직 게이트웨이 디바이스에 의해서만 검증될 수도 있다. 네트워크 토큰은 어플리케이션 서비스와 클라이언트 디바이스 (예를 들어, 모바일 디바이스, 사용자 장비, 사용자 디바이스) 사이의 데이터 플로우와 연관될 수도 있다. 게이트웨이 디바이스는 네트워크 토큰을 클라이언트 디바이스에 제공할 수도 있다. 클라이언트 디바이스는 게이트웨이 디바이스를 통해 어플리케이션 서비스로 전송된 하나 이상의 데이터 패킷들에 네트워크 토큰을 포함할 수도 있다. 게이트웨이 디바이스는 하나 이상의 패킷들 각각과 연관된 네트워크 토큰을 검증할 수도 있고, 네트워크 토큰과 연관된 정보를 사용하여 패킷을 어플리케이션 서비스로 스티어링할 수도 있다. 네트워크 토큰들과 관련된 예시적인 양태들과 관련하여 2개의 개괄적인 프로세스들이 본 명세서에서 예시된다.
제 1 프로세스는 네트워크 토큰들의 "셋업" 과 관련된다. 셋업은 제어 평면 (C-평면) 에 있어서 시그널링/메시징 중 어느 하나를 통한 네트워크 토큰의 도출 및 제공을 수반할 수도 있다. C-평면에 있어서 시그널링 또는 메시징을 통한 네트워크 토큰들의 확립의 비한정적인 예들이 하기에서 제공된다.
제 2 프로세스는 네트워크 토큰들을 사용한 정책들의 사용 및 시행과 관련된다. 사용 및/또는 시행은 하나 이상의 UL 패킷들에 네트워크 토큰을 포함하는 것을 수반할 수도 있으며, 여기서, 패킷에의 네트워크 토큰의 포함은, 예를 들어, 클라이언트 디바이스 (예를 들어, 클라이언트 디바이스 (202), 도 2) 및/또는 액세스 노드 (예를 들어, 액세스 노드 (204), 도 2) 에서 발생할 수도 있다. 토큰은 패킷에 부가되거나 그렇지 않으면 그와 연관될 수도 있다. 사용 및/또는 시행은 네트워크 토큰의 유효화의 네트워크 기능을 추가로 수반할 수도 있다. 네트워크 토큰의 유효화는, 예를 들어, P-GW (예를 들어, P-GW (208), 도 2) 에서 발생할 수도 있다. 일부 양태들에 있어서, 클라이언트 디바이스로 전송된 네트워크 토큰을 도출하였던 P-GW 는 클라이언트 디바이스로부터 수신된 네트워크 토큰을 유효화하는 P-GW 일 것이다. 즉, 일부 양태들에 있어서, 토큰을 도출하는 노드 (예를 들어, P-GW) 는 오직 토큰을 또한 유효화할 수 있는 노드이다. 유효화는 필터링을 위한 어떠한 필요성을 반드시 수반할 필요는 없을 것이다. 단일의 암호 동작 (예를 들어, 해시, AES) 이 구현될 수도 있다. TFT/SDF 템플릿들로의 패킷 검사를 사용할 때 요구된 메모리 검색이 필요치 않을 수도 있다.
통신 시스템들에 있어서 액세스/수락 제어의 공지된 방법들을 보충하기 위한 또는 그에 대한 대안으로서 암호 네트워크 토큰들을 이용하는 방법들 및 디바이스들의 예들이 본 명세서에서 제시된다. 게이트웨이 (예를 들어, P-GW) 는 암호 네트워크 토큰들을 사용하여, 플로우 상태들을 유지하지 않고 비허가 트래픽을 필터링할 수 있다, 즉, 무상태 필터. 더욱이, 클라이언트 디바이스는 암호 네트워크 토큰을 사용하여, 하나 이상의 UL 패킷들을 데이터 플로우 (예를 들어, 베어러) 에 대한 협정과 연관시키고 패킷들을 허가된 목적지로 스티어링할 수 있다. 다른 액세스 제어 규칙들은 네트워크 토큰에 포함되거나 네트워크 토큰과 연관될 수 있다.
패킷 데이터 네트워크 (PDN) 에 있어서 패킷들의 액세스/수락 및 트래픽 플로우를 위한 토큰들을 셋업하는 예시적인 방법들이 본 명세서에서 설명된다. 토큰 셋업 이후, 네트워크 토큰의 검증에 의한 액세스/수락 정책들의 시행의 예시적인 방법들이 본 명세서에서 설명된다. 기본 암호 알고리즘들 (예를 들어, 해시, AES) 이 사용될 수도 있다. 오늘날의 방법들에 대조적으로, 액세스/수락 정책들을 시행하기 위해 어떠한 메모리 검색도 필요치 않다.
데이터 플로우들
본 명세서에서 설명된 양태들에 있어서, IP 플로우들, 데이터 플로우들, 또는 플로우들은 도 2 의 예시적인 도면에 제시된 바와 같은 베어러들로 한정될 필요는 없다. 클라이언트 디바이스는 하나 이상의 어플리케이션들을 동작시키거나 구동할 수도 있다. 각각의 클라이언트 어플리케이션은 어플리케이션 서버 상에서 동작하거나 구동하는 어플리케이션 서비스에 매핑될 수도 있다. 따라서, 플로우는 디바이스에서 동작하는 어플리케이션에 그리고 어플리케이션 서버에 기초하여 정의될 수도 있다. 플로우는, 클라이언트 디바이스에서 구동하는 어플리케이션과 어플리케이션 서버에서 구동하는 어플리케이션 서비스 사이에서 패킷들이 취하는 경로로서 정의될 수도 있다. 비록 플로우가 클라이언트 디바이스 상에서 동작하는 어플리케이션과 연관될 수도 있지만, 플로우는 클라이언트 디바이스를 반드시 식별할 필요는 없다. 네트워크 토큰은 하나 이상의 플로우들을 식별하기 위해 사용될 수도 있다. 이에 따라, 네트워크 토큰은 다중의 플로우들과 연관될 수도 있다.
하나의 플로우가 네트워크에 있어서 동일한 서버 상에서 구동하는 다중의 서비스들에 매핑될 수도 있다. 예를 들어, 클라이언트 디바이스는 서버 상의 하나의 제공자에 의해 제공된 하나의 서비스를 사용할 수도 있다. 서버는 통상적으로 하나의 IP 어드레스를 갖는다. 하지만, 서비스는 서버 상에서 다중의 어플리케이션들을 호스팅할 수도 있다. 다중의 어플리케이션들은, 예를 들어, 매핑 어플리케이션, 정보 탐색 어플리케이션, 및 소셜 네트워킹 어플리케이션을 포함할 수도 있다. 따라서, 다중의 어플리케이션들은 동일한 목적지 IP 어드레스를 가지며, 따라서, 코어 네트워크의 게이트웨이 (예를 들어, P-GW) 의 개관으로부터, 다중의 어플리케이션들은 다중의 플로우들 대신 단일 플로우로서 고려될 수 있다. 이에 따라, 단일 플로우가 다중의 서비스들에 매핑될 수 있다.
플로우는 다중의 서비스들과 연관될 수 있다. 또한, 네트워크 토큰은 다중의 서비스들과 연관될 수 있고, 여기서, 그 서비스들은 다중의 어플리케이션 서비스 제공자들에 의해 구동될 수도 있다. 예를 들어, 클라이언트 디바이스는 다중의 스폰서들 (예를 들어, 다중의 서비스 제공자들) 을 가질 수도 있다. 본 명세서에서 설명된 양태들에 있어서, 게이트웨이는, 다중의 어플리케이션 서비스 제공자들과 연관되는 네트워크 토큰을 도출할 수도 있다. 결과적으로, 단일 토큰이, 하나 이상의 플로우들과 차례로 연관되는 하나 이상의 어플리케이션 서비스들에 매핑될 수도 있다.
본 명세서에서 제공된 수개의 예들에 있어서, 네트워크 토큰은 어플리케이션 식별자 (앱 ID) 에 기초하여 도출될 수도 있다. 하지만, 네트워크 토큰들의 도출은 그러한 예들로 한정되지 않는다. 다른 파라미터들, 및 파라미터들의 조합들이 네트워크 토큰을 도출하기 위해 사용될 수도 있다. 앱 ID 는 하나 이상의 서버들과 연관될 수도 있다. 예를 들어, 주어진 서비스 제공자는 상이한 지리적 위치들에 있어서 상이한 데이터 센터들 (각각은 그 자신의 서버를 가짐) 을 가질 수도 있다. 그러한 경우, 앱 ID 는 1 초과의 서버와 연관될 것이다. 토큰은, 유리하게, 서버 IP 어드레스 대신 앱 ID 를 사용할 수도 있다. 비록 네트워크 토큰이 목적지 서버의 IP 어드레스를 명시하지 않더라도, 게이트웨이는, 네트워크 토큰과 연관된 패킷이 주어진 서비스 제공자의 서버를 향해 헤딩하고 있음을 검증할 수 있다.
토큰 셋업 - 예시적인 시스템 레벨 호 플로우들
본 명세서에서 개시된 예들은 초기 PDN 접속 요청 절차 (이 동안, 디폴트 베어러가 셋업될 수도 있음) 에 그리고 전용 베어러 셋업 절차들 (이 동안, 하나 이상의 전용 베어러들이 셋업될 수도 있음) 에 적용할 수도 있다.
도 3 은 네트워크 토큰이 P-GW (310) 에 의해 클라이언트 디바이스 (302) 에 발행될 수도 있는 예시적인 호 플로우 (300) 를 도시한 다이어그램이다. 호 플로우는 C-평면에서 구현될 수도 있다. 액세스 노드 (304) (예를 들어, e노드B) 는 애그노스틱 (agnostic) 일 수도 있다. 즉, 액세스 노드 (304) 는 클라이언트 디바이스 (302) 가 네트워크 토큰에 대한 요청을 P-GW (310) 로 전송하였음을 알지 못할 수도 있다. 그 요청 및 네트워크 토큰들의 교환은 애그노스틱 액세스 노드 (304) 에 투명할 수도 있다. 도 3 은 클라이언트 디바이스 (302), 액세스 노드 (304), MME (306), S-GW (308), P-GW (310), 정책 및 청구 규칙들 기능부 (PCRF) (312) 서버, 및 홈 가입자 서버 (HSS) (314) 의 표현들을 포함한다.
도 3 의 예시적인 호 플로우 (300) 에 있어서, 클라이언트 디바이스 (302) 는 접속 일반을 확립하거나 서비스와의 접속을 확립하기 위한 단계들을 취할 수도 있다. 일 양태에 있어서, 클라이언트 디바이스 (302) 는 PDN 접속 요청을 MME (306) 로 전송할 수도 있다 (316). 네트워크 토큰에 대한 요청은 접속을 확립하기 위해 클라이언트 디바이스 (302) 에 의해 취해진 액션들과 관련하여 암시적으로 인식될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (302) 의 PDN 접속 요청과 관련하여 암시적으로 인식될 수도 있다. 대안적으로, 네트워크 토큰에 대한 요청은 클라이언트 디바이스로부터 전송된 접속 요청에 명시적으로 포함될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 PDN 접속 요청에 명시적으로 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다. 또다른 대안으로서, 클라이언트 디바이스 (302) 는 네트워크 토큰을 요청하지 않을 수도 있지만, 네트워크 토큰은 C-평면에 할당될 수도 있다. 예를 들어, 다른 노드 또는 일부 정책은 네트워크 토큰들의 사용을 요구할 수도 있다. 그러한 대안적인 양태에 있어서, 비록 클라이언트 디바이스 (302) 가 네트워크 토큰을 요청하지 않더라도, 네트워크 토큰은 그럼에도 불구하고 제어-평면에 있어서 클라이언트 디바이스에 제공될 수도 있다.
PDN 접속 요청의 수신에 응답하여, MME 는 세션 생성 요청을 S-GW (308) 로 전송할 수도 있다 (318). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, S-GW (308) 는 세션 생성 요청을 P-GW (310) 로 전송할 수도 있다 (320). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, P-GW (310) 는 IP 접속 액세스 네트워크 (IP-CAN) 에 대한 확립/수정을 위한 단계들을 수행할 수도 있다 (324). 당업자에게 공지된 바와 같이, IP-CAN 은 인터넷 프로토콜 (IP) 접속을 제공하는 액세스 네트워크이다. 그 용어는 셀룰러 네트워크들 (예를 들어, 3GPP 네트워크들) 뿐 아니라 무선 로컬 영역 네트워크들 (WLAN) (예를 들어, WiFi, 핫스팟 등) 에 적용가능할 수도 있다.
또한, 네트워크 토큰에 대한 요청의 수신에 응답하여, P-GW (310) 는 네트워크 토큰을 획득 또는 도출할 수도 있다 (326). 본 명세서에서 사용된 바와 같이, 용어 "도출하다" 는 다른 디바이스로부터 국부적으로 도출하는 것 또는 획득하는 것을 의미할 수도 있다. 네트워크 토큰은 패킷과 연관된 입력 파라미터들의 해시일 수도 있다. 일 양태에 있어서, 네트워크 토큰은 패킷의 입력 파라미터들을 사용하여 토큰을 재생성하는 것 및 그 후 재생성된 토큰을 패킷에 포함된 토큰과 비교하는 것에 의해 P-GW (310) 에서 유효화될 수도 있다. P-GW (310) 에 공지된 비밀 키는 네트워크 토큰을 도출하기 위해 암호 함수에서 사용될 수도 있다. 일 예에 있어서, P-GW (310) 는 어플리케이션 기능부 (AF) 로부터 취출된 어플리케이션 액세스 정책의 관점에서 네트워크 토큰을 도출할 수도 있다. 일 양태에 있어서, 액세스 정책은 어플리케이션에 플로우를 연관시킬 수도 있다. 네트워크 토큰은 추가로, 앱 ID 의 관점에서, 예를 들어, 앱 ID 가 네트워크 토큰에 대한 요청에 포함되면, 도출될 수도 있다. 일부 양태들에 있어서, 네트워크 토큰은 암호화된 정보를 포함할 수도 있다. 암호해독은, 일 예에 있어서 P-GW (310) 에 공지된 비밀 키를 그 입력으로서 갖는 암호 함수를 사용하여 달성될 수도 있다. 예로서, 네트워크 토큰의 성공적인 암호해독은, 네트워크 토큰을 포함하였던 UL 패킷과 연관하여, UL 패킷이 소싱되었던 액세스 노드 및/또는 클라이언트 디바이스의 소스 어드레스 및/또는 서버 및/또는 어플리케이션 서비스의 목적지 어드레스를 표시할 수도 있는 값을 산출할 수도 있다. 일 양태에 있어서, 예를 들어, 네트워크 토큰으로부터 서버 및/또는 어플리케이션 서비스의 목적지 어드레스를 획득하기 위한 능력은, 토큰과 연관된 패킷이 그 목적지로 전송되도록 허가됨을 의미할 수도 있고, 추가로, SDF 템플릿들 (224) (및 그 연관된 패킷 필터들) 이 필요하지 않음을 의미할 수도 있다. 따라서, 패킷 검사는 회피될 수도 있다. P-GW (310) 는 네트워크 토큰을 클라이언트 디바이스 (302) 에 다음과 같이 발행할 수도 있다.
P-GW (310) 는 세션 생성 응답을 S-GW (308) 로 전송할 수도 있다 (328). P-GW (310) 는 S-GW (308) 로 전송된 세션 생성 응답에 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, S-GW (308) 는 세션 생성 응답을 MME (306) 로 전송할 수도 있다 (330). S-GW (308) 는 MME (306) 로 전송된 세션 생성 응답에 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, MME (306) 는 베어러 셋업 요청/PDN 접속 수락을 액세스 노드 (304) 로 전송할 수도 있다 (332). MME (306) 는 액세스 노드 (304) 로 전송된 베어러 셋업 요청/PDN 접속 수락에 네트워크 토큰을 포함할 수도 있다. 베어러 셋업 요청/PDN 접속 수락에 응답하여, 액세스 노드 (304) 는 RRC 접속 재구성을 클라이언트 디바이스로 전송할 수도 있다 (334). 액세스 노드 (304) 는 클라이언트 디바이스로 전송된 RRC 접속 재구성에 네트워크 토큰을 포함할 수도 있다. 클라이언트 디바이스 (302) 는 액세스 노드 (304) 로부터 수신된 RRC 접속 재구성에 포함된 네트워크 토큰을 수신할 수도 있다.
일단 클라이언트 디바이스 (302) 가 네트워크 토큰을 가지면, 클라이언트 디바이스 (302) 는, 어플리케이션 서비스로의 데이터 송신을 위해 구성된 하나 이상의 UL 패킷들에 네트워크 토큰을 포함할 수도 있다.
도 4 는 네트워크 토큰이 P-GW (410) 에 의해 액세스 노드 (예를 들어, e노드B) (404) 에 발행될 수도 있는 예시적인 호 플로우 (400) 를 도시한 다이어그램이고; 클라이언트 디바이스 (402) 는 네트워크 토큰을 수신하지 못할 수도 있다. 여기서, 클라이언트 디바이스 (402) 는 애그노스틱으로 고려될 수도 있다. 즉, 이 예에 따르면, 클라이언트 디바이스 (402) 는 어플리케이션 서비스를 위해 의도된 하나 이상의 UL 패킷들에 네트워크 토큰을 포함하는 엔터티가 아닐 수도 있다. 호 플로우는 C-평면에서 구현될 수도 있다. 도 4 는 클라이언트 디바이스 (402), 액세스 노드 (404), MME (406), S-GW (408), P-GW (410), PCRF (412), 및 HSS (414) 의 표현들을 포함한다.
도 4 의 예시적인 호 플로우 (400) 에 있어서, 클라이언트 디바이스 (402) 는 접속 일반을 확립하거나 서비스와의 접속을 확립하기 위한 단계들을 취할 수도 있다. 일 양태에 있어서, 클라이언트 디바이스 (402) 는 PDN 접속 요청을 MME (406) 로 전송할 수도 있다 (416). 네트워크 토큰에 대한 요청은 접속을 확립하기 위해 클라이언트 디바이스 (402) 에 의해 취해진 액션들과 관련하여 암시적으로 인식될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (402) 의 PDN 접속 요청과 관련하여 암시적으로 인식될 수도 있다. 대안적으로, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (402) 의 접속 요청에 명시적으로 포함될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 PDN 접속 요청에 명시적으로 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다. 또다른 대안으로서, 클라이언트 디바이스 (402) 는 네트워크 토큰을 요청하지 않을 수도 있지만, 네트워크 토큰은 C-평면에 할당될 수도 있다.
PDN 접속 요청의 수신에 응답하여, MME (406) 는 세션 생성 요청을 S-GW (408) 로 전송할 수도 있다 (418). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, S-GW (408) 는 세션 생성 요청을 P-GW (410) 로 전송할 수도 있다 (420). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, P-GW (410) 는 IP-CAN 세션에 대한 확립/수정을 위한 단계들을 수행할 수도 있다 (424). 또한, 네트워크 토큰에 대한 요청의 수신에 응답하여, P-GW (410) 는 네트워크 토큰을 도출할 수도 있다 (426). P-GW (410) 에 공지된 비밀 키는 네트워크 토큰을 도출하기 위해 암호 함수에서 사용될 수도 있다. 일 예에 있어서, P-GW (410) 는 어플리케이션 기능부 (AF) 로부터 취출된 어플리케이션 액세스 정책의 관점에서 네트워크 토큰을 도출할 수도 있다. 일 양태에 있어서, 액세스 정책은 어플리케이션에 플로우를 연관시킬 수도 있다. 네트워크 토큰은 추가로, 앱 ID 의 관점에서, 예를 들어, 앱 ID 가 네트워크 토큰에 대한 요청에 포함되면, 도출될 수도 있다. P-GW (410) 는 네트워크 토큰을 액세스 노드 (404) 에 다음과 같이 발행할 수도 있다.
P-GW (410) 는 세션 생성 응답을 S-GW (408) 로 전송할 수도 있다 (428). P-GW (410) 는 S-GW (408) 로 전송된 세션 생성 응답에 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, S-GW (408) 는 세션 생성 응답을 MME (406) 로 전송할 수도 있다 (430). S-GW (408) 는 MME (406) 로 전송된 세션 생성 응답에 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, MME (406) 는 베어러 셋업 요청/PDN 접속 수락을 액세스 노드 (404) 로 전송할 수도 있다 (432). MME (406) 는 액세스 노드 (404) 로 전송된 베어러 셋업 요청/PDN 접속 수락에 네트워크 토큰을 포함할 수도 있다. 이러한 예시적인 방식에 있어서, 액세스 노드 (404) 는 P-GW (410) 로부터 네트워크 토큰을 획득할 수도 있다.
호 플로우는 계속될 수도 있다. 예를 들어, 베어러 셋업 요청/PDN 접속 수락에 응답하여, 액세스 노드 (404) 는 RRC 접속 재구성을 클라이언트 디바이스 (402) 로 전송할 수도 있다 (434). 이러한 제 2 예에 있어서, 액세스 노드 (404) 는 클라이언트 디바이스 (402) 로의 RRC 접속 재구성에 네트워크 토큰을 포함하지 않을 수도 있다.
일단 액세스 노드 (404) 가 네트워크 토큰을 가지면, 액세스 노드 (404) 는, 어플리케이션 서비스로의 데이터 송신을 위해 구성된 각각의 UL 패킷에 네트워크 토큰을 포함할 수도 있다.
도 5 는 P-GW (510) 가 네트워크 토큰을 클라이언트 디바이스 (502) 에 발행할 수도 있고 또한 액세스 노드 (504) 에 특정한 비밀 키를 액세스 노드 (504) 에 발행할 수도 있는 예시적인 호 플로우 (500) 를 도시한 다이어그램이다. 액세스 노드 (504) 에 특정한 비밀 키는 P-GW (510) 에 의해 유지된 비밀 키, 및 예를 들어, 액세스 노드 (504) 의 식별자의 함수일 수도 있다. 이러한 제 3 예시적인 호 플로우 (500) 의 실행은 액세스 노드 (504) 가, UL 패킷들 (그 포함된 네트워크 토큰들을 가짐) 을 코어 네트워크에 포워딩하기 전에, 클라이언트 디바이스 (502) 로부터 수신된 하나 이상의 UL 패킷들에 포함된 네트워크 토큰들을 검증하도록 허용할 수도 있다. 이는, (본 명세서에서 나중에 설명될) 사용/시행 프로세스들 동안, 액세스 노드 (504) 가 액세스 노드 (504) 에 특정한 비밀 키 및 수신된 네트워크 토큰에 관한 암호 함수에 기초하여 UL 패킷을 검증하도록 권한부여될 수도 있는 "퍼스트-마일 (first-mile) 필터링" 동작을 용이하게 할 수도 있다. 이는, "신뢰된" 액세스 노드 (504) 로 하여금 패킷들이 코어 네트워크로 전송되기 전에 클라이언트 디바이스 (502) 로부터 수신된 비허가된 UL 패킷들을 폐기할 수 있게 할 수도 있다. 호 플로우는 C-평면에서 구현될 수도 있다. 도 5 는 클라이언트 디바이스 (502), 액세스 노드 (504), MME (506), S-GW (508), P-GW (510), PCRF (512), 및 HSS (514) 의 표현들을 포함한다.
도 5 의 예시적인 호 플로우 (500) 에 있어서, 클라이언트 디바이스 (502) 는 접속 일반을 확립하거나 서비스와의 접속을 확립하기 위한 단계들을 취할 수도 있다. 일 양태에 있어서, 클라이언트 디바이스 (502) 는 PDN 접속 요청을 MME (506) 로 전송할 수도 있다 (516). 네트워크 토큰에 대한 요청은 접속을 확립하기 위해 클라이언트 디바이스 (502) 에 의해 취해진 액션들과 관련하여 암시적으로 인식될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (502) 의 PDN 접속 요청과 관련하여 암시적으로 인식될 수도 있다. 대안적으로, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (502) 로부터 전송된 접속 요청에 명시적으로 포함될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 PDN 접속 요청에 명시적으로 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다. 또다른 대안으로서, 클라이언트 디바이스 (502) 는 네트워크 토큰을 요청하지 않을 수도 있지만, 네트워크 토큰은 C-평면에 할당될 수도 있다.
PDN 접속 요청의 수신에 응답하여, MME (506) 는 세션 생성 요청을 S-GW (508) 로 전송할 수도 있다 (518). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, S-GW (508) 는 세션 생성 요청을 P-GW (510) 로 전송할 수도 있다 (520). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, P-GW (510) 는 IP-CAN 세션 (아이템 4) 에 대한 확립/수정을 위한 단계들을 수행할 수도 있다 (524). 또한, 네트워크 토큰에 대한 요청의 수신에 응답하여, P-GW (510) 는 네트워크 토큰을 도출할 수도 있다 (526). P-GW (510) 에 의해 도출되는 액세스 노드 (504) 에 특정한 비밀 키는 네트워크 토큰을 도출하기 위해 암호 함수에서 사용될 수도 있다. P-GW (510) 는 각각의 액세스 노드 (504) 에 대해 액세스 노드 (504) 에 특정한 비밀 키를, 그 비밀 키 (KNT, eNB) 를 P-GW (510) 에 공지된 비밀 키 (KNT) 로부터 도출하는 것에 의해, 도출할 수도 있다. 예를 들어, 액세스 노드 (504) 에 특정한 비밀 키는, 예를 들어, KNT 및 액세스 노드 식별자 (예를 들어, "eNB ID") 의 함수일 수도 있는 키 도출 함수 (KDF) 를 사용하여 도출될 수도 있다 (즉, KNT, eNB = KDF(KNT, eNB ID)). 이러한 방식으로, 각각의 도출된 네트워크 토큰은 특정 액세스 노드 (504) 와 연관 (예를 들어, 바인딩) 될 수도 있다. 일 예에 있어서, P-GW (510) 는 어플리케이션 기능부 (AF) 로부터 취출된 어플리케이션 액세스 정책의 관점에서 네트워크 토큰을 도출할 수도 있다. 일 양태에 있어서, 액세스 정책은 어플리케이션에 플로우를 연관시킬 수도 있다. 네트워크 토큰은 추가로, 앱 ID 의 관점에서, 예를 들어, 앱 ID 가 네트워크 토큰에 대한 요청에 포함되면, 도출될 수도 있다. 다음과 같이, P-GW (510) 는 네트워크 토큰을 클라이언트 디바이스 (502) 에 발행할 수도 있고, 액세스 노드에 특정한 비밀 키 (KNT, eNB) 를 액세스 노드 (504) 에 발행할 수도 있다.
P-GW (510) 는 세션 생성 응답을 S-GW (508) 로 전송할 수도 있다 (528). P-GW (510) 는 S-GW (508) 로 전송된 세션 생성 응답에 네트워크 토큰 및 비밀 키 (KNT, eNB) 를 포함할 수도 있다. 세션 생성 응답에 응답하여, S-GW (508) 는 세션 생성 응답을 MME (506) 로 전송할 수도 있다 (530). S-GW (508) 는 MME (506) 로 전송된 세션 생성 응답에 네트워크 토큰 및 비밀 키 (KNT, eNB) 를 포함할 수도 있다. 세션 생성 응답에 응답하여, MME (506) 는 베어러 셋업 요청/PDN 접속 수락을 액세스 노드 (504) 로 전송할 수도 있다 (532). MME (506) 는 액세스 노드 (504) 로 전송된 베어러 셋업 요청/PDN 접속 수락에 네트워크 토큰 및 비밀 키 (KNT, eNB) 를 포함할 수도 있다. 이에 따라, 액세스 노드 (504) 는, 이제, 비밀 키 (KNT, eNB) 를 획득하였다. 베어러 셋업 요청/PDN 접속 수락에 응답하여, 액세스 노드 (504) 는 RRC 접속 재구성을 클라이언트 디바이스 (502) 로 전송할 수도 있다 (534). 액세스 노드 (504) 는 클라이언트 디바이스 (502) 로의 RRC 접속 재구성에 네트워크 토큰을 포함할 수도 있다. 클라이언트 디바이스 (502) 는 액세스 노드 (504) 로부터 수신된 RRC 접속 재구성에 포함된 네트워크 토큰을 수신할 수도 있다. 이에 따라, 클라이언트 디바이스 (502) 는, 이제, 네트워크 토큰을 획득하였다.
일단 클라이언트 디바이스 (502) 가 네트워크 토큰을 가지면, 클라이언트 디바이스 (502) 는, 어플리케이션 서비스로의 데이터 송신을 위해 구성된 하나 이상의 UL 패킷들에 네트워크 토큰을 포함할 수도 있다.
도 6 은 제 1 네트워크 토큰 (예를 들어, 네트워크 토큰 1) 이 P-GW (610) 에 의해 클라이언트 디바이스 (602) 에 발행될 수도 있고 그리고 제 1 네트워크 토큰과 상이한 제 2 네트워크 토큰 (예를 들어, 네트워크 토큰 2) 이 클라이언트 디바이스 (602) 와 연관된 액세스 노드 (604) 에 의해 클라이언트 디바이스 (602) 에 발행될 수도 있는 예시적인 호 플로우 (600) 를 도시한 다이어그램이다. 이 예는 비밀 키들의 공유를 수반하지 않을 수도 있다. 즉, 제 1 네트워크 토큰은, 오직 P-GW (610) 에만 공지된 제 1 비밀 키로 도출될 수도 있는 한편, 제 2 네트워크 토큰은 액세스 노드 (604) 에 공지된 제 2 비밀 키로 도출될 수도 있으며, 여기서, 제 1 및 제 2 비밀 키들은 상이하다. 이 예는, 예를 들어, 액세스 노드 (604) 와 P-GW (610) 간의 신뢰 가정 (trust assumption) 이 요구된 것 미만이거나 부재한 상황들에서 유용할 수도 있다. 예시적인 호 플로우 (600) 는 C-평면에서 구현될 수도 있다. 도 6 은 클라이언트 디바이스 (602), 액세스 노드 (604), MME (606), S-GW (608), P-GW (610), PCRF (612), 및 HSS (614) 의 표현들을 포함한다.
도 6 의 예시적인 호 플로우 (600) 에 있어서, 클라이언트 디바이스 (602) 는 접속 일반을 확립하거나 서비스와의 접속을 확립하기 위한 단계들을 취할 수도 있다. 일 양태에 있어서, 클라이언트 디바이스 (602) 는 PDN 접속 요청을 MME (606) 로 전송할 수도 있다 (616). 네트워크 토큰에 대한 요청은 접속을 확립하기 위해 클라이언트 디바이스 (602) 에 의해 취해진 액션들과 관련하여 암시적으로 인식될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (602) 의 PDN 접속 요청과 관련하여 암시적으로 인식될 수도 있다. 대안적으로, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (602) 의 접속 요청에 명시적으로 포함될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 PDN 접속 요청에 명시적으로 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다. 또다른 대안으로서, 클라이언트 디바이스 (602) 는 네트워크 토큰을 요청하지 않을 수도 있지만, 네트워크 토큰은 C-평면에 할당될 수도 있다.
PDN 접속 요청의 수신에 응답하여, MME (606) 는 세션 생성 요청을 S-GW (608) 로 전송할 수도 있다 (618). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, S-GW (608) 는 세션 생성 요청을 P-GW (610) 로 전송할 수도 있다 (620). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, P-GW (610) 는 IP-CAN 세션에 대한 확립/수정을 위한 단계들을 수행할 수도 있다 (624). 또한, 네트워크 토큰에 대한 요청의 수신에 응답하여, P-GW (610) 는 제 1 네트워크 토큰 (예를 들어, 네트워크 토큰 1) 을 도출할 수도 있다 (626). P-GW (610) 에 공지된 비밀 키는 네트워크 토큰을 도출하기 위해 암호 함수에서 사용될 수도 있다. 일 예에 있어서, P-GW (610) 는 어플리케이션 기능부 (AF) 로부터 취출된 어플리케이션 액세스 정책의 관점에서 네트워크 토큰을 도출할 수도 있다. 일 양태에 있어서, 액세스 정책은 어플리케이션에 플로우를 연관시킬 수도 있다. 네트워크 토큰은 추가로, 앱 ID 의 관점에서, 예를 들어, 앱 ID 가 네트워크 토큰에 대한 요청에 포함되면, 도출될 수도 있다. P-GW (610) 는 네트워크 토큰을 클라이언트 디바이스 (602) 에 다음과 같이 발행할 수도 있다.
P-GW (610) 는 세션 생성 응답을 S-GW (608) 로 전송할 수도 있다 (628). P-GW (610) 는 S-GW (608) 로 전송된 세션 생성 응답에 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, S-GW (608) 는 세션 생성 응답을 MME (606) 로 전송할 수도 있다 (630). S-GW (608) 는 MME (606) 로 전송된 세션 생성 응답에 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, MME (606) 는 베어러 셋업 요청/PDN 접속 수락을 액세스 노드 (604) 로 전송할 수도 있다 (632). MME (606) 는 액세스 노드 (604) 로 전송된 베어러 셋업 요청/PDN 접속 수락에 네트워크 토큰을 포함할 수도 있다.
베어러 셋업 요청/PDN 접속 수락에 응답하여, 액세스 노드 (604) 는 제 2 네트워크 토큰 (예를 들어, 네트워크 토큰 2) 을 도출할 수도 있다 (633). 액세스 노드 (604) 에 공지된 비밀 키는 제 2 네트워크 토큰을 도출하기 위해 암호 함수에서 사용될 수도 있다. 일 예에 있어서, 액세스 노드 (604) 는 어플리케이션 기능부 (AF) 로부터 취출된 어플리케이션 액세스 정책의 관점에서 제 2 네트워크 토큰을 도출할 수도 있다. 일 양태에 있어서, 액세스 정책은 어플리케이션에 플로우를 연관시킬 수도 있다. 제 2 네트워크 토큰은 추가로, 앱 ID 의 관점에서, 예를 들어, 앱 ID 가 네트워크 토큰에 대한 요청에 포함되면, 도출될 수도 있다.
또한, 베어러 셋업 요청/PDN 접속 수락에 응답하여, 액세스 노드 (604) 는 RRC 접속 재구성을 클라이언트 디바이스 (602) 로 전송할 수도 있다 (634). 액세스 노드 (604) 는 P-GW (610) 에서 도출된 제 1 네트워크 토큰을 포함할 수도 있고, 부가적으로, 클라이언트 디바이스 (602) 로 전송된 RRC 접속 재구성에 액세스 노드 (604) 에서 도출된 제 2 네트워크 토큰을 포함할 수도 있다. 따라서, 클라이언트 디바이스 (602) 는 액세스 노드 (604) 로부터 수신된 RRC 접속 재구성에 있어서 P-GW (610) 에서 도출된 제 1 네트워크 토큰 및 액세스 노드 (604) 에서 도출된 제 2 네트워크 토큰 양자 모두를 수신할 수도 있다.
일단 클라이언트 디바이스 (602) 가 P-GW (610) 에서 도출된 제 1 네트워크 토큰 및 액세스 노드 (604) 에서 도출된 제 2 네트워크 토큰 양자 모두를 가지면, 클라이언트 디바이스 (602) 는 어플리케이션 서비스로의 데이터 송신을 위해 구성된 UL 패킷들에, P-GW (610) 에서 도출된 제 1 네트워크 토큰 및 액세스 노드 (604) 에서 도출된 제 2 네트워크 토큰 양자 모두를 포함할 수도 있다.
도 7 은 2개의 네트워크 토큰들 (예를 들어, UL 네트워크 토큰 및 다운링크 (DL) 네트워크 토큰) 이 P-GW (710) 에 의해 클라이언트 디바이스 (702) 에 발행될 수도 있는 예시적인 호 플로우 (700) 를 도시한 다이어그램이다. 이러한 예시적인 호 플로우는, 우선순위화 및 필터링을 위한 다운링크 (DL) 토큰들의 사용과 관련하여 유용할 수도 있다.
일 양태에 있어서, 클라이언트 디바이스 (702) 는 PDN 에서의 주어진 어플리케이션/어플리케이션 서비스/어플리케이션 서버 행으로 정해진 패킷들에 UL 네트워크 토큰을 포함할 수도 있다. 일 양태에 있어서, 클라이언트 디바이스 (702) 는 PDN 에서의 주어진 어플리케이션/어플리케이션 서비스/어플리케이션 서버로부터 수신된 패킷들에서 DL 네트워크 토큰을 수신하도록 예상할 수도 있다. 클라이언트 디바이스 (702) 는 DL 네트워크 토큰을 PDN 에서의 어플리케이션 (APP) (715) 으로 전송할 수도 있으며 (736), 이 포인트에서, PDN 에서의 APP (715) 는 클라이언트 디바이스 (702) 로 전송한 하나 이상의 패킷들에 DL 네트워크 토큰의 사본을 포함하도록 예상될 수도 있다.
예시적인 호 플로우 (700) 는 C-평면에서 구현될 수도 있다. 도 7 은 클라이언트 디바이스 (702), 액세스 노드 (704), MME (706), S-GW (708), P-GW (710), PCRF (712), HSS (714), 및 PDN 에서의 어플리케이션/어플리케이션 서비스/어플리케이션 서버 (APP) (716) 의 표현들을 포함한다.
도 7 의 예시적인 호 플로우 (700) 에 있어서, 클라이언트 디바이스 (702) 는 접속 일반을 확립하거나 서비스와의 접속을 확립하기 위한 단계들을 취할 수도 있다. 일 양태에 있어서, 클라이언트 디바이스 (702) 는 PDN 접속 요청을 MME (706) 로 전송할 수도 있다 (7016). 네트워크 토큰에 대한 요청은 접속을 확립하기 위해 클라이언트 디바이스 (702) 에 의해 취해진 액션들과 관련하여 암시적으로 인식될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (702) 의 PDN 접속 요청과 관련하여 암시적으로 인식될 수도 있다. 대안적으로, 네트워크 토큰에 대한 요청은 클라이언트 디바이스 (702) 의 접속 요청에 명시적으로 포함될 수도 있다. 예를 들어, 네트워크 토큰에 대한 요청은 PDN 접속 요청에 명시적으로 포함될 수도 있다. 네트워크 토큰에 대한 요청은 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다. 또다른 대안으로서, 클라이언트 디바이스 (702) 는 네트워크 토큰을 요청하지 않을 수도 있지만, 네트워크 토큰은 C-평면에 할당될 수도 있다.
PDN 접속 요청의 수신에 응답하여, MME (706) 는 세션 생성 요청을 S-GW (708) 로 전송할 수도 있다 (718). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, S-GW (708) 는 세션 생성 요청을 P-GW (710) 로 전송할 수도 있다 (720). 네트워크 토큰에 대한 요청은 세션 생성 요청에 복사되거나 그렇지 않으면 세션 생성 요청에 포함될 수도 있다. 네트워크 토큰에 대한 요청은 또한, 어플리케이션 식별자 (앱 ID) 를 포함할 수도 있다.
세션 생성 요청의 수신에 응답하여, P-GW (710) 는 IP-CAN 세션에 대한 확립/수정을 위한 단계들을 수행할 수도 있다 (724). 또한, 네트워크 토큰에 대한 요청의 수신에 응답하여, P-GW (710) 는 UL 네트워크 토큰을 도출할 수도 있고 (726), 일부 양태들에 있어서, 다운링크 (DL) 네트워크 토큰을 도출할 수도 있다. P-GW (710) 에 공지된 비밀 키는 UL 네트워크 토큰을 도출하기 위해 암호 함수에서 사용될 수도 있다. 일 예에 있어서, P-GW (710) 는 어플리케이션 기능부 (AF) 로부터 취출된 어플리케이션 액세스 정책의 관점에서 UL 네트워크 토큰을 도출할 수도 있다. 일 양태에 있어서, 액세스 정책은 어플리케이션에 플로우를 연관시킬 수도 있다. UL 네트워크 토큰은 추가로, 앱 ID 의 관점에서, 예를 들어, 앱 ID 가 UL 네트워크 토큰에 대한 요청에 포함되면, 도출될 수도 있다. DL 네트워크 토큰의 도출은 P-GW (710) 에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초할 수도 있다. P-GW (710) 는 UL 네트워크 토큰을 그리고 일부 양태들에 있어서 DL 네트워크 토큰을 클라이언트 디바이스 (702) 에 다음과 같이 발행할 수도 있다.
P-GW (710) 는 세션 생성 응답을 S-GW (708) 로 전송할 수도 있다 (728). P-GW (710) 는 S-GW (708) 로 전송된 세션 생성 응답에 UL 네트워크 토큰을 포함할 수도 있다. P-GW (710) 는 또한, S-GW (708) 로 전송된 세션 생성 응답에 DL 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, S-GW (708) 는 세션 생성 응답을 MME (706) 로 전송할 수도 있다 (730). S-GW (708) 는 MME (706) 로 전송된 세션 생성 응답에 UL 네트워크 토큰 및 DL 네트워크 토큰을 포함할 수도 있다. 세션 생성 응답에 응답하여, MME (706) 는 베어러 셋업 요청/PDN 접속 수락을 액세스 노드 (704) 로 전송할 수도 있다 (732). MME (706) 는 액세스 노드 (704) 로 전송된 베어러 셋업 요청/PDN 접속 수락에 UL 네트워크 토큰 및 DL 네트워크 토큰을 포함할 수도 있다.
베어러 셋업 요청/PDN 접속 수락에 응답하여, 액세스 노드 (704) 는 RRC 접속 재구성을 클라이언트 디바이스 (702) 로 전송할 수도 있다. 액세스 노드 (704) 는 클라이언트 디바이스 (702) 로 전송된 RRC 접속 재구성에 UL 네트워크 토큰 및 DL 네트워크 토큰을 포함할 수도 있다. 따라서, 클라이언트 디바이스 (702) 는 UL 네트워크 토큰 및 DL 네트워크 토큰 양자 모두를 수신할 수도 있고, 이들 양자 모두는 액세스 노드 (704) 로부터 수신된 RRC 접속 재구성에 있어서 P-GW (710) 에서 도출되어 클라이언트 디바이스 (702) 로 전달되었을 수도 있다.
일부 양태들에 있어서, 클라이언트 디바이스 (702) 는 DL 네트워크 토큰을 PDN 상의 APP (715) 로 전송할 수도 있다 (736). 그 후, APP (715) 는, 다운링크에서 APP (715) 로부터 P-GW (710) 로 전송된 하나 이상의 다운링크 패킷들에 DL 네트워크 토큰을 포함할 수도 있다. 이 양태에 있어서, P-GW (710) 는 IP 플로우들을 다운링크 방향으로 뿐 아니라 업링크 방향으로 더 효율적으로 지향시킬 수도 있다. 원래의 DL 네트워크 토큰이 P-GW (710) 에 의해 도출되었기 때문에, P-GW (710) 는 APP (715) 로부터 패킷들로 수신된 DL 네트워크 토큰을 유효화할 수도 있다. 이는 TFT/SDF 를 사용한 다운링크 패킷 검사에 대한 유용한 대안일 수도 있다.
토큰 사용/시행 - 예시적인 시스템 레벨 프로토콜 스택들
상기 설명된 네트워크 토큰들과 관련한 사용 및 시행의 양태들이 이제 제시될 것이다.
네트워크 토큰들의 사용은 클라이언트 디바이스, 액세스 노드, 게이트웨이, 및 어플리케이션 서버의 사용자-평면 프로토콜 스택들 사이의 네트워크 토큰들의 이동에 관하여 설명될 수도 있다. 사용자-평면 프로토콜 스택들의 예시적인 세트들을 도시한 6개의 도면들이 본 명세서에서 도시된다. 각각의 도면은, 프로토콜 스택들 사이의 네트워크 토큰 이동의 그 묘사에 있어서 다음 도면과 상이하다. 프로토콜 스택들에서 표현된 계층들 및 계층들 사이의 상호연결들의 다수가 널리 공지되어 있다. 이들 계층들은 도 8 의 예시에 관하여 간략히 설명될 것이다. 그 설명들은, 반복을 회피하고 그리고 어플리케이션의 간결성을 개선하기 위해 각각의 예시적인 도면에 대해 반복되지 않을 것이다. 도면들 중 4개는, 4개 도면들에 의해 도시된 개별 양태들과 관련하여 네트워크 토큰들의 이동을 위해 활용된 계층으로서 고려될 수도 있는 심 계층을 포함한다.
도 8 은 본 명세서에서 설명된 일 양태에 따른 시스템의 사용자-평면 프로토콜 스택들 (800) 의 예시적인 도면이다. 도 8 은 클라이언트 디바이스 (802), 액세스 노드 (804), 게이트웨이 (806), 및 어플리케이션 서버 (808) 를 도시한다. 예시적인 도면 도 8 에 있어서, 클라이언트 디바이스 (802) 의 프로토콜 스택은, 최하위 계층으로부터 위로, 물리 (PHY) 계층 (810), 매체 액세스 제어 (MAC) 계층 (812), 무선 링크 제어 (RLC) 계층 (814), 패킷 데이터 수렴 프로토콜 (PDCP) 계층 (816), 및 인터넷 프로토콜 (IP) 계층 (818) 을 포함할 수도 있다. 일 양태에 있어서, 네트워크 토큰은 인터넷 프로토콜 (IP) 버전 6 (IPv6) 에서 정의된 IP 확장 헤더에서 반송될 수 있다.
일 양태에 있어서, 심 계층 (820) 이 클라이언트 디바이스 (802) 의 사용자-평면 프로토콜 스택에 부가될 수도 있고, 대응하는 심 계층 (822) 이 게이트웨이 (806) 의 프로토콜 스택에 부가될 수도 있다. 심 계층 (820) 및 대응하는 심 계층 (822) 은 본 명세서에서 설명된 양태들에 따라 클라이언트 디바이스 (802) 로부터 게이트웨이 (806) 로의 네트워크 토큰들의 이동을 용이하게 한다. 일 양태에 있어서, 심 계층 (820) 은 클라이언트 디바이스 (802) 의 IP 계층 (818) 아래에 그리고 MAC 계층 (812) 위에 있다. 이 양태에 있어서, 대응하는 심 계층 (822) 은 게이트웨이 (806) 의 IP 계층 (824) 아래에 그리고 GTP-U 계층 (826) 위에 있다.
도 8 에 의해 도시된 양태는, 액세스 노드 (804) 에 의한 어떠한 프로세싱에 대한 필요성없이 클라이언트 디바이스 (802) 로부터 게이트웨이 (806) 로의 네트워크 토큰 (860) 의 이동을 위해 유용할 수도 있다. 대안적인 방법들이 용인가능하다. 예로서, 클라이언트 디바이스 (802) 는 상기 설명된 (도 8 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 게이트웨이 (806) 로부터 네트워크 토큰을 수신할 수도 있다. 네트워크 토큰의 사용의 일 양태에 따르면, 클라이언트 디바이스 (802) 는 어플리케이션 서버 (808) 행으로 정해진 패킷들에 네트워크 토큰을 포함할 수도 있다. 네트워크 토큰 (860) 은, 도 8 에 도시된 바와 같이, 심 계층 (820) 의 심 헤더에서 게이트웨이 (806) 에 반송될 수도 있다. 네트워크 토큰 (860) 은 IP 헤더와는 별개인 심 헤더에서 반송될 수도 있다.
게이트웨이 (806) 에서의 네트워크 토큰 (하기에서 설명됨) 의 검증이 성공적이면, 게이트웨이 (806) 는 네트워크 토큰을 폐기한 이후 패킷을 어플리케이션 서버 (808) 에 포워딩할 수도 있다. 게이트웨이 (806) 에서의 네트워크 토큰 (860) 의 검증이 성공적이지 않으면, 게이트웨이 (806) 는 패킷 및 네트워크 토큰을 폐기할 수도 있다. 도시된 양태에 따르면, 네트워크 토큰 기반 어플리케이션 액세스를 지원하기 위해 어플리케이션 서버 (808) 에서 어떠한 변경도 필요치 않을 것이다.
설명의 완전성을 위해, 액세스 노드 (804), 게이트웨이 (806), 및 어플리케이션 서버 (808) 의 사용자-평면 프로토콜 스택들의 계층들이 이제 간략히 설명될 것이다. 도 8 의 예시적인 도면에 있어서, 액세스 노드 (804) 의 프로토콜 스택은, 최하위 계층으로부터 위로, 물리 (PHY) 계층 (830), 매체 액세스 제어 (MAC) 계층 (832), 무선 링크 제어 (RLC) 계층 (834), 및 패킷 데이터 수렴 프로토콜 (PDCP) 계층 (836) 을 포함할 수도 있고, 이들은 클라이언트 디바이스 (802) 의 동일한 명칭의 계층들 (1210, 812, 814, 및 816) 과 각각 조인한다. 도 8 의 예시적인 도면에 있어서, 액세스 노드 (804) 의 프로토콜 스택은 부가적으로, 최하위 계층으로부터 위로, 이더넷 계층 (840), MAC 계층 (842), IP 계층 (844), 사용자 데이터그램 프로토콜 (UDP) 계층 (846), 및 GTP-U 계층 (848) 을 포함할 수도 있다. 이들 개별 계층들은 게이트웨이 (806) 의 동일 명칭의 계층들 (1250, 852, 854, 856, 및 826) 과 조인한다. 도 8 의 예시적인 도면에 있어서, 클라이언트 디바이스 IP 계층 (818) 은 게이트웨이 (806) 의 IP 계층 (824) 과 조인하는 한편, 게이트웨이 (806) 의 IP 계층 (824) 은 어플리케이션 서버 (808) 의 IP 계층 (858) 과 조인한다.
도 9 는 본 명세서에서 설명된 다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다. 도 9 는 클라이언트 디바이스 (902), 액세스 노드 (904), 게이트웨이 (906), 및 어플리케이션 서버 (908) 를 도시한다.
도 9 에 의해 도시된 양태는 액세스 노드 (904) 를 통한 클라이언트 디바이스 (902) 로부터 게이트웨이 (906) 로의 네트워크 토큰 (960) 의 이동을 위해 유용할 수도 있다. 이 양태에 있어서, 심 계층은 요구되지 않는다. 예로서, 클라이언트 디바이스 (902) 는 상기 설명된 (도 9 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 게이트웨이 (906) 로부터 네트워크 토큰 (960) 을 수신할 수도 있다. 네트워크 토큰의 사용의 일 양태에 따르면, 클라이언트 디바이스 (902) 는 어플리케이션 서버 (908) 행으로 정해진 패킷들에 네트워크 토큰 (960) 을 포함할 수도 있다. 네트워크 토큰 (960) 을 포함한 패킷은, PDCP 계층 (916) 헤더에서 클라이언트 디바이스 (902) 로부터 액세스 노드 (904) 의 PDCP 계층 (936) 으로 반송될 수도 있다. 액세스 노드 (904) 는 PDCP 헤더에서 발견된 네트워크 토큰을 GTP-U 헤더에 복사할 수도 있다. 그 후, 네트워크 토큰 (960) 을 포함한 패킷은, GTP-U 계층 (948) 헤더에서 액세스 노드 (904) 로부터 게이트웨이 (906) 의 GTP-U 계층 (926) 으로 반송될 수도 있다. 즉, 일 양태에 있어서, 네트워크 토큰은 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP) 헤더에서 반송될 수도 있다. 하나의 예시적인 양태에 있어서, 게이트웨이 (906) 로부터 클라이언트 디바이스 (902) 로 원래 전송된 네트워크 토큰은 게이트웨이에 공지된 비밀 키를 사용하여 생성되었을 수도 있다. 그러한 양태에 있어서, 액세스 노드 (904) 는 (검증을 위해 필요한 비밀 키를 소유하지 않을 것이기 때문에) 네트워크 토큰을 검증할 수 없을 것이다. 이에 따라, 도 9 의 도면에서의 액세스 노드 (904) 의 예시적인 목적은, 네트워크 토큰을 일 헤더로부터 다른 헤더로 복사하고, 이에 의해, 이미 현존하는 PDCP 계층 (936) 헤더 및 GTP-U 계층 (948) 헤더를 통해 네트워크 토큰을 클라이언트 디바이스 (902) 로부터 게이트웨이 (906) 로 포워딩하는 것이다. 일단 네트워크 토큰이 게이트웨이에 도달할 경우, 게이트웨이 (906) 에서의 네트워크 토큰 (하기에서 설명됨) 의 검증이 성공적이면, 게이트웨이 (906) 는 네트워크 토큰을 폐기한 이후 패킷을 어플리케이션 서버 (908) 에 포워딩할 수도 있다. 게이트웨이 (906) 에서의 네트워크 토큰 (960) 의 검증이 성공적이지 않으면, 게이트웨이 (906) 는 패킷 및 네트워크 토큰을 폐기할 수도 있다. 도시된 양태에 따르면, 토큰 기반 어플리케이션 액세스를 지원하기 위해 어플리케이션 서버 (908) 에서 어떠한 변경도 필요치 않을 것이다.
도 9 와 관련하여 설명되지 않았던 클라이언트 디바이스 (902), 액세스 노드 (904), 게이트웨이 (906), 및 어플리케이션 서버 (908) 의 사용자-평면 프로토콜 스택들의 계층들은, 그 설명들이 도 8 에서의 동일한 명칭의 계층들의 설명들과 동일하거나 유사하기 때문에 설명되지 않을 것이다.
도 10 은 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다. 도 10 은 클라이언트 디바이스 (1002), 액세스 노드 (1004), 게이트웨이 (1006), 및 어플리케이션 서버 (1008) 를 도시한다.
도 10 에 의해 도시된 양태는 액세스 노드 (1004) 로부터 게이트웨이 (1006) 로의 네트워크 토큰 (1060) 의 이동을 위해 유용할 수도 있다. 이 양태는, 클라이언트 디바이스 (1002) 가 어플리케이션 서버 (1008) 상의 특정 서비스에 액세스하도록 제약되고 그리고 클라이언트 디바이스 (1002) 로부터 게이트웨이 (1006) 로 트래픽을 반송하도록 확립된 베어러가 그와 같이 (예를 들어, 후원된 접속) 셋업되면 유용할 수도 있다. 이 양태는 또한, 클라이언트 디바이스 (1002) 와 액세스 노드 (1004) 사이에 또는 클라이언트 디바이스 (1002) 와 게이트웨이 (1006) 사이에 신뢰 관계가 존재하지 않을 수도 있을 경우에 유용할 수도 있다. 예로서, 도 10 에 의해 도시된 양태에 있어서, 클라이언트 디바이스 (1002) 는 게이트웨이 (1006) 로부터 네트워크 토큰을 수신하지 않는다. 도 10 에 의해 도시된 양태에 있어서, 액세스 노드 (1004) 는 상기 설명된 (도 10 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 게이트웨이 (1006) 로부터 네트워크 토큰 (1060) 을 수신할 수도 있다. 네트워크 토큰의 사용의 일 양태에 따르면, 액세스 노드 (1004) 는 어플리케이션 서버 (1008) 행으로 정해진 클라이언트 디바이스 (1002) 패킷들에 네트워크 토큰 (1060) 을 포함할 수도 있다. 네트워크 토큰 (1060) 을 포함한 클라이언트 디바이스 (1002) 패킷은, GTP-U 계층 (1048) 헤더에서 액세스 노드 (1004) 로부터 게이트웨이 (1006) 의 GTP-U 계층 (1026) 으로 반송될 수도 있다. 일단 네트워크 토큰이 게이트웨이에 도달할 경우, 게이트웨이 (1006) 에서의 네트워크 토큰 (하기에서 설명됨) 의 검증이 성공적이면, 게이트웨이 (1006) 는 네트워크 토큰을 폐기한 이후 패킷을 어플리케이션 서버 (1008) 에 포워딩할 수도 있다. 게이트웨이 (1006) 에서의 네트워크 토큰 (1060) 의 검증이 성공적이지 않으면, 게이트웨이 (1006) 는 패킷 및 네트워크 토큰을 폐기할 수도 있다. 도시된 양태에 따르면, 토큰 기반 어플리케이션 액세스를 지원하기 위해 어플리케이션 서버 (1008) 에서 어떠한 변경도 필요치 않을 것이다.
도 10 과 관련하여 설명되지 않았던 클라이언트 디바이스 (1002), 액세스 노드 (1004), 게이트웨이 (1006), 및 어플리케이션 서버 (1008) 의 사용자-평면 프로토콜 스택들의 계층들은, 그 설명들이 도 8 에서의 동일한 명칭의 계층들의 설명들과 동일하거나 유사하기 때문에 설명되지 않을 것이다.
도 11 은 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다. 도 11 은 클라이언트 디바이스 (1102), 액세스 노드 (1104), 게이트웨이 (1106), 및 어플리케이션 서버 (1108) 를 도시한다.
일 양태에 있어서, 심 계층 (1162) 이 클라이언트 디바이스 (1102) 의 사용자-평면 프로토콜 스택에 부가될 수도 있고, 대응하는 심 계층 (1164) 이 액세스 노드 (1104) 의 프로토콜 스택에 부가될 수도 있으며, 추가로 대응하는 심 계층 (1166) 이 게이트웨이 (1106) 의 프로토콜 스택에 부가될 수도 있다. 심 계층들 (1162, 1164, 및 1166) 은 본 명세서에서 설명된 양태들에 따라 클라이언트 디바이스 (1102) 로부터 액세스 노드 (1104) 로의 그리고 액세스 노드 (1104) 로부터 게이트웨이 (1106) 로의 네트워크 토큰들의 이동을 용이하게 한다. 일 양태에 있어서, 심 계층 (1162) 은 클라이언트 디바이스 (1102) 의 IP 계층 (1118) 아래에 그리고 MAC 계층 (1112) 위에 있다. 이 양태에 있어서, 대응하는 심 계층 (1164) 은 액세스 노드 (1104) 의 PDCP 계층 (1136) 위에 있다. 이 양태에 있어서, 추가로 대응하는 심 계층 (1166) 은 게이트웨이 (1106) 의 IP 계층 (1124) 아래에 그리고 GTP-U 계층 (1126) 위에 있다.
도 11 에 의해 도시된 양태는 액세스 노드 (1104) 를 통한 클라이언트 디바이스 (1102) 로부터 게이트웨이 (1106) 로의 네트워크 토큰 (1160) 의 이동을 위해 유용할 수도 있으며, 여기서, 액세스 노드 (1104) 는, 네트워크 토큰을 유효화하기 위해 사용될 수도 있는 액세스 노드에 특정한 비밀 키 (KNT , eNB) 의 수신자이다. 예로서, 클라이언트 디바이스 (1102) 는 상기 설명된 (도 11 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 게이트웨이 (1106) 로부터 네트워크 토큰을 수신할 수도 있다. 부가적으로, 액세스 노드 (1104) 는 상기 설명된 (도 11 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 클라이언트 디바이스 (1102) 로 전송된 네트워크 토큰을 도출하기 위해 게이트웨이 (1106) 에 의해 도출된 그리고 게이트웨이 (1106) 에 의해 사용된 액세스 노드에 특정한 비밀 키 (KNT, eNB) 를 수신할 수도 있다. 네트워크 토큰의 사용의 일 양태에 따르면, 클라이언트 디바이스 (1102) 는 어플리케이션 서버 (1108) 행으로 정해진 패킷들에 네트워크 토큰을 포함할 수도 있다. 심 계층 (1162) 의 심 헤더는, 도 11 에 도시된 바와 같이, 네트워크 토큰 (1160) 을 액세스 노드 (1104) 의 대응하는 심 계층 (1164) 으로 반송할 수도 있다. 액세스 노드 (1104) 는 클라이언트 디바이스 패킷에 포함된 네트워크 토큰을 검증하기 위해 게이트웨이 (1106) 에 의해 제공된 액세스 노드에 특정한 비밀 키를 사용할 수도 있다. 액세스 노드 (1104) 에서의 네트워크 토큰 (하기에서 설명됨) 의 검증이 성공적이면, 액세스 노드 (1104) 는 클라이언트 디바이스 패킷 및 네트워크 토큰을 게이트웨이 (1106) 에 포워딩할 수도 있다. 액세스 노드 (1104) 에서의 네트워크 토큰 (1160) 의 검증이 성공적이지 않으면, 액세스 노드 (1104) 는 패킷 및 네트워크 토큰을 폐기할 수도 있다. 액세스 노드 (1104) 에서의 네트워크 토큰 (하기에서 설명됨) 의 검증이 성공적이었고 클라이언트 디바이스 패킷 및 네트워크 토큰이 게이트웨이 (1106) 에 포워딩되었으면, 제 2 검증 프로세스가 게이트웨이 (1106) 에서 수행될 수도 있다. 게이트웨이 (1106) 에서의 네트워크 토큰 (하기에서 설명됨) 의 검증이 성공적이면, 게이트웨이 (1106) 는 네트워크 토큰을 폐기한 이후 패킷을 어플리케이션 서버 (1108) 에 포워딩할 수도 있다. 게이트웨이 (1106) 에서의 네트워크 토큰 (1160) 의 검증이 성공적이지 않으면 (액세스 노드 (1104) 에서의 성공에도 불구하고), 게이트웨이 (1106) 는 패킷 및 네트워크 토큰을 폐기할 수도 있다. 도시된 양태에 따르면, 토큰 기반 어플리케이션 액세스를 지원하기 위해 어플리케이션 서버 (1108) 에서 어떠한 변경도 필요치 않을 것이다.
도 11 에 도시된 양태에 따르면, 액세스 노드 (1104) 는 게이트웨이 (1106) 에 의해 클라이언트 디바이스 (1102) 로 전송된 토큰을 검증할 수 있다. 액세스 노드 (1104) 에서의 검증은 가능한데, 왜냐하면 게이트웨이 (1106) 가 액세스 노드에 특정한 비밀 키를 도출 (토큰 셋업과 관련하여 상기 설명된 도출) 할 수도 있기 때문이다. 이는 액세스 노드 (1104) 로 하여금 어플리케이션 서버 행으로 정해진 비허가된 클라이언트 디바이스 트래픽을, 그 트래픽이 네트워크에 깊게 주입되기 전에, 필터링하게 할 수도 있으며, 이는, 이에 의해, 네트워크 리소스들이 비허가된 트래픽을 전달하기 위해 사용되는 것을 방지할 수도 있다.
도 11 과 관련하여 설명되지 않았던 클라이언트 디바이스 (1102), 액세스 노드 (1104), 게이트웨이 (1106), 및 어플리케이션 서버 (1108) 의 프로토콜 스택들의 계층들은, 그 설명들이 도 8 에서의 동일한 명칭의 계층들의 설명들과 동일하거나 유사하기 때문에 설명되지 않을 것이다.
도 12 는 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다. 도 12 는 클라이언트 디바이스 (1202), 액세스 노드 (1204), 게이트웨이 (1206), 및 어플리케이션 서버 (1208) 를 도시한다.
일 양태에 있어서, 심 계층 (1272) 이 클라이언트 디바이스 (1202) 의 프로토콜 스택에 부가될 수도 있고, 대응하는 심 계층 (1274) 이 액세스 노드 (1204) 의 프로토콜 스택에 부가될 수도 있으며, 추가로 대응하는 심 계층 (1276) 이 게이트웨이 (1206) 의 프로토콜 스택에 부가될 수도 있다. 심 계층들 (1272, 1274, 및 1276) 은 본 명세서에서 설명된 양태들에 따라 클라이언트 디바이스 (1202) 로부터 액세스 노드 (1204) 로의 그리고 액세스 노드 (1204) 로부터 게이트웨이 (1206) 로의 네트워크 토큰들의 이동을 용이하게 한다. 일 양태에 있어서, 심 계층 (1272) 은 클라이언트 디바이스 (1202) 의 IP 계층 (1218) 아래에 그리고 MAC 계층 (1212) 위에 있다. 이 양태에 있어서, 대응하는 심 계층 (1274) 은 액세스 노드 (1204) 의 PDCP 계층 (1236) 위에 있다. 이 양태에 있어서, 추가로 대응하는 심 계층 (1276) 은 게이트웨이 (1206) 의 IP 계층 (1224) 아래에 그리고 GTP-U 계층 (1226) 위에 있다.
도 12 에 의해 도시된 양태는 액세스 노드 (1204) 를 통한 클라이언트 디바이스 (1202) 로부터 게이트웨이 (1206) 로의 네트워크 토큰 (1260) 의 이동을 위해 유용할 수도 있으며, 여기서, 액세스 노드 (1204) 및 게이트웨이 (1206) 양자 모두는 클라이언트 디바이스 (1202) 에 대해 네트워크 토큰들을 발행할 수도 있다. 예로서, 클라이언트 디바이스 (1202) 는 상기 설명된 (도 12 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 액세스 노드 (1204) 로부터 네트워크 토큰 (NT2) 을 그리고 게이트웨이 (1206) 로부터 별도의 네트워크 토큰 (NT1) 을 수신할 수도 있다. 게이트웨이 (1206) 및 액세스 노드 (1204) 로부터 각각 수신된 네트워크 토큰들 (NT1, NT2) 의 사용의 일 양태에 따르면, 클라이언트 디바이스 (1202) 는 어플리케이션 서버 (1208) 행으로 정해진 패킷들에 네트워크 토큰들 (NT1, NT2) 을 포함할 수도 있다. 심 계층 (1272) 의 심 헤더는, 도 12 에 도시된 바와 같이, 네트워크 토큰들 (NT1, NT2) 을 액세스 노드 (1204) 의 대응하는 심 계층 (1274) 으로 반송할 수도 있다. 액세스 노드 (1204) 는 클라이언트 디바이스 패킷에 포함된 네트워크 토큰 (NT2) 을 검증하기 위해 액세스 노드 (1204) 에 공지된 비밀 키를 사용할 수도 있다. 액세스 노드 (1204) 에서의 네트워크 토큰 (NT2) 의 검증이 성공적이면, 액세스 노드 (1204) 는 네트워크 토큰 (NT2) 을 폐기하고, 패킷 및 네트워크 토큰 (NT1) 을 게이트웨이 (1206) 에 포워딩할 수도 있다. 액세스 노드 (1204) 에서의 네트워크 토큰 (NT2) 의 검증이 성공적이지 않으면, 액세스 노드 (1204) 는 패킷 및 네트워크 토큰들을 폐기할 수도 있다.
액세스 노드 (1204) 에서의 네트워크 토큰 (NT2) 의 검증이 성공적이었고 패킷 및 네트워크 토큰들 (NT1) 이 게이트웨이 (1206) 에 포워딩되었으면, 제 2 검증 프로세스가 게이트웨이 (1206) 에서 수행될 수도 있다. 게이트웨이 (1206) 에서의 네트워크 토큰 (NT1) 의 검증이 성공적이면, 게이트웨이 (1206) 는 네트워크 토큰 (NT1) 을 폐기한 이후 패킷을 어플리케이션 서버 (1208) 에 포워딩할 수도 있다. 게이트웨이 (1206) 에서의 네트워크 토큰 (NT1) 의 검증이 성공적이지 않으면 (액세스 노드 (1204) 에서의 성공에도 불구하고), 게이트웨이 (1206) 는 패킷 및 네트워크 토큰 (NT1) 을 폐기할 수도 있다. 도시된 양태에 따르면, 토큰 기반 어플리케이션 액세스를 지원하기 위해 어플리케이션 서버 (1208) 에서 어떠한 변경도 필요치 않을 것이다.
도 12 에 도시된 양태에 따르면, 액세스 노드 (1204) 는 클라이언트 디바이스 (1202) 로 전송된 토큰을 검증할 수 있으며, 여기서, 네트워크 토큰은 액세스 노드 (1204) 자체에 의해 도출되었다. 이는 액세스 노드 (1204) 로 하여금 어플리케이션 서버 행으로 정해진 비허가된 클라이언트 디바이스 트래픽을, 그 트래픽이 네트워크에 깊게 주입되기 전에, 필터링하게 할 수도 있으며, 이는, 이에 의해, 네트워크 리소스들이 비허가된 트래픽을 전달하기 위해 사용되는 것을 방지할 수도 있다. 이 양태는, 액세스 노드 (1204) 와 게이트웨이 (1206) 사이에 가정된 신뢰 관계가 존재하지 않을 경우에 유용할 수도 있다. 이에 따라, 이 옵션은, 액세스 노드 (1204) 와 게이트웨이 (1206) 가 상이한 오퍼레이터들에 의해 소유/구동되면 가장 유용할 수도 있다.
도 12 와 관련하여 설명되지 않았던 클라이언트 디바이스 (1202), 액세스 노드 (1204), 게이트웨이 (1206), 및 어플리케이션 서버 (1208) 의 프로토콜 스택들의 계층들은, 그 설명들이 도 8 에서의 동일한 명칭의 계층들의 설명들과 동일하거나 유사하기 때문에 설명되지 않을 것이다.
도 13 은 본 명세서에서 설명된 또다른 양태에 따른 시스템의 사용자-평면 프로토콜 스택들의 예시적인 도면이다. 도 13 은 클라이언트 디바이스 (1302), 액세스 노드 (1304), 게이트웨이 (1306), 및 어플리케이션 서버 (1308) 를 도시한다.
일 양태에 있어서, 심 계층 (1320) 이 클라이언트 디바이스 (1302) 의 프로토콜 스택에 부가될 수도 있고, 대응하는 심 계층 (1322) 이 게이트웨이 (1306) 의 프로토콜 스택에 부가될 수도 있다. 심 계층 (1320) 및 대응하는 심 계층 (1322) 은 본 명세서에서 설명된 양태들에 따라 클라이언트 디바이스 (1302) 로부터 게이트웨이 (1306) 로의 네트워크 토큰들의 이동을 용이하게 한다. 일 양태에 있어서, 심 계층 (1320) 은 클라이언트 디바이스 (1302) 의 IP 계층 (1318) 아래에 그리고 MAC 계층 (1312) 위에 있다. 이 양태에 있어서, 대응하는 심 계층 (1322) 은 게이트웨이 (1306) 의 IP 계층 (1324) 아래에 그리고 GTP-U 계층 (1326) 위에 있다.
부가적으로, 도 13 은 다운링크 네트워크 토큰들 (NTD) 을 도시한다. 다운링크 토큰은 우선순위화 및 필터링을 위해 사용될 수도 있다. 다운링크 네트워크 토큰은 (상기) 토큰 셋업과 관련하여 설명되었다. 예로서, 클라이언트 디바이스 (1302) 는 상기 설명된 (도 13 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 게이트웨이 (1306) 로부터 네트워크 토큰 (NT) 을 수신할 수도 있다. 클라이언트 디바이스 (1302) 는 또한, 상기 설명된 (도 13 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 게이트웨이 (1306) 로부터 제 2 네트워크 토큰 (NTD) 을 수신할 수도 있다. 네트워크 토큰들의 사용의 일 양태에 따르면, 다운링크 네트워크 토큰 (NTD) 은 상기 설명된 (도 13 에는 도시되지 않은) 제어-평면 시그널링/메시지 셋업 방법을 통해 클라이언트 디바이스 (1302) 로부터 어플리케이션 서버 (1308) 에 전달될 수도 있다. 그 후, 사용 중, 어플리케이션 서버 (1308) 는, 게이트웨이 (1306) 로 전송되고 클라이언트 디바이스 (1302) 행으로 정해진 다운링크 패킷들에 다운링크 네트워크 토큰 (NTD) 을 포함할 수도 있다. 게이트웨이 (1306) 는 우선순위화 및 필터링을 위해 다운링크 네트워크 토큰 (NTD) 을 사용할 수도 있다.
도 13 과 관련하여 설명되지 않았던 클라이언트 디바이스 (1302), 액세스 노드 (1304), 게이트웨이 (1306), 및 어플리케이션 서버 (1308) 의 프로토콜 스택들의 계층들은, 그 설명들이 도 8 에서의 동일한 명칭의 계층들의 설명들과 동일하거나 유사하기 때문에 설명되지 않을 것이다.
예시적인 디바이스
도 14 는 네트워크 토큰 기반 어플리케이션 액세스를 지원하도록 적응된 예시적인 디바이스 (1400) 를 도시한 블록 다이어그램이다. 본 명세서에서 사용된 바와 같이, 용어 "디바이스" 는 칩 컴포넌트 및/또는 클라이언트 디바이스 (예를 들어, 모바일 디바이스, 사용자 장비, 사용자 디바이스) 와 같은 최종 사용자 디바이스를 기술할 수도 있다. 일 예에 있어서, 예시적인 디바이스 (1400) 는 통신 인터페이스 회로 (1402), 통신 인터페이스 회로 (1402) 에 커플링된 프로세싱 회로 (1404), 및 프로세싱 회로 (1404) 에 커플링된 메모리 디바이스 (1406) (예를 들어, 데이터를 저장하기 위한 자기 및/또는 광학 디바이스) 를 포함할 수도 있다. 이 리스트는 비-한정적이다.
통신 인터페이스 회로 (1402) 는 사용자와의 입력/출력 동작들을 위한 제 1 입력/출력 회로/기능부/모듈 (1408) 을 포함할 수도 있다. 통신 인터페이스 회로 (1402) 는 액세스 노드들과의 무선 통신을 위한 수신기/송신기 회로/기능부/모듈 (1410) 을 포함할 수도 있다. 이 리스트는 비-한정적이다.
프로세싱 회로 (1404) 는, 토큰 기반 어플리케이션 액세스를 지원하도록 적응되는 하나 이상의 프로세서들, 어플리케이션 특정 프로세서들, 하드웨어 및/또는 소프트웨어 모듈들 등을 포함하거나 구현할 수도 있다. 예를 들어, 네트워크 토큰 임베딩 모듈/회로/기능부 (1412) 는 액세스 노드 및/또는 게이트웨이에 포워딩된 패킷들에 네트워크 토큰들을 임베딩 (포함) 하도록 적응될 수도 있다. 이 예는 비-한정적이다.
메모리 디바이스 (1406) 는 네트워크 토큰 임베딩 명령들 (1422), 암호 유효화/검증 명령들 (1424), 및 비밀 키 저장 및 명령들을 포함하도록 적응될 수도 있다. 이 리스트는 비-한정적이다.
도 15 는 디바이스가 네트워크 토큰을 획득할 수도 있는 예시적인 방법 (1500) 이다. 예시적인 방법 (1500) 은 디바이스에서 동작할 수도 있다. 일 양태에 있어서, 디바이스는 c-평면 시그널링을 사용하여 액세스 노드와의 접속을 확립할 수도 있다. 예를 들어, 그러한 양태에 있어서, 베어러가 액세스 노드에서 확립될 수도 있다. 일 양태에 있어서, 디바이스는 제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립할 수도 있다 (1504). 하나 이상의 플로우들은 정책에 기초하여 정의될 수도 있다. 정책은 네트워크 액세스 정책과 같은 네트워크 정책일 수도 있다. 디바이스는, 제어 평면 시그널링 동안, 네트워크 토큰을 획득할 수도 있고 (1506), 여기서, 네트워크 토큰은 네트워크 액세스 정책에 따라 도출되고, 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되며, 제어 평면 시그널링을 통해 디바이스에 제공될 수도 있다.
일 양태에 있어서, 제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립하기 전에, 디바이스는 옵션적으로, 어플리케이션 서비스가 네트워크 토큰을 요구하는지 여부를 결정할 수도 있다 (1502).
일 양태에 있어서, 예시적인 방법 (1500) 은, 디바이스로부터, 제 1 플로우와 연관된 패킷으로 네트워크 토큰을 전송하는 것 (1508) 을 더 포함할 수도 있다. 그 방법은 하나의 패킷으로 오직 하나의 네트워크 토큰을 전송하는 것으로 한정되지 않는다. 그 방법은 제 1 플로우와 연관된 하나 이상의 패킷들로 네트워크 토큰을 전송하는 것을 포함할 수도 있거나, 또는 제 1 플로우와 연관된 모든 패킷으로 네트워크 토큰을 전송하는 것을 포함할 수도 있다.
일 양태에 있어서, 어플리케이션 서비스는 베어러 또는 액세스 포인트 네임 (APN) 과 연관될 수도 있다. 베어러를 확립하는 것은 이동성 관리 엔터티 (MME) 또는 패킷 데이터 네트워크 게이트웨이 (P-GW) 에 의해 네트워크에서 개시될 수도 있다. 본 명세서에서 사용된 바와 같이, 베어러의 확립은 디폴트 베어러의 활성화, 전용 베어러의 활성화, 또는 이미 확립된 베어러의 수정을 포함할 수도 있다. 베어러를 확립하는 단계 및 네트워크 토큰을 획득하는 단계는 제어 메시지들에서 구현될 수도 있다. 네트워크 토큰은 디바이스 및 어플리케이션 서비스와 연관 (예를 들어, 바인딩) 될 수도 있다. 네트워크 토큰은 하나 이상의 플로우들 및 하나 이상의 어플리케이션들과 연관될 수도 있다.
일 양태에 있어서, 베어러의 확립은 디바이스에 의해 개시될 수도 있다. 베어러 또는 APN 을 확립하도록 구현될 수도 있는 단계들은 디바이스로부터 패킷 데이터 네트워크 (PDN) 접속 요청을 전송하는 것; 디바이스로부터 전용 베어러 활성화 요청을 전송하는 것; 또는 디바이스로부터 베어러 수정 요청을 전송하는 것을 포함할 수도 있다.
일 양태에 있어서, 베어러를 확립하는 것은 네트워크 토큰을 요청하는 것을 포함할 수도 있으며, 여기서, 요청하는 것은 암시적이거나 명시적일 수도 있다. 요청하는 것은 제어 메시지에서의 서비스 데이터 플로우 (SDF) 또는 어플리케이션 식별자 (앱 ID) 에 의해 어플리케이션 서비스를 식별하는 것을 포함할 수도 있다.
상기 표시된 바와 같이, 디바이스는, 네트워크 토큰을 요청하기 전에 어플리케이션 서비스가 네트워크 토큰을 요구하는지 여부를 결정할 수도 있다. 그러한 예에 있어서, 그 결정은 네트워크로부터 수신된 표시, 어플리케이션 서비스로부터 수신된 표시, 어플리케이션 서비스의 구성, 및/또는 쿼리에 대한 응답에 기초할 수도 있다.
예로서, 네트워크로부터 수신된 표시는 어태치 프로세스의 부분으로서 시그널링 전송 계층 (S1B) 메시지 또는 비-액세스 스트라텀 (NAS) 메시지에 포함될 수도 있다. 네트워크로부터 수신된 표시는 어플리케이션 서비스의 구성과 관련하여 저장될 수도 있다. 네트워크로부터 수신된 표시는 어플리케이션 서비스에 대한 가입의 생성 동안 수신되거나 또는 어플리케이션 서비스에 대한 소프트웨어 업그레이드로서 다운로딩될 수도 있다. 네트워크로부터 수신된 표시는 정책의 부분으로서 수신될 수도 있다.
예로서, 어플리케이션 서비스의 구성은 어플리케이션 서비스의 정책에 또는 전송 또는 접속 서비스를 어플리케이션 서비스로 호스팅하는 접속 제공자의 정책에 기초할 수도 있다.
도 16 은 디바이스가 게이트웨이 디바이스로부터 네트워크 토큰을 그리고 액세스 노드로부터 별도의 네트워크 토큰을 획득할 수도 있는 예시적인 방법 (1600) 이다. 예시적인 방법 (1600) 은 디바이스에서 동작할 수도 있다. 일 양태에 있어서, 디바이스는 c-평면 시그널링을 사용하여 액세스 노드와의 접속을 확립할 수도 있다. 예를 들어, 그러한 양태에 있어서, 베어러가 액세스 노드에서 확립될 수도 있다. 일 양태에 있어서, 디바이스는 제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립할 수도 있다 (1602). 하나 이상의 플로우들은 정책에 기초하여 정의될 수도 있다. 정책은 네트워크 액세스 정책과 같은 네트워크 정책일 수도 있다. 디바이스는, 제어 평면 시그널링 동안, 제 1 네트워크 토큰을 획득할 수도 있고 (1604), 여기서, 제 1 네트워크 토큰은 네트워크 액세스 정책에 따라 제 1 디바이스 (예를 들어, P-GW, 게이트웨이 디바이스) 에 의해 도출될 수도 있다. 제 1 네트워크 토큰은 하나 이상의 플로우들의 세트 중 제 1 플로우, 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관될 수도 있고, 추가로, 제어 평면 시그널링을 통해 디바이스에 제공될 수도 있다.
네트워크 액세스 정책은 디바이스로부터의 플로우를 어플리케이션 서비스에 연관시킬 수도 있다. 그 후, 그 방법은, 네트워크 액세스 정책에 따라 패킷들을 플로우와 연관시키기 위해 디바이스에서 제 1 네트워크 토큰을 획득하는 단계를 포함할 수도 있다 (1604). 그 방법은 추가로, 플로우와 연관된 패킷들에 제 1 네트워크 토큰을 포함하는 것에 의해 계속할 수도 있으며, 그 패킷들은 어플리케이션 서비스 행으로 정해진다. 일 양태에 있어서, 디바이스는 어플리케이션 행으로 정해진 하나 이상의 패킷들에 제 1 네트워크 토큰을 포함할 수도 있다 (1606). 그 방법은, 액세스 정책에 따라 패킷들을 플로우와 연관시키기 위해 디바이스에서 제 2 네트워크 토큰을 획득하는 옵션적인 단계를 더 포함할 수도 있다 (1608). 그 옵션적인 단계 이후, 그 방법은 어플리케이션 행으로 정해진 하나 이상의 패킷들에 제 2 네트워크 토큰을 포함하는 옵션적인 단계를 더 포함할 수도 있다 (1610).
제 1 및 제 2 네트워크 토큰들은 제어 메시지에서 디바이스에 의해 획득될 수도 있다.
예시적인 액세스 노드
도 17 은 토큰 기반 어플리케이션 액세스를 지원하도록 적응된 예시적인 액세스 노드 (1700) (예를 들어, e노드B) 를 도시한 블록 다이어그램이다. 일 예에 있어서, 예시적인 액세스 노드 (1700) 는 네트워크 통신 인터페이스 회로 (1702), 네트워크 통신 인터페이스 회로 (1702) 에 커플링된 프로세싱 회로 (1704), 및 프로세싱 회로 (1704) 에 커플링된 메모리 디바이스 (1706) (예를 들어, 데이터를 저장하기 위한 자기 및/또는 광학 디바이스) 를 포함할 수도 있다. 이 리스트는 비-한정적이다.
네트워크 통신 인터페이스 회로 (1702) 는 S-GW 를 통한 P-GW 와의 통신을 위한 제 1 입력/출력 회로/기능부/모듈 (1708) 을 포함할 수도 있다. 네트워크 통신 인터페이스 회로 (1702) 는 클라이언트 디바이스들과의 무선 통신을 위한 수신기/송신기 회로/기능부/모듈 (1710) 을 포함할 수도 있다. 이 리스트는 비-한정적이다.
프로세싱 회로 (1704) 는, 토큰 기반 어플리케이션 액세스를 지원하도록 적응되는 하나 이상의 프로세서들, 어플리케이션 특정 프로세서들, 하드웨어 및/또는 소프트웨어 모듈들 등을 포함하거나 구현할 수도 있다. 예를 들어, 네트워크 토큰 도출 회로/기능부/모듈 (1712) 은 오직 게이트웨이에만 공지된 비밀 키, 또는 액세스 노드에 특정한 비밀 키와 같이 게이트웨이 및/또는 다른 엔터티에 공지된 비밀 키에 기초하여 토큰들을 도출하도록 적응될 수도 있으며, 이 비밀 키는 메모리 디바이스 (1706) 에 저장될 수도 있다. 다른 예로서, 네트워크 토큰 추출/임베딩 모듈/회로/기능부 (1714) 는 클라이언트 디바이스로부터의 업링크 패킷들로부터 네트워크 토큰들을 추출하고/하거나 게이트웨이에 포워딩된 패킷들에 네트워크 토큰들을 임베딩 (포함) 하도록 적응될 수도 있다. 또다른 예로서, 암호 유효화/검증 모듈/회로/기능부 (1716) 는, 예를 들어, 클라이언트 디바이스들로부터 수신된 네트워크 토큰들을 유효화/검증하도록 적응될 수도 있다. 이 리스트는 비-한정적이다.
메모리 디바이스 (1706) 는 네트워크 토큰 도출 명령들 (1720), 네트워크 토큰 추출/임베딩 명령들 (1722), 암호 유효화/검증 명령들 (1724), 및 비밀 키 저장 및 명령들을 포함하도록 적응될 수도 있다. 이 리스트는 비-한정적이다.
도 18 은 액세스 노드 (예를 들어, e노드B) 에서 네트워크 토큰을 셋업하는 (예를 들어, 네트워크 토큰을 도출하고 네트워크 토큰을 클라이언트 디바이스에 제공하는) 예시적인 방법 (1800) 을 도시한다.
예로서, 액세스 노드는 클라이언트 디바이스와의 접속을 확립할 수도 있다 (1802). 액세스 노드는 액세스 노드에 공지된 키로부터 네트워크 토큰을 도출할 수도 있다 (1804). 액세스 노드는 액세스 노드에서 도출된 네트워크 토큰을 클라이언트 디바이스로 전송할 수도 있다 (1806). 액세스 노드에서 도출된 네트워크 토큰은 제어 평면 시그널링을 통해 클라이언트 디바이스로 전송될 수도 있다. 일 양태에 있어서, 클라이언트 디바이스는 P-GW 에서 도출된 네트워크 토큰 및 액세스 노드에서 도출된 네트워크 토큰을 제어 평면 시그널링을 통해 수신할 수도 있다. 네트워크 토큰들은 서로 상이할 수도 있다. P-GW 에서 도출된 네트워크 토큰은 P-GW 에 공지된 비밀 키로부터 도출될 수도 있고, 액세스 노드에서 도출된 네트워크 토큰은 액세스 노드에 공지된 비밀 키로부터 도출될 수도 있다. P-GW 에 공지된 비밀 키는 오직 P-GW 에만 공지될 수도 있다. 액세스 노드에 공지된 비밀 키는 오직 액세스 노드에만 공지될 수도 있다. P-GW 에 공지된 비밀 키 및 액세스 노드에 공지된 비밀 키는 서로 상이할 수도 있다. 액세스 노드에서 도출된 네트워크 토큰 뿐 아니라 P-GW 에서 도출된 네트워크 토큰을 클라이언트 디바이스로부터 전송된 UL 패킷들에 포함시키는 것은 액세스 노드로 하여금 UL 패킷을 네트워크 노드로 더 깊게 전송하기 전에 검증하게 할 수도 있다.
상기 설명된 예에 있어서, 클라이언트 디바이스와의 접촉의 확립 및 액세스 노드로부터 클라이언트 디바이스로의 네트워크 토큰의 전송은 제어 메시지들에서 구현될 수도 있다. 액세스 노드에서 도출된 네트워크 토큰은 클라이언트 디바이스, 액세스 노드, 및 어플리케이션 서비스와 연관 (예를 들어, 바인딩) 될 수도 있다.
도 19 는 액세스 노드에서 동작하는 예시적인 방법 (1900) 의 플로우 다이어그램이다. 그 방법은 클라이언트 디바이스와의 접속을 확립하는 단계를 포함할 수도 있다 (1902). 그 방법은 접속을 확립하는 것의 부분으로서 클라이언트 디바이스에 대한 컨텍스트를 확립하는 단계를 포함할 수도 있다 (1904). 그 방법은 클라이언트 디바이스 및 어플리케이션 서비스와 연관된 패킷들에 네트워크 토큰을 포함하는 것에 의해 계속할 수도 있다 (1906). 컨텍스트는 네트워크 토큰을 포함할 수도 있고, 여기서, 네트워크 토큰은 클라이언트 디바이스 및 어플리케이션 서비스와 연관 (예를 들어, 바인딩) 된다. 그 방법은 네트워크 토큰을 포함한 패킷을 클라이언트 디바이스로부터 수신 또는 획득하는 단계를 더 포함할 수도 있다 (1908). 네트워크 토큰의 유효성의 결정이 착수될 수도 있다 (1910). 네트워크 토큰이 클라이언트 디바이스 및 어플리케이션 서비스와 연관된 네트워크 토큰의 사본이면, 네트워크 토큰은 유효한 것으로 결정될 수도 있다 (1912). 그 방법은, 네트워크 토큰이 유효하면, 네트워크 토큰의 사본을 포함한 패킷을 게이트웨이로 전송하는 단계를 더 포함할 수도 있다 (1914). 네트워크 토큰이 유효하지 않은 것으로 결정되면, 액세스 노드는 패킷 및 네트워크 토큰을 폐기할 수도 있다 (1916).
도 20 은 액세스 노드에서 동작하는 다른 예시적인 방법 (2000) 의 플로우 다이어그램이다. 그 방법은 클라이언트 디바이스와의 접속을 확립하는 단계를 포함할 수도 있다 (2002). 그 방법은 패킷을 클라이언트 디바이스로부터 수신 또는 획득하는 단계를 포함할 수도 있다 (2004). 그 방법은 네트워크 토큰의 사본을 포함한 패킷을 게이트웨이로 전송하는 단계를 더 포함할 수도 있으며, 여기서, 네트워크 토큰은 제어 메시지에서 액세스 노드에 의해 획득되었다 (2006).
도 21 은 액세스 노드에서 동작하는 또다른 예시적인 방법 (2100) 의 플로우 다이어그램이다. 그 방법은 클라이언트 디바이스와의 접속을 확립하는 단계를 포함할 수도 있다 (2102). 그 방법은 제 1 네트워크 토큰 및 제 2 네트워크 토큰을 포함한 패킷을 클라이언트 디바이스로부터 획득하는 단계를 포함할 수도 있으며, 여기서, 제 1 네트워크 토큰은 게이트웨이와 연관 (예를 들어, 바인딩) 되고 제 2 네트워크 토큰은 액세스 노드와 연관 (예를 들어, 바인딩) 된다 (2104). 그 방법은 액세스 노드에서의 제 2 네트워크 토큰을 유효화/검증하는 것으로 계속할 수도 있다 (2106). 유효화/검증이 성공적이면, 액세스 노드는 제 2 네트워크 토큰을 폐기할 수도 있다 (2108). 그 후, 액세스 노드는 제 1 네트워크 토큰을 포함한 패킷을 게이트웨이로 전송할 수도 있다 (2110). 유효화/검증이 성공적이지 않으면, 액세스 노드는 패킷 그리고 제 1 및 제 2 네트워크 토큰들을 폐기할 수도 있다 (2112).
예시적인 게이트웨이
도 22 는 토큰 기반 어플리케이션 액세스를 지원하도록 적응된 예시적인 게이트웨이 (2200) 를 도시한 블록 다이어그램이다. 일 예에 있어서, 예시적인 게이트웨이 (2200) 는 네트워크 통신 인터페이스 회로 (2202), 네트워크 통신 인터페이스 회로 (2202) 에 커플링된 프로세싱 회로 (2204), 및 프로세싱 회로 (2204) 에 커플링된 메모리 디바이스 (2206) (예를 들어, 데이터를 저장하기 위한 자기 및/또는 광학 디바이스) 를 포함할 수도 있다. 이 리스트는 비-한정적이다.
네트워크 통신 인터페이스 회로 (2202) 는 서빙 게이트웨이와의 통신을 위한 제 1 입력/출력 회로/기능부/모듈 (2208) 및 패킷 데이터 네트워크와의 통신을 위한 제 2 입력/출력 회로/기능부/모듈 (2210) 을 포함할 수도 있다. 제 1 입력/출력 회로/기능부/모듈 (2208) 은 다중의 베어러들 상에 확립된 다중의 IP 플로우들을 핸들링할 수도 있다. 제 2 입력/출력 회로/기능부/모듈 (2210) 은 패킷 데이터 네트워크 상의 다중의 서버들로 다중의 IP 플로우들을 핸들링할 수도 있다. 이 리스트는 비-한정적이다.
프로세싱 회로 (2204) 는, 토큰 기반 어플리케이션 액세스를 지원하도록 적응되는 하나 이상의 프로세서들, 어플리케이션 특정 프로세서들, 하드웨어 및/또는 소프트웨어 모듈들 등을 포함하거나 구현할 수도 있다. 예를 들어, 네트워크 토큰 도출 회로/기능부/모듈 (2212) 은, 메모리 디바이스 (2206) 에 저장될 수도 있는 비밀 키에 기초하여 토큰들을 도출하도록 적응될 수도 있다. 비밀 키는 오직 게이트웨이에만 공지될 수도 있다. 다른 예로서, 키 도출 회로/기능부/모듈 (2214) 은, 예를 들어, 메모리 디바이스 (2206) 에 저장될 수도 있는 비밀 키 및 주어진 액세스 노드의 식별자에 기초하여 액세스 노드에 특정한 비밀 키를 도출하도록 적응될 수도 있다. 또다른 예로서, 판정 및 프로세싱 회로/기능부/모듈 (2216) 은, EPS 베어러들로부터 수신된 업링크 패킷들 또는 어플리케이션 서버로부터 수신된 다운링크 패킷들이 네트워크 토큰들을 포함하는지를 판정하도록 적응될 수도 있고, 포함하면, 수신된 패킷들을 암호-유효화 및 트래픽-스티어링 회로/기능부/모듈 (2218) 에 전달하도록 추가로 적응될 수도 있다. 판정 및 프로세싱 회로/기능부/모듈 (2216) 은 추가로, 네트워크 토큰들을 서비스 데이터 플로우 필터 뱅크 (도시 안됨) 에 포함하지 않는 수신된 패킷들을 전달하도록 적응될 수도 있다. 이 리스트는 비-한정적이다.
메모리 디바이스 (2206) 는 네트워크 토큰 도출 명령들 (2220), 키 도출 명령들 (2222), 판정 및 프로세싱 명령들 (2224), 암호-유효화 및 트래픽-스티어링 명령들 (2226), 및 비밀 키 저장 및 명령들을 포함하도록 적응될 수도 있다. 이 리스트는 비-한정적이다.
도 23 은 게이트웨이 (예를 들어, P-GW) 에서 네트워크 토큰을 셋업하는 (예를 들어, 네트워크 토큰을 도출하고 네트워크 토큰을 클라이언트 디바이스에 제공하는) 예시적인 방법 (2300) 을 도시한다.
예로서, 게이트웨이는 클라이언트 디바이스와 연관된 베어러 셋업, 활성화, 또는 수정 동안 네트워크 토큰에 대한 요청을 수신할 수도 있다 (2302). 옵션적인 단계로서, 네트워크 토큰의 도출을 위한 액세스 노드 (예를 들어, e노드B) 에 특정한 비밀 키를 도출할지 여부의 결정이 행해질 수도 있다 (2304). 옵션적인 단계 2304 가 사용되지 않으면 또는 액세스 노드에 특정한 비밀 키를 도출할지 여부의 결정이 액세스 노드에 특정한 비밀 키를 도출하지 않는 판정을 초래하면, 그 방법은, 게이트웨이에서, 오직 게이트웨이에만 공지된 비밀 키로부터 네트워크 토큰을 도출하도록 진행할 수도 있다 (2306). 다음으로, 게이트웨이는 베어러 셋업, 활성화, 또는 수정 동안 클라이언트 디바이스로 또는 클라이언트 디바이스와 연관된 액세스 노드로 네트워크 토큰을 전송할 수도 있다 (2308). 옵션적인 단계 2304 가 사용되면 또는 액세스 노드에 특정한 비밀 키를 도출할지 여부의 결정이 액세스 노드에 특정한 비밀 키를 도출하는 판정을 초래하면, 그 방법은 액세스 노드에 특정한 비밀 키를 도출하는 단계로 전진할 수도 있다 (2310). 액세스 노드 (예를 들어, eNB) 에 특정한 비밀 키는, 예를 들어 오직 게이트웨이에만 공지된 비밀 키 (예를 들어, KNT) 및 예를 들어 액세스 노드의 식별자 (예를 들어, eNB 식별자) 를 포함한 입력들을 갖는 키 도출 함수 (KDF) 를 사용하여 도출될 수도 있다. 이에 따라, 하나의 예시적인 양태에 있어서, KNT, eNB = KDF (KNT, eNB ID) 이다. 이러한 예시적인 양태는 한정하는 것으로 의도되지 않는다.
일 양태에 따르면, 네트워크 토큰은, 클라이언트 디바이스가 어태치되는 액세스 노드에 특정한 비밀 키로부터 도출될 수도 있다 (2312). 그 방법은 네트워크 토큰을 클라이언트 디바이스로 전송하는 단계, 및 액세스 노드에 특정한 비밀 키를 액세스 노드로 전송하는 단계를 포함할 수도 있다 (2314).
일 양태에 따르면, 클라이언트 디바이스에 대한 어플리케이션 서비스가 식별될 수도 있고, 여기서, 클라이언트 디바이스로 또는 액세스 노드로 전송된 네트워크 토큰은 어플리케이션 서비스와 연관될 수도 있다.
일 양태에 따르면, 네트워크 토큰에 대한 요청을 수신 또는 획득하는 것 및 네트워크 토큰 (및 일부 예들에 있어서, 액세스 노드에 특정한 도출된 비밀 키) 을 전송하는 것은 제어 메시지들에서 구현된다.
일 양태에 따르면, 네트워크 토큰의 도출은 액세스 정책에 기초할 수도 있다. 또다른 양태에 따르면, 네트워크 토큰을 클라이언트 디바이스로 전송하는 것은 네트워크 토큰을 이동성 관리 엔터티 (MME) 로 전송하는 것 및 네트워크 토큰을 MME 로부터 클라이언트 디바이스로 전송하는 것을 더 포함할 수도 있다.
예시적인 도 23 에 도시된 바와 같이, 네트워크 토큰은 오직 게이트웨이에만 공지된 비밀 키로부터 직접 도출될 수도 있거나 (단계 2306 참조) 또는 액세스 노드에 특정한 비밀 키를 도출하기 위해 사용될 수 있는 오직 게이트웨이에만 공지된 동일한 비밀 키로부터 간접적으로 도출될 수도 있다 (단계들 2310, 2312 참조).
일부 양태들에 있어서, 베어러는 어플리케이션 식별자 (ID) 및/또는 클라이언트 디바이스 ID 와 연관될 수도 있다. 일부 양태들에 있어서, 어플리케이션 서비스는 베어러 또는 액세스 포인트 네임 (APN) 과 연관될 수도 있다. 일부 양태들에 있어서, 네트워크 토큰은 클라이언트 디바이스 및 어플리케이션 서비스와 연관 (예를 들어, 바인딩) 될 수도 있다.
일부 양태들에 있어서, 베어러는 복수의 트래픽 플로우 템플릿들 (TFT들) 을 포함할 수도 있다. 복수의 TFT들은 복수의 어플리케이션 서비스들에 대응할 수도 있다.
또다른 양태에 따르면, 네트워크 토큰을 클라이언트 디바이스로 전송하는 것 및 액세스 노드에 특정한 비밀 키를 액세스 노드로 전송하는 것은 네트워크 토큰 및 액세스 노드에 특정한 비밀 키를 이동성 관리 엔터티 (MME) 로 전송하는 것, 네트워크 토큰을 MME 로부터 클라이언트 디바이스로 전송하는 것, 및 액세스 노드에 특정한 비밀 키를 MME 로부터 액세스 노드로 전송하는 것을 더 포함할 수도 있다.
다른 양태에 있어서, 네트워크 토큰은 어플리케이션 서비스와 연관된 액세스 정책을 시행하기 위해 사용될 수도 있고, 액세스 노드에 특정한 비밀 키는, 비허가된 패킷들이 게이트웨이에 도달하는 것을 방지하기 위해 패킷들을 게이트웨이로 전송하기 전에, 액세스 노드에서 수신된 패킷들에 포함된 네트워크 토큰을 유효화하기 위해 사용될 수도 있다.
도 24 는 게이트웨이 (예를 들어, P-GW) 에서 업링크 및 다운링크 네트워크 토큰들을 셋업하는 예시적인 방법 (2400) 을 도시한다. 일 양태에 있어서, 클라이언트 디바이스와 연관된 베어러 셋업, 활성화, 또는 수정 동안 네트워크 토큰에 대한 요청이 게이트웨이에서 수신될 수도 있다 (2402). 클라이언트 디바이스에 대한 어플리케이션 서비스가 식별될 수도 있다 (2404). UL 네트워크 토큰이 게이트웨이에서 도출될 수도 있다 (2406). UL 네트워크 토큰과는 상이한 DL 네트워크 토큰이 또한 게이트웨이에서 도출될 수도 있다 (2408). 일 양태에 있어서, 게이트웨이는 UL 네트워크 토큰 및 DL 네트워크 토큰을 클라이언트 디바이스로 전송할 수도 있다 (2410). 옵션적으로, 클라이언트 디바이스는 다운링크 네트워크 토큰을 PDN 상의 APP 로 전송할 수도 있다 (2412).
일 양태에 있어서, 네트워크 토큰에 대한 요청을 수신 또는 획득하는 것 및 UL 네트워크 토큰 및 DL 네트워크 토큰을 제공하는 것은 제어 메시지들에서 구현될 수도 있다.
일 양태에 있어서, 업링크 네트워크 토큰을 도출하는 것은 게이트웨이에 공지된 키에 그리고 클라이언트 디바이스와 연관된 파라미터에 기초하고, 다운링크 네트워크 토큰을 도출하는 것은 게이트웨이에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초한다.
일 양태에 있어서, 업링크 네트워크 토큰 및 다운링크 네트워크 토큰을 클라이언트 디바이스로 전송하는 것은 UL 네트워크 토큰 및 DL 네트워크 토큰을 이동성 관리 엔터티 (MME) 로 전송하는 것 및 업링크 네트워크 토큰 및 다운링크 네트워크 토큰을 MME 로부터 클라이언트 디바이스로 전송하는 것을 더 포함한다.
도 25 는 게이트웨이에서 동작하는 예시적인 방법 (2500) 의 플로우 다이어그램이다. 그 방법은, 게이트웨이에서, 네트워크 토큰을 포함한 패킷을 수신 또는 획득하는 단계를 포함할 수도 있다 (2502). 그 방법은 게이트웨이에 공지된 키를 사용하여 네트워크 토큰을 유효화/검증하는 것으로 계속할 수도 있다 (2504). 네트워크 토큰이 유효하면 (2506), 그 방법은 네트워크 토큰을 폐기하는 것 및 패킷을 어플리케이션 서버로 전송하는 것에 의해 계속할 수도 있다 (2508). 네트워크 토큰이 유효하지 않으면 (2506), 그 방법은 패킷 및 네트워크 토큰을 폐기하는 것에 의해 계속할 수도 있다 (2510).
일 양태에 있어서, 네트워크 토큰을 검증하는 것은 게이트웨이에 공지된 키; 및 네트워크 토큰 파라미터 인덱스, 소스 인터넷 프로토콜 (IP) 어드레스, 소스 포트 번호, 목적지 IP 어드레스, 목적지 포트 번호, 프로토콜 식별자 (ID), 어플리케이션 ID, 우선순위, 및/또는 서비스 품질 클래스 식별자 (QCI) 를 포함한 입력 파라미터들의 세트를 갖는 함수로부터 검증 네트워크 토큰을 도출하는 것; 및 네트워크 토큰을 검증 네트워크 토큰과 비교하는 것을 포함할 수도 있다.
일 양태에 있어서, 게이트웨이에서 동작하는 예시적인 방법은, 게이트웨이에서, 어플리케이션 서버로부터 패킷을 수신 또는 획득하는 단계로서, 패킷은 다운링크 네트워크 토큰을 포함하는, 상기 패킷을 수신 또는 획득하는 단계, 게이트웨이에 공지된 키를 사용하여 다운링크 네트워크 토큰을 검증하는 단계, 검증이 성공적이지 않으면 패킷 및 다운링크 네트워크 토큰을 폐기하는 단계, 및 검증이 성공적이면 다운링크 네트워크 토큰을 폐기하고 다운링크 네트워크 토큰에 의해 표현된 파라미터들에 기초하여 패킷을 클라이언트 디바이스로 전송하는 단계를 포함할 수도 있다.
도시되고 설명된 특정 구현들은 오직 예들이며, 본 명세서에서 달리 명시되지 않으면, 본 개시를 구현하기 위한 유일한 방식으로서 해석되지 않아야 한다. 본 개시에서의 다양한 예들이 다수의 다른 파티셔닝 솔루션들에 의해 실시될 수도 있음은 당업자에게 용이하게 명백하다.
본 명세서에서 설명되고 도면들에 도시된 컴포넌트들, 동작들, 특징들 및/또는 기능들 중 하나 이상은 단일 컴포넌트, 동작, 특징 또는 기능으로 재배열 및/또는 결합되거나, 또는 수개의 컴포넌트들, 동작들, 특징들, 또는 기능들로 구현될 수도 있다. 부가적인 엘리먼트들, 컴포넌트들, 동작들, 및/또는 기능들이 또한, 본 발명으로부터 일탈함없이 부가될 수도 있다. 본 명세서에서 설명된 알고리즘들은 또한 소프트웨어에서 효율적으로 구현되고/되거나 하드웨어에 임베딩될 수도 있다.
설명에 있어서, 엘리먼트들, 회로들, 기능들, 및 모듈들은, 본 개시를 불필요한 상세로 불명료하게 하지 않기 위해 블록 다이어그램 형태로 도시될 수도 있다. 역으로, 도시되고 설명된 특정 구현들은 오직 예시적이며, 본 명세서에서 달리 명시되지 않으면, 본 개시를 구현하기 위한 유일한 방식으로서 해석되지 않아야 한다. 부가적으로, 다양한 블록들 사이의 로직의 블록 정의들 및 파티셔닝은 특정 구현의 예시이다. 본 개시는 다수의 다른 파티셔닝 솔루션들에 의해 실시될 수도 있음은 당업자에게 용이하게 명백하다. 대부분, 타이밍 고려사항들 등에 관한 상세들은 생략되었으며, 여기서, 그러한 상세들은 본 개시의 완전한 이해를 획득하는데 필요하지 않고 당업자의 능력들 내에 있다.
또한, 실시형태들은, 플로우차트, 플로우 다이어그램, 구조 다이어그램, 또는 블록 다이어그램으로서 도시된 프로세스로서 기술될 수도 있음이 주목된다. 비록 플로우차트가 동작들을 순차적인 프로세스로서 기술할 수도 있지만, 동작들 중 다수는 병렬로 또는 동시에 수행될 수 있다. 부가적으로, 동작들의 순서가 재배열될 수도 있다. 프로세스는 그 동작들이 완료될 경우에 종료된다. 프로세스는 방법, 함수, 절차, 서브루틴, 서브프로그램 등에 대응할 수도 있다. 프로세스가 함수에 대응할 경우, 그 종료는 그 함수의 호출 함수 또는 메인 함수로의 반환에 대응한다.
당업자는 임의의 다양한 서로 다른 기술들 및 기법들을 이용하여 정보 및 신호들이 표현될 수도 있음을 이해할 것이다. 예를 들어, 본 설명 전반에 걸쳐 참조될 수도 있는 데이터, 명령들, 커맨드(command)들, 정보, 신호들, 비트들, 심볼들, 및 칩들은 전압, 전류, 전자기파, 자계 또는 자성 입자, 광계 또는 광학 입자, 또는 이들의 임의의 조합에 의해 표현될 수도 있다. 일부 도면들은 프리젠테이션 및 설명의 명료화를 위해 신호들을 단일 신호로서 도시할 수도 있다. 신호는 신호들의 버스를 나타낼 수도 있음이 당업자에 의해 이해될 것이며, 여기서, 버스는 다양한 비트 폭들을 가질 수도 있고 본 개시는 단일 데이터 신호를 포함하여 임의의 수의 데이터 신호들에 대해 구현될 수도 있다.
"제 1", "제 2" 등과 같은 지정을 사용한 본 명세서에서의 엘리먼트에 대한 임의의 참조는, 그러한 제한이 명시적으로 서술되지 않으면, 그 엘리먼트들의 양 또는 순서를 제한하지 않음을 이해해야 한다. 대신, 이들 지정들은 2 이상의 엘리먼트들 또는 엘리먼트의 인스턴스들 간을 구별하는 편리한 방법으로서 본 명세서에서 사용될 수도 있다. 따라서, 제 1 및 제 2 엘리먼트들에 대한 참조는 오직 2개의 엘리먼트들만이 거기에서 채용될 수도 있거나 또는 제 1 엘리먼트가 어떤 방식으로 제 2 엘리먼트에 선행해야 함을 의미하지 않는다. 부가적으로, 달리 서술되지 않으면, 엘리먼트들의 세트는 하나 이상의 엘리먼트들을 포함할 수도 있다.
더욱이, 저장 매체는 판독 전용 메모리 (ROM), 랜덤 액세스 메모리 (RAM), 자기 디스크 저장 매체들, 광학 저장 매체들, 플래시 메모리 디바이스들 및/또는 정보를 저장하기 위한 다른 머신 판독가능 매체들 및 프로세서 판독가능 매체들 및/또는 컴퓨터 판독가능 매체들을 포함하여 데이터를 저장하기 위한 하나 이상의 디바이스들을 나타낼 수도 있다. 용어들 "머신 판독가능 매체", "컴퓨터 판독가능 매체", 및/또는 "프로세서 판독가능 매체" 는 휴대용 또는 고정식 저장 디바이스들, 광학 저장 디바이스들, 및 명령(들) 및/또는 데이터를 저장, 포함, 또는 수록 가능한 다양한 다른 매체들을 포함할 수도 있지만 이에 한정되지 않는다. 따라서, 본 명세서에서 설명된 다양한 방법들은, "머신 판독가능 매체", "컴퓨터 판독가능 매체", 및/또는 "프로세서 판독가능 매체" 에 저장되고 하나 이상의 프로세서들, 머신들 및/또는 디바이스들에 의해 실행될 수도 있는 명령들 및/또는 데이터에 의해 완전히 또는 부분적으로 구현될 수도 있다.
더욱이, 실시형태들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 또는 이들의 임의의 조합에 의해 구현될 수도 있다. 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드에서 구현될 경우, 필요한 태스크들을 수행하기 위한 프로그램 코드 또는 코드 세그먼트들은 저장 매체 또는 다른 저장부(들)와 같은 머신 판독가능 매체에 저장될 수도 있다. 프로세서는 필요한 태스크들을 수행할 수도 있다. 코드 세그먼트는 절차, 함수, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들, 데이터 구조들, 또는 프로그램 스테이트먼트들의 임의의 조합을 나타낼 수도 있다. 코드 세그먼트는, 정보, 데이터, 인수들 (arguments), 파라미터들, 또는 메모리 컨텐츠들을 전달함으로써 다른 코드 세그먼트 또는 하드웨어 회로에 커플링될 수도 있다. 정보, 인수들, 파라미터들, 데이터 등은 메모리 공유, 메시지 전달, 토큰 전달, 네트워크 전송 등을 포함한 임의의 적합한 수단을 통해 전달, 포워딩, 또는 전송될 수도 있다.
본 명세서에 개시된 예들과 관련하여 설명된 다양한 예시적인 논리 블록들, 엘리먼트들, 회로들, 모듈들, 기능들, 및/또는 컴포넌트들은 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적회로 (ASIC), 필드 프로그래밍가능 게이트 어레이 (FPGA) 또는 다른 프로그래밍가능 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본 명세서에서 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합으로 구현 또는 수행될 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 대안적으로, 그 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로 제어기, 또는 상태 머신일 수도 있다. 프로세서는 또한, 컴퓨팅 컴포넌트들의 조합, 예를 들어, DSP 와 마이크로프로세서의 조합, 다수의 마이크로프로세서들, DSP 코어와 결합된 하나 이상의 마이크로프로세서들, 또는 임의의 기타 다른 구성물로서 구현될 수도 있다. 본 명세서에서 설명된 실시형태들을 실행하기 위해 구성된 범용 프로세서는 그러한 실시형태들을 실행하기 위한 특수 목적 프로세서로 고려된다. 유사하게, 범용 컴퓨터는, 본 명세서에서 설명된 실시형태들을 실행하기 위해 구성될 경우 특수 목적 컴퓨터로 고려된다.
본 명세서에 개시된 예들과 관련하여 설명된 방법들 또는 알고리즘들은 하드웨어에서, 프로세서에 의해 실행가능한 소프트웨어 모듈에서, 또는 이들 양자의 조합에서 프로세싱 유닛, 프로그래밍 명령들, 또는 다른 지시들의 형태로 직접 구현될 수도 있으며, 단일의 디바이스에 포함되거나 다중의 디바이스들에 걸쳐 분산될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈가능 디스크, CD-ROM, 또는 당업계에 공지된 임의의 다른 형태의 저장 매체에 상주할 수도 있다. 저장 매체는, 프로세서가 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있도록 프로세서에 커플링될 수도 있다. 대안적으로, 저장 매체는 프로세서에 통합될 수도 있다.
당업자는 본 명세서에 개시된 실시형태들과 관련하여 설명된 다양한 예시적인 논리 블록들, 회로들, 기능들, 모듈들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 이들 양자의 조합들로서 구현될 수도 있음을 추가로 인식할 것이다. 하드웨어와 소프트웨어의 이러한 상호 대체 가능성을 분명히 예시하기 위하여, 다양한 예시적인 엘리먼트들, 컴포넌트들, 블록들, 회로들, 기능들, 모듈들, 및 단계들이 일반적으로 그들의 기능의 관점에서 상기 기술되었다. 그러한 기능이 하드웨어로서 구현될지, 소프트웨어로서 구현될지, 또는 이들의 조합으로서 구현될지는 전체 시스템에 부과된 설계 선택들 및 특정 어플리케이션에 의존한다.
본 명세서에서 설명된 본 발명의 다양한 특징들은 본 발명으로부터 일탈함없이 상이한 시스템들에서 구현될 수 있다. 전술한 실시형태들은 단지 예들일 뿐이고 본 발명을 제한하는 것으로 해석되지 않아야 함이 주목되어야 한다. 실시형태들의 설명은 예시적인 것으로 의도되며, 청구항들의 범위를 한정하도록 의도되지 않는다. 그에 따라, 본 교시들은 다른 타입들의 장치들에 용이하게 적용될 수 있으며, 다수의 대안들, 수정들, 및 변동들은 당업자에게 명백할 것이다.

Claims (46)

  1. 클라이언트 디바이스에서 동작하는 방법으로서,
    제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립하는 단계;
    상기 제어 평면 시그널링 동안 상기 클라이언트 디바이스에서 제 1 네트워크 토큰을 획득하는 단계로서, 상기 제 1 네트워크 토큰은,
    메타 데이터에 기초하여 도출되고;
    상기 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고;
    상기 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되고; 그리고
    상기 제어 평면 시그널링을 통해 상기 클라이언트 디바이스에 제공되는, 상기 제 1 네트워크 토큰을 획득하는 단계; 및
    인터넷 프로토콜 (IP) 계층과 매체 액세스 제어 (MAC) 계층 사이의 심 계층에서의 심 헤더;
    패킷 데이터 수렴 프로토콜 (PDCP) 헤더; 및/또는
    IP 버전 6 (IPv6) 에서 정의된 바와 같은 IP 확장 헤더
    에서 상기 제 1 네트워크 토큰을 상기 클라이언트 디바이스로부터 게이트웨이 디바이스로 전송하는 단계를 포함하는, 클라이언트 디바이스에서 동작하는 방법.
  2. 제 1 항에 있어서,
    상기 클라이언트 디바이스로부터, 상기 제 1 플로우와 연관된 패킷으로 상기 제 1 네트워크 토큰을 전송하는 단계를 더 포함하는, 클라이언트 디바이스에서 동작하는 방법.
  3. 제 1 항에 있어서,
    상기 클라이언트 디바이스로부터, 상기 제 1 플로우와 연관되는 상기 클라이언트 디바이스로부터 전송된 모든 패킷으로 상기 제 1 네트워크 토큰을 전송하는 단계를 더 포함하는, 클라이언트 디바이스에서 동작하는 방법.
  4. 제 1 항에 있어서,
    상기 제 1 네트워크 토큰은 추가로, 네트워크 액세스 정책에 따라 도출되는, 클라이언트 디바이스에서 동작하는 방법.
  5. 제 1 항에 있어서,
    상기 제 1 네트워크 토큰은 상기 제 1 플로우에서의 패킷을 상기 제 1 어플리케이션으로 스티어링하도록 사용되는, 클라이언트 디바이스에서 동작하는 방법.
  6. 제 1 항에 있어서,
    상기 제 1 네트워크 토큰은 상기 제 1 네트워크 토큰에 대한 암시적 요청에 응답하여 제공되고; 그리고
    상기 암시적 요청은,
    패킷 데이터 네트워크 (PDN) 접속 요청 메시지,
    전용 베어러 활성화 요청 메시지, 또는
    베어러 수정 요청 메시지
    중 하나를 포함하는, 클라이언트 디바이스에서 동작하는 방법.
  7. 제 1 항에 있어서,
    상기 제 1 네트워크 토큰은 상기 심 헤더에서 전송되고, 상기 제 1 네트워크 토큰은 액세스 노드에 투명한, 클라이언트 디바이스에서 동작하는 방법.
  8. 제 1 항에 있어서,
    인터넷 프로토콜 (IP) 계층과 매체 액세스 제어 (MAC) 계층 사이의 심 계층에서의 심 헤더; 및/또는
    패킷 데이터 수렴 프로토콜 (PDCP) 헤더
    에서 상기 제 1 네트워크 토큰을 상기 클라이언트 디바이스로부터 액세스 노드로 전송하는 단계를 더 포함하는, 클라이언트 디바이스에서 동작하는 방법.
  9. 제 1 항에 있어서,
    상기 제어 평면 시그널링 동안 상기 클라이언트 디바이스에서 제 2 네트워크 토큰을 획득하는 단계를 더 포함하고,
    상기 제 2 네트워크 토큰은,
    상기 제 1 네트워크 토큰을 도출하였던 제 1 디바이스와는 상이한 제 2 디바이스에 의해 도출되고;
    상기 하나 이상의 플로우들의 세트 중 상기 제 1 플로우와 연관되고;
    상기 하나 이상의 어플리케이션들 중 상기 제 1 어플리케이션과 연관되고; 그리고
    상기 제어 평면 시그널링을 통해 상기 클라이언트 디바이스에 제공되는, 클라이언트 디바이스에서 동작하는 방법.
  10. 클라이언트 디바이스로서,
    네트워크 인터페이스; 및
    상기 네트워크 인터페이스에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    제어 평면 시그널링을 사용하여 하나 이상의 어플리케이션들과 연관된 하나 이상의 플로우들의 세트를 확립하고;
    상기 제어 평면 시그널링 동안 상기 클라이언트 디바이스에서 네트워크 토큰을 획득하는 것으로서, 상기 네트워크 토큰은,
    메타 데이터에 기초하여 도출되고;
    상기 하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고;
    상기 하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되고; 그리고
    상기 제어 평면 시그널링을 통해 상기 클라이언트 디바이스에 제공되는, 상기 네트워크 토큰을 획득하고; 그리고
    인터넷 프로토콜 (IP) 계층과 매체 액세스 제어 (MAC) 계층 사이의 심 계층에서의 심 헤더;
    패킷 데이터 수렴 프로토콜 (PDCP) 헤더; 및/또는
    IP 버전 6 (IPv6) 에서 정의된 바와 같은 IP 확장 헤더
    에서 상기 네트워크 토큰을 상기 클라이언트 디바이스로부터 게이트웨이 디바이스로 전송하도록
    구성되는, 클라이언트 디바이스.
  11. 제 10 항에 있어서,
    상기 프로세싱 회로는 추가로, 상기 제 1 플로우와 연관된 패킷으로 상기 네트워크 토큰을 전송하도록 구성되는, 클라이언트 디바이스.
  12. 제 10 항에 있어서,
    상기 프로세싱 회로는 추가로, 상기 제 1 플로우와 연관된 모든 패킷으로 상기 네트워크 토큰을 전송하도록 구성되는, 클라이언트 디바이스.
  13. 제 10 항에 있어서,
    상기 프로세싱 회로는 추가로, 상기 제 1 플로우에서의 패킷을 상기 제 1 어플리케이션으로 스티어링하기 위해 상기 네트워크 토큰과 연관된 데이터를 사용하도록 구성되는, 클라이언트 디바이스.
  14. 게이트웨이 디바이스에서 동작하는 방법으로서,
    상기 게이트웨이 디바이스에서, 클라이언트 디바이스와 연관된 데이터 접속 셋업, 활성화, 또는 수정과 연관된 제어 평면 시그널링 동안 메타 데이터에 기초하여 도출되는 네트워크 토큰에 대한 요청을 획득하는 단계;
    상기 게이트웨이 디바이스에서 상기 네트워크 토큰을 도출하는 단계로서, 상기 네트워크 토큰은 액세스 정책에 따라 플로우 및 어플리케이션 서비스와 연관되는, 상기 네트워크 토큰을 도출하는 단계; 및
    제어 평면 시그널링을 통해, 상기 제어 평면 시그널링 동안 상기 클라이언트 디바이스로 또는 상기 클라이언트 디바이스와 연관된 액세스 노드로 상기 네트워크 토큰을 전송하는 단계를 포함하고,
    상기 네트워크 토큰은 업링크 네트워크 토큰, 및 상기 업링크 네트워크 토큰과는 상이한 다운링크 네트워크 토큰으로서 도출되고,
    상기 업링크 네트워크 토큰의 도출은 상기 게이트웨이 디바이스에 공지된 키에 그리고 상기 클라이언트 디바이스와 연관된 파라미터에 기초하고, 그리고
    상기 다운링크 네트워크 토큰의 도출은 상기 게이트웨이 디바이스에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초하고,
    상기 게이트웨이 디바이스에서 동작하는 방법은,
    상기 업링크 네트워크 토큰 및 상기 다운링크 네트워크 토큰을 상기 클라이언트 디바이스로 전송하는 단계를 더 포함하는, 게이트웨이 디바이스에서 동작하는 방법.
  15. 제 14 항에 있어서,
    상기 네트워크 토큰은 상기 게이트웨이 디바이스를 통한 네트워크 상으로의 송신 동안 상기 클라이언트 디바이스와 상기 어플리케이션 서비스 사이를 천이하는 패킷들을 스티어링하도록 사용되는, 게이트웨이 디바이스에서 동작하는 방법.
  16. 제 14 항에 있어서,
    상기 네트워크 토큰에 대한 요청은 명시적인, 게이트웨이 디바이스에서 동작하는 방법.
  17. 제 14 항에 있어서,
    상기 네트워크 토큰에 대한 요청은, 상기 게이트웨이 디바이스에서,
    패킷 데이터 네트워크 (PDN) 접속 요청,
    전용 베어러 활성화 요청, 또는
    베어러 수정 요청
    을 획득할 시에 암시적으로 인식되는, 게이트웨이 디바이스에서 동작하는 방법.
  18. 제 14 항에 있어서,
    상기 네트워크 토큰의 도출은, 상기 클라이언트 디바이스가 어태치되는 액세스 노드에 특정한 비밀 키에 기초하고,
    상기 게이트웨이 디바이스에서 동작하는 방법은,
    상기 비밀 키를 상기 액세스 노드로 전송하는 단계를 더 포함하는, 게이트웨이 디바이스에서 동작하는 방법.
  19. 제 14 항에 있어서,
    상기 게이트웨이 디바이스에서, 상기 네트워크 토큰을 포함한 제 1 패킷을 획득하는 단계; 및
    패킷 검사의 사용없이 제 1 패킷에 포함된 상기 네트워크 토큰과 연관된 데이터를 사용하여 상기 클라이언트 디바이스와 상기 어플리케이션 서비스 사이에서 상기 제 1 패킷을 스티어링하는 단계를 더 포함하는, 게이트웨이 디바이스에서 동작하는 방법.
  20. 제 14 항에 있어서,
    상기 게이트웨이 디바이스에서, 상기 네트워크 토큰을 포함한 제 1 패킷을 획득하는 단계;
    상기 게이트웨이 디바이스에 공지된 키를 사용하여 상기 네트워크 토큰을 검증하는 단계;
    상기 검증이 성공적이지 않으면, 상기 네트워크 토큰을 포함한 상기 제 1 패킷을 폐기하는 단계; 및
    상기 검증이 성공적이면, 패킷 검사의 사용없이 제 1 패킷에 포함된 상기 네트워크 토큰을 사용하여 상기 클라이언트 디바이스와 상기 어플리케이션 서비스 사이에서 상기 제 1 패킷을 스티어링하는 단계를 더 포함하는, 게이트웨이 디바이스에서 동작하는 방법.
  21. 제 20 항에 있어서,
    상기 네트워크 토큰을 검증하는 단계는,
    상기 게이트웨이 디바이스에 공지된 키; 및
    네트워크 토큰 파라미터 인덱스, 소스 인터넷 프로토콜 (IP) 어드레스, 소스 포트 번호, 목적지 IP 어드레스, 목적지 포트 번호, 프로토콜 식별자 (ID), 어플리케이션 ID, 우선순위, 및/또는 서비스 품질 클래스 식별자 (QCI)
    를 포함한 입력 파라미터들의 세트를 갖는 함수로부터 검증 네트워크 토큰을 도출하는 단계; 및
    상기 네트워크 토큰을 상기 검증 네트워크 토큰과 비교하는 단계를 포함하는, 게이트웨이 디바이스에서 동작하는 방법.
  22. 제 21 항에 있어서,
    상기 네트워크 토큰 파라미터 인덱스, 소스 인터넷 프로토콜 (IP) 어드레스, 소스 포트 번호, 목적지 IP 어드레스, 목적지 포트 번호, 프로토콜 식별자 (ID), 어플리케이션 ID, 우선순위, 및/또는 서비스 품질 클래스 식별자 (QCI) 는 패킷으로부터 획득되는, 게이트웨이 디바이스에서 동작하는 방법.
  23. 제 21 항에 있어서,
    상기 네트워크 토큰을 검증하기 전에 네트워크 토큰 파라미터 인덱스를 식별하는 단계로서, 상기 네트워크 토큰 파라미터 인덱스는 입력 파라미터들의 리스트를 정의하는, 상기 네트워크 토큰 파라미터 인덱스를 식별하는 단계; 및
    상기 게이트웨이 디바이스에 공지된 키 및 상기 입력 파라미터들의 리스트를 입력으로서 갖는 함수로부터 검증 네트워크 토큰을 도출하는 단계를 더 포함하는, 게이트웨이 디바이스에서 동작하는 방법.
  24. 제 23 항에 있어서,
    상기 네트워크 토큰 파라미터 인덱스는 추가로 어플리케이션 식별자 (ID) 를 정의하는, 게이트웨이 디바이스에서 동작하는 방법.
  25. 제 23 항에 있어서,
    상기 입력 파라미터들의 리스트는 상기 게이트웨이 디바이스 내의 테이블에 저장되는, 게이트웨이 디바이스에서 동작하는 방법.
  26. 제 23 항에 있어서,
    상기 네트워크 토큰은 IP 헤더와는 별개인 심 헤더에서 반송되는, 게이트웨이 디바이스에서 동작하는 방법.
  27. 제 23 항에 있어서,
    상기 네트워크 토큰은 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP) 헤더에서 반송되는, 게이트웨이 디바이스에서 동작하는 방법.
  28. 제 23 항에 있어서,
    상기 네트워크 토큰은 인터넷 프로토콜 (IP) 버전 6 (IPv6) 에서 정의된 IP 확장 헤더에서 반송되는, 게이트웨이 디바이스에서 동작하는 방법.
  29. 게이트웨이 디바이스로서,
    네트워크 인터페이스; 및
    상기 네트워크 인터페이스에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    클라이언트 디바이스와 연관된 데이터 접속 셋업, 활성화, 또는 수정과 연관된 제어 평면 시그널링 동안 메타 데이터에 기초하여 도출되는 네트워크 토큰에 대한 요청을 획득하고;
    상기 네트워크 토큰을 획득하는 것으로서, 상기 네트워크 토큰은 액세스 정책에 따라 플로우 및 어플리케이션 서비스와 연관되는, 상기 네트워크 토큰을 획득하고; 그리고
    제어 평면 시그널링을 통해, 상기 제어 평면 시그널링 동안 상기 클라이언트 디바이스로 또는 상기 클라이언트 디바이스와 연관된 액세스 노드로 상기 네트워크 토큰을 전송하도록
    구성되고,
    상기 네트워크 토큰은 업링크 네트워크 토큰, 및 상기 업링크 네트워크 토큰과는 상이한 다운링크 네트워크 토큰으로서 도출되고,
    상기 업링크 네트워크 토큰의 도출은 상기 게이트웨이 디바이스에 공지된 키에 그리고 상기 클라이언트 디바이스와 연관된 파라미터에 기초하고, 그리고
    상기 다운링크 네트워크 토큰의 도출은 상기 게이트웨이 디바이스에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초하고,
    상기 프로세싱 회로는,
    상기 업링크 네트워크 토큰 및 상기 다운링크 네트워크 토큰을 상기 클라이언트 디바이스로 전송하도록 구성되는, 게이트웨이 디바이스.
  30. 제 29 항에 있어서,
    상기 프로세싱 회로는 추가로, 상기 게이트웨이 디바이스를 통한 네트워크 상으로의 송신 동안 상기 클라이언트 디바이스와 상기 어플리케이션 서비스 사이에서 패킷들을 스티어링하기 위해 상기 네트워크 토큰을 사용하도록 구성되는, 게이트웨이 디바이스.
  31. 제 29 항에 있어서,
    상기 프로세싱 회로는 추가로,
    패킷 검사의 사용없이 제 1 패킷에 포함된 상기 네트워크 토큰을 사용하여 상기 클라이언트 디바이스와 상기 어플리케이션 서비스 사이에서 상기 제 1 패킷을 스티어링하도록 구성되는, 게이트웨이 디바이스.
  32. 제 29 항에 있어서,
    상기 프로세싱 회로는 상기 네트워크 토큰을 도출하는 것에 의해 상기 네트워크 토큰을 획득하고,
    추가로,
    상기 클라이언트 디바이스가 어태치되는 액세스 노드에 특정한 비밀 키에 기초하여 상기 네트워크 토큰을 도출하고; 그리고
    상기 비밀 키를 상기 액세스 노드로 전송하도록
    구성되는, 게이트웨이 디바이스.
  33. 제 29 항에 있어서,
    상기 프로세싱 회로는 상기 네트워크 토큰을 도출하는 것에 의해 상기 네트워크 토큰을 획득하고,
    추가로,
    업링크 네트워크 토큰, 및 상기 업링크 네트워크 토큰과는 상이한 다운링크 네트워크 토큰으로서 상기 네트워크 토큰을 도출하는 것으로서, 상기 업링크 네트워크 토큰은 상기 게이트웨이 디바이스에 공지된 키에 그리고 상기 클라이언트 디바이스와 연관된 파라미터에 기초하고, 그리고 상기 다운링크 네트워크 토큰은 상기 게이트웨이 디바이스에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초하는, 상기 네트워크 토큰을 도출하고; 그리고
    상기 업링크 네트워크 토큰 및 상기 다운링크 네트워크 토큰을 상기 클라이언트 디바이스로 전송하도록
    구성되는, 게이트웨이 디바이스.
  34. 액세스 노드에서 동작하는 방법으로서,
    제어 평면 시그널링 동안 상기 액세스 노드에서 네트워크 토큰을 획득하는 단계를 포함하고,
    상기 네트워크 토큰은,
    메타 데이터에 기초하여 도출되고;
    하나 이상의 플로우들의 세트 중 제 1 플로우와 연관되고;
    하나 이상의 어플리케이션들 중 제 1 어플리케이션과 연관되고; 그리고
    상기 제어 평면 시그널링을 통해 상기 액세스 노드에 제공되고,
    상기 네트워크 토큰은 업링크 네트워크 토큰, 및 상기 업링크 네트워크 토큰과는 상이한 다운링크 네트워크 토큰으로서 도출되고,
    상기 업링크 네트워크 토큰의 도출은 게이트웨이 디바이스에 공지된 키에 그리고 클라이언트 디바이스와 연관된 파라미터에 기초하고, 그리고
    상기 다운링크 네트워크 토큰의 도출은 상기 게이트웨이 디바이스에 공지된 키에 그리고 어플리케이션 서버와 연관된 파라미터에 기초하는, 액세스 노드에서 동작하는 방법.
  35. 제 34 항에 있어서,
    상기 액세스 노드로부터, 상기 제 1 플로우와 연관된 패킷으로 상기 네트워크 토큰을 전송하는 단계를 더 포함하는, 액세스 노드에서 동작하는 방법.
  36. 제 34 항에 있어서,
    상기 액세스 노드로부터, 상기 제 1 플로우와 연관된 모든 패킷으로 상기 네트워크 토큰을 전송하는 단계를 더 포함하는, 액세스 노드에서 동작하는 방법.
  37. 제 34 항에 있어서,
    상기 네트워크 토큰은 상기 하나 이상의 어플리케이션들과 연관된 상기 하나 이상의 플로우들의 세트와 연관되는, 액세스 노드에서 동작하는 방법.
  38. 액세스 노드에서 동작하는 방법으로서,
    제어 평면 시그널링에 있어서, 게이트웨이 디바이스로부터 상기 액세스 노드에 특정한 비밀 키를 획득하는 단계;
    사용자 평면 시그널링에 있어서, 클라이언트 디바이스로부터 상기 액세스 노드에서 패킷을 획득하는 단계로서, 상기 패킷은 메타 데이터에 기초하여 도출되는 네트워크 토큰을 포함하는, 상기 패킷을 획득하는 단계;
    상기 게이트웨이 디바이스로부터 획득된 상기 액세스 노드에 특정한 비밀 키를 사용하여 상기 네트워크 토큰을 검증하는 단계; 및
    상기 네트워크 토큰이 검증되면 상기 패킷 및 네트워크 토큰을 상기 게이트웨이 디바이스로 전송하는 단계, 또는
    상기 네트워크 토큰이 검증되지 않으면 상기 패킷 및 네트워크 토큰을 폐기하는 단계를 포함하고,
    상기 네트워크 토큰은 어플리케이션 서비스와 연관된 액세스 정책을 시행하기 위한 것이고, 상기 액세스 노드에 특정한 비밀 키는 비허가된 패킷들이 상기 게이트웨이 디바이스에 도달하는 것을 방지하기 위해 패킷들을 상기 게이트웨이 디바이스로 전송하기 전에 상기 액세스 노드에서 수신된 패킷들에 포함된 상기 네트워크 토큰을 유효화하기 위한 것인, 액세스 노드에서 동작하는 방법.
  39. 제 38 항에 있어서,
    상기 네트워크 토큰은 일반 패킷 무선 서비스 (GPRS) 터널링 프로토콜 (GTP) 헤더에서 상기 게이트웨이 디바이스에 반송되는, 액세스 노드에서 동작하는 방법.
  40. 제 38 항에 있어서,
    상기 네트워크 토큰은 패킷 데이터 수렴 프로토콜 (PDCP) 헤더로부터 일반 패킷 무선 서비스 터널링 프로토콜 헤더 (GTP 헤더) 로 복사되고, 상기 GTP 헤더에서 상기 게이트웨이 디바이스에 반송되는, 액세스 노드에서 동작하는 방법.
  41. 액세스 노드로서,
    네트워크 인터페이스; 및
    상기 네트워크 인터페이스에 커플링된 프로세싱 회로를 포함하고,
    상기 프로세싱 회로는,
    제어 평면 시그널링에 있어서, 게이트웨이 디바이스로부터 상기 액세스 노드에 특정한 비밀 키를 획득하고;
    사용자 평면 시그널링에 있어서, 클라이언트 디바이스로부터 상기 액세스 노드에서 패킷을 획득하는 것으로서, 상기 패킷은 메타 데이터에 기초하여 도출되는 네트워크 토큰을 포함하는, 상기 패킷을 획득하고;
    게이트웨이 디바이스로부터 획득된 상기 액세스 노드에 특정한 비밀 키를 사용하여 상기 네트워크 토큰을 검증하고; 그리고
    상기 네트워크 토큰이 검증되면 상기 패킷 및 네트워크 토큰을 게이트웨이 디바이스로 전송하거나, 또는
    상기 네트워크 토큰이 검증되지 않으면 상기 패킷 및 네트워크 토큰을 폐기하도록
    구성되고,
    상기 네트워크 토큰은 어플리케이션 서비스와 연관된 액세스 정책을 시행하기 위한 것이고, 상기 액세스 노드에 특정한 비밀 키는 비허가된 패킷들이 상기 게이트웨이 디바이스에 도달하는 것을 방지하기 위해 패킷들을 상기 게이트웨이 디바이스로 전송하기 전에 상기 액세스 노드에서 수신된 패킷들에 포함된 상기 네트워크 토큰을 유효화하기 위한 것인, 액세스 노드.
  42. 게이트웨이 디바이스에서 동작하는 방법으로서,
    상기 게이트웨이 디바이스에서, 어플리케이션 서버로부터 패킷을 획득하는 단계로서, 상기 패킷은 메타 데이터에 기초하여 도출되는 다운링크 네트워크 토큰을 포함하는, 상기 패킷을 획득하는 단계;
    상기 게이트웨이 디바이스에 공지된 키를 사용하여 상기 다운링크 네트워크 토큰을 검증하는 단계;
    상기 검증이 성공적이지 않으면, 상기 패킷을 폐기하는 단계; 및
    상기 검증이 성공적이면 상기 다운링크 네트워크 토큰을 폐기하고 상기 다운링크 네트워크 토큰에 의해 표현된 파라미터들에 기초하여 상기 패킷을 클라이언트 디바이스로 전송하는 단계를 포함하고,
    상기 다운링크 네트워크 토큰은 어플리케이션 서비스와 연관된 액세스 정책을 시행하기 위한 것인, 게이트웨이 디바이스에서 동작하는 방법.
  43. 제 42 항에 있어서,
    상기 패킷은 인터넷 프로토콜 (IP) 데이터 패킷인, 게이트웨이 디바이스에서 동작하는 방법.
  44. 삭제
  45. 삭제
  46. 삭제
KR1020177023277A 2015-02-24 2016-02-16 서비스 c-평면 접근법에 대한 네트워크 토큰들을 사용한 효율적인 정책 시행 KR101846155B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562120135P 2015-02-24 2015-02-24
US62/120,135 2015-02-24
US14/832,965 US9819596B2 (en) 2015-02-24 2015-08-21 Efficient policy enforcement using network tokens for services C-plane approach
US14/832,965 2015-08-21
PCT/US2016/018104 WO2016175909A2 (en) 2015-02-24 2016-02-16 Efficient policy enforcement using network tokens for services c-plane approach

Publications (2)

Publication Number Publication Date
KR20170118752A KR20170118752A (ko) 2017-10-25
KR101846155B1 true KR101846155B1 (ko) 2018-04-06

Family

ID=56690619

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177023277A KR101846155B1 (ko) 2015-02-24 2016-02-16 서비스 c-평면 접근법에 대한 네트워크 토큰들을 사용한 효율적인 정책 시행

Country Status (8)

Country Link
US (1) US9819596B2 (ko)
EP (1) EP3262813B1 (ko)
JP (1) JP6438593B2 (ko)
KR (1) KR101846155B1 (ko)
CN (1) CN107251522B (ko)
BR (1) BR112017018018B1 (ko)
TW (1) TWI625951B (ko)
WO (1) WO2016175909A2 (ko)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171463B1 (en) * 2015-12-21 2019-01-01 Amazon Technologies, Inc. Secure transport layer authentication of network traffic
CN108886748B (zh) 2016-01-27 2021-07-20 三星电子株式会社 用于减少信令开销和减少终端电池的方法和设备
WO2018108261A1 (en) * 2016-12-14 2018-06-21 Nokia Technologies Oy Handover in communications network
US10395036B2 (en) * 2017-03-16 2019-08-27 Dell Products, L.P. Continued runtime authentication of information handling system (IHS) applications
US10231250B2 (en) 2017-03-20 2019-03-12 Qualcomm Incorporated Policy communication via control plane signaling
US10700959B2 (en) 2017-04-09 2020-06-30 Barefoot Networks, Inc. Source routing design with simplified forwarding elements
WO2018205148A1 (zh) * 2017-05-09 2018-11-15 华为技术有限公司 一种数据包校验方法及设备
KR102622282B1 (ko) 2017-05-09 2024-01-08 네트워크 넥스트, 인코포레이티드 노드 경로를 통한 양방향 패킷 교환 방법
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
US10701587B2 (en) * 2017-10-15 2020-06-30 Qualcomm Incorporated Policy provisioning at a user equipment (UE)
WO2019159095A1 (en) 2018-02-15 2019-08-22 Telefonaktiebolaget Lm Ericsson (Publ) Method for improving data transmission security
CN112106327B (zh) * 2018-03-30 2021-11-23 V2康姆股份有限公司 异构处理节点的自优化网络中的资源管理和资源分配方法
CN108848037B (zh) * 2018-05-31 2023-06-20 平安医疗科技有限公司 业务请求处理方法、装置、计算机设备和存储介质
WO2020145005A1 (en) * 2019-01-11 2020-07-16 Nec Corporation Source base station, ue, method in wireless communication system
WO2020191095A1 (en) * 2019-03-20 2020-09-24 Network Next, Inc. Network route optimization using excess private network capacity
US11956634B2 (en) 2019-04-25 2024-04-09 Telefonaktiebolaget Lm Ericsson (Publ) Trusted solutions for enabling user equipment belonging to a home network to access data communication services in a visited network
CN110149211B (zh) * 2019-05-15 2023-04-07 杭州朗和科技有限公司 服务鉴权方法、服务鉴权装置、介质以及电子设备
CN110392061A (zh) * 2019-08-06 2019-10-29 郑州信大捷安信息技术股份有限公司 一种网络接入控制系统及方法
CN114040398A (zh) * 2020-07-21 2022-02-11 中国电信股份有限公司 服务质量保障提供方法、系统、网络设备和存储介质
CN113542150B (zh) * 2021-07-14 2023-06-02 杭州海康威视数字技术股份有限公司 一种数据传输方法、装置及中心端网桥
CN113691596B (zh) * 2021-08-12 2023-06-30 北京奇艺世纪科技有限公司 一种网关控制方法、装置、电子设备及存储介质
KR102463051B1 (ko) * 2021-11-23 2022-11-03 펜타시큐리티시스템 주식회사 선박 네트워크 접근제어 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120020818A1 (en) 2010-07-20 2012-01-26 Peter Chen Air compressor structure for paint spraying

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1332627B1 (en) 2000-11-06 2007-10-10 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for coordinated charging of services in a multimedia session
US7916700B2 (en) 2004-06-30 2011-03-29 Nokia Corporation Dynamic service information for the access network
JP5239341B2 (ja) * 2008-01-08 2013-07-17 日本電気株式会社 ゲートウェイ、中継方法及びプログラム
WO2010066295A1 (en) 2008-12-10 2010-06-17 Telefonaktiebolaget Lm Ericsson (Publ) Token-based correlation of control sessions for policy and charging control of a data session through a nat
JP2010177752A (ja) * 2009-01-27 2010-08-12 Hitachi Ltd ネットワーク通信装置
CN102362515B (zh) * 2009-03-27 2017-03-08 夏普株式会社 移动终端装置、外部网关装置、移动通信系统及通信方法
KR101528496B1 (ko) * 2009-04-17 2015-06-15 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용하여 응급 콜 서비스를 지원하는 방법 및 시스템
US8547931B2 (en) * 2009-05-21 2013-10-01 Microsoft Corporation Conserving call logic during handoff
US9398517B2 (en) * 2010-01-11 2016-07-19 Blackberry Limited System and method for enabling discovery of local service availability in local cellular coverage
JP2012044344A (ja) * 2010-08-17 2012-03-01 Nippon Telegr & Teleph Corp <Ntt> ゲートウェイ装置およびipトンネル選択方法
CN103460729B (zh) 2011-01-28 2017-02-22 三星电子株式会社 用于在移动通信系统中控制收费的设备和方法
KR101673622B1 (ko) 2011-01-28 2016-11-08 삼성전자주식회사 무선통신 시스템에서 서비스품질에 따른 서비스 제공 방법 및 장치
EP2727401A1 (en) * 2011-07-01 2014-05-07 InterDigital Patent Holdings, Inc. Method and apparatus for supporting local ip access -lipa- mobility
WO2013010567A1 (en) 2011-07-15 2013-01-24 Telefonaktiebolaget L M Ericsson (Publ) Policy tokens in communication networks
WO2013017176A1 (en) 2011-08-04 2013-02-07 Telefonaktiebolaget L M Ericsson (Publ) Providing content related quality of service in packet switched communication network
KR101929299B1 (ko) 2011-12-06 2019-03-13 삼성전자주식회사 이동통신 네트워크에서 요금 지불을 대행하는 인터넷 서비스 제공 방법 및 장치
CN104185973B (zh) * 2012-01-20 2017-09-22 三星电子株式会社 用于设定数据发送的优先级的方法和设备
US9774581B2 (en) * 2012-01-20 2017-09-26 Interdigital Patent Holdings, Inc. Identity management with local functionality
JP6327482B2 (ja) * 2012-09-20 2018-05-23 日本電気株式会社 通信ネットワークにおける課金制御方法およびシステム
WO2014056523A1 (en) * 2012-10-08 2014-04-17 Nokia Solutions And Networks Oy Methods, devices, and computer program products for keeping devices attached without a default bearer
US10516984B2 (en) * 2013-03-26 2019-12-24 Sharp Kabushiki Kaisha Terminal device, base station device, and control device
US10111060B2 (en) * 2013-06-12 2018-10-23 Cisco Tecnology, Inc. Client app service on mobile network
EP3014806B1 (en) 2013-06-27 2019-11-27 Orange Providing toll-free application data access
US10547651B2 (en) 2013-07-26 2020-01-28 Apple Inc. System and method for providing telephony services over WiFi for non-cellular devices
US9537659B2 (en) 2013-08-30 2017-01-03 Verizon Patent And Licensing Inc. Authenticating a user device to access services based on a device ID
WO2015105183A1 (ja) * 2014-01-10 2015-07-16 シャープ株式会社 通信制御方法、位置管理装置、基地局装置、端末装置および通信システム
GB201402308D0 (en) * 2014-02-11 2014-03-26 Nec Corp Communication system
US20160277956A1 (en) * 2014-03-03 2016-09-22 Telefonaktiebolaget L M Ericsson (Publ) Methods and Devices for Improving Connection Procedures in Radio Access Networks
US9980310B2 (en) * 2014-10-17 2018-05-22 Mediatek Inc. Method for processing unsuccessful PDN establishment request

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120020818A1 (en) 2010-07-20 2012-01-26 Peter Chen Air compressor structure for paint spraying

Also Published As

Publication number Publication date
WO2016175909A3 (en) 2017-02-09
BR112017018018B1 (pt) 2024-01-16
WO2016175909A2 (en) 2016-11-03
KR20170118752A (ko) 2017-10-25
JP2018509090A (ja) 2018-03-29
US9819596B2 (en) 2017-11-14
EP3262813B1 (en) 2020-06-03
TWI625951B (zh) 2018-06-01
EP3262813A2 (en) 2018-01-03
WO2016175909A9 (en) 2017-06-15
CN107251522B (zh) 2018-09-28
US20160248686A1 (en) 2016-08-25
CN107251522A (zh) 2017-10-13
JP6438593B2 (ja) 2018-12-19
TW201644236A (zh) 2016-12-16
BR112017018018A2 (pt) 2018-04-10

Similar Documents

Publication Publication Date Title
KR101846155B1 (ko) 서비스 c-평면 접근법에 대한 네트워크 토큰들을 사용한 효율적인 정책 시행
US11570622B2 (en) Efficient policy enforcement using network tokens for services—user-plane approach
US11290382B2 (en) Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach
US9075953B2 (en) Method and apparatus for providing notification of detected error conditions in a network
US11848909B2 (en) Restricting onboard traffic
WO2022174729A1 (zh) 保护身份标识隐私的方法与通信装置

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant