KR20080036954A - Universal convergence border gateway - Google Patents

Universal convergence border gateway Download PDF

Info

Publication number
KR20080036954A
KR20080036954A KR1020077029113A KR20077029113A KR20080036954A KR 20080036954 A KR20080036954 A KR 20080036954A KR 1020077029113 A KR1020077029113 A KR 1020077029113A KR 20077029113 A KR20077029113 A KR 20077029113A KR 20080036954 A KR20080036954 A KR 20080036954A
Authority
KR
South Korea
Prior art keywords
data flows
services
security association
traffic
security
Prior art date
Application number
KR1020077029113A
Other languages
Korean (ko)
Inventor
윌리엄 오스먼드 하우
포우야 타고이
니시 칸트
나빈 드하르
Original Assignee
아자이르 네트웍스, 인코포레이티드
윌리엄 오스먼드 하우
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US11/233,936 external-priority patent/US20060265504A1/en
Application filed by 아자이르 네트웍스, 인코포레이티드, 윌리엄 오스먼드 하우 filed Critical 아자이르 네트웍스, 인코포레이티드
Publication of KR20080036954A publication Critical patent/KR20080036954A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A services gateway, which links client access by any technology to multiple service nodes, even if the client access technology is not directly compatible with the service node. The universal convergence border gateway (UCBG) utilizes the IP layer as a harmonizing layer to decouple standard services from their normally-associated access technologies. This is particularly advantageous with multifunction client devices because the best available wireless access technology. can be used independently of the type of service being accessed. The UCBG uses a single encryption scheme to multiplex the traffic for various services with different characteristics into multiple data flows. The UCBG uses a single encryption scheme to converge the data flows to the client using a single control path without losing each traffic's characteristics such as QoS. The gateway also demultiplexes the converged traffic that it receives from the client in order for the data to reach the appropriate service node.

Description

유니버설 컨버전스 경계 게이트웨이{UNIVERSAL CONVERGENCE BORDER GATEWAY}Universal convergence border gateway {UNIVERSAL CONVERGENCE BORDER GATEWAY}

본 출원은 2005년 5월 18일에 출원된 미국 가출원번호 60/682,226; 2005년 5월 18일에 출원된 60/682,227 및 2005년 7월 11일에 출원된 60/698,055에 대한 우선권을 주장한다.This application discloses US Provisional Application No. 60 / 682,226, filed May 18, 2005; Claims priority on 60 / 682,227, filed May 18, 2005 and 60 / 698,055, filed July 11, 2005.

본 발명은 일반적으로 무선 서비스, 특히 무선 서비스의 통합 전송을 제공하는 방법 및 시스템에 관한 것이다.The present invention relates generally to methods and systems for providing unified transmission of wireless services, in particular wireless services.

새로운 세대의 이동 셀룰라 기술들은 통상적으로 새로운 무선 인터페이스들을 도입하여 레가시 코어 네트워크를 업그레이드하였다. 상업적 도입 전에, 새로운 무선 에어-인터페이스들은 레가시 시스템에 연속 전이(seamless transition)를 제공하고 기존 OSS를 재사용하며 기존 서비스들을 제공할 수 있는 정도까지 통합될 것이 요구된다. 이러한 엄격한 표준화 프로세스는 새로운 무선 기술들의 채택을 지연시키거나 또는 채택하는 것을 어렵게 하였다. New generations of mobile cellular technologies have typically upgraded legacy core networks by introducing new air interfaces. Prior to commercial adoption, new wireless air-interfaces are required to be integrated to the extent that legacy systems can provide seamless transitions, reuse existing OSS and provide existing services. This rigorous standardization process has delayed or made it difficult to adopt new wireless technologies.

또한, 비인가 무선 기술들은 저가의 대안 액세스 네트워크들로서 이동 셀룰라 오퍼레이터들에 의하여 점점더 허용되고 있다. 결국, 이동 오퍼레이터들은 비인가 라디오를 포함하는 임의의 액세스 기술들을 통해 동일한 서비스들을 제공할 수 있다.In addition, unauthorized wireless technologies are increasingly being allowed by mobile cellular operators as low cost alternative access networks. In turn, mobile operators may provide the same services through any access technologies, including unauthorized radio.

따라서, 기존의 서비스 전송 플랫폼들 또는 OSS를 재사용함으로서 새로운 액세스 기술들을 연속적으로 전개할 수 있도록 하는 무선 서비스 게이트웨이에 대한 필요성이 요망된다. 이는 새로운 서비스들이 액세스 네트워크와 무관하게 용이하게 도입되도록 한다. Accordingly, there is a need for a wireless service gateway that enables the continuous deployment of new access technologies by reusing existing service delivery platforms or OSS. This allows new services to be easily introduced regardless of the access network.

배경:background: IPIP 네트워크를 통해 다중 서비스 액세스 Access to multiple services over the network

현재의 컨버전스 기술들이 단지 서비스 외에 단지 액세스 기술들만을 통합하기 때문에, 이들은 액세스되는 각각의 서비스에 대하여 개별 보안 또는 서비스 게이트웨이를 조절해야하는 사용자 장비를 필요로 한다. 이들 서비스들 간에 구심점(focal point)이 없으며, 이는 서비스 전달 및 CPU 처리와 관련한 문제점들을 유발할 수 있다.Because current convergence technologies only integrate access technologies in addition to services, they require user equipment that must adjust individual security or service gateways for each service being accessed. There is no focal point between these services, which can cause problems with service delivery and CPU processing.

따라서, 액세스되는 각각의 서비스에 대하여 개별 보안 또는 서비스 게이트웨이를 조절해야 하는 사용자 장비를 필요로 하지 않고 클라이언트들이 코어 네트워크에 의하여 제공되는 모든 패킷 네트워크 서비스들을 액세스하도록 하여 서비스 전달 및 CPU 처리와 관련한 문제점들을 감소시키는 무선 서비스 게이트웨이에 대한 필요성이 요망된다.Thus, without the need for user equipment to adjust individual security or service gateways for each service accessed, it allows clients to access all packet network services provided by the core network, thereby eliminating problems associated with service delivery and CPU processing. There is a need for a reducing wireless service gateway.

유니버설 Universal 컨버전스Convergence 경계 게이트웨이( Perimeter gateway ( UCBGUCBG ))

본 발명은 비록 클라이언트 액세스 기술이 서비스 노드과 직접 호환가능하지 않을지라도 임의의 기술에 의하여 다중 서비스 노드들에 클라이언트 액세스를 링크하는 서비스 게이트웨이를 제공한다. 유니버설 컨버전스 경계 게이트웨이(UCBG)는 보통의 연관된 액세스 기술들의 제약들로부터 표준 서비스들을 분리하기 위하여 하모나이징 계층(harmonizing layer)으로서 IP 계층을 이용한다. 이는 최상으로 이용가능한 무선 액세스 기술이 액세스되는 서비스의 타입과 무관하게 사용될 수 있기 때문에 다기능 클라이언트 장치들에 대하여 특히 유리하다. The present invention provides a service gateway that links client access to multiple service nodes by any technique, although the client access technique is not directly compatible with the service node. The Universal Convergence Border Gateway (UCBG) uses the IP layer as a harmonizing layer to separate standard services from the constraints of common associated access technologies. This is particularly advantageous for multifunctional client devices because the best available radio access technology can be used regardless of the type of service being accessed.

UCBG는 다양한 서비스들로부터 트래픽을 다중화하고, 단일 1차 보안 기구로 데이터 흐름을 통합하여 이를 사용자 클라이언트에 전송한다. 바람직하게, 사용자 장비는 다양한 다른 타입의 데이터 흐름들과 접속할 수 있다. 게이트웨이는 또한 적절한 서비스들에 트래픽을 라우팅(route)하기 위하여 사용자 클라이언트로부터 수신하는 통합된 트래픽을 역다중화한다.UCBG multiplexes traffic from various services, aggregates data flows into a single primary security mechanism, and sends it to user clients. Advantageously, the user equipment can connect with various other types of data flows. The gateway also demultiplexes the aggregated traffic received from the user client to route traffic to the appropriate services.

바람직한 실시예들에 있어서, 단일 암호화 방식은 다중 다른 서비스들에 대하여 다른 특징들을 가진 다중 데이터 흐름들을 보안하기 위하여 사용된다. 따라서, 다른 암호화 방식들을 사용하는 독립적인 다중 전송 채널들은 사용자 클라이언트에 의하여 유지될 필요가 없다. UCBG는 단일 암호화 방식을 유지하면서 다양한 데이터 흐름들의 다른 트래픽 특징들을 유지할 수 있다.In preferred embodiments, a single encryption scheme is used to secure multiple data flows with different features for multiple different services. Thus, independent multiple transport channels using different encryption schemes need not be maintained by the user client. UCBG can maintain different traffic characteristics of various data flows while maintaining a single encryption scheme.

UCBG는 또한 이동 오퍼레이터들 및 서비스 제공자들로 하여금 다중 액세스 및 서비스에 대한 앵커 포인트(anchor point)로서 작용함으로서 임의의 인가 또는 비인가 액세스 기술들을 통해 동일한 서비스들 및 통합 과금/OSS를 제공하도록 한다. 제공된 서비스들 중에서, 기업 서비스는 클라이언트에 대한 액세스를 승인하기 위하여 사용자이름/패스워드를 필요로 할 수 있다. 클라이언트가 GPRS와 다른 액세스 메커니즘들을 통해 기업 서비스를 액세스할 때, 비신뢰 액세스 네트워크를 통해 사용자이름/패스워드를 보안적으로 전송하기 위한 메커니즘이 존재해야 한다. 제안된 UCBG는 IKE SA로 사용자이름/패스워드 정보를 전송하기 위하여 IKE 메시지의 구성 페이로드를 이용함으로써 상기 메커니즘을 제공한다. 따라서, 정보는 보호되며, 클라이언트는 보안 VPN을 통해 기업 도메인을 액세스할 수 있다.UCBG also allows mobile operators and service providers to provide the same services and integrated billing / OSS via any authorized or unauthorized access technologies by acting as anchor points for multiple access and services. Among the services provided, corporate services may require a username / password to authorize access to the client. When a client accesses a corporate service through GPRS and other access mechanisms, there must be a mechanism for securely transferring the username / password through the untrusted access network. The proposed UCBG provides this mechanism by using the config payload of the IKE message to send username / password information to the IKE SA. Thus, the information is protected and clients can access the corporate domain through a secure VPN.

개시된 UCBG의 장점들 중 일부 예는 다음과 같다:Some examples of the advantages of the disclosed UCBGs are as follows:

Figure 112007089560313-PCT00001
통합 과금;
Figure 112007089560313-PCT00001
Consolidated billing;

Figure 112007089560313-PCT00002
다른 액세스 기술들 간의 연속 이동성;
Figure 112007089560313-PCT00002
Continuous mobility between different access technologies;

Figure 112007089560313-PCT00003
기존 GGSN을 통해 GPRS/UMTS/EDGE 패킷 네트워크에 의하여 제공된 모든 서비스들에 대한 액세스;
Figure 112007089560313-PCT00003
Access to all services provided by the GPRS / UMTS / EDGE packet network through the existing GGSN;

Figure 112007089560313-PCT00004
기존 PDSN을 통해 cdma2000 셀룰라 패킷 네트워크들에 의하여 제공된 모든 서비스들에 대한 액세스;
Figure 112007089560313-PCT00004
Access to all services provided by cdma2000 cellular packet networks via existing PDSN;

Figure 112007089560313-PCT00005
사용자 클라이언트 및 UCBG간에 IP 연속성을 가능하게 하는 임의의 액세스 기술을 사용하여 기존 GGSN을 통해 GPRS/UMTS/EDGE 패킷 네트워크에 의하여 제공되고 기존 PDSN를 통해 cdma2000 셀룰라 패킷 네트워크들에 의하여 제공되는 모든 서비스들에 대한 액세스;
Figure 112007089560313-PCT00005
All services provided by the GPRS / UMTS / EDGE packet network over the existing GGSN and over cdma2000 cellular packet networks over the existing PDSN using any access technology that enables IP continuity between the user client and UCBG. Access to;

Figure 112007089560313-PCT00006
이동 셀룰라 네트워크들의 기존 과금 및 OSS의 재사용;
Figure 112007089560313-PCT00006
Reuse of existing billing and OSS of mobile cellular networks;

Figure 112007089560313-PCT00007
최종 사용자 트래픽 당 라우팅 및 보안 정책들의 강화;
Figure 112007089560313-PCT00007
Strengthening routing and security policies per end user traffic;

요청된 서비스들, 최종 사용자 능력들, 및 UCBG 조건들(예컨대, 로드)에 기초하여 제공되는 서비스 번들을 액세스하는 사용자 클라이언트 쪽으로의 하나 또는 다중 데이터 흐름들; 및 One or multiple data flows towards the user client accessing the service bundle provided based on the requested services, end user capabilities, and UCBG conditions (eg, load); And

Figure 112007089560313-PCT00009
모든 데이터 흐름들에 대한 단일 암호화 방식을 사용하면서 서비스들의 번들을 액세스하는 사용자 클라이언트 쪽으로의 다중 데이터 흐름들의 다른 트래픽 특징 유지.
Figure 112007089560313-PCT00009
Maintain different traffic characteristics of multiple data flows towards the user client accessing the bundle of services while using a single encryption scheme for all data flows.

본 발명은 본 발명의 중요한 예시적인 실시예를 도시하며 참조에 의하여 명세서에 통합된 첨부 도면들과 관련하여 기술될 것이다.The invention will be described with reference to the accompanying drawings, which show important exemplary embodiments of the invention and are incorporated herein by reference.

도 1은 종래의 네트워크 아키텍처를 도시한 도면.1 illustrates a conventional network architecture.

도 2는 종래의 네트워크 아키텍처에 대한 메시지 흐름/시그널링 챠트.2 is a message flow / signaling chart for a conventional network architecture.

도 3은 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예를 기술한 도면.3 illustrates an exemplary embodiment of a network architecture incorporating a universal convergence border gateway.

도 4는 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예에 대한 메시지 흐름/시그널링 챠트.4 is a message flow / signaling chart for an exemplary embodiment of a network architecture incorporating a universal convergence border gateway.

도 5는 액세스-독립 서비스 게이트웨이로서 사용된 유니버설 컨버전스 경계 게이트웨이의 예시적인 실시예를 기술한 도면.FIG. 5 illustrates an exemplary embodiment of a universal convergence border gateway used as an access-independent service gateway. FIG.

도 6은 유니버설 컨버전스 경계 게이트웨이 및 듀얼-모드 사용자 장비의 다른 예시적인 실시예를 기술한 도면.FIG. 6 illustrates another exemplary embodiment of a universal convergence boundary gateway and dual-mode user equipment.

본 출원의 다수의 진보적 기술들이 바람직한 실시예와 관련하여(제한적이 아니라 예시적으로) 기술될 것이다.Many inventive techniques of this application will be described in connection with the preferred embodiments (not by way of limitation).

도 1은 종래의 네트워크 아키텍처를 기술한다.1 describes a conventional network architecture.

이러한 예에서, 사용자 장비(101)는 코어 네트워크(157)에 의하여 제공된 서비스들을 액세스하기 위하여 액세스 네트워크(103)를 사용한다. 사용자 장비(101)에 의하여 액세스되는 각각의 서비스에 대하여, 도면부호 105, 121, 129 또는 145와 같은 개별 보안 접속이 생성되어야 한다.In this example, the user equipment 101 uses the access network 103 to access the services provided by the core network 157. For each service accessed by user equipment 101, a separate secure connection, such as 105, 121, 129 or 145, must be created.

예컨대, WLAN을 통해 GPRS 서비스들을 액세스하기 위하여, IKE/IPsec SA(105)는 사용자 장비(101) 및 TTG(107)사이에 형성된다. 그 다음에, GTP 터널(109)은 Gn 기준 포인트 Gn'의 서브세트를 사용하여 형성된다. IMS 서비스들(119) 및 GGSN(111)사이의 링크(117)(Gi 또는 Go 인터페이스를 통한)는 사용자 장비(101)가 IMS 서비스들(119)을 액세스하도록 한다. 사용자 장비(101)는 Gi 인터페이스를 통한 링크(113)를 통해 패킷 서비스들(115)을 액세스할 수 있다.For example, to access GPRS services via WLAN, IKE / IPsec SA 105 is formed between user equipment 101 and TTG 107. GTP tunnel 109 is then formed using a subset of Gn reference points Gn '. The link 117 (via the Gi or Go interface) between the IMS services 119 and the GGSN 111 allows the user equipment 101 to access the IMS services 119. The user equipment 101 can access the packet services 115 via the link 113 via the Gi interface.

VoIP 서비스들을 액세스하기 위하여, 다른 보안 접속부(121)는 사용자 장비(101) 및 보안 게이트웨이(123) 사이에 형성된다. 일단 보안 접속부(121)가 형성되면, 사용자 장비(101)는 소프트스위치(125)를 통해 VoIP 서비스들(127)을 액세스할 수 있다.In order to access VoIP services, another secure connection 121 is formed between the user equipment 101 and the security gateway 123. Once the secure connection 121 is formed, the user equipment 101 can access the VoIP services 127 via the softswitch 125.

cdma2000-기반 서비스들을 액세스하기 위하여, 다른 보안 접속부, 예컨대 IKE/IPsec SA(129)는 사용자 장비(101) 및 PCF(131)사이에 형성된다. 그 다음에, R-P 터널(133)은 (R-P 인터페이스를 통해) PCF(131) 및 PDSN(135)사이에 형성된다. (인터페이스 Pi를 통한) IMS 서비스들(143) 및 PDSN(135)사이의 링크(141)는 사용자 장비(101)가 IMS 서비스들(143)을 액세스하도록 한다. 사용자 장비(101)는 Pi 인터페이스를 통한 링크(137)를 통해 패킷 서비스들(139)을 액세스할 수 있다.In order to access cdma2000-based services, another secure connection, such as IKE / IPsec SA 129, is formed between the user equipment 101 and the PCF 131. An R-P tunnel 133 is then formed between the PCF 131 and the PDSN 135 (via the R-P interface). The link 141 between the IMS services 143 (via the interface Pi) and the PDSN 135 allows the user equipment 101 to access the IMS services 143. User equipment 101 can access packet services 139 via a link 137 via a Pi interface.

비인가 이동 액세스(149)를 사용하여 PSTN(155)를 액세스하기 위하여, 또 다른 보안 접속부(145)는 사용자 장비(101) 및 보안 게이트웨이(147) 사이에 형성될 필요가 있다. UMA 네트워크 제어기(149)는 (인터페이스 A를 통해) UMA(149) 및 MSC/GMSC(153)사이의 링크(151)를 통해 사용자 장비(101)를 PSTN(155)에 접속한다.In order to access PSTN 155 using unauthorized mobile access 149, another secure connection 145 needs to be formed between user equipment 101 and secure gateway 147. UMA network controller 149 connects user equipment 101 to PSTN 155 via a link 151 between UMA 149 and MSC / GMSC 153 (via interface A).

따라서, 사용자 장비(101)에 의하여 액세스되는 각각의 서비스 노드에 대하여, 개별 보안 접속부는 사용자 장비(101)에 의하여 유지되어야 한다. 결과로서, 사용자는 단지 접속된 액세스 기술을 통해 서비스를 액세스할 수 있다.Thus, for each service node accessed by user equipment 101, a separate secure connection must be maintained by user equipment 101. As a result, the user can only access the service through the connected access technology.

도 2는 종래의 네트워크 아키텍처의 메시지 흐름/시그널링 챠트이다.2 is a message flow / signaling chart of a conventional network architecture.

이러한 예에서, UE는 GPRS 트래픽을 위하여 TTG와 IKE SA를 형성한다(메시지 흐름(210)). IPSec 터널은 UE 및 TTG사이에서 셋업되며, 1차 GTP 터널은 TTG 및 GGSN사이에 형성된다(메시지 흐름(203)). IPsec 터널 및 1차 GTP 터널 설정시 QoS1,즉 요청된 QoS를 가진 GPRS 트래픽이 존재할 때, GPRS 트래픽은 IPSec 터널내에서 반송되며 TTG는 트래픽을 GGSN에 전송한다(메시지 흐름(205)). 다른 QoS, 예컨대 QoS2를 가진 GPRS 트래픽이 존재할 때, 트래픽을 구별하거나 또는 분리하기 위하여 UE 및 TTG에 특정한 방식은 현재 존재하지 않으며 그 결과 트래픽은 하나의 IPSec 터널에서 혼합된다(메시지 흐름(207)). 이는 매우 다른 특징들(예컨대, 음성 및 웹 브라우징)을 가진 트래픽이 동일한 방식으로 처리되기 때문에 품질 문제를 유발할 수 있다. TTG는 GPRS 메커니즘을 사용하여 GGSN쪽의 트래픽을 구별할 수 있다. 그 다음에, 트래픽은 TTG 및 GGSN사이의 개별 GTP 터널에서 반송될 수 있다. 다른 서비스 노드를 통한 다른 서비스, 예컨대 UNC를 통한 UMA가 요청될 때, 다른 보안 터널은 이러한 노드 쪽에 형성되어야 한다. 이를 달성하기 위하여, 새로운 IKE SA는 UE 및 SGW(보안 게이트웨이)사이에 형성된다(메시지 흐름(209)). 그 다음에, 제 2 IPsec 터널은 UE 및 SGW사이의 새로운 IKE SA를 사용하여 셋업된다(메시지 흐름(211)). UMA 트래픽은 이러한 제 2 IPSec 터널 내에서 반송되며, SGW는 트래픽을 UNC에 전송한다(메시지 흐름(213)). 이들 두 개의 서비스들 사이의 관계가 존재하지 않는다.In this example, the UE forms a TTG and an IKE SA for GPRS traffic (message flow 210). An IPSec tunnel is set up between the UE and the TTG, and a primary GTP tunnel is formed between the TTG and the GGSN (message flow 203). When there is QoS1 in the IPsec tunnel and primary GTP tunnel setup, that is, GPRS traffic with the requested QoS, the GPRS traffic is carried in the IPSec tunnel and the TTG sends the traffic to the GGSN (message flow 205). When there is GPRS traffic with other QoS, such as QoS2, there is currently no way specific to the UE and TTG to distinguish or separate the traffic so that the traffic is mixed in one IPSec tunnel (message flow 207). . This can cause quality problems because traffic with very different features (eg, voice and web browsing) is handled in the same way. TTG can use the GPRS mechanism to distinguish traffic on the GGSN side. The traffic can then be carried in separate GTP tunnels between the TTG and GGSN. When another service through another service node, such as a UMA via UNC, is requested, another secure tunnel must be established on this node side. To accomplish this, a new IKE SA is formed between the UE and the SGW (Security Gateway) (message flow 209). The second IPsec tunnel is then set up using a new IKE SA between the UE and the SGW (message flow 211). UMA traffic is carried in this second IPSec tunnel, and the SGW sends the traffic to the UNC (message flow 213). There is no relationship between these two services.

통합형 서비스 전송Integrated service delivery

도 3은 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예를 도시한다.3 illustrates an example embodiment of a network architecture incorporating a universal convergence border gateway.

이러한 도면에서, 유니버설 컨버전스 경계 게이트웨이(UCBG)(301)는 서비스 컨버전스의 코어 컴포넌트이다. UCBG(301)는 사용자 장비(101)에의 보안 접속부(303)를 형성한다. 보안 접속부(303)는 WLAN(103)과 같은 무선 및 분산형 액세스 네트워크들을 통해 데이터를 전송할 때 완전성 및 보안성을 보장한다(특히, 로밍의 경우에). 보안 접속부는 클라이언트의 요청된 서비스 및 현재의 가입에 기초한 성공적인 인증 및 허가 절차들이 완료된 후에만 형성된다. UCBG(301)는 시그널링, 제어 및 계정 목적을 위하여 외부 서버와 통신할 수 있다.In this figure, the Universal Convergence Border Gateway (UCBG) 301 is the core component of service convergence. UCBG 301 forms a secure connection 303 to user equipment 101. Secure connection 303 ensures completeness and security when transmitting data over wireless and distributed access networks such as WLAN 103 (especially in the case of roaming). The secure connection is only formed after successful authentication and authorization procedures based on the client's requested service and current subscription. UCBG 301 may communicate with an external server for signaling, control, and accounting purposes.

도 1에 도시된 아키텍처와 대조적으로, 도 3에 도시된 아키텍처는 UCBG가 사용자 클라이언트와 1차 보안 연관성을 형성하고 다른 다중 서비스들을 위한 모든 트래픽에 대하여 이러한 SA를 사용하기 때문에 액세스되는 각각의 서비스에 대한 개별 보안 접속을 지원해야 하는 사용자 장비를 필요로 하지 않는다. 사용자 장비 는 더이상 보안 접속부들(105, 121, 129, 145)을 유지할 필요가 없다. UCBG는 보안 게이트웨이들(107, 147), TTG(107) 및 PCF(131)를 대체한다. 서비스들은 통상적으로 연관된 액세스 기술들에 제한되지 않으며 다른 액세스 네트워크들을 통해 범용적으로 이용가능하게 된다.In contrast to the architecture shown in FIG. 1, the architecture shown in FIG. 3 provides access to each service accessed because the UCBG forms a primary security association with the user client and uses this SA for all traffic for other multiple services. There is no need for user equipment that must support individual secure access to the system. User equipment no longer needs to maintain secure connections 105, 121, 129, 145. UCBG replaces security gateways 107, 147, TTG 107, and PCF 131. Services are typically not limited to associated access technologies and become universally available through other access networks.

도 3은 유니버설 컨버전스 경계 게이트웨이를 사용하여 통합될 수 있는 애플리케이션들의 소수 예들을 도시한다.3 shows a few examples of applications that can be integrated using a universal convergence border gateway.

Figure 112007089560313-PCT00010
IMS 애플리케이션: IMS는 셀룰라 기술들을 통해 멀티미디어 서비스들의 보안 전송을 위한 IP-기반 인프라스트럭처이다. IMS 서비스들은 이송층으로서 PS 도메인을 사용하며, GGSN 또는 PDSN 플랫폼으로부터 제공될 수 있다. IMS 및 GGSN(Gi 또는 Go 인터페이스를 통해) 또는 PDSN(Pi 인터페이스를 통해)사이의 링크는 QoS 및 정책 파리미터들 뿐만 아니라 과금 상관 식별자들을 교환하도록 한다. UCBG(301)는 GGSN(111) 또는 PDSN(135) 플랫폼들 및 모든 연관된 구성들을 재사용함으로서 임의의 액세스 기술(TTG/터널-스위칭 모드 또는 PCF에서 전개되는)을 통해 IMS 서비스들(119, 143)을 가능하게 한다.
Figure 112007089560313-PCT00010
IMS Application: IMS is an IP-based infrastructure for secure delivery of multimedia services through cellular technologies. IMS services use the PS domain as the transport layer and may be provided from a GGSN or PDSN platform. The link between IMS and GGSN (via Gi or Go interface) or PDSN (via Pi interface) allows for exchanging billing correlation identifiers as well as QoS and policy parameters. UCBG 301 reuses IGS services 119 and 143 via any access technology (deployed in TTG / tunnel-switching mode or PCF) by reusing the GGSN 111 or PDSN 135 platforms and all associated configurations. To make it possible.

Figure 112007089560313-PCT00011
VoIP 애플리케이션들: UCBG(301)는 WLAN 액세스 기술을 통해 사용자 장비로부터의 보안 접속을 종료할 수 있다. 일단 사용자 장비와의 보안, 인증 세션이 형성되면, VoIP 인프라스트럭처(127)를 가진 오퍼레이터의 소프트스위치(125)는 대안 액세스 기술들을 통해 사용자 장비에 SIP-기반 VoIP 호출들을 전송할 수 있다. 이는 WLAN 액세스를 전송하여 전체 전개 비용을 감소시키기 위하여 오퍼레이터가 그의 현재 2G/3G 풋프린트를 확장하도록 한다.
Figure 112007089560313-PCT00011
VoIP Applications: UCBG 301 may terminate a secure connection from user equipment via WLAN access technology. Once a secure, authenticated session with the user equipment is established, the operator's softswitch 125 with the VoIP infrastructure 127 may send SIP-based VoIP calls to the user equipment via alternative access technologies. This allows the operator to extend his current 2G / 3G footprint to send WLAN access to reduce overall deployment costs.

Figure 112007089560313-PCT00012
UMA 애플리케이션: UMA 솔루션은 (A 인터페이스를 통해) 한 측면으로부터 기존 2G MSC(153)로의 접속부(151) 및 VPN/IP를 통해 다른 측면으로부터 사용자 장비로의 접속부에 의하여 2G BSC 기능(GANC/UNC(149))을 에뮬레이트 한다. 릴리스 6 인터워킹 아키텍처와 UMA를 스무스하게 통합하기 위하여, 중첩 기능들을 최소화하고 릴리스 6 I-WLAN 시스템들에서 이용가능한 기존 기능들을 재사용하는 것이 바람직하다. UCBG(301)는 UMA 서비스들을 위한 보안, 인증 및 허가 베어러(bearer)를 제공할 수 있다.
Figure 112007089560313-PCT00012
UMA Application: The UMA solution uses the 2G BSC function (GANC / UNC) from one side (via A interface) to the existing 2G MSC 153 and the other side from the other side to the user equipment via VPN / IP. Emulate 149). In order to seamlessly integrate the UMA with the Release 6 interworking architecture, it is desirable to minimize overlapping functions and reuse existing functions available in Release 6 I-WLAN systems. UCBG 301 may provide a security, authentication and authorization bearer for UMA services.

다른 특징들 및 Other features and QoSQoS 요구사항들을 가진  With requirements 트래픽들을Traffic 구별하여 분리하기 위하여 단일 1차 보안 연관성 사용 Use a single primary security association to distinguish and separate

다양한 실시예들에 있어서, UCBG(301)는 이동 오퍼레이터들 및 서비스 제공자들로 하여금 통상적으로 연관된 액세스 기술들로부터 서비스들을 분리함으로써 임의의 인가 또는 비인가 액세스 기술들을 통해 동일한 서비스들 및 통합 과금/OSS를 제공하도록 한다.In various embodiments, the UCBG 301 allows mobile operators and service providers to separate the services from the associated access technologies, thereby providing the same services and integrated billing / OSS via any authorized or unauthorized access technologies. Provide it.

일 실시예에 있어서, 일단 1차 보안 연관성, 예컨대 IKE SA가 형성되면, 여러 차일드 또는 IPSec SA들은 QoS 또는 "액세스 특징들", 예컨대 회사 인트라넷과 같은 다른 특징들을 가진 서비스 트래픽을 반송하도록 생성된다. 그러나, 이들 IPSec SA들은 IPSec SA들을 생성하기 위하여 사용되는 하나의 1차 SA에 의하여 제어된다. 이는 다른 특징들 및 QoS 요구사항들을 가진 트래픽들을 구별하여 분리할 수 있도록 한다. 따라서, 트래픽 특징들은 단일 암호화 방식을 유지하는 동안 손실되지 않는다.In one embodiment, once a primary security association, such as an IKE SA, is formed, several child or IPSec SAs are created to carry service traffic with QoS or other features such as "access features", such as a company intranet. However, these IPSec SAs are controlled by one primary SA used to generate IPSec SAs. This allows to distinguish and separate traffics with different features and QoS requirements. Thus, traffic features are not lost while maintaining a single encryption scheme.

일 실시예에서, IKE는 UCBG 및 사용자 클라이언트 사이의 1차 SA로서 사용되며, IKE의 구성 페이로드는 UCBG(301) 쪽에 IPSec SA를 생성할 때 다른 서비스들 및/또는 서비스 노드들을 지시하기 위하여 사용된다. UCBG(301)는 IPSec SPI를 가진 이들 특징들을 저장하며, 특정 SPI를 가진 IPSec 트래픽이 내부로 흐를 때 이러한 트래픽을 위하여 서비스 및/또는 서비스 노드가 사용되어야 하는지를 결정한다. 따라서, UCBG(301)에서 트래픽을 구별하기 위하여 복잡한 로직을 필요로 하지 않으며, UCBG(301)는 IPSec SPI 값을 사용하여 적절한 서비스 노드에 트래픽을 단순하게 전송할 수 있다.In one embodiment, IKE is used as the primary SA between the UCBG and the user client, and the configuration payload of IKE is used to indicate other services and / or service nodes when creating an IPSec SA on the UCBG 301 side. do. UCBG 301 stores these features with IPSec SPI and determines if a service and / or service node should be used for such traffic when IPSec traffic with a particular SPI flows inward. Therefore, no complicated logic is required to distinguish the traffic in the UCBG 301, and the UCBG 301 can simply transmit the traffic to the appropriate service node using the IPSec SPI value.

제공된 서비스들 중에서, 기업 서비스들(307)은 클라이언트에 대한 액세스를 승인하기전에 사용자이름/패스워드를 필요로 할 수 있다. 클라이언트가 GPRS와 다른 액세스 메커니즘을 사용하여 (Gi 인터페이스를 통한) 링크(305)를 통해 기업 서비스들(307)을 액세스할 때, 액세스 네트워크, 특히 비신뢰 액세스 네트워크를 통해 사용자이름/패스워드를 보안적으로 전송하기 위하여 이용가능한 메커니즘이 존재해야 한다. 개시된 UCBG는 IKE 메시지의 구성 페이로드를 사용하는 보안 메커니즘을 제공한다. 사용자이름/패스워드 정보는 IKE SA로 전송되며, UCBG는 표준 GPRS 프로세스를 사용하여 GGSN에 이러한 정보를 전송한다. 따라서, 정보는 보호되며, 클라이언트는 보안 VPN을 통해 기업 도메인을 액세스할 수 있다.Among the services provided, corporate services 307 may require a username / password before granting access to the client. When a client accesses corporate services 307 via link 305 (via the Gi interface) using a different access mechanism than GPRS, the username / password is secured over the access network, particularly the untrusted access network. There must be a mechanism available to transmit it. The disclosed UCBG provides a security mechanism that uses the construction payload of the IKE message. The username / password information is sent to the IKE SA, and UCBG sends this information to the GGSN using standard GPRS processes. Thus, the information is protected and clients can access the corporate domain through a secure VPN.

사용자이름/패스워드가 민감한 정보이기 때문에, 이러한 정보는 사용자 및 UCBG가 상호 간에 인증되고 보안 IKE SA가 형성된 후에만 제공된다. 이러한 방법을 사용하면, 사용자는 보안 IPSec 터널을 통해 기업 서비스들(307)을 액세스할 수 있다.Since the username / password is sensitive information, this information is provided only after the user and the UCBG are mutually authenticated and a secure IKE SA is formed. Using this method, a user can access corporate services 307 through a secure IPSec tunnel.

이러한 실시예의 장점들의 일부 예들은 다음과 같은 것을 포함한다:Some examples of the advantages of this embodiment include the following:

Figure 112007089560313-PCT00013
서비스들의 번들을 액세스하는 사용자 장비 쪽에서 하나 이상의 IPSec SA를 가진다. 최종 사용자 쪽에서 단일 또는 다중 터널들을 사용하기 위한 결정은 요청된 서비스들, 최종-사용자 능력들 및 UCBG 조건들(예컨대, 로드)의 동적 조합에 기초한다;
Figure 112007089560313-PCT00013
It has one or more IPSec SAs on the user equipment side that access the bundle of services. The decision to use single or multiple tunnels at the end user side is based on a dynamic combination of requested services, end-user capabilities and UCBG conditions (eg, load);

Figure 112007089560313-PCT00014
서비스 유효성, 사용자 선호도 및/또는 서비스 카테고리에 따라 개별적으로 또는 함께 터널들을 제거한다;
Figure 112007089560313-PCT00014
Remove tunnels individually or together according to service availability, user preferences and / or service category;

Figure 112007089560313-PCT00015
1차 SA(IKE SA)의 페이로드를 사용하여 UCBG에 서비스들 및 이들의 특징들을 전송한다;
Figure 112007089560313-PCT00015
Send services and their features to the UCBG using the payload of the primary SA (IKE SA);

Figure 112007089560313-PCT00016
일단 정보가 저장되면, IPSec SPI를 사용하여 서비스들 및 이들의 특징들을 단순하게 식별한다;
Figure 112007089560313-PCT00016
Once the information is stored, the IPSec SPI is used to simply identify the services and their features;

Figure 112007089560313-PCT00017
보안 IPSec 터널을 통해 애플리케이션 레벨 인증을 위한 애플리케이션 액세스 서버에 사용자이름 및 패스워드 정보를 전송한다;
Figure 112007089560313-PCT00017
Send username and password information to the application access server for application level authentication over a secure IPSec tunnel;

Figure 112007089560313-PCT00018
애플리케이션 또는 도메인 사용자이름 및 패스워드 정보를 반송하기 위하여 IKE 구성 페이로드를 사용한다;
Figure 112007089560313-PCT00018
Use the IKE configuration payload to return application or domain username and password information;

Figure 112007089560313-PCT00019
클라이언트가 보안 전송 채널을 통해 UCBG에 애플리케이션 사용자이름 및 패스워드 정보를 제공하도록 한다;
Figure 112007089560313-PCT00019
Allow the client to provide UCBG application username and password information over a secure transport channel;

Figure 112007089560313-PCT00020
클라이언트가 선택된 APN에 기초하여 IKE 구성 페이로드의 애플리케이션 사용자이름 및 패스워드를 제공하도록 한다.
Figure 112007089560313-PCT00020
Allows the client to provide an application username and password for the IKE configuration payload based on the selected APN.

도 4는 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예의 메시지 흐름/시그널링 챠트이다. 4 is a message flow / signaling chart of an exemplary embodiment of a network architecture incorporating a universal convergence border gateway.

이러한 도면에서, IKE SA는 UE 및 UCBG 사이에 형성된다(메시지 흐름(401)). 이러한 SA는 서비스들 및/또는 서비스 특징들, 예컨대 QoS와 무관하게 모든 서비스들에 대하여 사용된다. 제어 메시지들의 모두는 암호화되며, 이들의 완전성은 보호된다. 제 1 IPSec SA는 데이터 전송을 위하여 형성된다. 이러한 예에서는 사용자에 의하여 요청된 서비스가 서비스 노드로서 GGSN을 필요로 한다는 것을 가정한다. GTP 터널은 UCBG 및 GGSN사이에 형성된다(메시지 흐름(403)). 이러한 서비스를 위한 트래픽에 대하여, UE는 IPSec 터널(1) 내에서 데이터를 전송 및 수신하며, UCBG는 GGSN에 메시지를 전송한다(메시지 흐름(405)). 만일 다른 특징들, 예컨대 QoS를 가진 다른 서비스가 동일한 서비스 노드, 즉 GGSN 쪽에서 요청되면, 제 2 IPSec SA가 형성될 수 있다. 새로운 IPSec SA 키는 정책에 따라 사용되거나 또는 사용되지 않을 수 있다. 다른 GTP 터널은 다른 Quos, 예컨대 QoS2를 가진 트래픽을 반송하기 위하여 형성된다(메시지 흐름(407)). 만일 다른 서비스 노드, 예컨대 UNC를 통한 다른 서비스가 요청되면, UE는 다른 IPSec SA를 형성한다(메시지 흐름(409)). UMA 트래픽에 대하여, UE는 적절한 IPSec 터널로 이러한 트래픽을 전송한다. UCBG는 SPI에 의하여 트래픽을 식별하며, 트래픽을 UNC에 직접 전송한다(메시지 흐름(411)). 다른 QoS, 예컨대 QoS2를 가진 GPRS 트래픽에 대하여, UE는 적절한 IPSec 터널로 트래픽을 전송하며, UCBG는 트래픽을 GGSN에 직접 전송한다(메시지 흐름(413)). 만일 엔터프라이즈를 위한 VPN을 형성하라는 요청이 존재하면, UE는 다른 IPSec 터널을 형성할 수 있어서 필요한 사용자이름/패스워드 정보를 제공한다. UCBG는 이러한 정보 및 요청을 GGSN에 전송하여 GTP 터널을 형성한다(메시지 흐름(415)). 엔터프라이즈 VPN 트래픽은 엔터프라이즈 인트라넷에서 적절한 IPSec 터널 및 GTP 터널을 통해 목적지에 반송된다(메시지 흐름(417)).In this figure, an IKE SA is formed between the UE and the UCBG (message flow 401). This SA is used for all services regardless of services and / or service features, such as QoS. All of the control messages are encrypted and their integrity is protected. The first IPSec SA is formed for data transmission. This example assumes that the service requested by the user requires GGSN as the service node. A GTP tunnel is formed between UCBG and GGSN (message flow 403). For traffic for this service, the UE transmits and receives data in the IPSec tunnel 1, and the UCBG sends a message to the GGSN (message flow 405). If other services with different features, such as QoS, are requested at the same service node, i.e., the GGSN side, a second IPSec SA may be formed. The new IPSec SA key may or may not be used depending on the policy. Another GTP tunnel is formed to carry traffic with other Quos, for example QoS2 (message flow 407). If another service node, such as another service via UNC, is requested, the UE forms another IPSec SA (message flow 409). For UMA traffic, the UE sends this traffic in the appropriate IPSec tunnel. The UCBG identifies the traffic by the SPI and sends the traffic directly to the UNC (message flow 411). For GPRS traffic with another QoS, such as QoS2, the UE sends the traffic in the appropriate IPSec tunnel, and the UCBG sends the traffic directly to the GGSN (message flow 413). If there is a request to establish a VPN for the enterprise, the UE can establish another IPSec tunnel, providing the necessary username / password information. UCBG sends this information and request to GGSN to form GTP tunnel (message flow 415). Enterprise VPN traffic is returned to the destination through the appropriate IPSec tunnel and GTP tunnel in the enterprise intranet (message flow 417).

새로운 액세스 기술New access technology

무선 애플리케이션들이 IP(패킷 스위치(IP))로 변경되는 것이 명백하다. 공통 패킷 서비스 플랫폼은 이동 오퍼레이터들이 새로운 서비스들을 용이하게 도입하여 기존 서비스들을 강화하도록 한다.It is clear that wireless applications are changed to IP (Packet Switch (IP)). The common packet services platform allows mobile operators to easily introduce new services to enhance existing services.

게다가, 이동 오퍼레이터들은 전개된 모든 액세스 기술들(예컨대, 셀룰라, Wi-Fi 또는 WiMAX)에 그들의 서비스 전송을 확장하고 싶어한다. 개시된 통합형 게이트웨이 플랫폼은 오퍼레이터의 코어 서비스 전송 플랫폼들에 대하여 보안 액세스하면서 임의의 액세스 기술들을 통해 무선 서비스들을 연속적으로 제공할 수 있도록 한다.In addition, mobile operators want to extend their service delivery to all deployed access technologies (eg, cellular, Wi-Fi or WiMAX). The disclosed integrated gateway platform allows for continuous access to wireless services via any access technologies while providing secure access to the operator's core service delivery platforms.

도 5는 액세스-독립 서비스 게이트웨이로서 사용된 유니버설 컨버전스 경계 게이트웨이의 예시적인 실시예를 도시한다.5 illustrates an example embodiment of a universal convergence boundary gateway used as an access-independent service gateway.

이러한 실시예에서, 사용자 장비(101)는 Wi-Fi, WiMAX, GPRS/EDGE 및 임의의 범용 IP와 같은 액세스 기술을 통해 모든 서비스들을 액세스할 수 있다. UCBG(301)는 IP 계층에서 동작한다. 따라서, UCBG(301)는 액세스 네트워크 기술과 독립적으로 기능을 한다. UCBG(301)는 사용자 장비(101)에 의하여 사용된 액세스 기술과 무관하게 보안 공통 서비스 전송을 제공하기 위하여 코어 네트워크 에지에 서 용이하게 전개될 수 있다.In this embodiment, the user equipment 101 can access all services via access technologies such as Wi-Fi, WiMAX, GPRS / EDGE, and any general purpose IP. UCBG 301 operates at the IP layer. Thus, UCBG 301 functions independently of access network technology. The UCBG 301 may be easily deployed at the core network edge to provide secure common service transport regardless of the access technology used by the user equipment 101.

이러한 아키텍처는 이동 오퍼레이터들로 하여금 새로운 액세스 기술들을 통합하기 위하여 기존의 3GPP 프레임워크를 이용하도록 한다. 다수의 프레스를 수신하는 이러한 하나의 기술은 IEEE 802.16e 표준화하에서 IETF에 의하여 기안된 WiMAX이다. TS 23.234와 동일한 프레임워크를 이용함으로써, 3GPP는 3G 및 IMS의 범위를 추가로 확장하기 위하여 사용될 수 있는 WiMAX를 빠르게 포함할 수 있다.This architecture allows mobile operators to use existing 3GPP frameworks to integrate new access technologies. One such technique for receiving multiple presses is WiMAX initiated by the IETF under the IEEE 802.16e standard. By using the same framework as TS 23.234, 3GPP can quickly include WiMAX, which can be used to further extend the scope of 3G and IMS.

하모나이징Harmonizing 계층으로서  As a hierarchy IPIP 계층 사용 Use layer

UCBG(301)는 통상적으로 연관된 액세스 기술들의 제약들로부터 표준 서비스들을 분리하기 위하여 하모나이징 계층으로서 IP 계층을 이용한다. 이는 최상으로 이용가능한 무선 액세스 기술이 액세스되는 서비스의 타입과 무관하게 사용될 수 있기 때문에 다기능 클라이언트 장치들에 특히 유리하다.  UCBG 301 typically uses the IP layer as the harmonizing layer to separate standard services from the constraints of associated access technologies. This is particularly advantageous for multifunctional client devices because the best available radio access technology can be used regardless of the type of service being accessed.

도 6은 유니버설 컨버전스 경계 게이트웨이 및 듀얼-모드 사용자 장비의 다른 예시적인 실시예를 도시한다.6 illustrates another exemplary embodiment of a universal convergence boundary gateway and dual-mode user equipment.

이러한 실시예에서, 사용자 장비(101)는 바람직하게 듀얼-모드(예컨대, WLAN+GPRS) 사용자 장비이다. UCBG(301)을 사용하면, 서비스들은 GPRS 접속부(601)를 통해 직접 또는 WLAN 접속부(603)를 통해 액세스될 수 있다. GPRS 액세스가 더 적절한 경우에, UCBG(301)는 GPRS 노드로서 작용하며, GPRS 접속부(601)를 통해 사용자 트래픽을 직접 라우팅하도록 한다. WLAN 액세스가 더 적절한 경우에, UCBG는 WLAN을 통해 보안 터널을 형성하고, WLAN 접속부를 통해 트래픽을 강화한다. 특정 서비스(예컨대, IMS(119))가 GGSN(111)과 같은 기존 노드를 통해 제공될 때, UCBG(301)는 GGSN(111)쪽으로 GTP 터널(109)을 형성하며, WLAN 접속부(603) 및 GPRS 접속부(601) 사이에서 사용자 트래픽을 스위칭한다.In this embodiment, the user equipment 101 is preferably a dual-mode (eg WLAN + GPRS) user equipment. Using the UCBG 301, services can be accessed directly via GPRS connection 601 or via WLAN connection 603. If GPRS access is more appropriate, UCBG 301 acts as a GPRS node and allows direct routing of user traffic through GPRS connection 601. If WLAN access is more appropriate, the UCBG establishes a secure tunnel through the WLAN and fortifies traffic through the WLAN connection. When a particular service (eg, IMS 119) is provided through an existing node, such as GGSN 111, UCBG 301 forms a GTP tunnel 109 towards GGSN 111, WLAN connection 603 and Switch user traffic between GPRS connections 601.

진보적 실시예들 중 개시된 클래스에 따르면, IP 계층을 사용하여 통상적으로 연관된 액세스 기술들로부터 표준 서비스들을 분리하는 단계; 및 사용자 장비가 상기 서비스들과 통상적으로 연관된 액세스 기술과 무관하게 표준 서비스들을 액세스하도록 하는 단계를 포함하는, 통신 방법이 제공된다.According to a disclosed class of progressive embodiments, using a IP layer to separate standard services from commonly associated access technologies; And causing the user equipment to access standard services independently of the access technology typically associated with the services.

진보적 실시예들 중 개시된 클래스에 따르면, 통상적으로 연관된 액세스 기술들로부터 표준 서비스들을 분리하기 위하여 IP 계층을 이용하는 서버를 포함하며; 사용자 장비가 상기 서비스들과 통상적으로 연관된 액세스 기술과 무관하게 표준 서비스들을 액세스할 수 있는, 통신 시스템이 제공된다.According to a disclosed class of progressive embodiments, a server typically includes a server that uses an IP layer to separate standard services from associated access technologies; A communication system is provided in which user equipment can access standard services regardless of the access technology typically associated with the services.

진보적 실시예들 중 개시된 클래스에 따르면, 이동 장치가 다른 서비스 노드들과 동시에 통신하도록 하는 방법으로서, 다른 타입의 다중 서비스들에 대하여 다른 트래픽 특징들을 가진 다중 데이터 흐름들에 동시에 참여하기 위하여 단일 1차 보안 연관(association)을 사용하는 단계를 포함하며; 상기 이동 전자장치가 상기 다른 타입의 다중 서비스들을 관리하기 위하여 상기 단일 1차 보안 연관을 사용하는, 통신방법이 제공된다. According to the disclosed class of the progressive embodiments, a method for allowing a mobile device to communicate with other service nodes simultaneously, comprising a single primary to simultaneously participate in multiple data flows with different traffic characteristics for different types of multiple services. Using a security association; A communication method is provided wherein the mobile electronic device uses the single primary security association to manage the different types of multiple services.

진보적 실시예들 중 개시된 클래스에 따르면, 단일 암호화 방식을 사용하여 다른 타입의 다중 서비스들에 대하여 다른 특징들을 가진 다중 데이터 흐름을 다중화하는 단계; 및 단일 1차 제어 경로의 관리하에서 각각의 2차 데이터 경로들을 사용하여 이동 전자장치 및 컨버전스 게이트웨이 사이에 상기 데이터 흐름들을 통신 하는 단계를 포함하며, 상기 이동 전자장치가 상기 단일 1차 제어 경로의 관리하에서 다른 타입의 다중 서비스들로부터 서비스들을 동시에 액세스할 수 있는, 통신방법이 제공된다.According to a disclosed class of progressive embodiments, there is provided a method comprising: multiplexing multiple data flows with different features for different types of multiple services using a single encryption scheme; And communicating the data flows between a mobile electronic device and a convergence gateway using respective secondary data paths under management of a single primary control path, wherein the mobile electronic device manages the single primary control path. There is provided a communication method, which can simultaneously access services from different types of multiple services.

진보적 실시예들 중 개시된 클래스에 따르면, 다른 타입의 다중 서비스들에 대하여 다른 트래픽 특징들을 가진 다중 데이터 흐름들에 동시에 참여할 수 있는 이동 전자장치; 및 다중화 소프트웨어를 포함하며; 상기 다중화 소프트웨어가, 상기 다중 데이터 흐름들을 구별하기 위하여 단일 1차 보안 연관의 구성을 사용하여 상기 다중 데이터 흐름들을 생성하며, 상기 이동 전자장치가 단일 1차 보안 연관을 통해 컨버전스 게이트웨이와 인터페이싱하도록 하며; 상기 이동 전자장치가 상기 단일 1차 보안 연관의 제어하에서 상기 다른 타입의 다중 서비스들을 동시에 액세스할 수 있는, 통신 시스템이 제공된다.According to a disclosed class of progressive embodiments, a mobile electronic device capable of simultaneously participating in multiple data flows with different traffic characteristics for different types of multiple services; And multiplexing software; The multiplexing software generates the multiple data flows using a configuration of a single primary security association to distinguish the multiple data flows, and allows the mobile electronics to interface with a convergence gateway via a single primary security association; A communication system is provided in which the mobile electronic device can simultaneously access the different types of multiple services under the control of the single primary security association.

진보적 실시예들 중 개시된 클래스에 따르면, 이동 클라이언트와 통신하는 시스템으로서, 서버 및 이동 클라이언트 사이의 단일 1차 보안 연관을 포함하며; 상기 서버가 두 개 이상의 다른 타입의 서비스들에 대한 트래픽을 두개 이상의 데이터 흐름들로 다중화하기 위하여 상기 단일 1차 보안 연관의 페이로드를 사용하며; 상기 서버가 상기 단일 1차 보안 연관의 제어하에서 두 개 이상의 다른 타입의 서비스 노드들로부터 상기 이동 클라이언트로 서비스들을 동시에 전송하는, 통신 시스템이 제공된다.According to a disclosed class of progressive embodiments, a system for communicating with a mobile client, comprising a single primary security association between a server and the mobile client; The server uses the payload of the single primary security association to multiplex traffic for two or more different types of services into two or more data flows; A communication system is provided wherein the server simultaneously transmits services from two or more different types of service nodes to the mobile client under control of the single primary security association.

진보적 실시예들 중 개시된 클래스에 따르면, 클라이언트에 네트워크 서비스들을 전송하는 방법으로서, 이동 클라이언트에서, 각각의 다른 타입의 데이터 흐름 들에 인터페이싱하는 다중 애플리케이션들을 실행하는 단계, 및 단일 1차 보안 연관의 제어하에서 다중 2차 보안 연관들에서 상기 데이터 흐름들을 다중화 및 역다중화하는 단계; 및 게이트웨이 서버에서, 다중 2차 보안 연관들에서 다른 타입의 다중 데이터 흐름들을 다중화 및 역다중화하는 단계, 및 상기 적절한 서버 노드들에 상기 데이터 흐름들을 라우팅하는 단계를 포함하며; 상기 서버가 상기 서비스들을 액세스하기 위하여 상기 클라이언트에 의하여 사용된 액세스 기술과 무관하게 상기 서비스 노드들로부터 상기 클라이언트로 서비스들을 동시에 전송하는, 전송 방법이 제공된다.According to a disclosed class of progressive embodiments, there is provided a method of transmitting network services to a client, comprising: executing, at a mobile client, multiple applications interfacing to different types of data flows, and controlling a single primary security association; Multiplexing and demultiplexing the data flows in multiple secondary security associations below; And at a gateway server, multiplexing and demultiplexing different types of multiple data flows in multiple secondary security associations, and routing the data flows to the appropriate server nodes; A transmission method is provided wherein the server simultaneously transmits services from the service nodes to the client regardless of the access technology used by the client to access the services.

진보적 실시예들 중 개시된 클래스에 따르면, 네트워크 서비스들을 전송하는 방법으로서, 제 1 서비스 노드와 연관된 제 1 특징의 트래픽을 반송하기 위하여 서버 및 사용자 장비 사이의 제 1 데이터 흐름을 관리하는 단계; 상기 제 1 서비스 노드와 연관된 제 2 특징의 트래픽이 존재하는 경우에, 상기 제 2 특징의 트래픽을 반송하기 위하여 상기 서버 및 상기 사용자 장비 사이의 제 2 데이터 흐름을 관리하는 단계; 및 상기 제 2 서비스 노드와 연관된 트래픽이 존재하는 경우에, 상기 제 2 서비스 노드와 연관된 트래픽을 반송하기 위하여 상기 서버 및 상기 사용자 장비 사이의 제 3 데이터 흐름을 관리하는 단계를 포함하며; 상기 제 1 및 제 2 노드의 각각의 서비스들이 상기 사용자 장비 및 상기 서버 사이의 단일 보안 연관의 제어하에서 상기 각각의 데이터 흐름들을 통해 상기 사용자 장비에 전송되며; 상기 서버 및 상기 사용자 장비 사이의 추가 데이터 흐름들은 상기 단일 보안 연관을 사용하여 필요에 따라 생성되는, 전송 방법이 제공된다.According to a disclosed class of progressive embodiments, a method of transmitting network services, comprising: managing a first data flow between a server and user equipment to carry traffic of a first characteristic associated with a first service node; If there is traffic of a second characteristic associated with the first service node, managing a second data flow between the server and the user equipment to carry traffic of the second characteristic; And if there is traffic associated with the second service node, managing a third data flow between the server and the user equipment to carry traffic associated with the second service node; Respective services of the first and second nodes are transmitted to the user equipment via the respective data flows under the control of a single security association between the user equipment and the server; Additional data flows between the server and the user equipment are generated as needed using the single security association.

진보적 실시예들 중 개시된 클래스에 따르면, 서버 및 사용자 장비 사이의 보안 연관; 상기 서버 및 상기 사용자 장비 사이의 제 1 데이터 흐름을 포함하는데, 상기 제 1 데이터 흐름이 상기 보안 연관의 페이로드 구성으로부터 생성되며, 제 1 서비스 노드와 연관된 제 1 특징의 트래픽을 반송하며; 상기 제 1 서비스 노드와 연관된 제 2 특징의 트래픽이 존재하는 경우에 상기 서버 및 상기 사용자 장비 사이의 제 2 데이터 흐름을 포함하며, 상기 제 2 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며 상기 제 2 특징의 트래픽을 반송하며; 및 제 2서비스 노드와 연관된 트래픽이 존재하는 경우에 상기 서버 및 상기 사용자 장비 사이의 제 3 데이터 흐름을 포함하며, 상기 제 3 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며 상기 제 2 서비스 노드와 연관된 트래픽을 반송하며; 최종 사용자는 상기 보안 연관의 제어하에서 상기 제 1 및 제 2 서비스 노드의 서비스들을 동시에 액세스할 수 있으며; 상기 서버 및 상기 사용자 장비 사이의 추가 데이터 흐름들은 상기 보안 연관을 사용하여 필요에 따라 생성되는, 통신 시스템이 제공된다.According to the disclosed class of the progressive embodiments, there is provided a security association between a server and a user equipment; A first data flow between the server and the user equipment, wherein the first data flow is generated from a payload configuration of the security association and carries traffic of a first feature associated with a first service node; A second data flow between the server and the user equipment when there is traffic of a second feature associated with the first service node, the second data flow being generated from the payload configuration of the security association and Carry traffic of a second feature; And a third data flow between the server and the user equipment when there is traffic associated with a second service node, wherein the third data flow is generated from the payload configuration of the security association and the second service node. Carry traffic associated with; An end user can access the services of the first and second service nodes simultaneously under the control of the security association; Additional data flows between the server and the user equipment are generated as needed using the security association.

수정 및 변형들Modifications and variations

당업자에 의하여 인식되는 바와 같이, 본 발명에 기술된 진보적인 개념들은 본 발명의 범위 내에서 수정 및 변형될 수 있으며, 따라서 본 발명의 범위는 주어진 특정 예시적인 기술들 중 일부에 의하여 제한되지 않는다.As will be appreciated by one of ordinary skill in the art, the inventive concepts described herein may be modified and modified within the scope of the present invention, and therefore the scope of the present invention is not limited by some of the specific exemplary techniques given.

비록 바람직한 실시예들에서 IPSec가 트래픽을 안전하게 하고 구별하기 위하여 사용될지라도, 트래픽을 안전하게 하고 구별하기 위한 임의의 방법이 사용될 수 있다.Although IPSec is used to secure and distinguish traffic in preferred embodiments, any method for securing and discriminating traffic may be used.

비록 바람직한 실시예들에서 IKE가 프로토콜을 적절하게 구성하기 위하여 IPSec와 함께 사용될지라도, 다른 암호화 표준들이 가능하다. 예컨대, DES, 3DES, D-H, MD5, SHA-1, RSA 서명, AES 및 CA들이 사용될 수 있다.Although IKE is used with IPSec to properly configure the protocol in preferred embodiments, other encryption standards are possible. For example, DES, 3DES, D-H, MD5, SHA-1, RSA signature, AES and CAs can be used.

비록 바람직한 실시예들에서 IKE가 IPsec에 대한 키 교환 및 관리를 위하여 사용될지라도, 다른 키 교환 및 관리 메커니즘들이 또한 가능하다.Although IKE is used for key exchange and management for IPsec in preferred embodiments, other key exchange and management mechanisms are also possible.

본 발명의 UCBG는 세시(chassis) 기반 플랫폼들을 포함하는 임의의 하드웨어로 구현될 수 있다. 세시 기반 플랫폼들이 사용되는 경우에, 세시의 블레이드들은 제어 블레이드들 또는 데이터 블레이드들로서 기능을 하기 위하여 클러스터들로서 분할된다. 세시는 활성 사용자 세션들 및 통계들이 블레이드 실패의 경우에도 손실되지 않도록 높은 유효성을 제공한다. UCBG에 단일 실패점이 존재하지 않을 것이다.The UCBG of the present invention may be implemented in any hardware including chassis based platforms. When tax base-based platforms are used, the taxi's blades are divided into clusters to function as control blades or data blades. Ceci provides high effectiveness so that active user sessions and statistics are not lost even in case of blade failure. There will be no single point of failure in UCBG.

변형들 및 구현들을 기술하는데 도움이 되는 일반적인 추가 배경은 이하에 기재된 공보에 개시되어 있으며, 이들 모두는 여기에 참조문헌으로서 통합된다:General further background to assist in describing the variants and implementations is disclosed in the publications described below, all of which are incorporated herein by reference:

Sumit Kasera & Nishit Narang, 3G Mobile Networks(2005)Sumit Kasera & Nishit Narang, 3G Mobile Networks (2005)

Theodore S. Rappaport, Wireless Communications Principles and Practice(2nd ed. 2002).Theodore S. Rappaport, Wireless Communications Principles and Practice (2nd ed. 2002).

본 출원에 기술된 상세한 설명은 임의의 특정 엘리먼트, 단계 또는 기능이 청구범위내에 포함되어야 하는 필수 구성요소인 것을 의미하는 것으로 해석되지 않아야 하며, 특허 요지의 범위는 특허 허여된 청구범위에 의해서만 한정된다. The detailed description set forth in this application should not be construed to mean that any particular element, step, or function is an essential component that should be included in the claims, and the scope of the patent subject matter is defined only by the claims that are issued. .

출원된 청구범위는 가능한 넓게 해석되어야 하며, 요지는 고의적으로 양도, 전용 또는 포기되지 않는다.The claimed claims should be construed as broadly as possible, and the subject matter is not intentionally assigned, transferred or abandoned.

Claims (47)

IP 계층을 사용하여 통상적으로 연관된 액세스 기술들로부터 표준 서비스들을 분리하는 단계; 및Separating standard services from associated access technologies typically using an IP layer; And 사용자 장비가 상기 서비스들과 통상적으로 연관된 액세스 기술과 무관하게 표준 서비스들을 액세스하도록 하는 단계를 포함하는, 통신 방법.Causing the user equipment to access standard services independently of the access technology typically associated with the services. 통상적으로 연관된 액세스 기술들로부터 표준 서비스들을 분리하기 위하여 IP 계층을 이용하는 서버를 포함하며;Typically includes a server that uses the IP layer to separate standard services from associated access technologies; 사용자 장비는 상기 서비스들과 통상적으로 연관된 액세스 기술과 무관하게 표준 서비스들을 액세스할 수 있는, 통신 시스템.User equipment is capable of accessing standard services regardless of the access technology typically associated with the services. 이동 장치가 다른 서비스 노드들과 동시에 통신하도록 하는 방법으로서,A method of allowing a mobile device to communicate with other service nodes simultaneously, 다른 타입의 다중 서비스들에 대하여 다른 트래픽 특징들을 가진 다중 데이터 흐름들에 동시에 참여하기 위하여 단일 1차 보안 연관(association)을 사용하는 단계를 포함하며; Using a single primary security association to simultaneously participate in multiple data flows with different traffic characteristics for different types of multiple services; 상기 이동 전자장치는 상기 다른 타입의 다중 서비스들을 관리하기 위하여 상기 단일 1차 보안 연관을 사용하는, 통신방법.And the mobile electronic device uses the single primary security association to manage the different types of multiple services. 제 3항에 있어서, 상기 다중 데이터 흐름들은 상기 단일 1차 보안 연관에 의 하여 제어되는, 통신방법.4. The method of claim 3, wherein the multiple data flows are controlled by the single primary security association. 제 3항에 있어서, 상기 단일 1차 보안 연관은 인터넷 키 교환 보안 연관(IKE SA)인, 통신방법.4. The method of claim 3, wherein the single primary security association is an Internet Key Exchange Security Association (IKE SA). 제 5항에 있어서, 상기 서비스들에 대한 정보는 상기 IKE SA의 구성 페이로드를 사용하여 전송되는, 통신방법.6. The method of claim 5 wherein the information about the services is transmitted using a configuration payload of the IKE SA. 제 5항에 있어서, 상기 서비스 특징들은 상기 IKE SA의 구성 페이로드를 사용하여 전송되는, 통신방법.6. The method of claim 5 wherein the service features are transmitted using a configuration payload of the IKE SA. 제 5항에 있어서, 클라이언트의 사용자이름/패스워드 정보는 상기 IKE SA의 구성 페이로드를 사용하여 상기 정보를 필요로 하는 서비스에 보안적으로 전송되는, 통신방법.6. The method of claim 5 wherein username / password information of the client is securely transmitted to a service that requires the information using the configuration payload of the IKE SA. 제 3항에 있어서, 상기 다중 데이터 흐름들은 인터넷 프로토콜 보안 보안 연관들(IPSec SAs)인, 통신방법.4. The method of claim 3, wherein the multiple data flows are Internet Protocol Security Security Associations (IPSec SAs). 제 9항에 있어서, 상기 다중 데이터 흐름들은 이들의 각각의 보안 파라미터 인덱스(SPI) 값들을 사용하여 구별되는, 통신방법.10. The method of claim 9, wherein the multiple data flows are distinguished using their respective security parameter index (SPI) values. 단일 암호화 방식을 사용하여 다른 타입의 다중 서비스들에 대하여 다른 특징들을 가진 다중 데이터 흐름을 다중화하는 단계; 및Multiplexing multiple data flows with different features for different types of multiple services using a single encryption scheme; And 단일 1차 제어 경로의 관리하에서 각각의 2차 데이터 경로들을 사용하여 이동 전자장치 및 컨버전스 게이트웨이 사이에 상기 데이터 흐름들을 통신하는 단계를 포함하며; Communicating the data flows between the mobile electronic device and the convergence gateway using respective secondary data paths under management of a single primary control path; 상기 이동 전자장치는 상기 단일 1차 제어 경로의 관리하에서 다른 타입의 다중 서비스들로부터 서비스들을 동시에 액세스할 수 있는, 통신방법.And the mobile electronic device can simultaneously access services from different types of multiple services under management of the single primary control path. 제 11항에 있어서, 상기 다중 데이터 흐름들은 단일 암호화 방식을 사용하여 다중화되며, 상기 데이터 흐름들의 트래픽 특징들은 다중화동안 손실되지 않는, 통신방법.12. The method of claim 11 wherein the multiple data flows are multiplexed using a single encryption scheme and the traffic characteristics of the data flows are not lost during multiplexing. 제 11항에 있어서, 상기 단일 1차 제어 경로는 인터넷 키 교환 보안 연관(IKE SA)인, 통신방법.12. The method of claim 11, wherein the single primary control path is an Internet Key Exchange Security Association (IKE SA). 제 11항에 있어서, 상기 데이터 흐름들은 인터넷 프로토콜 보안 보안 연관들(IPSec SAs)인, 통신방법.The method of claim 11, wherein the data flows are Internet Protocol Security Security Associations (IPSec SAs). 다른 타입의 다중 서비스들에 대하여 다른 트래픽 특징들을 가진 다중 데이 터 흐름들에 동시에 참여할 수 있는 이동 전자장치; 및A mobile electronic device capable of simultaneously participating in multiple data flows with different traffic characteristics for different types of multiple services; And 다중화 소프트웨어를 포함하며;Includes multiplexing software; 상기 다중화 소프트웨어는,The multiplexing software, 상기 다중 데이터 흐름들을 구별하기 위하여 단일 1차 보안 연관의 구성을 사용하여 상기 다중 데이터 흐름들을 생성하며,Generate the multiple data flows using a configuration of a single primary security association to distinguish the multiple data flows, 상기 이동 전자장치가 단일 1차 보안 연관을 통해 컨버전스 게이트웨이와 인터페이싱하도록 하며;Allow the mobile electronics to interface with a convergence gateway via a single primary security association; 상기 이동 전자장치는 상기 단일 1차 보안 연관의 제어하에서 상기 다른 타입의 다중 서비스들을 동시에 액세스할 수 있는, 통신 시스템.And the mobile electronic device can simultaneously access the different types of multiple services under control of the single primary security association. 제 15항에 있어서, 상기 다중 데이터 흐름들은 상기 단일 1차 보안 연관에 의하여 제어되는, 통신 시스템.The communication system of claim 15, wherein the multiple data flows are controlled by the single primary security association. 제 15항에 있어서, 상기 단일 1차 보안 연관은 인터넷 키 교환 보안 연관(IKE SA)인, 통신 시스템.The communication system of claim 15, wherein the single primary security association is an Internet Key Exchange Security Association (IKE SA). 제 17항에 있어서, 상기 서비스 특징들을 포함하는 상기 서비스 정보들은 상기 IKE SA의 구성 페이로드를 사용하여 전송되는, 통신 시스템. 18. The communication system of claim 17, wherein the service information including the service features is transmitted using a configuration payload of the IKE SA. 제 17항에 있어서, 클라이언트의 사용자이름/패스워드 정보는 상기 IKE SA의 구성 페이로드를 사용하여 상기 정보를 필요로 하는 서비스에 보안적으로 전송되는, 통신 시스템.18. The communication system of claim 17, wherein username / password information of a client is securely transmitted to a service that requires the information using a configuration payload of the IKE SA. 제 15항에 있어서, 상기 다중 데이터 흐름들은 인터넷 프로토콜 보안 보안 연관들(IPSec SAs)들인, 통신 시스템.The communication system of claim 15, wherein the multiple data flows are Internet Protocol Security Security Associations (IPSec SAs). 제 20항에 있어서, 상기 다중 데이터 흐름들은 이들의 각각의 보안 파라미터 인덱스(SPI) 값들을 사용하여 구별되는, 통신 시스템.21. The communication system of claim 20, wherein the multiple data flows are distinguished using their respective security parameter index (SPI) values. 제 15항에 있어서, 상기 다중화 소프트웨어는 상기 이동 전자장치상에서 실행되는, 통신 시스템.16. The communications system of claim 15 wherein the multiplexing software is executed on the mobile electronics. 제 15항에 있어서, 상기 다중 데이터 흐름들의 트래픽 특징들은 다중화 동안 손실되지 않는, 통신 시스템.16. The communication system of claim 15, wherein traffic characteristics of the multiple data flows are not lost during multiplexing. 이동 클라이언트와 통신하는 시스템으로서,A system for communicating with a mobile client, 서버 및 이동 클라이언트 사이의 단일 1차 보안 연관을 포함하며;Includes a single primary security association between the server and the mobile client; 상기 서버는 두 개 이상의 다른 타입의 서비스들에 대한 트래픽을 두 개 이상의 데이터 흐름들로 다중화하기 위하여 상기 단일 1차 보안 연관의 페이로드를 사용하며;The server uses the payload of the single primary security association to multiplex traffic for two or more different types of services into two or more data flows; 상기 서버는 상기 단일 1차 보안 연관의 제어하에서 두 개 이상의 다른 타입의 서비스 노드들로부터 상기 이동 클라이언트로 서비스들을 동시에 전송하는, 통신 시스템. And the server simultaneously transmits services from two or more different types of service nodes to the mobile client under control of the single primary security association. 제 24항에 있어서, 상기 데이터 흐름들은 상기 단일 1차 보안 연관에 의하여 제어되는, 통신 시스템. 25. The communication system of claim 24, wherein the data flows are controlled by the single primary security association. 제 24항에 있어서, 상기 서버는 단일 암호화 방식을 사용하여 두 개 이상의 다른 타입의 서비스 노드들로부터 상기 트래픽을 다중화하며, 상기 데이터 흐름들의 트래픽 특징들은 다중화 동안 손실되지 않는, 통신 시스템. 25. The communication system of claim 24, wherein the server multiplexes the traffic from two or more different types of service nodes using a single encryption scheme, and traffic characteristics of the data flows are not lost during the multiplexing. 제 24항에 있어서, 상기 서버는 적절한 서비스 노드들에 상기 트래픽을 라우팅하기 위하여 상기 이동 클라이언트로부터 상기 두 개 이상의 다른 타입의 서비스들과 연관된 트래픽을 역다중화하는, 통신 시스템. 25. The communication system of claim 24, wherein the server demultiplexes traffic associated with the two or more other types of services from the mobile client to route the traffic to appropriate service nodes. 제 24항에 있어서, 상기 서버는 인터넷 프로토콜 보안 보안 파라미터 인덱스(IPSec, SPI) 값들을 사용하여 두 개 이상의 다른 타입의 서비스 노드들과 연관된 트래픽을 역다중화하는, 통신 시스템. 25. The communication system of claim 24, wherein the server demultiplexes traffic associated with two or more different types of service nodes using Internet Protocol Security Security Parameter Index (IPSec, SPI) values. 제 24항에 있어서, 상기 단일 주 보안 연관은 인터넷 키 교환 보안 연관(IKE SA)인, 통신 시스템. 25. The communication system of claim 24, wherein the single primary security association is an Internet Key Exchange Security Association (IKE SA). 제 29항에 있어서, 클라이언트의 사용자이름/패스워드 정보는 상기 IKE SA의 구성 페이로드를 사용하여 상기 정보를 필요로 하는 서비스에 보안적으로 전송되는, 통신 시스템. 30. The communication system of claim 29, wherein username / password information of a client is securely transmitted to a service that requires the information using a configuration payload of the IKE SA. 제 24항에 있어서, 상기 데이터 흐름들은 인터넷 프로토콜 보안 보안 연관들(IPSec SAs)인, 통신 시스템. 25. The communication system of claim 24, wherein the data flows are Internet Protocol Security Security Associations (IPSec SAs). 클라이언트에 네트워크 서비스들을 전송하는 방법으로서,A method of sending network services to a client, 이동 클라이언트에서,On mobile clients, 각각의 다른 타입의 데이터 흐름들에 인터페이싱하는 다중 애플리케이션들을 실행하는 단계, 및Executing multiple applications that interface to different types of data flows, and 단일 1차 보안 연관의 제어하에서 다중 2차 보안 연관들에서 상기 데이터 흐름들을 다중화 및 역다중화하는 단계; 및Multiplexing and demultiplexing the data flows in multiple secondary security associations under control of a single primary security association; And 게이트웨이 서버에서,On the gateway server, 다중 2차 보안 연관들에서 다른 타입의 다중 데이터 흐름들을 다중화 및 역다중화하는 단계, 및Multiplexing and demultiplexing different types of multiple data flows in multiple secondary security associations, and 상기 적절한 서비스 노드들에 상기 데이터 흐름들을 라우팅하는 단계를 포함하며;Routing the data flows to the appropriate service nodes; 상기 서버는 상기 서비스들을 액세스하기 위하여 상기 클라이언트에 의하여 사용된 액세스 기술과 무관하게 상기 서비스 노드들로부터 상기 클라이언트로 서비스들을 동시에 전송하는, 전송 방법.And the server simultaneously transmits services from the service nodes to the client regardless of the access technology used by the client to access the services. 제 32항에 있어서, 상기 게이트웨이 서버는 단일 암호화 방식을 사용하여 상기 데이트 흐름을 다중화하며, 상기 데이터 흐름들의 트래픽 특징들은 다중화 동안 손실되지 않는, 전송 방법.33. The method of claim 32, wherein the gateway server multiplexes the data flow using a single encryption scheme and the traffic characteristics of the data flows are not lost during multiplexing. 제 32항에 있어서, 상기 서버는 인터넷 프로토콜 보안 보안 파라미터 인덱스(IPSec SPI) 값들을 사용하여 상기 데이터 흐름들을 역다중화하는, 전송 방법.33. The method of claim 32, wherein the server demultiplexes the data flows using Internet Protocol Security Security Parameter Index (IPSec SPI) values. 제 32항에 있어서, 상기 단일 1차 보안 연관은 인터넷 키 교환 보안 연관(IKE SA)인, 전송 방법.33. The method of claim 32, wherein the single primary security association is an Internet Key Exchange Security Association (IKE SA). 제 35항에 있어서, 클라이언트의 사용자이름/패스워드 정보는 상기 IKE SA의 구성 페이로드를 사용하여 상기 정보를 필요로 하는 서비스에 보안적으로 전송되는, 전송 방법.36. The method of claim 35, wherein username / password information of a client is securely transmitted to a service that requires the information using a configuration payload of the IKE SA. 제 32항에 있어서, 상기 데이터 흐름들은 인터넷 프로토콜 보안 보안 연관들(IPSec SAs)들인, 전송 방법.33. The method of claim 32, wherein the data flows are Internet Protocol Security Security Associations (IPSec SAs). 네트워크 서비스들을 전송하는 방법으로서,A method of transmitting network services, 제 1 서비스 노드와 연관된 제 1 특징의 트래픽을 반송하기 위하여 서버 및 사용자 장비 사이의 제 1 데이터 흐름을 관리하는 단계;Managing a first data flow between the server and the user equipment to carry traffic of a first characteristic associated with the first service node; 상기 제 1 서비스 노드와 연관된 제 2 특징의 트래픽이 존재하는 경우에, 상기 제 2 특징의 트래픽을 반송하기 위하여 상기 서버 및 상기 사용자 장비 사이의 제 2 데이터 흐름을 관리하는 단계; 및If there is traffic of a second characteristic associated with the first service node, managing a second data flow between the server and the user equipment to carry traffic of the second characteristic; And 상기 제 2 서비스 노드와 연관된 트래픽이 존재하는 경우에, 상기 제 2 서비스 노드와 연관된 트래픽을 반송하기 위하여 상기 서버 및 상기 사용자 장비 사이의 제 3 데이터 흐름을 관리하는 단계를 포함하며;If there is traffic associated with the second service node, managing a third data flow between the server and the user equipment to carry traffic associated with the second service node; 상기 제 1 및 제 2 서비스 노드의 각각의 서비스들은 상기 사용자 장비 및 상기 서버 사이의 단일 보안 연관의 제어하에서 상기 각각의 데이터 흐름들을 통해 상기 사용자 장비에 전송되며;Respective services of the first and second service nodes are transmitted to the user equipment via the respective data flows under the control of a single security association between the user equipment and the server; 상기 서버 및 상기 사용자 장비 사이의 추가 데이터 흐름들은 상기 단일 보안 연관을 사용하여 필요에 따라 생성되는, 전송 방법.Additional data flows between the server and the user equipment are generated as needed using the single security association. 제 38항에 있어서, 상기 단일 보안 연관은 인터넷 키 교환 보안 연관(IKE SA)인, 전송 방법.The method of claim 38, wherein the single security association is an Internet Key Exchange Security Association (IKE SA). 제 38항에 있어서, 상기 제 1, 제 2 및 제 3 데이터 흐름들은 인터넷 프로토 콜 보안 보안 연관들(IPSec SAs)인, 전송 방법.39. The method of claim 38, wherein the first, second and third data flows are Internet Protocol Security Security Associations (IPSec SAs). 서버 및 사용자 장비 사이의 보안 연관;Security association between server and user equipment; 상기 서버 및 상기 사용자 장비 사이의 제 1 데이터 흐름을 포함하는데, 상기 제 1 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며, 제 1 서비스 노드와 연관된 제 1 특징의 트래픽을 반송하며;A first data flow between the server and the user equipment, the first data flow being generated from a payload configuration of the security association and carrying traffic of a first feature associated with a first service node; 상기 제 1 서비스 노드와 연관된 제 2 특징의 트래픽이 존재하는 경우에 상기 서버 및 상기 사용자 장비 사이의 제 2 데이터 흐름을 포함하며, 상기 제 2 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며 상기 제 2 특징의 트래픽을 반송하며; 및A second data flow between the server and the user equipment when there is traffic of a second feature associated with the first service node, the second data flow being generated from the payload configuration of the security association and Carry traffic of a second feature; And 제 2 서비스 노드와 연관된 트래픽이 존재하는 경우에 상기 서버 및 상기 사용자 장비 사이의 제 3 데이터 흐름을 포함하며, 상기 제 3 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며 상기 제 2 서비스 노드와 연관된 트래픽을 반송하며;A third data flow between the server and the user equipment in the presence of traffic associated with a second service node, wherein the third data flow is generated from the payload configuration of the security association and with the second service node. Carry associated traffic; 최종 사용자는 상기 보안 연관의 제어하에서 상기 제 1 및 제 2 서비스 노드의 서비스들을 동시에 액세스할 수 있으며;An end user can access the services of the first and second service nodes simultaneously under the control of the security association; 상기 서버 및 상기 사용자 장비 사이의 추가 데이터 흐름들은 상기 보안 연관을 사용하여 필요에 따라 생성되는, 통신 시스템.Additional data flows between the server and the user equipment are generated as needed using the security association. 제 41항에 있어서, 상기 제 1, 제 2 및 제 3 데이터 흐름들은 상기 보안 연 관에 의하여 제어되는, 통신 시스템.42. The communications system of claim 41 wherein the first, second and third data flows are controlled by the security association. 제 41항에 있어서, 상기 서버는 단일 암호화 방식을 사용하여 상기 제 1, 제 2 및 제 3 데이터 흐름들을 다중화하며, 상기 데이터 흐름들의 트래픽 특징들은 다중화동안 손실되지 않는, 통신 시스템.42. The communications system of claim 41 wherein the server multiplexes the first, second and third data flows using a single encryption scheme, and wherein traffic characteristics of the data flows are not lost during multiplexing. 제 41항에 있어서, 상기 서버는 상기 최종 사용자로부터 데이터 흐름들을 역다중화하며, 상기 적절한 서비스 노드들에 상기 데이터 흐름들을 전송하는, 통신 시스템.42. The communications system of claim 41 wherein the server demultiplexes data flows from the end user and sends the data flows to the appropriate service nodes. 제 44항에 있어서, 상기 서버는 인터넷 프로토콜 보안 보안 파라미터 인덱스(IPSec SPI) 값들을 사용하여 상기 데이터 흐름들을 역다중화하는, 통신 시스템.45. The communication system of claim 44, wherein the server demultiplexes the data flows using Internet Protocol Security Security Parameter Index (IPSec SPI) values. 제 41항에 있어서, 상기 보안 연관은 인터넷 키 교환 보안 연관(IKE SA)인, 통신 시스템.42. The communications system of claim 41 wherein the security association is an Internet Key Exchange Security Association (IKE SA). 제 41항에 있어서, 상기 데이터 흐름들은 인터넷 프로토콜 보안 보안 연관들(IPSec SAs)인, 통신 시스템.42. The communication system of claim 41, wherein the data flows are Internet Protocol Security Security Associations (IPSec SAs).
KR1020077029113A 2005-05-18 2006-05-17 Universal convergence border gateway KR20080036954A (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US68222705P 2005-05-18 2005-05-18
US60/682,227 2005-05-18
US11/233,936 US20060265504A1 (en) 2005-05-18 2005-09-23 Universal convergence border gateway
US11/233,936 2005-09-23

Publications (1)

Publication Number Publication Date
KR20080036954A true KR20080036954A (en) 2008-04-29

Family

ID=37432050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077029113A KR20080036954A (en) 2005-05-18 2006-05-17 Universal convergence border gateway

Country Status (5)

Country Link
EP (1) EP1889168A2 (en)
KR (1) KR20080036954A (en)
AU (1) AU2006247291A1 (en)
CA (1) CA2620830A1 (en)
WO (1) WO2006124920A2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080184123A1 (en) * 2007-01-26 2008-07-31 Shuqair Michel A D System And Method For Providing A Secure Connection Between A Computer And A Mobile Device
CN116244359B (en) * 2022-11-23 2023-09-29 北京瑞风协同科技股份有限公司 Test data gathering device, method and equipment

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7003571B1 (en) * 2000-01-31 2006-02-21 Telecommunication Systems Corporation Of Maryland System and method for re-directing requests from browsers for communication over non-IP based networks

Also Published As

Publication number Publication date
EP1889168A2 (en) 2008-02-20
CA2620830A1 (en) 2006-11-23
WO2006124920A2 (en) 2006-11-23
WO2006124920A3 (en) 2009-04-30
AU2006247291A1 (en) 2006-11-23

Similar Documents

Publication Publication Date Title
US11690005B2 (en) Network slice for visited network
US20060265504A1 (en) Universal convergence border gateway
US11102828B2 (en) User plane function selection for isolated network slice
US11412418B2 (en) Third party charging in a wireless network
US20240039744A1 (en) Ethernet type packet data unit session communications
US10855851B2 (en) Charging control with SMF
AU2009313216B2 (en) Method and system for supporting SIP session policy using existing authorization architecture and protocols
US9642032B2 (en) Third party interface for provisioning bearers according to a quality of service subscription
US7916732B2 (en) Method and system for implementation of SBLP for a WLAN-GSM/3G integrated system
US20090141707A1 (en) Systems and methods for providing emergency service trust in packet data networks
KR20080036954A (en) Universal convergence border gateway

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid