KR20080036954A - Universal convergence border gateway - Google Patents
Universal convergence border gateway Download PDFInfo
- Publication number
- KR20080036954A KR20080036954A KR1020077029113A KR20077029113A KR20080036954A KR 20080036954 A KR20080036954 A KR 20080036954A KR 1020077029113 A KR1020077029113 A KR 1020077029113A KR 20077029113 A KR20077029113 A KR 20077029113A KR 20080036954 A KR20080036954 A KR 20080036954A
- Authority
- KR
- South Korea
- Prior art keywords
- data flows
- services
- security association
- traffic
- security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 출원은 2005년 5월 18일에 출원된 미국 가출원번호 60/682,226; 2005년 5월 18일에 출원된 60/682,227 및 2005년 7월 11일에 출원된 60/698,055에 대한 우선권을 주장한다.This application discloses US Provisional Application No. 60 / 682,226, filed May 18, 2005; Claims priority on 60 / 682,227, filed May 18, 2005 and 60 / 698,055, filed July 11, 2005.
본 발명은 일반적으로 무선 서비스, 특히 무선 서비스의 통합 전송을 제공하는 방법 및 시스템에 관한 것이다.The present invention relates generally to methods and systems for providing unified transmission of wireless services, in particular wireless services.
새로운 세대의 이동 셀룰라 기술들은 통상적으로 새로운 무선 인터페이스들을 도입하여 레가시 코어 네트워크를 업그레이드하였다. 상업적 도입 전에, 새로운 무선 에어-인터페이스들은 레가시 시스템에 연속 전이(seamless transition)를 제공하고 기존 OSS를 재사용하며 기존 서비스들을 제공할 수 있는 정도까지 통합될 것이 요구된다. 이러한 엄격한 표준화 프로세스는 새로운 무선 기술들의 채택을 지연시키거나 또는 채택하는 것을 어렵게 하였다. New generations of mobile cellular technologies have typically upgraded legacy core networks by introducing new air interfaces. Prior to commercial adoption, new wireless air-interfaces are required to be integrated to the extent that legacy systems can provide seamless transitions, reuse existing OSS and provide existing services. This rigorous standardization process has delayed or made it difficult to adopt new wireless technologies.
또한, 비인가 무선 기술들은 저가의 대안 액세스 네트워크들로서 이동 셀룰라 오퍼레이터들에 의하여 점점더 허용되고 있다. 결국, 이동 오퍼레이터들은 비인가 라디오를 포함하는 임의의 액세스 기술들을 통해 동일한 서비스들을 제공할 수 있다.In addition, unauthorized wireless technologies are increasingly being allowed by mobile cellular operators as low cost alternative access networks. In turn, mobile operators may provide the same services through any access technologies, including unauthorized radio.
따라서, 기존의 서비스 전송 플랫폼들 또는 OSS를 재사용함으로서 새로운 액세스 기술들을 연속적으로 전개할 수 있도록 하는 무선 서비스 게이트웨이에 대한 필요성이 요망된다. 이는 새로운 서비스들이 액세스 네트워크와 무관하게 용이하게 도입되도록 한다. Accordingly, there is a need for a wireless service gateway that enables the continuous deployment of new access technologies by reusing existing service delivery platforms or OSS. This allows new services to be easily introduced regardless of the access network.
배경:background: IPIP 네트워크를 통해 다중 서비스 액세스 Access to multiple services over the network
현재의 컨버전스 기술들이 단지 서비스 외에 단지 액세스 기술들만을 통합하기 때문에, 이들은 액세스되는 각각의 서비스에 대하여 개별 보안 또는 서비스 게이트웨이를 조절해야하는 사용자 장비를 필요로 한다. 이들 서비스들 간에 구심점(focal point)이 없으며, 이는 서비스 전달 및 CPU 처리와 관련한 문제점들을 유발할 수 있다.Because current convergence technologies only integrate access technologies in addition to services, they require user equipment that must adjust individual security or service gateways for each service being accessed. There is no focal point between these services, which can cause problems with service delivery and CPU processing.
따라서, 액세스되는 각각의 서비스에 대하여 개별 보안 또는 서비스 게이트웨이를 조절해야 하는 사용자 장비를 필요로 하지 않고 클라이언트들이 코어 네트워크에 의하여 제공되는 모든 패킷 네트워크 서비스들을 액세스하도록 하여 서비스 전달 및 CPU 처리와 관련한 문제점들을 감소시키는 무선 서비스 게이트웨이에 대한 필요성이 요망된다.Thus, without the need for user equipment to adjust individual security or service gateways for each service accessed, it allows clients to access all packet network services provided by the core network, thereby eliminating problems associated with service delivery and CPU processing. There is a need for a reducing wireless service gateway.
유니버설 Universal 컨버전스Convergence 경계 게이트웨이( Perimeter gateway ( UCBGUCBG ))
본 발명은 비록 클라이언트 액세스 기술이 서비스 노드과 직접 호환가능하지 않을지라도 임의의 기술에 의하여 다중 서비스 노드들에 클라이언트 액세스를 링크하는 서비스 게이트웨이를 제공한다. 유니버설 컨버전스 경계 게이트웨이(UCBG)는 보통의 연관된 액세스 기술들의 제약들로부터 표준 서비스들을 분리하기 위하여 하모나이징 계층(harmonizing layer)으로서 IP 계층을 이용한다. 이는 최상으로 이용가능한 무선 액세스 기술이 액세스되는 서비스의 타입과 무관하게 사용될 수 있기 때문에 다기능 클라이언트 장치들에 대하여 특히 유리하다. The present invention provides a service gateway that links client access to multiple service nodes by any technique, although the client access technique is not directly compatible with the service node. The Universal Convergence Border Gateway (UCBG) uses the IP layer as a harmonizing layer to separate standard services from the constraints of common associated access technologies. This is particularly advantageous for multifunctional client devices because the best available radio access technology can be used regardless of the type of service being accessed.
UCBG는 다양한 서비스들로부터 트래픽을 다중화하고, 단일 1차 보안 기구로 데이터 흐름을 통합하여 이를 사용자 클라이언트에 전송한다. 바람직하게, 사용자 장비는 다양한 다른 타입의 데이터 흐름들과 접속할 수 있다. 게이트웨이는 또한 적절한 서비스들에 트래픽을 라우팅(route)하기 위하여 사용자 클라이언트로부터 수신하는 통합된 트래픽을 역다중화한다.UCBG multiplexes traffic from various services, aggregates data flows into a single primary security mechanism, and sends it to user clients. Advantageously, the user equipment can connect with various other types of data flows. The gateway also demultiplexes the aggregated traffic received from the user client to route traffic to the appropriate services.
바람직한 실시예들에 있어서, 단일 암호화 방식은 다중 다른 서비스들에 대하여 다른 특징들을 가진 다중 데이터 흐름들을 보안하기 위하여 사용된다. 따라서, 다른 암호화 방식들을 사용하는 독립적인 다중 전송 채널들은 사용자 클라이언트에 의하여 유지될 필요가 없다. UCBG는 단일 암호화 방식을 유지하면서 다양한 데이터 흐름들의 다른 트래픽 특징들을 유지할 수 있다.In preferred embodiments, a single encryption scheme is used to secure multiple data flows with different features for multiple different services. Thus, independent multiple transport channels using different encryption schemes need not be maintained by the user client. UCBG can maintain different traffic characteristics of various data flows while maintaining a single encryption scheme.
UCBG는 또한 이동 오퍼레이터들 및 서비스 제공자들로 하여금 다중 액세스 및 서비스에 대한 앵커 포인트(anchor point)로서 작용함으로서 임의의 인가 또는 비인가 액세스 기술들을 통해 동일한 서비스들 및 통합 과금/OSS를 제공하도록 한다. 제공된 서비스들 중에서, 기업 서비스는 클라이언트에 대한 액세스를 승인하기 위하여 사용자이름/패스워드를 필요로 할 수 있다. 클라이언트가 GPRS와 다른 액세스 메커니즘들을 통해 기업 서비스를 액세스할 때, 비신뢰 액세스 네트워크를 통해 사용자이름/패스워드를 보안적으로 전송하기 위한 메커니즘이 존재해야 한다. 제안된 UCBG는 IKE SA로 사용자이름/패스워드 정보를 전송하기 위하여 IKE 메시지의 구성 페이로드를 이용함으로써 상기 메커니즘을 제공한다. 따라서, 정보는 보호되며, 클라이언트는 보안 VPN을 통해 기업 도메인을 액세스할 수 있다.UCBG also allows mobile operators and service providers to provide the same services and integrated billing / OSS via any authorized or unauthorized access technologies by acting as anchor points for multiple access and services. Among the services provided, corporate services may require a username / password to authorize access to the client. When a client accesses a corporate service through GPRS and other access mechanisms, there must be a mechanism for securely transferring the username / password through the untrusted access network. The proposed UCBG provides this mechanism by using the config payload of the IKE message to send username / password information to the IKE SA. Thus, the information is protected and clients can access the corporate domain through a secure VPN.
개시된 UCBG의 장점들 중 일부 예는 다음과 같다:Some examples of the advantages of the disclosed UCBGs are as follows:
통합 과금; Consolidated billing;
다른 액세스 기술들 간의 연속 이동성; Continuous mobility between different access technologies;
기존 GGSN을 통해 GPRS/UMTS/EDGE 패킷 네트워크에 의하여 제공된 모든 서비스들에 대한 액세스; Access to all services provided by the GPRS / UMTS / EDGE packet network through the existing GGSN;
기존 PDSN을 통해 cdma2000 셀룰라 패킷 네트워크들에 의하여 제공된 모든 서비스들에 대한 액세스; Access to all services provided by cdma2000 cellular packet networks via existing PDSN;
사용자 클라이언트 및 UCBG간에 IP 연속성을 가능하게 하는 임의의 액세스 기술을 사용하여 기존 GGSN을 통해 GPRS/UMTS/EDGE 패킷 네트워크에 의하여 제공되고 기존 PDSN를 통해 cdma2000 셀룰라 패킷 네트워크들에 의하여 제공되는 모든 서비스들에 대한 액세스; All services provided by the GPRS / UMTS / EDGE packet network over the existing GGSN and over cdma2000 cellular packet networks over the existing PDSN using any access technology that enables IP continuity between the user client and UCBG. Access to;
이동 셀룰라 네트워크들의 기존 과금 및 OSS의 재사용; Reuse of existing billing and OSS of mobile cellular networks;
최종 사용자 트래픽 당 라우팅 및 보안 정책들의 강화; Strengthening routing and security policies per end user traffic;
요청된 서비스들, 최종 사용자 능력들, 및 UCBG 조건들(예컨대, 로드)에 기초하여 제공되는 서비스 번들을 액세스하는 사용자 클라이언트 쪽으로의 하나 또는 다중 데이터 흐름들; 및 One or multiple data flows towards the user client accessing the service bundle provided based on the requested services, end user capabilities, and UCBG conditions (eg, load); And
모든 데이터 흐름들에 대한 단일 암호화 방식을 사용하면서 서비스들의 번들을 액세스하는 사용자 클라이언트 쪽으로의 다중 데이터 흐름들의 다른 트래픽 특징 유지. Maintain different traffic characteristics of multiple data flows towards the user client accessing the bundle of services while using a single encryption scheme for all data flows.
본 발명은 본 발명의 중요한 예시적인 실시예를 도시하며 참조에 의하여 명세서에 통합된 첨부 도면들과 관련하여 기술될 것이다.The invention will be described with reference to the accompanying drawings, which show important exemplary embodiments of the invention and are incorporated herein by reference.
도 1은 종래의 네트워크 아키텍처를 도시한 도면.1 illustrates a conventional network architecture.
도 2는 종래의 네트워크 아키텍처에 대한 메시지 흐름/시그널링 챠트.2 is a message flow / signaling chart for a conventional network architecture.
도 3은 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예를 기술한 도면.3 illustrates an exemplary embodiment of a network architecture incorporating a universal convergence border gateway.
도 4는 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예에 대한 메시지 흐름/시그널링 챠트.4 is a message flow / signaling chart for an exemplary embodiment of a network architecture incorporating a universal convergence border gateway.
도 5는 액세스-독립 서비스 게이트웨이로서 사용된 유니버설 컨버전스 경계 게이트웨이의 예시적인 실시예를 기술한 도면.FIG. 5 illustrates an exemplary embodiment of a universal convergence border gateway used as an access-independent service gateway. FIG.
도 6은 유니버설 컨버전스 경계 게이트웨이 및 듀얼-모드 사용자 장비의 다른 예시적인 실시예를 기술한 도면.FIG. 6 illustrates another exemplary embodiment of a universal convergence boundary gateway and dual-mode user equipment.
본 출원의 다수의 진보적 기술들이 바람직한 실시예와 관련하여(제한적이 아니라 예시적으로) 기술될 것이다.Many inventive techniques of this application will be described in connection with the preferred embodiments (not by way of limitation).
도 1은 종래의 네트워크 아키텍처를 기술한다.1 describes a conventional network architecture.
이러한 예에서, 사용자 장비(101)는 코어 네트워크(157)에 의하여 제공된 서비스들을 액세스하기 위하여 액세스 네트워크(103)를 사용한다. 사용자 장비(101)에 의하여 액세스되는 각각의 서비스에 대하여, 도면부호 105, 121, 129 또는 145와 같은 개별 보안 접속이 생성되어야 한다.In this example, the
예컨대, WLAN을 통해 GPRS 서비스들을 액세스하기 위하여, IKE/IPsec SA(105)는 사용자 장비(101) 및 TTG(107)사이에 형성된다. 그 다음에, GTP 터널(109)은 Gn 기준 포인트 Gn'의 서브세트를 사용하여 형성된다. IMS 서비스들(119) 및 GGSN(111)사이의 링크(117)(Gi 또는 Go 인터페이스를 통한)는 사용자 장비(101)가 IMS 서비스들(119)을 액세스하도록 한다. 사용자 장비(101)는 Gi 인터페이스를 통한 링크(113)를 통해 패킷 서비스들(115)을 액세스할 수 있다.For example, to access GPRS services via WLAN, IKE / IPsec SA 105 is formed between
VoIP 서비스들을 액세스하기 위하여, 다른 보안 접속부(121)는 사용자 장비(101) 및 보안 게이트웨이(123) 사이에 형성된다. 일단 보안 접속부(121)가 형성되면, 사용자 장비(101)는 소프트스위치(125)를 통해 VoIP 서비스들(127)을 액세스할 수 있다.In order to access VoIP services, another
cdma2000-기반 서비스들을 액세스하기 위하여, 다른 보안 접속부, 예컨대 IKE/IPsec SA(129)는 사용자 장비(101) 및 PCF(131)사이에 형성된다. 그 다음에, R-P 터널(133)은 (R-P 인터페이스를 통해) PCF(131) 및 PDSN(135)사이에 형성된다. (인터페이스 Pi를 통한) IMS 서비스들(143) 및 PDSN(135)사이의 링크(141)는 사용자 장비(101)가 IMS 서비스들(143)을 액세스하도록 한다. 사용자 장비(101)는 Pi 인터페이스를 통한 링크(137)를 통해 패킷 서비스들(139)을 액세스할 수 있다.In order to access cdma2000-based services, another secure connection, such as IKE / IPsec SA 129, is formed between the
비인가 이동 액세스(149)를 사용하여 PSTN(155)를 액세스하기 위하여, 또 다른 보안 접속부(145)는 사용자 장비(101) 및 보안 게이트웨이(147) 사이에 형성될 필요가 있다. UMA 네트워크 제어기(149)는 (인터페이스 A를 통해) UMA(149) 및 MSC/GMSC(153)사이의 링크(151)를 통해 사용자 장비(101)를 PSTN(155)에 접속한다.In order to access PSTN 155 using unauthorized
따라서, 사용자 장비(101)에 의하여 액세스되는 각각의 서비스 노드에 대하여, 개별 보안 접속부는 사용자 장비(101)에 의하여 유지되어야 한다. 결과로서, 사용자는 단지 접속된 액세스 기술을 통해 서비스를 액세스할 수 있다.Thus, for each service node accessed by
도 2는 종래의 네트워크 아키텍처의 메시지 흐름/시그널링 챠트이다.2 is a message flow / signaling chart of a conventional network architecture.
이러한 예에서, UE는 GPRS 트래픽을 위하여 TTG와 IKE SA를 형성한다(메시지 흐름(210)). IPSec 터널은 UE 및 TTG사이에서 셋업되며, 1차 GTP 터널은 TTG 및 GGSN사이에 형성된다(메시지 흐름(203)). IPsec 터널 및 1차 GTP 터널 설정시 QoS1,즉 요청된 QoS를 가진 GPRS 트래픽이 존재할 때, GPRS 트래픽은 IPSec 터널내에서 반송되며 TTG는 트래픽을 GGSN에 전송한다(메시지 흐름(205)). 다른 QoS, 예컨대 QoS2를 가진 GPRS 트래픽이 존재할 때, 트래픽을 구별하거나 또는 분리하기 위하여 UE 및 TTG에 특정한 방식은 현재 존재하지 않으며 그 결과 트래픽은 하나의 IPSec 터널에서 혼합된다(메시지 흐름(207)). 이는 매우 다른 특징들(예컨대, 음성 및 웹 브라우징)을 가진 트래픽이 동일한 방식으로 처리되기 때문에 품질 문제를 유발할 수 있다. TTG는 GPRS 메커니즘을 사용하여 GGSN쪽의 트래픽을 구별할 수 있다. 그 다음에, 트래픽은 TTG 및 GGSN사이의 개별 GTP 터널에서 반송될 수 있다. 다른 서비스 노드를 통한 다른 서비스, 예컨대 UNC를 통한 UMA가 요청될 때, 다른 보안 터널은 이러한 노드 쪽에 형성되어야 한다. 이를 달성하기 위하여, 새로운 IKE SA는 UE 및 SGW(보안 게이트웨이)사이에 형성된다(메시지 흐름(209)). 그 다음에, 제 2 IPsec 터널은 UE 및 SGW사이의 새로운 IKE SA를 사용하여 셋업된다(메시지 흐름(211)). UMA 트래픽은 이러한 제 2 IPSec 터널 내에서 반송되며, SGW는 트래픽을 UNC에 전송한다(메시지 흐름(213)). 이들 두 개의 서비스들 사이의 관계가 존재하지 않는다.In this example, the UE forms a TTG and an IKE SA for GPRS traffic (message flow 210). An IPSec tunnel is set up between the UE and the TTG, and a primary GTP tunnel is formed between the TTG and the GGSN (message flow 203). When there is QoS1 in the IPsec tunnel and primary GTP tunnel setup, that is, GPRS traffic with the requested QoS, the GPRS traffic is carried in the IPSec tunnel and the TTG sends the traffic to the GGSN (message flow 205). When there is GPRS traffic with other QoS, such as QoS2, there is currently no way specific to the UE and TTG to distinguish or separate the traffic so that the traffic is mixed in one IPSec tunnel (message flow 207). . This can cause quality problems because traffic with very different features (eg, voice and web browsing) is handled in the same way. TTG can use the GPRS mechanism to distinguish traffic on the GGSN side. The traffic can then be carried in separate GTP tunnels between the TTG and GGSN. When another service through another service node, such as a UMA via UNC, is requested, another secure tunnel must be established on this node side. To accomplish this, a new IKE SA is formed between the UE and the SGW (Security Gateway) (message flow 209). The second IPsec tunnel is then set up using a new IKE SA between the UE and the SGW (message flow 211). UMA traffic is carried in this second IPSec tunnel, and the SGW sends the traffic to the UNC (message flow 213). There is no relationship between these two services.
통합형 서비스 전송Integrated service delivery
도 3은 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예를 도시한다.3 illustrates an example embodiment of a network architecture incorporating a universal convergence border gateway.
이러한 도면에서, 유니버설 컨버전스 경계 게이트웨이(UCBG)(301)는 서비스 컨버전스의 코어 컴포넌트이다. UCBG(301)는 사용자 장비(101)에의 보안 접속부(303)를 형성한다. 보안 접속부(303)는 WLAN(103)과 같은 무선 및 분산형 액세스 네트워크들을 통해 데이터를 전송할 때 완전성 및 보안성을 보장한다(특히, 로밍의 경우에). 보안 접속부는 클라이언트의 요청된 서비스 및 현재의 가입에 기초한 성공적인 인증 및 허가 절차들이 완료된 후에만 형성된다. UCBG(301)는 시그널링, 제어 및 계정 목적을 위하여 외부 서버와 통신할 수 있다.In this figure, the Universal Convergence Border Gateway (UCBG) 301 is the core component of service convergence.
도 1에 도시된 아키텍처와 대조적으로, 도 3에 도시된 아키텍처는 UCBG가 사용자 클라이언트와 1차 보안 연관성을 형성하고 다른 다중 서비스들을 위한 모든 트래픽에 대하여 이러한 SA를 사용하기 때문에 액세스되는 각각의 서비스에 대한 개별 보안 접속을 지원해야 하는 사용자 장비를 필요로 하지 않는다. 사용자 장비 는 더이상 보안 접속부들(105, 121, 129, 145)을 유지할 필요가 없다. UCBG는 보안 게이트웨이들(107, 147), TTG(107) 및 PCF(131)를 대체한다. 서비스들은 통상적으로 연관된 액세스 기술들에 제한되지 않으며 다른 액세스 네트워크들을 통해 범용적으로 이용가능하게 된다.In contrast to the architecture shown in FIG. 1, the architecture shown in FIG. 3 provides access to each service accessed because the UCBG forms a primary security association with the user client and uses this SA for all traffic for other multiple services. There is no need for user equipment that must support individual secure access to the system. User equipment no longer needs to maintain
도 3은 유니버설 컨버전스 경계 게이트웨이를 사용하여 통합될 수 있는 애플리케이션들의 소수 예들을 도시한다.3 shows a few examples of applications that can be integrated using a universal convergence border gateway.
IMS 애플리케이션: IMS는 셀룰라 기술들을 통해 멀티미디어 서비스들의 보안 전송을 위한 IP-기반 인프라스트럭처이다. IMS 서비스들은 이송층으로서 PS 도메인을 사용하며, GGSN 또는 PDSN 플랫폼으로부터 제공될 수 있다. IMS 및 GGSN(Gi 또는 Go 인터페이스를 통해) 또는 PDSN(Pi 인터페이스를 통해)사이의 링크는 QoS 및 정책 파리미터들 뿐만 아니라 과금 상관 식별자들을 교환하도록 한다. UCBG(301)는 GGSN(111) 또는 PDSN(135) 플랫폼들 및 모든 연관된 구성들을 재사용함으로서 임의의 액세스 기술(TTG/터널-스위칭 모드 또는 PCF에서 전개되는)을 통해 IMS 서비스들(119, 143)을 가능하게 한다. IMS Application: IMS is an IP-based infrastructure for secure delivery of multimedia services through cellular technologies. IMS services use the PS domain as the transport layer and may be provided from a GGSN or PDSN platform. The link between IMS and GGSN (via Gi or Go interface) or PDSN (via Pi interface) allows for exchanging billing correlation identifiers as well as QoS and policy parameters.
VoIP 애플리케이션들: UCBG(301)는 WLAN 액세스 기술을 통해 사용자 장비로부터의 보안 접속을 종료할 수 있다. 일단 사용자 장비와의 보안, 인증 세션이 형성되면, VoIP 인프라스트럭처(127)를 가진 오퍼레이터의 소프트스위치(125)는 대안 액세스 기술들을 통해 사용자 장비에 SIP-기반 VoIP 호출들을 전송할 수 있다. 이는 WLAN 액세스를 전송하여 전체 전개 비용을 감소시키기 위하여 오퍼레이터가 그의 현재 2G/3G 풋프린트를 확장하도록 한다. VoIP Applications:
UMA 애플리케이션: UMA 솔루션은 (A 인터페이스를 통해) 한 측면으로부터 기존 2G MSC(153)로의 접속부(151) 및 VPN/IP를 통해 다른 측면으로부터 사용자 장비로의 접속부에 의하여 2G BSC 기능(GANC/UNC(149))을 에뮬레이트 한다. 릴리스 6 인터워킹 아키텍처와 UMA를 스무스하게 통합하기 위하여, 중첩 기능들을 최소화하고 릴리스 6 I-WLAN 시스템들에서 이용가능한 기존 기능들을 재사용하는 것이 바람직하다. UCBG(301)는 UMA 서비스들을 위한 보안, 인증 및 허가 베어러(bearer)를 제공할 수 있다. UMA Application: The UMA solution uses the 2G BSC function (GANC / UNC) from one side (via A interface) to the existing
다른 특징들 및 Other features and QoSQoS 요구사항들을 가진 With requirements 트래픽들을Traffic 구별하여 분리하기 위하여 단일 1차 보안 연관성 사용 Use a single primary security association to distinguish and separate
다양한 실시예들에 있어서, UCBG(301)는 이동 오퍼레이터들 및 서비스 제공자들로 하여금 통상적으로 연관된 액세스 기술들로부터 서비스들을 분리함으로써 임의의 인가 또는 비인가 액세스 기술들을 통해 동일한 서비스들 및 통합 과금/OSS를 제공하도록 한다.In various embodiments, the
일 실시예에 있어서, 일단 1차 보안 연관성, 예컨대 IKE SA가 형성되면, 여러 차일드 또는 IPSec SA들은 QoS 또는 "액세스 특징들", 예컨대 회사 인트라넷과 같은 다른 특징들을 가진 서비스 트래픽을 반송하도록 생성된다. 그러나, 이들 IPSec SA들은 IPSec SA들을 생성하기 위하여 사용되는 하나의 1차 SA에 의하여 제어된다. 이는 다른 특징들 및 QoS 요구사항들을 가진 트래픽들을 구별하여 분리할 수 있도록 한다. 따라서, 트래픽 특징들은 단일 암호화 방식을 유지하는 동안 손실되지 않는다.In one embodiment, once a primary security association, such as an IKE SA, is formed, several child or IPSec SAs are created to carry service traffic with QoS or other features such as "access features", such as a company intranet. However, these IPSec SAs are controlled by one primary SA used to generate IPSec SAs. This allows to distinguish and separate traffics with different features and QoS requirements. Thus, traffic features are not lost while maintaining a single encryption scheme.
일 실시예에서, IKE는 UCBG 및 사용자 클라이언트 사이의 1차 SA로서 사용되며, IKE의 구성 페이로드는 UCBG(301) 쪽에 IPSec SA를 생성할 때 다른 서비스들 및/또는 서비스 노드들을 지시하기 위하여 사용된다. UCBG(301)는 IPSec SPI를 가진 이들 특징들을 저장하며, 특정 SPI를 가진 IPSec 트래픽이 내부로 흐를 때 이러한 트래픽을 위하여 서비스 및/또는 서비스 노드가 사용되어야 하는지를 결정한다. 따라서, UCBG(301)에서 트래픽을 구별하기 위하여 복잡한 로직을 필요로 하지 않으며, UCBG(301)는 IPSec SPI 값을 사용하여 적절한 서비스 노드에 트래픽을 단순하게 전송할 수 있다.In one embodiment, IKE is used as the primary SA between the UCBG and the user client, and the configuration payload of IKE is used to indicate other services and / or service nodes when creating an IPSec SA on the
제공된 서비스들 중에서, 기업 서비스들(307)은 클라이언트에 대한 액세스를 승인하기전에 사용자이름/패스워드를 필요로 할 수 있다. 클라이언트가 GPRS와 다른 액세스 메커니즘을 사용하여 (Gi 인터페이스를 통한) 링크(305)를 통해 기업 서비스들(307)을 액세스할 때, 액세스 네트워크, 특히 비신뢰 액세스 네트워크를 통해 사용자이름/패스워드를 보안적으로 전송하기 위하여 이용가능한 메커니즘이 존재해야 한다. 개시된 UCBG는 IKE 메시지의 구성 페이로드를 사용하는 보안 메커니즘을 제공한다. 사용자이름/패스워드 정보는 IKE SA로 전송되며, UCBG는 표준 GPRS 프로세스를 사용하여 GGSN에 이러한 정보를 전송한다. 따라서, 정보는 보호되며, 클라이언트는 보안 VPN을 통해 기업 도메인을 액세스할 수 있다.Among the services provided,
사용자이름/패스워드가 민감한 정보이기 때문에, 이러한 정보는 사용자 및 UCBG가 상호 간에 인증되고 보안 IKE SA가 형성된 후에만 제공된다. 이러한 방법을 사용하면, 사용자는 보안 IPSec 터널을 통해 기업 서비스들(307)을 액세스할 수 있다.Since the username / password is sensitive information, this information is provided only after the user and the UCBG are mutually authenticated and a secure IKE SA is formed. Using this method, a user can access
이러한 실시예의 장점들의 일부 예들은 다음과 같은 것을 포함한다:Some examples of the advantages of this embodiment include the following:
서비스들의 번들을 액세스하는 사용자 장비 쪽에서 하나 이상의 IPSec SA를 가진다. 최종 사용자 쪽에서 단일 또는 다중 터널들을 사용하기 위한 결정은 요청된 서비스들, 최종-사용자 능력들 및 UCBG 조건들(예컨대, 로드)의 동적 조합에 기초한다; It has one or more IPSec SAs on the user equipment side that access the bundle of services. The decision to use single or multiple tunnels at the end user side is based on a dynamic combination of requested services, end-user capabilities and UCBG conditions (eg, load);
서비스 유효성, 사용자 선호도 및/또는 서비스 카테고리에 따라 개별적으로 또는 함께 터널들을 제거한다; Remove tunnels individually or together according to service availability, user preferences and / or service category;
1차 SA(IKE SA)의 페이로드를 사용하여 UCBG에 서비스들 및 이들의 특징들을 전송한다; Send services and their features to the UCBG using the payload of the primary SA (IKE SA);
일단 정보가 저장되면, IPSec SPI를 사용하여 서비스들 및 이들의 특징들을 단순하게 식별한다; Once the information is stored, the IPSec SPI is used to simply identify the services and their features;
보안 IPSec 터널을 통해 애플리케이션 레벨 인증을 위한 애플리케이션 액세스 서버에 사용자이름 및 패스워드 정보를 전송한다; Send username and password information to the application access server for application level authentication over a secure IPSec tunnel;
애플리케이션 또는 도메인 사용자이름 및 패스워드 정보를 반송하기 위하여 IKE 구성 페이로드를 사용한다; Use the IKE configuration payload to return application or domain username and password information;
클라이언트가 보안 전송 채널을 통해 UCBG에 애플리케이션 사용자이름 및 패스워드 정보를 제공하도록 한다; Allow the client to provide UCBG application username and password information over a secure transport channel;
클라이언트가 선택된 APN에 기초하여 IKE 구성 페이로드의 애플리케이션 사용자이름 및 패스워드를 제공하도록 한다. Allows the client to provide an application username and password for the IKE configuration payload based on the selected APN.
도 4는 유니버설 컨버전스 경계 게이트웨이를 통합한 네트워크 아키텍처의 예시적인 실시예의 메시지 흐름/시그널링 챠트이다. 4 is a message flow / signaling chart of an exemplary embodiment of a network architecture incorporating a universal convergence border gateway.
이러한 도면에서, IKE SA는 UE 및 UCBG 사이에 형성된다(메시지 흐름(401)). 이러한 SA는 서비스들 및/또는 서비스 특징들, 예컨대 QoS와 무관하게 모든 서비스들에 대하여 사용된다. 제어 메시지들의 모두는 암호화되며, 이들의 완전성은 보호된다. 제 1 IPSec SA는 데이터 전송을 위하여 형성된다. 이러한 예에서는 사용자에 의하여 요청된 서비스가 서비스 노드로서 GGSN을 필요로 한다는 것을 가정한다. GTP 터널은 UCBG 및 GGSN사이에 형성된다(메시지 흐름(403)). 이러한 서비스를 위한 트래픽에 대하여, UE는 IPSec 터널(1) 내에서 데이터를 전송 및 수신하며, UCBG는 GGSN에 메시지를 전송한다(메시지 흐름(405)). 만일 다른 특징들, 예컨대 QoS를 가진 다른 서비스가 동일한 서비스 노드, 즉 GGSN 쪽에서 요청되면, 제 2 IPSec SA가 형성될 수 있다. 새로운 IPSec SA 키는 정책에 따라 사용되거나 또는 사용되지 않을 수 있다. 다른 GTP 터널은 다른 Quos, 예컨대 QoS2를 가진 트래픽을 반송하기 위하여 형성된다(메시지 흐름(407)). 만일 다른 서비스 노드, 예컨대 UNC를 통한 다른 서비스가 요청되면, UE는 다른 IPSec SA를 형성한다(메시지 흐름(409)). UMA 트래픽에 대하여, UE는 적절한 IPSec 터널로 이러한 트래픽을 전송한다. UCBG는 SPI에 의하여 트래픽을 식별하며, 트래픽을 UNC에 직접 전송한다(메시지 흐름(411)). 다른 QoS, 예컨대 QoS2를 가진 GPRS 트래픽에 대하여, UE는 적절한 IPSec 터널로 트래픽을 전송하며, UCBG는 트래픽을 GGSN에 직접 전송한다(메시지 흐름(413)). 만일 엔터프라이즈를 위한 VPN을 형성하라는 요청이 존재하면, UE는 다른 IPSec 터널을 형성할 수 있어서 필요한 사용자이름/패스워드 정보를 제공한다. UCBG는 이러한 정보 및 요청을 GGSN에 전송하여 GTP 터널을 형성한다(메시지 흐름(415)). 엔터프라이즈 VPN 트래픽은 엔터프라이즈 인트라넷에서 적절한 IPSec 터널 및 GTP 터널을 통해 목적지에 반송된다(메시지 흐름(417)).In this figure, an IKE SA is formed between the UE and the UCBG (message flow 401). This SA is used for all services regardless of services and / or service features, such as QoS. All of the control messages are encrypted and their integrity is protected. The first IPSec SA is formed for data transmission. This example assumes that the service requested by the user requires GGSN as the service node. A GTP tunnel is formed between UCBG and GGSN (message flow 403). For traffic for this service, the UE transmits and receives data in the
새로운 액세스 기술New access technology
무선 애플리케이션들이 IP(패킷 스위치(IP))로 변경되는 것이 명백하다. 공통 패킷 서비스 플랫폼은 이동 오퍼레이터들이 새로운 서비스들을 용이하게 도입하여 기존 서비스들을 강화하도록 한다.It is clear that wireless applications are changed to IP (Packet Switch (IP)). The common packet services platform allows mobile operators to easily introduce new services to enhance existing services.
게다가, 이동 오퍼레이터들은 전개된 모든 액세스 기술들(예컨대, 셀룰라, Wi-Fi 또는 WiMAX)에 그들의 서비스 전송을 확장하고 싶어한다. 개시된 통합형 게이트웨이 플랫폼은 오퍼레이터의 코어 서비스 전송 플랫폼들에 대하여 보안 액세스하면서 임의의 액세스 기술들을 통해 무선 서비스들을 연속적으로 제공할 수 있도록 한다.In addition, mobile operators want to extend their service delivery to all deployed access technologies (eg, cellular, Wi-Fi or WiMAX). The disclosed integrated gateway platform allows for continuous access to wireless services via any access technologies while providing secure access to the operator's core service delivery platforms.
도 5는 액세스-독립 서비스 게이트웨이로서 사용된 유니버설 컨버전스 경계 게이트웨이의 예시적인 실시예를 도시한다.5 illustrates an example embodiment of a universal convergence boundary gateway used as an access-independent service gateway.
이러한 실시예에서, 사용자 장비(101)는 Wi-Fi, WiMAX, GPRS/EDGE 및 임의의 범용 IP와 같은 액세스 기술을 통해 모든 서비스들을 액세스할 수 있다. UCBG(301)는 IP 계층에서 동작한다. 따라서, UCBG(301)는 액세스 네트워크 기술과 독립적으로 기능을 한다. UCBG(301)는 사용자 장비(101)에 의하여 사용된 액세스 기술과 무관하게 보안 공통 서비스 전송을 제공하기 위하여 코어 네트워크 에지에 서 용이하게 전개될 수 있다.In this embodiment, the
이러한 아키텍처는 이동 오퍼레이터들로 하여금 새로운 액세스 기술들을 통합하기 위하여 기존의 3GPP 프레임워크를 이용하도록 한다. 다수의 프레스를 수신하는 이러한 하나의 기술은 IEEE 802.16e 표준화하에서 IETF에 의하여 기안된 WiMAX이다. TS 23.234와 동일한 프레임워크를 이용함으로써, 3GPP는 3G 및 IMS의 범위를 추가로 확장하기 위하여 사용될 수 있는 WiMAX를 빠르게 포함할 수 있다.This architecture allows mobile operators to use existing 3GPP frameworks to integrate new access technologies. One such technique for receiving multiple presses is WiMAX initiated by the IETF under the IEEE 802.16e standard. By using the same framework as TS 23.234, 3GPP can quickly include WiMAX, which can be used to further extend the scope of 3G and IMS.
하모나이징Harmonizing 계층으로서 As a hierarchy IPIP 계층 사용 Use layer
UCBG(301)는 통상적으로 연관된 액세스 기술들의 제약들로부터 표준 서비스들을 분리하기 위하여 하모나이징 계층으로서 IP 계층을 이용한다. 이는 최상으로 이용가능한 무선 액세스 기술이 액세스되는 서비스의 타입과 무관하게 사용될 수 있기 때문에 다기능 클라이언트 장치들에 특히 유리하다.
도 6은 유니버설 컨버전스 경계 게이트웨이 및 듀얼-모드 사용자 장비의 다른 예시적인 실시예를 도시한다.6 illustrates another exemplary embodiment of a universal convergence boundary gateway and dual-mode user equipment.
이러한 실시예에서, 사용자 장비(101)는 바람직하게 듀얼-모드(예컨대, WLAN+GPRS) 사용자 장비이다. UCBG(301)을 사용하면, 서비스들은 GPRS 접속부(601)를 통해 직접 또는 WLAN 접속부(603)를 통해 액세스될 수 있다. GPRS 액세스가 더 적절한 경우에, UCBG(301)는 GPRS 노드로서 작용하며, GPRS 접속부(601)를 통해 사용자 트래픽을 직접 라우팅하도록 한다. WLAN 액세스가 더 적절한 경우에, UCBG는 WLAN을 통해 보안 터널을 형성하고, WLAN 접속부를 통해 트래픽을 강화한다. 특정 서비스(예컨대, IMS(119))가 GGSN(111)과 같은 기존 노드를 통해 제공될 때, UCBG(301)는 GGSN(111)쪽으로 GTP 터널(109)을 형성하며, WLAN 접속부(603) 및 GPRS 접속부(601) 사이에서 사용자 트래픽을 스위칭한다.In this embodiment, the
진보적 실시예들 중 개시된 클래스에 따르면, IP 계층을 사용하여 통상적으로 연관된 액세스 기술들로부터 표준 서비스들을 분리하는 단계; 및 사용자 장비가 상기 서비스들과 통상적으로 연관된 액세스 기술과 무관하게 표준 서비스들을 액세스하도록 하는 단계를 포함하는, 통신 방법이 제공된다.According to a disclosed class of progressive embodiments, using a IP layer to separate standard services from commonly associated access technologies; And causing the user equipment to access standard services independently of the access technology typically associated with the services.
진보적 실시예들 중 개시된 클래스에 따르면, 통상적으로 연관된 액세스 기술들로부터 표준 서비스들을 분리하기 위하여 IP 계층을 이용하는 서버를 포함하며; 사용자 장비가 상기 서비스들과 통상적으로 연관된 액세스 기술과 무관하게 표준 서비스들을 액세스할 수 있는, 통신 시스템이 제공된다.According to a disclosed class of progressive embodiments, a server typically includes a server that uses an IP layer to separate standard services from associated access technologies; A communication system is provided in which user equipment can access standard services regardless of the access technology typically associated with the services.
진보적 실시예들 중 개시된 클래스에 따르면, 이동 장치가 다른 서비스 노드들과 동시에 통신하도록 하는 방법으로서, 다른 타입의 다중 서비스들에 대하여 다른 트래픽 특징들을 가진 다중 데이터 흐름들에 동시에 참여하기 위하여 단일 1차 보안 연관(association)을 사용하는 단계를 포함하며; 상기 이동 전자장치가 상기 다른 타입의 다중 서비스들을 관리하기 위하여 상기 단일 1차 보안 연관을 사용하는, 통신방법이 제공된다. According to the disclosed class of the progressive embodiments, a method for allowing a mobile device to communicate with other service nodes simultaneously, comprising a single primary to simultaneously participate in multiple data flows with different traffic characteristics for different types of multiple services. Using a security association; A communication method is provided wherein the mobile electronic device uses the single primary security association to manage the different types of multiple services.
진보적 실시예들 중 개시된 클래스에 따르면, 단일 암호화 방식을 사용하여 다른 타입의 다중 서비스들에 대하여 다른 특징들을 가진 다중 데이터 흐름을 다중화하는 단계; 및 단일 1차 제어 경로의 관리하에서 각각의 2차 데이터 경로들을 사용하여 이동 전자장치 및 컨버전스 게이트웨이 사이에 상기 데이터 흐름들을 통신 하는 단계를 포함하며, 상기 이동 전자장치가 상기 단일 1차 제어 경로의 관리하에서 다른 타입의 다중 서비스들로부터 서비스들을 동시에 액세스할 수 있는, 통신방법이 제공된다.According to a disclosed class of progressive embodiments, there is provided a method comprising: multiplexing multiple data flows with different features for different types of multiple services using a single encryption scheme; And communicating the data flows between a mobile electronic device and a convergence gateway using respective secondary data paths under management of a single primary control path, wherein the mobile electronic device manages the single primary control path. There is provided a communication method, which can simultaneously access services from different types of multiple services.
진보적 실시예들 중 개시된 클래스에 따르면, 다른 타입의 다중 서비스들에 대하여 다른 트래픽 특징들을 가진 다중 데이터 흐름들에 동시에 참여할 수 있는 이동 전자장치; 및 다중화 소프트웨어를 포함하며; 상기 다중화 소프트웨어가, 상기 다중 데이터 흐름들을 구별하기 위하여 단일 1차 보안 연관의 구성을 사용하여 상기 다중 데이터 흐름들을 생성하며, 상기 이동 전자장치가 단일 1차 보안 연관을 통해 컨버전스 게이트웨이와 인터페이싱하도록 하며; 상기 이동 전자장치가 상기 단일 1차 보안 연관의 제어하에서 상기 다른 타입의 다중 서비스들을 동시에 액세스할 수 있는, 통신 시스템이 제공된다.According to a disclosed class of progressive embodiments, a mobile electronic device capable of simultaneously participating in multiple data flows with different traffic characteristics for different types of multiple services; And multiplexing software; The multiplexing software generates the multiple data flows using a configuration of a single primary security association to distinguish the multiple data flows, and allows the mobile electronics to interface with a convergence gateway via a single primary security association; A communication system is provided in which the mobile electronic device can simultaneously access the different types of multiple services under the control of the single primary security association.
진보적 실시예들 중 개시된 클래스에 따르면, 이동 클라이언트와 통신하는 시스템으로서, 서버 및 이동 클라이언트 사이의 단일 1차 보안 연관을 포함하며; 상기 서버가 두 개 이상의 다른 타입의 서비스들에 대한 트래픽을 두개 이상의 데이터 흐름들로 다중화하기 위하여 상기 단일 1차 보안 연관의 페이로드를 사용하며; 상기 서버가 상기 단일 1차 보안 연관의 제어하에서 두 개 이상의 다른 타입의 서비스 노드들로부터 상기 이동 클라이언트로 서비스들을 동시에 전송하는, 통신 시스템이 제공된다.According to a disclosed class of progressive embodiments, a system for communicating with a mobile client, comprising a single primary security association between a server and the mobile client; The server uses the payload of the single primary security association to multiplex traffic for two or more different types of services into two or more data flows; A communication system is provided wherein the server simultaneously transmits services from two or more different types of service nodes to the mobile client under control of the single primary security association.
진보적 실시예들 중 개시된 클래스에 따르면, 클라이언트에 네트워크 서비스들을 전송하는 방법으로서, 이동 클라이언트에서, 각각의 다른 타입의 데이터 흐름 들에 인터페이싱하는 다중 애플리케이션들을 실행하는 단계, 및 단일 1차 보안 연관의 제어하에서 다중 2차 보안 연관들에서 상기 데이터 흐름들을 다중화 및 역다중화하는 단계; 및 게이트웨이 서버에서, 다중 2차 보안 연관들에서 다른 타입의 다중 데이터 흐름들을 다중화 및 역다중화하는 단계, 및 상기 적절한 서버 노드들에 상기 데이터 흐름들을 라우팅하는 단계를 포함하며; 상기 서버가 상기 서비스들을 액세스하기 위하여 상기 클라이언트에 의하여 사용된 액세스 기술과 무관하게 상기 서비스 노드들로부터 상기 클라이언트로 서비스들을 동시에 전송하는, 전송 방법이 제공된다.According to a disclosed class of progressive embodiments, there is provided a method of transmitting network services to a client, comprising: executing, at a mobile client, multiple applications interfacing to different types of data flows, and controlling a single primary security association; Multiplexing and demultiplexing the data flows in multiple secondary security associations below; And at a gateway server, multiplexing and demultiplexing different types of multiple data flows in multiple secondary security associations, and routing the data flows to the appropriate server nodes; A transmission method is provided wherein the server simultaneously transmits services from the service nodes to the client regardless of the access technology used by the client to access the services.
진보적 실시예들 중 개시된 클래스에 따르면, 네트워크 서비스들을 전송하는 방법으로서, 제 1 서비스 노드와 연관된 제 1 특징의 트래픽을 반송하기 위하여 서버 및 사용자 장비 사이의 제 1 데이터 흐름을 관리하는 단계; 상기 제 1 서비스 노드와 연관된 제 2 특징의 트래픽이 존재하는 경우에, 상기 제 2 특징의 트래픽을 반송하기 위하여 상기 서버 및 상기 사용자 장비 사이의 제 2 데이터 흐름을 관리하는 단계; 및 상기 제 2 서비스 노드와 연관된 트래픽이 존재하는 경우에, 상기 제 2 서비스 노드와 연관된 트래픽을 반송하기 위하여 상기 서버 및 상기 사용자 장비 사이의 제 3 데이터 흐름을 관리하는 단계를 포함하며; 상기 제 1 및 제 2 노드의 각각의 서비스들이 상기 사용자 장비 및 상기 서버 사이의 단일 보안 연관의 제어하에서 상기 각각의 데이터 흐름들을 통해 상기 사용자 장비에 전송되며; 상기 서버 및 상기 사용자 장비 사이의 추가 데이터 흐름들은 상기 단일 보안 연관을 사용하여 필요에 따라 생성되는, 전송 방법이 제공된다.According to a disclosed class of progressive embodiments, a method of transmitting network services, comprising: managing a first data flow between a server and user equipment to carry traffic of a first characteristic associated with a first service node; If there is traffic of a second characteristic associated with the first service node, managing a second data flow between the server and the user equipment to carry traffic of the second characteristic; And if there is traffic associated with the second service node, managing a third data flow between the server and the user equipment to carry traffic associated with the second service node; Respective services of the first and second nodes are transmitted to the user equipment via the respective data flows under the control of a single security association between the user equipment and the server; Additional data flows between the server and the user equipment are generated as needed using the single security association.
진보적 실시예들 중 개시된 클래스에 따르면, 서버 및 사용자 장비 사이의 보안 연관; 상기 서버 및 상기 사용자 장비 사이의 제 1 데이터 흐름을 포함하는데, 상기 제 1 데이터 흐름이 상기 보안 연관의 페이로드 구성으로부터 생성되며, 제 1 서비스 노드와 연관된 제 1 특징의 트래픽을 반송하며; 상기 제 1 서비스 노드와 연관된 제 2 특징의 트래픽이 존재하는 경우에 상기 서버 및 상기 사용자 장비 사이의 제 2 데이터 흐름을 포함하며, 상기 제 2 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며 상기 제 2 특징의 트래픽을 반송하며; 및 제 2서비스 노드와 연관된 트래픽이 존재하는 경우에 상기 서버 및 상기 사용자 장비 사이의 제 3 데이터 흐름을 포함하며, 상기 제 3 데이터 흐름은 상기 보안 연관의 페이로드 구성으로부터 생성되며 상기 제 2 서비스 노드와 연관된 트래픽을 반송하며; 최종 사용자는 상기 보안 연관의 제어하에서 상기 제 1 및 제 2 서비스 노드의 서비스들을 동시에 액세스할 수 있으며; 상기 서버 및 상기 사용자 장비 사이의 추가 데이터 흐름들은 상기 보안 연관을 사용하여 필요에 따라 생성되는, 통신 시스템이 제공된다.According to the disclosed class of the progressive embodiments, there is provided a security association between a server and a user equipment; A first data flow between the server and the user equipment, wherein the first data flow is generated from a payload configuration of the security association and carries traffic of a first feature associated with a first service node; A second data flow between the server and the user equipment when there is traffic of a second feature associated with the first service node, the second data flow being generated from the payload configuration of the security association and Carry traffic of a second feature; And a third data flow between the server and the user equipment when there is traffic associated with a second service node, wherein the third data flow is generated from the payload configuration of the security association and the second service node. Carry traffic associated with; An end user can access the services of the first and second service nodes simultaneously under the control of the security association; Additional data flows between the server and the user equipment are generated as needed using the security association.
수정 및 변형들Modifications and variations
당업자에 의하여 인식되는 바와 같이, 본 발명에 기술된 진보적인 개념들은 본 발명의 범위 내에서 수정 및 변형될 수 있으며, 따라서 본 발명의 범위는 주어진 특정 예시적인 기술들 중 일부에 의하여 제한되지 않는다.As will be appreciated by one of ordinary skill in the art, the inventive concepts described herein may be modified and modified within the scope of the present invention, and therefore the scope of the present invention is not limited by some of the specific exemplary techniques given.
비록 바람직한 실시예들에서 IPSec가 트래픽을 안전하게 하고 구별하기 위하여 사용될지라도, 트래픽을 안전하게 하고 구별하기 위한 임의의 방법이 사용될 수 있다.Although IPSec is used to secure and distinguish traffic in preferred embodiments, any method for securing and discriminating traffic may be used.
비록 바람직한 실시예들에서 IKE가 프로토콜을 적절하게 구성하기 위하여 IPSec와 함께 사용될지라도, 다른 암호화 표준들이 가능하다. 예컨대, DES, 3DES, D-H, MD5, SHA-1, RSA 서명, AES 및 CA들이 사용될 수 있다.Although IKE is used with IPSec to properly configure the protocol in preferred embodiments, other encryption standards are possible. For example, DES, 3DES, D-H, MD5, SHA-1, RSA signature, AES and CAs can be used.
비록 바람직한 실시예들에서 IKE가 IPsec에 대한 키 교환 및 관리를 위하여 사용될지라도, 다른 키 교환 및 관리 메커니즘들이 또한 가능하다.Although IKE is used for key exchange and management for IPsec in preferred embodiments, other key exchange and management mechanisms are also possible.
본 발명의 UCBG는 세시(chassis) 기반 플랫폼들을 포함하는 임의의 하드웨어로 구현될 수 있다. 세시 기반 플랫폼들이 사용되는 경우에, 세시의 블레이드들은 제어 블레이드들 또는 데이터 블레이드들로서 기능을 하기 위하여 클러스터들로서 분할된다. 세시는 활성 사용자 세션들 및 통계들이 블레이드 실패의 경우에도 손실되지 않도록 높은 유효성을 제공한다. UCBG에 단일 실패점이 존재하지 않을 것이다.The UCBG of the present invention may be implemented in any hardware including chassis based platforms. When tax base-based platforms are used, the taxi's blades are divided into clusters to function as control blades or data blades. Ceci provides high effectiveness so that active user sessions and statistics are not lost even in case of blade failure. There will be no single point of failure in UCBG.
변형들 및 구현들을 기술하는데 도움이 되는 일반적인 추가 배경은 이하에 기재된 공보에 개시되어 있으며, 이들 모두는 여기에 참조문헌으로서 통합된다:General further background to assist in describing the variants and implementations is disclosed in the publications described below, all of which are incorporated herein by reference:
Sumit Kasera & Nishit Narang, 3G Mobile Networks(2005)Sumit Kasera & Nishit Narang, 3G Mobile Networks (2005)
Theodore S. Rappaport, Wireless Communications Principles and Practice(2nd ed. 2002).Theodore S. Rappaport, Wireless Communications Principles and Practice (2nd ed. 2002).
본 출원에 기술된 상세한 설명은 임의의 특정 엘리먼트, 단계 또는 기능이 청구범위내에 포함되어야 하는 필수 구성요소인 것을 의미하는 것으로 해석되지 않아야 하며, 특허 요지의 범위는 특허 허여된 청구범위에 의해서만 한정된다. The detailed description set forth in this application should not be construed to mean that any particular element, step, or function is an essential component that should be included in the claims, and the scope of the patent subject matter is defined only by the claims that are issued. .
출원된 청구범위는 가능한 넓게 해석되어야 하며, 요지는 고의적으로 양도, 전용 또는 포기되지 않는다.The claimed claims should be construed as broadly as possible, and the subject matter is not intentionally assigned, transferred or abandoned.
Claims (47)
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US68222705P | 2005-05-18 | 2005-05-18 | |
US60/682,227 | 2005-05-18 | ||
US11/233,936 US20060265504A1 (en) | 2005-05-18 | 2005-09-23 | Universal convergence border gateway |
US11/233,936 | 2005-09-23 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080036954A true KR20080036954A (en) | 2008-04-29 |
Family
ID=37432050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020077029113A KR20080036954A (en) | 2005-05-18 | 2006-05-17 | Universal convergence border gateway |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP1889168A2 (en) |
KR (1) | KR20080036954A (en) |
AU (1) | AU2006247291A1 (en) |
CA (1) | CA2620830A1 (en) |
WO (1) | WO2006124920A2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080184123A1 (en) * | 2007-01-26 | 2008-07-31 | Shuqair Michel A D | System And Method For Providing A Secure Connection Between A Computer And A Mobile Device |
CN116244359B (en) * | 2022-11-23 | 2023-09-29 | 北京瑞风协同科技股份有限公司 | Test data gathering device, method and equipment |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7003571B1 (en) * | 2000-01-31 | 2006-02-21 | Telecommunication Systems Corporation Of Maryland | System and method for re-directing requests from browsers for communication over non-IP based networks |
-
2006
- 2006-05-17 WO PCT/US2006/018955 patent/WO2006124920A2/en active Application Filing
- 2006-05-17 AU AU2006247291A patent/AU2006247291A1/en not_active Abandoned
- 2006-05-17 KR KR1020077029113A patent/KR20080036954A/en not_active Application Discontinuation
- 2006-05-17 CA CA002620830A patent/CA2620830A1/en not_active Abandoned
- 2006-05-17 EP EP06770446A patent/EP1889168A2/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
EP1889168A2 (en) | 2008-02-20 |
CA2620830A1 (en) | 2006-11-23 |
WO2006124920A2 (en) | 2006-11-23 |
WO2006124920A3 (en) | 2009-04-30 |
AU2006247291A1 (en) | 2006-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11690005B2 (en) | Network slice for visited network | |
US20060265504A1 (en) | Universal convergence border gateway | |
US11102828B2 (en) | User plane function selection for isolated network slice | |
US11412418B2 (en) | Third party charging in a wireless network | |
US20240039744A1 (en) | Ethernet type packet data unit session communications | |
US10855851B2 (en) | Charging control with SMF | |
AU2009313216B2 (en) | Method and system for supporting SIP session policy using existing authorization architecture and protocols | |
US9642032B2 (en) | Third party interface for provisioning bearers according to a quality of service subscription | |
US7916732B2 (en) | Method and system for implementation of SBLP for a WLAN-GSM/3G integrated system | |
US20090141707A1 (en) | Systems and methods for providing emergency service trust in packet data networks | |
KR20080036954A (en) | Universal convergence border gateway |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |